Der Datenschutz gewinnt in der Arbeitswelt weiter an Bedeutung. § 32 BDSG regelt, unter welchen Voraussetzungen Arbeitgeberinnen und Arbeitgeber personenbezogene Daten ihrer Arbeitnehmerinnen und Arbeitnehmer erheben oder verwenden dürfen. Allerdings ist diese Vorschrift zu Recht als unscharf und schwer verständlich kritisiert worden. Umso wichtiger sind Vorgaben der Rechtsprechung. Das Bundesarbeitsgericht hat mittlerweile in einer Reihe von Entscheidungen klargestellt, welche Anforde­rungen die Arbeitgeberschaft beim Beschäftigten­datenschutz berücksichtigen muss. Letzthin hat das Bundesarbeitsgericht in einer durchaus als spekta­kulär zu bezeichnenden Entscheidung klargestellt, wie § 32 BDSG auszulegen ist – und hat bei Verstö­ßen gegen den Beschäftigtendatenschutz sogar ein Beweisverwertungsverbot angenommen.

Die Arbeitsgerichte haben seit der Einführung von § 32 BDSG zum 1. September 2009 bereits in einer Reihe von Entscheidungen wichtige Vorgaben zum Beschäftigtendatenschutz gemacht. Neben dem Bundesarbeitsgericht haben auch andere Gerichte Entscheidungen mit erheblichen Auswirkungen auf die Datenschutzpraxis gefällt. Zuletzt verurteilte etwa der Bundesgerichtshof zwei Privatermittler wegen unzulässiger Überwachungsmaßnahmen zu Haftstrafen (vgl. Bundesgerichtshof ZD 2013, Seite 502 ff.; Urteil vom 4. Juni 2013 – 1 StR 32/13) Die Gerichte nehmen den Datenschutz jetzt erkennbar sehr ernst, mit drastischen Folgen vor allem für Un­ternehmen. Verletzungen der informationellen Selbstbestimmung werden zunehmend härter und konsequenter geahndet. Zugleich wählen die Ge­richte als Anknüpfungspunkt nicht mehr allein das Allgemeine Persönlichkeitsrecht, sondern – syste­matisch richtig – das Bundesdatenschutzgesetz, insbesondere § 32 BDSG.

Mit einem Urteil zur Verwertbarkeit datenschutzwid­rig erhobener Beweise (Bundesarbeitsgericht ZD 2014, Seite 260; Urteil vom 20. Juni 2013 – 2 AZR 546/12) schafft der 2. Senat nun weitere Klarheit. Anlässlich einer rechtswidrigen weil gegen Daten­schutzrecht verstoßenden Spindkontrolle durch den Arbeitgeber stellt das Bundesarbeitsgericht fest, dass es sich bei der in Rede stehenden Schrank­kontrolle tatbestandlich um eine Datenerhebung im Sinne des Bundesdatenschutzgesetzes handelt. Der hier einschlägige § 32 BDSG setze keinerlei techni­sche Datenverarbeitung voraus, etwa dass die Da­tenerhebung zum Zwecke ihrer Nutzung und Verar­beitung in automatisierten Dateien erfolge. Die Vor­schrift erfasse damit sowohl nach ihrem Wortlaut als auch nach ihrem Regelungszweck die Datenerhe­bung durch rein tatsächliche Handlungen – wie etwa eine Spinddurchsuchung.

Gleichzeitig bewertet das Bundesarbeitsgericht das Vorgehen des Arbeitgebers als datenschutzrechtlich unzulässig. Der persönliche Schrank eines Arbeit­nehmers und dessen Inhalt seien Teil seiner Pri­vatsphäre, in die nur nach Maßgabe des Verhält­nismäßigkeitsgrundsatzes eingegriffen werden darf. Vorliegend beanstandet das Bundesarbeitsgericht, dass der Arbeitgeber den Eingriff nicht nach Infor­mation und in Anwesenheit des Arbeitnehmers durchführte, was ein milderer Eingriff gewesen wäre, sondern ohne dessen Beteiligung, also heimlich.

Da es im vorliegenden Fall an einer Rechtfertigung der Spinddurchsuchung nach § 32 BDSG fehle, seien die Erkenntnisse aus der Durchsuchung des Spinds auch nicht prozessual verwertbar. Zwar kenne die Zivilprozessordnung kein generelles pro­zessuales Verwendungs- bzw. Verwertungsverbot für rechtswidrig erlangte Informationen oder Be­weismittel. Die Verwertung von Beweismitteln, die der Arbeitgeber rechtswidrig erlangt habe, scheide jedoch dann aus, wenn sich deren prozessuale Verwertung als erneuter bzw. fortgesetzter Eingriff in das allgemeine Persönlichkeitsrecht des Klägers darstelle, der nicht durch überwiegende Interessen des Arbeitgebers gerechtfertigt sei. Damit dürfte die gerichtliche Verwertung von datenschutzwidrig ge­sammelten Kündigungsgründen in der Praxis künftig in vielen Fällen ausscheiden.

Das Bundesarbeitsgericht stellt damit in seiner Ent­scheidung hohe Anforderungen an den Umgang mit Beschäftigtendaten. Gerade für Compliance-Kon­trollen und interne Ermittlungen hat das Urteil erheb­liche Folgen. Letztlich verpflichten die Richter den Arbeitgeber, bei kritischen Datenerhebungen oder der weiteren Verwendung von Daten genau darauf zu achten, aus den zur Verfügung stehenden, gleich effektiven Maßnahmen stets das mildeste Mittel mit der geringsten Eingriffstiefe auszuwählen. Dabei stellt das Bundesarbeitsgericht mit großer Klarheit heraus, dass heimliche Überwachungsmaßnahmen einen wesentlich massiveren Grundrechtseingriff darstellen als offene.

