Welche Daten dürfen Arbeitgeber von ihren Angestellten erheben und wo ist das geregelt?
Nirgendwo ausdrücklich, und mehr als man meinen würde. Obwohl in Deutschland vor über 50 Jahren das erste Datenschutzgesetz der Welt entstanden ist, warten wir bis heute auf konkrete gesetzliche Regelungen zum Beschäftigtendatenschutz. Bisher hat das Bundesarbeitsgericht bestimmt, welche Daten verarbeitet werden dürfen.
Darauf hat sich der Gesetzgeber ausgeruht und im Bundesdatenschutzgesetz quasi auf die Rechtsprechung verwiesen. Dort steht: Beschäftigtendaten dürfen verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist: Das ist einmal das Beschäftigtenleben durch.
Hat der Arbeitgeber Anhaltspunkte dafür, dass an der Kasse nicht richtig abgerechnet worden ist, kann der Kassenbereich heimlich gefilmt werden. Man könnte meinen, dass sei nicht erstaunlich: Schließlich wird lediglich in der Öffentlichkeit gefilmt und immerhin steht auch ein Betrugsverdacht im Raum. Aber auch, wenn es um grobe und nicht strafbare Pflichtverletzungen geht, erlaubt die Rechtsprechung die Überwachung des Arbeitnehmers – sogar in dessen Zuhause.
Als der Verdacht bestand, ein Arbeitnehmer würde sich nur scheinbar krankmelden, wurde das Filmen durch einen Privatdetektiv für zulässig erachtet. Heutzutage heißt das: Bestehen Anhaltspunkte für solche groben Pflichtverletzungen, darf der Arbeitgeber, wenn er die Beendigung, also die Kündigung, des Beschäftigungsverhältnisses vorbereiten will, etwa Login-Daten prüfen, unter Umständen den Teams-Chat heimlich lesen oder den Dienstwagen orten.
Was hat der EuGH in seiner Entscheidung zum Beschäftigungsdatenschutz beschlossen?
Während der Corona Pandemie wurden Schüler für den Online-Unterricht nach ihrer Einwilligung gefragt – Lehrer aber nicht. Das gehöre zur Durchführung des Lehrerberufs nach dem gleich formulierten Beschäftigtendatenschutzgesetz für den öffentlichen Sektor in Hessen. Also klagten die Lehrer vor dem Verwaltungsgericht Wiesbaden.
Die Verwaltungsrichter fragten sich, warum es in Hessen so ein weitläufiges Gesetz geben dürfte, wenn seit 2018 die Datenschutzgrundverordnung die Datenverarbeitung doch europaweit einheitlich regelt. Zwar gibt es in Art. 88 DSGVO eine sogenannte Öffnungsklausel für den Beschäftigtendatenschutz, wonach spezifische nationale Regelungen vorgesehen werden dürfen. Aber ist es spezifisch, wenn man so vage bleibt und sogar Regelungen aus der Datenschutzgrundverordnung übernimmt? In Art. 6 DSGVO ist nämlich ebenfalls geregelt, dass zur Durchführung eines Vertrages Daten verarbeitet werden dürfen.
Diese Fragen legten sie dem Europäischen Gerichtshof vor. Ende März sagte dieser nun: Nein, das ist nicht spezifisch. Die europäischen Datenschutzregelungen dürfen nicht bloß wiederholt werden. Wenn man eine eigene Regelung vorsehen möchte, dann „richtig“. Sonst könnte der nationale Datenschutz das Unionsrecht komplett abschreiben und sagen, dass nicht der Europäische Gerichtshof, sondern nur die deutschen Gerichte über den Datenschutz befinden würden.
Und so war es im Beschäftigtendatenschutz in Deutschland bis heute: Das Bundesarbeitsgericht ging vorher davon aus, dass diese Generalklausel offensichtlich nicht vorgelegt werden muss. Und weil das Gesetz für den Beschäftigtendatenschutz im privaten Sektor eins zu eins der hessischen Regelung für den öffentlichen Sektor entspricht, wird jetzt angenommen, dass alle so formulierten Generalklauseln nicht mehr gelten.
VIDEOREIHE „FOFFTEIN“
Mit der Videoreihe „Fofftein“ möchten wir juristische Themen von gesellschaftlicher Relevanz für die interessierte, aber juristisch nicht vorgebildete Öffentlichkeit erklären und einordnen. Hierzu werden Mitglieder der Fakultät, Alumnae oder Alumni als Expert*innen eingeladen. In 5-10 Minuten – eben einer kurzen Kaffeepause – führen wir in die Thematik, beteiligte Akteure und die Umstände ein und erklären die Grundsätze des behandelten rechtlichen Themas.
