Facebook Pixel

Datenschutz

Rechtsquellen

Bundesdatenschutzgesetz (BDSG), § 80 Abs. 1 S. 1, Abs. 2 S. 1 u. 2 BetrVG

Begriff

Maßnahmen zur Verhinderung von Missbrauch personenbezogener Daten.

Erläuterungen

Rechtsgrundlage

Grundlage des allgemeinen Datenschutzes ist das Bundesdatenschutzgesetz (BDSG). Zweck des Datenschutzes ist es, den Einzelnen davor zu schützen, durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt zu werden (§ 1 Abs. 1 BDSG). Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben. Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 1 Abs. 2 Nr. 3 BDSG).

Begriffe

Die wichtigsten, im BDSG verwendeten Begriffe sind:

  • Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche (z.B. finanzielle) Verhältnisse einer bestimmten oder aufgrund der Verknüpfung von Daten bestimmbaren Person (§ 3 Abs. 1 BDSG).
  • Erheben ist das Beschaffen von Daten über den Betroffenen (§ 3 Abs. 3 BDSG).
  • Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (§ 3 Abs. 2 BDSG).
  • Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (§ 3 Abs. 4 BDSG).
  • Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt (§ 3 Abs. 5 BDSG).
  • Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG).
  • Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (§ 3 Abs. 9 BDSG.
  • Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG).

Grundsätze des Datenschutzes

Grundsätzlich hat jedermann das Recht, über den Umgang mit seinen personenbezogenen Daten selbst zu bestimmen (Recht der informationellen Selbstbestimmung, BVerfG v. 15.12.1983). Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind daher nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG). Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung muss in Schriftform erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (§ 4a Abs. 1 BDSG). Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen (§ 33 Abs. 1 BDSG). Ausnahmen hierzu regelt § 33 Abs. 2 BDSG. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren (Verändern personenbezogener Daten) oder zu pseudonymisieren (z. B. Ersetzen des Namens durch ein Kennzeichen), soweit dies nach dem Verwendungszweck möglich ist und keinen Aufwand erfordert, der im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßig ist (§ 3a BDSG).

Arbeitgeber als verantwortliche Stelle

Nicht-öffentliche Stelle ist der Arbeitgeber und somit als verantwortliche Stelle zuständig für die Einhaltung der Vorschriften des BDSG bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten mit Hilfe von Datenverarbeitungsanlagen im Betrieb. Personenbezogene Daten eines Beschäftigten (u. a. Arbeitnehmer, Auszubildende und Stellenbewerber) dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist (§ 32 Abs. 1 S. 1 BDSG). Der Arbeitgeber, der selbst oder im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Einhaltung der Vorschriften des BDSG zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (§ 9 BDSG). Er hat die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  • zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  • zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  • zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  • zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Anlage zu § 9 Satz 1).

Aufdeckung von Straftaten

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind (§ 32 Abs. 1 S. 2 BDSG). Eingriffe in das Recht der Arbeitnehmer am eigenen Bild durch verdeckte Videoüberwachung sind demnach dann zulässig, wenn

  • der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht,
  • weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft sind,
  • die verdeckte Videoüberwachung damit das praktisch einzig verbleibende Mittel darstellt und
  • sie insgesamt nicht unverhältnismäßig ist (BAG 27.3.2003 – 2 AZR 51/02).

Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zur Aufdeckung von Straftaten (z. B. Diebstahl in einem Ersatzteillager9 setzt lediglich einen „einfachen“ Verdacht im Sinne eines Anfangsverdachts voraus, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss (BAG v. 20.10.2016 - 2 AZR 395/15).

Mit der Datenverarbeitung Beauftragte

Die in der Datenverarbeitung beschäftigten Arbeitnehmer sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten (§ 5 BDSG). Betriebe, die personenbezogene Daten automatisiert verarbeiten und damit mehr als neun Arbeitnehmer beschäftigen, haben innerhalb eines Monats nach Aufnahme derartiger Verfahren einen betrieblichen Datenschutzbeauftragten zu bestellen (§ 4f Abs. 1 BDSG). Fügt eine verantwortliche Stelle dem Betroffenen durch eine über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet (§ 7 BDSG). Jeder Arbeitgeber, in dessen Betrieb personenbezogene Daten automatisiert (d. h. mit Hilfe einer Datenverarbeitungsanlage) verarbeitet und damit mindestens zehn Arbeitnehmer beschäftigt werden, hat innerhalb eines Monats nach Aufnahme derartiger Verfahren einen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten gilt auch dann, wenn die Datenverarbeitung nicht automatisiert, sondern in anderer Weise erfolgt und damit in der Regel mindestens 20 Arbeitnehmer befasst sind (§ 4f Abs. 1 BDSG)

Ordnungswidrigkeiten

Wer ordnungswidrig handelt, weil er vorsätzlich oder fahrlässig gegen Vorschriften des Bundesdatenschutzgesetzes verstößt, wird mit einer Geldbuße belegt (§ 43 BDSG). Wer vorsätzlich eine Ordnungswidrigkeit gegen Entgelt begeht oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft (§ 44 Abs. 1 BDSG). Das ist z. B. der Fall, wenn jemand vorsätzlich unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, zum Abruf mittels automatisierten Verfahrens bereithält, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft oder durch unrichtige Angaben erschleicht (§ 43 Abs. 2 BDSG).

