Datenschutz am Arbeitsplatz

Keylogger, BDSG & DSGVO: Das ändert sich

02.08.2017
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
2018 wird aus Datenschutz-Perspektive ein ereignisreiches Jahr. Wir sagen Ihnen, welche Änderungen sich im Beschäftigtendatenschutz ergeben.

Am 25. Mai 2018 tritt neben der EU-Datenschutzgrundverordnung (DSGVO) auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Nachfolgend wird dargestellt, was dann im Beschäftigtendatenschutz gilt und welche Auswirkungen sich für die Datenverarbeitung im Arbeitsverhältnis (insbesondere für Betriebsvereinbarungen mit IT- und datenschutzrechtlichem Inhalt) ergeben. Auch das aktuelle Urteil des Bundesarbeitsgerichtes (BAG) zum Einsatz von Keyloggern zeigt, welche Bedeutung der Datenschutz im Arbeitsverhältnis hat.

Mitte Mai 2018 wird es für Unternehmen ernst. Wir sagen Ihnen, wie sich DSGVO und BDSG-neu auf den Mitarbeiterdatenschutz auswirken.
Mitte Mai 2018 wird es für Unternehmen ernst. Wir sagen Ihnen, wie sich DSGVO und BDSG-neu auf den Mitarbeiterdatenschutz auswirken.
Foto: ESB Professional - shutterstock.com

Keylogger verstoßen gegen Datenschutz

Mit Urteil vom 27.07.2017 (Az. 2 AZR 681/16) hat das BAG entschieden, dass der Einsatz von Keylogging-Software zur Überwachung eines Arbeitnehmers am Arbeitsplatz nur unter sehr engen Voraussetzungen erlaubt ist. Der Einsatz eines Keyloggers ist erst dann zulässig, wenn konkrete Tatsachen (und nicht bloße Vermutungen) den Verdacht einer Straftat oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers begründen. Daran fehlte es jedoch in dem vorliegenden Fall, sodass das BAG die vorangegangene Entscheidung des Landesarbeitsgerichts Hamm (Az. 6 Sa 1711/15) und damit die Überwachung als unzulässig bestätigte.

Der durch die Überwachung der Tastatureingaben erfolgende Eingriff in das grundgesetzlich geschützte Recht auf informationelle Selbstbestimmung kann auch bei einem entsprechenden Verdacht nur dann gerechtfertigt werden, wenn weniger einschneidende Mittel ergebnislos ausgeschöpft wurden und die Maßnahme insgesamt nicht unverhältnismäßig ist. Erst kürzlich hat auch der Zusammenschluss von europäischen Datenschutzbehörden in einer Stellungnahme zum Datenschutz am Arbeitsplatz den Einsatz von Überwachungssoftware wie Keyloggern als im Regelfall unzulässig beurteilt.

Das bringen BDSG-neu und DSGVO

Diese Beurteilung der Arbeitsgerichte ist auch auf die ab 2018 geltende Datenschutzgrundverordnung und das neue BDSG-neu übertragbar. Die DSGVO hat grundsätzlich ab dem 25. Mai 2018 Vorrang vor den nationalen Datenschutzbestimmungen in den EU-Mitgliedstaaten (und damit vor dem BDSG). Das bedeutet auch, dass Aufsichtsbehörden und Gerichte nationale Regelungen nicht anzuwenden haben, wenn diese Sachverhalte bereits durch die DSGVO geregelt werden.

Andererseits enthält die General Data Protection Regulation (GDPR) zahlreiche Öffnungsklauseln, die den Mitgliedsstaaten begrenzte Regelungsmöglichkeiten überlassen. Der deutsche Gesetzgeber hat mit dem DSAnpUG (Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680) einige dieser Öffnungsklauseln genutzt. In § 26 BDSG-neu sind etwa Regelungen zum Beschäftigtendatenschutz enthalten. Ob die deutschen Regelungen mit der DSGVO in Einklang stehen, wurde bereits angezweifelt, sodass davon auszugehen ist, dass diese alsbald Gegenstand gerichtlicher Entscheidungen werden.

Beschäftigtendatenschutz nach der DSGVO

Gemäß Art. 88 Abs. 1 DSGVO können die Mitgliedsstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen (Betriebs- oder Dienstvereinbarungen) "spezifischere Vorschriften" zur Verarbeitung von Beschäftigtendaten vorsehen. In Deutschland soll § 26 BDSG-neu diese Spezialregelung zum Beschäftigtendatenschutz liefern. Erhebliche praktische Bedeutung insbesondere für Unternehmen hat aber Art. 88 Abs. 2 DSGVO.

