{"id":506,"date":"2022-02-28T06:48:39","date_gmt":"2022-02-28T05:48:39","guid":{"rendered":"https:\/\/dfbfmc.de\/?p=506"},"modified":"2022-02-27T11:36:12","modified_gmt":"2022-02-27T10:36:12","slug":"datenschutz","status":"publish","type":"post","link":"https:\/\/dfbfmc.de\/?p=506","title":{"rendered":"Fakten zum Besch\u00e4ftigtendatenschutz"},"content":{"rendered":"

Kurzpapier Nr. 14: Besch\u00e4ftigtendatenschutz<\/span><\/h2>\n
\n

Dieses Kurzpapier der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder (Datenschutzkonferenz \u2013 DSK) dient als erste Orientierung insbesondere f\u00fcr den nicht-\u00f6ffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zuk\u00fcnftigen – m\u00f6glicherweise abweichenden – Auslegung des Europ\u00e4ischen Datenschutzausschusses.<\/em><\/p>\n

 <\/p>\n

Aktuelles Recht<\/span><\/h3>\n

Ein umfassendes Besch\u00e4ftigten\u00addatenschutzrecht gibt es derzeit nicht. Die DS-GVO enth\u00e4lt keine konkreten, bereichsspezifischen Regelungen. Vielmehr richtet sich der Besch\u00e4ftigten\u00addatenschutz zun\u00e4chst nach den allgemeinen Regelungen der DS-GVO, die f\u00fcr jedes Rechtsverh\u00e4ltnis gelten. Allerdings enth\u00e4lt Artikel 88 Absatz 1 DS-GVO f\u00fcr den Besch\u00e4ftigten\u00addatenschutz eine sogenannte \u00d6ffnungsklausel. Sie erm\u00f6glicht den Mitgliedstaaten spezifischere Vorschriften f\u00fcr die Verarbeitung personenbezogener Daten im Besch\u00e4ftigten\u00adkontext zu erlassen, die den inhaltlichen Anforderungen des Artikels 88 Absatz 2 DS-GVO entsprechen m\u00fcssen.
\nDer deutsche Gesetzgeber hat auf Bundesebene von dieser \u00d6ffnungsklausel durch Erlass des \u00a7 26 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. F\u00fcr Besch\u00e4ftigte bei Beh\u00f6rden und sonstigen \u00f6ffentlichen Stellen des Bundes und der L\u00e4nder \u2013 einschlie\u00dflich der Kommunen \u2013 gelten besondere bundes- und landesspezifische Regelungen (zum Beispiel beamtenrechtliche Vorschriften).<\/p>\n

Inhalt \u00a7 26 BDSG<\/span><\/h3>\n

I) Datenverarbeitung zum Zweck des Besch\u00e4ftigten\u00adverh\u00e4ltnisses<\/span><\/h4>\n
1.) Grundsatz, \u00a7 26 Absatz 1 Satz 1, 1. Halbsatz BDSG<\/span><\/h5>\n

Nach \u00a7 26 Absatz 1 Satz 1 BDSG d\u00fcrfen personenbezogene Daten von Besch\u00e4ftigten f\u00fcr Zwecke des Besch\u00e4ftigungsverh\u00e4ltnisses verarbeitet werden, soweit dies insbesondere f\u00fcr die Begr\u00fcndung, Durchf\u00fchrung oder Beendigung des Besch\u00e4ftigungsverh\u00e4ltnisses erforderlich ist.<\/p>\n

2.) Kollektivvereinbarungen, \u00a7 26 Absatz 1 Satz 1 und Absatz 4 BDSG<\/span><\/h5>\n

In \u00a7 26 Absatz 1 Satz 1 und Absatz 4 BDSG ist ausdr\u00fccklich geregelt, dass die Verarbeitung von Besch\u00e4ftigten\u00addaten auch auf der Grundlage von Kollektivvereinbarungen zul\u00e4ssig ist. Dazu geh\u00f6ren Tarifvertr\u00e4ge sowie Betriebs- und Dienstvereinbarungen (vergleiche Erw\u00e4gungsgrund 155 zur DS-GVO). Die Verhandlungspartner haben die inhaltlichen Vorgaben des Artikels 88 Absatz 2 DS-GVO zu beachten.
\nDemnach sind geeignete und besondere Ma\u00dfnahmen zur Wahrung der menschlichen W\u00fcrde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DS-GVO absenken.<\/p>\n

