4.1 Grundsatz

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies

• für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder

• nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder

• zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (§ 26 Abs. 1 Satz 1 BDSG).

Beispiele:

Nun läuft in einem Arbeitsverhältnis nicht immer alles rund und es kann passieren, dass sich Mitarbeiter strafbar machen. Dazu sieht § 26 Abs. 1 Satz 2 BDSG vor:

"Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind."

Beispiel:

Bei Beantwortung der Frage, ob die Verarbeitung personenbezogener Daten erforderlich ist, sind die widerstreitenden Grundrechtspositionen der Beteiligten abzuwägen. "Dabei" - so die amtliche Begründung (BT-Drs. 18/11325 vom 24.02.2017 (S. 97) - "sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt" (= Herstellung einer praktischen Konkordanz).

4.2 Einwilligung

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere

• die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie

• die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen (§ 26 Abs 2 Satz 1 BDSG).

  Beispiel:

  Arbeitgeber A betreibt u.a. ein Lager für Unterhaltungselektronik. In diesem Lager stehen wertvolle HiFi-Anlagen, Bluray-Player und TV-Geräte. Bewerber B bewirbt sich bei A. In seinem Arbeitsvertrag hat A die Klausel "Der/Die Arbeitnehmer/in willigt mit seiner/ihrer Unterschrift darin ein, dass der Arbeitgeber von Zeit zu Zeit eine anlasslose Videoüberwachung vornehmen darf." verankert. Man wird in diesem Fall kaum von einer wirksamen Einwilligung ausgehen können. Neben der AGB-Problematik sind die Umstände - B möchte einen Arbeitsvertrag und wird deswegen alles unterschreiben, was man ihm hinhält - kaum geeignet, eine echte Freiwilligkeit zu bejahen.

In der amtlichen Begründung - BT-Drs. 18/11325 vom 24.02.2017 (S. 97) - heißt es dazu:

"Neben der Art des verarbeiteten Datums und der Eingriffstiefe ist zum Beispiel auch der Zeitpunkt der Einwilligungserteilung maßgebend. Vor Abschluss eines (Arbeits-)Vertrages werden Beschäftigte regelmäßig einer größeren Drucksituation ausgesetzt sein, eine Einwilligung zur Datenverarbeitung zu erteilen."

Freiwilligkeit kann insbesondere vorliegen, wenn

• für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder

• Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen (§ 26 Abs. 2 Satz 2 BDSG).

Dazu steht in der amtlichen Begründung (BT-Drs. 18/11325 vom 24.02.2017 (S. 97)):

"Die Gewährung eines Vorteils liegt beispielsweise in der Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder der Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen. Auch die Verfolgung gleichgerichteter Interessen spricht für die Freiwilligkeit einer Einwilligung. Hierzu kann etwa die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos für das Intranet zählen, bei der Arbeitgeber und Beschäftigter im Sinne eines betrieblichen Miteinanders zusammenwirken."

Die Einwilligung muss schriftlich erteilt werden, wenn wegen besonderer Umstände keine andere Form angemessen ist (§ 26 Abs. 2 Satz 3 BDSG). Hinzu kommt: "Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären" (§ 26 Abs. 2 Satz 4 BDSG).

4.3 Besondere Datenkategorien und mehr

Abweichend von Art. 9 Abs. 1 der EU-DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 EU-DSGVO für Zwecke des Beschäftigungsverhältnisse zulässig, wenn sie

• zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus

  • dem Arbeitsrecht,

  • dem Recht der sozialen Sicherheit und

  • des Sozialschutzes

  erforderlich ist und

• kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt (§ 26 Abs. 3 Satz 1 BDSG).

§ 26 Abs. 2 BDSG gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten - wobei sich die Einwilligung dabei ausdrücklich auf diese Daten beziehen muss (§ 26 Abs. 3 Satz 2 BDSG).

Praxistipp:

Die Verarbeitung

• personenbezogener Daten

• einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses

ist auch auf der Grundlage von Kollektivvereinbarungen zulässig (§ 26 Abs. 4 Satz 1 BDSG). § 26 Abs. 4 BDSG stellt in Umsetzung der Vorgaben aus Art. 88 Abs. 1 EU-DSGVO klar, "dass Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden können" (so: BT-Drs. 18/11325 vom 24.02.2017 (S. 98)).