Datenschutzaudit

Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen (§ 9a BDSG).

Bezug zur Betriebsratsarbeit

Teil der verantwortlichen Stelle

Da die für die Anwendung des BDGS verantwortlichen nicht-öffentlichen Stellen natürliche oder juristische Personen sein müssen (§ 2 Abs. 4 i. V. m. § 1 Abs. 2 Nr. 3 BDSG), ist wegen fehlender Rechtsfähigkeit nicht der Betriebsrat, sondern der Arbeitgeber Adressat des BDSG im Betrieb. Dennoch ist der Betriebsrat als Teil der verantwortlichen Stelle (§ 3 Abs. 7 BDSG) beim internen Umgang mit personenbezogenen Daten ebenfalls für den Datenschutz verantwortlich. Daher ist er u. a. verpflichtet, personenbezogene Daten ohne Einwilligung der Betroffenen nur soweit zu erheben, zu verarbeiten oder zu nutzen, wie es zur Wahrung seiner berechtigten Interessen bei der Wahrnehmung seiner gesetzlichen Aufgaben erforderlich ist und dem schutzwürdigen Interesse der Betroffenen nicht entgegensteht (§ 28 Abs. 1 Nr. 2 BDSG). Er hat unter Beachtung der Unabhängigkeit in der Betriebsverfassung eigenständig über Maßnahmen zu beschließen, um einem Missbrauch der Daten innerhalb seines Verantwortungsbereichs zu begegnen. Der Betriebsrat muss auch die jeweils geltenden betrieblichen Datenschutzbestimmungen einhalten und diese soweit wie möglich ergänzen. Werden auf dem Rechner des Betriebsrats personenbezogene Daten automatisiert verarbeitet oder genutzt, ist auch er insbesondere verpflichtet, die interne Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind u. a. Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, gespeicherte Daten vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen zu schützen bzw. eine wirksame Weitergabekontrolle sicherzustellen (Anlage zu § 9 Satz 1 BDSG, BAG v. 12.8.2009 - 7 ABR 15/08). Aus der Eigenverantwortlichkeit des Betriebsrats folgt dessen Pflicht, u. a. für die Eingabekontrolle Sorge zu tragen und zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Anlage Satz 2 Nr.5 zu § 9 BDSG).

Eigenverantwortlichkeit

Der Betriebsrat verwaltet seine Unterlagen, zu denen auch elektronisch gespeicherte Daten gehören, im Interesse der unabhängigen Interessenwahrnehmung gegenüber dem Arbeitgeber eigenverantwortlich. Der Arbeitgeber hat daher auch kein Zugriffs- und Verwertungsrecht auf die auf dem Betriebsratslaufwerk abgespeicherten Daten. Der Betriebsrat ist nicht verpflichtet, einer entsprechenden Auswertung zuzustimmen. Der Arbeitgeber kann sich dabei auch nicht auf den Grundsatz der vertrauensvollen Zusammenarbeit berufen (LAG Düsseldorf v. 7.3.2012 - 4 TaBV 87/11). Aus Gründen der Unabhängigkeit unterliegt der Betriebsrat auch nicht der Kontrolle durch den betrieblichen Datenschutzbeauftragten. Er ist lediglich gegenüber der Aufsichtsbehörde verantwortlich (§ 38 BDSG, BAG v. 11.11.1997 – 1 ABR 21/97).

