AOK Logo
AOK
Wählen Sie Ihre AOK
Baden-Württemberg Bayern Bremen-Bremerhaven Hssen Niedersachsen Mecklenburg-Vorpommern Berlin Brandenburg Schleswig-Holstein Westfalen-Lippe Thüringen Sachsen Rheinland-Pfalz Saarland HamburgRheinland Sachsen-Anhalt
Willkommen bei Ihrer AOK für Unternehmen
Schrift anpassen: A-AA+

Pfadnavigation

Hauptinhalt

Datenschutz - Arbeitgeberpflichten

 Information 

1. Allgemeines

Der Arbeitgeber und seine Personaler müssen den Datenschutz im Beschäftigungsverhältnis ernst nehmen. Die EU-DSGVO verlangt ihnen einiges ab. Das nationale BDSG wiederholt die DSGVO-Vorgaben stellenweise, enthält für Beschäftigungsverhältnisse aber auch eigene Regelungen (s. dazu § 26 BDSG). Obwohl sich das BDSG vorrangig an öffentliche Datenverarbeiter richtet (s. dazu Gliederungspunkt 2 und § 1 Abs. 1 Satz 1 BDSG), ist es über § 1 Abs. 1 Satz 2 und Abs. 4 Satz 2 BDSG doch auch auf nicht-öffentliche Datenverarbeiter - wie Arbeitgeber - anzuwenden. Der für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis Verantwortliche muss geeignete Maßnahmen ergreifen, um die in Art. 5 der EU-DSGVO und im BDSG für die Verarbeitung personenbezogener Daten aufgestellten Grundsätze einzuhalten.

Praxistipp:

Datenschutz ist Chefsache. Natürlich kann man sich als Chef nicht um alles kümmern. Man kann sich aber darum kümmern, dass man geeignete Mitarbeiter für die Verarbeitung personenbezogener Beschäftigtendaten einstellt oder geeignete Mitarbeiter aus dem Personalstamm qualifiziert und mit der Verarbeitung von Beschäftigtendaten beauftragt. Außerdem kann die Verarbeitung durch Externe erfolgen - die sich natürlich ebenfalls an die EU-DSGVO- und BDSG-Standards halten müssen. Zudem ist nach §§ 5 ff. ein Datenschutzbeauftragter zu benennen.

Die Zulässigkeit der Verarbeitung personenbezogener Daten Beschäftigter (s. dazu das Stichwort Datenschutz - Beschäftigungsverhältnis) ist als "besondere Verarbeitungssituation" in § 26 BDSG geregelt. Viele Arbeitgeberpflichten kommen auch aus anderen BDSG-Bestimmungen (s. dazu Gliederungspunkt 2), z.B. die Verpflichtung zur Erteilung von Auskünften (§ 57 BDSG). Direkt auf das Beschäftigungsverhältnis bezogene Pflichten (z.B. die Aufklärung des Beschäftigten über sein Widerrufsrecht nach Art. 7 Abs. 3 der EU-DSGVO) ergeben sich aus § 26 BDSG oder aus dem Zusammenhang mit der EU-DSGVO (s. dazu § 26 Abs. 5 BDSG und Gliederungspunkt 3.). Da die ab 25.05.2018 geltenden Datenschutzbestimmungen noch einige Zeit brauchen, bis sie von der Rechtsprechung aufgegriffen werden, kann immer noch auf die bewährten BAG-Entscheidungen zum früheren BDSG zurückgegriffen werden (s. dazu Gliederungspunkt 4).

2. Die Grundlage der Datenerhebung im Beschäftigungsverhältnis

Das BDSG sieht in § 26 Abs. 1 Satz 1 als grundlegende Norm vor, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies

  • für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder

  • nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten

erforderlich ist (s. dazu das Stichwort Datenschutz - Beschäftigungsverhältnis).

Zudem lässt § 26 Abs. 2 Satz 1 BDSG die Möglichkeit offen, dass die Verarbeitung personenbezogener Daten auch auf Grundlage einer Einwilligung erfolgen kann (s. dazu das Stichwort Datenschutz - Einwilligung).