Praxistipp:

Tarifverträge, Betriebs- und Dienstvereinbarungen sollen den "Verhandlungsparteien der Kollektivvereinbarungen die Ausgestaltung eines auf die betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutzes ermöglichen. Dabei steht ihnen ein Ermessensspielraum im Rahmen des geltenden Rechts einschließlich der Verordnung (EU) 2016/679 zu; Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 ist zu beachten" (so: BT-Drs. 18/11325 vom 24.02.2017 (S. 98) und § 26 Abs. 4 Satz 2 BDSG).

Der Verantwortliche muss geeignete Maßnahmen treffen, damit - insbesondere - die in Art. 5 EU-DSGVO dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden (§ 26 Abs. 5 BDSG). Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt (§ 26 Abs. 6 BDSG).

5.1 Ausübung von Rechten

"Nach § 26 Abs. 3 Satz 1 BDSG ist - abweichend von Art. 9 Abs. 1 DS-GVO - die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Entsprechend § 22 Abs. 2 BDSG sind hierfür angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (§ 26 Abs. 3 Satz 3 BDSG)" - (BAG, 09.04.2019 - 1 ABR 51/17).

5.2 Besonderer Kündigungsschutz

Das neue BDSG regelt in den §§ 5 ff. die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten. Sein Vorläufer enthielt entsprechende Regelungen in § 4f a.F. Datenschutzbeauftragte haben einen besonderen Kündigungsschutz. Ihre Kündigung ist nach § 5 Abs. 4 Satz 1 BDSG unzulässig, "es sei denn, dass Tatsachen vorliegen, welche ... zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen." Und wenn ein Arbeitgeber mehrere Datenschutzbeauftragte bestellt hat? Dann gilt: "Beruft eine Stelle, die der Bestellpflicht nach § 4f Abs. 1 BDSG [a.F.] unterliegt, mehrere interne Datenschutzbeauftragte, können diese alle Sonderkündigungsschutz gemäß § 4f Abs. 3 Satz 5, 6 BDSG [a.F.] erwerben" (BAG, 27.07.2017 - 2 AZR 812/16 - Leitsatz).

5.3 Einsicht in Gehaltslisten

"Bruttoentgeltlisten enthalten personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG [a.F.], die von Arbeitgebern zur Durchführung des Arbeitsverhältnisses nach § 32 Abs. 1 Satz 1 BDSG [a.F.] zulässigerweise erhoben, verarbeitet und genutzt werden (vgl. hierzu BT-Drucks. 16/13657 S. 21). Gewährt die Arbeitgeberin einem Betriebsratsmitglied nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG Einsicht in die Bruttoentgeltlisten, handelt es sich um eine nach § 32 Abs. 1 BDSG [a.F.] zulässige Form der Datennutzung. Dies folgt schon daraus, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG [a.F.] durch die nach Absatz 1 dieser Bestimmung erlaubte Datennutzung nicht berührt werden. Zu den Interessenvertretungen der Beschäftigten in diesem Sinne zählt auch der Betriebsrat (vgl. BT-Drucks. 16/13657 S. 21). Hinzu kommt, dass dieser selbst Teil der verantwortlichen Stelle i.S.d. § 3 Abs. 7 BDSG [a.F.] ist [s. dazu BAG, 07.02.2012 - 1 ABR 46/10]. Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar" (BAG, 14.01.2014 - 1 ABR 54/12).

5.4 Entfernung einer Abmahnung

§ 32 Abs. 1 Satz 1 BDSG [a.F.] ließ die Verarbeitung personenbezogene Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses zu. Gemäß § 35 Abs. 2 Satz 2 Nr. 3 BDSG [a.F.] waren personenbezogene Beschäftigtendaten zu löschen, "wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist." Kein Löschungs- bzw. Entfernungsanspruch folgte aus § 35 Abs. 2 Satz 2 Nr. 3 BDSG [a.F.], wenn Abmahnungen in einer vom Arbeitgeber in Papierform geführten Personalakte enthalten waren, "weil durch Personalakten in Papierform keine personenbezogenen Daten unter Einsatz von Datenverarbeitungsanlagen i.S.v. § 3 Abs. 2 Satz 1 BDSG [a.F.] i.V.m. § 27 Abs. 1 Satz 1 BDSG [a.F.] verarbeitet werden" (LAG Sachsen, 14.01.2014 - 1 Sa 266/13 - mit Hinweis auf BAG, 16.11.2010 - 9 AZR 573/09 - wobei - Anm. d. Verf. - diese Rechtsprechung mit Blick auf § 46 Nr. 2 BDSG - "Verarbeitung" - möglicherweise überholt sein könnte, s. aber auch EWG Nr. 15 Satz 3: Ausnahme für "Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind").

