Datenschutzrecht im Arbeitskontext
Um die Funktionsweise des Datenschutzes im Bereich der Arbeitssicherheit zu verstehen, ist es erst einmal wichtig, dessen Schutzrichtung und Grundlagen zu kennen. Wer als Fachkraft für Arbeitssicherheit oder sonst wie Verantwortlicher die Basics des Datenschutzes kennt, kann auch in Zweifelsfällen eine sachgerechte Lösung finden, die den Anforderungen des Datenschutzes standhält. Ein aktuelles Datenschutzthema in vielen Unternehmen ist beispielsweise die Einführung von Gesundheits-Apps, intelligenter PSA oder Wearables. Aber auch vermeintlich Triviales wie Notizen beim Betriebsrundgang, der Austausch mit dem Betriebsarzt oder Gesundheitsmanagement, die Erstellung von Schulungsunterlagen oder Unterweisungsfolien mit eigenen Bildern berührt das Datenschutzrecht.
Personenbezogene Daten schützen
Kurzum: Fachkräfte für Arbeitssicherheit haben regelmäßig mit personenbezogenen Daten zu tun. Unabdingbar ist daher die Kenntnis, welche Informationen, die im Arbeitsschutz verarbeitet werden, datenschutzrechtliche Relevanz haben. Die Datenschutz-Grundverordnung (DSGVO) definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Identifizierbar ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Kennung können dabei zum Beispiel der Name sein, Standortdaten, eine Online-Kennung, die IP-Adresse eines Computers oder ein Merkmal, das Ausdruck der physischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person ist. Die Identifizierbarkeit kann sich dabei auf persönliche Verhältnisse (Name, Anschrift, Geburtsdatum, Familienstand, Aussehen, Telefonnummer (dienstlich oder privat), Arbeitgeber und Beruf, Zeugnisse, berufliche Bewertungen etc.) beziehen oder auf sachliche Verhältnisse (Einkommen, Steuern, Versicherungen, Vertragsbeziehungen, Führen von Telefonaten, Umfang der Internet-Nutzung etc.). Zudem nennt der Gesetzgeber noch die besonderen Kategorien personenbezogener Daten. Das können Informationen einer natürlichen Person sein, welche die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, eine Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben betreffen. Diese Daten sind ganz besonders vor unzulässigen Eingriffen geschützt.
Datenschutzrecht: Die wichtigsten Regeln zum Datenschutz
Die wichtigsten Regeln zum Datenschutz enthalten die inzwischen wohl allseits bekannte Datenschutz-Grundverordnung (DSGVO), die seit 2018 in allen Mitgliedsstaaten der EU gleichermaßen gilt, und das deutsche Bundesdatenschutzgesetz (BDSG), das in seiner ersten Fassung bereits Ende der 1970er Jahre erlassen wurde.
Das BDSG wurde im Zusammenhang mit dem Inkrafttreten der DSGVO novelliert und ergänzt diese an den Stellen, deren Regelung die EU ihren Mitgliedsstaaten überlassen hat. Das betrifft unter anderem die Verarbeitung von Beschäftigtendaten, die Videoüberwachung oder die Bestellung von Datenschutzbeauftragten.
Ursprung des Datenschutzrechts im Persönlichkeitsrecht
Seinen Ursprung findet das Datenschutzrecht des Einzelnen im verfassungsrechtlich verankerten Persönlichkeitsrecht. Im Jahr 1983 urteilte das Bundesverfassungsgericht, dass jeder natürlichen Person ein Recht auf informationelle Selbstbestimmung zustehe. Dieses sei – ähnlich wie das Recht am eigenen Bild oder das Recht auf Vertraulichkeit des gesprochenen Wortes – ein integraler Bestandteil des allgemeinen Persönlichkeitsrechts eines jeden Menschen. Die Kernaussage des Rechts auf informationelle Selbstbestimmung lautet, dass jedermann das Recht habe, selbst darüber entscheiden zu können, wie er sich nach außen darstellt und welche Informationen er an Dritte preisgibt. Dabei unterscheidet man drei Persönlichkeitssphären: die Intimsphäre, welche die innere Gedankenwelt, Sexualität und Gesundheit beziehungsweise Krankheit betrifft. Sie ist unantastbar und grundsätzlich umfassend gegen ungewollte Eingriffe geschützt. Sie spiegelt sich beispielsweise in der ärztlichen Schweigepflicht wider. Die Privatsphäre betrifft das private Leben des Einzelnen im häuslichen oder familiären Bereich und ist überwiegend geschützt. Das Recht auf Unverletzlichkeit der Wohnung etwa ist eine Ausprägung der geschützten Privatsphäre. Die Sozialsphäre wiederum betrifft das öffentliche und berufliche Verhalten einer Person. Hier wird im Vergleich zu den anderen beiden Persönlichkeitssphären das geringste Schutzbedürfnis angenommen. Das hat zur Folge, dass Eingriffe auf dieser Ebene am ehesten möglich sind.