Der für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Art. 5 der EU-DSGVO für die Verarbeitung personenbezogener Daten aufgestellten Grundsätze - s. dazu nachfolgend Gliederungspunkt 3 - eingehalten werden (s. dazu auch § 47 BDSG und das Stichwort Datenschutz - Begriffsbestimmungen).

Das BDSG enthält zudem - wenn auch vorrangig an öffentliche Stellen gerichtet - allgemeine Pflichten verarbeitender nicht-öffentlicher Stellen (die Anwendbarkeit des BDSG auf nichtöffentliche Stellen folgt über § 1 Abs. 1 Satz 2 und Abs. 4 Satz 2 BDSG) - in der Reihenfolge der BDSG-Bestimmungen:

  • Benennung eines Datenschutzbeauftragten, §§ 5 ff. BDSG

  • Informationspflicht bei Erhebung personenbezogener bei der betroffenen Person, § 32 BDSG

  • Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, § 33 BDSG

  • Auskunftsrecht der betroffenen Person, § 34 BDSG

  • Recht auf Löschung, § 35 BDSG

  • Recht auf Widerspruch, § 36 BDSG

  • Verarbeitung nur auf Weisung des Verantwortlichen, § 52 BDSG (Ausnahme: die dem Verantwortlichen unterstellte Person ist nach einer Rechtsvorschrift zur Verarbeitung verpflichtet)

  • Datengeheimnis, § 53 BDSG

  • allgemeine Informationen zur Datenverarbeitung, § 55 BDSG

  • Benachrichtigung betroffener Personen, § 56 BDSG

  • Auskunftsrecht, § 57 BDSG

  • Recht auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

  • Pflichten der Verantwortlichen und Auftragsverarbeiter, §§ 62 ff. BDSG

In vielen Punkten kann zur Konkretisierung der Arbeitgeberpflichten auf die bisherige Rechtsprechung zum BDSG in seiner früheren Fassung zurückgegriffen werden (s. dazu Gliederungspunkt 4). Soweit durch die EU-DSGVO und die BDSG-Novelle neue beziehungsweise geänderte Arbeitgeberpflichten entstanden sind, bleibt die zukünftige Entwicklung der Rechtsprechung abzuwarten.

3. Grundsätze für die Verarbeitung

Der für die Verarbeitung personenbezogener Daten Beschäftigter Verantwortliche (s. dazu das Stichwort Datenschutz - Begriffsbestimmungen) - das kann z.B. der Arbeitgeber in Person, der Geschäftsführer einer GmbH, ein Personaler, ein angewiesener Mitarbeiter oder ein "Auftragsverarbeiter" sein - ist für die Einhaltung der in Art. 5 Abs. 1 EU-DSGVO niedergelegten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können. Der Verantwortliche hat eine Rechenschaftspflicht (Art. 5 Abs. 2 EU-DSGVO).

3.1 Rechtmäßigkeit und Transparenz

Personenbezogene Daten Beschäftigter müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffenen nachvollziehbaren Weise verarbeitet werden (Art. 5 Abs. 1 lit. a) EU-DSGVO).

Beispiel:

Das anlasslose Sammeln von Daten läuft Art. 5 Abs. 1 lit. a) EU-DSGVO zuwider. Das heimliche Ausspähen von Mitarbeitern und die Sammlung dabei erhobener Daten ist unzulässig - es sei denn, es stehen vorrangige Arbeitgeberinteressen auf dem Spiel, beispielsweise bei der Aufdeckung einer Straftat zu seinen Lasten (z.B. das Vortäuschen einer in Wahrheit nicht bestehenden Arbeitsunfähigkeit oder die Entwendung von Firmeneigentum).

So macht § 26 Abs. 1 Satz 2 BDSG die Verarbeitung von Daten zur Aufdeckung von Straftaten unter anderem daran fest, dass "das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt". Der Arbeitgeber hat eben dafür Sorge zu tragen, dass Daten nur rechtmäßig und transparent erhoben und weiterverarbeitet werden.

