Beschäftigtendatenschutz - Arbeitnehmerdatenschutz

Hintergrund

Dem Beschäftigtendatenschutz ist in den letzten Jahren wachsende Aufmerksamkeit gewidmet worden. Dennoch wurde noch keine Einigung bezüglich einer expliziten Regelung gefunden. Seit 1978 greift man auf die allgemeinen Regelungen des Bundesdatenschutzgesetzes zurück, um Datenschutzprobleme im Beschäftigtenverhältnis zu lösen. Erst 2009 hat die Regierung angefangen sich intensiver mit dem Thema zu beschäftigen. Ein Auslöser für die Auseinandersetzung mit einer gesetzlichen Regelung des Beschäftigtendatenschutzes waren 2008/2009 die skandalösen Missbrauchsfälle in großen deutschen Unternehmen. Als Sofortmaßnahme entstand unter großem Druck kurz vor Ende der Legislaturperiode der § 32 BDSG, der die Datenerhebung, -verarbeitung und -nutzung für die Zwecke des Beschäftigungsverhältnisses regelt.

Unter Arbeitnehmerdatenschutz bzw. Beschäftigtendatenschutz wird grundsätzlich der Schutz des allgemeinen Persönlichkeitsrechts des Art. 2 Abs. 1 S. 1 GG verstanden, das insbesondere das Recht auf informationelle Selbstbestimmung beinhaltet. Dabei sollen vor allem die Besonderheiten des Arbeitsverhältnisses, wie etwa das ungleiche Kräfteverhältnis zwischen Arbeitgeber und Arbeitnehmer, im Hinblick auf den Datenschutz berücksichtigt werden. Eingriffe in dieses Grundrecht können nur auf Grundlage eines Gesetzes erfolgen.

Die Reichweite der Eingriffsrechte des Arbeitgebers im Arbeitsverhältnis bezüglich personenbezogener Daten sind seit 2009 in § 32 BDSG geregelt. Dieser enthält allgemeine Regelungen bezüglich der Verarbeitung von personenbezogenen Daten von Beschäftigten. Für die Zwecke des Beschäftigtenverhältnisses dürfen Beschäftigtendaten demnach nur erhoben werden, wenn sie für die Entscheidung für die Begründung eines Arbeitsverhältnisses, sprich der Einstellung, oder für die Durchführung und Beendigung des Arbeitsverhältnisses erforderlich sind. Ermittelnde Tätigkeiten darf der Arbeitgeber gemäß § 32 Abs. 1 S. 2 BDSG nur aufnehmen, wenn der stichhaltige Verdacht auf eine Straftat im Beschäftigungsverhältnis besteht. Laut Gesetzesbegründung stellt der § 32 BDSG jedoch nicht die schon seit langem geforderte, umfangreiche Regelung zum Beschäftigtendatenschutz dar, sondern ist nur das grobe Grundgerüst eines Arbeitnehmerdatenschutzes, zu dem noch Erweiterungen folgen sollen.

Weitere bereichsspezifische Gesetze enthalten ebenfalls Regelungen zur informationellen Selbstbestimmung, wie etwa das Telemediengesetz (TMG)  oder das Betriebsverfassungsgesetz (BetrVG). Auch Tarifverträge und Betriebsvereinbarungen können Regelungen zum Beschäftigtendatenschutz enthalten, sind in ihrem inhaltlichen Umfang jedoch begrenzt. Inhaltliche Grenzen stellen dabei unter anderem der Schutz des Persönlichkeitsrechts der Arbeitnehmer dar, § 75 Abs. 2 S. 1 BetrVG, oder bereits durch Tarifvertrag geregelte Arbeitsbedingungen, § 77 Abs. 3 BetrVG.
Da die aktuelle Regelung lückenhaft ist und Regelungen durch Tarifverträge beziehungsweise Betriebsvereinbarungen nur begrenzt eine Abhilfemöglichkeit darstellen, sind vor allem die richterlichen Entscheidungen derzeit wegweisend. Zu nennen sind dabei vor allem die Grundsatzentscheidungen des Bundesverfassungsgerichts zum rechtswidrigen Mithören nicht-öffentlicher Kommunikation (BVerfG, 1 BvR 1611/96 vom 9.10.2002) und des Bundesarbeitsgerichts zur Videoüberwachung im Betrieb (BAG, 1 ABR 16/07 vom 26. August 2008) und zum Mithören von dienstlichen Telefonaten (BAG, 6 AZR 189/08 vom 23. April 2009).