Besch\u00e4ftigten\u00addaten d\u00fcrfen auch verarbeitet werden, soweit es f\u00fcr die Rechte und Pflichten der Interessenvertretungen der Besch\u00e4ftigten erforderlich ist; unabh\u00e4ngig davon, ob sich diese aus einem Gesetz, Tarifvertrag beziehungsweise einer Betriebs- oder Dienstvereinbarung ergeben (\u00a7 26 Absatz 1 Satz 1, 2. Halbsatz BDSG).<\/p>\n

3.) Einwilligung<\/span><\/h5>\n

Im Besch\u00e4ftigungsverh\u00e4ltnis kommt eine wirksame Einwilligung regelm\u00e4\u00dfig nicht in Betracht. Nur ausnahmsweise k\u00f6nnen Besch\u00e4ftigte in die Verarbeitung ihrer personenbezogenen Daten durch ihre Arbeitgeber einwilligen. Rechtswirksam ist diese Einwilligung nur, wenn sie freiwillig erteilt wird (vgl. Artikel 7 DS-GVO in Verbindung mit Erw\u00e4gungsrund 43). Wegen des zwischen den Arbeitgebern und den Besch\u00e4ftigten bestehenden \u00dcber-\/Unterordnungsverh\u00e4ltnisses steht jedoch regelm\u00e4\u00dfig in Frage, ob Besch\u00e4ftigte gegen\u00fcber ihrem Arbeitgeber oder ihrer Arbeitgeberin tats\u00e4chlich freiwillig ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilen. Die Freiwilligkeit d\u00fcrfte bereits entfallen, wenn sich die betroffene Person im Besch\u00e4ftigungsverh\u00e4ltnis beeinflusst, gedr\u00e4ngt, bestimmt oder gezwungen sieht, ohne dass es einer Zwangsaus\u00fcbung bedarf.<\/p>\n

\u00a7 26 Absatz 2 BDSG nennt Kriterien, wann unter anderem von der Freiwilligkeit einer durch einen Besch\u00e4ftigten erteilten Einwilligung ausgegangen werden kann: Wenn der Besch\u00e4ftigte einen rechtlichen oder wirtschaftlichen Vorteil erh\u00e4lt oder wenn Arbeitgeber oder Arbeitgeberin und Besch\u00e4ftigte gleichgelagerte Interessen verfolgen.<\/p>\n

Im Hinblick auf diese gesetzlichen Regelvermutungen kommt aufgrund des \u00dcber-\/Unterordnungsverh\u00e4ltnisses eine Datenverarbeitung mittels einer Einwilligung nur ausnahmsweise zum Tragen. Dieses wird in der Praxis \u00fcberwiegend in Konstellationen m\u00f6glich sein, die nicht das Arbeitsverh\u00e4ltnis als solches, sondern Zusatzleistungen des Arbeitgebers oder der Arbeitgeberin betreffen (wie zum Beispiel bei der Gestattung privater Nutzung dienstlicher Fahrzeuge, Telefone und EDV-Ger\u00e4te; Einf\u00fchrung eines betrieblichen Gesundheits\u00admanagements zur Gesundheitsf\u00f6rderung; Aufnahme in Geburtstagslisten).<\/p>\n

Die Einwilligung hat nach \u00a7 26 Absatz 2 Satz 3 BDSG grunds\u00e4tzlich in schriftlicher oder elektronischer Form zu erfolgen, um die informationelle Selbstbestimmung der betroffenen Besch\u00e4ftigten abzusichern. Damit wird zugleich die Nachweispflicht des Arbeitgebers oder der Arbeitgeberin im Sinne des Artikels 7 Absatz 1 DS-GVO konkretisiert. Hinzu kommen die Pflicht des Arbeitgebers oder der Arbeitgeberin zur Aufkl\u00e4rung in Textform \u00fcber den Zweck der Datenverarbeitung und der jederzeit m\u00f6gliche Widerruf durch die Besch\u00e4ftigten sowie die damit verbundenen Folgen nach Artikel 7 Absatz 3 DS-GVO.<\/p>\n

