Herausforderung Datenschutz

Transkript

1 August 2013 Herausforderung Datenschutz Was Sie über den Umgang mit Arbeitnehmerdaten wissen sollten

2

3 Herausforderung Beschäftigtendatenschutz 1 Was Sie über den Umgang mit Arbeitnehmerdaten wissen sollten Herausforderung Datenschutz Tim Wybitul Of Counsel, Frankfurt T +49 (69) tim.wybitul@hoganlovells.com Tim Wybitul ist Rechtsanwalt und of Counsel am Frankfurter Standort von Hogan Lovells. Er ist Fachanwalt für Arbeitsrecht, Lehrbeauftragter und Autor des Handbuchs Datenschutz im Unternehmen. Er wurde 2012 zu datenschutzund arbeitsrechtlichen Aspekten bei Whistleblowing vom Deutschen Bundestag zum Einzelsachverständigen bestellt und ist Verfasser des "Handbuchs Datenschutz im Unternehmen". 1. Herausforderung Beschäftigtendatenschutz Arbeitgeber verfügen in aller Regel über ausgesprochen viele personenbezogene Daten ihrer Arbeitnehmer. Daher hat der Datenschutz im Beschäftigungsverhältnis grundlegende Bedeutung. Bei Verstößen gegen die vielschichtigen Vorgaben des Bundesdatenschutzgesetzes (BDSG) drohen Unternehmen Bußgelder, massive Rufschäden und weit reichende weitere Nachteile. Der Beschäftigtendatenschutz wurde lange diskutiert und das BDSG stellt komplexe Anforderungen. Fehler beim Datenschutz können schwer wiegende Folgen haben man sollte sie tunlichst vermeiden. Der rechtlich zulässige Umgang mit personenbezogenen Daten von Beschäftigten ist für Unternehmen oftmals sehr schwierig. 3 Abs. 11 BDSG bestimmt, dass Arbeitnehmer unter den Begriff des Beschäftigten im datenschutzrechtlichen Sinn fallen. Das BDSG entscheidet damit auch über die Zulässigkeit des Erhebens und Verwendens von Daten im Arbeitsverhältnis. Der Arbeitgeber ist in diesem Zusammenhang verantwortliche Stelle für die Datenerhebung, - verarbeitung oder -nutzung 1. Das BDSG stammt in seinen Grundzügen aus dem Jahr Die technischen Voraussetzungen der Datenverarbeitung waren zu dieser Zeit deutlich andere, als dies heute der Fall ist. Computer füllten in den siebziger Jahren teilweise noch ganze Räume, Telefone hatten Wählscheiben und Speicherkapazitäten waren mehr als begrenzt. Ältere Kommentare zum BDSG befassten sich dementsprechend noch mit der Datenverarbeitung durch Lochkartenstanzer und -leser. Seitdem wurde das BDSG mehrfach geändert, zumeist in recht unstrukturierter Form. In seiner heutigen Fassung ist das Gesetz ausgesprochen unübersichtlich, schwer verständlich und teilweise sehr unbestimmt. 2. Folgen von Datenschutzverstößen Verstöße gegen die Vorgaben des BDSG können schwer wiegende Folgen haben. 43 BDSG sieht neben Bußgeldern von bis zu Euro pro Fall auch die Abschöpfung von Gewinnen vor, die durch die Verletzung von Persönlichkeitsrechten erzielt wurden. Schwere Verstöße können sogar strafbar sein. So hat das LG Lüneburg bereits 2013 den Anfangsverdacht einer Straftat nach 44 BDSG in einem Fall festgestellt, in dem ein Privatdetektiv einen GPS-Sender am Auto einer Zielperson angebracht hatte 2. Dieser Rechtsprechung hat sich der BGH am 4. Juni 2013 angeschlossen und zwei Privatermittler zu Haftstrafen verurteilt, weil sie mittels GPS-Sendern unzulässig Bewegungsprofile von Betroffenen erstellten. 3 Wichtig Die Praxis zeigt, dass Unternehmen auch erhebliche Rufschäden zu befürchten haben, wenn systematische Verstöße gegen den Datenschutz bekannt werden. Die negative Öffentlichkeitswirkung solcher Vorfälle kann durchaus die Wirkung von Werbeausgaben mehrerer Jahre entwerten. Zudem führen schwere Fehler beim Umgang mit Beschäftigtendaten oftmals zum Verlust des Arbeitsplatzes der Verantwortlichen Anwendbarkeit des BDSG Das BDSG legt die Voraussetzungen für den Umgang mit personenbezogenen Daten fest. Dieser Begriff ist sehr weit gefasst. Personenbezogene Daten sind nach 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Bestimmbar sind einzelne Angaben über einen Arbeitnehmer etwa dann, wenn der Arbeitgeber weiß oder erkennen kann, um wen es bei der jeweiligen Information geht. Sobald der Arbeitgeber die Identität des von einer Information betroffenen Mitarbeiters kennt oder in Erfahrung bringen kann, sind die fraglichen Daten personenbezogen und das BDSG ist grundsätzlich anwendbar. 1 Vgl. 3 Abs. 7 BDSG. 2 Beschl. v Qs 45/11, ZD 2011, S BGH, Urteil vom 4. Juni StR 32/13, abrufbar unter 4 ArbG Berlin, Urt. v Ca 12879/09, BB 2010, S ff.

