Das Thema
Das neue Datenschutzrecht ist angekommen und prägt bereits jetzt die betrieblichen Abläufe. Auch um die umfangreichen Informationspflichten erfüllen zu können, sieht sich nicht nur Human Resources mit der Frage konfrontiert, auf welcher Rechtsgrundlage die Verarbeitung der einzelnen Beschäftigtendaten beruht.
Eine taugliche Rechtsgrundlage für die Verarbeitung und Speicherung personenbezogener Daten im Beschäftigungsverhältnis könnte auch nach der neuen Europäischen Datenschutzgrundverordnung (DSGVO) eine freiwilllige Einwilligung der Mitarbeiter sein. Dies ist jedoch kein Allheilmittel, denn nicht nur die Einordnung der „Freiwilligkeit“ ist strittig und wird von den Aufsichtsbehörden kritisch gesehen. Auch sind Einwilligungserklärungen schnell unwirksam, wenn sie nicht die weiter vorgeschriebenen Voraussetzungen erfüllen. Dies beginnt schon im Bewerbungsprozess.
Sind Einwilligungen tatsächlich ein praxistaugliches Allheilmittel, um den Bußgeldandrohungen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes vorbeugen zu können? (Anm. d. Red.: Die DSGVO stellt auch neue Anforderungen an Betriebsvereinbarungen, die die Verarbeitung von Beschäftigtendaten regeln. Ein weiterer Beitrag zeigt, welchen Vorgaben Betriebsvereinbarungen künftig entsprechen müssen und wie man entsprechende Regelungen gestaltet.)
Ursprüngliche gesetzliche Grundkonzeption
Bereits vor der DSGVO und den Neuregelungen des Bundesdatenschutzgesetzes (BDSG) war die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit es eine Rechtsgrundlage gab (so genanntes Verbot mit Erlaubnisvorbehalt). Das galt auch für die Daten von Beschäftigten, also unter anderem von Arbeitnehmerinnen und Arbeitnehmern, den zu ihrer Berufsbildung Beschäftigten und von Bewerberinnen und Bewerbern. Zu den personenbezogenen Daten zählen zum Beispiel Name, Geburtsdatum, Geschlecht, Familienstand, Anschrift, Kontonummer, Krankheitstage, Konfession, Ausbildung, Qualifikation, Foto, E-Mail, Adresse, IP-Adresse, aktueller Aufenthaltsort.
Wesentliche Erlaubnisnorm im Beschäftigungsverhältnis war § 32 BDSG, in der bis zum 24.05.2018 geltenden Fassung. Danach war die Datenerhebung, -verarbeitung beziehungsweise -nutzung erlaubt, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich war. Auch war anerkannt, dass eine Betriebsvereinbarung eine taugliche Rechtsgrundlage sein kann. Umstritten war allerdings, ob gleiches auch für eine Einwilligung galt. Das wurde unter Hinweis auf das strukturelle Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer und eine daraus resultierende Drucksituation zum Teil verneint. Das BAG hat jedoch eine Einwilligung auch im Beschäftigungsverhältnis als möglich angesehen (BAG 11.12.2014, 8 AZR 1010/13).
Datenschutzgrundverordnung: Die Einwilligung ab dem 25.05.2018
Die Neuregelungen belassen es bei dem Verbot mit Erlaubnisvorbehalt. Neben der DSGVO gelten für den Beschäftigtendatenschutz die Regelungen des neuen BDSG, die vom deutschen Gesetzgeber auf Grundlage der Öffnungsklausel des Art. 88 DSGVO erlassen worden sind. Grundnorm im Beschäftigungsverhältnis ist nunmehr § 26 BDSG. Diese soll den bisherigen § 32 BDSG, alte Fassung (a.F.), einschließlich der dazu ergangenen Rechtsprechung des BAG fortführen. Die Zulässigkeit einer Datenverarbeitung auf der Grundlage von Kollektivvereinbarungen (Betriebsvereinbarungen, Tarifverträge) ist nunmehr gesetzlich fixiert (§ 26 Abs. 4 BDSG in Verbindung mit Art. 88 Abs. 2 DSGVO).
