Der Beschäftigtendatenschutz richtet sich zunächst nach den Regelungen der DSGVO, die für jedes Rechtsverhältnis gelten. Nach Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. Weitere Erläuterungen zur Einführung eines Beschäftigtendatenschutzes durch die Mitgliedstaaten enthält Erwägungsgrund 155 der DSGVO. Der deutsche Gesetzgeber hat von dieser Öffnungsklausel mit § 26 BDSG n.F. Gebrauch gemacht.
Hinweis:
Für Bedienstete und Beschäftigte bei Behörden und öffentlichen Stellen des Bundes und der Länder – einschließlich der Kommunen – gelten besondere bundes- und landesspezifische Regelungen (z.B. beamtenrechtliche Vorschriften). Die Regelungen des § 26 BDSG n.F. finden insoweit keine Anwendung (vgl. DSK, Kurzpapier Nr. 14 zum Beschäftigtendatenschutz).
§ 26 BDSG n.F., der zum 25.5.2018 gleichzeitig mit dem Gültigwerden der DSGVO in Kraft tritt, greift erkennbar auf die bisherige Regelung des § 32 BDSG a.F. zurück. Die Neuregelung ist jedoch deutlich umfangreicher und regelt mehr Aspekte des Beschäftigtendatenschutzes als das bislang in Deutschland geltende Recht. Wie § 32 Abs. 1 BDSG a.F. regelt § 26 Abs. 1 BDSG n.F., zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen. Nach der Gesetzesbegründung sind bei der Erforderlichkeitsprüfung entsprechend den bisherigen Anforderungen der Rechtsprechung zu § 32 BDSG die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz gegeneinander abzuwägen.
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG n.F.). Diese Regelung entspricht weitestgehend § 32 Abs. 1 S. 1 BDSG a.F. Die Voraussetzungen für die Verarbeitung von personenbezogenen Daten zur Aufdeckung von Straftaten von Beschäftigten finden sich nunmehr in § 26 Abs. 1 S. 2 BDSG n.F. Sie decken sich mit denen des § 32 Abs. 1 S. 2 BDSG a.F. Angesichts des Wortlauts von § 26 BDSG n.F. bleibt die Frage, ob Daten auch zur Aufklärung konkreter Verdachtsmomente in Bezug auf schwerwiegende Pflichtverletzungen erhoben werden dürfen, wenn diese nicht die Grenze zur Straftat überschreiten (sog. Sperrwirkung des Datenschutzrechts). Diese Rechtsfrage hat grundlegende Bedeutung für Compliance-Kontrollen und Internal-Investigations. Der Zweite Senat des BAG hat insoweit mit seiner Entscheidung vom 29.6.2017 (2 AZR 597/16, ZAP EN-Nr. 682/2017) für Rechtssicherheit gesorgt, indem er die von der Vorinstanz (LAG Baden-Württemberg, Urt. v. 20.7.2015 – 4 Sa 61/15) angenommene Sperrwirkung verneint. Er führt hierzu u.a. aus (Anm.: Zitate teilweise eingekürzt):
Zitat
Nach § 32 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses u.a. dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung im Sinne der Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann. Der Wortlaut des § 32 Abs. 1 S. 1 BDSG enthält keine Einschränkung, es müsse der Verdacht einer im Beschäftigungsverhältnis verübten Straftat bestehen. Sofern nach § 32 Abs. 1 S. 1 oder S. 2 BDSG zulässig erhobene Daten den Verdacht einer Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 S. 1 BDSG auch verarbeitet und genutzt werden (vgl. BAG, Urt. v. 20.10.2016 – 2 AZR 395/15, Rn 40; BAG, Urt. v. 22.9.2016 – 2 AZR 848/15, Rn 37 f.). Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses (BT-Drucks 16/13657, S. 21). Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er zur Erfüllung der ihm obliegenden Darlegungs- und Beweislast in einem potentiellen Kündigungsschutzprozess benötigt.
Eine "Sperrwirkung" des § 32 Abs. 1 S. 2 BDSG gegenüber der Erla...