Im Bereich \u00f6ffentlicher Stellen wird die Einwilligung im Dienst- oder Arbeitsverh\u00e4ltnis entsprechend nur unter engen Voraussetzungen in Betracht kommen, insbesondere wenn eine auf eine Einwilligung gest\u00fctzte Datenverarbeitung explizit in den jeweiligen Landesgesetzen vorgesehen ist.<\/p>\n

II) Zur Aufdeckung von Straftaten<\/span><\/h4>\n

Nach \u00a7 26 Absatz 1 Satz 2 BDSG d\u00fcrfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tats\u00e4chliche Anhaltspunkte den Verdacht begr\u00fcnden, dass die betroffene Person im Besch\u00e4ftigungsverh\u00e4ltnis eine Straftat begangen hat. Verarbeitungen zur Verdachtserforschung sind daher grunds\u00e4tzlich nicht zul\u00e4ssig.<\/p>\n

Die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzw\u00fcrdige Interesse der oder des Besch\u00e4ftigten an dem Ausschluss der Verarbeitung darf nicht \u00fcberwiegen. Insbesondere d\u00fcrfen Art und Ausma\u00df im Hinblick auf den Anlass nicht unverh\u00e4ltnism\u00e4\u00dfig sein.<\/p>\n

Die Verarbeitung darf erst erfolgen, nachdem die Anhaltspunkte vorliegen. Die vorsorgliche Verarbeitung \u201eauf Vorrat\u201c ist daher unzul\u00e4ssig. Arbeitgeber oder Arbeitgeberinnen d\u00fcrfen Daten also nicht f\u00fcr den Fall erheben, dass sp\u00e4ter eine Straftat im Besch\u00e4ftigten\u00adverh\u00e4ltnis begangen werden k\u00f6nnte. Zudem m\u00fcssen sich die Ma\u00dfnahmen gegen bestimmte verd\u00e4chtigte Besch\u00e4ftigte richten, nicht gegen gr\u00f6\u00dfere Gruppen von Besch\u00e4ftigten.<\/p>\n

III) Besondere Kategorien personenbezogener Daten<\/span><\/h4>\n

Die Verarbeitung besonderer Kategorien personenbezogener Daten (siehe Artikel 9 Absatz 1 DS-GVO) ist im Besch\u00e4ftigten\u00adkontext unter anderem unter den Voraussetzungen des \u00a7 26 Absatz 3 Satz 1 BDSG m\u00f6glich. Gem\u00e4\u00df \u00a7 26 Absatz 3 Satz 2 in Verbindung Besch\u00e4ftigten\u00addatenschutz Stand: 24.09.2020 Seite 3 mit \u00a7 26 Absatz 2 BDSG kann sich auch eine wirksame Einwilligung auf diese Datenkategorien erstrecken, sofern sich die Einwilligung ausdr\u00fccklich auf diese Daten bezogen hat.<\/p>\n

Nach \u00a7 26 Absatz 3 Satz 3 BDSG hat der Verantwortliche zudem \u00a7 22 Absatz 2 BDSG zu beachten und angemessene und spezifische Ma\u00dfnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (siehe beispielhafte Auflistung technischer und organisatorischer Ma\u00dfnahmen in \u00a7 22 Absatz 2 Satz 2 BDSG).<\/p>\n

Gem\u00e4\u00df \u00a7 26 Absatz 4 BDSG k\u00f6nnen auch Kollektivvereinbarungen Rechtsgrundlagen f\u00fcr die Verarbeitung besonderer Kategorien personenbezogener Daten darstellen. Dabei haben die Verhandlungspartner \u2013 wie oben dargelegt \u2013 die inhaltlichen Vorgaben des Artikel 88 Absatz 2 DS-GVO zu beachten.<\/p>\n

