• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • #ArbeitsRechtKurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • BAG: Schadensersatz bei DSGVO-Verstoß
    Quelle : 09.05.2025 - 17:24 Von By: Andre Appel
  • Minimising the misuse of the duty to pay wages during appeals
    Quelle : KLIEMT.blog 09.05.2025 - 08:49 Von Ius Laboris
  • Schadenersatz nach Datenschutz-Grundverordnung (DSGVO) - Betriebsvereinbarung - Workday
    Quelle : bundesarbeitsgericht 08.05.2025 - 16:17 Von Das Bundesarbeitsgericht
  • Neue Wege in der Arbeitswelt: Ein Überblick zu arbeits- und sozialrechtlichen Plänen der Regierung
    Quelle : ADVANT Beiten 08.05.2025 - 13:32
  • Beitragsnachzahlungen durch den Arbeitgeber – Gefahren und Prävention in der Praxis
    Quelle : KLIEMT.blog 08.05.2025 - 09:15 Von Sebastian Schilling
  • Arbeitszeit im Fokus – eine Einordung der Pläne im Koalitionsvertrag
    Quelle : CMSHS 07.05.2025 - 14:39 Von Amelie Schäfer
  • Diskriminierung und KI
    Quelle : KLIEMT.blog 07.05.2025 - 09:32 Von Christine Norkus
  • Der richtige Umgang mit den Wahlakten des Betriebsrats
    Quelle : ArbRB-Blog 06.05.2025 - 17:01 Von Wolfgang Kleinebrink
  • Berücksichtigung von Elternzeiten bei der Wartezeit in der Versorgungsanstalt der Deutschen Post
    Quelle : bundesarbeitsgericht 06.05.2025 - 16:35 Von Das Bundesarbeitsgericht
  • Mitbestimmungsrechte des Betriebsrates bei Einrichtung einer internen Meldestelle nach dem HinSchG
    Quelle : 06.05.2025 - 11:28 Von By: Tatjana Serbina, LL.M.
  • 7 MIN. Arbeitsrecht für Entscheider (m/w/d) – Episode 57 ab sofort verfügbar!
    Quelle : KLIEMT.blog 06.05.2025 - 10:23 Von KLIEMT.Arbeitsrecht
  • Leistungsanerkennungsprämien im Bereich der regulierten Vergütung
    Quelle : KLIEMT.blog 06.05.2025 - 08:57 Von Dr. Christian Häußer, LL.M.
  • Betriebsratswahl aus dem Homeoffice? Kommt darauf an!
    Quelle : Buse 06.05.2025 - 08:00 Von Tobias Grambow
  • Erstattung von Detektivkosten: Muss der Arbeitnehmer zahlen?
    Quelle : KLIEMT.blog 05.05.2025 - 09:38 Von Dr. Daniela Quink-Hamdan 
  • Newletter für den Monat April 2025
    Quelle : RA Blaufelder 02.05.2025 - 16:37 Von Thorsten Blaufelder
  • New data protection law comes into effect in Mexico
    Quelle : KLIEMT.blog 02.05.2025 - 08:00 Von Ius Laboris
  • IT-Mitbestimmung: Datenschutz nicht mitbestimmt!
    Quelle : CMSHS 30.04.2025 - 11:36 Von Daniel Ludwig
  • Vorsitzender Richter am Bundesarbeitsgericht a. D. Prof. Dr. Waldemar Röhsler verstorben
    Quelle : bundesarbeitsgericht 30.04.2025 - 11:01 Von Das Bundesarbeitsgericht
  • SAP S/4HANA: Mitbestimmungsprojekt XXL
    Quelle : KLIEMT.blog 30.04.2025 - 09:00 Von Dr. Jan Heuer
  • Arbeitszeitrecht mit Kristina Schilder – Aktuelles vom BAG zur gesetzlich vorgeschriebenen Ruhepause
    Quelle : PWWL 29.04.2025 - 17:28 Von Pusch Wahlig Workplace Law

Datenschutzgrundverordnung: Einwilligung zur Datenverarbeitung ist kein Allheilmittel

  • 25. April 2018 |
  • Andreas Josupeit

Eine taugliche Rechtsgrundlage für die Verarbeitung und Speicherung personenbezogener Daten im Beschäftigungsverhältnis könnte auch nach der neuen DSGVO eine freiwilllige Einwilligung der Mitarbeiter sein. Dies ist jedoch kein Allheilmittel.