Eingriffe in das Datenschutzrecht bedürfen einer Rechtsgrundlage und müssen verhältnismäßig sein
Der Gesetzgeber hat sich bei der datenschutzrechtlichen Systematik für ein Verbot mit Erlaubnisvorbehalt entschieden. Dieser etwas sperrige Begriff meint nichts anderes, als dass grundsätzlich alle Eingriffe in das informationelle Selbstbestimmungsrecht verboten sind, es sei denn derjenige, der die geschützten Daten über eine Person nutzen möchte, hat eine Erlaubnis hierzu. Die Erlaubnis kann sich entweder aufgrund einer Einwilligung des Betroffenen ergeben oder es gibt eine konkrete Rechtsgrundlage für den Eingriff, zum Beispiel durch eine Rechtsvorschrift, welche die konkrete Datenverarbeitung erlaubt. So kann sich der Fahrer eines Pkw nicht einer allgemeinen Verkehrskontrolle durch Polizeibeamte mit dem Hinweis auf sein informationelles Selbstbestimmungsrecht entziehen, weil die Vorschrift des § 36 der Straßenverkehrsordnung diese Kontrolle und die damit verbundene Datenerhebung erlaubt. Voraussetzung einer Einwilligung des Betroffenen ist, dass diese freiwillig, also ohne Zwang oder Druck und nur für einen bestimmten, abgrenzbaren Bereich erteilt wird.
Grundlage für Datenverarbeitung nachträglich entziehen
Das bedeutet im Umkehrschluss, dass zum Beispiel eine in einem Arbeitsvertrag enthaltene pauschale Einwilligung zur Datenverarbeitung zu allen arbeitgeberrelevanten Zwecken unzulässig wäre. Problematisch für denjenigen, welcher die personenbezogenen Daten einer Person nutzen möchte, ist zudem, dass die Einwilligung im Grundsatz jederzeit vom Betroffenen widerrufen und dadurch die Grundlage für eine Datenverarbeitung nachträglich entzogen werden kann. Besteht in diesen Fällen kein anderer (gesetzlicher) Rechtfertigungsgrund, wird die Datenverarbeitung rechtswidrig. Liegt hingegen von Beginn an keine Einwilligung des Betroffenen vor oder scheut der Datenverarbeitende das potenzielle Risiko eines Widerrufs der Einwilligung, benötigt er eine gesetzliche Grundlage bzw. Rechtfertigung für die Datenverarbeitung. Hierzu benennt die DSGVO in ihrem Artikel 6 abschließend verschiedene Rechtfertigungsgründe, bei denen eine Datenverarbeitung ohne Einwilligung zulässig ist. Personenbezogene Daten dürfen demnach erhoben werden zur Erfüllung von Verträgen oder Durchführung vorvertraglicher Maßnahmen, zur Erfüllung einer rechtlichen Verpflichtung, zum Schutz lebenswichtiger Interessen von Personen oder von berechtigten Interessen, welche die Datenverarbeitung erforderlich machen (zum Beispiel IT-Sicherheit im Unternehmen oder der rechtlichen Durchsetzung von Ansprüchen gegen Dritte).
Datenverarbeitung durch den Arbeitgeber
Der Begriff der Datenverarbeitung wird dabei sehr weit definiert und umfasst den gesamten Umgang mit personenbezogenen Daten, also das Erheben von Daten (Daten beschaffen, sammeln), Speichern, Ändern (zum Beispiel Berichtigung einer E‑Mail-Adresse), Nutzen (zum Beispiel Abfragen starten), Übermitteln (durch Weitergabe an Dritte oder auch nur das „Reinschauen“ lassen), Verknüpfen (mit anderen Daten) oder das Löschen (einschließlich Vernichten eines Datenträgers).
Eine wichtige Rechtsgrundlage zur Datenverarbeitung durch den Arbeitgeber stellt § 26 BDSG dar. Diese Vorschrift erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, aber nur in den Fällen, in denen dies aus Sicht des Arbeitgebers tatsächlich erforderlich ist. So hat der Arbeitgeber beispielsweise in Krankheitsfällen zwar das Recht, unverzüglich zu erfahren, wie lange der oder die Beschäftigte voraussichtlich ausfallen wird, damit er im Betrieb entsprechend disponieren kann (etwa Anordnung von Mehrarbeit der übrigen Beschäftigten oder vorübergehende Bestellung einer Ersatzkraft). Es ist aber nicht erforderlich, die Diagnose des oder der erkrankten Beschäftigten zu erfahren. Zum einen sind die Gesundheits- bzw. Krankheitsdaten
– als der Intimsphäre zugehörig – nach der DS-GVO besonders geschützt und zum anderen ist die Kenntnis der Diagnose für die Frage der betrieblichen Disposition des krankheitsbedingten Ausfalls nicht notwendig.