5.5 Erforderliche Datenverarbeitung

"1. § 32 BDSG [a.F.] soll lediglich eine vorläufige und der Klarstellung dienende Regelung zum Arbeitnehmerdatenschutz treffen, ohne damit die von der Rechtsprechung entwickelten Grundsätze zum Datenschutz in Beschäftigungsverhältnissen weiter auszudehnen. Daraus folgt, dass erforderlich gemäß § 32 BDSG [a.F.] jeweils der Datenumgang ist, den Bundesarbeitsgericht und Bundesverfassungsgericht bereits in der Vergangenheit als zulässig erachtet haben. Erforderlichkeit ist jedenfalls dann zu bejahen, wenn ein Verzicht auf die Datenverarbeitung nicht sinnvoll oder unzumutbar wäre und keine weniger eingriffsintensiven Mittel zur Verfügung stehen, die in gleicher Weise zur Zweckerreichung geeignet sind. 2. Auch die allgemeinen Aufgaben des Betriebsrats nach § 80 Abs. 1 BetrVG umfassen Überwachungsaufgaben, die sich auf das einzelne Arbeitsverhältnis beziehen, so dass sie ohne personenbezogene Daten nicht ausführbar sind" (LAG Köln, 28.06.2011 - 12 TaBV 1/11 - Leitsatz).

5.6 Facebookseite

"Eine vom Arbeitgeber betriebene Facebookseite, die es den Nutzern von Facebook ermöglicht, über die Funktion "Besucher-Beiträge" Postings zum Verhalten und zur Leistung der beschäftigten Arbeitnehmer einzustellen, ist eine technische Einrichtung, die zur Überwachung der Arbeitnehmer i.S.d. § 87 Abs. 1 Nr. 6 BetrVG bestimmt ist. Die Bereitstellung der Funktion "Besucher-Beiträge" unterliegt der Mitbestimmung des Betriebsrats" (BAG, 13.12.2016 - 1 ABR 7/15 - Leitsatz).

5.7 Heimliche Videoüberwachung - 1

"1. Die heimliche Videoüberwachung eines Arbeitnehmers durch den Arbeitgeber stellt einen Eingriff in das durch Art. 2 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht des Arbeitnehmers dar. 2. Dieser Eingriff führt jedoch dann nicht zu einem Beweisverwertungsverbot, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ausgeschöpft sind, die verdeckte Video-Überwachung praktisch das einzig verbleibende Mittel darstellt und insgesamt nicht unverhältnismäßig ist. 3. Ist die Videoüberwachung entgegen § 87 Abs. 1 Nr. 6 BetrVG ohne vorherige Zustimmung des Betriebsrates durchgeführt worden, so ergibt sich aus diesem Verstoß jedenfalls dann kein eigenständiges Beweisverwertungsverbot, wenn der Betriebsrat der Verwendung des Beweismittels und der darauf gestützten Kündigung zustimmt und die Beweisverwertung nach den allgemeinen Grundsätzen gerechtfertigt ist" (BAG, 27.03.2003 - 2 AZR 51/02 - Leitsätze).