  • teilen 
  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

Das Thema

Das neue Datenschutzrecht ist angekommen und prägt bereits jetzt die betrieblichen Abläufe. Auch um die umfangreichen Informationspflichten erfüllen zu können, sieht sich nicht nur Human Resources mit der Frage konfrontiert, auf welcher Rechtsgrundlage die Verarbeitung der einzelnen Beschäftigtendaten beruht.

Eine taugliche Rechtsgrundlage für die Verarbeitung und Speicherung personenbezogener Daten im Beschäftigungsverhältnis könnte auch nach der neuen Europäischen Datenschutzgrundverordnung (DSGVO) eine freiwilllige Einwilligung der Mitarbeiter sein. Dies ist jedoch kein Allheilmittel, denn nicht nur die Einordnung der „Freiwilligkeit“ ist strittig und wird von den Aufsichtsbehörden kritisch gesehen. Auch sind Einwilligungserklärungen schnell unwirksam, wenn sie nicht die weiter vorgeschriebenen Voraussetzungen erfüllen. Dies beginnt schon im Bewerbungsprozess.

Sind Einwilligungen tatsächlich ein praxistaugliches Allheilmittel, um den Bußgeldandrohungen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes vorbeugen zu können? (Anm. d. Red.: Die DSGVO stellt auch neue Anforderungen an Betriebsvereinbarungen, die die Verarbeitung von Beschäftigtendaten regeln. Ein weiterer Beitrag zeigt, welchen Vorgaben Betriebsvereinbarungen künftig entsprechen müssen und wie man entsprechende Regelungen gestaltet.)

Ursprüngliche gesetzliche Grundkonzeption

Bereits vor der DSGVO und den Neuregelungen des Bundesdatenschutzgesetzes (BDSG) war die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit es eine Rechtsgrundlage gab (so genanntes Verbot mit Erlaubnisvorbehalt). Das galt auch für die Daten von Beschäftigten, also unter anderem von Arbeitnehmerinnen und Arbeitnehmern, den zu ihrer Berufsbildung Beschäftigten und von Bewerberinnen und Bewerbern. Zu den personenbezogenen Daten zählen zum Beispiel Name, Geburtsdatum, Geschlecht, Familienstand, Anschrift, Kontonummer, Krankheitstage, Konfession, Ausbildung, Qualifikation, Foto, E-Mail, Adresse, IP-Adresse, aktueller Aufenthaltsort.

Wesentliche Erlaubnisnorm im Beschäftigungsverhältnis war § 32 BDSG, in der bis zum 24.05.2018 geltenden Fassung. Danach war die Datenerhebung, -verarbeitung beziehungsweise -nutzung erlaubt, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich war. Auch war anerkannt, dass eine Betriebsvereinbarung eine taugliche Rechtsgrundlage sein kann. Umstritten war allerdings, ob gleiches auch für eine Einwilligung galt. Das wurde unter Hinweis auf das strukturelle Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer und eine daraus resultierende Drucksituation zum Teil verneint. Das BAG hat jedoch eine Einwilligung auch im Beschäftigungsverhältnis als möglich angesehen (BAG 11.12.2014, 8 AZR 1010/13).

