Bild: Steine

Erfahrung schafft Vertrauen

Verarbeitung personenbezogener Daten und die dazu ermächtigenden Rechtsgrundlagen

Der deutsche Gesetzgeber und die Katholische Kirche in Deutschland haben ihre Datenschutzvorschriften in Anlehnung an die europäische Datenschutz-Grundverordnung überarbeitet. Die neuen Datenschutzbestimmungen treten ohne Übergangsfristen am 25. Mai 2018 in Kraft. Wir stellen Ihnen die neuen Bestimmungen bezogen auf den Beschäftigtendatenschutz in zwei Beiträgen vor.

Ihr Ansprechpartner

Rechtsanwältin Agnes Lisowski
Rechtsanwältin Agnes Lisowski
0251 - 48204-17
a.lisowski@bpg-muenster.de

Der deutsche Gesetzgeber und die Katholische Kirche in Deutschland haben ihre Datenschutzvorschriften in Anlehnung an die europäische Datenschutz-Grundverordnung (EU-DSGVO 2016/679) sowie die entsprechende Umsetzungsrichtlinie (EU-DSANPUG-EU 2016/680) überarbeitet. Hat der nationale Gesetzgeber keine der EU-DSGVO entsprechende Regelungen getroffen oder die Eröffnungsklauseln für eigene abweichende Regelungen genutzt, so findet die EU-DSGVO unmittelbar Anwendung.

Sowohl das staatliche Gesetz zur Anpassung des Datenschutzrechtes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017 (im Folgenden: BDSG) als auch das kirchliche Gesetz über den Kirchlichen Datenschutz in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017 (im Folgenden: KDG) treten am 25. Mai 2018 in Kraft und ersetzen die bis dahin gültigen Datenschutzvorschriften.

Der folgende Beitrag befasst sich speziell mit der Verarbeitung personenbezogener Daten von Beschäftigten und den dazu ermächtigenden Rechtsgrundlagen.  

Die neuen Datenschutzvorschriften stellen die Arbeitgeber ohne Übergangsfristen vor neue Herausforderungen rund um das Thema Datensicherheit. Die Verstöße gegen den Datenschutz können mit Geldbußen von 50.000,00 € und mehr geahndet werden. Es ist daher wichtig, dass die Arbeitgeber rechtzeitig die neuen Datenschutzbestimmungen umsetzen.

Die EU-DSGVO eröffnet in Art. 88 den Mitgliedstaaten der Europäischen Union die Möglichkeit, durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Verarbeitung personenbezogener Daten bezogen auf das Beschäftigungsverhältnis zu regeln.

Von dieser Möglichkeit haben der deutsche Gesetzgeber in § 26 BDSG n. F. und die Katholische Kirche in Deutschland in § 53 KDG n. F. Gebrauch gemacht. Sie haben die Verarbeitung personenbezogenen Daten der Beschäftigten zu bestimmten Zwecken erlaubt.

Beschäftigte

Der Kreis der Beschäftigten ist in § 26 Abs. 8 BDSG n. F. / § 53 i. V. m. § 4 Nr. 24 KDG n. F. definiert.

Beschäftigte sind demnach:

  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer
  • Auszubildende
  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben
  • Beschäftigte in anerkannten Werkstätten für behinderte Menschen
  • Personen, die einen Dienst nach dem Jugendfreiwilligendienstgesetz oder nach dem Bundesfreiwilligendienstgesetz leisten
  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind (u. a. die in Heimarbeit Beschäftigten)
  • Beamtinnen und Beamten des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende
  • Bewerberinnen und Bewerber
  • Ehemalige Arbeitnehmerinnen und Arbeitnehmer

Nur für kirchliche Einrichtungen einschlägig:

  • Kleriker und Kandidaten für das Weiheamt
  • Ordensangehörige, soweit sie auf einer Planstelle in einer Einrichtung der eigenen Ordensgemeinschaft oder aufgrund eines Gestellungsvertrages tätig sind.
  • Kirchenbeamte
  • ausgenommen: Postulanten und Novizen sowie Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher

personenbezogene Daten

Personenbezogene Daten sind laut ihrer gesetzlichen Definition (§ 46 Nr. 1 BDSG n. F. / § 4 Nr. 1 KDG n. F.) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Zu den allgemeinen personenbezogenen Daten zählen u. a.:

  • Name
  • Adresse
  • Telefonnummer
  • E-Mailadresse
  • Geburtstag
  • Geburtsort
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IT-Adressen
  • Schul- und Berufsabschlüsse
  • Hobbys

Zu den besonderen Kategorien personenbezogener Daten zählen u. a.:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Biometrische Daten
  • Gesundheitsdaten
  • Religionszugehörigkeit
  • Religiöse Überzeugungen
  • Erfüllung der Loyalitätsobliegenheiten

Verarbeitung von Daten

Die Verarbeitung von Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (§ 46 Nr. 2 BDSG n. F. / § 4 Nr. 3 KDG n. F.). Daten werden auch dann verarbeitet, wenn sie nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 53 Abs. 3 KDG n. F.), so dass die Datenschutzbestimmungen auch auf Bewerbungsunterlagen ihre Anwendung finden.

