Beschäftigtendatenschutz und DSGVO – wo liegen die Schnittstellen?

Ob im Bewerbungsgespräch, bei langer Betriebszugehörigkeit oder während des Kündigungsprozesses: Arbeitnehmer wollen und sollen darauf vertrauen können, dass ihre personenbezogenen Daten bei Arbeitgebern in den besten Händen sind. Dies zeigt nicht zuletzt das EUR 35 Mio. Bußgeld gegen H&M wegen Verletzung des Beschäftigtendatenschutzes. Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DS-GVO) hat diese Sicherheit nicht nur innerhalb Deutschlands, sondern auch EU-weit manifestiert.

Doch neben ihr tut sich auf nationalrechtlicher Ebene ein gesetzlicher Freiraum auf, da auch das Bundesdatenschutzgesetz und das Arbeits- und Sozialrecht auf diesem Feld zu beachten sind. In diesem Artikel erfahren Sie, in welchem Verhältnis der Beschäftigtendatenschutz und die DS-GVO zueinanderstehen und worauf Sie achten sollten, um alle Regeln einzuhalten.

Das Wichtigste in Kürze

  • EU-weit ist die Datenschutz-Grundverordnung (DS-GVO) zwar richtungsweisend, schafft aber nationalrechtlich durch ihre Öffnungsklauseln Freiräume.
  • Das Bundesdatenschutzgesetz (BDSG) nutzt eine solche Öffnungsklausel und definiert eigene Vorschriften.
  • Das BDSG kann der DS-GVO vorausgehen, sofern in der DS-GVO keine spezielleren Vorschriften zu finden sind. Dem BDSG wiederum können Arbeits- oder Sozialrecht vorgehen.
  • Beschäftigtendaten können auf Basis von Gesetzen, Kollektivvereinbarungen oder individuellen Einwilligungen verarbeitet werden.
  • Ob Kollektivvereinbarungen beim Beschäftigtendatenschutz das gesetzliche Datenschutzniveau unterschreiten dürfen, ist umstritten.
  • Arbeitnehmer sind Betroffene im Sinne der DS-GVO, Arbeitgeber gelten dagegen üblicherweise als Verantwortliche.

In diesem Beitrag

Worum geht es beim Beschäftigtendatenschutz?

Beschäftigtendatenschutz ist ein Thema so alt wie der Datenschutz selbst. Mit dem Beschäftigtendatenschutz soll sichergestellt werden, dass mit den personenbezogenen Daten von Beschäftigten sicher und verantwortungsvoll umgegangen wird. Der Beschäftigtendatenschutz regelt deshalb, wie die sensiblen Daten Beschäftigter aufgenommen, gespeichert und verarbeitet werden.

Gibt es in Deutschland ein Beschäftigtendatenschutzgesetz?

Auch wenn es schon seit Jahrzehnten diskutiert wird, gibt es in Deutschland kein eigenes Beschäftigungsdatenschutzgesetz. 2010 brachte die Bundesregierung einen Gesetzentwurf ein, der jedoch nie verabschiedet wurde. Mitte Juni 2020 hat jedoch der Beirat zum Beschäftigtendatenschutz beim Arbeitsministerium seine Arbeit aufgenommen, um konkrete Empfehlungen für ein eigenes Gesetz zu erarbeiten.

Wie wird der Beschäftigtendatenschutz geregelt?

Die DS-GVO schafft den gesetzlichen Rahmen für den Beschäftigtendatenschutz und gibt die Richtung vor. Durch ihre sogenannten Öffnungsklauseln ergeben sich für EU-Staaten, für welche die DS-GVO seit 2018 verpflichtend ist, allerdings Freiräume. Im Rahmen von Art. 88 der DS-GVO können nationale Gesetzgeber spezifische Vorschriften für den Umgang mit Arbeitnehmerdaten erlassen.