Anzeige

 

Datenschutzgrundverordnung: Die Einwilligung ab dem 25.05.2018

Die Neuregelungen belassen es bei dem Verbot mit Erlaubnisvorbehalt. Neben der DSGVO gelten für den Beschäftigtendatenschutz die Regelungen des neuen BDSG, die vom deutschen Gesetzgeber auf Grundlage der Öffnungsklausel des Art. 88 DSGVO erlassen worden sind. Grundnorm im Beschäftigungsverhältnis ist nunmehr § 26 BDSG. Diese soll den bisherigen § 32 BDSG, alte Fassung (a.F.), einschließlich der dazu ergangenen Rechtsprechung des BAG fortführen. Die Zulässigkeit einer Datenverarbeitung auf der Grundlage von Kollektivvereinbarungen (Betriebsvereinbarungen, Tarifverträge) ist nunmehr gesetzlich fixiert (§ 26 Abs. 4 BDSG in Verbindung mit Art. 88 Abs. 2 DSGVO).

Erstmalig ist klargestellt, dass im Beschäftigungsverhältnis auch eine Einwilligung möglich ist (§ 26 Abs. 2 BDSG). Diese muss freiwillig erfolgen (vgl. Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO), der Betroffene muss in der Lage sein, seine Einwilligung zu verweigern oder zurückzuziehen, ohne (gewichtige) Nachteile zu erleiden. Nach § 26 Abs. 2 BDSG sind für die Beurteilung der Freiwilligkeit „insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.“ Glücklicherweise wird diese unscharfe Regelung ergänzt durch – nicht abschließende – gesetzliche Regelvermutungen.

Freiwilligkeit der Einwilligung: Beispiele

Erstens kann Freiwilligkeit vorliegen, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil, zum Beispiel eine Zusatzleistung, erreicht wird.

Beispiel 1: Das Unternehmen erlaubt jedem Mitarbeiter die private Nutzung des Internets. Die Mitarbeiter erklären sich einverstanden, dass in diesem Zusammenhang bestimmte personenbezogene Daten verarbeitet werden.

Zweitens soll eine Einwilligung als freiwillig gelten, wenn Arbeitgeber und Beschäftigter gleichgelagerten Interessen verfolgen.

Beispiel 2: Ein Bewerber, für den aktuell keine geeignete Stelle vorhanden ist, willigt ein, dass seine Daten gespeichert bleiben, damit er im Falle einer späteren Vakanz berücksichtigt werden kann.

Beispiel 3: Ein Mitarbeiter erklärt sich einverstanden, dass seine Qualifikationen und Erfahrungen in eine konzernweite Datenbank aufgenommen werden, um an unternehmensübergreifenden Talentförderungsprogrammen teilzunehmen.

Es ist allerdings nicht zu verkennen, dass die Frage der Freiwilligkeit im Beschäftigungsverhältnis weiterhin kritisch gesehen wird. So vertritt die europäische Artikel-29-Datenschutzgruppe, ein Vorläufer des neuen Europäischen Datenschutzausschusses (Art. 68 ff. DSGVO), im Arbeitspapier WP249 vom 8. Juni 2017 die Ansicht, Arbeitnehmer befänden sich fast nie in der Position, eine Einwilligung frei erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man nur in besonderen Ausnahmefällen ausgehen. Auf dieser Linie liegen auch die Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Wegen des Ungleichgewichts seien in Bezug auf die gesetzlichen Ausnahmeregelungen in § 26 Abs. 2 BDSG hohe Anforderungen zu stellen (Kurzpapier Nr. 14 zum Beschäftigtendatenschutz vom 12.01.2018).

Diese enge Sichtweise ist wirklichkeitsfremd. Beschäftigte unterzeichnen keineswegs stets alles, was ihnen vorgelegt wird. Dass auch im Beschäftigungsverhältnis freie Entscheidungen möglich sind, kann weder pauschal abgelehnt noch stets bejaht werden. Folgerichtig hat der Gesetzgeber maßgeblich auf den Einzelfall abgestellt.

