• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • ArbeitsRecht Kurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • ArbG Koblenz: „Wir suchen coole Typen“ ist nicht diskriminierend
    Quelle : Beck-Blog 27.05.2022 - 15:20 Von stoffels
  • AI that detects your emotions: issues for employment?
    Quelle : KLIEMT.blog 27.05.2022 - 07:00 Von Ius Laboris
  • Weitere Fallstricke einer krankheitsbedingten Kündigung – nach dem bEM ist vor dem bEM
    Quelle : CMSHS 27.05.2022 - 06:44 Von Carsten Domke
  • Wer zu spät kommt, ... - kein Anspruch des erstmalig gewählten Betriebsrats auf Sozialplan
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 26.05.2022 - 16:47
  • ArbG Bonn: Kein Versand von Gewerkschaftsinformationen per E-Mail
    Quelle : Beck-Blog 25.05.2022 - 16:55 Von stoffels
  • „Wir suchen coole Typen“: AGG-konforme Stellenanzeige oder Diskriminierung?
    Quelle : KLIEMT.blog 25.05.2022 - 10:29 Von Tobias Klaus
  • Die Auswirkungen der elektronischen Arbeitsunfähigkeitsbescheinigung auf das Arbeitsverhältnis
    Quelle : ADVANT Beiten 24.05.2022 - 14:00 Von Dr. Anne Dziuba, Benedikt Holzapfel
  • Alles bleibt beim Alten: Überstunden muss weiterhin der Arbeitnehmer beweisen
    Quelle : KLIEMT.blog 24.05.2022 - 09:29 Von Cornelius Ziegler
  • Betriebsratswahlen 2022: Ermittlung der gewählten Kandidaten.
    Quelle : Buse 24.05.2022 - 08:00 Von Tobias Grambow
  • BAG zur Massenentlassungsanzeige: Soll-Angaben werden nun doch keine Muss-Angaben
    Quelle : Esche 24.05.2022 - 00:00
  • BAG zu Massenentlassungsanzeigen: „Soll“ ist doch nicht gleich „muss“!
    Quelle : Beck-Blog 23.05.2022 - 17:35 Von stoffels
  • „Einrichtungsbezogenen Impfpflicht“ verfassungsgemäß? BVerfG: verfassungsgemäß!
    Quelle : ADVANT Beiten 23.05.2022 - 14:00 Von Dr. Erik Schmid
  • Keine wirksame Befristung eines Arbeitsvertrags bei eingescannter Unterschrift
    Quelle : ADVANT Beiten 23.05.2022 - 14:00
  • Betriebliche Mitbestimmung bei Carve-Outs – ein Überblick
    Quelle : KLIEMT.blog 23.05.2022 - 08:00 Von Laura Louise Schmidt, LL.B.
  • Umsetzung der sog. Arbeitsbedingungenrichtlinie – Arbeitgeber müssen handeln
    Quelle : CMSHS 23.05.2022 - 06:30 Von Alexander Bissels
  • Kein Arbeitsverhältnis zum Entleiher trotz fehlender Überlassungserlaubnis des (ausländischen) Verleihers
    Quelle : ADVANT Beiten 20.05.2022 - 14:00 Von Dr. Gerald Peter Müller-Machwirth
  • Urteile zur einrichtungsbezogenen Impflicht
    Quelle : Beck-Blog 20.05.2022 - 08:55 Von stoffels
  • What are the new green reporting duties in France?
    Quelle : KLIEMT.blog 20.05.2022 - 07:00 Von Ius Laboris
  • Doch keine Freistellung ungeimpfter Beschäftigter im Gesundheitswesen?
    Quelle : CMSHS 19.05.2022 - 12:11 Von Alexander Bissels
  • Stellungnahme des DAV zum geplanten Hinweisgeberschutzgesetz
    Quelle : Beck-Blog 19.05.2022 - 11:09 Von stoffels

Datenschutzgrundverordnung: Einwilligung zur Datenverarbeitung ist kein Allheilmittel

  • 25. April 2018 |
  • Andreas Josupeit

Eine taugliche Rechtsgrundlage für die Verarbeitung und Speicherung personenbezogener Daten im Beschäftigungsverhältnis könnte auch nach der neuen DSGVO eine freiwilllige Einwilligung der Mitarbeiter sein. Dies ist jedoch kein Allheilmittel.

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Das neue Datenschutzrecht ist angekommen und prägt bereits jetzt die betrieblichen Abläufe. Auch um die umfangreichen Informationspflichten erfüllen zu können, sieht sich nicht nur Human Resources mit der Frage konfrontiert, auf welcher Rechtsgrundlage die Verarbeitung der einzelnen Beschäftigtendaten beruht.

