Schlagwort-Archiv: Beschäftigtendatenschutz

BAG zur datenschutzrechtlichen Einwilligung eines Arbeitnehmers

Das Bundesarbeitsgericht (BAG) hatte sich in seinem Urteil vom 11.12.2014 (Az. 8 AZR 1010/13 – Volltext) mit der Bildnisveröffentlichung von Arbeitnehmern auf der Website des Unternehmens zu beschäftigen. In diesem Urteil ist das BAG auch auf die grundlegende Frage eingegangen, ob die datenschutzrechtliche Einwilligung eines Betroffenen in Arbeitsverhältnissen wirksam ist.

Hintergrund

Das Bundesdatenschutzgesetz (BDSG) enthält den Grundsatz des Verbots mit Erlaubnisvorbehalt. Hiernach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Dazu bestimmt § 4a Abs. 1 BDSG die Voraussetzungen an eine wirksame Einwilligung, welche kumulativ vorliegen müssen. Erforderlich für eine wirksame Einwilligung ist demnach die freie Entscheidung des Betroffenen, der Hinweis auf den vorgesehenen Zweck der Verwendung sowie auf die Folgen der Verweigerung der Einwilligung. Im Übrigen bedarf die Erklärung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Die Wirksamkeit der Einwilligung eines Beschäftigten gegenüber seinem Arbeitnehmer ist in der Literatur Gegenstand lebhafter Diskussionen, ohne jedoch ein abschließendes Ergebnis zu vermitteln. Die Uneinigkeit fokussiert sich vor allem auf die Frage, ob es im Arbeitsverhältnis überhaupt eine „freie Entscheidung” geben kann. Auch die Aufsichtsbehörden argumentierten dahingehend, dass die Einwilligung im Arbeitsverhältnis grundsätzlich nicht freiwillig erfolgen könne und damit unwirksam sei. Die Freiwilligkeit sei deshalb zu verneinen, da die Einwilligung unter Ausnutzung einer wirtschaftlichen Machtposition gefordert wird, sich der unterlegene also zur Abgabe der Einwilligung genötigt sieht. Dies sei regelmäßig in einem Abhängigkeitsverhältnis wie zwischen dem Arbeitgeber und dem Beschäftigten der Fall.

Urteil des BAG

Dem stellt sich das BAG in seinem Urteil entgegen und betont, dass auch im Rahmen von Arbeitsverhältnissen der Arbeitnehmer freie Entscheidungen treffen könne und er sich mit Eingehung eines Arbeitsverhältnisses und der Eingliederung in den Betrieb nicht seiner Grund- und Persönlichkeitsrechte begebe. Dies gelte – so das BAG – vor allem deshalb, weil in Arbeitsverhältnissen unter bestimmten Umständen eine Datenverarbeitung selbst ohne Vorliegen einer Einwilligung des Arbeitnehmers möglich sei und verweist hierzu auf den gesetzlichen Erlaubnistatbestand des § 32 BDSG.

Folgen des Urteils

Das BAG spricht in seinem Urteil nicht von „Beschäftigten“ i.S.d. § 3 Abs. 1 BDSG, sondern nur einem diesem Begriff unterfallenden Teil von Personen, nämlich  „Arbeitnehmer“ nach § 3 Abs. 11 Nr. 1 BDSG. Nichts gesagt ist durch das Urteil deshalb darüber, ob sich der Arbeitgeber auch die Einwilligung von anderen Personen, die unter den Beschäftigtenbegriff fallen, einholen kann. Diese Frage wird vor allem dann relevant, wenn es um „Bewerberinnen und Bewerber“ i.S.d. § 3 Abs. 11 Nr. 9 BDSG geht, könnte der Arbeitgeber doch den zulässigen und eng gesteckten Rahmen seines Fragerechts durch Einholung einer Einwilligung erweitern und umgehen.

Für die bewusste Differenzierung zwischen Arbeitnehmern und den übrigen als „Beschäftigte“ bezeichneten Personen durch das BAG, streitet schließlich auch sein Wortlaut, der auf ein bestehendes Arbeitsverhältnis hindeutet („Eingehung eines Arbeitsverhältnisses und die Eingliederung in den Betrieb“).

