Liebe Nutzer,
für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.
Liebe Grüße,
Ihr ifb-Team
Wann gilt die DSGVO?
Art. 2 DSGVO dient der Bestimmung des sogenannten sachlichen Anwendungsbereichs. Danach gilt die DSGVO für die ganz oder teilweise Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Bei dieser recht „sperrigen“ Definition ist es wichtig, die Begrifflichkeiten der DSGVO zu kennen und richtig einordnen zu können. Hier hilft Art. 4 DSGVO weiter.
Beispiel: Handelt es sich um keine personenbezogenen Daten, so ist die DSGVO auch nicht anwendbar.
Eine Ausnahme bildet hierzu Art. 2 Abs. 2 DSGVO. Insbesondere Art. 2 Abs. 2 Nr. 3 DSGVO ist hier regelmäßig zu beachten. Danach findet die DSGVO keine Anwendung auf natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten ausüben. Damit unterliegt der private bzw. familiäre Lebensbereich konsequenterweise nicht der Kontrolle der Verordnung
Wo gilt die DSGVO?
Die beiden wichtigsten Anwendungsbereiche unterscheiden sich wie folgt:
Beispiel: Der Betrieb des Arbeitgebers befindet sich innerhalb der EU.
Beispiel: Der Betrieb des Arbeitgebers befindet sich außerhalb der EU, sein Dienstleistungsangebot erstreckt sich allerdings auch auf Bürger, die sich in der EU aufhalten.
Für wen gilt die DSGVO?
Grundsätzlich sind alle natürlichen Personen geschützt (Art. 1 DSGVO). Wichtig für das Arbeitsverhältnis ist auch § 26 BDSG, der spezifischere Vorschriften zum Beschäftigtendatenschutz enthält. Dabei erstreckt sich der Schutzbereich gem. § 26 Abs. 8 BDSG ausdrücklich neben Arbeitnehmern und weiteren auch auf Auszubildende, Leiharbeitnehmer und Bewerber. Insbesondere letzte befinden sich regelmäßig in einer gegenüber dem Arbeitgeber schwachen Position, sodass diese besonders schutzbedürftig sind.
Art. 5 DSGVO beschreibt die Grundsätze für die Verarbeitung von personenbezogenen Daten. So müssen Daten:
Auch wenn Art. 5 DSGVO keine explizite Regelung zur Verpflichtung der Mitarbeiter auf das Datengeheimnis enthält, ist diese weiterhin unerlässlich. Die Verpflichtung auf das Datengeheimnis als solche ist in Art. 5 DSGVO zwar nicht mehr vorhanden, auf das Datengeheimnis wird jedoch an verschiedenen Orten der DSGVO Bezug genommen. Der Wegfall der Regelung sollte daher nicht dazu verleiten, fortan von Verpflichtungserklärungen Abstand zu nehmen. Ganz im Gegenteil: Auch weiterhin muss eine Verpflichtungserklärung der Mitarbeiter auf das Datengeheimnis erfolgen.
Unser Seminartipp
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nach Art. 6 DSGVO nur dann zulässig, soweit:
Bei Art. 6 DSGVO spricht man von einer sogenannten Verbotsnorm mit Erlaubnisvorbehalt, da die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten und nur unter den oben genannten Kriterien zulässig ist. Da demzufolge der Arbeitgeber darlegen muss, warum er bestimmte Daten verarbeiten will, erleichtert dies die Arbeit des Betriebsrats.
Wichtig ist, dass für jede Datenverarbeitung eine Rechtsgrundlage gegeben sein muss.
Beispiel BEM
„Andere Rechtsvorschriften“ im Sinne des Art. 6 DSGVO finden sich z.B. in den steuerrechtlichen Bestimmungen und in den Sozialgesetzbüchern. So ist etwa das in § 167 SGB IX geregelte betriebliche Eingliederungsmanagement eine andere Rechtsvorschrift in diesem Sinne.