Eine taugliche Rechtsgrundlage für die Verarbeitung und Speicherung personenbezogener Daten im Beschäftigungsverhältnis könnte auch nach der neuen Europäischen Datenschutzgrundverordnung (DSGVO) eine freiwilllige Einwilligung der Mitarbeiter sein. Dies ist jedoch kein Allheilmittel, denn nicht nur die Einordnung der „Freiwilligkeit“ ist strittig und wird von den Aufsichtsbehörden kritisch gesehen. Auch sind Einwilligungserklärungen schnell unwirksam, wenn sie nicht die weiter vorgeschriebenen Voraussetzungen erfüllen. Dies beginnt schon im Bewerbungsprozess.

Sind Einwilligungen tatsächlich ein praxistaugliches Allheilmittel, um den Bußgeldandrohungen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes vorbeugen zu können? (Anm. d. Red.: Die DSGVO stellt auch neue Anforderungen an Betriebsvereinbarungen, die die Verarbeitung von Beschäftigtendaten regeln. Ein weiterer Beitrag zeigt, welchen Vorgaben Betriebsvereinbarungen künftig entsprechen müssen und wie man entsprechende Regelungen gestaltet.)

Ursprüngliche gesetzliche Grundkonzeption

Bereits vor der DSGVO und den Neuregelungen des Bundesdatenschutzgesetzes (BDSG) war die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit es eine Rechtsgrundlage gab (so genanntes Verbot mit Erlaubnisvorbehalt). Das galt auch für die Daten von Beschäftigten, also unter anderem von Arbeitnehmerinnen und Arbeitnehmern, den zu ihrer Berufsbildung Beschäftigten und von Bewerberinnen und Bewerbern. Zu den personenbezogenen Daten zählen zum Beispiel Name, Geburtsdatum, Geschlecht, Familienstand, Anschrift, Kontonummer, Krankheitstage, Konfession, Ausbildung, Qualifikation, Foto, E-Mail, Adresse, IP-Adresse, aktueller Aufenthaltsort.

Wesentliche Erlaubnisnorm im Beschäftigungsverhältnis war § 32 BDSG, in der bis zum 24.05.2018 geltenden Fassung. Danach war die Datenerhebung, -verarbeitung beziehungsweise -nutzung erlaubt, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich war. Auch war anerkannt, dass eine Betriebsvereinbarung eine taugliche Rechtsgrundlage sein kann. Umstritten war allerdings, ob gleiches auch für eine Einwilligung galt. Das wurde unter Hinweis auf das strukturelle Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer und eine daraus resultierende Drucksituation zum Teil verneint. Das BAG hat jedoch eine Einwilligung auch im Beschäftigungsverhältnis als möglich angesehen (BAG 11.12.2014, 8 AZR 1010/13).

Anzeige

 

Datenschutzgrundverordnung: Die Einwilligung ab dem 25.05.2018

Die Neuregelungen belassen es bei dem Verbot mit Erlaubnisvorbehalt. Neben der DSGVO gelten für den Beschäftigtendatenschutz die Regelungen des neuen BDSG, die vom deutschen Gesetzgeber auf Grundlage der Öffnungsklausel des Art. 88 DSGVO erlassen worden sind. Grundnorm im Beschäftigungsverhältnis ist nunmehr § 26 BDSG. Diese soll den bisherigen § 32 BDSG, alte Fassung (a.F.), einschließlich der dazu ergangenen Rechtsprechung des BAG fortführen. Die Zulässigkeit einer Datenverarbeitung auf der Grundlage von Kollektivvereinbarungen (Betriebsvereinbarungen, Tarifverträge) ist nunmehr gesetzlich fixiert (§ 26 Abs. 4 BDSG in Verbindung mit Art. 88 Abs. 2 DSGVO).

Erstmalig ist klargestellt, dass im Beschäftigungsverhältnis auch eine Einwilligung möglich ist (§ 26 Abs. 2 BDSG). Diese muss freiwillig erfolgen (vgl. Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO), der Betroffene muss in der Lage sein, seine Einwilligung zu verweigern oder zurückzuziehen, ohne (gewichtige) Nachteile zu erleiden. Nach § 26 Abs. 2 BDSG sind für die Beurteilung der Freiwilligkeit “insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.” Glücklicherweise wird diese unscharfe Regelung ergänzt durch – nicht abschließende – gesetzliche Regelvermutungen.

Freiwilligkeit der Einwilligung: Beispiele

Erstens kann Freiwilligkeit vorliegen, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil, zum Beispiel eine Zusatzleistung, erreicht wird.

Beispiel 1: Das Unternehmen erlaubt jedem Mitarbeiter die private Nutzung des Internets. Die Mitarbeiter erklären sich einverstanden, dass in diesem Zusammenhang bestimmte personenbezogene Daten verarbeitet werden.