Diesen Freiraum nutzt das Bundesdatenschutzgesetz (BDSG) auf nationalrechtlicher Ebene. Neben dem BDSG greift auch das Arbeitsrecht. Außerdem können sogenannte Kollektivvereinbarungen, wie Tarifverträge und Betriebsvereinbarungen, zusätzliche datenschutzrechtliche Regelungen enthalten. In Deutschland waren wir diesen individuellen Umgang quasi schon gewohnt. Denn Mitarbeitervertretungen, also Betriebsräte und Gewerkschaften, sind bei uns schon lange etabliert.

In welcher Beziehung befinden sich Datenschutz und Arbeitsrecht?

Traditionell treffen Datenschutz und Arbeitsrecht in einem Spannungsfeld aufeinander. Oft gehen sie Hand in Hand, doch manchmal können sie auch auseinanderdriften. § 26 des BDSG regelt die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Dieses sogenannte Lex specialis geht teilweise den allgemeineren Regeln der DS-GVO vor.

Das Bundesdatenschutzgesetz kann allerdings auch nachrangig werden, wenn es noch speziellere Gesetze gibt – etwa aus dem Arbeits- oder Sozialrecht. Grundsätzlich folgt der Datenschutz hier dann dem jeweils spezielleren Recht.

Alles, was arbeitsrechtlich verboten ist, ist deshalb auch datenschutzrechtlich nicht zulässig. Ein Mitarbeiter dürfte also beispielsweise nicht acht Stunden lang am Arbeitsplatz überwacht werden. Geht es um spezifische Fragestellungen wie Sozialversicherungsbeiträge oder Schwerbehindertenregelungen, müssen ohnehin beide Felder betrachtet werden. Mit Datenschutz allein kommt man hier nicht weiter, mit Arbeits- und Sozialrecht allein auch nicht.

Um wen geht es im BDSG konkret?

In § 26 (8) definiert das Bundesdatenschutzgesetz, wer als Beschäftigter gilt. Neben Angestellten zählen unter anderem auch Auszubildende, Bundesfreiwilligendienstleistende und mittlerweile auch Leiharbeitnehmer zur Gruppe der Beschäftigten. Ob die Letztgenannten als Beschäftigte im Sinne des Datenschutzes zu werten sind, war in der Vergangenheit lange umstritten.

Auf welcher Grundlage dürfen Arbeitgeber die Daten von Beschäftigten verarbeiten?

Es existieren drei sogenannte Erlaubnistatbestände, nach denen Unternehmen die Daten von Beschäftigten verarbeiten dürfen. Die Basis für die Datenverarbeitung kann Folgendes sein:

  • gesetzliche Grundlage, wie z. B. das BDSG oder die DS-GVO
  • Kollektivvereinbarungen, wie z. B. eine Betriebsvereinbarung
  • Individuelle Einwilligung des Beschäftigten in die Verarbeitung seiner Daten

Aus welchen Gründen dürfen Arbeitgeber Daten ihrer Beschäftigten verarbeiten?

Arbeitgeber dürfen laut § 26 (1) des BDSG Daten ihrer Beschäftigten aus drei Gründen erheben und speichern: zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses.

  • Begründung: Arbeitgeber dürfen die personenbezogenen Daten verarbeiten, die zur Begründung eines Beschäftigungsverhältnisses erforderlich sind, wie Bewerberdaten.
  • Durchführung: Bei Durchführung des Arbeitsverhältnisses ist es ebenfalls erforderlich, Daten zu erheben und zu speichern, beispielsweise für die Lohnbuchhaltung.
  • Beendigung: Außerdem dürfen personenbezogene Daten beim Ende des Beschäftigungsverhältnisses verarbeitet werden. Dazu zählen Kündigung, Abfindungszahlungen oder eine betriebliche Altersvorsorge, die erst nach Renteneintritt und damit nach Beendigung des Beschäftigungsverhältnisses ausgezahlt wird.