Erstmalig ist klargestellt, dass im Beschäftigungsverhältnis auch eine Einwilligung möglich ist (§ 26 Abs. 2 BDSG). Diese muss freiwillig erfolgen (vgl. Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO), der Betroffene muss in der Lage sein, seine Einwilligung zu verweigern oder zurückzuziehen, ohne (gewichtige) Nachteile zu erleiden. Nach § 26 Abs. 2 BDSG sind für die Beurteilung der Freiwilligkeit „insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.“ Glücklicherweise wird diese unscharfe Regelung ergänzt durch – nicht abschließende – gesetzliche Regelvermutungen.
Freiwilligkeit der Einwilligung: Beispiele
Erstens kann Freiwilligkeit vorliegen, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil, zum Beispiel eine Zusatzleistung, erreicht wird.
Beispiel 1: Das Unternehmen erlaubt jedem Mitarbeiter die private Nutzung des Internets. Die Mitarbeiter erklären sich einverstanden, dass in diesem Zusammenhang bestimmte personenbezogene Daten verarbeitet werden.
Zweitens soll eine Einwilligung als freiwillig gelten, wenn Arbeitgeber und Beschäftigter gleichgelagerten Interessen verfolgen.
Beispiel 2: Ein Bewerber, für den aktuell keine geeignete Stelle vorhanden ist, willigt ein, dass seine Daten gespeichert bleiben, damit er im Falle einer späteren Vakanz berücksichtigt werden kann.
Beispiel 3: Ein Mitarbeiter erklärt sich einverstanden, dass seine Qualifikationen und Erfahrungen in eine konzernweite Datenbank aufgenommen werden, um an unternehmensübergreifenden Talentförderungsprogrammen teilzunehmen.
Es ist allerdings nicht zu verkennen, dass die Frage der Freiwilligkeit im Beschäftigungsverhältnis weiterhin kritisch gesehen wird. So vertritt die europäische Artikel-29-Datenschutzgruppe, ein Vorläufer des neuen Europäischen Datenschutzausschusses (Art. 68 ff. DSGVO), im Arbeitspapier WP249 vom 8. Juni 2017 die Ansicht, Arbeitnehmer befänden sich fast nie in der Position, eine Einwilligung frei erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man nur in besonderen Ausnahmefällen ausgehen. Auf dieser Linie liegen auch die Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Wegen des Ungleichgewichts seien in Bezug auf die gesetzlichen Ausnahmeregelungen in § 26 Abs. 2 BDSG hohe Anforderungen zu stellen (Kurzpapier Nr. 14 zum Beschäftigtendatenschutz vom 12.01.2018).
Diese enge Sichtweise ist wirklichkeitsfremd. Beschäftigte unterzeichnen keineswegs stets alles, was ihnen vorgelegt wird. Dass auch im Beschäftigungsverhältnis freie Entscheidungen möglich sind, kann weder pauschal abgelehnt noch stets bejaht werden. Folgerichtig hat der Gesetzgeber maßgeblich auf den Einzelfall abgestellt.
Hinweis-/Unterrichtungspflichten und Zweckbindung
Eine schrankenlose Datenverarbeitung ist auch im Falle einer Einwilligung nicht zulässig. Abgesichert wird das durch den strikten Zweckbindungsgrundsatz (Art. 5 Abs. 2 DSGVO) sowie die gesetzlichen Hinweis- und Unterrichtungspflichten. Der Arbeitgeber hat in Textform über den Zweck der Datenverarbeitung sowie über das in Art. 7 Abs. 3 DSGVO geregelte Widerrufsrecht aufzuklären (§ 26 Abs. 2 S. 4 BDSG). Sofern besondere personenbezogene Daten (Herkunft, Gesundheit, Gewerkschaftszugehörigkeit, biometrische Daten etc.) verarbeitet werden sollen, ist auch dies in der Einwilligungserklärung aufzunehmen.
Beispiel 4: In Beispiel 2 muss der Bewerber informiert werden, dass sein Profil zu dem Zweck gespeichert wird, ihn zukünftig berücksichtigen zu können. Auch ist darauf hinzuweisen, dass seine Einwilligung freiwillig und jederzeit mit Wirkung für die Zukunft widerruflich ist. Ein besonderer Hinweis muss erfolgen, wenn sein Foto gespeichert wird.