Zweitens soll eine Einwilligung als freiwillig gelten, wenn Arbeitgeber und Beschäftigter gleichgelagerten Interessen verfolgen.

Beispiel 2: Ein Bewerber, für den aktuell keine geeignete Stelle vorhanden ist, willigt ein, dass seine Daten gespeichert bleiben, damit er im Falle einer späteren Vakanz berücksichtigt werden kann.

Beispiel 3: Ein Mitarbeiter erklärt sich einverstanden, dass seine Qualifikationen und Erfahrungen in eine konzernweite Datenbank aufgenommen werden, um an unternehmensübergreifenden Talentförderungsprogrammen teilzunehmen.

Es ist allerdings nicht zu verkennen, dass die Frage der Freiwilligkeit im Beschäftigungsverhältnis weiterhin kritisch gesehen wird. So vertritt die europäische Artikel-29-Datenschutzgruppe, ein Vorläufer des neuen Europäischen Datenschutzausschusses (Art. 68 ff. DSGVO), im Arbeitspapier WP249 vom 8. Juni 2017 die Ansicht, Arbeitnehmer befänden sich fast nie in der Position, eine Einwilligung frei erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man nur in besonderen Ausnahmefällen ausgehen. Auf dieser Linie liegen auch die Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Wegen des Ungleichgewichts seien in Bezug auf die gesetzlichen Ausnahmeregelungen in § 26 Abs. 2 BDSG hohe Anforderungen zu stellen (Kurzpapier Nr. 14 zum Beschäftigtendatenschutz vom 12.01.2018).

Diese enge Sichtweise ist wirklichkeitsfremd. Beschäftigte unterzeichnen keineswegs stets alles, was ihnen vorgelegt wird. Dass auch im Beschäftigungsverhältnis freie Entscheidungen möglich sind, kann weder pauschal abgelehnt noch stets bejaht werden. Folgerichtig hat der Gesetzgeber maßgeblich auf den Einzelfall abgestellt.

Hinweis-/Unterrichtungspflichten und Zweckbindung

Eine schrankenlose Datenverarbeitung ist auch im Falle einer Einwilligung nicht zulässig. Abgesichert wird das durch den strikten Zweckbindungsgrundsatz (Art. 5 Abs. 2 DSGVO) sowie die gesetzlichen Hinweis- und Unterrichtungspflichten. Der Arbeitgeber hat in Textform über den Zweck der Datenverarbeitung sowie über das in Art. 7 Abs. 3 DSGVO geregelte Widerrufsrecht aufzuklären (§ 26 Abs. 2 S. 4 BDSG). Sofern besondere personenbezogene Daten (Herkunft, Gesundheit, Gewerkschaftszugehörigkeit, biometrische Daten etc.) verarbeitet werden sollen, ist auch dies in der Einwilligungserklärung aufzunehmen.

Beispiel 4: In Beispiel 2 muss der Bewerber informiert werden, dass sein Profil zu dem Zweck gespeichert wird, ihn zukünftig berücksichtigen zu können. Auch ist darauf hinzuweisen, dass seine Einwilligung freiwillig und jederzeit mit Wirkung für die Zukunft widerruflich ist. Ein besonderer Hinweis muss erfolgen, wenn sein Foto gespeichert wird.

Unterscheidbarkeit und Verständlichkeit

Wenn die Einwilligungserklärung zusammen mit anderen Erklärungen abgegeben werden soll, muss sie – wie bisher – klar davon zu unterscheiden sein (Art. 7 Abs. 2 DSGVO), etwa durch drucktechnische Hervorhebung (Fettdruck). Zudem muss das Ersuchen um die Einwilligung – aufgrund der allgemeinen Informationspflichten (Artt. 12 ff. DSGVO) immer –  “in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” erfolgen, mithin in Alltagssprache.

Formerfordernis

Während die DSGVO keine Beschränkung auf die strenge Schriftform (mit eigenhändiger Unterschrift) vorsieht, fordert § 26 Abs. 2 S. 2 BDSG deren Einhaltung, “soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.” Solche besonderen Umstände dürften jedenfalls dann vorliegen, wenn die gesamte Abwicklung elektronisch erfolgt.

Beispiel 5: Im Beispiel 2 erfolgt die Bewerbung über ein Online-Portal. Der Bewerber markiert aktiv ein entsprechendes Kästchen, dass er mit der weiteren Speicherung einverstanden ist.

Beispiel 6: Ein Mitarbeiter wird im Home Office beschäftigt. Er erklärt seine Einwilligung per E-Mail.

