AOK Logo
AOK
Wählen Sie Ihre AOK
Baden-Württemberg Bayern Bremen-Bremerhaven Hssen Niedersachsen Mecklenburg-Vorpommern Berlin Brandenburg Schleswig-Holstein Westfalen-Lippe Thüringen Sachsen Rheinland-Pfalz Saarland HamburgRheinland Sachsen-Anhalt
Willkommen bei Ihrer AOK für Unternehmen
Schrift anpassen: A-AA+

Pfadnavigation

Hauptinhalt

Datenschutz - Datenverarbeitung

 Information 

1. Allgemeines

Der erste zentrale Begriff des aktuellen Datenschutzrechts ist "personenbezogene Daten". Die zweite wichtige Begriffsbestimmung ist "Verarbeitung". Das Verarbeiten personenbezogener Daten kann auf vielfältige Weise geschehen. Es beginnt mit der bloßen Erhebung und endet mit ihrem Löschen oder ihrer Vernichtung. Dabei bringt der gesamte Prozess der Datenverarbeitung für Arbeitgeber und Personaler die Gefahr mit sich, gegen das Bundesdatenschutzgesetz - BDSG - oder die Datenschutz-Grundverordnung der europäischen Union - EU-DSGVO - zu verstoßen (s. dazu Gliederungspunkt 2). Ein interessantes Betätigungsfeld in puncto Datenverarbeitung wurde für Sozial- wie Betriebspartner mit § 26 Abs. 1 und Abs. 4 Satz 1 BDSG für Kollektivvereinbarungen geschaffen (s. dazu Gliederungspunkt 3).

Praxistipp:

Neben den BDSG-Straf- und Bußgeldbestimmungen sollte immer auch § 83 BDSG im Auge behalten werden. Sein Absatz 1 Satz 1 sieht vor: "Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet."

Der Prozess "Verarbeitung" beginnt im Betrieb in der Regel schon mit der Erhebung personenbezogener Daten (s. dazu Gliederungspunkt 4). Der Arbeitgeber oder Personaler fragt Informationen ab, die er anschließend im Kopf bewahrt oder irgendwo anders erfasst. Die Daten werden gespeichert - und da ist es dem BDSG egal, ob die Verarbeitung "mit oder ohne Hilfe automatisierter Verfahren" erfolgt. Selbst die gute alte Personalakte in Papierform kann unter Umständen ein BDSG-Datenspeicher sein - ein analoger. Ganz am Schluss steht die Löschung und/oder Vernichtung personenbezogener Daten. Dazwischen werden sie angepasst, ergänzt, geändert, geordnet, offengelegt und übermittelt. Alles Fälle der "Verarbeitung" i.S.d. BDSG. In Zweifelsfällen und bei Unklarheiten hilft ein Blick in die Rechtsprechung (s. Gliederungspunkt 5).

2. Die Daten-"Verarbeitung" i.S.d. BDSG

Das BDSG richtet sich in erster Linie an öffentliche Stellen, § 1 Abs. 1 Satz 1 BDSG. Für nichtöffentliche Stellen - z.B. den Arbeitgeber - gilt das BDSG

"für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sein denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" (§ 1 Abs. 1 Satz 2 BDSG).

Und § 1 Abs. 4 Satz 1 und 2 ergänzt: "Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern 1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet, 2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt (...)."

Die EU-DSGVO lässt in Art. 88 die Verarbeitung personenbezogener Daten im Beschäftigungskontext zu und gibt den Mitgliedsstaaten dazu die Möglichkeit, spezifischere Regelungen vorzusehen. Eine dieser Regelungen ist § 26 BDSG: "Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses".