ZU ALLEN FOFFTEIN VIDEOS
Welche Auswirkungen könnte das haben?
Kurzfristig halten sich die Auswirkungen noch in Grenzen. Das heißt, die Praxis muss jetzt erstmal alle Datenschutzdokumentationen anpassen, die noch auf das deutsche Gesetz verweisen und durch die einschlägigen europarechtlichen Regelungen ersetzen.
Mittelfristig ist das aber ein ganz klarer K.O.-Schlag für den Beschäftigtendatenschutz in Deutschland. Zwar ist die deutsche Regelung im Wortlaut nicht besonders gehaltvoll, aber es geht eigentlich um die jahrelange Rechtsprechung des Bundesarbeitsgerichts, die darauf basiert. Die Beratungspraxis und die Arbeitsgerichte werden sich jetzt fragen müssen, ob die Leitlinien der bisherigen höchstrichterlichen Rechtsprechung auch für die Datenschutzgrundverordnung gelten.
Dafür spricht, dass dort die Datenverarbeitung zum Beispiel zur Durchführung eines Vertrages zugelassen wird. Die Beendigung steht dort aber zum Beispiel nicht ausdrücklich drin. Die genannten Beispiele zur heimlichen Überwachung, um eine Kündigung vorzubereiten, lassen sich möglicherweise nicht einfach so übertragen. Und was diese unbestimmten Rechtsbegriffe der Datenschutzgrundverordnung umfassen, kann am Ende nur der Europäische Gerichtshof entscheiden. Der europarechtliche Datenschutz ist bei der heimlichen Datenverarbeitung dabei tendenziell strenger als das Bundesarbeitsgericht. Eigentlich müssten Arbeitsgerichte jetzt alle Zweifelsfälle in den nächsten Jahren vorlegen, um Rechtssicherheit zu schaffen.
Langfristig hofft man aber deshalb auf ein neues Beschäftigtendatenschutzgesetz. Die Bundesregierung hat auch schon mit einem Vorschlag dazu reagiert und es laufen Stakeholder-Gespräche, um möglichst viele Stimmen einzuholen und Mehrheiten zu schaffen. Aber bisher sind solche Pläne stets gescheitert.
2011 riefen die Gewerkschaftler zuletzt: „Besser kein Gesetz als dieses!“ Und heute sagen wiederum die Arbeitgeberverbände, dass ein umfassendes neues Regelungspaket auf jeden Fall unterbleiben sollte. Markus Wünschelbaum meint, man merke, dass es von vorne losgehe und man nur hoffen könne, dass der Gesetzgeber hier erfolgreich für Rechtssicherheit sorgen werde.
Was können Beschäftigte tun, wenn sie bestimmte angeforderte Daten nicht an ihren Arbeitgeber weitergeben wollen oder Bedenken bezüglich der Verwendung bestehender Daten haben?
Erstmal: Innehalten! Klar, nicht jede Datenverarbeitung ist angenehm und die eigene Privatheit ist ein hohes Gut. Aber häufig steht ein Gesetz oder ein berechtigtes Interesse hinter dieser Datenverarbeitung, die auch dem Arbeitnehmer nützen kann. Ohne umfassende Arbeitszeiterfassung kann man zum Beispiel auch nicht nachweisen, dass man Überstunden angesammelt hat.
Und weil stets das Risiko von datenschutzrechtlichen Sanktionen und Bußgeldern im Raum steht, kann man das Arbeitsverhältnis auch stark belasten, wenn man gleich mit der Aufsichtsbehörde droht. Die ersten Gedanken oder Fragen an den Arbeitgeber könnten daher sein: Wofür muss man das eigentlich wissen? Und wie lange wird das gespeichert? Steht das im Gesetz oder in einer Betriebsvereinbarung?
Dabei kann man sich auch immer merken, dass eine einmal abgegebene Einwilligung zur Datenverarbeitung stets widerrufen werden kann. Überzeugt einen die Antwort des Arbeitgebers nicht, auch nachdem man sich mal in dessen Position versetzt hat, kann man erklären, dass man sich damit nicht wohl fühlt und ob es sich nicht lohnen würde, wenn der Datenschutzbeauftragte oder gegebenenfalls der Betriebsrat drüber schaut. Im Datenschutzrecht gilt daher: Ruhe bewahren, nachfragen, abwägen und am Ende: Handeln.