Hinweis-/Unterrichtungspflichten und Zweckbindung

Eine schrankenlose Datenverarbeitung ist auch im Falle einer Einwilligung nicht zulässig. Abgesichert wird das durch den strikten Zweckbindungsgrundsatz (Art. 5 Abs. 2 DSGVO) sowie die gesetzlichen Hinweis- und Unterrichtungspflichten. Der Arbeitgeber hat in Textform über den Zweck der Datenverarbeitung sowie über das in Art. 7 Abs. 3 DSGVO geregelte Widerrufsrecht aufzuklären (§ 26 Abs. 2 S. 4 BDSG). Sofern besondere personenbezogene Daten (Herkunft, Gesundheit, Gewerkschaftszugehörigkeit, biometrische Daten etc.) verarbeitet werden sollen, ist auch dies in der Einwilligungserklärung aufzunehmen.

Beispiel 4: In Beispiel 2 muss der Bewerber informiert werden, dass sein Profil zu dem Zweck gespeichert wird, ihn zukünftig berücksichtigen zu können. Auch ist darauf hinzuweisen, dass seine Einwilligung freiwillig und jederzeit mit Wirkung für die Zukunft widerruflich ist. Ein besonderer Hinweis muss erfolgen, wenn sein Foto gespeichert wird.

Unterscheidbarkeit und Verständlichkeit

Wenn die Einwilligungserklärung zusammen mit anderen Erklärungen abgegeben werden soll, muss sie – wie bisher – klar davon zu unterscheiden sein (Art. 7 Abs. 2 DSGVO), etwa durch drucktechnische Hervorhebung (Fettdruck). Zudem muss das Ersuchen um die Einwilligung – aufgrund der allgemeinen Informationspflichten (Artt. 12 ff. DSGVO) immer –  „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen, mithin in Alltagssprache.

Formerfordernis

Während die DSGVO keine Beschränkung auf die strenge Schriftform (mit eigenhändiger Unterschrift) vorsieht, fordert § 26 Abs. 2 S. 2 BDSG deren Einhaltung, „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.“ Solche besonderen Umstände dürften jedenfalls dann vorliegen, wenn die gesamte Abwicklung elektronisch erfolgt.

Beispiel 5: Im Beispiel 2 erfolgt die Bewerbung über ein Online-Portal. Der Bewerber markiert aktiv ein entsprechendes Kästchen, dass er mit der weiteren Speicherung einverstanden ist.

Beispiel 6: Ein Mitarbeiter wird im Home Office beschäftigt. Er erklärt seine Einwilligung per E-Mail.

Fortgeltung von Alt-Einwilligungen

Vor der DSGVO wirksam erteilte Einwilligungen sollen grundsätzlich fortgelten, wenn sie den Anforderungen der DSGVO entsprechen (Erwägungsgrund Nr. 171; Beschluss des Düsseldorfer Kreises vom 13. und 14. September 2016). Ob das auch in Bezug auf die deutsche Neuregelung zum Beschäftigtendatenschutz gilt, ist nicht geklärt, lässt sich aber gut vertreten. Allerdings bedeutet das keinen Grund zum Aufatmen: Häufig waren Einwilligungserklärungen bereits nach bisherigen Recht unwirksam.

Beispiel 7: Im Arbeitsvertrag findet sich folgende Klausel: „Sie sind einverstanden, dass im Rahmen des Arbeitsverhältnisses personenbezogene Daten erhoben und verarbeitetet sowie auch an Dritte übermittelt werden.“ Diese Klausel genügte bereits nicht § 4a BDSG a.F., da nicht darauf hingewiesen wurde, welche konkreten Daten für welchen Zweck erhoben, verarbeitet und an wen übermittelt werden sollten.