4 2 Herausforderung Beschäftigtendatenschutz Beispiele Personenbezogene Daten können der Name, die Anschrift, die Telefonnummer, die Sozialversicherungsnummer, die E- Mail-Adresse oder sonstige Angaben sein, die einen einzelnen Beschäftigten klar identifizieren. Aber auch sonstige Angaben können die Identität einer Person deutlich erkennen lassen, z. B. der Leiter der Abteilung XY. Zudem enthalten viele Dokumente personenbezogene Daten, etwa Personalakten, Leistungsbeurteilungen, Stammdatenblätter aus Personaldatensystemen, Abmahnungen usw. Das BDSG wird vielfach als Auffanggesetz bezeichnet. Es findet keine Anwendung, wenn eine speziellere Norm i. S. v. 1 Abs. 3 Satz 1 BDSG das Erheben, Verarbeiten und Nutzen personenbezogener Daten abschließend regelt. Dies ist etwa bei einer Reihe sozialrechtlicher Vorschriften der Fall. 4. Grundregeln des Datenschutzes Das BDSG beruht im Wesentlichen auf vier Prinzipien, die auch den Beschäftigtendatenschutz maßgeblich prägen. Unternehmen, die die Grundsätze kennen und beachten, werden hier in aller Regel keine schwerwiegenden Fehler mehr machen. Daher empfiehlt es sich, sie bei jedem Umgang mit Beschäftigtendaten zu berücksichtigen. Checkliste: Grundprinzipien Beschäftigtendatenschutz Die vorliegende Checkliste kann bei der Beurteilung des Erhebens oder Verwendens von Beschäftigtendaten einen guten Überblick über die mögliche Zulässigkeit des geplanten Umgangs mit personenbezogenen Daten geben: Zweckbindung: Welche konkreten Zwecke verfolgt das Unternehmen beim geplanten Erheben, Verarbeiten und Nutzen der Daten? Ist sichergestellt, dass die Daten gelöscht werden, wenn sie zum Erreichen des verfolgten Zwecks nicht mehr gespeichert werden müssen? Verhältnismäßigkeit: Steht der Umgang mit den Daten in einem angemessenen Verhältnis zum erstrebten Zweck? Verbot mit Erlaubnisvorbehalt: Liegt ein gesetzlicher Erlaubnistatbestand vor? Auf welche konkrete Vorschrift kann man den geplanten Umgang mit personenbezogenen Daten gegebenenfalls stützen? Transparenz: Werden die betroffenen Beschäftigten nach den Vorgaben des BDSG hinreichend über den Umgang mit ihren personenbezogenen Daten informiert? Zweckbindung Beim Umgang mit personenbezogenen Daten ist stets der Zweck entscheidend, den das Unternehmen mit der konkreten Datenverarbeitung verfolgt. Dies soll vor allem das unkontrollierte Erheben und Verwenden personenbezogener Daten verhindern. Der Arbeitgeber muss bereits beim Erheben von Beschäftigtendaten den verfolgten Zweck festlegen. Beim Umgang mit personenbezogenen Daten betrifft dies oftmals die Durchführung oder Beendigung des Arbeitsverhältnisses