Zum Beschäftigtendatenschutz

Landgericht Heidelberg, Urteil vom 06.02.2020, Aktenzeichen 4 O 6/19

Auch wenn Datenschutz für die meisten Arbeitgeber ein leidiges Thema ist, kann nur dringend empfohlen werden, dies nicht aus dem Blick zu verlieren, da andernfalls Geldbußen seitens der zuständigen Aufsichtsbehörden in Höhe von bis zu 2%- 4% des weltweit erzielten Jahresumsatzes, bzw. Geldbußen von bis zu €  10 Millionen, bzw. € 20 Millionen drohen.

Neben diesen Geldbußen ist zudem festzustellen, dass Arbeitnehmer in arbeitsrechtlichen Auseinandersetzungen den Datenschutz als zusätzliches Druckmittel nutzen. Dies erfolgt zum einen durch Geltendmachung der umfassenden Auskunftsansprüche, welche binnen kurzer Fristen erfüllt werden müssen, zum anderen durch Geltendmachung von materiellen und immateriellen Schadensersatzansprüchen.

Wichtig ist, dass das Bundesdatenschutzgesetz (BDSG) den Anwendungsbereich der datenschutzrechtlichen Regeln weiter ausdehnt als die Datenschutzgrundverordnung (DSGVO). Während die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gilt, gelten die Regelungen des BDSG ohne diese Einschränkung! Da das deutsche Recht somit weiter als das europäische geht, stellt sich die Frage, inwiefern die europäischen Grundsätze auch auf diese nationale Ausdehnung Anwendung finden. Da die DSGVO „erst“ seit dem 25.05.2018 in Kraft ist, ist dies einer der zahlreichen Punkte, die derzeit noch nicht endgültig – weder vom Gesetzgeber, noch von Gerichten – geklärt sind.

Die DSGVO gilt nicht nur für Datenverarbeiter, bzw. Auftragsdatenverarbeiter, die eine Niederlassung in der EU unterhalten. Auf Grund des sogenannten „Marktortsprinzips“ ist der räumliche Anwendungsbereich der DSGVO deutlich erweitert. „Marktortprinzip“ bedeutet, dass auch Stellen oder Auftragsdatenverarbeiter außerhalb der EU unter die DSGVO unterfallen, wenn die Datenverarbeitung dazu dient, in der EU Waren oder Dienstleistungen anzubieten oder die Datenverarbeitung der Beobachtung des Verhaltens der betroffenen Personen dient, soweit deren Verhalten in der EU erfolgt. Dies betrifft beispielsweise Analysen via Internet von Vorlieben oder Verhaltensweisen von Personen in der EU.

Wie eingangs erwähnt, versuchen Arbeitnehmer in arbeitsrechtlichen Streitigkeiten auch über datenschutzrechtliche Ansprüche den Arbeitgeber unter Druck zu setzen. So kann der Arbeitnehmer als Betroffener grundsätzlich Bestätigung darüber verlangen, ob seine personenbezogenen Daten verarbeitet werden. Dies dürfte in jedem Arbeitsverhältnis der Fall sein. Anschließend hat der Arbeitnehmer einen Anspruch auf umfassende Informationen gemäß Art. 15 DSGVO.

Es stellt sich, gerade bei langjährigen Arbeitsverhältnissen, die Frage, wie weit dieser Auskunftsanspruch geht. In der bisherigen Rechtsprechung (z.B. m Urteil des Landesarbeitsgerichts Baden-Württemberg vom 20.12.2018, Aktenzeichen 17 Sa 11/18) wurde der Auskunftsanspruch bisher zumeist sehr weit ausgelegt. So ist dem Arbeitnehmer nicht nur über Daten aus der Personalakte Auskunft zu erteilen, sondern auch über weitere personenbezogenen Daten, welche nicht in der Personalakte gespeichert sind.