Grundsätzlich verfügt Deutschland bereits über ein vergleichsweise hohes Datenschutzniveau. Die zugrundeliegenden Regelungen sind jedoch verstreut und teilweise schwer durchschaubar. Darum bedarf es zukünftig einer klaren gesetzlichen Regelung der bereits praktizierten Grundsätze der Rechtsprechung. Diese Forderung wurde in letzter Zeit immer lauter. Als Folge ist derzeit ein Gesetzesentwurf für einen Beschäftigtendatenschutz in Arbeit.
Bereits am 4.10.2009 legte der damalige Arbeitsminister einen Entwurf für ein Gesetz zum Datenschutz im Beschäftigtenverhältnis (BDatG) vor. Dieser kam jedoch nie zur Entscheidung und wurde bis heute nicht bewilligt. Die derzeitige Regierung möchte an diesem Entwurf nicht festhalten und sieht vielmehr eine Erweiterung des Bundesdatenschutzgesetzes um einen Bereich mit Arbeitnehmerdatenschutz vor. Ein eigenes Gesetz ist nicht geplant. Im Dezember 2010 brachte die Regierung dann einen neuen Gesetzesentwurf zum Beschäftigtendatenschutz auf den Weg, der die Regelungen in das BDSG einbettet, indem er den § 32 BDSG erweitert, § 32 a-l BDSG-E. Zusätzlich sollen Definitionen für die Begriffe „Arbeitgeber“ und „Beschäftigtendaten“ in § 3 BDSG-E mit aufgenommen werden.

Ziel ist es die verstreute und teilweise uneinheitliche Rechtsprechung der Arbeitsgerichte zu vereinheitlichen und aufbauend auf den bereits ergangenen Urteilen und der üblichen Praxis Rechtssicherheit zu schaffen. Zudem soll eine Grundlage geschaffen werden, die den Arbeitnehmern einerseits hinreichenden Schutz vor unrechtmäßiger Erhebung und Verwendung ihrer Daten gewährleisten kann und andererseits die Informationsinteressen des Arbeitgebers bezüglich seiner zunehmenden Compliance-Pflichten befriedigt. Dadurch soll ein vertrauliches Arbeitsklima am Arbeitsplatz unterstützt werden. So lautet auch die Begründung zum Gesetzesentwurf.

Gemessen an dieser Messlatte – Rechtssicherheit und Praxistauglichkeit – kann der derzeitige Entwurf jedoch nicht recht überzeugen. Auch vom Deutschen Richterbund und vom Bund der Richterinnen und Richter in der Arbeitsgerichtsbarkeit wurde er abgelehnt. Die Begründung dafür war, dass die komplexe Materie des Beschäftigtendatenschutzes nicht in das BDSG passe und eigenständig geregelt werden müsse. Begrüßt wurde jedoch die vorgeschlagene Ermöglichung von Compliance-Maßnahmen für den Arbeitgeber und das Verbot der verdeckten Videoüberwachung. Vollständige Einigkeit darüber, was und wie die Regelungen nun jedoch ausgestaltet werden sollen herrscht bis heute nicht. Die Meinungen dazu schwanken zwischen Zustimmung zum derzeitigen Entwurf, dem Vorschlag ein eigenes Gesetz zu verfassen und einer vollkommenen Ablehnung der Beschäftigung mit dem Thema.

Der Gesetzesentwurf sieht für die Erweiterung des § 32 BDSG durch 14 zusätzliche Ziffern, die in zwei Abschnitte unterteilt werden sollen, die folgende Struktur vor:

Erster Teil - Bewerbungsphase:

Diese Regelungen greifen größtenteils die Grundsätze der Rechtsprechung auf, insbesondere bezüglich des Fragerechts des Arbeitgebers und zu ärztlichen Untersuchungen. Dennoch wird an der Ausarbeitung Kritik geübt. Vor allem die geplante Regelung des § 32 b BDSG, die zukünftig eine förmliche Einwilligung nach § 4 a BDSG fordert erscheint praktisch nicht sinnvoll.