Auch und gerade bei der Verarbeitung besonders sensibler Daten i.S.d. § 3 Abs. 9 BDSG wird man deshalb nicht die Prüfung der “Freiwilligkeit” im jeweiligen Einzelfall vernachlässigen können. Dies gilt allein schon wegen der formalen und inhaltlichen Anforderungen, die das Gesetz an die wirksame Einwilligung stellt.

BAG zur Geltendmachung des Auskunftsanspruchs gem. § 34 BDSG vor den Arbeitsgerichten

Erfüllt eine verantwortliche Stelle nicht den Anspruch eines Betroffenen auf Auskunft gem. § 34 Abs. 1 BDSG, kann dieser Anspruch mit einer Klage durchgesetzt werden. Mit Beschluss vom 3.2.2014 entschied das Bundesarbeitsgericht (BAG, Beschl. v. 3.2.2014 – 10 AZB 77/13), dass für diese Klage der Rechtsweg zu den Arbeitsgerichten gegeben ist, falls zwischen dem Betroffenen und der verantwortlichen Stelle ein Arbeitsverhältnis besteht oder – wie in dem entschiedenen Fall – früher bestand.

Ob sich die gegebene Begründung wird langfristig aufrechterhalten lassen, also auch in denkbaren Variationen des Sachverhalts gleichermaßen gelten kann, ist nicht unzweifelhaft. Weiterlesen

BAG entscheidet erneut zur verdeckten Videoüberwachung am Arbeitsplatz

Mit Urteil vom 21.11.2013 – 2 AZR 797/11 (Volltext) entschied das BAG  wiederholt zur verdeckten Videoüberwachung am Arbeitsplatz . Dieses Urteil stellt eine von mehreren Fortführungen und Konkretisierungen der Rechtsprechung vom 21.6.2012 dar (unsere Urteilsanmerkungen auf dieser Website). Abseits des arbeitsrechtlichen Kerns der Entscheidung – zu den Voraussetzungen einer auf einen Verdacht gestützten ordentlichen Kündigung – enthält die Urteilsbegründung auch eine aus Perspektive des Datenschutzrechts entscheidende Erkenntnis. Diese betriff die Frage nach einem prozessualen Beweisverwertungsverbot in Bezug auf datenschutzrechtswidrig erlangte Informationen und Beweismittel.

Weiterlesen

EuGH: Angaben zur Arbeitszeit sind personenbezogene Daten

Anders als in § 3 Abs. 1 BDSG wird in Art. 2 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, Volltext) die Bestimmbarkeit einer Person näher konkretisiert:

“‘personenbezogene Daten’ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‘betroffene Person’); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind”

Der EuGH (Urteil v. 30.5.2013 – C-342/12, Volltext) hatte nun zu entscheiden, ob eine betroffene Person auch durch Aufzeichnungen über die Arbeitszeit “direkt oder indirekt identifiziert werden kann – und dies im Ergebnis wenig überraschend bejaht:

“Art. 2 [lit. a) Datenschutzrichtlinie] ist dahin auszulegen, dass Aufzeichnungen der Arbeitszeit wie die im Ausgangsverfahren in Rede stehenden, die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, unter den Begriff ‘personenbezogene Daten’ im Sinne dieser Bestimmung fallen.”

Für Arbeitgeber bedeutet dies, dass Aufzeichnungen über die Arbeitszeit – wegen § 32 Abs. 2 BDSG auch bei einer nicht automatisierten Verarbeitung – nur geführt werden dürfen, wenn dies mit Blick auf § 4 Abs. 1 BDSG durch eine gesetzliche Erlaubnis, eine Betriebsvereinbarung oder die Einwilligung der Betroffenen gedeckt ist. Solange die Aufzeichnungen ausschließlich zu Zwecken der Abrechnung oder des Arbeitsschutzes geführt werden (etwa auch zur Beachtung von Arbeitszeiten, Lenk- und Ruhezeiten), ist dies ohne weiteres durch § 32 Abs. 1 S. 1 BDSG gedeckt. Sollen die Aufzeichnungen jedoch auch zu anderen Zwecken genutzt werden – etwa zur Übermittlung an eine Konzernmutter für konzernzweite Auswertungen – bedarf dies einer besonderen Rechtfertigung.