Die Möglichkeiten, personenbezogene Daten Beschäftigter zu verarbeiten, sind genauso vielfältig wie die zu verarbeitenden Daten selbst. Oft machen sich Arbeitgeber und Personaler gar keine Gedanken darüber, was sie mit Daten ihrer Mitarbeiter alles anstellen bzw. anstellen können. Das BDSG definiert "Verarbeitung" in § 46 Nr. 2 so: Verarbeitung ist

  • jeder mit oder ohne Hilfe automatischer Verfahren

  • ausgeführte Vorgang oder jede solche Vorgangsreihe

  • im Zusammenhang mit personenbezogenen Daten wie

    • das Erheben, das Erfassen,

    • die Organisation, das Ordnen, die Speicherung,

    • die Anpassung, die Veränderung,

    • das Auslesen, das Abfragen, die Verwendung,

    • die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,

    • den Abgleich, die Verknüpfung, die Einschränkung, das Löschen und die Vernichtung.

§ 46 Nr. 2 BDSG hat seine umfassende Definition aus Art. 4 Nr. 2 EU-DSGVO übernommen.

Wenn man sich nun mal überlegt, was alles "Verarbeiten" ist, scheinen lediglich Gehirn und Erinnerungsvermögen von Arbeitgebern, Personalern und Entscheidern eine BDSG-freie Zone zu sein. Ansonsten ist "Verarbeiten" eigentlich alles, was mit personenbezogenen Daten Beschäftigter im Arbeitgeberbetrieb passieren kann.

3. Die Daten-"Verarbeitung" im Kollektivrecht

§ 26 Abs. 1 BDSG lässt die Verarbeitung personenbezogener Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses auch zu, wenn sie "zur Ausübung oder Erfüllung der sich aus ... einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist." Und § 26 Abs. 4 Satz 1 BDSG schließt an:

"Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig."

In den Erwägungsgründen zur EU-DSGVO (EWG Nr. 155) heißt es dazu: In Kollektivvereinbarungen können

  • spezifische Vorschriften

  • für die Verarbeitung personenbezogener Beschäftigtendaten

  • im Beschäftigungskontext

vorgesehen werden, und zwar insbesondere Vorschriften

  • über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen,

  • über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz,

  • über die Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und Zwecke der Beendigung des Beschäftigungsverhältnisses.

Das Datenschutz-Anpassungs- und Umsetzungsgesetz EU - DSAnpUG-EU - vom 30.06.2017 (BGBl. I 2017, S. 2097 ff.) enthält keine Änderungen des Tarifvertragsgesetzes (TVG) und des Betriebsverfassungsgesetzes (BetrVG). Die Sozial- und Betriebspartner müssen daher bei Ausgestaltung der EU-DSGVO-Spielräume mit den bewährten TVG- und BetrVG-Regeln arbeiten.

Praxistipp:

Die EU-DSGVO und das novellierte BDSG haben die Stellung der Tarifvertrags- und Betriebsparteien deutlich gestärkt. Wie die Möglichkeiten in der Praxis aufgenommen und umgesetzt werden, bleibt abzuwarten. Während die Arbeitnehmervertreter voraussichtlich bemüht sein werden, die betrieblichen Grenzen des Datenschutzes eng abzustecken, wird arbeitgeberseitig sicherlich eine Lockerung der Grenzen angestrebt. Ohne Not sollten sie sich nicht über das BDSG-Niveau drücken lassen.

Das BetrVG enthält keine ausdrücklichen Regelungen zur Umsetzung des gesetzlichen Datenschutzes im Betrieb. Die Verarbeitung personenbezogener Beschäftigtendaten kann zwingende Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG auslösen, z.B. bei Leistungs- und Verhaltensüberwachung i.S.d. § 87 Abs. 1 Nr. 6 BetrVG. Ansonsten dürfen die Betriebspartner im Rahmen des § 88 BetrVG kreative freiwillige Betriebsvereinbarungen schließen.

4. Die Daten-"Verarbeitung" im Betrieb

§ 46 Nr. 2 BDSG stellt klar, dass die Verarbeitung personenbezogene Daten nicht nur bei digitaler, sondern auch bei analoger Erhebung durch das BDSG geschützt ist. Die praktische Form der Verarbeitung ist nicht entscheidend.