Beim betrieblichen Eingliederungsmanagement hat der Arbeitgeber mit Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, unter Beteiligung des Betriebsrats (und bei schwerbehinderten Menschen zudem unter Beteiligung der Schwerbehindertenvertretung) Möglichkeiten abzuklären, wie die Arbeitsunfähigkeit möglichst überwunden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt werden kann. Für die Durchführung dieses Verfahrens ist die Einwilligung des betroffenen Arbeitnehmers erforderlich (§ 167 Abs. 2 S. 1 SGB IX). Liegt diese vor, so ist § 167 Abs. 2 SGB IX gleichzeitig die Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung der Daten im Rahmen des betrieblichen Eingliederungsmanagements.
Vorschriften zur Sozialauswahl
Anders verhält es sich beispielsweise bei den Vorschriften zur Sozialauswahl. Nach § 1 Abs. 3 KSchG ist der Arbeitgeber bei betriebsbedingten Kündigungen zur Sozialauswahl verpflichtet. Die Regelung verpflichtet den Arbeitgeber zwar, die Sozialdaten zu erheben und den bzw. die weniger sozial schutzwürdigen Arbeitnehmer zu kündigen, jedoch folgt aus der Pflicht nicht gleichzeitig auch das Recht zur Datenerhebung. Das Recht zur entsprechenden Datenverarbeitung folgt hier nicht aus § 1 Abs. 3 KSchG, sondern aus § 26 BDSG. Damit ist § 1 Abs. 3 KSchG keine andere Rechtsvorschrift im Sinne des Art. 6 DSGVO.
Tarifverträge und Betriebsvereinbarungen
Auch Tarifverträge und Betriebsvereinbarungen können Erlaubnistatbestände im Sinne von Art. 6 EU-DSGVO sein. Das unterstreicht Art. 88 Abs. 1 EU-DSGVO auch nochmals und nennt hier Betriebsvereinbarungen bzw. Kollektivvereinbarungen ausdrücklich. Der Betriebsrat muss jedoch Betriebsvereinbarungen, die zu stark in das Datenschutzrecht bzw. die Persönlichkeitsrechte eingreifen, nicht zustimmen.
Eine weitere Art der Rechtfertigung ist die Einwilligung des betroffenen Beschäftigten in die Datenverarbeitung. Die Wirksamkeit einer Einwilligung hängt von einigen Bedingungen ab. Wichtig ist, dass eine Einwilligung vor einer Datenverarbeitung erfolgt, dem Betroffenen die Bedeutung und Tragweite bewusst ist, er ausreichende Informationen über den Zweck erhält und er sie höchstpersönlich, idealerweise schriftlich, abgibt, ohne hiervon weitere rechtliche Folgen abhängig zu machen.
Wann ist eine Einwilligung wirksam?
Eine wirksame Einwilligung liegt nur vor, wenn folgende Voraussetzungen nach Art. 4 Nr. 11 und 7 DSGVO, § 26 Abs. 2 BDSG erfüllt sind:
„Pferdefuß“ der datenschutzrechtlichen Einwilligung im Arbeitsverhältnis
Was die Einwilligung im Bereich des Arbeitsrechts angeht, sollte der Betriebsrat bedenken, dass hier regelmäßig keine Waffengleichheit zwischen den Arbeitsvertragsparteien herrscht. Der Bewerber um eine offene Stelle – und häufig auch der Arbeitnehmer, der langfristig seinen Arbeitsplatz erhalten will – wird oft nicht die Möglichkeit haben, der Verarbeitung seiner personenbezogenen Daten zu widersprechen, ohne seine Chancen nachhaltig zu schmälern. Daher sollte der Betriebsrat darauf achten, dass auf die Einwilligung nur in Ausnahmefällen zurückgegriffen wird. Argumentieren kann der Betriebsrat dabei wie folgt: Da der Arbeitnehmer seine Einwilligung (zumindest theoretisch) jederzeit auch wieder widerrufen kann, ist die Einwilligung auch für den Arbeitgeber nicht gerade die allerbeste Möglichkeit, die Datenverarbeitung zu rechtfertigen.
