AOK Logo
AOK
Wählen Sie Ihre AOK
Baden-Württemberg Bayern Bremen-Bremerhaven Hssen Niedersachsen Mecklenburg-Vorpommern Berlin Brandenburg Schleswig-Holstein Westfalen-Lippe Thüringen Sachsen Rheinland-Pfalz Saarland HamburgRheinland Sachsen-Anhalt
Willkommen bei Ihrer AOK für Unternehmen
Schrift anpassen: A-AA+

Pfadnavigation

Hauptinhalt

Datenschutz - Einwilligung

 Information 

1. Allgemeines

Der Arbeitgeber hat gegenüber seinen Mitarbeitern ein Weisungsrecht (§ 106 GewO, § 611a Abs. 1 BGB). Die Möglichkeit, Art, Inhalt, Ort und Zeit der Arbeitsleistung zu bestimmen, hat allerdings Grenzen. Das BDSG - und die EU-DSGVO - knüpfen die Verarbeitung personenbezogener Daten zum Beispiel an die Einwilligung des Arbeitnehmers an - wenn kein besonderer Erlaubnistatbestand wie § 26 Abs. 1 BDSG greift (s. dazu Gliederungspunkte 2 und 3). Der Arbeitgeber kann diese Einwilligung allerdings nicht via Weisungsrecht erzwingen. Sie muss freiwillig sein. Der Arbeitnehmer muss sich frei entscheiden können, ob er seine Einwilligung zur Verarbeitung personenbezogener Daten gibt.

Praxistipp:

Nach der Konzeption von EU-DSGVO und BDSG muss eine betroffene Person in bestimmten Fällen in die Verarbeitung ihrer Daten einwilligen. Diese Einwilligung muss vor der Verarbeitung erklärt sein. Eine - nachträgliche - Genehmigung reicht nicht. Für Einwilligung und Genehmigung gibt es den zusammenfassenden Begriff der "Zustimmung" - die bei der BDSG-Datenverarbeitung jedoch im Voraus erklärt sein muss.

Die Definition der datenschutzrechtlichen Einwilligung in § 46 Nr. 17 BDSG (s. dazu Gliederungspunkt 3) deckt sich mit der aus Art. 4 Nr. 11 EU-DSGVO (s. dazu Gliederungspunkt 2). Sie ist "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogen Daten einverstanden ist." An das Merkmal Freiwilligkeit sind einem - weisungsgebundenen - Arbeitsverhältnis hohe Anforderungen zu stellen (s. dazu Gliederungspunkt 4). Die BDSG- und EU-DSGVO-Vorgaben müssen von der Praxis umgesetzt werden. Auslegungsprobleme und unklare Sachverhalte werden von der Rechtsprechung gelöst (s. dazu Gliederungspunkt 5)

2. Die EU-DSGVO-Vorgaben für die Einwilligung

Art. 4 Nr. 11 der EU-DSGVO definiert "Einwilligung" der betroffenen Person als

"jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist".

Und Art. 7 EU-DSGVO ergänzt:

  • Beruht die Datenverarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, "dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat" (Art. 7 Abs. 1 EU-DSGVO).

  • Bei einer schriftlichen Einwilligungserklärung "muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen [ebenfalls in der Erklärung enthaltenen] Sachverhalten klar zu unterscheiden ist" (Art. 7 Abs. 2 Satz 1 EU-DSGVO. Verstoßen Teile der Erklärung gegen die EU-DSGVO, sind sie unverbindlich (Art. 7 Abs. 2 Satz 2 EU-DSGVO).

  • Die betroffene Person hat das Recht, "ihre Einwilligung jederzeit zu widerrufen" (Art. 7 Abs. 3 Satz 1 EU-DSGVO. Die bis zum Widerruf erfolgte Verarbeitung personenbezogener Daten bleibt allerdings wirksam (Art. 7 Abs. 3 Satz 2 EU-DSGVO. Davon wird die betroffene Person vor Abgabe ihrer Willenserklärung in Kenntnis gesetzt (Art. 7 Abs. 3 Satz 3 EU-DSGVO). Und wichtig: "Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein", Art. 7 Abs. 3 Satz 4 EU-DSGVO.

  • "Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind" (Art. 7 Abs. 4 EU-DSGVO).

3. Die BDSG-Vorgaben für die Einwilligung

Grundsätzlich ist zur Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich. In einem Beschäftigungsverhältnis dürfen personenbezogene Daten nach Maßgabe des § 26 Abs. 1 BDSG allerdings auch ohne besondere Einwilligung des Betroffenen verarbeitet werden (= Erlaubnistatbestand, "für Zwecke des Beschäftigungsverhältnisses").

