1 Monat GRATIS testen, danach für nur 3,90€/Monat!
Startseite » Sicherheitsingenieur »

Arbeitssicherheit und Datenschutz

Verfassungsrechtlich verankertes Persönlichkeitsrecht
Auswirkungen des Datenschutzes auf die Arbeitssicherheit

Datenschutzrecht im Arbeitskontext
Auch interne oder externe Fachkräfte für Arbeitssicherheit müssen die Bestimmungen des Datenschutzes einhalten. Foto: © Goss Vitalij – stock.adobe.com
Matthias Klagge
Daten­schutz ist ein hochak­tuelles The­ma in der Arbeitswelt. Dabei geht es nicht nur um Begriffe wie Arbeit 4.0, Big Data oder Agilität, welche die fortschre­i­t­ende Dig­i­tal­isierung der Arbeit illus­tri­eren. Rel­e­vant ist der Daten­schutz auch schon dann, wenn Arbeit­sun­fälle unter­sucht wer­den oder der Schreibtisch für eine Mitar­bei­t­erin nach ergonomis­chen Gesicht­spunk­ten einzustellen ist. Oft ist den Beteiligten jedoch unklar, was alles in den Bere­ich Daten­schutz fällt und ob die eigene Tätigkeit bere­its davon betrof­fen ist. Mit der Verknüp­fung von Arbeitssicher­heit und Daten­schutz im Unternehmen beschäftigt sich diese mehrteilige Beitragsreihe.

Datenschutzrecht im Arbeitskontext

Um die Funk­tion­sweise des Daten­schutzes im Bere­ich der Arbeitssicher­heit zu ver­ste­hen, ist es erst ein­mal wichtig, dessen Schutzrich­tung und Grund­la­gen zu ken­nen. Wer als Fachkraft für Arbeitssicher­heit oder son­st wie Ver­ant­wortlich­er die Basics des Daten­schutzes ken­nt, kann auch in Zweifels­fällen eine sachgerechte Lösung find­en, die den Anforderun­gen des Daten­schutzes stand­hält. Ein aktuelles Daten­schutzthe­ma in vie­len Unternehmen ist beispiel­sweise die Ein­führung von Gesund­heits-Apps, intel­li­gen­ter PSA oder Wear­ables. Aber auch ver­meintlich Triv­iales wie Noti­zen beim Betrieb­srundgang, der Aus­tausch mit dem Betrieb­sarzt oder Gesund­heits­man­age­ment, die Erstel­lung von Schu­lung­sun­ter­la­gen oder Unter­weisungs­folien mit eige­nen Bildern berührt das Datenschutzrecht.

Personenbezogene Daten schützen

Kurzum: Fachkräfte für Arbeitssicher­heit haben regelmäßig mit per­so­n­en­be­zo­ge­nen Dat­en zu tun. Unab­d­ing­bar ist daher die Ken­nt­nis, welche Infor­ma­tio­nen, die im Arbeitss­chutz ver­ar­beit­et wer­den, daten­schutzrechtliche Rel­e­vanz haben. Die Daten­schutz-Grund­verord­nung (DSGVO) definiert per­so­n­en­be­zo­gene Dat­en als alle Infor­ma­tio­nen, die sich auf eine iden­ti­fizierte oder iden­ti­fizier­bare natür­liche Per­son beziehen.