Zwar wurde vom Landgericht Heidelberg (Urteil vom 06.02.2020, Aktenzeichen 4 O 6/19) entschieden, dass kein Auskunftsanspruch besteht, wenn der Aufwand zu hoch ist. Allerdings ging es in diesem Fall um die Sichtung von ca. 10.000 E-Mails durch den Insolvenzverwalter einer insolventen Aktiengesellschaft. Da man als Verarbeiter jedoch ohnehin datenschutzkonform personenbezogene Daten verarbeiten muss und diesbezüglich auch rechenschaftspflichtig ist, dürfte das Argument, dass der Aufwand zur Erfüllung des Auskunftsanspruchs zu hoch sei, nur in Ausnahmefällen gelten. Im Rahmen des Auskunftsanspruches ist zu beachten, dass dem Arbeitnehmer vom Verantwortlichen eine Kopie der personenbezogenen Daten zur Verfügung gestellt werden muss, wobei hierbei Drittrechte nicht beeinträchtigt werden dürfen.

Weiter ist dringend von „BYOD“ („Bring your own device) abzuraten. Dies bedeutet, dass Arbeitnehmer private Endgeräte auch für arbeitsvertragliche Tätigkeiten nutzen. Nach Auffassung des Landesdatenschutzbeauftragten des Landes Baden-Württemberg ist dies datenschutzrechtlich nicht in den Griff zu kriegen. Zum einen können Zugriffsrechte nur mit Einwilligung des Arbeitnehmers auf dessen privates Endgerät erfolgen, zum anderen ist der Arbeitgeber datenschutzrechtlich (Mit-)Verantwortlicher für die Datenverarbeitung auf den privaten Endgeräten.

Da sich das Weisungsrecht des Arbeitgebers nicht auf BYOD erstreckt, müssten ferner umfangreiche vertragliche Regelungen diesbezüglich getroffen werden. Zudem setzen zahlreiche Apps für eine Installation voraus, dass die Nutzer vertragliche Vereinbarungen über Nutzungsbedingungen mit dem Betreiber der App abschließen.

Insofern muss dies auch ebenfalls vertraglich geregelt werden, da der Arbeitgeber grundsätzlich keinen Anspruch darauf hat, dass Beschäftigte bestimmte vom Arbeitgeber gewünschte Apps auf ihren privaten Geräten installieren.

Viele Arbeitgeber holen sich „sicherheitshalber“ Einwilligungen ihrer Arbeitnehmer zur Datenverarbeitung ein. Ob dies im Einzelfall sinnvoll ist, ist genau zu prüfen, da im Falle einer fehlerhaften Einwilligung die Risiken für Arbeitgeber sehr hoch sind.

„Freiwilligkeit“

Eine Einwilligung zur Datenverarbeitung kann lediglich „freiwillig“ erfolgen. Es ist fraglich, ob eine „freiwillige“ Einwilligung im Arbeitsverhältnis auf Grund des damit verbundenen Abhängigkeitsverhältnisses überhaupt möglich ist. Dies wird zum Teil generell verneint. Wann eine Einwilligung im Arbeitsverhältnis „freiwillig“ ist, regelt § 26 Abs. 2 BDSG. Neben einer Prüfung des Einzelfalls kann eine Freiwilligkeit dann vorliegen, wenn der Arbeitnehmer für die Einwilligung einen rechtlichen oder wirtschaftlichen Vorteil erreicht oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen.

Sperrwirkung einer Einwilligung

Neben dem Problem der Freiwilligkeit hat allerdings die Einholung einer Einwilligung zur Folge, dass nach der Einwilligung ein Wechsel auf eine andere Rechtsgrundlage für die Datenverarbeitung grundsätzlich nicht mehr möglich ist! So kann beispielsweise der Arbeitgeber auf Grund eines berechtigten Interesses Daten verarbeiten. Wenn der Arbeitgeber hierzu aber eine Einwilligung des Arbeitnehmers einholt, welche unwirksam ist, kann sich der Arbeitgeber nicht mehr auf die Rechtmäßigkeit der Datenverarbeitung wegen seiner berechtigten Interessen berufen. Ergo: Trotz einer an sich rechtswirksamen Datenverarbeitung würde eine unwirksame Einwilligung die Datenverarbeitung dennoch rechtsunwirksam machen. Vor Erhebung der Daten sollte daher die anwendbare Rechtsgrundlage festgelegt werden und möglichst auf Einwilligungen verzichtet werden.

Wie die vorgenannten Schlaglichter auf bestimmte datenschutzrechtliche Probleme zeigen, können Fehler in Sachen Datenschutz im Arbeitsverhältnis den Arbeitgeber nicht nur Zeit und Nerven rauben, sondern ihn auch, im wahrsten Sinne des Wortes, teuer zu stehen kommen.