bzw. im Bewerbungsverfahren die Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Will das Unternehmen personenbezogene Daten für einen anderen Zweck verwenden als den, für den es sie erhoben hat, darf es dies nur dann tun, wenn die Voraussetzungen einer Zweckänderung vorliegen. Verhältnismäßigkeit Beim Umgang mit den personenbezogenen Daten von Arbeitnehmern ist grundsätzlich eine Interessenabwägung vorzunehmen. Unternehmen müssen an dieser Stelle zwischen dem verfolgten Zweck bzw. dem eigenen Interesse des Unternehmens an der in Frage stehenden Datenverarbeitung und dem Recht des Mitarbeiters auf informationelle Selbstbestimmung abwägen. Sie müssen prüfen, ob der Zweck des geplanten Erhebens oder Verwendens personenbezogener Daten von Beschäftigten in einem angemessenen Verhältnis zu ihren Persönlichkeitsrechten steht. Diese Verhältnismäßigkeitsprüfung entspricht der Interessenabwägung, die die Arbeitsgerichte beim Umgang mit Arbeitnehmerdaten in ständiger Rechtsprechung vornehmen etwa zum Fragerecht bei Einstellungen oder zu Verhaltenskontrollen im Arbeitsverhältnis. Verbot mit Erlaubnisvorbehalt Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten. 4 Abs. 1 BDSG erlaubt ihn nur dann, wenn eine Rechtsvorschrift dies gestattet oder anordnet oder wenn der Betroffene in das Erheben und Verwenden seiner Daten eingewilligt hat. Als Folge dieses grundsätzlichen Verbots mit Erlaubnisvorbehalt ist der erste Schritt beim Umgang mit Beschäftigtendaten oftmals die Suche nach einer Erlaubnisnorm, also bspw. 32 Abs. 1 Satz 1 BDSG, wenn es um die Umsetzung im Beschäftigungsverhältnis geht. Checkliste: Erlaubte Datenverarbeitung In der Praxis führt das Verbotsprinzip mit Erlaubnisvorbehalt dazu, dass Unternehmen vor dem Umgang mit Beschäftigtendaten stets prüfen sollten, auf welche Erlaubnistatbestände sie die konkrete Verarbeitung stützen können, z. B.: 32 Abs. 1 Satz 1 BDSG: Zwecke der Durchführung, Beendigung oder Begründung des Arbeitsverhältnisses; 32 Abs. 1 Satz 2 BDSG: Zwecke der Aufdeckung von betriebsbezogenen Straftaten; 28 Abs. 1 Satz 1 Nr. 2 BDSG: Wahrung berechtigter Interessen des Arbeitgebers, die nicht im Zusammenhang mit dem Beschäftigungsverhältnis stehen; Einwilligungen, die den Anforderungen von 4a BDSG entsprechen; Betriebsvereinbarungen (und Tarifverträge), die konkret den Umgang mit Beschäftigtendaten erlauben; sonstige Vorschriften des BDSG, die den Umgang mit personenbezogenen Daten erlauben können (bspw. 28 Abs. 6 BDSG) oder sonstige Vorschriften außerhalb des BDSG, die den Umgang mit personenbezogenen Daten erlauben, z. B. 25c Abs. 2 Kreditwesengesetz.