5.8 Heimliche Videoüberwachung - 2

Die verdeckte Observation eine Beschäftigten durch einen Detektiv ist "Datenerhebung i.S.v. § 3 Abs. 1, Abs. 3 und Abs. 7, § 32 Abs. 2 BDSG" a.F. (s. dazu BAG, 19.02.2015 - 8 AZR 1007/13). Der Detektiv beschafft dem Arbeitgeber durch seine Überwachung mit den angefertigten "Observationsberichten Einzelangaben über persönliche und sachliche Verhältnisse des Klägers i.S.d. § 3 Abs. 1 BDSG" a.F. Dabei ist keine "automatisierte Verarbeitung der Angaben oder ein Dateibezug i.S.d. § 1 Abs. 2 Nr. 3 bzw. § 27 Abs. 1 BDSG" a.F. erforderlich. Darauf "kommt es nach § 32 Abs. 2 BDSG" a.F. "bei der Datenerhebung für Zwecke des Beschäftigungsverhältnisses nicht an." Zudem gilt: "Eine vom Arbeitgeber veranlasste verdeckte Überwachungsmaßnahme zur Aufdeckung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung des Arbeitnehmers kann nach § 32 Abs. 1 Satz 1 BDSG [a.F.] zulässig sein" (BAG, 29.06.2017 - 2 AZR 597/16 - Leitsatz).

5.9 Heimliche Videoüberwachung - 3

Das BDSG konkretisiert und schützt mit seinen Regelungen das Arbeitnehmerrecht auf informationelle Selbstbestimmung und das Arbeitnehmerrecht am eigenen Bild. Die BDSG-Regelungen verbieten es nicht, unter Verletzung von BDSG-Vorgaben erlangte Erkenntnisse und/oder Beweismittel bei der arbeitsgerichtlichen Tatsachenfeststellung zu verwenden. "Gibt es kein milderes Mittel zur Aufklärung eines gegen Beschäftigte bestehenden Verdachts einer Straftat als eine verdeckte Videoüberwachung, die andere Arbeitnehmer miterfasst, ist nach § 32 Abs. 1 S. 2 BDSG [a.F.] der Eingriff auch in deren allgemeines Persönlichkeitsrecht gerechtfertigt (LAG Rheinland-Pfalz, 09.10.2017 - 3 Sa 256/17 - mit Hinweis auf BAG, 22.09.2016 - 2 AZR 848/15 und BAG, 17.11.2016 - 2 AZR 730/15).

5.10 Klage auf Erteilung einer Datenkopie von E-Mails

Arbeitnehmer A verlangte von Arbeitgeber G Auskunft über die von G verarbeitetenpersonenbezogenen Daten sowie die Überlassung einer Kopie dieser Daten gem. Art. 15 Abs. 3 EU-DGSVO. Die Auskunft erteilte G, eine Datenkopie überließ er A nicht. Der klagte, blieb aber letztinstanzlich erfolglos. Das BAG ließ es offen, ob Art. 15 Abs. 3 EU-DGSVO tatsächlich die Überlassung von E-Mail-Kopien erfasst. Falls so ein Anspruch bestehen sollte, muss er jedenfalls mit einem hinreichend bestimmten Klageantrag - §§ 253, 254 ZPO - geltend gemacht werden. "Ein Klageantrag auf Überlassung einer Kopie von E-Mails ist nicht hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO, wenn die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, nicht so genau bezeichnet sind, dass im Vollstreckungsverfahren unzweifelhaft ist, auf welche E-Mails sich die Verurteilung bezieht" (BAG, 27.04.2021 - 2 AZR 342/20 - Pressemitteilung Nr. 8/21).

5.11 Offene/anlasslose Videoüberwachung - 1

"1. Nach § 6 b Abs. 5 BDSG [a.F.] sind die Daten einer offenen Videoüberwachung zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke in einem öffentlich zugänglichen Ladenlokal unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

2. Mit dieser Vorschrift ist es nicht vereinbar, wenn ein Ladeninhaber nach Ablauf eines Dreimonatszeitraums die betriebswirtschaftlichen Zahlen auswertet und wegen dabei zutage getretener Auffälligkeiten ab dem 15. des Folgemonats die Videoaufzeichnungen des abgelaufenen Dreimonatszeitraums auswertet, welche lückenloses Bildmaterial zu sämtlichen Kassiervorgängen der zurückliegenden Arbeitswochen enthalten."

"3. Wegen der Intensität der Persönlichkeitsrechtsverletzung durch den Verstoß gegen den Datenschutz besteht ein Beweisverwertungsverbot. Die fraglichen Videokonsequenzen dürfen nicht zum Nachweis der Voraussetzungen eines Schadensersatzanspruches verwandt werden.