Praktische Ungeeignetheit

Bereits das Erfordernis der Freiwilligkeit zeigt, dass Einwilligungen nicht geeignet sind, die Datenverarbeitung im Rahmen von HR-Standardprozessen zu rechtfertigen. Hinzu kommt die jederzeitige Widerruflichkeit einer erteilten Einwilligung. Spätestens ab diesem Zeitpunkt bedarf es einer anderen Rechtsgrundlage, um eine weitere Verarbeitung sicherstellen zu können. Werden die Daten auch nach einem möglichen Widerruf benötigt, lässt sich die Suche nach einer Erlaubnisnorm im Vorfeld somit nicht vermeiden.

Eine Einwilligung im Beschäftigungsverhältnis ist nach wie vor möglich, aber…

Der praktische Anwendungsbereich beschränkt sich aber im Wesentlichen auf Sachverhalte, die nicht den Kernbereich des Beschäftigungsverhältnisses betreffen. Einwilligungen sind weit davon entfernt, ein Allheilmittel zu sein.

 

RA/FAArb Andreas Josupeit
Counsel bei CMS Hasche Sigle (Düsseldorf)

Fragen an / Kontakt zum Autor? -> Das EFAR-Autorenprofil

RA Dr. Hans-Christian Woger
Senior Associate bei CMS Hasche Sigle (Leipzig)

Fragen an / Kontakt zum Autor? Die Autorenprofile in den sozialen Medien: Xing.

 

Kategorien: #EFAR-Beiträge Tags: Datenschutz

  • Andreas Josupeit

    RA/FAArb Andreas Josupeit Counsel bei CMS Hasche Sigle (Düsseldorf) #EFAR - Profil

Ähnliche Beiträge

Datenschutz Bahn Nizza
17. Februar 2025 - Daniel Schlemann, LL.M. (Berkeley)

Verbot der Verarbeitung nicht erforderlicher Stammdaten im Arbeitsverhältnis

Ist die Angabe des Geschlechts zur Erfüllung von Verträgen oder zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich oder widerspricht sie dem Prinzip der Datenminimierung? Zu dieser Frage hat der EuGH entschieden. Was bedeutet dies für Arbeitsverhältnisse?
Lesen
Datenschutz EU
3. Februar 2025 - Dr. Michael Witteler

Anwendbarkeit erster Regelungen der KI-VO ab 02.02.2025

Die EU-Verordnung für Künstliche Intelligenz (KI-VO) markiert einen bedeutenden Schritt in der Regulierung von KI-Systemen innerhalb der Europäischen Union und zielt darauf ab, einheitliche Standards für die Entwicklung und Nutzung von KI zu schaffen. Die KI-VO ist am 02.08.2024 in Kraft getreten, jedoch noch nicht anwendbar. Das ändert sich schrittweise. Seit dem 02.02.2025 sind erste Artikel der Verordnung anwendbar. Es handelt sich um die Art. 1 bis 5 (Kapitel 1 und 2).
Lesen
Betriebsrat DSGVO
29. Januar 2025 - Antje Münch, LL.M.

Betriebsvereinbarungen als Rechtsgrundlage für die Datenverarbeitung

Am 19.12.2024 fällte der EuGH ein wegweisendes Urteil zu den datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen.
Lesen

Primary Sidebar

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Mutterschutz auch bei Fehlgeburten – Änderung des MuSchG (ab 01.06.2025)
  • Berücksichtigung von Elternzeiten bei der Wartezeit in der Versorgungsanstalt der Deutschen Post
  • BAG zu Entgeltabrechnungen als elektronisches Dokument
  • Gemischte Gefühle gegenüber KI am Arbeitsplatz
  • Bezugnahmeklauseln als Restrukturierungshindernis für firmenbezogene Sanierungstarifverträge

#EFAR – Jobs

  • Osborne Clarke Rechtsanwalt (w/m/d) Arbeitsrecht München
  • Amadeus Fire AG (Senior) Legal Counsel (m/w/d) Frankfurt am Main
  • ARQIS Teamassistenz (m/w/d) Arbeitsrecht in Düsseldorf Düsseldorf

#EFAR Feeds (X & LinkedIN)

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.