Beschäftigtendatenschutz

  • Im Beschäftigungsverhältnis werden durch Arbeitgeber personenbezogene Daten ihrer Mitarbeiter verarbeitet. Dies ist nur zulässig, sofern es für diese Verarbeitung eine Rechtsgrundlage gibt.

    Nach Art. 88 der Datenschutz-Grundverordnung können die Mitgliedsstaaten spezifische Regelungen im Bereich des Beschäftigtendatenschutzes treffen. Hiervon haben sie Gebrauch gemacht. Zentrale Rechtsgrundlagen sind im Bereich der Unternehmen in der Privatwirtschaft § 26 Bundesdatenschutzgesetz (BDSG) und im Bereich der öffentlichen Verwaltung § 27 Thüringer Datenschutzgesetz mit Verweis auf die dienstrechtlichen Vorschriften §§ 79 bis 87 Thüringer Beamtengesetz . Diese Bestimmungen regeln den Umgang mit personenbezogenen Daten der Beschäftigten im Zusammenhang mit der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses, soweit diese Daten hierfür erforderlich sind. Als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten kommen auch ein Tarifvertrag oder Kollektivvereinbarungen (Betriebs- oder Dienstvereinbarungen) in Betracht. Weiterhin kann der Umgang mit Beschäftigtendaten auch in anderen Gesetzen geregelt sein.

    Der Europäische Gerichtshof (EuGH) hat sich im Rahmen eines Vorlageverfahrens mit der Regelung des § 26 BDSG beschäftigt und in seinem Urteil vom 30. März 2023 § 26 Abs. 1 BDSG als europarechtswidrig verworfen (EuGH, Urteil v. 30. März 2023 – C-34/21). Die Öffnungsklausel des Art. 88 DS-GVO lasse nur im Vergleich zur DS-GVO „spezifischere Vorschriften“ zu, aber gerade keine Wiederholung der Bestimmungen der DS-GVO, wie im § 26 Abs. 1 BDSG. Zwar bezog sich der EuGH primär auf das ihm vorgelegte hessische Beschäftigtendatenschutzrecht. Dieses ist aber (fast) identisch formuliert wie § 26 Abs. 1 BDSG. Daher wirkt sich das Urteil auch auf den gesamten deutschen Beschäftigtendatenschutz aus. Nach dem Anwendungsvorrang des Europarechts ist das nationale Recht unanwendbar, soweit das höherrangige Europarecht einen Sachverhalt bereits regelt (vgl. Art. 288 Abs. 2 Vertrag über die Arbeitsweise der Europäischen Union).

    Allerdings enthält die DS-GVO sogenannte Öffnungsklauseln, in deren Rahmen Mitgliedstaaten eigene Vorschriften treffen dürfen. Im Beschäftigtendatenschutz erlaubt die Öffnungsklausel des Art. 88 Abs. 1 DS-GVO den Mitgliedstaaten, „spezifischere Vorschriften“ zu erlassen. Art. 88 Abs. 2 DS-GVO konkretisiert, dass diese Vorschriften geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz umfassen müssen. Im Ergebnis wiederholt der § 26 Abs. 1 BDSG den Inhalt und die Bedingungen des Art. 6 Abs. 1 Buchstabe b DS-GVO, der ebenfalls auf die Erforderlichkeit für die Vertragserfüllung abstellt. Daher ist im Hinblick auf die Rechtsmäßigkeit der Verarbeitung im Beschäftigungskontext direkt auf den Art. 6 Abs. 1 Buchstabe b) DS-GVO im Beschäftigtendatenschutz zurückgreifen.

    Inwieweit eine Einwilligung des Beschäftigten als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten zulässig und wirksam ist, können Sie dem Kurzpapier Nr. 14 der DSK(PDF-Datei) entnehmen.

    Eine vollständige Leistungs- und Verhaltenskontrolle der Beschäftigten muss insbesondere auch nach der Rechtsprechung ausgeschlossen sein. Das schließt nicht aus, dass in einzelnen Bereichen durchaus das (rechtskonforme) Verhalten durch Stichproben überprüft wird oder die Leistung des Einzelnen insbesondere z. B. bei leistungsabhängigem Entgelt im festgelegten Rahmen berücksichtigt werden kann. Hierzu bedarf es jeweils interner Regelungen, regelmäßig unter Beteiligung der Beschäftigtenvertreter.

    Am. 2. Juli 2023 ist das Hinweisgeberschutzgesetz (HinSchG), welches die Vorgaben der EU-Whistleblower-Richtlinie in deutsches Recht umsetzt, in Kraft getreten. § 1 Abs. 1 HinschG regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen). Außerdem werden Personen geschützt, die Gegenstand einer solchen Meldung, oder sonst von ihr betroffen sind, also z .B. als Zeugen oder Mitwisser genannt werden (§ 1 Abs. 2 HinSchG). Eine Liste mit Verstößen, die nach dem HinSchG gemeldet werden können, findet sich in § 2 HinSchG.

    Die wichtigste Pflicht nach dem HinSchG ist die Einrichtung einer internen Meldestelle gemäß § 12 Abs. 1 HinSchG. Sie betrifft alle Beschäftigungsgeber, die in der Regel mindestens 50 Beschäftigte haben. Nach § 8 Abs. 1 Satz 1 HinSchG haben die Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei, der Personen, die Gegenstand einer Meldung sind, und der sonstigen in der Meldung genannten Personen zu wahren. Die Identität der genannten Personen darf nach § 8 Abs. 1 Satz 2 HinSchG ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden. Ausnahmen von der Verpflichtung zur Vertraulichkeit finden sich in § 9 HinSchG.


  • Hinweise des TLfDI(PDF-Datei) zur Arbeitszeiterfassung nach dem Urteil des EuGH

     Der Ratgeber: Beschäftigten-Datenschutz - Zwischen wirtschaftlicher und persönlicher Abhängigkeit und informationeller Selbstbestimmung(PDF-Datei) Der LfDI BW gibt Tipps zur Umsetzung der Datenschutzgrundverordnung in Sachen Beschäftigtendatenschutz. 2. Auflage vom 15. März 2018