<h1>Besch&auml;ftigtendatenschutz (Rechtlicher Rahmen und Handlungsm&ouml;glichkeiten)</h1> <h2>Analyse der Handlungsm&ouml;glichkeiten zur Sicherung des Besch&auml;ftigtendatenschutzes, die Betriebsr&auml;ten auf Basis ihrer Mitbestimmungsrechte zur Verf&uuml;gung stehen... Quelle Hans-B&ouml;ckler-Stiftung</h2> <p>&Uuml;ber das Internet vernetzte Smartphones, Tablets oder Notebooks sind allgegenw&auml;rtig. Gleiches gilt f&uuml;r die vielen Anwendungsprogramme, kurz &#039;&#039;Apps&#039;&#039; genannt, die kostenlos oder zu geringen Preisen im Internet angeboten werden. Dass in den verschiedenartigen Anwendungen zugleich eine F&uuml;lle von personenbezogenen Daten anf&auml;llt, st&ouml;rt die meisten Nutzer nicht. Dies gilt auch f&uuml;r intensiver werdende Verhaltens- und Leistungskontrollen im beruflichen Kontext. Werden in technischen Systemen personenbezogene Daten verarbeitet, muss beurteilt werden, ob m&ouml;gliche Kontrollen zul&auml;ssig sind. Mangels spezieller gesetzlicher Regeln zum Besch&auml;ftigtendatenschutz erfolgt dies insbesondere nach den allgemeinen gesetzlichen Vorschriften, die das Bundesdatenschutzgesetz enth&auml;lt. Dar&uuml;ber hinaus leiten sich aus allgemeinen Regelungen des Gesetzes wie etwa den Vorgaben zur Datenvermeidung, Datensparsamkeit oder zur Datenl&ouml;schung eindeutige Begrenzungen der Verarbeitungsbefugnisse der Arbeitgeber ab. Problematisch ist, dass Besch&auml;ftigte, die im Berufsleben Datenschutzverst&ouml;&szlig;e ihres Arbeitgebers erkennen, ein rechtskonformes Verhalten pers&ouml;nlich einfordern m&uuml;ssen und dies ggf. &uuml;ber die Aufsichtsbeh&ouml;rden durchsetzen m&uuml;ssen. Vor diesem Hintergrund sind Betriebsr&auml;te gefordert, auf Basis ihrer Mitwirkungs- und Mitbestimmungsrechte einen wirksamen Besch&auml;ftigtendatenschutz sicherzustellen. Eine herausragende Bedeutung kommt ihrem Mitbestimmungsrecht nach &sect; 87 Abs. 1 Nr. 6 BetrVG zu. Das Mitbestimmungsrecht ist unabh&auml;ngig davon, ob Kontrollen vom Arbeitgeber gewollt sind. Bei der Aus&uuml;bung dieses Mitbestimmungsrechtes m&uuml;ssen Betriebsr&auml;te wie Arbeitgeber darauf hinwirken, das Pers&ouml;nlichkeitsrecht der Besch&auml;ftigten zu sch&uuml;tzen. Datenschutzrechtlich gepr&auml;gte Regelungsgegenst&auml;nde in einschl&auml;gigen Betriebsvereinbarungen sind beispielsweise abschlie&szlig;ende Festlegungen geplanter Verarbeitungszwecke, Darlegungspflichten zu den Rechtsgrundlagen von Verarbeitung oder &Uuml;bermittlung, Festlegungen zu individuellen Einwilligungen oder Vorgaben zur Datenvermeidung und Datensparsamkeit. Mehr Verhaltens- und Leistungskontrollen? Besch&auml;ftigtendatenschutz nach dem BDSG Darlegungspflichten des Arbeitgebers Pers&ouml;nlichkeitsrechte Einf&uuml;hrung und &Auml;nderung von IT-Systemen Die vielf&auml;ltigen Anwendungen und Entwicklungstrends der Informationstechnik (IT) sind aus dem privaten wie aus dem beruflichen Umfeld nicht mehr wegzudenken. Ihr Kennzeichen sind die inzwischen allgegenw&auml;rtigen Smartphones und Tablets. Diese kleinen Ger&auml;te stellen f&uuml;r eine zunehmende Zahl von Menschen eine zentrale Kommunikationsplattform dar. Sie werden l&auml;ngst nicht mehr nur f&uuml;r Telefongespr&auml;che, sondern als zentrale Informationsdrehscheibe f&uuml;r Versand und Empfang von individuellen Mitteilungen, f&uuml;r den Zugang zum Internet sowie f&uuml;r Aktivit&auml;ten