Weitere Voraussetzung für jede Datenverarbeitung ist, dass diese verhältnismäßig sein muss. Das ist der Fall, wenn es einen legitimen (rechtmäßigen) Zweck für die Datenverarbeitung und gleichzeitig kein milderes Mittel gibt, das den angestrebten Zweck gleichermaßen erreicht. Zudem muss die Datenverarbeitung angemessen sein. Das bedeutet, dass eine Abwägung zwischen dem informationellen Selbstbestimmungsrecht des Betroffenen und den Interessen des Datenverarbeiters vorgenommen werden muss und diese zugunsten des Verwenders der Daten ausfällt. Diese Abwägung ist bei jeder Datenverarbeitung durchzuführen.
Die Grundprinzipien einer Datenverarbeitung:
- Transparenz,
- Zweckbindung,
- Datenminimierung,
- Richtigkeit,
- Speicherbegrenzung,
- Integrität und
- Vertraulichkeit.
Eingriffe ins Datenschutzrecht
Zur Bewertung datenschutzrechtlicher Eingriffe hat die DSGVO verschiedene Grundprinzipien aufgestellt, welche die Verhältnismäßigkeitsprüfung konkretisieren und stets zu beachten sind. Das Prinzip der Transparenz besagt, dass personenbezogene Daten nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden dürfen. Die Information darüber, dass die Daten verarbeitet werden, muss leicht zugänglich und in verständlicher Sprache abgefasst sein. Zudem muss deutlich erkennbar sein, wer die Daten verarbeitet, zu welchem Zweck dies geschieht, und es muss ein Hinweis über die Rechte des Betroffenen erfolgen. Das Prinzip der Zweckbindung besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden dürfen. Demnach ist die betroffene Person nicht nur darüber zu informieren, zu welchem Zweck die Verarbeitung der Daten erfolgt (Transparenz), die erhobenen Daten dürfen vielmehr auch nur zu diesem angegebenen Zweck genutzt werden.
Das Prinzip der Datenminimierung gibt vor, dass die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein müssen. Personenbezogene Daten müssen zudem sachlich richtig und erforderlichenfalls auf dem aktuellen Stand sein. Dabei gilt es, alle angemessenen Maßnahmen zu treffen, um personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich zu löschen oder zu berichtigen (Prinzip der Richtigkeit). Personenbezogene Daten dürfen ferner nur so lange gespeichert werden, wie es für die Zwecke, in deren Rahmen sie verarbeitet werden, erforderlich ist (Prinzip der Speicherbegrenzung). So dürfen Arbeitgeber beispielsweise Daten von abgelehnten Bewerbern nicht „auf Halde“, sondern längstens vier Monate speichern.
Letztlich gebietet das Prinzip der Integrität und Vertraulichkeit die Sicherheit personenbezogener Daten – einschließlich des Schutzes vor unbefugter Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Beschädigung. Die Sicherheit ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten, zum Beispiel durch Zugriffsberechtigungen, Passwortschutz, regelmäßige Backups, Verschlüsselungen etc. Über die vorgenannten datenschutzrechtlichen Prinzipien muss der Verantwortliche gegenüber Dritten, insbesondere Betroffenen und den Datenschutzbehörden Rechenschaft ablegen. Kann er dies nicht, drohen Bußgelder und Schadenersatzforderungen von Betroffenen. Da der Datenschutz im Unternehmen oder in der Dienststelle
– ebenso wie der Arbeitsschutz – auf Geschäftsleitungsebene angesiedelt ist, sind in erster Linie Geschäftsführer, Vorstände oder Behördenleiter für die Einhaltung des Datenschutzes verantwortlich. Beraten werden sie hierbei von den betrieblichen Datenschutzbeauftragten, die Informations- und Überwachungspflichten gegenüber der Geschäftsleitung haben. Aber auch darüber hinaus sind die im Betrieb tätige Mitarbeiter oder für den Betrieb tätige Auftragnehmer für die Einhaltung des Datenschutzes verantwortlich. Hierzu zählen auch interne oder externe Fachkräfte für Arbeitssicherheit. Auch hieran zeigt sich die Notwendigkeit, über ausreichend Kenntnis im Bereich des Datenschutzes zu verfügen.
Autor:
Rechtsanwalt Matthias Klagge, LL.M.
TIGGES Rechtsanwälte