Beispiel:

Arbeitgeber A hat ein top-aktuelles EDV-Programm, mit dem er die Beschäftigtendaten elektronisch erfasst. Arbeitgeber B führt strukturierte Personalakten in Papierform und erfasst die Daten seiner Beschäftigten nach bestimmten Kriterien handschriftlich. Sowohl A als auch B verarbeiten personenbezogene Daten i.S.d. BDSG (s. dazu auch das Stichwort Datenschutz - Begriffsbestimmungen, Einleitung zu Gliederungspunkt 2, Ausnahme für "Akten und Aktensammlungen", die nicht nach bestimmten Kriterien geordnet sind).

Die Verarbeitung personenbezogener Daten vom Erstkontakt, dem Bewerbungsgespräch, der Einstellung, der Durchführung des Arbeitsverhältnisses bis hin zu dessen Beendigung ist eine lange Reihe mehr oder weniger zusammenhängender Erhebungsvorgänge. Ob diese Vorgänge nun einzeln oder systematisch erfasst werden, ist für die Anwendung der BDSG-Vorschriften unerheblich.

Beispiel:

Arbeitgeber A erfasst täglich die Überstunden seiner Mitarbeiter (= Vorgang) und führt ein fortlaufendes Verzeichnis, das er am Monatsende auswertet und so die zusätzlich vergütungspflichtige Arbeitszeit ermittelt (= Vorgangsreihe). Arbeitgeber B hat ein elektronisches Arbeitszeitsystem, dass Überstunden automatisch erfasst, mit Minusstunden saldiert und am Monatsende im Arbeitszeitkonto einen positiven oder negativen Saldo ausweist (= Vorgangsreihe).

Um von personenbezogenen Daten Kenntnis zu haben, müssen sie erhoben und erfasst werden. Erheben ist das Beschaffen von Daten. Erfassen ist der Vorgang, mit dem die erhobenen Daten - automatisch oder nicht automatisch - für die weitere Verarbeitung festgehalten werden.

Beispiel:

Fortführung des ersten Beispielfalls: A und B erheben Beschäftigtendaten in einem Bewerbergespräch. Während die Daten bei A gleich in die EDV eingepflegt (= erfasst) werden, schreibt B die Daten auf einen DIN-A4-Block (= erfassen), um sie später in die schriftlich geführte strukturierte Personalakte zu übernehmen.

Damit personenbezogene Daten weiterverarbeitet werden können, müssen sie nach dem Erfassen gespeichert, geordnet und organisiert werden. In Anlehnung an die alte BDSG-Definition könnte man sagen, Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem digitalen oder analogen Datenträger zum Zeck ihrer weiteren Verarbeitung oder Nutzung.

Beispiel:

Fortführung des vorausgehenden Beispielfalls: In A's Betrieb werden die personenbezogenen Beschäftigtendaten auf einem digitalen Datenträger (z.B. interne oder externe Festplatte, Server, USB-Stick, MemoryCard, Cloud, Server) gespeichert. In B's Betrieb werden die Aufzeichnungen in einem analogen Datenträger, der schriftlich geführten und nach bestimmten Kriterien geordneten Personalakte "gespeichert".

Das Sammeln und Aufbewahren personenbezogener Daten geschieht in der Regel nicht ohne Anlass. Arbeitgeber und Personaler brauchen diese Daten, um arbeitsrechtliche Entscheidungen zu treffen und/oder steuer- oder sozialversicherungsrechtliche Pflichten zu erfüllen (z.B. die An- und Abmeldung bei der Krankenkasse, die Abführung der einbehaltenen Lohnsteuer). Ganz selbstverständlich müssen die erhobenen, erfassten und gespeicherten Daten, sollen sie ihren Zweck im Beschäftigungsverhältnis erfüllen, immer auf einem aktuellen Stand sein.