3.2 Zweckbindung der Datenverarbeitung

Personenbezogene Beschäftigtendaten dürfen nur für

  • festgelegte,

  • eindeutige und

  • legitime

Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art. 5 Abs. 1 lit. b) EU-DSGVO, § 47 Nr. 1 BDSG).

Beispiel:

Die Erhebung des Datums Familienstand ist u.a. für die Besteuerung eines Beschäftigten und - wenn er deswegen unterhaltspflichtig ist - als Kriterium bei der Sozialauswahl nach § 1 Abs. 3 Satz 1 KSchG anlässlich einer betriebsbedingten Kündigung zulässig. Soll das Datum Familienstand erhoben werden, um die Chancen der Anbahnung eines Liebesverhältnisses durch Vorgesetzte und Kollegen zu prüfen, ist das unzulässig.

Der Arbeitgeber muss sorgfältig darauf achten, dass er personenbezogene Daten nur für zulässige Zwecke verarbeitet.

3.3 Minimierung der Datenverarbeitung

Das abgelöste BDSG sprach bis zum 24.05.2018 in § 3a a.F. ausdrücklich die Grundsätze der

  • Datenvermeidung und

  • Datensparsamkeit.

an. Art. 5 Abs. 1 lit. c) EU-DSGVO sagt etwas von "Datenminimierung" - und meint, die Verarbeitung personenbezogener Daten muss "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" (s. dazu auch § 47 Nr. 3 BDSG).

Beispiel:

Um eine personenbedingte Kündigung wegen Krankheit vorzubereiten, ist es für den Arbeitgeber (auch und gerade für die rechtzeitige Durchführung des betrieblichen Eingliederungsmanagements) wichtig, die Krankheitsdaten seines Mitarbeiters zu kennen. Das BAG blickt z.B. bei einer Kündigung wegen häufiger Kurzerkrankungen auf einen 3-Jahres-Zeitraum zurück, der mit dem Zeitpunkt des Zugangs der Kündigung beginnt (BAG, 23.01.2014 - 2 AZR 582/13). Ein Arbeitgeber, der Krankheitsdaten über diesen Zeitraum erfasst und speichert, macht damit also auch nach der EU-DSGVO nichts verkehrt.

Feste - amtliche - Größen für Datenmengen und Speicherzeiten gibt es nicht. Die richtige Datenminimierung hängt vom jeweiligen Verarbeitungszweck und dem zu beurteilenden Einzelfall ab.

3.4 Richtigkeit der Datenverarbeitung

Arbeitgeber und Personaler gehen schon im eigenen Interesse davon aus, dass sie von den verarbeiteten personenbezogenen Beschäftigtendaten nur dann etwas haben, wenn die Verarbeitung zutreffend und aktuell ist. Art. 5 Abs. 1 lit. d) EU-DSGVO gibt trotzdem vor, dass personenbezogene Daten

  • sachlich richtig und

  • erforderlichenfalls auf dem neuesten Stand

sein müssen (s. dazu auch § 47 Nr. 4 BDSG). Gleichzeitig sagt er, "es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich

  • gelöscht oder

  • berichtigt

werden (s. dazu auch § 47 Nr. 4 BDSG).

Beispiel:

Arbeitgeber G hat in Mitarbeiter M's Personalakte die Information gespeichert, dass M nur den A-Lehrgang für G's Fertigungsmaschinen gemacht hat. Das schränkt M in seiner Verwendbarkeit ein, weil er bestimmte Maschinen nicht bedienen und bestimmte Fertigungsprozesse nicht betreuen darf. M absolviert in der Folgezeit erfolgreich die Lehrgänge für die B- und C-Lizenzen. G muss jetzt dafür sorgen, dass M's neue personenbezogene Daten in die Personalakte aufgenommen werden. Ist die A-Lizenz dadurch bedeutungslos, kann dieses Datum gelöscht werden. Weist die A-Lizenz fortbestehende Berechtigungen aus, braucht dieses Datum nicht gelöscht zu werden.