Fortgeltung von Alt-Einwilligungen

Vor der DSGVO wirksam erteilte Einwilligungen sollen grundsätzlich fortgelten, wenn sie den Anforderungen der DSGVO entsprechen (Erwägungsgrund Nr. 171; Beschluss des Düsseldorfer Kreises vom 13. und 14. September 2016). Ob das auch in Bezug auf die deutsche Neuregelung zum Beschäftigtendatenschutz gilt, ist nicht geklärt, lässt sich aber gut vertreten. Allerdings bedeutet das keinen Grund zum Aufatmen: Häufig waren Einwilligungserklärungen bereits nach bisherigen Recht unwirksam.

Beispiel 7: Im Arbeitsvertrag findet sich folgende Klausel: “Sie sind einverstanden, dass im Rahmen des Arbeitsverhältnisses personenbezogene Daten erhoben und verarbeitetet sowie auch an Dritte übermittelt werden.” Diese Klausel genügte bereits nicht § 4a BDSG a.F., da nicht darauf hingewiesen wurde, welche konkreten Daten für welchen Zweck erhoben, verarbeitet und an wen übermittelt werden sollten.

Praktische Ungeeignetheit

Bereits das Erfordernis der Freiwilligkeit zeigt, dass Einwilligungen nicht geeignet sind, die Datenverarbeitung im Rahmen von HR-Standardprozessen zu rechtfertigen. Hinzu kommt die jederzeitige Widerruflichkeit einer erteilten Einwilligung. Spätestens ab diesem Zeitpunkt bedarf es einer anderen Rechtsgrundlage, um eine weitere Verarbeitung sicherstellen zu können. Werden die Daten auch nach einem möglichen Widerruf benötigt, lässt sich die Suche nach einer Erlaubnisnorm im Vorfeld somit nicht vermeiden.

Eine Einwilligung im Beschäftigungsverhältnis ist nach wie vor möglich, aber…

Der praktische Anwendungsbereich beschränkt sich aber im Wesentlichen auf Sachverhalte, die nicht den Kernbereich des Beschäftigungsverhältnisses betreffen. Einwilligungen sind weit davon entfernt, ein Allheilmittel zu sein.

 

RA/FAArb Andreas Josupeit
Counsel bei CMS Hasche Sigle (Düsseldorf)

Fragen an / Kontakt zum Autor? -> Das EFAR-Autorenprofil

RA Dr. Hans-Christian Woger
Senior Associate bei CMS Hasche Sigle (Leipzig)

Fragen an / Kontakt zum Autor? Die Autorenprofile in den sozialen Medien: Xing.

 

Kategorien: #EFAR-Beiträge Tags: Datenschutz

  • Andreas Josupeit

    RA/FAArb Andreas Josupeit Counsel bei CMS Hasche Sigle (Düsseldorf) #EFAR - Profil Xing

Ähnliche Beiträge

Betriebsrat
31. März 2022 - Tobias Neufeld, LL.M.

Betriebsrat: Datenschutzrechtliche Stellung und Pflichten nach der Betriebsverfassung, DSGVO und BDSG

Die datenschutzrechtliche Stellung des Betriebsrats und die daraus resultierenden Pflichten waren und sind auch nach der Einführung des § 79a BetrVG in der Diskussion. Zum aktuellen Stand eine Beitragsreihe mit Handlungsempfehlungen.
Lesen
Datenschutz
2. März 2022 - Dr. Philipp Wiesenecker

Beschäftigtendatenschutz: Vorschlag des DGB

Der DGB hat einen Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt. Was ist dort im Detail geplant und wie ist dies zu bewerten?
Lesen
Compliance
24. Februar 2022 - Sebastian Laoutoumai, LL.M.

Wann haften Geschäftsführer persönlich für DSGVO-Verstöße?

Haften Geschäftsführer persönlich für Datenschutzverstöße der GmbH? Zu dieser wichtigen Frage hat das OLG Dresden jüngst eine überraschende Entscheidung getroffen.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • ArbeitsRecht kurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Kündigungsgrund gefälschter Genesenennachweis
  • Kein Versand von Gewerkschaftsinformationen per E-Mail
  • Unwirksame Rückzahlungsklausel in Fortbildungsvereinbarung
  • Corona-Arbeitsschutzverordnung wird nicht verlängert
  • Massenentlassungsanzeige – Fehlen der sog. Soll-Angaben

#EFAR – Jobs

  • Küttner Arbeitsrechtler (m/w/d) mit Berufserfahrung Köln
  • DLR Volljuristin oder Volljurist (w/m/d) Bonn - Bad Godesberg
  • Hays Volljurist/ Inhouse Counsel (m/w/d) Mannheim
  • ADVANT Beiten RECHTSANWÄLTE MIT BERUFSERFAHRUNG (W/M/D) FÜR DEN BEREICH ARBEITSRECHT MÜNCHEN

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.