Insoweit fallen auch "die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung und die Einschränkung" - so § 46 Nr. 2 BDSG - in den Bereich der Verarbeitung personenbezogener Daten im Betrieb.

Beispiel:

Arbeitnehmer N ist zum dritten Mal Vater geworden. In Arbeitgeber G's Personaldaten waren bislang nur zwei Kinder erfasst. G muss nun das Datum "Anzahl der Kinder" von 2 auf 3 ändern, die Änderung speichern und auch einen geänderten Kinderfreibetrag erfassen und speichern.

Schließlich heißt Verarbeiten auch "Löschen" oder "Vernichtung" von Daten.

Beispiel:

Das Beschäftigungsverhältnis von Mitarbeiter M endet zum 30.06. infolge Befristungsablaufs. Soweit Arbeitgeber A M's Daten nicht mehr benötigt, darf er sie nun löschen oder vernichten. Soweit M's Daten noch gebraucht werden, z.B. für ein noch zu erteilendes Zeugnis oder für Prüfungen der Sozialversicherer oder der Steuerverwaltung - darf bzw. muss er sie weiter aufbewahren.

Fazit: Alles, was im Betrieb mit personenbezogenen Daten von Beschäftigten gemacht wird, ist "Verarbeitung" i.S.d. BDSG. Lediglich das bloße "Im-Gedächtnis-Behalten" der mit der Verarbeitung befassten Personen wird man nicht als BDSG-Datenverarbeitung werten können (zumal es da mit dem Löschen schwierig wird ...).

5. Rechtsprechungs-ABC

An dieser Stelle werden einige der interessantesten Entscheidungen zum Thema Datenschutz und Verarbeiten von Daten in alphabetischer Reihenfolge nach Stichwörtern geordnet vorgestellt.

5.1 Anonymisierung

Sieht eine Betriebsvereinbarung vor, dass ein elektronisches Programm (hier das so genannte RIBAS-System) eingeführt wird, das Fahrereignisse aufzeichnet und zu dem Fahrer einen anonymisierten Systemschlüssel erhalten, wird das Recht eines Arbeitnehmers auf informationelle Selbstbestimmung durch die in der Betriebsvereinbarung enthaltene Verpflichtung zur Systemteilnahme mithilfe des anonymisierten Schlüssels nicht verletzt. Auch wenn der betroffene Arbeitnehmer zuvor nicht seine Einwilligung (zur Zeit der Entscheidung § 4 Abs. 1 BDSG a.F.) in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten erteilt hat: § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) lässt sie zu und damit ist sie "durch eine Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG" (a.F.) gerechtfertigt (BAG, 17.11.2016 - 2 AZR 730/15 - ohne Entscheidung darüber, ob auch Regelungen einer Betriebsvereinbarung eine die Verarbeitung von Daten erlaubende Vorschrift i.S.d. § 4 Abs. 1 BDSG a.F. sein können).

5.2 Berechtigtes Interesse

Bei Prüfung der Erforderlichkeit der Verarbeitung von Beschäftigtendaten i.S.d. § 32 Abs. 1 Satz 1 BDSG a.F. ist danach zu fragen, ob der Arbeitgeber ein berechtigtes Interesse an der Erhebung, Verarbeitung und Nutzung dieser Daten hat, das seine Grundlage im bestehenden Arbeitsverhältnis haben muss. Das setzt voraus, dass zwischen den Daten und der zu erfüllenden Arbeitspflicht des Beschäftigten sowie seinen sonstigen Obliegenheiten aus dem Arbeitsverhältnis und den vom Arbeitgeber einzuhaltenden Pflichten ein Zusammenhang besteht (s. dazu BAG, 07.09.1995 - 8 AZR 828/93). Die Erhebung, Verarbeitung oder Nutzung personenbezogener Beschäftigungsdaten darf den Arbeitnehmer zudem nicht übermäßig belasten und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen (BAG, 17.11.2016 - 2 AZR 730/15).