Iden­ti­fizier­bar ist eine Per­son, die direkt oder indi­rekt, ins­beson­dere mit­tels Zuord­nung zu ein­er Ken­nung iden­ti­fiziert wer­den kann. Ken­nung kön­nen dabei zum Beispiel der Name sein, Stan­dort­dat­en, eine Online-Ken­nung, die IP-Adresse eines Com­put­ers oder ein Merk­mal, das Aus­druck der physis­chen, psy­chis­chen, wirtschaftlichen, kul­turellen oder sozialen Iden­tität ein­er natür­lichen Per­son ist. Die Iden­ti­fizier­barkeit kann sich dabei auf per­sön­liche Ver­hält­nisse (Name, Anschrift, Geburts­da­tum, Fam­i­lien­stand, Ausse­hen, Tele­fon­num­mer (dien­stlich oder pri­vat), Arbeit­ge­ber und Beruf, Zeug­nisse, beru­fliche Bew­er­tun­gen etc.) beziehen oder auf sach­liche Ver­hält­nisse (Einkom­men, Steuern, Ver­sicherun­gen, Ver­trags­beziehun­gen, Führen von Tele­fonat­en, Umfang der Inter­net-Nutzung etc.). Zudem nen­nt der Geset­zge­ber noch die beson­deren Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en. Das kön­nen Infor­ma­tio­nen ein­er natür­lichen Per­son sein, welche die eth­nis­che Herkun­ft, poli­tis­che Mei­n­un­gen, religiöse oder weltan­schauliche Überzeu­gun­gen, eine Gew­erkschaft­szuge­hörigkeit, genetis­che oder bio­metrische Dat­en, Gesund­heits­dat­en oder Dat­en zum Sex­u­alleben betr­e­f­fen. Diese Dat­en sind ganz beson­ders vor unzuläs­si­gen Ein­grif­f­en geschützt.

Datenschutzrecht: Die wichtigsten Regeln zum Datenschutz

Die wichtig­sten Regeln zum Daten­schutz enthal­ten die inzwis­chen wohl all­seits bekan­nte Daten­schutz-Grund­verord­nung (DSGVO), die seit 2018 in allen Mit­gliedsstaat­en der EU gle­icher­maßen gilt, und das deutsche Bun­des­daten­schutzge­setz (BDSG), das in sein­er ersten Fas­sung bere­its Ende der 1970er Jahre erlassen wurde.

Das BDSG wurde im Zusam­men­hang mit dem Inkraft­treten der DSGVO nov­el­liert und ergänzt diese an den Stellen, deren Regelung die EU ihren Mit­gliedsstaat­en über­lassen hat. Das bet­rifft unter anderem die Ver­ar­beitung von Beschäftig­ten­dat­en, die Videoüberwachung oder die Bestel­lung von Datenschutzbeauftragten.

Ursprung des Datenschutzrechts im Persönlichkeitsrecht

Seinen Ursprung find­et das Daten­schutzrecht des Einzel­nen im ver­fas­sungsrechtlich ver­ankerten Per­sön­lichkeit­srecht. Im Jahr 1983 urteilte das Bun­desver­fas­sungs­gericht, dass jed­er natür­lichen Per­son ein Recht auf infor­ma­tionelle Selb­st­bes­tim­mung zuste­he. Dieses sei – ähn­lich wie das Recht am eige­nen Bild oder das Recht auf Ver­traulichkeit des gesproch­enen Wortes – ein inte­graler Bestandteil des all­ge­meinen Per­sön­lichkeit­srechts eines jeden Men­schen. Die Ker­naus­sage des Rechts auf infor­ma­tionelle Selb­st­bes­tim­mung lautet, dass jed­er­mann das Recht habe, selb­st darüber entschei­den zu kön­nen, wie er sich nach außen darstellt und welche Infor­ma­tio­nen er an Dritte preis­gibt. Dabei unter­schei­det man drei Per­sön­lichkeitssphären: die Intim­sphäre, welche die innere Gedanken­welt, Sex­u­al­ität und Gesund­heit beziehungsweise Krankheit bet­rifft. Sie ist unan­tast­bar und grund­sät­zlich umfassend gegen unge­wollte Ein­griffe geschützt. Sie spiegelt sich beispiel­sweise in der ärztlichen Schweigepflicht wider. Die Pri­vat­sphäre bet­rifft das pri­vate Leben des Einzel­nen im häus­lichen oder famil­iären Bere­ich und ist über­wiegend geschützt. Das Recht auf Unver­let­zlichkeit der Woh­nung etwa ist eine Aus­prä­gung der geschützten Pri­vat­sphäre. Die Sozial­sphäre wiederum bet­rifft das öffentliche und beru­fliche Ver­hal­ten ein­er Per­son. Hier wird im Ver­gle­ich zu den anderen bei­den Per­sön­lichkeitssphären das ger­ing­ste Schutzbedürf­nis angenom­men. Das hat zur Folge, dass Ein­griffe auf dieser Ebene am ehesten möglich sind.