5 Herausforderung Beschäftigtendatenschutz 3 Transparenz Derjenige, dessen personenbezogene Daten erhoben oder verwendet werden, soll grundsätzlich darüber informiert sein, was mit seinen Daten geschieht. Dementsprechend sieht 4 Abs. 2 BDSG vor, dass die verantwortliche Stelle personenbezogene Daten grundsätzlich beim Betroffenen selbst erheben muss. Für das Arbeitsverhältnis bedeutet das, dass der Arbeitgeber Informationen über den Arbeitnehmer i. d. R. von diesem selbst einholen muss. 4 Abs. 3 BDSG regelt, unter welchen Voraussetzungen die verantwortliche Stelle von der Direkterhebung absehen darf. Im Datenschutzrecht gibt es noch eine Reihe weiterer Regelungen, die sicherstellen sollen, dass der einzelne Betroffene in transparenter Weise über den Umgang mit seinen Daten informiert wird. So muss der Arbeitgeber seine Beschäftigten nach 33 BDSG grundsätzlich informieren, wenn er erstmalig Informationen über sie speichert, die er von Dritten erhalten hat. Allerdings enthält die Vorschrift auch eine Reihe von Ausnahmen, bei deren Vorliegen die Informationspflicht entfällt. Nach 34 BDSG können Mitarbeiter zudem bei ihrem Arbeitgeber umfassende Auskünfte darüber verlangen, welche personenbezogenen Daten er von ihnen gespeichert hat. 5. Der geltende Beschäftigtendatenschutz Die wichtigste Bestimmung des derzeit geltenden Beschäftigtendatenschutzes ist 32 BDSG. Der Gesetzgeber hatte die Vorschrift 2009 als Reaktion auf eine Reihe von Datenschutzskandalen bei deutschen Großunternehmen eingeführt. Die Regelung war von vornherein nur als Übergangslösung gedacht, teilweise wird sie als gesetzgeberischer Schnellschuss bezeichnet. 32 Abs. 1 BDSG regelt den Umgang mit den personenbezogenen Daten von Beschäftigen für Zwecke des Beschäftigungsverhältnisses und zur Aufklärung von Straftaten. 32 Abs. 2 BDSG schreibt vor, dass die Regelung auch für die nicht automatisierte Verarbeitung von Beschäftigtendaten gilt, also etwa für das Befragen von Arbeitnehmern oder handschriftliche Aufzeichnungen über ein Bewerbungsgespräch. 32 Abs. 3 BDSG stellt klar, dass die Rechte des Betriebsrats durch die datenschutzrechtliche Regelung nicht eingeschränkt werden. Die Norm soll verdeutlichen, dass Mitbestimmungsrechte natürlich auch dann gelten, wenn der Arbeitgeber die Vorgaben von 32 Abs. 1 BDSG einhält. Auch eine datenschutzkonforme Überwachung des Verhaltens oder der Leistung von Arbeitnehmern bleibt bspw. nach 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Wichtig Für die Praxis hat 32 Abs. 1 Satz 1 BDSG besondere Bedeutung. Die Vorschrift ist eine Erlaubnisnorm i. S. v. 4 Abs. 1 BDSG. Liegen die Voraussetzungen einer nach 32 Abs. 1 Satz 1 BDSG zulässigen Datenerhebung oder - verwendung vor, so gilt das in 4 Abs. 1 BDSG geregelte grundsätzliche Verbot des Umgangs mit personenbezogenen Daten nicht. Die Regelung in 32 Abs. 1 Satz 1 BDSG ist nicht einfach formuliert. Daher sollte man bei der Arbeit mit Beschäftigtendaten den Wortlaut der Vorschrift zur Hand haben. Wortlaut des 32 Abs. 1 Satz 1 BDSG "Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist." In der Praxis ist für die Bestimmung der Erforderlichkeit im Rahmen von 32 Abs. 1 Satz 1 BDSG zunächst der Zweck maßgeblich, den das Unternehmen mit dem konkreten Erheben, Verarbeiten oder Nutzen der Beschäftigtendaten verwirklichen will. Dieser Zweck und mögliche entgegenstehende Interessen des Beschäftigten entscheiden über die Zulässigkeit des geplanten Umgangs mit den personenbezogenen Daten. Praxistipp Die in 32 Abs. 1 Satz 1 BDSG genannten Zwecke des Beschäftigungsverhältnisses sind weit zu verstehen. In der Gesetzesbegründung hat der Gesetzgeber klargestellt, dass Kontrollen im Arbeitsverhältnis ebenfalls dazuzählen sollen. Daher dürften auch Kontrollen im Rahmen der Tätigkeit einer Compliance-Abteilung jedenfalls so lange nach 32 Abs. 1 Satz 1 BDSG zu beurteilen sein, wie noch keine tatsächlichen Anhaltspunkte vorliegen, die den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Dann wäre 32 Abs. 1 Satz 2 BDSG anwendbar. 6. Erforderliche Datenverarbeitung Nach zutreffender Auffassung ist das Erheben und Verwenden von Informationen über Mitarbeiter dann erforderlich i. S. v. 32 Abs. 1 Satz 1 BDSG, wenn es zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses geeignet ist, also der Zweck nicht durch ein erkennbar milderes Mittel ebenso effektiv verwirklicht werden könnte, und schutzwürdige entgegenstehende Interessen des Arbeitnehmers angemessen berücksichtigt sind. Bei der Frage nach möglichen milderen Mitteln wird man dem Unternehmen einen erheblichen Ermessensspielraum einräumen müssen, um dessen Entscheidungsfreiheit nicht übermäßig einzuschränken.