\u00a7 26 Absatz 5 BDSG enth\u00e4lt einen Verweis auf Artikel 5 Absatz 1 DS-GVO (Verarbeitungsgrunds\u00e4tze). Es wird besonders hervorgehoben, dass bei der Verarbeitung von Besch\u00e4ftigten\u00addaten vom Verantwortlichen geeignete Ma\u00dfnahmen zur Einhaltung der Verarbeitungsgrunds\u00e4tze zu ergreifen sind. Damit wird insbesondere das Erfordernis der rechtm\u00e4\u00dfigen Verarbeitung ebenso betont, wie die Sicherung vor unbefugter beziehungsweise unrechtm\u00e4\u00dfiger Verarbeitung und die Begrenzung der Speicherung auf das erforderliche Ma\u00df.<\/p>\n

IV) Verarbeitung au\u00dferhalb von Dateisystemen<\/span><\/h4>\n

Gem\u00e4\u00df \u00a7 26 Absatz 7 BDSG gilt der gesamte \u00a7 26 BDSG auch f\u00fcr solche Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit ist der Anwendungsbereich des \u00a7 26 BDSG weiter gefasst, als der Anwendungsbereich der DSGVO.<\/p>\n

Auf das Vorhandensein einer zumindest strukturierten Sammlung von Daten (Dateisystem) im Sinne des Artikels 4 Nummer 6 DS-GVO kommt es daher nicht an. Somit unterfallen alle Formen der Verarbeitung von personenbezogenen Daten im Besch\u00e4ftigungsverh\u00e4ltnis \u2013 papiergebundene sowie m\u00fcndliche Formen, aber auch rein tats\u00e4chliche Handlungen \u2013 den datenschutzrechtlichen Bestimmungen (vergleiche zum Beispiel Urteil des Bundesarbeitsgerichts vom 20.06.2013, Aktenzeichen 2 AZR 546\/12). Dies k\u00f6nnen zum Beispiel handschriftliche Notizen des Arbeitgebers oder der Arbeitgeberin \u00fcber Besch\u00e4ftigte sein.<\/p>\n

V) Definition \u201eBesch\u00e4ftigte\u201c<\/span><\/h4>\n

\u00a7 26 Absatz 8 BDSG enth\u00e4lt die Definition des Begriffs \u201eBesch\u00e4ftigte\u201c. Darin wird klargestellt, dass die Besch\u00e4ftigten\u00adeigenschaft von Leiharbeitnehmern und Leiharbeitnehmerinnen auch im Verh\u00e4ltnis zum Entleiher \u2013 also nicht nur zum Verleiher \u2013 vorliegt.<\/p>\n

Anwendbarkeit der DS-GVO im \u00dcbrigen<\/span><\/h3>\n

I) Allgemein<\/span><\/h4>\n

Die Reichweite des \u00a7 26 BDSG oder landesrechtlicher Regelungen und damit die verbleibende Anwendbarkeit der DS-GVO im Besch\u00e4ftigten\u00adkontext ist im jeweiligen Einzelfall zu pr\u00fcfen. Hierbei ist auch der Sinn und Zweck des Artikels 88 DS-GVO in Verbindung mit den jeweiligen Rechtsvorschriften zu ber\u00fccksichtigen.<\/p>\n

II) Zweck\u00e4nderung<\/span><\/h4>\n

Im Besch\u00e4ftigten\u00adkontext erfolgt \u2013 von Einzelf\u00e4llen auf Basis einer freiwilligen Einwilligung abgesehen \u2013 die Verarbeitung von Daten \u00fcberwiegend auf Grundlage gesetzlicher Regelungen. Zudem erfolgt die Verarbeitung im Rahmen eines \u00dcber-\/ Unterordnungsverh\u00e4ltnisses. Sowohl die Bewertung der Kriterien des Artikels 6 Absatz 4 DS-GVO als auch die Interessenabw\u00e4gung nach Artikel 6 Absatz 1 Buchstabe f DSGVO wird daher grunds\u00e4tzlich zu dem Ergebnis kommen m\u00fcssen, dass auch f\u00fcr neue Verwendungszwecke noch ein innerer Zusammenhang zum Besch\u00e4ftigten\u00adverh\u00e4ltnis im weitesten Sinne bestehen muss. Eine Verwendung zu g\u00e4nzlich anderen Zwecken (zum Beispiel Verkauf an Dritte zu Werbezwecken) wird demnach ausgeschlossen sein; ein solcher Zweck ist mit dem urspr\u00fcnglichen unvereinbar beziehungsweise es \u00fcberwiegen in solchen Konstellationen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen. Im \u00dcbrigen sind in diesem Zusammenhang auch \u00a7 23 (\u201eVerarbeitung zu anderen Zwecken durch \u00f6ffentliche Stellen\u201c) und \u00a7 24 BDSG (\u201eVerarbeitung zu anderen Zwecken durch nicht\u00f6ffentliche Stellen\u201c) sowie landesrechtliche Regelungen zu beachten.<\/p>\n