Im Beschäftigungsverhältnis:

Auch an den Regelungen des zweiten Teils wird Kritik laut. Als allgemeine handwerkliche Schwäche wird angeführt, dass die Vervielfachung beziehungsweise Aufspaltung der Norm zu vielen überflüssigen Ausführungen führe. Die einzelnen Unterziffern überschneiden sich kaum im Regelungsinhalt und sind teilweise fast wortgleich. Eine genaue Differenzierung des angestrebten Inhaltes fällt dabei schwer. Des Weiteren seien einige Regelungen grundsätzlich unverständlich oder einfach nicht praktikabel. Ebenfalls kritisiert wird die Schaffung allgemein unzulässiger Mittel, unabhängig von ihrer Erforderlichkeit und Verhältnismäßigkeit. Letztendlich führe das zu stärkeren Eingriffen in das Recht auf informationelle Selbstbestimmung, da eventuell weitergehende Eingriffe anstelle des unzulässigen Mittels eingesetzt werden. Weiter wird das Wegfallen der Einwilligung als eigenständiges Rechtfertigungsargument in einem unausgeglichenen Verhältnis (Arbeitnehmer – Arbeitgeber) als Kritikpunkt genannt. Sowohl politisch als auch rechtlich sei dies nicht sinnvoll.

Für den Arbeitgeber entstehen neue (Informations-) Pflichten, die den Beschäftigten zusätzlichen Schutz und Rechtssicherheit bieten sollen. In der Gesetzesbegründung werden die Informationspflichten wie folgt benannt:

Derzeit wurde der Entwurf jedoch wieder auf Eis gelegt und eine Verabschiedung scheint nicht in Aussicht. Zum einen ist wohl die eben genannte Kritik ein Grund dafür. Zum anderen aber auch die noch ausstehenden Regelungen auf EU-Ebene.

Die geplanten Regelungen zum Beschäftigtendatenschutz sind auch deshalb so umstritten, weil sie gegen die geplante Vollharmonisierung der europäischen Regelungen laufen. Viele Kritiker raten, den Abschluss der europäischen Verordnungen zum Datenschutz abzuwarten, die derzeit noch in den Verhandlungen stecken.
Auf europäischer Ebene existiert seit 1995 eine Datenschutzrichtlinie. Diese gibt einen Mindeststandard für datenschutzrechtliche Regelungen der Mitgliedstaaten vor. Dennoch ist noch nicht ganz klar, inwieweit den Mitgliedstaaten bei der Reglung Freiheit für strengere Regelungen gelassen wird oder eher eine Vollharmonisierung angestrebt wird. Der EuGH hat sich für eine Vollharmonisierung ausgesprochen. Auch der Art. 5 der Europäischen Datenschutzrichtlinie wird teilweise so interpretiert, dass er einen Umsetzungsspielraum zwischen einem Mindest- und einem Höchststandart lässt. Eine zu strenge Regelung, über dem Höchstmaß, wäre demnach unwirksam. Im Sinne einer Vollharmonisierung, soll nun aber sogar anstelle der Richtlinie eine Verordnung treten, die gemäß Art. 288 II AEUV in allen ihren Teilen verbindlich ist. Folge wäre eine einheitliche Regelung des Beschäftigtendatenschutzes in der EU gegenüber Drittstaaten. Der VO-E enthält jedoch in Art. 82 I VO-E eine Öffnungsklausel zugunsten mitgliedstaatlicher Sonderregeln. Inwieweit diese zu begrüßen ist, und ob das sogenannte „level playing field“ (Schaffung einer einheitlichen Ebene innerhalb der EU) dadurch in der EU entstehen kann, ist bisher umstritten.
Der derzeitige deutsche Gesetzesentwurf zum Beschäftigtendatenschutz scheint auf den ersten Blick den Anforderungen der geplanten EU-Verordnung zu entsprechen, schießt aber tatsächlich in manchen Punkten über das angestrebte Ziel der EU hinaus. Nach derzeitigem Stand wäre die Neuregelung durch den Gesetzesentwurf teilweise unwirksam und würde die Richter dazu zwingen mühselig die wirksamen von den unwirksamen Regelungen bei der Anwendung zu trennen. Insbesondere abschließende Rechtmäßigkeitsvoraussetzungen und der allgemeine Ausschluss der Rechtmäßigkeit durch Einwilligung entsprechen nicht den Anforderungen des Art. 7 VO-E. Dieser sieht die Einwilligung als Rechtfertigungsinstrument weiterhin vor, entsprechend dem Art. 8 II 1 Grundrechtscharta.

Beschäftigtendatenschutz wird bis auf weiteres anhand der zu § 32 BDSG ergehenden Rechtsprechung vorzunehmen sein. Maßnahmen, die in das Recht auf informationelle Selbstestimmung der Arbeitnehmer eingreifen, müssen bis zur gesetzlichen Regelung der spezifischen Sachverhalte auf ihre Angemessenheit und Erforderlichkeit hin einer Abwägung unterzogen werden. Dies macht die Rechtsanwendung gerade für Arbeitgeber enorm schwer und in vielen Fällen auch schwer einschätzbar.