6 4 Herausforderung Beschäftigtendatenschutz Beispiel Nach diesen Maßstäben zulässig sind etwa normale Bewerbungsgespräche, in denen der Arbeitgeber lediglich solche Fragen stellt, die die Arbeitsgerichte als zulässig erachtet haben, eine angemessene Personalaktenführung oder Leistungs- und Verhaltenskontrollen, die einen angemessenen Ausgleich zwischen dem Kontrollinteresse des Unternehmens und dem Recht des Beschäftigten auf informationelle Selbstbestimmung schaffen. Unzulässig wären dagegen flächendeckende und anlassunabhängige Videoüberwachungen oder ein nicht im Zusammenhang mit dem Arbeitsverhältnis stehendes Ausforschen des Privatlebens eines Arbeitnehmers. Im Ergebnis lässt sich allerdings nur schlecht verallgemeinern, welche Datenverarbeitungen zulässig sind und welche verboten, da letztlich der Zweck entscheidet, den der Arbeitgeber beim Erheben, Verarbeiten und Nutzen verfolgt. Sieht sich ein Unternehmen bspw. dem Vorwurf ausgesetzt, seine Mitarbeiter hätten mit denen anderer Unternehmen unzulässige Kartellabsprachen getroffen, drohen teilweise Geldbußen in mehrstelliger Millionenhöhe. In einer solchen Situation sind deutlich weiter gehende Untersuchungsmaßnahmen zulässig. Praxistipp Bei der Anwendung von 32 Abs. 1 BDSG sollte man sich an den Vorgaben orientieren, die die Rechtsprechung bislang aufgestellt hat. Einen Überblick über wichtige aktuelle Entscheidungen zum Beschäftigtendatenschutz finden Sie unter: Der Gesetzgeber stellt in der Gesetzesbegründung (BT-Drs. 16/13657, S. 21) klar, dass 32 BDSG eben diese Grundsätze festschreiben sollte. Daher sind in der Praxis die bisherigen Vorgaben der Arbeitsgerichte zur Beurteilung der datenschutzrechtlichen Zulässigkeit eines Vorhabens heranzuziehen 5. Diese Auffassung ist mittlerweile auch durch Urteile der Arbeitsgerichtsbarkeit zu 32 BDSG bestätigt worden Aufdeckung von Straftaten Sofern Indizien nahelegen, dass ein Beschäftigter eine Straftat begangen hat, die einen gewissen Bezug zum Beschäftigungsverhältnis aufweist, gilt 32 Abs. 1 Satz 2 BDSG. Diese Regelung sollte ebenfalls die bisherige Rechtsprechung der Arbeitsgerichte fortschreiben und auch hier muss sich der Arbeitgeber am Verhältnismäßigkeitsgrundsatz orientieren. 32 Abs. 1 Satz 2 BDSG Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Grundsätzlich darf der Arbeitgeber nur nach Straftaten forschen, die im Beschäftigungsverhältnis begangen wurden, deren Aufdeckung also Folgen für das Arbeitsverhältnis oder das Unternehmen haben kann. Je konkreter der Verdacht einer Straftat ist und je schwerer diese wiegt, desto umfassendere Maßnahmen darf er zur Sachverhaltsaufklärung unternehmen. Praxistipp Die Maßnahmen müssen Arbeitgeber dokumentieren. Allerdings sollte man dies bereits deshalb tun, um später nachweisen zu können, rechtmäßig gehandelt zu haben. Zudem dürfte eine Sachverhaltsaufklärung nach 32 Abs. 1 Satz 2 BDSG i. d. R. eine Vorabkontrolle gem. 4d Abs. 5 BDSG nahelegen. Ferner sollten Unternehmen gründlich prüfen, ob die Voraussetzungen einer Informationspflicht nach 80 Abs. 2 BetrVG vorliegen. Denn gem. 80 Abs. 1 Nr. 1 BetrVG muss der Betriebsrat die Einhaltung von zum Schutz von Arbeitnehmern geltenden Rechtsvorschriften überwachen. Nach 75 Abs. 2 BetrVG müssen Arbeitgeber und Betriebsrat zudem die Persönlichkeitsrechte der Arbeitnehmer schützen. Auch bei der Auslegung von 32 Abs. 1 Satz 2 BDSG sollten sich Arbeitgeber an den bisherigen Vorgaben der Rechtsprechung orientieren, etwa an der bekannten BAG-Entscheidung zur Videoüberwachung, um Straftaten aufzudecken Einwilligungen Das Erheben, Verarbeiten und Nutzen personenbezogener Daten von Beschäftigten auf der Grundlage von Einwilligungen ist teilweise umstritten. Nach 4a BDSG ist eine Einwilligung nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Einige Stimmen in der Fachliteratur argumentieren, dass im Arbeitsverhältnis die notwendige Freiwilligkeit wegen des Ungleichgewichts zwischen Unternehmen und Mitarbeiter grundsätzlich ausgeschlossen sei. Diese Ansicht wird zu Recht kritisiert. Dennoch sollten Arbeitgeber personenbezogene Daten von Beschäftigten nach Möglichkeit nur dann auf der Grundlage von Einwilligungen verwenden, wenn der fragliche Arbeitnehmer tatsächlich unbeeinflusst eingewilligt hat. 5 6 Vgl. Wybitul, BB 2010, S ff. Vgl. BAG, Urt. v. 15. November AZR 339/11 abrufbar unter LAG Köln, Beschl. v TaBV 1/11, ZD 2011, S. 183 f. 7 Beschl. v ABR 16/07.