III) Rechtsfolgen bei Versto\u00df<\/span><\/h4>\n

Ein Versto\u00df gegen die Pflichten des \u00a7 26 BDSG ist gem\u00e4\u00df Artikel 83 Absatz 5 Buchstabe d DS-GVO mit einem Bu\u00dfgeldrahmen von bis zu 20 Millionen EUR (beziehungsweise 4 % des weltweiten Jahresumsatzes) sanktioniert. Strafrechtliche Regelungen enth\u00e4lt \u00a7 42 BDSG.<\/p>\n

F\u00fcr den \u00f6ffentlichen Bereich gelten besondere Regelungen.<\/p>\n

Ausblick<\/span><\/h3>\n

Der Gesetzgeber hat sich vorbehalten, konkretere Vorschriften zum Besch\u00e4ftigten\u00addatenschutz zu erlassen. Ein solches Besch\u00e4ftigten\u00addatenschutzgesetz k\u00f6nnte unter anderem das Fragerecht bei der Einstellung von Bewerberinnen und Bewerbern, die Problematik eines Pre-Employment-Screenings, die Grenzen zul\u00e4ssiger Kontrollen von Besch\u00e4ftigten, die Begrenzung von Lokalisierungen (GPS) und die Verwendung biometrischer Authentifizierungs- und Autorisierungssysteme oder die Nutzung k\u00fcnstlicher Intelligenz zum Gegenstand haben.<\/p>\n

\n
\n

 <\/p>\n

 <\/p>\n

\n

Anmerkung zur Nutzung dieses Kurzpapiers:<\/span><\/h3>\n

Dieses Kurzpapier darf \u2013 ohne R\u00fcckfrage bei einer Aufsichtsbeh\u00f6rde \u2013 kommerziell und nicht kommerziell genutzt, insbesondere vervielf\u00e4ltigt, ausgedruckt, pr\u00e4sentiert, ver\u00e4ndert, bearbeitet sowie an Dritte \u00fcbermittelt oder auch mit eigenen Daten und Daten Anderer zusammengef\u00fchrt und zu selbst\u00e4ndigen neuen Datens\u00e4tzen verbunden werden, wenn der\u00a0 folgende\u00a0 Quellenvermerk\u00a0 angebracht\u00a0 wird:
\n\u201eKonferenz\u00a0 der\u00a0 unabh\u00e4ngigen\u00a0 Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder (Datenschutzkonferenz). Datenlizenz Deutschland \u2013 Namensnennung \u2013 Version 2.0 (www.govdata.de\/dl-de\/by-2-0<\/a>)<\/em>„.<\/p>\n

Quelle<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Kurzpapier Nr. 14: Besch\u00e4ftigtendatenschutz Dieses Kurzpapier der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder (Datenschutzkonferenz \u2013 DSK) dient als erste Orientierung insbesondere f\u00fcr den nicht-\u00f6ffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO)...<\/p>\n","protected":false},"author":2,"featured_media":508,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-506","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles"],"_links":{"self":[{"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/posts\/506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=506"}],"version-history":[{"count":14,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/posts\/506\/revisions"}],"predecessor-version":[{"id":1146,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/posts\/506\/revisions\/1146"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=\/wp\/v2\/media\/508"}],"wp:attachment":[{"href":"https:\/\/dfbfmc.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dfbfmc.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}