Prof. Dr. Martin Henssler, Christiane Pickenhahn
A. Allgemeines
Rz. 1
Neue digitale Technologien und der Einsatz von Künstlicher Intelligenz ermöglichen immer neue Überwachungsmaßnahmen bzw. Leistungskontrollsysteme durch sog. Big Data-Analysen. Die nahezu unbegrenzten technischen Möglichkeiten kollidieren dabei mit dem Schutz des Persönlichkeitsrechts, der seinen Ausdruck im Beschäftigtendatenschutz findet. Die Rechtsprechung hat sich in den letzten Jahren gehäuft mit der Zulässigkeit von Überwachungsmaßnahmen beschäftigt. Hinzu kommen seit 2018 Neuerungen durch die seit dem 25.5.2018 geltende Datenschutz-Grundverordnung (DSGVO, VO (EU) 2016/679 vom 27.4.2016) sowie dem § 26 BDSG, der den zuvor für den Beschäftigtendatenschutz maßgeblichen § 32 BDSG ersetzt hat (zur Frage der (digitalen) Informationsquellen des Arbeitgebers im Bewerbungsprozess siehe § 5 und § 9). Auch drei Jahre nach Inkrafttreten der DSGVO bestehen weiterhin Unsicherheiten hinsichtlich der Reichweite der wenig konkreten Regelungen für den Beschäftigtendatenschutz. Eine nationale Konkretisierung über § 26 BDSG hinaus wurde im Koalitionsvertrag der Ampel Koalition angekündigt.
B. BDSG und EU-DSGVO
Rz. 2
Bei der Erfassung von Mitarbeiterdaten geht es im Kern immer um die Abwägung zwischen dem Informationsinteresse des Arbeitgebers und dem Persönlichkeitsschutz der betroffenen Arbeitnehmer. Das sich aus dem Allgemeinen Persönlichkeitsrecht ergebene Recht auf informationelle Selbstbestimmung wird im Grundsatz nicht verletzt, wenn eine Maßnahme datenschutzrechtlich zulässig ist, denn die Bestimmungen des BDSG und der DSGVO konkretisieren das Recht auf informationelle Selbstbestimmung.
Als Faustregel gilt: Je stärker der Eingriff in das Persönlichkeitsrecht des Beschäftigten ist (Eingriffsintensität), desto größer muss das Interesse des Arbeitgebers an der Durchführung der Maßnahme sein. Nur ein "berechtigtes, billigenswertes und schutzwürdiges Interesse" des Arbeitgebers bzw. die Bejahung der Erforderlichkeit der Datenverarbeitung gem. § 26 BDSG und der DSGVO können einen Eingriff in das Persönlichkeitsrecht des Arbeitnehmers rechtfertigen. Für die Bestimmung der Eingriffsintensität spielt die Transparenz eine entscheidende Rolle.
I. Beschäftigtendatenschutz und DSGVO
Rz. 3
Die DSGVO hat zum 25.5.2018 die bisherige Datenschutzrichtlinie RL 95/46/EG abgelöst. Zeitgleich traten die Neuregelungen des § 26 BDSG in Kraft (BGBl 2017 I, 2097).
Rz. 4
Anders als die Datenschutzrichtlinie entfaltet die DSGVO in den Mitgliedstaaten eine unmittelbare vertikale Wirkung. Grundsätzlich besteht damit ein Anwendungsvorrang der DSGVO gegenüber nationalem Recht. Unberührt bleiben gem. Art. 95 DSGVO nur Regelungen des Telekommunikations- und des Telemediengesetzes, die auf der RL 2002/58/EG beruhen. Sachlich anwendbar ist die DSGVO nach ihrem Art. 2 auf alle voll- oder zumindest teilautomatisierten Datenerhebungen, wobei die Speicherung von zuvor analog erhobenen Daten in ein strukturiertes Datensystem (auch strukturierte analoge Akten) genügt. Eine analoge Datenerhebung ohne strukturierte Aktenaufnahme (z.B. Spint- oder Torkontrolle) fällt zwar unter § 26 BDSG, nicht aber unter den Anwendungsbereich der DSGVO.
Rz. 5
Art. 88 Abs. 1 DSGVO enthält eine Öffnungsklausel zum Erlass "spezifischerer Vorschriften" des Beschäftigtendatenschutzes durch die Mitgliedstaaten. Eine solche Regelung durch die Mitgliedstaaten kann zum einen in nationalen Rechtsvorschriften erfolgen (so durch § 26 BDSG). Ferner kommt eine Regelung des Beschäftigtendatenschutzes durch Kollektivvereinbarungen in Betracht. Zu betonen ist, dass Kollektivvereinbarungen ebenso wie nationale Vorschriften den in Artikel 88 Abs. 2 DSGVO enthaltenen Prinzipien sowie weiteren Grundprinzipien der DSGVO, vor allem denjenigen gem. Art. 5 DSGVO (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit), genügen müssen. Insofern ist die oft geäußerte Aussage, die DSGVO regele den Beschäftigtendatenschutz nicht, missverständlich. Die DSGVO regelt zentrale Begriffe und Grundsätze, welche auch im Anwendungsbereich von § 26 BDSG umfassend gelten.
Auch drei Jahre nach Inkrafttreten der Regelungen der DSGVO bleibt ungeklärt, was unter "spezifischere Vorschriften" genau zu verstehen ist, d.h. ob Art. 88 Abs. 1 DSGVO nur eine Abweichung zu Lasten der Beschäftigtenseite (dafür Körner, NZA 2021, 1137; NZA 2016, 1383; Weichert, NZA 2020, 159; Holthausen, RdA 2021,19, 27; ErfK/Franzen, § 26 BDSG Rn 2, wonach eine weitgehend autonome Regelung möglich sei; so auch LAG Sachsen-Anhalt v. 18.12.2018 – 4 TaBV 19/17, NZA-RR 2019, 256) oder im Sinne einer Vollharmonisierung auch eine Verschärfung des Datenschutzes durch nationale Regelung verbietet (LAG Berlin-Brandenburg v. 4.6.2020 – 10 Sa 2130/19, NZA-RR 2020, 457; Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern; so auch Franzen EuZA 2017, 313, 345; Maschmann, DB 2016, 2480, 2482 ff.). Da der EU keine Kompetenz zum Erlass von Verordnungen im Bereich des Arbeitsrechts zusteht, spricht viel dafür, die allgemeinen ...