Die wichtigste Rechtsgrundlage für Datenverarbeitungen im Beschäftigungsverhältnis ist § 26 BDSG. Danach dürfen:
Beispiele zu § 26 BDSG in der Bewerbungs-/Anbahnungsphase: Unzulässig ist/sind demnach:
Werden dem Bewerber unzulässige Fragen gestellt, so hat er diesbezüglich ein „Recht auf Lüge“.
Bewerberdaten dürfen nur bis zur Entscheidung über die Nichteinstellung gespeichert werden bzw. so lange, bis Sicherheit besteht, dass daraus keine Rechtsstreitigkeiten (z.B. wegen Verletzung des AGG) entstehen.
Permanente Leistungsüberwachung
Eine permanente Leistungsüberwachung eines Beschäftigten ist nicht zulässig. Sind bestimmte Betriebsräume (z.B. in Banken oder in besonders sicherheitsrelevanten Bereichen) mit Videokameras ausgestattet, so dürfen diese nicht zur dauernden Überwachung der Mitarbeiter dienen (Schwenkbereich oder Bildausschnitt entsprechend wählen!). Entsprechendes gilt bei Aufzeichnungen von Telefongesprächen in Callcentern.
Auch die permanente Überwachung des Aufenthaltsortes von Mitarbeitern durch GPS oder RFID-Chips ist grundsätzlich unzulässig. Ausnahmen können hier in besonders sicherheitsrelevanten Bereichen (z.B. bei Geldtransporten, Rundgang von Wachpersonal) gelten. In all diesen Fällen ist immer die Erforderlichkeit und Verhältnismäßigkeit im Einzelfall zu prüfen.
Speicherung von Stammdaten
Die Speicherung von Stammdaten der Mitarbeiter wie Name, Geschlecht, Familienstand, Schulabschluss, Ausbildung, Studium, Fachrichtung oder Sprachkenntnisse durch den Arbeitgeber ist zulässig. Auch Krankheits- und Fehlzeiten darf der Arbeitgeber speichern, und zwar nicht nur zur Lohn- und Gehaltsabrechnung, sondern auch um festzustellen, inwieweit durch Fehlzeiten das Arbeitsverhältnis gestört ist (Stichwort: Betriebliches Eingliederungsmanagement und im Extremfall krankheitsbedingte Kündigung).
Telefonate
Bei Telefonaten darf der Arbeitgeber auch äußere Gesprächsdaten wie Tag, Uhrzeit, Beginn und Ende des Telefonats sowie die Zahl der verbrauchten Einheiten erfassen – und zwar unabhängig davon, ob es sich um ein privates oder um ein dienstliches Gespräch handelt. Noch nicht eindeutig geklärt (und wohl eher zu verneinen) ist die Frage, inwieweit die Speicherung der Telefonnummer des Gesprächspartners zulässig ist. Daher sollte nur ein Teil der Telefonnummer gespeichert werden. Die Inhalte von Telefonaten (oder auch Teile davon) dürfen, ohne dass die Gesprächspartner davon in Kenntnis gesetzt wurden, nicht mitgehört oder mitgeschnitten werden. Dies wäre ein Verstoß gegen das „Recht am eigenen Wort“, das aus dem Allgemeinen Persönlichkeitsrechts des Grundgesetzes abgeleitet wird (Entscheidung des Bundesverfassungsgerichts vom 19.12.1991, 1 BvR 382/85).
Diese für Telefongespräche entwickelten Grundsätze gelten auch für den E-Mail-Verkehr.
Wie hoch sind die Bußgelder bei Verstößen? Welche Strafen drohen?
Die DSGVO und das BDSG sehen eine Reihe von Sanktionen bzw. Bußgeldern vor. Die Vorschriften lassen sich wie folgt unterscheiden:
Weiter Informationen rund um die Berechnung bei Datenschutzverstößen finden Sie hier.
Unser Seminartipp