Soweit die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung erfolgt, gilt:

  • Bei Beurteilung der Freiwilligkeit der Einwilligung sind "insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen sie erteilt ist, zu berücksichtigen" (§ 26 Abs. 2 Satz 1 BDSG).

  • Freiwilligkeit lässt sich insbesondere in Fällen bejahen, in denen für die beschäftigte Person "ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen" (§ 26 Abs. 2 Satz 2 BDSG).

  • "Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist" (§ 26 Abs. 2 Satz 3 BDSG).

  • Der Arbeitgeber muss die beschäftigte Person in Textform über ihr Widerrufsrecht nach Art. 7 Abs. 3 EU-DSGVO aufklären (§ 26 Abs. 2 Satz 4 BDSG).

§ 46 Nr. 17 BDSG gibt die Begriffsbestimmung "Einwilligung" i.S.d. BDSG vor, die sich mit der EU-DSGVO-Definition der "Einwilligung" deckt.

§ 51 BDSG stellt die Einwilligungsregelungen für das deutsche Datenschutzrecht auf:

  • Kann die Verarbeitung personenbezogener Daten nach einer Rechtsvorschrift auf Grundlage einer Einwilligung erfolgen, "muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können (§ 51 Abs. 1 BDSG).

  • Betrifft die schriftliche Erklärung, mit der die Einwilligung gegeben werden soll, noch andere Sachverhalte, "muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache " erfolgen - und zwar so, "dass es von den anderen Sachverhalten klar zu unterscheiden ist" (§ 51 Abs. 2 BDSG).

  • Wer seine Einwilligung zur Verarbeitung personenbezogener Daten erklärt, kann seine Einwilligung jederzeit widerrufen (§ 51 Abs. 3 Satz 1 BDSG). "Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt" (§ 51 Abs. 3 Satz 2 BDSG). "Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen" (§ 51 Abs. 3 Satz 3 BDSG).

  • Die Einwilligung ist nach § 51 Abs. 4 Satz 1 BDSG nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei Prüfung der Freiwilligkeitsfrage sind unbedingt "die Umstände der Erteilung" zu "berücksichtigen" (§ 51 Abs. 4 Satz 2 BDSG). "Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren" (§ 51 Abs. 4 Satz 3 und 4 BDSG).

4. Die Bedeutung der Einwilligung im Arbeitsrecht

Das Hauptmerkmal der gesetzlich vorgesehenen Einwilligung ist ihre Freiwilligkeit. Der Arbeitnehmer muss - salopp gesagt - wollen und nicht vom Arbeitgeber "gewollt werden". Natürlich gibt es in Beschäftigungsverhältnissen immer ein "Oben" und ein "Unten", einen gewissen Druck, der auf Mitarbeitern lastet. Der Arbeitgeber hat ein Weisungsrecht und argumentiert oft aus der Position des Stärkeren. Das sollte jedoch nicht dazu führen, in puncto Einwilligung unzulässig Druck auf Arbeitnehmer auszuüben.

4.1 Die Freiwilligkeit der Einwilligung

Soweit die Verarbeitung personenbezogener Daten von Beschäftigten nicht ohnehin nach § 26 Abs. 1 BDSG zulässig ist, kann sie auch über eine Einwilligung des Arbeitnehmers erfolgen.

Beispiel:

In Arbeitgeber G's Betrieb ist es üblich, dass Arbeitnehmer nach den Daten ihrer Eheschließung und nach den Daten einer Erstkommunion, der Konfirmation und der Firmung ihrer Kinder gefragt werden. G lässt den Arbeitnehmern und deren Kindern dann aus Anlass dieser Ereignisse kleine Geschenke zukommen. Die Angabe der Daten ist freiwillig. Wer seine Daten nicht mitteilt, bekommt keine Präsente.

Freiwilligkeit lässt sich in diesem Fall bejahen. Die Arbeitnehmer erhalten in Folge ihrer Einwilligung eine Annehmlichkeit. Der Wert dieser Annehmlichkeit ist nicht so hoch, dass mit ihrem Versprechen ein - unzulässiger - wirtschaftlicher Druck auf die Mitarbeiter ausgeübt wird.

Bei Prüfung der Freiwilligkeit ist zu beachten, dass

  • Arbeitnehmer auf Grund ihres Beschäftigungsverhältnisses von ihrem Arbeitgeber abhängig sind und

  • die Umstände des jeweiligen Einzelfalls für und gegen ein freiwilliges Arbeitnehmerverhalten sprechen können.