4. Ein Beweisverwertungsverbot besteht in dieser Situation auch bezüglich der Aufnahmen der Videoüberwachung im nicht öffentlich zugänglichen Büroraum mit dort befindlichem Tresor. Die - anlasslose - Videoüberwachung dort ist nicht nach § 32 Abs. 1 Satz 1 oder Satz 2 BDSG [a.F.] gerechtfertigt. Einer auf § 28 Abs. 1 Nr. 2 BDSG [a.F.] gestützten Rechtfertigung der Auswertung der Videoaufzeichnungen steht der Grundsatz der Verhältnismäßigkeit entgegen, weil auch die nach § 28 Abs. 1 Nr. 2 BDSG [a.F.] erhobenen Daten zeitnah hätten ausgewertet und gelöscht werden müssen" (LAG Hamm, 12.06.2017 - 11 Sa 858/16 - Leitsätze).

5.12 Offene/anlasslose Videoüberwachung

Eine i. S. des § 32 Abs. 1 Satz 1 BDSG (a.F. - jetzt § 26 Abs. 1 Satz 1 BDSG) unverhältnismäßige Datenerhebung lässt sich annehmen, wenn eine verdeckte Videoüberwachung von Arbeitnehmern erfolgt, die nicht wegen eines durch konkrete Tatsachen begründeten Verdachts einer schwerwiegenden Pflichtverletzung vorgenommen wird. Aber auch eine offene Videoüberwachung kann unverhältnismäßig sein: "Eine Unverhältnismäßigkeit der Datenerhebung nach § 32 Abs. 1 Satz 1 BDSG aF läge aber auch dann vor, wenn die Videoaufzeichnungen einen solchen psychischen Anpassungs- und Leistungsdruck erzeugt hätten, dass sie als eine der verdeckten Videoüberwachung vergleichbar eingriffsintensive Maßnahme anzusehen wären, ohne dass ein durch konkrete Tatsachen begründeter Verdacht einer schwerwiegenden Pflichtverletzung bestand. Dies wäre jedenfalls dann anzunehmen, wenn eine lückenlose, dauerhafte sowie sehr detaillierte Erfassung des Verhaltens der Klägerin während ihrer gesamten Arbeitszeit stattgefunden hätte, so dass sie davon ausgehen musste, dass jede ihrer Bewegungen überwacht wurde" (BAG, 28.03.2019 - 8 AZR 421/17 - zugleich Revisionsentscheidung zu LAG Hamm, 12.06.2017 - 11 Sa 858/16).

5.13 Nutzung einer elektronischen Signaturkarte

Der Arbeitgeber hat nach § 611a Abs. 1 BGB und § 106 GewO ein Weisungsrecht. Weisungen können rechtswidrig sein, wenn sie gegen ein Gesetz verstoßen. So kann z.B. ein Verstoß gegen BDSG-Bestimmungen eine Weisung rechtswidrig machen. Bei der Nutzung einer elektronischen Signaturklarte werden zwar personenbezogene Beschäftigtendaten verarbeitet. Trotzdem gilt: "Ein Arbeitgeber kann von seinem Arbeitnehmer die Beantragung einer qualifizierten elektronischen Signatur und die Nutzung einer elektronischen Signaturkarte verlangen, wenn dies für die Erbringung der vertraglich geschuldeten Arbeitsleistung erforderlich und dem Arbeitnehmer zumutbar ist" (BAG, 25.09.2013 - 10 AZR 270/12 - Leitsatz).

5.14 Privatheitserwartung

Eine berechtigte Privatheitserwartung stellt bei der Interessenabwägung im Rahmen des § 32 Abs. 1 Satz 1 BDSG a.F. (= § 26 Abs. 1 Satz 1 BDSG n.F.) einen beachtlichen Faktor dar (s. dazu EGMR, 09.01.2018 - 1874/13 u. 8567/13 - und EGMR, 05.09.2017 - 61496/08). Gerechtfertigt ist die Einsichtnahme in auf einem Dienstrechner gespeichert Daten, "die nicht ausdrücklich als 'privat' gekennzeichnet oder doch offenkundig 'privater' Natur sind." Das gilt zumindest dann, wenn der Zugriff offen erfolgt und der Mitarbeiter im Vorfeld darauf hingewiesen wurde, "welche legitimen Gründe eine Einsichtnahme in - vermeintlich - dienstliche Ordner und Dateien erfordern können" (s. dazu EGMR, 05.09.2017 - 61496/08) "und dass er Ordner und Dateien durch eine Kennzeichnung als 'privat' von einer Einsichtnahme ohne 'qualifizierten' Anlass ausschließen kann" (s. dazu EGMR, 22.02.2018 - 588/13). In diesem Fall muss der Arbeitnehmer "billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er 'private' Daten in einen gesicherten Bereich verbringen" (BAG, 31.01.2019 - 2 AZR 426/18).

