Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 07 – Zweckbindung der Datenerhebung, -verarbeitung, -nutzung; Praktische Durchsetzung des Beschäftigtendatenschutzrechts

2.5 Zweckbindung der Datenerhebung, -verarbeitung, -nutzung

Grundsätzlich verdrängt § 32 BDSG im Beschäftigungskontext den allgemeinen § 28 I BDSG.[1] Problematisch ist, ob dadurch auch die Festlegung eines Datennutzungs- oder Datenverarbeitungszwecks gemäß § 28 I S. 2 BDSG im Beschäftigungskontext entbehrlich wird.[2] Der Innenausschuss des Deutschen Bundestags[3] und die Gesetzesbegründung[4] widersprechen sich in dieser Frage. Nach der im Schrifttum herrschenden Meinung müssen sich Datenvorgänge im Beschäftigungskontext weiterhin an § 28 I S. 2 BDSG messen lassen.[5] Da das BDSG diese Frage nicht eindeutig beantwortet, herrscht Rechtsunsicherheit. Arbeitgeber sollten daher zur Sicherheit bei jedem Datenvorgang den jeweiligen Zweck festlegen.

2.6 Praktische Durchsetzung des Beschäftigtendatenschutzrechts

2.6.1 Persönliche Kontrolle durch den Beschäftigten

Zunächst hat jeder Betroffene gemäß §§ 34, 35 BDSG ein Recht auf Auskunft, Berichtigung, Löschung und Sperrung seiner personenbezogenen Daten. Bei einer sorgfaltswidrigen Verletzung der Persönlichkeitsrechte stehen dem Betroffenen auch Schadensersatzansprüche zu. Als Anspruchsgrundlagen kommen § 7 BDSG, § 823 I BGB sowie § 823 II BGB i.V.m. dem BDSG als Schutzgesetz in Betracht.[6]

Theoretisch verfügt der Betroffene also über effektive Instrumente, um das Beschäftigtendatenschutzrecht erfolgreich durchzusetzen. Es scheint, als seien seine Grundrechte umfassend durch einfachgesetzliche Vorschriften geschützt. Fraglich ist, ob der Betroffene in der Praxis auch von diesen Rechten Gebrauch macht.[7]

Ein Blick in die juristische Praxis zeigt, dass Betroffene ihre Rechte gemäß §§ 34, 35 BDSG nur in absoluten Ausnahmefällen geltend machen. Fälle, in denen Betroffene ihren Arbeitgeber auf Schadensersatz verklagt haben, sind den Befragten nur im Zusammenhang mit Mobbing-Vorwürfen bekannt.

Der Grund für diese Kluft zwischen juristischer Theorie und Praxis ist das typische Machtverhältnis in einem Beschäftigungsverhältnis. Kaum ein Beschäftigter wagt sich, seinen Arbeitgeber zu verklagen. Die einzige Klage, die Beschäftigte regelmäßig gegen ihren Arbeitgeber anstrengen, ist die Kündigungsschutzklage.[8] Wenn die Kündigung schon ausgesprochen wurde, fürchtet der Beschäftigte keine negativen Folgen mehr und verklagt seinen Arbeitgeber. Dass Betroffene ihre Arbeitgeber nur im Rahmen von Mobbing-Vorwürfen wegen datenschutzrechtlicher Verstöße verklagen, unterstreicht die unausgeglichenen Machtverhältnisse. Erst wenn die Beendigung des Beschäftigungsverhältnisses unmittelbar bevorsteht, wagen es Betroffene, ihre Rechte geltend zu machen. Die persönlichen Kontrollinstrumente eines Beschäftigten schützen seine grundrechtlichen Interessen im Beschäftigtendatenschutz mithin nicht effektiv.

2.6.2 Betrieblicher Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte ist eine Ausprägung der datenschutzrechtlichen Selbstkontrolle der verantwortlichen Stelle.[9] Er ist gemäß § 4f I BDSG zu bestellen, wenn in einem Unternehmen regelmäßig mehr als neun Personen beschäftigt sind, die Zugang zu personenbezogenen Daten haben. Im Betrieb wirkt der Beauftragte gemäß § 4g I S. 1 BDSG auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. In Zweifelsfällen kann er sich gemäß § 4g I S. 2 BDSG an die zuständige Aufsichtsbehörde wenden.

Gemäß § 4f V S. 2 BDSG können Betroffene den Beauftragten jederzeit anrufen. Diese Rechtsposition würde jedoch erst bedeutsam, wenn mit dem Recht der Betroffenen eine Pflicht des Beauftragten einherginge.[10] Da § 4f V S. 2 BDSG ihn nicht dazu verpflichtet, Anliegen der Betroffenen zu prüfen, ist er ein schwaches Kontrollinstrument. Ferner wird sich der Datenschutzbeauftrage kaum öffentlich gegenüber der Geschäftsleitung positionieren.[11] Insgesamt ist der Datenschutzbeauftrage nicht geeignet, um Beschäftigtendatenschutz effektiv durchzusetzen.