4.2 Die "anzunehmende" Freiwilligkeit

"Freiwilligkeit" - so § 26 Abs. 2 Satz 2 BDSG - "kann insbesondere vorliegen, wenn für die beschäftigte Person ein

  • rechtlicher oder

  • wirtschaftlicher

Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen." Ein Vorteil i.S.d. § 26 Abs. 2 Satz 2 BDSG kann beispielsweise darin liegen, dass der Arbeitgeber

  • dem Mitarbeiter erlaubt, die betriebliche Telefonanlage oder das betriebliche IT-System für private Zwecke zu nutzen oder

  • dem Mitarbeiter die Möglichkeit gibt, zur Förderung seiner Gesundheit und zur Vermeidung gesundheitlicher - arbeitsplatzbedingter - Belastungen am betrieblichen Gesundheitsmanagement teilzunehmen.

Soweit Arbeitgeber und Arbeitnehmer "gleichgelagerte Interessen verfolgen", wird man z.B. eine Einwilligung in der Verarbeitung personenbezogener Beschäftigtendaten annehmen können, wenn

  • der Arbeitnehmer in eine Geburtstagsliste eingetragen wird oder

  • sich für Lichtbildaufnahmen zur Verfügung stellt, die im Intranet zur Darstellung betrieblicher Arbeitsvorgänge Verwendung finden.

4.3 Die Form der Einwilligung

Sinn und Zweck der Datenverarbeitung müssen kommuniziert werden - die Einwilligung muss auf informierter Grundlage erfolgen.

Beispiel:

Arbeitgeber G aus dem Beispiel in Gliederungspunkt 4.1. erläutert neu einzustellenden Mitarbeitern vor Abschluss des Arbeitsvertrag, warum er von ihnen die Daten - Eheschließung, Erstkommunion, Konfirmation, Firmung - benötigt. Er weist sie gleichzeitig darauf hin, was er damit vorhat und machen wird, wenn die Ereignisse stattfinden. Gleichzeitig sagt er seinen Bewerbern auch, dass sie die Daten, wenn sie es nicht wünschen, nicht mitteilen müssen. Das genügt.

§ 26 Abs. 2 Satz 3 und 4 BDSG (und allgemein § 51 Abs. 2 BDSG) verpflichtet den Arbeitgeber, die schriftliche Einwilligung seiner Mitarbeiter zur Verarbeitung der personenbezogenen Daten einzuholen und ihn vor Erklärung der Einwilligung in Textform über den Zweck der Datenverarbeitung zu unterrichten.

Beispiel:

G aus dem vorausgehenden Beispielfall hat die Möglichkeit, für sein Vorhaben eine Extra-Erklärung anzufertigen, die neben der Unterrichtung in Textform für den Arbeitnehmer die Möglichkeit vorsieht, schriftlich seine Einwilligung zur Verarbeitung der von G gewünschten Daten zu erklären. Daneben besteht die Möglichkeit, gleich den schriftlichen Arbeitsvertrag entsprechend zu gestalten - wobei die Textinformation und die Einwilligung deutlich vom übrigen Inhalt abgesetzt ist.

Eine vom Verantwortlichen vorformulierte Einwilligungserklärung muss in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Die Sprache muss einfach und klar sein. Es dürfen weder unklare noch missbräuchliche Klauseln verwendet werden. Der einwilligende Arbeitnehmer muss wissen, für wen und wofür er in die Verarbeitung seiner personenbezogenen Daten einwilligt.

4.4 Der Widerruf der Einwilligung

§ 26 Abs. 2 Satz 4 BDSG und § 51 Abs. 3 BDSG verpflichten den Arbeitgeber, seine Mitarbeiter in den dort behandelten Fällen darauf hinzuweisen, dass sie ihre Einwilligung jederzeit widerrufen können.

Beispiel:

Die Erläuterungen G's aus den Beispielen oben können - egal, ob im Arbeitsvertrag oder in einer gesonderten Urkunde - am Schluss den Passus "Wir machen Sie darauf aufmerksam, dass Sie Ihre Einwilligung nach Art. 7 Abs. 3 der Verordnung (EU) 2016/679 jederzeit widerrufen können." enthalten

Das Gesetz sieht für den Widerruf keine besondere Form vor. Zulässig ist daher auch ein mündlicher Widerruf. Wegen der Vorgabe aus Art. 7 Abs. 3 EU-DSGVO - "Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein" - sollte man arbeitsvertraglich keine strengen Formvorschriften für den Widerruf vereinbaren.