Verarbeitung ist demnach:

  • Erheben von Daten
  • Erfassen von Daten
  • Organisation der Daten
  • Ordnen der Daten
  • Speichern der Daten
  • Anpassung der Daten
  • Veränderung der Daten
  • Auslesen der Daten
  • Abfragen der Daten
  • Verwendung der Daten
  • Offenlegung durch Übermittlung der Daten
  • Verbreitung der Daten
  • Sonstige Formen der Bereitstellung von Daten
  • Abgleich der Daten
  • Verknüpfung der Daten
  • Einschränkung der Daten
  • Löschen und Vernichtung der Daten

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Jede Verarbeitung von personenbezogenen Daten setzt eine Rechtsgrundlage voraus, ansonsten ist sie rechtswidrig.

Zur Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses

Die allgemeinen personenbezogenen Daten der Beschäftigten können verarbeitet werden, wenn sie für die Begründung, die Durchführung oder die Beendigung eines Arbeitsverhältnisses erforderlich sind (§ 26 Abs. 1 Satz 1 BDSG n. F. / § 53 Abs. 1 KDG n. F.).

Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist gem. § 26 Abs. 3 BDSG n. F. nur zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der betroffenen Personen entgegenstehen. Der Arbeitgeber hat jedoch die in § 22 Abs. 2 BDSG n. F: genannten Maßnahmen zum Schutz des betroffenen Beschäftigten zu ergreifen. Zu den Schutzmaßnahmen zählen u. a. die allgemeinen Datenschutzmaßnahmen, die Beschränkung des Zugangs zu diesen Daten, die Verschlüsselung und Pseudonymisierung dieser Daten.

Die Katholische Kirche in Deutschland hat die Verarbeitung von Daten über die Religionszugehörigkeit, die religiösen Überzeugungen und die Erfüllung der Loyalitätsobliegenheiten ihrer Beschäftigten ohne besondere Einschränkungen erlaubt, wenn sie für die Begründung, die Durchführung oder die Beendigung eines Arbeitsverhältnisses erforderlich sind (§ 53 Abs. 1 KDG n. F.). Die Verarbeitung weiterer Daten aus der besonderen Kategorien personenbezogener Daten ist grundsätzlich untersagt worden (§ 11 Abs. 1 KDG n. F.), es sei denn, es liegt ein in § 11 Abs. 2 KDG n. F. aufgelistete Fall vor.

Zur Erfüllung der Rechte und Pflichten des Betriebsrates/der Mitarbeitervertretung

Die allgemeinen personenbezogenen Daten der Beschäftigten und bezogen auf die Beschäftigten der Katholischen Kirche in Deutschland Daten über ihre Religionszugehörigkeit, religiösen Überzeugungen und Erfüllung der Loyalitätsobliegenheiten können ebenfalls verarbeitet werden, wenn dies für die Erfüllung der Rechte und Pflichten des Betriebsrates/der Mitarbeitervertretung erforderlich ist (§ 26 Abs. 1 Satz 1 BDSG n. F. / § § 53 Abs. 4 KDG n.F.).

Zur Aufdeckung von Straftaten

Personenbezogene Daten von Beschäftigten können zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betreffende Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind (§ 26 Abs. 1 Satz 2 BDSG n- F. / § 53 Abs. 2 KDG n. F.).

Die heimliche Überwachung der Beschäftigten durch Videoaufnahmen oder Software-Keyloggers als Mittel zur Aufdeckung von Straftaten sind auch nach den alten Datenschutzbestimmungen verboten gewesen. Das Bundesarbeitsgericht (im Folgenden: BAG) ließ die heimliche Überwachung jedoch zu, wenn durch konkrete Tatsachen ein begründeter Verdacht einer Straftat bejaht werden konnte. Es bleibt abzuwarten, ob das BAG angesichts der verschärften Informationspflichten der Arbeitgeber (s. § 13 EU-DSGVO) die bisherige Rechtsprechung aufrechterhält.

Erforderlichkeit

Erforderlichkeit wird von der Rechtsprechung anerkannt, wenn der Arbeitgeber die Daten im Verlauf des Beschäftigungsverhältnisses benötigt und im Rahmen einer Interessenabwägung das Interesse des Arbeitnehmers an der Sicherung seiner Daten und dem Datengeheimnis nicht überwiegt. Eine reine Ausforschung des Beschäftigten ist nicht zulässig.