2.6.3 Betriebsrat

Der Betriebsrat wacht gemäß §§ 75 II, 80 I Nr. 1 BetrVG darüber, dass die zugunsten der Arbeitnehmer geltenden Gesetze beachtet werden.[12] Dazu zählt auch das BDSG.[13] Daher ist der Arbeitgeber dazu verpflichtet, den Betriebsrat umfassend über alle personenbezogenen Datenvorgänge zu unterrichten, die Arbeitnehmer betreffen.[14] Der Betriebsrat wacht darüber, dass – soweit gesetzlich erforderlich – ein Datenschutzbeauftragter bestellt wird.[15] Soweit Arbeitnehmer betroffen sind, kontrolliert der Betriebsrat die Einhaltung des Datenschutzrechts auch selbst.[16] Zur Erfüllung seiner Pflichten nimmt der Betriebsrat Beschwerden und Anregungen der Arbeitnehmer gemäß §§ 80 I Nr. 3, 85 I BetrVG entgegen. Falls er sie für berechtigt erachtet, wirkt er beim Arbeitgeber auf Abhilfe hin. Nicht zuletzt kann der Betriebsrat mit dem Arbeitgeber in freiwilligen Betriebsvereinbarungen gemäß § 88 BetrVG datenschutzrechtliche Fragen regeln.[17]

Fraglich ist allerdings, wie weit die Zuständigkeit des Betriebsrats reicht. Während das BDSG für alle Beschäftigten i.S.d. § 3 XI BDSG gilt, erstreckt sich der Wortlaut der gesetzlichen Betriebsratspflichten[18] nur auf Arbeitnehmer. Insofern besteht Rechtsunsicherheit, ob der Betriebsrat zugunsten aller Beschäftigten i.S.d. § 3 XI BDSG auf einen effektiven Datenschutz hinwirken kann. Hinzu kommt, dass nicht alle Beschäftigten von einem Betriebsrat vertreten werden. Im Jahr 2014 wurden in der westdeutschen Privatwirtschaft 43 % aller Beschäftigten von einem Betriebsrat vertreten.[19] In Ostdeutschland lag der Anteil bei 33 %.[20] Insgesamt sind Betriebsräte mithin nicht zur umfassenden Durchsetzung des Beschäftigtendatenschutzrechts im Interesse aller Beschäftigten geeignet.

2.6.4 Aufsichtsbehörde

Aufsichtsbehörden i.S.d. § 38 BDSG sind externe Institutionen, die die Einhaltung des Datenschutzrechts durch die Privatwirtschaft kontrollieren.[21] Zum einen beraten und unterstützen die Aufsichtsbehörden die Datenschutzbeauftragten sowie die verantwortlichen Stellen gemäß § 38 I S. 2 BDSG. Zum anderen sind die Aufsichtsbehörden gemäß § 38 I S. 3 BDSG dazu befugt, Betroffene zu unterrichten, wenn sie Verstöße gegen Datenschutznormen feststellen. Gemäß § 38 V BDSG können Aufsichtsbehörden materielle Rechtsverstöße bei personenbezogenen Datenvorgängen durch einen Verwaltungsakt untersagen oder beseitigen.[22] Außerdem veröffentlichen Aufsichtsbehörden gemäß § 38 I S. 7 BDSG regelmäßig einen Tätigkeitsbericht. Diese Berichte greifen aktuelle datenschutzrechtliche Rechtsfragen auf und liefern zum Teil wichtige Antworten für die Praxis.

Ferner sind Verstöße gegen Datenschutzrecht gemäß § 43 BDSG mit einem Bußgeld von bis zu 300.000.- EUR bewährt. Da diese Summe nicht an den Umsatz eines Unternehmens anknüpft, ist sie nicht geeignet, um Beschäftigtendatenschutz gegenüber allen Arbeitgebern effektiv durchzusetzen.[23] Neben dieser klassischen Sanktionsform besteht für Unternehmen gemäß § 42a BDSG bei unrechtmäßiger Kenntniserlangung von Daten zusätzlich eine Informationspflicht gegenüber Betroffenen, Behörden und der Öffentlichkeit. Neben finanziell belastenden Strafzahlungen erwartet rechtswidrig handelnde Unternehmen also auch ein Imageverlust.[24] Insgesamt setzen die Aufsichtsbehörden das Beschäftigtendatenschutzrecht am ehesten effektiv durch.

2.7 Zwischenergebnis: Wenig Kontrolle, viel Rechtsunsicherheit

Die Einführung des § 32 BDSG war ein politischer Schnellschuss, um nach Mitarbeiterüberwachungsskandalen symbolisch ein neues Zeitalter des Beschäftigtendatenschutzes einzuläuten. Der Regelungsgehalt des BDSG im Beschäftigtenkontext ist weiterhin sehr lückenhaft. In der datenschutzrechtlichen Praxis bestehen viele problematische Einzelfragen, auf die das BDSG keine Antworten weiß. Im Gegensatz zum Kündigungsrecht entwickelt sich im Beschäftigtendatenschutzrecht auch keine höchstrichterliche Rechtsprechung, die dieses Regelungsvakuum füllen könnte. Einzelne Betroffene klagen kaum und Betriebsräte sowie betriebliche Datenschutzbeauftragte einigen sich bei Konflikten regelmäßig individuell.
Vor diesem Hintergrund fordert die anwaltliche Beratungspraxis ein umfassendes Beschäftigtendatenschutzgesetz, mit dem Ziel die datenschutzrechtlichen Interessen der Beschäftigten umfassend besser zu schützen.

Neben der großen Rechtsunsicherheit mangelt es derzeit auch an Instrumenten, die das Beschäftigtendatenschutzrecht effektiv durchsetzen. Weder die Betroffenen noch der Datenschutzbeauftragte, der Betriebsrat oder die Aufsichtsbehörden sind dazu umfassend geeignet.
Insgesamt ist die aktuelle Regelung des Datenschutzes im Beschäftigungskontext unbefriedigend. Es bedarf eines umfassenden Beschäftigtendatenschutzgesetzes, um erstens Rechtssicherheit zu schaffen und zweitens eine effektive Durchsetzung des Beschäftigtendatenschutzrechts zu ermöglichen.

Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.

Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: