Beschäftigtendatenschutz

Nach den letzten Blogs über Videoüberwachung und Datenschutz passt die Rechtsprechungsübersicht von dem Kollegen Prof. Dr. Fuhlrott in der GWR 2017 S. 448 ff. aus meiner Sicht gut. Dabei erwähnt er in der Überschrift, dass sich der Arbeitsschutz hin zum Beschäftigtendatenschutz entwickelt und nicht mehr nur nach den Belastungen der neuen Arbeitsbedingungen gefragt wird, sondern auch danach, wer was sehen bzw. personenbezogene Daten benutzen darf. Auf folgende Themen geht er im Besonderen ein:

  1. Mitbestimmung (im www.)
  2. Datenerhebung (Tatbestandsvoraussetzungen)
  3. Verwertbarkeit (im Prozess)

Gerne schließe ich mich dieser Strukturierung der Urteile an. Im Bereich der Mitbestimmung wird schnell klar, dass Gerichte dazu tendieren, Betriebsräten Informationen sehr umfänglich zur Verfügung zu stellen und die Mitbestimmung eher schnell zu bejahen (LAG Hamm, BeckRS 2017, 131298; LAG Nürnberg, ArBR Aktuell 2017, 400). Im Gegenzug hierzu aber technische Überwachungsmöglichkeiten der Mitarbeiter vermeiden mögen (BAG Erfurt, GWR 2017, 82; weniger kritisch ArbG Heilbronn, GWR 2017, 348). Als Ermächtigungsgrundlage für zulässige Datenerhebungen und Einsichtnahmen in personenbezogene Daten bzw. Hardware von Beschäftigten dient weiterhin § 32 I 1 BDSG (wird auch nicht von § 32 I 2 BDSG ausgeschlossen). Hinsichtlich der Verwertbarkeit wird auf ein Urteil des BAG (NZA 2017, 112) verwiesen, das im Rahmen von Zufallsfunden die Verwertung einer Überwachungsmaßnahme bejahte. Daneben wird hinsichtlich von Videoüberwachungen auf das Urteil des LAG Hamm aus Juni 2017 (GWR 2017, 438) verwiesen, das eine Verwertbarkeit auf Grund von erheblicher Persönlichkeitsverletzungen abgelehnt hatte. Dem Autor ist beizupflichten, dass die Vielzahl an Entscheidungen den Schluss nahe legt, dass das Thema stark an Bedeutung gewinnt. Aus meiner Sicht ist ab Mai 2018 mit einem noch stärkeren Anstieg von Urteilen zu rechnen. Da die EU-DSGVO (GDPR) in Kraft tritt, wird das Thema sicher auch zu mehr Medienpräsenz führen. Neben der EU-Verordnung tritt auch das BDSG-neu in Kraft, das sich explizit dem Arbeitnehmerdatenschutz annimmt. Die Aufsicht der Landesdatenschutzbeauftragten bezieht sich natürlich auch auf Arbeitnehmer- bzw. Beschäftigtendatenschutz. Das Thema geht aber in vielen EU-DSGVO-Projekten unter, weil es in den meisten Gap-Analysen auf grün gefleckt ist. Was passiert da? Dem Grunde nach beschäftigen sich viele EU-DSGVO Experten zunächst mit einer Analyse des Regelungsumfanges und dann mit einer Analyse zum bestehenden Recht. Die Verordnung umfasst aber das Thema Beschäftigtendaten nur indirekt, indem die Auskunft eines Unternehmens gegenüber einem Berechtigten vollumfänglich sein muss (dies beinhaltet aus meiner Sicht natürlich die Personalakte). Aber genau in diesem Bereich bestand in den letzten Jahren ein großes Betätigungsfeld von betrieblichen Datenschutzbeauftragten (Fragen wie Videoüberwachung, technische Aufzeichnungen, wer welche Produkte erzeugt hat oder wann, wie im Internet aktiv war oder auch, wie das Userverhalten an der Kaffeemaschine ausgewertet werden kann usw.).

Ich bin mir sicher, dass wir in Zukunft im Rahmen von Lebenszyklen von personenbezogenen Daten eine viel umfänglichere Sicht einnehmen müssen. Es geht nicht mehr darum, punktuell zu versuchen compliant zu sein, sondern darum, personenbezogene Daten zu tracken und vor allem auch zu managen. Ich will mich nicht wiederholen, aber das Beispiel ist einfach zu klar und praktisch: Haben Sie das Löschen von personenbezogenen Daten in Ihrem Unternehmen im Griff – auch auf den einzelnen Rechnern der Mitarbeiter?

Verwandte Beiträge