Einwilligung

Die Verarbeitung personenbezogener Daten von Beschäftigten kann auch auf eine Einwilligung des Beschäftigten gestützt werden (§ 26 Abs. 2 BDSG n. F. / § 6 Abs. 1 b) KDG n. F.). Die Einwilligung ist jedoch jederzeit mit Wirkung für die Zukunft widerrufbar. Außerdem werden an die Einwilligung hohe Anforderungen gestellt:

  • Der Arbeitgeber hat den Beschäftigten über den Zweck der Datenverarbeitung und dessen Widerrufsrecht in Textform aufzuklären.
  • Die Einwilligung ist vor der Verarbeitung der Daten einzuholen.
  • Die Einwilligung muss sich auf einen bestimmten Fall der Datenverarbeitung beziehen.
  • Die Einwilligung muss freiwillig erteilt werden. (Dafür reicht es nicht, dass der Beschäftigte der Verarbeitung seiner Daten nicht widerspricht.)
  • Die Einwilligung bedarf der Schriftform.

Es ist daher ratsam, die Verarbeitung personenbezogener Daten nach Möglichkeit auf einen gesetzlichen Erlaubnistatbestand, statt auf die Einwilligung zu stützen.

Die Einwilligung kann dennoch im Bewerbungsverfahren nützlich sein. Die Bewerber teilen dem potentiellen Arbeitgeber oftmals nicht nur ihre allgemeinen personenbezogenen Daten, sondern auch personenbezogenen Daten besonderer Kategorie (u. a. politische Überzeugung oder die Religionszugehörigkeit) mit, die für die Anbahnung eines Arbeitsverhältnisses nicht unbedingt erforderlich sind. Wir empfehlen die Online-Bewerbungsverfahren, bei denen die Verarbeitung der Bewerberdaten überwiegend bereits auf die Einwilligung der Bewerber gestützt wird, zu prüfen. Genügt die von den Bewerbern erteilte Einwilligung den Anforderungen nach § 26 Abs. 2 BDSG n. F. / § 6 Abs. 1 b) KDG n. F.

Art. 6 EU-DSGVO

Die neunen Datenschutzbestimmungen unterscheiden nicht zwischen privaten und öffentlichen Quellen, so dass auch die Internetrecherchen bezogene auf einen konkreten Bewerber oder das „Active Sourcing“ (die aktive Personalsuche) einer Rechtsgrundlage bedarf. In diesen Fällen kann auf Art. 6 EU-DSGVO zurückgegriffen werden. Die Erhebung und Verarbeitung personenbezogener Daten aus öffentlichen Quellen ist demnach zulässig, wenn sie zur Wahrung der Interessen des potentiellen Arbeitgebers oder eines Dritten erforderlich sind und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordert, überwiegen. Den Nachweis der zuvor genannten Voraussetzungen erachten wir als schwierig.

Betriebs-/Dienstvereinbarungen

Eine Betriebs- bzw. Dienstvereinbarung kann ebenfalls Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten sein (§ 26 Abs. 4 BDSG n. F. / § 6 Abs. 1 a) KDG n. F. i. V. m. § 38 Abs. 1 Nr. 6 MAVO bzw. i. V. m. § 26 Abs. 4 BDSG n. F.), wenn sie die Anforderungen nach Art. 88 Abs. 2 EU-DSGVO erfüllen.

Die Betriebs-/Dienstvereinbarungen müssen verhältnismäßig und transparent sein. Verhältnismäßigkeit liegt vor, wenn mit der Verarbeitung personenbezogener Daten ein legitimer Zweck verfolgt wird, die ergriffenen Mittel zur Erreichung des Zwecks geeignet und angemessen sind. Das Transparenzgebot verpflichtet die Partner der Betriebs-/Dienstvereinbarung, eine rechtliche Grundlage für die Erhebung und Verarbeitung personenbezogener Daten anzugeben. Die Beschäftigten müssen in der Lage sein, nachzuvollziehen, welche Daten zu welchem Zweck erhoben werden, wie sie verarbeitet und weitergegeben werden und welche Widerspruchsrechte bestehen.

Sollten in Betrieben/Einrichtungen Betriebs-/Dienstvereinbarung bzgl. der Verarbeitung personenbezogener Daten abgeschlossen worden sein, so raten wir dringend dazu, diese auf ihre Verhältnismäßigkeit und Transparenz hin zu prüfen.

Gerne unterstützen wir Sie bei der Prüfung bestehender und beim Abschluss künftiger Betriebs-/Dienstvereinbarungen.

Ihr Ansprechpartner

Rechtsanwältin Agnes Lisowski
Rechtsanwältin Agnes Lisowski
0251 - 48204-17
a.lisowski@bpg-muenster.de

sekretariat@bpg-muenster.de 004925148204-0 Nevinghoff 30
Münster
Nordrhein-Westfalen
48147
Deutschland