Eingriffe in das Datenschutzrecht bedürfen einer Rechtsgrundlage und müssen verhältnismäßig sein

Der Geset­zge­ber hat sich bei der daten­schutzrechtlichen Sys­tem­atik für ein Ver­bot mit Erlaub­nisvor­be­halt entsch­ieden. Dieser etwas sper­rige Begriff meint nichts anderes, als dass grund­sät­zlich alle Ein­griffe in das infor­ma­tionelle Selb­st­bes­tim­mungsrecht ver­boten sind, es sei denn der­jenige, der die geschützten Dat­en über eine Per­son nutzen möchte, hat eine Erlaub­nis hierzu. Die Erlaub­nis kann sich entwed­er auf­grund ein­er Ein­willi­gung des Betrof­fe­nen ergeben oder es gibt eine konkrete Rechts­grund­lage für den Ein­griff, zum Beispiel durch eine Rechtsvorschrift, welche die konkrete Daten­ver­ar­beitung erlaubt. So kann sich der Fahrer eines Pkw nicht ein­er all­ge­meinen Verkehrskon­trolle durch Polizeibeamte mit dem Hin­weis auf sein infor­ma­tionelles Selb­st­bes­tim­mungsrecht entziehen, weil die Vorschrift des § 36 der Straßen­verkehrsor­d­nung diese Kon­trolle und die damit ver­bun­dene Daten­er­he­bung erlaubt. Voraus­set­zung ein­er Ein­willi­gung des Betrof­fe­nen ist, dass diese frei­willig, also ohne Zwang oder Druck und nur für einen bes­timmten, abgrenzbaren Bere­ich erteilt wird.

Grundlage für Datenverarbeitung nachträglich entziehen

Das bedeutet im Umkehrschluss, dass zum Beispiel eine in einem Arbeitsver­trag enthal­tene pauschale Ein­willi­gung zur Daten­ver­ar­beitung zu allen arbeit­ge­ber­rel­e­van­ten Zweck­en unzuläs­sig wäre. Prob­lema­tisch für den­jeni­gen, welch­er die per­so­n­en­be­zo­ge­nen Dat­en ein­er Per­son nutzen möchte, ist zudem, dass die Ein­willi­gung im Grund­satz jed­erzeit vom Betrof­fe­nen wider­rufen und dadurch die Grund­lage für eine Daten­ver­ar­beitung nachträglich ent­zo­gen wer­den kann. Beste­ht in diesen Fällen kein ander­er (geset­zlich­er) Recht­fer­ti­gungs­grund, wird die Daten­ver­ar­beitung rechtswidrig. Liegt hinge­gen von Beginn an keine Ein­willi­gung des Betrof­fe­nen vor oder scheut der Daten­ver­ar­bei­t­ende das poten­zielle Risiko eines Wider­rufs der Ein­willi­gung, benötigt er eine geset­zliche Grund­lage bzw. Recht­fer­ti­gung für die Daten­ver­ar­beitung. Hierzu benen­nt die DSGVO in ihrem Artikel 6 abschließend ver­schiedene Recht­fer­ti­gungs­gründe, bei denen eine Daten­ver­ar­beitung ohne Ein­willi­gung zuläs­sig ist. Per­so­n­en­be­zo­gene Dat­en dür­fen dem­nach erhoben wer­den zur Erfül­lung von Verträ­gen oder Durch­führung vorver­traglich­er Maß­nah­men, zur Erfül­lung ein­er rechtlichen Verpflich­tung, zum Schutz lebenswichtiger Inter­essen von Per­so­n­en oder von berechtigten Inter­essen, welche die Daten­ver­ar­beitung erforder­lich machen (zum Beispiel IT-Sicher­heit im Unternehmen oder der rechtlichen Durch­set­zung von Ansprüchen gegen Dritte).

Datenverarbeitung durch den Arbeitgeber

Der Begriff der Daten­ver­ar­beitung wird dabei sehr weit definiert und umfasst den gesamten Umgang mit per­so­n­en­be­zo­ge­nen Dat­en, also das Erheben von Dat­en (Dat­en beschaf­fen, sam­meln), Spe­ich­ern, Ändern (zum Beispiel Berich­ti­gung ein­er E‑Mail-Adresse), Nutzen (zum Beispiel Abfra­gen starten), Über­mit­teln (durch Weit­er­gabe an Dritte oder auch nur das „Rein­schauen“ lassen), Verknüpfen (mit anderen Dat­en) oder das Löschen (ein­schließlich Ver­nicht­en eines Datenträgers).

