Dr. iur. Berthold Hilderink
Rz. 168
Zwar gibt es auch derzeit noch keine umfassende höchstrichterliche Rechtsprechung zur Zulässigkeit einer Datenerhebung nach § 26 Abs. 1 BDSG. Es bestehen jedoch keine Anhaltspunkte dafür, dass sich die Grundsätze, die das BAG anhand des § 32 BDSG a.F. entwickelt hat, unter Geltung der DSGVO und des aktuellen BDSG signifikant ändern werden (im Ergebnis auch Kort, NZA 2018, 1097, 1099). § 26 Abs. 1 S. 2 BDSG dürfte wie die Vorgängerregelung des § 32 BDSG a.F. weit auszulegen sein und lediglich einen – jedoch über unbegründete Mutmaßungen hinausgehenden – Anfangsverdacht erfordern. Hierfür spricht auch die Gesetzesbegründung, welche darauf hinweist, dass ein enger Anwendungsbereich des § 26 Abs. 1 S. 2 BDSG den wichtigen Bereich der Pflichtverletzungen nicht erfassen würde (BT-Drucks 18/11655, 14). Auch die heimliche Videoüberwachung und andere verdeckte Ermittlungsmaßnahmen dürften in Ausnahmefällen zulässig bleiben (vgl. auch Byers, NZA 2017, 1086, 1090). Es ist zudem davon auszugehen, dass § 26 Abs. 1 S. 2 BDSG – wie auch schon § 32 Abs. 1 S. 2 BDSG a.F. – keine Sperrwirkung im Hinblick auf Vertragsverstöße unterhalb der Schwelle strafbaren Verhaltens entfaltet (vgl. auch Thüsing/Rombey, NZA 2018, 1105, 1107). Gleichwohl sollte im Hinblick auf Sachvortrags- und Beweisverwertungsverbote nicht unerwähnt bleiben, dass das BAG es nicht für ausgeschlossen hält, ein Verstoß gegen die Vorgaben der DSGVO könne Anlass dazu geben, das Eingreifen eines "sekundärrechtlichen Verwertungsverbots" und die Möglichkeit seiner "Realisierung" durch eine unionsrechtskonforme Auslegung des nationalen Prozessrechts zu prüfen (BAG v. 23.8.2018 – 2 AZR 133/18, Rn 47; vgl. dazu Niemann, JbArbR, Bd. 55, S. 41, 66 f.). Auch umfassende höchstrichterliche Rechtsprechung zu den Auskunfts- und Kopieansprüchen, welche Arbeitgeber in jüngster Zeit immer wieder vor Herausforderungen stellen, liegt bislang nicht vor. Hier bleibt die Rechtsentwicklung abzuwarten.
Zudem dürften weitere Themen, die in der DSGVO nur ansatzweise behandelt werden, künftig auch beim Beschäftigtendatenschutz eine größere Rolle spielen. Hierzu zählen vor allem Big Data-Anwendungen, die durch automatisierte Auswertung sehr große Mengen personenbezogener und nicht-personenbezogener beispielsweise bislang nicht bekannter Zusammenhänge und künftige generelle Entwicklungen, aber auch Verhaltensweisen Einzelner, vorhersehen sollen. Die DSGVO berücksichtigt dies zwar in der in Art. 4 Nr. 4 DSGVO enthaltenen Definition des "Profiling", welches darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Allerdings enthält die DSGVO keine ausdrückliche Erlaubnisnorm für Profiling. Gleichwohl ist Profiling in verschiedenen Regelungen der DSGVO – namentlich auch bei den Informationspflichten in Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO – erwähnt. Dies verdeutlicht, dass die DSGVO die Anwendung solcher Verfahren als rechtmäßig möglich erachtet. Erwägungsgrund 71 DSGVO fordert diesbezüglich aber "angemessene Garantien".