Über das Internet vernetzte Smartphones, Tablets oder Notebooks sind allgegenwärtig. Gleiches gilt für die vielen Anwendungsprogramme, kurz ''Apps'' genannt, die kostenlos oder zu geringen Preisen im Internet angeboten werden. Dass in den verschiedenartigen Anwendungen zugleich eine Fülle von personenbezogenen Daten anfällt, stört die meisten Nutzer nicht. Dies gilt auch für intensiver werdende Verhaltens- und Leistungskontrollen im beruflichen Kontext. Werden in technischen Systemen personenbezogene Daten verarbeitet, muss beurteilt werden, ob mögliche Kontrollen zulässig sind. Mangels spezieller gesetzlicher Regeln zum Beschäftigtendatenschutz erfolgt dies insbesondere nach den allgemeinen gesetzlichen Vorschriften, die das Bundesdatenschutzgesetz enthält. Darüber hinaus leiten sich aus allgemeinen Regelungen des Gesetzes wie etwa den Vorgaben zur Datenvermeidung, Datensparsamkeit oder zur Datenlöschung eindeutige Begrenzungen der Verarbeitungsbefugnisse der Arbeitgeber ab. Problematisch ist, dass Beschäftigte, die im Berufsleben Datenschutzverstöße ihres Arbeitgebers erkennen, ein rechtskonformes Verhalten persönlich einfordern müssen und dies ggf. über die Aufsichtsbehörden durchsetzen müssen. Vor diesem Hintergrund sind Betriebsräte gefordert, auf Basis ihrer Mitwirkungs- und Mitbestimmungsrechte einen wirksamen Beschäftigtendatenschutz sicherzustellen. Eine herausragende Bedeutung kommt ihrem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG zu. Das Mitbestimmungsrecht ist unabhängig davon, ob Kontrollen vom Arbeitgeber gewollt sind. Bei der Ausübung dieses Mitbestimmungsrechtes müssen Betriebsräte wie Arbeitgeber darauf hinwirken, das Persönlichkeitsrecht der Beschäftigten zu schützen. Datenschutzrechtlich geprägte Regelungsgegenstände in einschlägigen Betriebsvereinbarungen sind beispielsweise abschließende Festlegungen geplanter Verarbeitungszwecke, Darlegungspflichten zu den Rechtsgrundlagen von Verarbeitung oder Übermittlung, Festlegungen zu individuellen Einwilligungen oder Vorgaben zur Datenvermeidung und Datensparsamkeit. Mehr Verhaltens- und Leistungskontrollen? Beschäftigtendatenschutz nach dem BDSG Darlegungspflichten des Arbeitgebers Persönlichkeitsrechte Einführung und Änderung von IT-Systemen Die vielfältigen Anwendungen und Entwicklungstrends der Informationstechnik (IT) sind aus dem privaten wie aus dem beruflichen Umfeld nicht mehr wegzudenken. Ihr Kennzeichen sind die inzwischen allgegenwärtigen Smartphones und Tablets. Diese kleinen Geräte stellen für eine zunehmende Zahl von Menschen eine zentrale Kommunikationsplattform dar. Sie werden längst nicht mehr nur für Telefongespräche, sondern als zentrale Informationsdrehscheibe für Versand und Empfang von individuellen Mitteilungen, für den Zugang zum Internet sowie für Aktivitäten in sozialen Netzwerken verwendet. Das bei den verschiedenartigen Anwendungen zugleich eine Fülle von personenbezogenen Daten anfällt, scheint die begeisterten Smartphone-Nutzer zumeist nicht zu stören. Der Siegeszug dieser handlichen und schicken Geräte hängt eng mit einer Fülle kleiner Programme zusammen, die Nutzern dort als ''Apps'' zur Verfügung stehen und die es im Netz zu praktisch allen Themen und für alle Anwendungsfälle gibt. Das Kürzel ''App'' steht für das englische Wort ''Application'' und entspricht im Deutschen der ''Anwendung''. Mit Apps lassen sich vielfältige Aufgaben erledigen. Im privaten Bereich gehört hierzu die Fernsteuerung häuslicher Geräte ebenso wie der Empfang von Audio- und Videostreams oder die Überwachung schlafender Kleinkinder. Neuester Trend in der App-Welt ist die Verbindung von Smartphones mit sogenannten Fitness-Armbändern. Folge ist, dass individuelle Gesundheitsdaten nicht nur auf den eigenen Geräten, sondern auch zentral im Internet gespeichert und ausgewertet werden können. Im beruflichen Bereich führen Smartphones, Tablets und Apps zu fast noch tiefergreifenden Veränderungen und Umwälzungen als im Privatleben. Dabei werden die gleichen Geräte genutzt wie im privaten Bereich. Dies führt dazu, dass Beschäftigte dienstliche Geräte grundsätzlich für private Internetzugriffe nutzen können, wenn die Arbeitgeber dies erlauben. Eine zunehmende Zahl von Beschäftigten macht es umgekehrt und verwendet private Geräte für dienstliche Aufgaben. Diese Form der Nutzung im beruflichen Umfeld wird unter dem Begriff ''Bring Your Own Device'' (BYOD) diskutiert. Den Beschäftigten, die noch mit konventionellen Personalcomputern oder Notebooks arbeiten, werden die Funktionalitäten der auf Smartphones und Tablets verwendeten Apps mittels spezieller Software zur Verfügung gestellt. Dies führt dazu, dass die verschiedenen Gerätetypen mehr und mehr ''zusammenwachsen''. Einer rasanten Veränderung unterliegt derzeit auch die hinter den Geräten stehende Technik: Die für die Arbeit notwendigen Daten werden in vielen Fällen nicht mehr auf den Endgeräten der