Auch bei Beachtung des Grundsatzes der Datenrichtigkeit entscheiden Verarbeitungszweck und Einzelfall, ob und welche Daten zu löschen oder zu berichtigen sind.

3.5 Begrenzung der Speicherung

Art. 5 Abs. 1 lit. e) EU-DSGVO will, dass personenbezogene Daten nur in einer Form gespeichert werden, die

  • die Identifizierung der betroffenen Person nur so lange ermöglicht,

  • wie es für die Zwecke, für die sie verarbeitet werden,

erforderlich ist (s. dazu auch § 47 Nr. 5 BDSG).

Praxistipp:

Schon im eigenen Arbeitgeber-/Personalerinteresse sollten die erfassten und gespeicherten Beschäftigtendaten von Zeit zu Zeit darauf überprüft werden, ob ihre weitere Speicherung noch für den seinerzeitigen oder einen aktuellen beziehungsweise fortbestehenden Verarbeitungsweck erforderlich ist. Ist das Prüfungsergebnis negativ: löschen.

Eine längere Speicherung kommt unter anderem für

  • Archivzwecke (s. dazu auch § 28 BDSG),

  • historische und wissenschaftliche Zwecke oder

  • statistische Zwecke

in Betracht. Für Zwecke des Beschäftigungsverhältnisses verarbeitete Daten können unterschiedliche Anlässe haben.

Beispiele:

Die steuerlichen Merkmale eines Mitarbeiters sind sicherlich solange von Bedeutung, wie sie noch für die Abrechnung seines Arbeitsentgelts benötigt werden. Nach dem Ausscheiden des Arbeitnehmers können die steuerlichen Merkmale im Rahmen von Betriebsprüfungen Bedeutung haben. Zudem sind gesetzliche Aufbewahrungsfristen zu beachten. Haben Lohnunterlagen Belegfunktion, beträgt die gesetzliche Aufbewahrungsfrist zehn Jahre. Hier steht das Gesetz einem Löschungs- oder Vernichtungsanspruch eines Arbeitnehmers, dessen Daten darin gespeichert sind, entgegen. Im Zusammenhang mit Verstößen gegen arbeitsvertragliche Pflichten erfasste Beschäftigtendaten - z.B. Tage und Uhrzeiten verspäteter Arbeitsaufnahme, Missachtung betrieblicher Alkohol- und Rauchverbote, eigenmächtige Urlaubsnahme, Tätlichkeiten gegen Arbeitskollegen etc. - können in der Regel kurz nach Beendigung des Beschäftigungsverhältnisses gelöscht werden. Sie haben keinen BDSG-konformen Zweck mehr.

Die Datenverarbeitung zu wissenschaftlichen Zwecken i.S.d. EU-DSGVO soll nach den Erwägungsgründen zur EU-DSGVO (EWG Nr. 159) weit ausgelegt werden. Bei der Verarbeitung personenbezogener Daten zu Archivzwecken ist nach den Erwägungsgründen (EWG Nr. 158) darauf zu achten, dass die EU-DSGVO nicht für verstorbene Personen gelten soll.

3.6 Sicherheit der Datenverarbeitung

Der letzte - aber trotzdem in seiner Wichtigkeit mindestens gleichwertige - Grundsatz der in Art. 5 Abs. 1 EU-DSGVO aufgezählten ist der Grundsatz der Sicherheit der Datenverarbeitung. Personenbezogene Daten müssen

  • in einer Weise verarbeitet werden,

  • die eine angemessene Sicherheit

  • der personenbezogenen Daten gewährleistet - und das schließt den Schutz der Daten

    • vor unbefugter oder unrechtmäßiger Verarbeitung und

    • vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung

    durch geeignete technische und organisatorische Maßnahmen ein (Art. 5 Abs. 1 lit. f) EU-DSGVO).

Die EU-DSGVO spricht hier von "Integrität und Vertraulichkeit". Das nationale Recht hat die EU-Vorgabe mit § 47 Nr. 6 BDSG übernommen.

Arbeitgeber haben dafür Sorge zu tragen, das die verarbeiteten personenbezogenen Daten ihrer Beschäftigten sicher sind.