Eine wichtige Rechts­grund­lage zur Daten­ver­ar­beitung durch den Arbeit­ge­ber stellt § 26 BDSG dar. Diese Vorschrift erlaubt die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en von Beschäftigten für Zwecke des Beschäf­ti­gungsver­hält­niss­es, aber nur in den Fällen, in denen dies aus Sicht des Arbeit­ge­bers tat­säch­lich erforder­lich ist. So hat der Arbeit­ge­ber beispiel­sweise in Krankheits­fällen zwar das Recht, unverzüglich zu erfahren, wie lange der oder die Beschäftigte voraus­sichtlich aus­fall­en wird, damit er im Betrieb entsprechend disponieren kann (etwa Anord­nung von Mehrar­beit der übri­gen Beschäftigten oder vorüberge­hende Bestel­lung ein­er Ersatzkraft). Es ist aber nicht erforder­lich, die Diag­nose des oder der erkrank­ten Beschäftigten zu erfahren. Zum einen sind die Gesund­heits- bzw. Krankheitsdaten
– als der Intim­sphäre zuge­hörig – nach der DS-GVO beson­ders geschützt und zum anderen ist die Ken­nt­nis der Diag­nose für die Frage der betrieblichen Dis­po­si­tion des krankheits­be­d­ingten Aus­falls nicht notwendig.

Weit­ere Voraus­set­zung für jede Daten­ver­ar­beitung ist, dass diese ver­hält­nis­mäßig sein muss. Das ist der Fall, wenn es einen legit­i­men (recht­mäßi­gen) Zweck für die Daten­ver­ar­beitung und gle­ichzeit­ig kein milderes Mit­tel gibt, das den angestrebten Zweck gle­icher­maßen erre­icht. Zudem muss die Daten­ver­ar­beitung angemessen sein. Das bedeutet, dass eine Abwä­gung zwis­chen dem infor­ma­tionellen Selb­st­bes­tim­mungsrecht des Betrof­fe­nen und den Inter­essen des Daten­ver­ar­beit­ers vorgenom­men wer­den muss und diese zugun­sten des Ver­wen­ders der Dat­en aus­fällt. Diese Abwä­gung ist bei jed­er Daten­ver­ar­beitung durchzuführen.

Die Grundprinzipien einer Datenverarbeitung:

  • Trans­parenz,
  • Zweck­bindung,
  • Daten­min­imierung,
  • Richtigkeit,
  • Spe­icher­be­gren­zung,
  • Integrität und
  • Ver­traulichkeit.

Eingriffe ins Datenschutzrecht

Zur Bew­er­tung daten­schutzrechtlich­er Ein­griffe hat die DSGVO ver­schiedene Grund­prinzip­i­en aufgestellt, welche die Ver­hält­nis­mäßigkeit­sprü­fung konkretisieren und stets zu beacht­en sind. Das Prinzip der Trans­parenz besagt, dass per­so­n­en­be­zo­gene Dat­en nur auf recht­mäßige Weise, nach Treu und Glauben und in ein­er für die betrof­fene Per­son nachvol­lziehbaren Weise ver­ar­beit­et wer­den dür­fen. Die Infor­ma­tion darüber, dass die Dat­en ver­ar­beit­et wer­den, muss leicht zugänglich und in ver­ständlich­er Sprache abge­fasst sein. Zudem muss deut­lich erkennbar sein, wer die Dat­en ver­ar­beit­et, zu welchem Zweck dies geschieht, und es muss ein Hin­weis über die Rechte des Betrof­fe­nen erfol­gen. Das Prinzip der Zweck­bindung besagt, dass per­so­n­en­be­zo­gene Dat­en nur für fest­gelegte, ein­deutige und recht­mäßige Zwecke erhoben wer­den dür­fen. Dem­nach ist die betrof­fene Per­son nicht nur darüber zu informieren, zu welchem Zweck die Ver­ar­beitung der Dat­en erfol­gt (Trans­parenz), die erhobe­nen Dat­en dür­fen vielmehr auch nur zu diesem angegebe­nen Zweck genutzt werden.