Das Urteil betrifft insbesondere auch Fallkonstellati­onen, in denen die Arbeitgeberseite den Beschäf­tigten Betriebsmittel zur Nutzung überlässt, die pri­vate Informationen betreffen; hier den Spind. Eine Übertragung dieser Grundaussagen des Bundesar­beitsgerichts auf vergleichbare Konstellationen – wie etwa die Kontrolle des (auch) zur privaten Nutzung überlassenen E-Mail-Zugangs der Beschäftigten – liegt dabei auf der Hand.
Der LfDI begrüßt die neue Richtung, welche die Rechtsprechung der Arbeitsgerichte damit eingeschlagen hat und sieht sich in seiner Beurteilung der Grenzen der Kontrollbefugnisse des Arbeitgebers und der Folgen von Datenschutzverstößen bestärkt. Diese Maßstäbe wird der LfDI auch seiner zukünfti­gen Tätigkeit im wichtigen Bereich des Beschäftig­tendatenschutzes zugrunde legen.

Wiederholt hat sich das Bundesarbeitsgericht (BAG) mit der Zulässigkeit einer Videoüberwachung im Arbeitsverhältnis beschäftigt.

Zusammenfassend lässt sich für eine verdeckte Videoüberwachung sagen, dass diese nur als ultima ratio bei Vorliegen konkreter Anhaltspunkt für ein schwerwiegendes pflichtwidriges Verhalten eines Beschäftigten zulässig ist. 

In einem weiteren Fall, über den das BAG zu entscheiden hatte, ging es um die Verwertbarkeit sechs Monate alte Bilder einer sichtbar installierten Überwachungskamera (Urteil vom 23. August 2018 - 2 AZR 133/18). Da aus Sicht des Datenschutzes für Videoaufnahmen im Arbeitsverhältnis kurze Löschfristen zu fordern sind, stellte sich die Frage, ob die Aufnahmen nach so langer Zeit überhaupt noch in den Prozess eingebracht werden durften (Verwertungsverbot). Das BAG hat diese Frage auch vor dem Hintergrund der Datenschutz-Grundverordnung bejaht:

"Der Beklagte musste das Bildmaterial nicht sofort auswerten. Er durfte hiermit solange warten, bis er dafür einen berechtigten Anlass sah." Sollte die Videoüberwachung rechtmäßig erfolgt sein, stünden auch die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung einer gerichtlichen Verwertung der erhobenen personenbezogenen Daten der Klägerin im weiteren Verfahren nicht entgegen. 

Diese Entscheidung ist aus Sicht des Datenschutzes kritikwürdig, weil die Datenschutz-Grundverordnung die Prinzipien der Datenvermeidung und der Datensparsamkeit in Art. 5 Abs. 1 lit c und e DS-GVO ausdrücklich festschreibt. Darüber hinaus bleibt offen, wie den Informationspflichten nach Art. 12 ff DS-GVO und dem Transparenzgebot entsprochen werden kann, wenn eine Auswertung so lange zulässig sein soll, bis Anlass für eine Auswertung besteht.

Das Bundesdatenschutzgesetz konkretisiert das Recht auf informationelle Selbstbestimmung und regelt, in welchem Umfang Eingriffe in dieses Recht zulässig sind. Fehlt es an einer Ermächtigungs­grundlage i.S.v. § 4 Abs. 1 BDSG, so ist das Erhe­ben, Verarbeiten oder Nutzen personenbezogener Daten verboten. In Arbeitsverhältnissen kommt – neben gesetzlichen Ermächtigungsgrundlagen und der regelmäßig unpraktikablen Einwilligung – auch eine zwischen Arbeitgeberseite und Betriebsrat ab­geschlossene Betriebsvereinbarung als Rechts­grundlage für die Verwendung von Beschäftigten­daten in Betracht.

In einer Entscheidung aus dem Jahre 2013 (Bun­desarbeitsgericht, NZA 2013, S. 1433; Beschluss vom 9. Juli 2013 – 1 ABR 2/13 (A)) bestätigte der 1. Senat des Bundesarbeitsgerichts, dass sorgfältig und angemessen gestaltete Betriebsvereinbarungen Gewähr für die Einhaltung der Vorgaben des Datenschutzes und des Betriebsverfassungsrechts bieten können. Betriebsvereinbarungen sind „sonstige Rechtsvorschriften” i.S.v. § 4 Abs. 1 BDSG. Im Er­gebnis verschärft das Bundesarbeitsgericht mit die­ser Entscheidung seine bisherige Rechtsprechung zum Umgang mit Arbeitnehmerdaten auf der Grundlage von Kollektivvereinbarungen.Der LfDI sieht seine Rechts- und Beratungspraxis auch insoweit von der arbeitsgerichtlichen Recht­sprechung bestätigt, er hat auch im Berichtszeitraum auf Ansuchen von Arbeitgeber- wie auch von Arbeit­nehmer- bzw. Betriebsratsseite abgeschlossene Betriebsvereinbarungen auf ihre Vereinbarkeit mit dem Bundesdatenschutzgesetz geprüft und Hin­weise zur optimalen Umsetzung datenschutzrechtli­cher Vorgaben in Kollektivvereinbarungen gegeben. Darüber hinaus hat er Verhandlungen zum Ab­schluss von Betriebsvereinbarungen in rheinland-pfälzischen Betrieben unterstützt und so dazu bei­getragen, passgenaue datenschutzrechtliche Ver­einbarungen auf Betriebsebene zu erstellen und umzusetzen.