Nutzer oder auf betrieblichen Servern gespeichert, sondern irgendwo auf der Welt in sogenannten ''Clouds''. Wörtlich übersetzt handelt es sich hierbei um ''Wolken'', tatsächlich aber um Server von Dienstleistungsanbietern. Für Nutzer beinhalten Cloud-Konzepte insbesondere die Möglichkeit, von überall und mittels verschiedener Endgeräte auf die Daten zugreifen zu können. Clouds sind inzwischen nicht nur universelle Speichermedien für Firmendaten, sondern auch eine Quelle für Software aller Art. Firmenkunden und Privatnutzern werden die verschiedensten Programme aus der Cloud im Rahmen von Abooder Lizenzmodellen als Software as a Service (SaaS) angeboten. Beispielsweise steht mit Windows 365 eine Cloud-Alternative zum vielgenutzten Microsoft-Office-Paket, das individuell auf jedem Endgerät installiert werden muss, zur Verfügung. Office 365 beinhaltet in Abhängigkeit von der eingekauften Nutzungslizenz zudem weitere Anwendungen wie etwa Yammer, Skype for Business oder Delve. SaaS aus der Cloud bietet zudem den Vorteil, dass keine bestimmte Softwareversion mehr angeschafft werden muss, die schnell veraltet. Stattdessen stehen immer aktuelle und fehlerbereinigte Versionen zur Verfügung, die zudem inhaltlich ständig weiterentwickelt werden. Das macht aufwendige Neuinstallationen auf jedem Gerät entbehrlich. Für Nutzer verbindet sich diese Entwicklung allerdings mit der Notwendigkeit, ständig auf Programmänderungen ''gefasst'' sein zu müssen. Eine vertraute Softwareoberfläche kann sich da überraschend von heute auf morgen verändern. Moderne IT-Anwendungen ermöglichen gerade auch unter Rückgriff auf Cloud-Computing eine umfassende Vernetzung innerhalb des Unternehmens und mit Kunden, Lieferanten und Geschäftspartnern. Weil sich umfassende oder permanente Verhaltens- und Leistungskontrollen im Arbeitsverhältnis negativ auf das verfassungsrechtlich herausragend geschützte Persönlichkeitsrecht der Arbeitnehmer auswirken, setzt die Rechtsprechung ihnen Grenzen: Eingriff und Einschränkungen des allgemeinen Persönlichkeitsrechts von Arbeitnehmern dürfen als Ergebnis einer Abwägung mit schutzwürdigen Belangen von Arbeitgebern nur ausnahmsweise gerechtfertigt sein. Ob eine zulässige Ausnahme vorliegt, ist im Rahmen einer Güterabwägung zwischen den Persönlichkeitsrechten der Beschäftigten und den schutzwürdigen Belangen der Arbeitgeber zu ermitteln. Zur Feststellung, ob Einschränkungen des Persönlichkeitsrechts im konkreten Fall zulässig sind, muss eine Verhältnismäßigkeitsprüfung durchgeführt werden. Dabei ist zu prüfen, ob Kontrollmaßnahmen geeignet sind, den erstrebten Erfolg zu erreichen. Erforderlich sind bestimmte Kontrollmaßnahmen zudem nur, wenn Arbeitgebern kein anderes, gleichwirksames Mittel zur Verfügung steht, das die Persönlichkeitsrechte weniger tangiert oder einschränkt. Die Grenzen für den zulässigen Umgang mit Beschäftigtendaten im Arbeitsverhältnis, die das BAG formuliert, leiten sich aus einschlägigen gesetzlichen Normen ab, die für den Umgang mit personenbezogenen Daten bestehen. Mangels spezialgesetzlicher Regelungen zum Beschäftigtendatenschutz kommt in diesem Zusammenhang insbesondere den allgemeinen Vorschriften eine besondere Bedeutung zu, die das Bundesdatenschutzgesetz (BDSG) enthält. Daneben leiten sich Regeln und Grenzen für den Beschäftigtendatenschutz aus zahlreichen weiteren allgemeinen Einzelgesetzen ab. Beispielsweise finden sich Verarbeitungsbegrenzungen, die auch für den Umgang mit Beschäftigtendaten von Bedeutung sind, verstreut in Regelungen wie etwa dem Telekommunikationsgesetz (TKG) oder dem Telemediengesetz (TMG). Hinzu kommen im arbeits- und sozialrechtlichen Bereich Vorschriften wie etwa in § 19 Gendiagnostikgesetz zum Verlangen von Arbeitgebern nach gentechnischen Untersuchungen oder in § 84 Abs. 2 Sozialgesetzbuch IX zur Ausgestaltung des betrieblichen Eingliederungsmanagements. Diese Situation wird auch durch das Inkrafttreten der neuen europäischen Datenschutz-Grundverordnung (DSGVO)7 am 25. Mai 2018 nichts grundlegend verändert, soweit nicht als Folge dieser dann BAG vom 19.01.1999 - 1 AZR 499/98, NZA 1999, S. 546. BAG vom 29.06.2004 - 1 ABR 21/03, NZA 2004, S. 1278. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO), Amtsblatt der Europäischen Union vom 4.5.2016, L 119/1 ff