Das Prinzip der Daten­min­imierung gibt vor, dass die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en dem Zweck angemessen und sach­lich rel­e­vant sowie auf das für den Zweck der Daten­ver­ar­beitung notwendi­ge Maß beschränkt sein müssen. Per­so­n­en­be­zo­gene Dat­en müssen zudem sach­lich richtig und erforder­lichen­falls auf dem aktuellen Stand sein. Dabei gilt es, alle angemesse­nen Maß­nah­men zu tre­f­fen, um per­so­n­en­be­zo­gene Dat­en, die im Hin­blick auf die Zwecke ihrer Ver­ar­beitung unrichtig sind, unverzüglich zu löschen oder zu berichti­gen (Prinzip der Richtigkeit). Per­so­n­en­be­zo­gene Dat­en dür­fen fern­er nur so lange gespe­ichert wer­den, wie es für die Zwecke, in deren Rah­men sie ver­ar­beit­et wer­den, erforder­lich ist (Prinzip der Spe­icher­be­gren­zung). So dür­fen Arbeit­ge­ber beispiel­sweise Dat­en von abgelehn­ten Bewer­bern nicht „auf Halde“, son­dern läng­stens vier Monate speichern.

Let­ztlich gebi­etet das Prinzip der Integrität und Ver­traulichkeit die Sicher­heit per­so­n­en­be­zo­gen­er Dat­en – ein­schließlich des Schutzes vor unbefugter Ver­ar­beitung und vor unbe­ab­sichtigtem Ver­lust, unbe­ab­sichtigter Zer­störung oder Beschädi­gung. Die Sicher­heit ist durch geeignete tech­nis­che und organ­isatorische Maß­nah­men zu gewährleis­ten, zum Beispiel durch Zugriffs­berech­ti­gun­gen, Pass­wortschutz, regelmäßige Back­ups, Ver­schlüs­selun­gen etc. Über die vor­ge­nan­nten daten­schutzrechtlichen Prinzip­i­en muss der Ver­ant­wortliche gegenüber Drit­ten, ins­beson­dere Betrof­fe­nen und den Daten­schutzbe­hör­den Rechen­schaft able­gen. Kann er dies nicht, dro­hen Bußgelder und Schaden­er­satz­forderun­gen von Betrof­fe­nen. Da der Daten­schutz im Unternehmen oder in der Dienststelle
– eben­so wie der Arbeitss­chutz – auf Geschäft­sleitungsebene ange­siedelt ist, sind in erster Lin­ie Geschäfts­führer, Vorstände oder Behör­den­leit­er für die Ein­hal­tung des Daten­schutzes ver­ant­wortlich. Berat­en wer­den sie hier­bei von den betrieblichen Daten­schutzbeauf­tragten, die Infor­ma­tions- und Überwachungspflicht­en gegenüber der Geschäft­sleitung haben. Aber auch darüber hin­aus sind die im Betrieb tätige Mitar­beit­er oder für den Betrieb tätige Auf­trag­nehmer für die Ein­hal­tung des Daten­schutzes ver­ant­wortlich. Hierzu zählen auch interne oder externe Fachkräfte für Arbeitssicher­heit. Auch hier­an zeigt sich die Notwendigkeit, über aus­re­ichend Ken­nt­nis im Bere­ich des Daten­schutzes zu verfügen.


Klagge-Quelle-privat.jpg
Matthias Klagge
Foto: pri­vat

Autor:
Recht­san­walt Matthias Klagge, LL.M.
TIGGES Recht­san­wälte

Veranstaltungsreihe
Veranstaltungsreihe PSA erleben
Newsletter

Jet­zt unseren Newslet­ter abonnieren

Jobs
Sicherheitsbeauftragter
Titelbild Sicherheitsbeauftragter 8
Ausgabe
8.2022
ABO
Sicherheitsingenieur
Titelbild Sicherheitsingenieur 7
Ausgabe
7.2022
ABO

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de