7 Herausforderung Beschäftigtendatenschutz 5 Praxistipp Sofern Anhaltspunkte vorliegen, die für die gesetzlich geforderte Freiwilligkeit sprechen, sollten Unternehmen diese auch dokumentieren. In jedem Fall muss eine Einwilligung auch den sonstigen Anforderungen von 4 Abs. 1 und 3 BDSG entsprechen. Vor allem sollte die Erklärung den Arbeitnehmer umfassend über den Hintergrund der erbetenen Einwilligung informieren. Viele in der Praxis verwendete Erklärungen genügen diesen hohen Anforderungen nicht. 9. Betriebsvereinbarungen Nach der ständigen Rechtsprechung des BAG sind Kollektivvereinbarungen sonstige Rechtsvorschriften i. S. v. 4 Abs. 1 BDSG, die den Umgang mit Arbeitnehmerdaten erlauben können. Hierbei haben die Betriebsparteien allerdings erhebliche rechtliche Vorgaben zu beachten. Zunächst müssen Betriebsvereinbarungen die Persönlichkeitsrechte der Beschäftigten in angemessener Weise wahren, vgl. 75 Abs. 2 BDSG. Der wesentliche Nutzen einer Betriebsvereinbarung kann darin liegen, konkrete Prozesse festzulegen, die die Persönlichkeitsrechte der Arbeitnehmer schützen, sowie Fallgruppen vorzugeben, in denen eine Datenverarbeitung zulässig ist. Dabei ist darauf zu achten, dass die Vereinbarung erlaubte Datenerhebungen und -verwendungen hinreichend konkret beschreibt, um als datenschutzrechtliche Erlaubnisnorm bewertet zu werden. Die Aufsichtsbehörden für den Datenschutz legen hier strenge Maßstäbe an. Wichtig Eine sorgfältig gestaltete Betriebsvereinbarung sollte zum Umgang mit Arbeitnehmerdaten klare und belastbare Regeln für den innerbetrieblichen Datenumgang schaffen und so ein hohes Maß an Praktikabilität und Rechtssicherheit gewährleisten. 10. Ausblick Am stellte die Bundesregierung einen Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes vor 8. Dieser Entwurf wurde teilweise ausgesprochen kontrovers diskutiert. Nach einer ersten Lesung im Bundestag hatte man ihn zur weiteren Verhandlung an die beteiligten Ausschüsse unter Federführung des Innenausschusses überwiesen. Auch in einer Expertenanhörung wurde intensiv über etliche Punkte gestritten. Anfang 2012 gelangte eine überarbeitete Entwurfsfassung mit Änderungsvorschlägen der Berichterstatter der Regierungskoalitionen im Innenausschuss, Piltz und Frieser, an die Öffentlichkeit. Anfang Februar gaben beide dann noch ein Interview in einer großen deutschen Wirtschaftszeitung, welches nahelegte, dass ein fertiges Gesetz nun bald verabschiedet werden würde. Datenschutz, die über die wenigen Vorgaben des derzeit geltenden 32 BDSG hinausgeht, wäre dringend nötig. Zwar lässt sich bei guter Kenntnis der arbeitsgerichtlichen Rechtsprechung auch die bestehende Regelung in der Praxis gut anwenden. Deutlich besser jedoch wäre ein Gesetz, das nicht nur arbeits- und datenschutzrechtliche Fachleute anzuwenden wissen. Selbst wenn die aktuell diskutierte Entwurfsfassung noch erhebliches Verbesserungspotenzial hat, würden die Aufsichtsbehörden für den Datenschutz und die Arbeitsgerichte voraussichtlich zeitnah klare und praxisgerechte Vorgaben machen, wie die einzelnen Regelungen eines Beschäftigtendatenschutzgesetzes anzuwenden wären. 