5.15 Recht auf informationelle Selbstbestimmung

Das in Art. 2 Abs. 1 GG verankerte allgemeine Persönlichkeitsrecht beinhaltet auch das Recht auf informationelle Selbstbestimmung. Danach entscheidet grundsätzlich jeder Einzelne selbst, welche persönlichen Daten er preisgibt und wie die von ihm preisgegebenen Daten verwendet werden sollen. Das allgemeine Persönlichkeitsrecht greift auch auf Beschäftigungsverhältnisse durch (s. dazu BAG, 27.03.2003 - 2 AZR 51/02). Verletzt der Arbeitgeber das allgemeine Persönlichkeitsrechts eines Beschäftigten rechtswidrig, "kann der Betroffene eine Geldentschädigung für immaterielle Schäden beanspruchen, wenn es sich um eine schwerwiegende Verletzung handelt und die Beeinträchtigung nach Art der Verletzung nicht in anderer Weise - etwa Genugtuung durch Unterlassen, Gegendarstellung oder Widerruf - befriedigend ausgeglichen werden kann." Bemessungsfaktoren u.a.: Prävention, Intensität der Verletzung, Genugtuung des Opfers. Der Anspruch folgt "aufgrund des Schutzauftrags von Art. 1, Art. 2 GG unmittelbar aus § 823 BGB" (LAG Hamm, 11.07.2013 - 11 Sa 312/13 - mit Hinweis auf BGH, 05.10.2004 - VI ZR 255/03).

5.16 Rechtsweg

§ 34 BDSG a.F. gab Betroffenen einen Auskunftsanspruch gegen die "verantwortliche Stelle" über die von ihr verarbeiteten Daten. Dabei kam es nicht darauf an, ob zwischen dem Betroffenen und der verantwortlichen Stelle ein Arbeitsverhältnis bestand - entscheidend war die Erhebung und Speicherung von Daten des Betroffenen. Der Rechtsweg zu den Arbeitsgerichten war nach § 2 Abs. 1 Nr. 4 lit. a) ArbGG nur offen, wenn der Auskunftsanspruch mit einem Arbeitsverhältnis in Zusammenhang stand, also mit ihm verknüpft war. Sollte sich der Auskunftsanspruch aus Vorgängen ergeben, die sich erst nach Beendigung des Arbeitsverhältnisses ereignet haben, ging der Rechtsweg zu den ordentlichen Gerichten. Der Anspruch aus § 34 BDSG a.F. war nicht in einen arbeitsrechtlichen und einen allgemeinen zivilrechtlichen teilbar (LAG Sachsen, 08.11.2013 - 4 Ta 207/13 - mit dem Hinweis, dass die Speicherung aus Anlass des Arbeitsverhältnisses allein zur Rechtswegbestimmung nach § 2 Abs. 1 Nr. 4 ArbGG nicht ausreicht).

5.17 Stellvertretender Datenschutzbeauftragter

Sowohl das alte als auch das neu BDSG sagen nichts über einen stellvertretenden Datenschutzbeauftragten, sondern sprechen nur einen "Beauftragten für Datenschutz" an. Und dennoch gilt: "Eine gesetzliche Pflicht zur Bestellung eines (stellvertretenden) Datenschutzbeauftragten ergibt sich aus § 4f I 1 BDSG [a.F.], wenn der zunächst bestellte Datenschutzbeauftragte für einen längeren Zeitraum verhindert ist und Aufgaben im Zuständigkeitsbereich des Datenschutzbeauftragten zu erledigen sind. Stellvertretende Datenschutzbeauftragte genießen jedenfalls dann den Sonderkündigungsschutz gemäß § 4f III 5 BDSG [a.F.], wenn sie während der Verhinderung des (Haupt-) Datenschutzbeauftragten dessen Tätigkeit tatsächlich wahrgenommen haben" (LAG Hamburg, 21.07.2016 - 8 Sa 32/16 - Leitsätze).