Beispiel:

Die Verarbeitung personenbezogener Beschäftigtendaten im Betrieb sollte nur durch einen kleinen Kreis von Mitarbeitern erfolgen. Die verwendete Hard- und Software sollte aktuell und gegen interne wie externe Ein- und Angriffe geschützt sein. Es muss sichergestellt werden, dass Beschäftigtendaten nicht unbefugt eingesehen, entwendet oder weitergeleitet werden. Gegen unbeabsichtigten Verlust hilft eine fortlaufende Datensicherung. Wird die Verarbeitung extern durchgeführt, muss der Arbeitgeber dafür sorgen, dass der Externe alle Anforderungen erfüllt, die EU-DSGVO und BDSG an ihn selbst stellen.

Zum sicheren Umgang mit Daten gehört natürlich auch, dass Lecks aufgespürt und datenschutzrechtliche Verstöße aufgedeckt werden.

4. Rechtsprechungs-ABC

An dieser Stelle werden einige der interessantesten Entscheidungen zum Thema Datenschutz und Arbeitgeberpflichten in alphabetischer Reihenfolge nach Stichwörtern geordnet vorgestellt:

4.1 Anonymisierte Daten

Sieht eine Betriebsvereinbarung vor, dass ein elektronisches Programm (hier das sog. RIBAS-System) eingeführt wird, das Fahrereignisse aufzeichnet und zu dem Fahrer einen anonymisierten Systemschlüssel erhalten, wird das Recht eines Arbeitnehmers auf informationelle Selbstbestimmung durch die in der Betriebsvereinbarung enthaltene Verpflichtung zur Systemteilnahme mithilfe des anonymisierten Schlüssels nicht verletzt. Auch wenn der betroffene Arbeitnehmer zuvor nicht seine Einwilligung (zur Zeit der Entscheidung § 4 Abs. 1 BDSG a.F.) in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten erteilt hat: § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) lässt sie zu und damit ist sie "durch eine Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG" (a.F.) gerechtfertigt (BAG, 17.11.2016 - 2 AZR 730/15 - ohne Entscheidung darüber, ob auch Regelungen einer Betriebsvereinbarung eine die Verarbeitung von Daten erlaubende Vorschrift i.S.d. § 4 Abs. 1 BDSG a.F. sein können).

4.2 Einsicht in Gehaltslisten

"Bruttoentgeltlisten enthalten personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG [a.F.], die von Arbeitgebern zur Durchführung des Arbeitsverhältnisses nach § 32 Abs. 1 Satz 1 BDSG [a.F.] zulässigerweise erhoben, verarbeitet und genutzt werden (vgl. hierzu BT-Drucks. 16/13657 S. 21). Gewährt die Arbeitgeberin einem Betriebsratsmitglied nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG Einsicht in die Bruttoentgeltlisten, handelt es sich um eine nach § 32 Abs. 1 BDSG [a.F.] zulässige Form der Datennutzung. Dies folgt schon daraus, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG [a.F.] durch die nach Absatz 1 dieser Bestimmung erlaubte Datennutzung nicht berührt werden. Zu den Interessenvertretungen der Beschäftigten in diesem Sinne zählt auch der Betriebsrat (vgl. BT-Drucks. 16/13657 S. 21). Hinzu kommt, dass dieser selbst Teil der verantwortlichen Stelle i.S.d. § 3 Abs. 7 BDSG [a.F.] ist [s. dazu BAG, 07.02.2012 - 1 ABR 46/10]. Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar" (BAG, 14.01.2014 - 1 ABR 54/12).