Gemäß § 26 (1) des BDSG ist es außerdem erlaubt, Daten von Beschäftigten zu verarbeiten, um Straftaten aufzudecken. Liegen konkrete Anhaltspunkte vor, dass ein Mitarbeiter im Zusammenhang mit seiner Beschäftigung eine Straftat begangen hat, kann es deshalb z. B. zulässig sein, das E-Mail-Postfach zu kontrollieren.

Dürfen Kollektivvereinbarungen beim Beschäftigtendatenschutz das gesetzliche Datenschutzniveau unterschreiten?

Betriebsvereinbarungen und Tarifverträge sind eigene Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von Beschäftigten. Dabei sind datenschutzrechtliche Mindestanforderungen zu erfüllen. Hier stellt sich in der Praxis oft die Frage, ob diese Kollektivvereinbarungen dabei das gesetzliche Datenschutzniveau unterschreiten dürfen.

Die Datenschutzbehörden sind der Auffassung, dass das unzulässig ist. Das Bundesarbeitsgericht hat dagegen in der Vergangenheit geurteilt, dass eine solche Praxis erlaubt ist. Allerdings wurde dieses Urteil vor Inkrafttreten der DS-GVO erlassen – es ist deshalb derzeit umstritten, ob Kollektivvereinbarungen das gesetzliche Datenschutzniveau unterlaufen dürfen.

Was ist bei der Einwilligung zur Datenverarbeitung zu beachten?

In puncto Einwilligung wurde lange gestritten: Da der Arbeitgeber sich grundsätzlich in einer stärkeren Position als der Arbeitnehmer befindet, waren sich Datenschutzbehörden und Juristen lange nicht einig, ob im Falle von Arbeitnehmern überhaupt von Freiwilligkeit die Rede sein kann. Letztlich haben jedoch auch die Datenschutzbehörden dem zugestimmt. Die Rechtsprechung des Bundesarbeitsgerichtes sah dies auch vor Inkrafttreten der DS-GVO bereits als zulässig an.

Welche Rechte und Pflichten haben Arbeitgeber und Arbeitnehmer?

Ein Arbeitnehmer ist Betroffener laut DS-GVO, ihm stehen also dieselben Rechte wie allen anderen Betroffenen zu. Er hat in Bezug auf seine personenbezogenen Daten also das Recht auf Auskunft, Löschung und Berichtigung. Ebenso genießt er das Recht auf Einwilligung, das zum Beispiel im Falle online veröffentlichter Mitarbeiterfotos, greift. Zudem kann er arbeitsrechtliche Instrumentarien nutzen und z. B. den Betriebsrat um Unterstützung bitten.

Die Rechte der Betroffenen stoßen dabei allerdings an Grenzen: Während des Arbeitsverhältnisses zu verlangen, die Daten zu löschen, wäre z. B. nicht vollumfänglich möglich. Denn sonst liefe das Arbeitsverhältnis schließlich nicht weiter, da beispielsweise das Gehalt nicht mehr überwiesen werden könnte, wenn die Bankverbindung nicht mehr gespeichert sein dürfte.

Arbeitgeber sind dagegen selbstverständlich keine Betroffenen, sondern haben üblicherweise die Rolle des Verantwortlichen. Für sie gelten damit sämtliche DS-GVO-Pflichten eines Verantwortlichen. Außerdem trägt der Arbeitgeber die Verantwortung dafür, dass arbeitsrechtliche Grenzen nicht verletzt werden, wie z. B. bei der Mitarbeiterüberwachung, die natürlich auch datenschutzrechtlich unzulässig sein kann.

Fazit

DS-GVO ist gut, BDSG und DS-GVO – noch besser. Das gilt zumindest dann, wenn es im Betrieb ins Detail gehen soll. Außerdem lohnt der Blick ins Arbeits- und Sozialrecht. Es ist ferner sehr wahrscheinlich, dass Politik und Rechtsprechung beim Beschäftigtendatenschutz noch nachjustieren werden, um sowohl die Rechte von Arbeitnehmern zu jeder Zeit zu schützen als auch Arbeitgebern gleichzeitig betriebliche Handlungsspielräume zu geben.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

 

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000