11. Fazit Der Stellenwert des Datenschutzes nimmt immer weiter zu auch im Beschäftigungsverhältnis. Dieser Tatsache müssen Personal- und Compliance-Abteilungen, interne Revisionen und alle anderen Unternehmensbereiche Rechnung tragen, die personenbezogene Daten von Beschäftigten erheben, verarbeiten oder nutzen. Der geltende 32 BDSG ist zwar handwerklich kein Meisterstück. Bei guter Kenntnis der von der Rechtsprechung aufgestellten Grundsätze zum Umgang mit personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses kann man aber auch auf dieser Grundlage belastbare und an den Bedürfnissen von Unternehmen orientierte Lösungen finden, wenn man die Persönlichkeitsrechte der Arbeitnehmer in angemessener Weise berücksichtigt. Sofern die Möglichkeit hierzu besteht, kann der Abschluss von Betriebsvereinbarungen ein zweckmäßiger und praxisgerechter Weg sein, um rechtssichere Datenverarbeitungen zu erlauben. In jedem Falle sollten Arbeitgeber die Rechtslage frühzeitig prüfen, auf Mitwirkungsrechte des Betriebsrats achten und den betrieblichen Datenschutzbeauftragten möglichst frühzeitig in wichtige Prozesse einbinden. 9 Seitdem gibt es keine Anzeichen für Fortschritte. Die allermeisten Experten vermuten seit dem Frühjahr 2013, dass es auch dieser Regierung nicht gelingen wird, ein Gesetz zum Beschäftigtendatenschutz zu verabschieden. Dies wäre eine verpasste Chance. Denn eine gesetzliche Regelung zum 8 Vgl. Wybitul, Handbuch Datenschutz im Unternehmen, S. 411 ff. 9 Dieser Überblick beruht auf einem Beitrag aus der Arbeit und Arbeitsrecht (AuA), Sonderheft 2012, S. 36 und erscheint mit freundlicher Genehmigung der AuA.

8 Hogan Lovells hat Büros in: Alicante Amsterdam Baltimore Berlin Brüssel Budapest* Caracas Colorado Springs Denver Dschidda* Dubai Düsseldorf Frankfurt am Main Hamburg Hanoi Ho Chi Minh Stadt Hongkong Houston Jakarta* London Los Angeles Luxemburg Madrid Mailand Miami Moskau München New York Northern Virginia Paris Peking Philadelphia Prag Riad* Rio de Janeiro Rom San Francisco Shanghai Silicon Valley Singapur Tokio Ulaanbaatar Warschau Washington DC Zagreb* "Hogan Lovells" oder die "Sozietät" ist eine internationale Anwaltssozietät, zu der Hogan Lovells International LLP und Hogan Lovells US LLP und ihnen nahestehende Gesellschaften gehören. Die Bezeichnung "Partner" beschreibt einen Partner oder ein Mitglied von Hogan Lovells International LLP, Hogan Lovells US LLP oder einer der ihnen nahestehenden Gesellschaften oder einen Mitarbeiter oder Berater mit entsprechender Stellung. Einzelne Personen, die als Partner bezeichnet werden, aber nicht Mitglieder von Hogan Lovells International LLP sind, verfügen nicht über eine Qualifikation, die der von Mitgliedern entspricht. Weitere Informationen über Hogan Lovells, die Partner und deren Qualifikationen, finden Sie unter Sofern Fallstudien dargestellt sind, garantieren die dort erzielten Ergebnisse nicht einen ähnlichen Ausgang für andere Mandanten. Anwaltswerbung. Hogan Lovells Alle Rechte vorbehalten. *Kooperationsbüros