Prof. Dr. Martin Henssler, Christiane Pickenhahn
Rz. 2
Bei der Erfassung von Mitarbeiterdaten geht es im Kern immer um die Abwägung zwischen dem Informationsinteresse des Arbeitgebers und dem Persönlichkeitsschutz der betroffenen Arbeitnehmer. Das sich aus dem Allgemeinen Persönlichkeitsrecht ergebene Recht auf informationelle Selbstbestimmung wird im Grundsatz nicht verletzt, wenn eine Maßnahme datenschutzrechtlich zulässig ist, denn die Bestimmungen des BDSG und der DSGVO konkretisieren das Recht auf informationelle Selbstbestimmung.
Als Faustregel gilt: Je stärker der Eingriff in das Persönlichkeitsrecht des Beschäftigten ist (Eingriffsintensität), desto größer muss das Interesse des Arbeitgebers an der Durchführung der Maßnahme sein. Nur ein "berechtigtes, billigenswertes und schutzwürdiges Interesse" des Arbeitgebers bzw. die Bejahung der Erforderlichkeit der Datenverarbeitung gem. § 26 BDSG und der DSGVO können einen Eingriff in das Persönlichkeitsrecht des Arbeitnehmers rechtfertigen. Für die Bestimmung der Eingriffsintensität spielt die Transparenz eine entscheidende Rolle.
I. Beschäftigtendatenschutz und DSGVO
Rz. 3
Die DSGVO hat zum 25.5.2018 die bisherige Datenschutzrichtlinie RL 95/46/EG abgelöst. Zeitgleich traten die Neuregelungen des § 26 BDSG in Kraft (BGBl 2017 I, 2097).
Rz. 4
Anders als die Datenschutzrichtlinie entfaltet die DSGVO in den Mitgliedstaaten eine unmittelbare vertikale Wirkung. Grundsätzlich besteht damit ein Anwendungsvorrang der DSGVO gegenüber nationalem Recht. Unberührt bleiben gem. Art. 95 DSGVO nur Regelungen des Telekommunikations- und des Telemediengesetzes, die auf der RL 2002/58/EG beruhen. Sachlich anwendbar ist die DSGVO nach ihrem Art. 2 auf alle voll- oder zumindest teilautomatisierten Datenerhebungen, wobei die Speicherung von zuvor analog erhobenen Daten in ein strukturiertes Datensystem (auch strukturierte analoge Akten) genügt. Eine analoge Datenerhebung ohne strukturierte Aktenaufnahme (z.B. Spint- oder Torkontrolle) fällt zwar unter § 26 BDSG, nicht aber unter den Anwendungsbereich der DSGVO.
Rz. 5
Art. 88 Abs. 1 DSGVO enthält eine Öffnungsklausel zum Erlass "spezifischerer Vorschriften" des Beschäftigtendatenschutzes durch die Mitgliedstaaten. Eine solche Regelung durch die Mitgliedstaaten kann zum einen in nationalen Rechtsvorschriften erfolgen (so durch § 26 BDSG). Ferner kommt eine Regelung des Beschäftigtendatenschutzes durch Kollektivvereinbarungen in Betracht. Zu betonen ist, dass Kollektivvereinbarungen ebenso wie nationale Vorschriften den in Artikel 88 Abs. 2 DSGVO enthaltenen Prinzipien sowie weiteren Grundprinzipien der DSGVO, vor allem denjenigen gem. Art. 5 DSGVO (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit), genügen müssen. Insofern ist die oft geäußerte Aussage, die DSGVO regele den Beschäftigtendatenschutz nicht, missverständlich. Die DSGVO regelt zentrale Begriffe und Grundsätze, welche auch im Anwendungsbereich von § 26 BDSG umfassend gelten.
Auch drei Jahre nach Inkrafttreten der Regelungen der DSGVO bleibt ungeklärt, was unter "spezifischere Vorschriften" genau zu verstehen ist, d.h. ob Art. 88 Abs. 1 DSGVO nur eine Abweichung zu Lasten der Beschäftigtenseite (dafür Körner, NZA 2021, 1137; NZA 2016, 1383; Weichert, NZA 2020, 159; Holthausen, RdA 2021,19, 27; ErfK/Franzen, § 26 BDSG Rn 2, wonach eine weitgehend autonome Regelung möglich sei; so auch LAG Sachsen-Anhalt v. 18.12.2018 – 4 TaBV 19/17, NZA-RR 2019, 256) oder im Sinne einer Vollharmonisierung auch eine Verschärfung des Datenschutzes durch nationale Regelung verbietet (LAG Berlin-Brandenburg v. 4.6.2020 – 10 Sa 2130/19, NZA-RR 2020, 457; Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern; so auch Franzen EuZA 2017, 313, 345; Maschmann, DB 2016, 2480, 2482 ff.). Da der EU keine Kompetenz zum Erlass von Verordnungen im Bereich des Arbeitsrechts zusteht, spricht viel dafür, die allgemeinen Datenschutzregelungen der DSGVO als Mindestanforderungen und nicht als Verschärfungsverbot für den nationalen Beschäftigtendatenschutz zu verstehen.
Die Frage, ob es sich bei dem Erforderlichkeitsmaßstab des § 26 BDSG (bzw. der inhaltsgleichen Regelung des hessischen Datenschutz- und Informationsfreiheitsgesetz [§ 23 HDSIG]) überhaupt um eine zulässige nationale Spezifizierung des Art. 88 Abs. 1 DSGVO handelt (dafür VG Ansbach v. 16.3.2020 – AN 14 K 19.00464 sowie wohl BAG v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218), hat das VG Wiesbaden dem EuGH vorgelegt (Vorlage zum EUGH vom VG Wiesbaden v. 21.12.2020 – 23 K 1360/20.WI.PV, BeckRS 2020, 40028). Verwiesen wurde darauf, dass die in Art. 88 Abs. 2 DSGVO gestellten Anforderungen weder in der Norm selbst noch durch ergänzende Normvorgaben an anderer Stelle des Gesetzes erfüllt werden.
Rz. 6
Ein grundsätzlicher Ausschluss der Einwilligung in eine Datenerhebung im Beschäftigtenkontext sowie ein generelles Verbot des Profiling, wie sie die EU-Kommission noch vorgeschlagen hatte (KOM(2012)11, 25.1.2012), wurden in die DSGVO nicht aufgenommen....