Praxistipp:

Eine BDSG-konforme Einwilligungserklärung könnte in den Beispielen dieses Gliederungspunkts folgenden Wortlaut haben: "Ich willige ein, dass mein Arbeitgeber die Daten meiner Eheschließung und die Daten der Erstkommunion, Konfirmation und Firmung meiner Kinder verarbeiten darf. Die Verarbeitung hat den Zweck, meinem Arbeitgeber zu ermöglichen, mir und meinen Kindern aus Anlass der an diesen Tagen stattfindenden Ereignisse kleine Aufmerksamkeiten zukommen zu lassen. Die Verarbeitung meiner Daten erfolgt nach den Bestimmungen der Verordnung (EU) 2016/679 - Datenschutz-Grundverordnung - und des Bundesdatenschutzgesetzes (BDSG). Ich bin darauf hingewiesen worden, dass die Verarbeitung meiner Daten auf freiwilliger Basis erfolgt. Ohne dadurch nachteilige Folgen - mit Ausnahme des Verlusts der Annehmlichkeiten - zu haben, kann ich meine Einwilligung jederzeit widerrufen. Die Widerrufserklärung kann ich an meinen Arbeitgeber (E-Mail-Adresse ...) richten. Mit Zugang meiner Widerrufserklärung werden meine Daten, in deren Verarbeitung ich zuvor eingewilligt habe, gelöscht. Die bis zu meinem Widerruf erfolgte Verarbeitung meiner persönlichen Daten wird vom Widerruf nicht erfasst. Ort, Datum, Unterschrift"

Die Rechtmäßigkeit der bis zum Widerruf mit Einwilligung vorgenommenen Verarbeitung personenbezogener Beschäftigtendaten wird durch den Widerruf nicht berührt. Mit dem Widerruf verliert die Einwilligung jedoch ihre Gültigkeit für die zukünftige Verarbeitung der Daten. Der Widerruf ist jederzeit möglich - eine neue Einwilligung aber auch.

5. Rechtsprechungs-ABC

An dieser Stelle werden einige der interessantesten Entscheidungen zum Thema Datenschutz und Einwilligung in alphabetischer Reihenfolge nach Stichwörtern geordnet vorgestellt.

5.1 Anonymisierte Daten

Sieht eine Betriebsvereinbarung vor, dass ein elektronisches Programm (hier das so genannte RIBAS-System) eingeführt wird, das Fahrereignisse aufzeichnet und zu dem Fahrer einen anonymisierten Systemschlüssel erhalten, wird das Recht eines Arbeitnehmers auf informationelle Selbstbestimmung durch die in der Betriebsvereinbarung enthaltene Verpflichtung zur Systemteilnahme mithilfe des anonymisierten Schlüssels nicht verletzt. Auch wenn der betroffene Arbeitnehmer zuvor nicht seine Einwilligung (zur Zeit der Entscheidung § 4 Abs. 1 BDSG a.F.) in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten erteilt hat: § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) lässt sie zu und damit ist sie "durch eine Rechtsvorschrift iSd. § 4 Abs. 1 BDSG" (a. F.) gerechtfertigt (BAG, 17.11.2016 - 2 AZR 730/15 - ohne Entscheidung darüber, ob auch Regelungen einer Betriebsvereinbarung eine die Verarbeitung von Daten erlaubende Vorschrift i.S.d. § 4 Abs. 1 BDSG a.F. sein können).

5.2 Informationelle Selbstbestimmung

Die BDSG-Regeln über die "Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung und am eigenen Bild" (§ 1 Abs. 1 BDSG a. F.). Die BDSG-Regeln sagen, inwieweit öffentliche oder nicht-öffentliche Stellen im BDSG-Geltungsbereich Eingriffe in grundgesetzliche geschützte Rechte zulässig sind. Für sich allein betrachtet ordnen die BDSG-Regeln allerdings nicht an, dass bei der Feststellung des Tatbestands in arbeitsgerichtlichen Verfahren durch Missachtung von BDSG-Regeln gewonnene Erkenntnisse oder Beweise (hier: Einsatz eines so genannten Keyloggers) nicht verwendet dürfen (s. dazu BAG, 20.10.2016 - 2 AZR 395/15 - und BAG, 22.09.2016 - 2 AZR 848/15). Dagegen: "Ist allerdings die Datenverarbeitung gegenüber dem betroffenen Arbeitnehmer nach den Vorschriften des BDSG zulässig, liegt insoweit keine Verletzung seines Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor" (BAG, 27.07.2017 - 2 AZR 681/16 - mit Hinweis auf BAG, 29.06.2017 - 2 AZR 597/16).

5.3 Keylogger-Einsatz

Setzt der Arbeitgeber einen Keylogger ein, sind die Aufzeichnung und die Speicherung der Tastatureingaben am Dienst-PC des Arbeitnehmers und das Anfertigen von Screenshots Datenerhebungen i.S.d. § 3 Abs. 1, Abs. 2 Satz 1, Abs. 3 und Abs. 7 BDSG (a.F.). Der Arbeitgeber verschafft sich damit "Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten natürlichen Person, nämlich des .. [betroffenen Mitarbeiters] als dem Nutzer des ihm zugeordneten Rechners". "Der Einsatz eines Software-Keyloggers ist nicht nach § 32 Abs. 1 BDSG erlaubt, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder anderen schwerwiegenden Pflichtverletzung besteht" (BAG, 29.06.2017 - 2 AZR 597/16 - Leitsatz).