Beschäftigtendatenschutzrecht – Rechtslage bis zum 25.05.2018
Bis zum 25.05.2018 wird die Datenschutzrichtlinie 95/46/EG gelten.
Datenschutzrichtlinie 95/45/EG –
Als Richtlinie entwickelt sie auf das einzelne Arbeitsverhältnis keine Bindungswirkung. Zu dem ist die Schutzdichte bezogen auf Arbeitsverhältnisse nur gering. Denn die Richtlinie gilt nur für strukturierte Datenansammlungen und kennt zahlreiche Ausnahmen im Beschäftigungsverhältnis.
§ 32 Bundesdatenschutzgesetz (BDSG a.F.) –
Das deutsche Recht statuiert für das Beschäftigungsverhältnis eine Spezialvorschrift, nämlich den § 32 Bundesdatenschutzgesetz (BDSG a.F.).
Danach kann die Datenverarbeitung zulässig sein, wenn sie zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses erforderlich ist.
Durch den § 32 BDSG a.F. werden andere Erlaubnistatbestände nicht verdrängt. Daher kann der Arbeitnehmer zu einer Datenverarbeitungsmaßnahme zustimmen oder die Maßnahme nach § 28 BDSG a.F. gerechtfertigt sein.
Kollektivverträge?
Abschließend ist noch nicht geklärt, ob Tarifverträge und Betriebsvereinbarungen andere Rechtsvorschriften sind, die eine Datenverarbeitungsmaßnahme rechtfertigen. Auf diese Frage gibt es keine klare Aussage des Bundesarbeitsgerichts. Es hat eine Dienstanweisung als eine gleichwertige Regelung angesehen. Konkrete Ausführungen gibt es aber noch nicht. Ein erheblicher Teil der Literatur und die Aufsichtsbehörden gehen jedoch davon aus, dass es sich bei Tarifverträgen und Betriebsvereinbarungen nicht um andere Vorschriften im Sinne des § 4 I BDSG a.F.
Erforderlichkeit –
Zentraler Begriff der Vorschrift des § 32 BDSG ist die Erforderlichkeit. Es muss ein legitimer Zweck, ein legitimes Mittel vorliegen. Darüber hinaus muss die Datenschutzmaßnahme notwendig und angemessen sein.
Da die Unternehmerfreiheit geschützt ist, können auch wirtschaftliche Erwägungen einen legitimen Zweck darstellen.
Aufklärung begangener Straftaten!
Im Rahmen des § 32 BDSG a.F. findet sich eine besondere Regelung für die Aufklärung begangener Straftaten, § 32 S. 1,2 BDSG a.F.
Neben den höheren Anforderungen an die Interessenabwägung ist der Vorschrift eine erhebliche Dokumentationspflicht zu entnehmen. Der Arbeitgeber muss die Dokumentation so speichern, dass sie jederzeit abrufbar ist. Stellt sich heraus, dass der Verdacht unbegründet war, so sind die Daten sofort zu löschen. Die Dokumentation sollte Angaben zum Verdacht der Straftat, zur Schadenshöhe, zum Schadensgrund und zum Verdächtigen bzw. zum Verdächtigenkreis enthalten.
Sehr häufig müssen Daten der Arbeitnehmer an Dritte übermittelt werden.
Beispiele sind der Steuerberater, der eine Unmenge personenbezogener Daten erhält, um aus ihnen eine Lohnsteuerabrechnung zu erstellen. Weiterhin ist die Bank zu benennen, die eine Zahlung auf das Konto des Arbeitnehmers vornehmen muss.
Auftragsdatenverarbeitung und Funktionsübertragung:
Der Arbeitgeber muss sich dessen bewusst sein, dass er selbst weiterhin haftet.
Im Falle der Auftragsdatenverarbeitung nach § 11 BDSG a.F. bleicht datenschutzrechtlich nur der Auftraggeber verantwortlich, nicht jedoch der Dritte, § 3 Abs. 8 S. 3 BDSG. Der Arbeitgeber muss für die gebotene Sorgfalt bei der Auswahl des Dritten einstehen. Der Auftrag muss den Voraussetzungen des § 11 Abs. 3 BDSG a.F. genügen.
Handelt es sich indes um eine Funktionsübertragung, so haftet der Dritte als weitere Stelle, § 3 Abs. 5 BDSG a.F. Zudem muss der Dritte einen eigenen Erlaubnistatbestand erfüllen.
Rechtsanwaltskanzlei Swist – Rechtsanwalt in Düsseldorf
Ihr Recht in unseren treuen Händen
Rufen Sie uns an! Tel.: 0211 – 8759 8067