Bring Your Own Device in der Versicherungswirtschaft

In der aktuellen Ausgabe 5/2013 der Versicherungswirtschaft befasst sich der Beitrag “Bevorzugt mobil” mit der Nutzung privater Endgeräte (sog. Smart Devices, also Tablets und Smartphones) für betriebliche Zwecke von Versicherungsunternehmen, dem sog. “Bring Your Own Device” (BYOD).

Zu den rechtlichen Herausforderungen bei BYOD wird Sascha Kremer, externer Datenschutzbeauftragter der LLR Data Security And Consulting GmbH und Rechtsanwalt, zitiert. Er weist insbesondere darauf hin, dass auf den mobilen Endgeräten eine saubere Trennung zwischen Unternehmensdaten  und privaten Daten gewährleistet sein muss. Zudem muss die Installation kritischer Apps, die auf Kontakte oder E-Mail-Accounts zugreifen oder Daten an den Hersteller der App übermitteln, durch das Unternehmen gesteuert und kontrolliert werden. Ebenso muss eine Fernlöschungsoption für den Fall eines Verlusts des Endgeräts bestehen. Schließlich bedarf es arbeitsvertraglicher Regelungen dazu, wie das Unternehmen mit dem Eigentum des Beschäftigten umgehen darf und was etwa im Fall eines Defekts geschieht.

Sascha Kremer befasst sich regelmäßig mit der Einführung und Umsetzung von BYOD in Unternehmen, dies sowohl als externer Datenschutzbeauftragter als auch als Rechtsanwalt.

In der Dezember-Ausgabe 2012 der juristischen Fachzeitschrift “Der IT-Rechtsberater” hat er gemeinsam mit seinem ebenfalls bei LLR tätigen Kollegen Stefan Sander einen mehrseitigen Fachbeitrag zu Bring Your Own Device veröffentlicht, in dem alle hierzu diskutierten rechtlichen Fragestellungen zusammengeführt werden.

Am 10.4.2013 trägt Sascha Kremer im Rahmen der Fachanwalts-Fortbildung im IT-Recht für den Bonner Anwaltverein zu “BYOD: Nutzung privater Endgeräte für und im Unternehmen – Rechtliche Probleme, Unternehmerische Chancen” im Universitätsclub Bonn vor (Anmeldung). Im Herbst 2013 wird Sascha Kremer außerdem für die DeutscheAnwaltAkademie ein Online-Seminar (Dauer zwei Stunden) zu BYOD durchführen.

Beschäftigtendatenschutz nicht mehr auf der Tagesordnung

Die für diesen Freitag angesetzte Abstimmung im Bundestag über den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes (PDF) findet nicht statt. Nach der von allen Seiten geübten massiven Kritik hat die Regierungskoalition den Gesetzesentwurf von der Tagesordnung genommen. Die Kritik bezieht sich u.a. auf die Beschränkung von datenschutzbezogenen Betriebsvereinbarungen, die Möglichkeit zur offenen Videoüberwachung am Arbeitsplatz sowie den fehlenden Ermächtigungsgrundlagen für Compliance-Maßnahmen im Unternehmen Damit fehlt es auch mehr als zwei Jahre nach Vorlage des Gesetzesentwurfs an einer mehrheitsfähigen Neuregelung. Es verbleibt beim Nebeneinander insbesondere von § 32 BDSG, der Generalklausel in § 28 BDSG sowie dem bereichsspezifischen Sonderrecht der §§ 12 ff. TMG und §§ 91 ff TKG.

Update, 27.2.2013: Nach Aussage des innenpolitischen Sprechers der Unionsfraktion, Peter Uhl (CSU), wird es in dieser Legislaturperiode keinen neuen Anlauf der Bundesregierung zur Verabschiedung des neuen Beschäftigtendatenschutzes mehr geben. Das Problem wäre damit auf die nächste Legislaturperiode nach der Bundestagswahl am 22.9.2013 verschoben (Quelle).