Die Beauftragte für den Datenschutz und die Informationsfreiheit

Beschäftigtendatenschutz

Zentrale Vorschrift für den Beschäftigtendatenschutz ist der im Sommer 2009 eingeführte § 32 BDSG. Dieser bietet aber lediglich ein Grundgerüst. Ein Beschäftigtendatenschutzgesetz fehlt noch immer.

Nachdem ab Ende 2007 verschiedene Datenschutzskandale bei namhaften deutschen Wirtschaftsunternehmen bekannt geworden waren, wurde im Sommer 2009 ein Arbeitnehmerdatenschutzparagraph als neuer § 32 BDSG eingeführt, der im September 2009 in Kraft trat.

§ 32 BDSG enthält allgemeine Regelungen für die Verarbeitung personenbezogener Daten von Beschäftigten. Er sieht in Absatz 1 Satz 1 vor, dass personenbezogene Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses nur erhoben, verarbeitet und genutzt werden dürfen, wenn dies

- für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder
- für die Durchführung oder Beendigung des Beschäftigungsverhältnisses

erforderlich ist.

§ 32 Absatz 1 Satz 2 BDSG regelt die Zulässigkeit von Ermittlungstätigkeiten des Arbeitgebers gegenüber den Beschäftigten. Voraussetzung hierfür ist zunächst, dass

- der Beschäftigte einer Straftat im Beschäftigungsverhältnis
- aufgrund zu dokumentierender tatsächlicher Anhaltspunkte verdächtig ist.

Danach muss es sich also zum einen um einen Sachverhalt handeln, der unter eine Vorschrift des Strafgesetzbuches fällt. Eine sonstige Pflichtverletzung reicht nicht aus. Zum anderen muss die Straftat in einem Zusammenhang zum Beschäftigungsverhältnis stehen. Liegen diese Voraussetzungen vor, so muss darüber hinaus in jedem Einzelfall eine Abwägung zwischen dem Aufklärungsinteresse des Arbeitgebers und der Eingriffsintensität der jeweiligen Maßnahme erfolgen.

Der als Grundregelung gedachte und daher recht unbestimmte § 32 BDSG stellt jedoch nicht die seit Jahrzehnten geforderte umfassende gesetzliche Regelung des Beschäftigtendatenschutzes dar und ist vom Gesetzgeber ausweislich der Gesetzesbegründung auch nicht als solche gedacht – vielmehr heißt es in der Gesetzesbegründung selbst, dass die Arbeiten an einem Arbeitnehmerdatenschutzgesetz fortgeführt werden sollen.

Zwar hatte die Bundesregierung im Sommer 2010 den Entwurf eines Beschäftigtendatenschutzgesetzes vorgelegt. Die letzte offizielle Befassung des Innenausschusses des Deutschen Bundestages durch eine Sachverständigenanhörung liegt lange zurück – sie fand am 23. Mai 2011 statt. Die von den Regierungsfraktionen schließlich Anfang Januar 2013 dem Innenausschuss vorgelegten Änderungsvorschläge wurde von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder in ihrer Entschließung vom 25. Januar 2013 als unzureichend kritisiert. Nachdem auch Gewerkschaften und Arbeitgeberverbände zum Teil sehr heftig dagegen protestierten, haben die Koalitionsfraktionen das Beschäftigtendatenschutzgesetz wieder von der Agenda des Innenausschusses genommen.

Damit fehlt weiterhin eine befriedigende Neuregelung des Beschäftigtendatenschutzes. Arbeitnehmer und Arbeitgeber bleiben darauf angewiesen, sich innerhalb des Grundgerüstes des § 32 BDSG an der einschlägigen Rechtsprechung zu orientieren.

In der Koalitionsvereinbarung der derzeitigen Bundesregierung hat diese zwar Regelungen zum Beschäftigtendatenschutz angekündigt, allerdings wurden noch keine Vorschläge hierzu vorgelegt. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben mit einer Entschließung vom 28./29. März 2014 die Bundesregierung aufgefordert, zeitnah einen Gesetzentwurf zum Beschäftigtendatenschutz vorzulegen.

Auch mit der EU-Datenschutz-Grundverordnung (DSGVO) wird sich an den Grundparametern nicht viel ändern. Der für den Beschäftigtendatenschutz einschlägige Artikel 88 DSGVO verzichtet auf detaillierte Regelungen und legt lediglich fest, der Beschäftigtendatenschutz habe sich an der Wahrung der Menschenwürde, der berechtigten Interessen und Grundrechten der betroffenen Personen sowie dem Transparenzgedanken auszurichten. Nicht ohne Grund sieht die DSGVO auch Regelungsspielräume für die Mitgliedsstaaten vor. Sie können spezifischere und damit an die jeweiligen nationalen Gegebenheiten angepasste beschäftigungsdatenschutzrechtliche Vorschriften erlassen, deren Regelungsniveau sich im Rahmen der DSGVO bewegen muss. Im Umsetzungsgesetz zur DSGVO hat sich der Gesetzgeber allerdings zunächst darauf beschränkt, die Regelungsinhalte des bisherigen § 32 BDSG zu übernehmen. Ob darüber hinaus ein umfassendes Beschäftigtendatenschutzgesetz vorgelegt werden wird, ist derzeit noch ungeklärt.