Denn daran müssen sich zukünftig Betriebsvereinbarungen zum Datenschutz messen lassen. Betriebsvereinbarungen können auch zukünftig die Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten bilden, sofern diese die Vorgaben des Art. 88 Abs. 2 DSGVO beachten. Dazu müssen Betriebsvereinbarungen "angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen".

Da bereits nach der derzeitigen Rechtsprechung zu Betriebsvereinbarungen die Grundrechte und berechtigten Interessen der Beschäftigten sowie der Grundsatz der Verhältnismäßigkeit zu wahren sind, ergibt sich aus der GDPR insoweit aber keine wesentliche Abweichung. Neu ist hingegen, dass angemessene Maßnahmen getroffen werden müssen in Bezug auf die Transparenz der Verarbeitung, die konzerninterne Datenübermittlung und an Überwachungssysteme am Arbeitsplatz.

Mitarbeiterdatenschutz nach BDSG-neu

Bei der Anpassung des Beschäftigtendatenschutzes an die DSGVO hat sich der deutsche Gesetzgeber (wohl auch mit Blick auf die auslaufende Legislaturperiode) dazu entschieden, im Kern die bisherige Regelung zu übernehmen. Nach wie vor ist die Verarbeitung von Beschäftigtendaten zulässig, wenn diese für die Verwirklichung der in § 26 Abs. 1 BDSG-neu enthaltenen Zwecke erforderlich ist. Erforderlich bedeutet, dass die Interessen des datenverarbeitenden Arbeitgebers mit den Interessen des betroffenen Arbeitnehmers abzuwägen sind und das Verhältnismäßigkeitsprinzip gewahrt sein muss.

Zudem bleibt die Verarbeitung auf Grundlage von Betriebsvereinbarungen zulässig, wobei insbesondere auf die dazugehörige Regelung in Art. 88 Abs. 2 DSGVO verwiesen wird. Weitergehende Anforderungen an Betriebsvereinbarungen stellt das BDSG-neu also nicht auf. Neu ist dagegen die ausdrückliche Regelung zu Einwilligungen im Beschäftigungskontext in § 26 Abs. 2 BDSG-neu. Einwilligungen bleiben als Legitimationsgrundlage für die Datenverarbeitung auch im Beschäftigungsverhältnis zulässig, sofern diese freiwillig erteilt wurden.

Für diese Beurteilung sind zwar das Abhängigkeitsverhältnis der beschäftigten Person als auch die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Andererseits aber soll die Freiwilligkeit bereits dann vorliegen, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Entwicklungen auf europäischer Ebene

Ob die Vorgaben zur Einwilligung wirklich in Einklang stehen mit der europäischen Regelung in Art. 7 DSGVO, wird sich noch zeigen. Gerade nämlich hat die Artikel-29-Datenschutzgruppe (ein Gremium aus Vertretern der nationalen Datenschutzbehörden der EU) eine neue Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses ("Opinion 2/2017 on data processing at work) veröffentlicht, in der sie Arbeitgebern explizit empfiehlt, Datenverarbeitungen im Beschäftigungsverhältnis gerade nicht auf Einwilligungen zu stützen.

Denn die Beschäftigten könnten aufgrund ihres Abhängigkeitsverhältnisses fast nie eine freiwillige Einwilligung abgeben. Nach Ansicht der Datenschützer sei dies nur unter außergewöhnlichen Umständen möglich, nämlich wenn überhaupt keine Konsequenzen mit der Annahme oder Ablehnung des Angebots zur Abgabe einer Einwilligung verbunden seien. Ferner muss die Einwilligung gemäß dem BDSG-neu grundsätzlich schriftlich erklärt werden, sowie jederzeit widerrufbar sein.

Im Ergebnis erscheint der gesetzliche Erlaubnistatbestand der Einwilligung daher insbesondere für Unternehmen mit einer größeren Belegschaft wenig praktikabel. Davon abgesehen kann die Verarbeitung von personenbezogen Daten im Beschäftigtenverhältnis auch weiterhin auf die Erlaubnistatbestände der Vertragserfüllung oder der Wahrung berechtigter Interessen, sowie auf etwaige Betriebsvereinbarungen gestützt werden.