4.3 Erforderlichkeit - 1

Bei Prüfung der Erforderlichkeit der Verarbeitung von Beschäftigtendaten i.S.d. § 32 Abs. 1 Satz 1 BDSG a.F. ist danach zu fragen, ob der Arbeitgeber ein berechtigtes Interesse an der Erhebung, Verarbeitung und Nutzung dieser Daten hat, das seine Grundlage im bestehenden Arbeitsverhältnis haben muss. Das setzt voraus, dass zwischen den Daten und der zu erfüllenden Arbeitspflicht des Beschäftigten sowie seinen sonstigen Obliegenheiten aus dem Arbeitsverhältnis und den vom Arbeitgeber einzuhaltenden Pflichten ein Zusammenhang besteht (s. dazu BAG, 07.09.1995 - 8 AZR 828/93). Die Erhebung, Verarbeitung oder Nutzung personenbezogener Beschäftigungsdaten darf den Arbeitnehmer zudem nicht übermäßig belasten und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen (BAG, 17.11.2016 - 2 AZR 730/15).

4.4 Erforderlichkeit - 2

Zielt die Arbeitgebermaßnahme auf das allgemeine Persönlichkeitsrecht des Arbeitnehmers, muss sein Eingriff nach dem Verhältnismäßigkeitsgrundsatz einer Abwägung der beiderseitigen Interessen standhalten (s. dazu BAG, 07.09.1995 - 8 AZR 828/93 - und BAG, 22.10.1986 - 5 AZR 660/85). Der Grundsatz der Verhältnismäßigkeit erwartet, dass der Eingriff in das Persönlichkeitsrecht "geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen ist, um den erstrebten Zweck zu erreichen" (s. dazu BAG, 15.04.2014 - 1 ABR 2/13 (B) - und BAG, 29.06.2004 - 1 ABR 21/03). Das wiederum setzt voraus, dass es zur Erreichung des Ziels keine milderen - also gleich wirksame, aber weniger belastende - Mittel gibt. "Die Verhältnismäßigkeit im engeren Sinne ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht" (BAG, 17.11.2016 - 2 AZR 730/15 - mit Hinweis auf BVerfG, 04.04.2006 - 1 BvR 518/02 - und BAG, 15.04.2014 - 1 ABR 2/13 (B)).

4.5 Facebookseite

"Eine vom Arbeitgeber betriebene Facebookseite, die es den Nutzern von Facebook ermöglicht, über die Funktion "Besucher-Beiträge" Postings zum Verhalten und zur Leistung der beschäftigten Arbeitnehmer einzustellen, ist eine technische Einrichtung, die zur Überwachung der Arbeitnehmer i.S.d. § 87 Abs. 1 Nr. 6 BetrVG bestimmt ist. Die Bereitstellung der Funktion "Besucher-Beiträge" unterliegt der Mitbestimmung des Betriebsrats" (BAG, 13.12.2016 - 1 ABR 7/15 - Leitsatz).

4.6 Gesundheitsdaten

Arbeitnehmer haben ein Recht auf informationelle Selbstbestimmung. Diese Recht wird aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gefolgert. Das Recht auf informationelle Selbstbestimmung sichert jeder Person die Befugnis, "selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu befinden" (s. dazu BVerfG, 11.03.2008 - 1 BvR 2074/05 u.a. - sowie BAG, 17.11.2016 - 2 AZR 730/15). Die Datenschutzgesetze des Bundes (BDSG) und der Bundesländer (in diesem Fall das Hessische Datenschutzgesetz - HDSG) "konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung." Sie legen fest, "in welchem Umfang im Anwendungsbereich des jeweiligen Gesetzes Eingriffe durch öffentliche und nichtöffentliche Stellen i.S.d. § 1 Abs. 2 BDSG bzw. § 3 Abs. 1 HDSG zulässig sind. Dabei gibt es für die Verwendung von Gesundheitsdaten personenbezogener Art (sensitive Daten iSv. § 3 Abs. 9 BDSG, § 7 Abs. 4 HDSG) spezielle Regelungen" (BAG, 29.06.2017 - 2 AZR 47/16 - mit Hinweis auf § 28 VI ff. BDSG bzw. § 7 Abs. 4 i.V.m. § 34 HDSG).