Datenübermittlung

Da der Betriebsrat Teil der verantwortlichen Stelle (§ 3 Abs. 7 BDSG) und kein Dritter (Person oder Stelle außerhalb der verantwortlichen Stelle, § 3 Abs. 8 S. 2 BDSG) ist, ist die Unterrichtung des Betriebsrats oder eines seiner Mitglieder durch den Arbeitgeber keine Datenübermittlung i. S. v. § 3 Abs. 4 Nr.3 BDSG. Der Arbeitgeber kann dem Betriebsrat Informationen mit dem Hinweis auf den Datenschutz somit nicht verweigern. Gleiches gilt für die Unterrichtung des Gesamtbetriebsrats durch den Unternehmer. Dagegen ist die Datenübermittlung personenbezogener Daten von Konzernunternehmen an den Konzernbetriebsrat eine Datenübermittlung im Sinne der Vorschrift, da die personenbezogenen Daten die verantwortliche Stelle des Unternehmens verlassen. Allerdings ist sie auf Grund der betriebsverfassungsrechtlichen Unterrichtungspflicht (§ 80 Abs. 2 S. 1 BetrVG) zulässig, da sie die Vorschrift des BDGS verdrängt (§ 1 Abs. 3 S. 1 BDSG). Die Verpflichtung des Betriebsrats, die für den Arbeitsschutz zuständigen Behörden (Dritter lt. § 3 Abs. 8 S. 2 BDSG) durch Anregungen, Beratung oder Auskunft zu unterstützen (§ 89 Abs. 1 S. 2 BetrVG), berechtigt ihn anlässlich wiederholter Arbeitszeitüberschreitungen im Betrieb grundsätzlich nicht, die von den namentlich genannten Arbeitnehmern tatsächlich geleisteten, elektronisch erfassten Arbeitszeiten an die zuständige Aufsichtsbehörde zu übermitteln. Er hat zu berücksichtigen, ob die Datenübermittlung im Einzelfall zur Wahrung der berechtigten Interessen des Betriebsrats oder der Aufsichtsbehörde erforderlich ist und schutzwürdigen Interessen der betroffenen Arbeitnehmer nicht entgegenstehen (BAG v. 3.6.2003 - 1 ABR 19/02).

Regelungen für Betriebsratsmitglieder

Den Mitgliedern des Betriebsrats darf das Recht, alle Unterlagen des Betriebsrats und seiner Ausschüsse einschließlich der auf Datenträgern gespeicherten personenbezogenen Dateien einzusehen (§ 34 Abs. 3 BetrVG), auch unter dem Gesichtspunkt des Datenschutzes nicht verweigert werden. Das Einsichtsrecht einzelner Mitglieder des Betriebsrats ist unabdingbar (BAG v.12.8.2009 - 7 ABR 15/08). Die individuelle Zugangsregelung der Betriebsratsmitglieder zum gemeinsam genutzten Betriebsrats-PC setzt jedoch nicht zwingend einen für den Arbeitgeber erkennbaren personalisierten Zugang zum PC voraus. Eine geeignete Eingabekontrolle lässt sich auch anders konfigurieren, etwa über Eingaben, deren persönliche Zuordnung nicht dem Arbeitgeber, sondern nur dem Betriebsrat bekannt ist z. B. durch die Bezeichnungen als BR 1, BR 2, BR 3 usw. (BAG v. 18.7.2012 - 7 ABR 23/11). Soweit Betriebsratsmitglieder personenbezogene Arbeitnehmerdaten verarbeiten, unterliegen sie dem Datengeheimnis und sind bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten (§ 5 BDSG).

Sonstige Aufgaben und Rechte

Der Betriebsrat hat darüber zu wachen, dass die für den Betrieb anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes durchgeführt werden (§ 80 Abs. 1 Nr. 1 BetrVG). Dabei arbeitet er mit dem Datenschutzbeauftragten eng zusammen. Der Arbeitgeber hat den Betriebsrat umfassend über alle Formen der Erhebung und Verarbeitung personenbezogener Daten der Arbeitnehmer zu unterrichten (§ 80 Abs. 2 S. 1 BetrVG). Soweit die zur Wahrnehmung der vielfältigen Pflichten auf dem Gebiet des Datenschutzes erforderlichen Kenntnisse im Betriebsrat nicht vorhanden sind, sind entsprechende Schulungsmaßnahmen zu deren Erwerb erforderlich (37 Abs. 6 BetrVG). Der Betriebsrat kann der beabsichtigten Versetzung eines Arbeitnehmers auf die Stelle des Datenschutzbeauftragten die Zustimmung verweigern mit der Begründung, er besitze nicht die geforderte Fachkunde und Zuverlässigkeit (BAG v. 22.3.1994 – 1 ABR 51/93). Dem Anspruch des Betriebsrats auf Einblick in die Bruttoentgeltlisten (§ 80 Abs. 2 S. 2 BetrVG) stehen datenschutzrechtliche Belange nicht entgegen. Bruttoentgeltlisten enthalten personenbezogene Daten (§ 3 Abs. 1 BDSG), die von Arbeitgebern zur Durchführung des Arbeitsverhältnisses zulässigerweise erhoben, verarbeitet und genutzt werden (§ 32 Abs.1 Satz 1 BDSG). Gewährt der Arbeitgeber einem Betriebsratsmitglied Einsicht in die Bruttoentgeltlisten, handelt es sich um eine zulässige Form der Datennutzung. Dies folgt schon daraus, dass die Beteiligungsrechte des Betriebsrats durch die erlaubte Datennutzung nicht berührt werden (§ 32 Abs. 3 BDSG). Hinzu kommt, dass dieser selbst Teil der verantwortlichen Stelle ist (§ 3 Abs. 7 BDSG). Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar (BAG v. 14.1.2014 – 1 ABR 54/12).