Prüfungsbedarf bei Betriebsvereinbarungen

Gerade bei Kollektivvereinbarungen kann sich noch Aktualisierungsbedarf ergeben. Denn die Betriebsvereinbarungen müssen sämtliche Anforderungen der Datenschutzgrundverordnung einhalten, um den Vorgaben von Art. 88 DSGVO zu entsprechen. So sollten in Betriebsvereinbarungen mit IT-Bezug Regelungen im Hinblick auf die Transparenz der Verarbeitung sowie beispielsweise zu Löschkonzepten enthalten sein. Auch kann es sich anbieten, die Grundprinzipien der DSGVO in der Betriebsvereinbarung in einer "klaren und einfachen" Sprache zu erläutern.

Darüber hinaus sollte aus dem Wortlaut der Betriebsvereinbarung klar hervorgehen, dass diese einen datenschutzrechtlichen Erlaubnistatbestand für die rechtmäßige Verarbeitung personenbezogener Beschäftigtendaten darstellt und die Zwecke der Datenverarbeitung konkret benennen. Einigkeit besteht darüber, dass Betriebsvereinbarungen zukünftig auch nicht negativ vom Datenschutzniveau der DSGVO abweichen dürfen.

Anders als bei Einwilligungen ist jedoch unklar, welche Anforderungen an bereits bestehende Betriebsvereinbarungen zu stellen sind. Eine gesetzliche Übergangsfrist oder einen Hinweis der Aufsichtsbehörden, ob bestehende Betriebsvereinbarungen (wie etwa bei den Einwilligungen geschehen) fortgelten, gibt es nicht. Daher wird überwiegend angenommen, dass bis zum 25. Mai 2018 alle den Datenschutz betreffende Betriebsvereinbarungen an die neuen Vorgaben angepasst bzw. deren Übereinstimmung mit den wesentlichen Prinzipien der GDPR geprüft werden müssen.

Wie groß der Anpassungsbedarf ist, lässt sich natürlich nicht ohne Blick in die Betriebsvereinbarungen beantworten. Jedenfalls aber bei einer Vielzahl an Betriebsvereinbarungen werden die Betroffenenrechte, Informationspflichten und Löschkonzepte nicht umfassend berücksichtigt sein. Offen ist jedoch, inwiefern Abweichungen von der DSGVO die Wirksamkeit der gesamten Betriebsvereinbarung als Erlaubnistatbestand für die Datenverarbeitung beeinflussen.

Weitere Datenschutz-Neuerungen

Zukünftig bedarf auch die Verarbeitung personenbezogener Daten durch den Betriebsrat oder andere betriebsverfassungsrechtliche Interessenvertretungen einer datenschutzrechtlichen Erlaubnis. Damit können diese nun auch durch den Datenschutzbeauftragten in Bezug auf die Datenverarbeitung von Beschäftigtendaten kontrolliert werden. Der Begriff des Beschäftigten ist übrigens weit gefasst, sodass darunter nicht nur Arbeitnehmer, Bewerber, ehemalige Beschäftigte, Leiharbeiter und Auszubildende fallen, sondern auch Beamte, Richter und Soldaten.

Werden sensible Daten wie etwa Gesundheitsdaten verarbeitet, ist dies zulässig, sofern die Verarbeitung zur Erfüllung von Rechten und Pflichten aus dem Beschäftigungsverhältnis erforderlich ist oder eine ausdrückliche Einwilligung dazu vorliegt. Der Arbeitgeber hat jedoch Schutzmaßnahmen, wie etwa die Pseudonymisierung oder das Verschlüsseln von Daten, zu treffen.

Fazit: Vieles bleibt beim Alten - leider auch die Lücken

Sowohl von Seiten der Aufsichtsbehörden als auch etwa von Seiten des Bundesrates wurde kritisiert, dass die zukünftige Regelung des Beschäftigtendatenschutzes in nur einem Paragraphen (§ 26 BDSG-neu) kein eigenes Beschäftigtendatenschutzgesetz ersetzen kann, was bereits seit einiger Zeit gefordert wird. Weiterhin ungeregelt bleiben Themen wie die Mischnutzung der IT, also die private und dienstliche Nutzung von E-Mails und Internet. Erschwerend kommt hinzu, dass einige Datenschutzaufsichtsbehörden schon angekündigt haben, einzelne Vorschriften des BDSG-neu nicht anwenden zu wollen.

Umso mehr gilt es, die Publikationen der Aufsichtsbehörden aufmerksam zu verfolgen und eine Bestandsaufnahme der Datenverarbeitung unter dem Blickwinkel der DSGVO und dem BDSG-neu mit anschließender Bewertung des Anpassungsbedarfs durchzuführen. Viele Betriebsvereinbarungen werden mittlerweile veraltet sein, sodass sich durchaus ein Aktualisierungsbedarf ergeben kann, um die ab Mai 2018 geltenden Anforderungen zu erfüllen.