4.7 Mitbestimmung

Der Arbeitgeber muss(te) nach Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG a.F. sicherstellen, dass eine nachträgliche Überprüfung vorgenommen werden konnte, mit der die Feststellung ermöglicht wurde, "ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind." Man spricht hier von Eingabekontrolle. Enthalten auf einer Facebookseite des Arbeitgebers von dessen Kunden eingestellte Posts (Beiträge, Kommentare) personenbezogene Daten i. S. des § 3 Abs. 1 BDSG a.F., kann sich die Eingabekontrolle auch darauf beziehen. Ob und wie der Arbeitgeber seinen Pflichten aus Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG nachkam bzw. nachkommt, ist allerdings kein Fall des hier vom Betriebsrat angesetzten § 87 Abs. 1 Nr. 6 BetrVG(BAG, 13.12.2016 - 1 ABR 7/15).

4.8 Persönlichkeitsrecht

"Eine Betriebsvereinbarung über eine 'Belastungsstatistik', die durch eine technische Überwachungseinrichtung i.S.d. § 87 Abs. 1 Nr. 6 BetrVG dauerhaft die Erfassung, Speicherung und Auswertung einzelner Arbeitsschritte und damit des wesentlichen Arbeitsverhaltens der Arbeitnehmer anhand quantitativer Kriterien während ihrer gesamten Arbeitszeit vorsieht, stellt einen schwerwiegenden Eingriff in deren Persönlichkeitsrecht dar. Ein solcher Eingriff ist nicht durch überwiegend schutzwürdige Belange des Arbeitgebers gedeckt" (BAG, 25.4.2017 - 1 ABR 46/15 - Leitsatz)

4.9 Recht am eigenen Bild

Die BDSG-Bestimmungen (in diesem Fall noch in der bis zum 24.05.2018 geltenden Fassung) haben u.a. die Aufgabe, die Anforderungen an eine zulässige Verarbeitung von Daten zu konkretisieren und den Schutz des Rechts auf informationelle Selbstbestimmung und am eigenen Bild zu aktualisieren. Das BDSG sagt, wie weit Eingriffe in diese Rechte durch öffentliche oder nichtöffentliche Stellen i. S. des § 1 Abs. 2 BDSG (a.F.) zulässig sind. Zur Verwertung BDSG-widrig erhobener Daten sagt das Gesetz nichts (s. dazu BAG, 20.10.2016 - 2 AZR 395/15 - und BAG, 22.09.2016 - 2 AZR 848/15). Zu beachten ist jedoch: "Ist allerdings die Datenverarbeitung gegenüber dem betroffenen Arbeitnehmer nach den Vorschriften des BDSG zulässig, liegt insoweit keine Verletzung des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor" (BAG, 29.06.2017 - 2 AZR 597/16).

4.10 Verdeckte Video-Überwachung - 1

"Die Verwertung eines 'Zufallsfundes' aus einer gem. § 32 Abs. 1 Satz 2 BDSG [a.F.] gerechtfertigten verdeckten Videoüberwachung kann nach § 32 Abs. 1 Satz 1 BDSG [a.F.] zulässig sein" (BAG, 22.09.2016 - 2 AZR 848/15). "Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zur Aufdeckung von Straftaten gem. § 32 Abs. 1 Satz 2 BDSG [a. F., jetzt § 26 BDSG] setzt lediglich einen 'einfachen' Verdacht im Sinne eines Anfangsverdachts voraus, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss" (BAG, 20.10.2016 2 AZR 395/15 - Leitsatz).

4.11 Verdeckte Video-Überwachung - 2

Die verdeckte Observation eine Beschäftigten durch einen Detektiv ist "Datenerhebung iSv. § 3 Abs. 1, Abs. 3 und Abs. 7, § 32 Abs. 2 BDSG" a.F. (s. dazu BAG, 19.02.2015 - 8 AZR 1007/13). Der Detektiv beschafft dem Arbeitgeber durch seine Überwachung mit den angefertigten "Observationsberichten Einzelangaben über persönliche und sachliche Verhältnisse des Klägers iSd. § 3 Abs. 1 BDSG" a. F. Dabei ist keine "automatisierte Verarbeitung der Angaben oder ein Dateibezug iSd. § 1 Abs. 2 Nr. 3 bzw. § 27 Abs. 1 BDSG" a. F. erforderlich. Darauf "kommt es nach § 32 Abs. 2 BDSG" a.F. "bei der Datenerhebung für Zwecke des Beschäftigungsverhältnisses nicht an." Zudem gilt: "Eine vom Arbeitgeber veranlasste verdeckte Überwachungsmaßnahme zur Aufdeckung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung des Arbeitnehmers kann nach § 32 Abs. 1 Satz 1 BDSG [a. F.] zulässig sein" (BAG, 29.06.2017 - 2 AZR 597/16 - Leitsatz).