5.18 Verhältnismäßigkeitsprüfung

Der frühere § 32 Abs. 1 Satz 2 BDSG a.F. (= § 26 Abs. 1 Satz 2 BDSG n.F.) hatte keine Sperrwirkung dahingehend, "dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulässig sein könnte" (s. dazu BAG, 27.07.2017 - 2 AZR 681/16; BAG, 29.06.2017 - 2 AZR 597/16 - und § 26 Abs. 1 Satz 1 BDSG n.F.). Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten mussten allerdings nach § 32 Abs. 1 Satz 1 BDSG aF (= § 26 Abs. 1 Satz 1 BDSG n.F.) "erforderlich" sein - und dabei hat eine volle Verhältnismäßigkeitsprüfung zu erfolgen.

"Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen." Folgerichtig dürfen keine anderen Mittel zur Verfügung stehen, die zur Zielerreichung gleich wirksam sind und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränken. Die Angemessenheit der Datenverarbeitung ist gewahrt, "wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine übermäßige Belastung für den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies beurteilt sich ggf. für jedes personenbezogene Datum gesondert" (BAG, 31.01.2019 - 2 AZR 426/18 - mit Hinweis auf BAG, 23.08.2018 - 2 AZR 133/18).

5.19 Verwertungsverbot

In einem Kündigungsschutzverfahren tritt kein Verwertungsverbot zugunsten des Arbeitnehmers ein, wenn der Arbeitgeber das fragliche Beweismittel oder die maßgebliche Erkenntnis im Einklang mit den einschlägigen Datenschutzbestimmungen erlangt und weiterverwandt hat (s. dazu BAG, 23.08.2018 - 2 AZR 133/18). Bei der vorzunehmenden Interessenabwägung muss sich, wenn ein Verwertungsverbot bejaht werden soll, das Nichtverwertungsinteresse des Arbeitnehmers gegenüber dem Verarbeitungsinteresse des Arbeitgebers durchsetzen. Die Einsichtnahme in nicht als "privat" gekennzeichnete Dateien und nicht offenkundig als "privat" zu erkennende Dateien auf dem Dienstrechner eines Arbeitnehmers (hier: Datei Tankbelege.xls bei einem Verdacht auf Tankkartenmissbrauch) ist nicht so eingriffsintensiv, daraus ein überwiegendes Nichtverwertungsinteresse des Mitarbeiters zu folgern (BAG, 31.01.2019 - 2 AZR 426/18 - mit dem Ergebnis, dass hier kein Verwertungsverbot bestand).

5.20 Zwecke des Beschäftigungsverhältnissses

Die von der Rechtsprechung aus dem verfassubgsrechtlich verankerten (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) allgemeinen Persönlichkeitsrecht hergeleiteten Grundsätze zum Schutz von Daten in einem Beschäftigungsverhältnis wurden in § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) kodifiziert. Der Gesetzgeber hat in seiner Begründung zum - seinerzeitigen - BDSG (BT-Drs. 16/13657 S. 21) zur Festlegung des Zulässigkeitsmaßstabs für die Erhebung, Verarbeitung und Nutzung personenbezogener Arbeitnehmerdaten im Zusammenhang mit der Durchführung seines Beschäftigungsverhältnisses auf die BAG-Entscheidungen vom 22.10.1986 - 5 AZR 660/85 und 07.09.1995 - 8 AZR 828/93 - Bezug genommen. "Diesen zufolge dürfe sich der Arbeitgeber bei seinen Beschäftigten nicht nur über Umstände informieren oder Daten verwenden, um seine vertraglichen Pflichten ihnen gegenüber erfüllen zu können, wie z.B. Pflichten im Zusammenhang mit der Personalverwaltung, Lohn- und Gehaltsabrechnung, sondern auch, um seine im Zusammenhang mit der Durchführung des Beschäftigungsverhältnisses bestehenden Rechte wahrzunehmen, z.B. durch Ausübung des Weisungsrechts oder durch Kontrollen der Leistung oder des Verhaltens des Beschäftigten" (BAG, 17.11.2016 - 2 AZR 730/15 - mit Hinweis auf BT-Drs. 16/13657).