Unterscheidbarkeit und Verständlichkeit
Wenn die Einwilligungserklärung zusammen mit anderen Erklärungen abgegeben werden soll, muss sie – wie bisher – klar davon zu unterscheiden sein (Art. 7 Abs. 2 DSGVO), etwa durch drucktechnische Hervorhebung (Fettdruck). Zudem muss das Ersuchen um die Einwilligung – aufgrund der allgemeinen Informationspflichten (Artt. 12 ff. DSGVO) immer – „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen, mithin in Alltagssprache.
Formerfordernis
Während die DSGVO keine Beschränkung auf die strenge Schriftform (mit eigenhändiger Unterschrift) vorsieht, fordert § 26 Abs. 2 S. 2 BDSG deren Einhaltung, „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.“ Solche besonderen Umstände dürften jedenfalls dann vorliegen, wenn die gesamte Abwicklung elektronisch erfolgt.
Beispiel 5: Im Beispiel 2 erfolgt die Bewerbung über ein Online-Portal. Der Bewerber markiert aktiv ein entsprechendes Kästchen, dass er mit der weiteren Speicherung einverstanden ist.
Beispiel 6: Ein Mitarbeiter wird im Home Office beschäftigt. Er erklärt seine Einwilligung per E-Mail.
Fortgeltung von Alt-Einwilligungen
Vor der DSGVO wirksam erteilte Einwilligungen sollen grundsätzlich fortgelten, wenn sie den Anforderungen der DSGVO entsprechen (Erwägungsgrund Nr. 171; Beschluss des Düsseldorfer Kreises vom 13. und 14. September 2016). Ob das auch in Bezug auf die deutsche Neuregelung zum Beschäftigtendatenschutz gilt, ist nicht geklärt, lässt sich aber gut vertreten. Allerdings bedeutet das keinen Grund zum Aufatmen: Häufig waren Einwilligungserklärungen bereits nach bisherigen Recht unwirksam.
Beispiel 7: Im Arbeitsvertrag findet sich folgende Klausel: „Sie sind einverstanden, dass im Rahmen des Arbeitsverhältnisses personenbezogene Daten erhoben und verarbeitetet sowie auch an Dritte übermittelt werden.“ Diese Klausel genügte bereits nicht § 4a BDSG a.F., da nicht darauf hingewiesen wurde, welche konkreten Daten für welchen Zweck erhoben, verarbeitet und an wen übermittelt werden sollten.
Praktische Ungeeignetheit
Bereits das Erfordernis der Freiwilligkeit zeigt, dass Einwilligungen nicht geeignet sind, die Datenverarbeitung im Rahmen von HR-Standardprozessen zu rechtfertigen. Hinzu kommt die jederzeitige Widerruflichkeit einer erteilten Einwilligung. Spätestens ab diesem Zeitpunkt bedarf es einer anderen Rechtsgrundlage, um eine weitere Verarbeitung sicherstellen zu können. Werden die Daten auch nach einem möglichen Widerruf benötigt, lässt sich die Suche nach einer Erlaubnisnorm im Vorfeld somit nicht vermeiden.
Eine Einwilligung im Beschäftigungsverhältnis ist nach wie vor möglich, aber…
Der praktische Anwendungsbereich beschränkt sich aber im Wesentlichen auf Sachverhalte, die nicht den Kernbereich des Beschäftigungsverhältnisses betreffen. Einwilligungen sind weit davon entfernt, ein Allheilmittel zu sein.
RA/FAArb Andreas Josupeit
Counsel bei CMS Hasche Sigle (Düsseldorf)
Fragen an / Kontakt zum Autor? -> Das EFAR-Autorenprofil
RA Dr. Hans-Christian Woger
Senior Associate bei CMS Hasche Sigle (Leipzig)
Fragen an / Kontakt zum Autor? Die Autorenprofile in den sozialen Medien: Xing.
Ok, also es reicht, wenn man per Mail bestätigt, dass man im Homeoffice unterwegs ist? Ein Kollege möchte seit einiger Zeit sein Arbeitsrecht wahrnehmen. Er meint, dass er längst alles abgesprochen hat, aber die Mail soll wohl verloren gegangen sein. Kann man da irgendetwas machen?