4.12 Verhältnismäßigkeit

Soll das allgemeine Persönlichkeitsrecht zugunsten eines anderen - schützenswerten - Trägers von Grundrechten eingeschränkt werden, ist das zulässige Maß nach dem Grundsatz der Verhältnismäßigkeit zu ermitteln. Der Verhältnismäßigkeitsgrundsatz "verlangt eine Regelung, die geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen ist, um den erstrebten und legitimen Zweck zu erreichen." Die Betriebspartner dürfen also nur Regelungen treffen (hier eine unzulässige Betriebsvereinbarung über eine Belastungsstatistik, die eine dauerhafte Datenerfassung vorsieht), die geeignet sind, den vorausgesetzten Zweck zu fördern. Um ihn zu erreichen, dürfen keine "gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkende Mittel zur Verfügung stehen." Verhältnismäßig im engeren Sinn ist eine Regelung, bei der die Eingriffsschwere nicht außer Verhältnis zum Gewicht der ihrer Rechtfertigungsgründe steht (BAG, 25.4.2017 - 1 ABR 46/15 -mit Hinweis auf BAG, 15. 04.2014 - 1 ABR 2/13 (B)).

4.13 Zwecke des Beschäftigungsverhältnisses - 1

Personenbezogene Daten eines Beschäftigten durften nach § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) verarbeitet werden, wenn die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG a.F. liegen auch dann vor, wenn ihre Erhebung und die anschließende Nutzung zunächst anonymisiert erfolgen, die Anonymisierung dann aber ohne großen Aufwand aufgehoben werden kann. Ein Umkehrschluss aus § 3 Abs. 6 BDSG a. F. lässt es ausreichen, "dass die betroffene Person ohne besondere Schwierigkeiten bestimmbar ist" (BAG, 17.11.2016 - 2 AZR 730/15 - mit Hinweis auf EuGH, 19.10.2016 - C-582/14 - Rn. 49).

4.14 Zwecke des Beschäftigungsverhältnisses - 2

Die von der Rechtsprechung aus dem verfassungsrechtlich verankerten (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) allgemeinen Persönlichkeitsrecht hergeleiteten Grundsätze zum Schutz von Daten in einem Beschäftigungsverhältnis wurden in § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) kodifiziert. Der Gesetzgeber hat in seiner Begründung zum - seinerzeitigen - BDSG (BT-Dr. 16/13657 S. 21) zur Festlegung des Zulässigkeitsmaßstabs für die Erhebung, Verarbeitung und Nutzung personenbezogener Arbeitnehmerdaten im Zusammenhang mit der Durchführung seines Beschäftigungsverhältnisses auf die BAG-Entscheidungen vom 22.10.1986 - 5 AZR 660/85 - und 07.09.1995 - 8 AZR 828/93 - Bezug genommen. "Diesen zufolge dürfe sich der Arbeitgeber bei seinen Beschäftigten nicht nur über Umstände informieren oder Daten verwenden, um seine vertraglichen Pflichten ihnen gegenüber erfüllen zu können, wie z.B. Pflichten im Zusammenhang mit der Personalverwaltung, Lohn- und Gehaltsabrechnung, sondern auch, um seine im Zusammenhang mit der Durchführung des Beschäftigungsverhältnisses bestehenden Rechte wahrzunehmen, z.B. durch Ausübung des Weisungsrechts oder durch Kontrollen der Leistung oder des Verhaltens des Beschäftigten" (BAG, 17.11.2016 - 2 AZR 730/15 - mit Hinweis auf BT-Dr. 16/13657).