5.3 Datei

"Art. 2 Buchst. c der Richtlinie 95/46 ist dahin auszulegen, dass der in dieser Bestimmung genannte Begriff 'Datei' eine Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen" (EuGH, 10.07.2018 - C-25/17 - 2. Leitsatz - Finnland).

5.4 Einsicht in Gehaltslisten

"Bruttoentgeltlisten enthalten personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG [a.F.], die von Arbeitgebern zur Durchführung des Arbeitsverhältnisses nach § 32 Abs. 1 Satz 1 BDSG [a.F.] zulässigerweise erhoben, verarbeitet und genutzt werden (vgl. hierzu BT-Drucks. 16/13657 S. 21). Gewährt die Arbeitgeberin einem Betriebsratsmitglied nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG Einsicht in die Bruttoentgeltlisten, handelt es sich um eine nach § 32 Abs. 1 BDSG [a.F.] zulässige Form der Datennutzung. Dies folgt schon daraus, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG [a.F.] durch die nach Absatz 1 dieser Bestimmung erlaubte Datennutzung nicht berührt werden. Zu den Interessenvertretungen der Beschäftigten in diesem Sinne zählt auch der Betriebsrat (vgl. BT-Drucks. 16/13657 S. 21). Hinzu kommt, dass dieser selbst Teil der verantwortlichen Stelle iSd. § 3 Abs. 7 BDSG [a.F.] ist [s. dazu BAG, 07.02.2012 - 1 ABR 46/10]. Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar" (BAG, 14.01.2014 - 1 ABR 54/12).

5.5 Erhebung durch Religionsgemeinschaft

"Art. 3 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist im Licht von Art. 10 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass die Erhebung personenbezogener Daten, die durch Mitglieder einer Religionsgemeinschaft im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, und die anschließenden Verarbeitungen dieser Daten weder Verarbeitungen personenbezogener Daten darstellen, die für die Ausübung von Tätigkeiten im Sinne von Art. 3 Abs. 2 erster Gedankenstrich dieser Richtlinie erfolgen, noch Verarbeitungen personenbezogener Daten, die von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden, wie in Art. 3 Abs. 2 zweiter Gedankenstrich dieser Richtlinie vorgesehen" (EuGH, 10.07.2018 - C-25/17 - 1. Leitsatz - Finnland).

5.6 Grenze: Persönlichkeitsrecht

Arbeitnehmer haben ein Recht auf informationelle Selbstbestimmung. Diese Recht wird aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gefolgert. Das Recht auf informationelle Selbstbestimmung sichert jeder Person die Befugnis, "selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu befinden" (s. dazu BVerfG, 11.03.2008 - 1 BvR 2074/05 u.a. - sowie BAG, 17.11.2016 - 2 AZR 730/15). Die Datenschutzgesetze des Bundes (BDSG) und der Bundesländer (in diesem Fall das Hessische Datenschutzgesetz - HDSG) "konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung." Sie legen fest, "in welchem Umfang im Anwendungsbereich des jeweiligen Gesetzes Eingriffe durch öffentliche und nichtöffentliche Stellen i.S.d. § 1 Abs. 2 BDSG bzw. § 3 Abs. 1 HDSG zulässig sind. Dabei gibt es für die Verwendung von Gesundheitsdaten personenbezogener Art (sensitive Daten i.S.v. § 3 Abs. 9 BDSG, § 7 Abs. 4 HDSG) spezielle Regelungen" (BAG, 29.06.2017 - 2 AZR 47/16 - mit Hinweis auf § 28 VI ff. BDSG bzw. § 7 Abs. 4 i.V.m. § 34 HDSG).

5.7 Verantwortlicher (Religionsgemeinschaft)

"Art. 2 Buchst. d der Richtlinie 95/46 ist im Licht von Art. 10 Abs. 1 der Charta der Grundrechte dahin auszulegen, dass eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgen, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat" (EuGH, 10.07.2018 - C-25/17 - 3. Leitsatz - Finnland).