in sozialen Netzwerken verwendet. Das bei den verschiedenartigen Anwendungen zugleich eine F&uuml;lle von personenbezogenen Daten anf&auml;llt, scheint die begeisterten Smartphone-Nutzer zumeist nicht zu st&ouml;ren. Der Siegeszug dieser handlichen und schicken Ger&auml;te h&auml;ngt eng mit einer F&uuml;lle kleiner Programme zusammen, die Nutzern dort als &#039;&#039;Apps&#039;&#039; zur Verf&uuml;gung stehen und die es im Netz zu praktisch allen Themen und f&uuml;r alle Anwendungsf&auml;lle gibt. Das K&uuml;rzel &#039;&#039;App&#039;&#039; steht f&uuml;r das englische Wort &#039;&#039;Application&#039;&#039; und entspricht im Deutschen der &#039;&#039;Anwendung&#039;&#039;. Mit Apps lassen sich vielf&auml;ltige Aufgaben erledigen. Im privaten Bereich geh&ouml;rt hierzu die Fernsteuerung h&auml;uslicher Ger&auml;te ebenso wie der Empfang von Audio- und Videostreams oder die &Uuml;berwachung schlafender Kleinkinder. Neuester Trend in der App-Welt ist die Verbindung von Smartphones mit sogenannten Fitness-Armb&auml;ndern. Folge ist, dass individuelle Gesundheitsdaten nicht nur auf den eigenen Ger&auml;ten, sondern auch zentral im Internet gespeichert und ausgewertet werden k&ouml;nnen. Im beruflichen Bereich f&uuml;hren Smartphones, Tablets und Apps zu fast noch tiefergreifenden Ver&auml;nderungen und Umw&auml;lzungen als im Privatleben. Dabei werden die gleichen Ger&auml;te genutzt wie im privaten Bereich. Dies f&uuml;hrt dazu, dass Besch&auml;ftigte dienstliche Ger&auml;te grunds&auml;tzlich f&uuml;r private Internetzugriffe nutzen k&ouml;nnen, wenn die Arbeitgeber dies erlauben. Eine zunehmende Zahl von Besch&auml;ftigten macht es umgekehrt und verwendet private Ger&auml;te f&uuml;r dienstliche Aufgaben. Diese Form der Nutzung im beruflichen Umfeld wird unter dem Begriff &#039;&#039;Bring Your Own Device&#039;&#039; (BYOD) diskutiert. Den Besch&auml;ftigten, die noch mit konventionellen Personalcomputern oder Notebooks arbeiten, werden die Funktionalit&auml;ten der auf Smartphones und Tablets verwendeten Apps mittels spezieller Software zur Verf&uuml;gung gestellt. Dies f&uuml;hrt dazu, dass die verschiedenen Ger&auml;tetypen mehr und mehr &#039;&#039;zusammenwachsen&#039;&#039;. Einer rasanten Ver&auml;nderung unterliegt derzeit auch die hinter den Ger&auml;ten stehende Technik: Die f&uuml;r die Arbeit notwendigen Daten werden in vielen F&auml;llen nicht mehr auf den Endger&auml;ten der Nutzer oder auf betrieblichen Servern gespeichert, sondern irgendwo auf der Welt in sogenannten &#039;&#039;Clouds&#039;&#039;. W&ouml;rtlich &uuml;bersetzt handelt es sich hierbei um &#039;&#039;Wolken&#039;&#039;, tats&auml;chlich aber um Server von Dienstleistungsanbietern. F&uuml;r Nutzer beinhalten Cloud-Konzepte insbesondere die M&ouml;glichkeit, von &uuml;berall und mittels verschiedener Endger&auml;te auf die Daten zugreifen zu k&ouml;nnen. Clouds sind inzwischen nicht nur universelle Speichermedien f&uuml;r Firmendaten, sondern auch eine Quelle f&uuml;r Software aller Art. Firmenkunden und Privatnutzern werden die verschiedensten Programme aus der Cloud im Rahmen von Abooder Lizenzmodellen als Software as a Service (SaaS) angeboten. Beispielsweise steht mit Windows 365 eine Cloud-Alternative zum vielgenutzten Microsoft-Office-Paket, das individuell auf jedem Endger&auml;t installiert werden muss, zur Verf&uuml;gung. Office 365 beinhaltet in Abh&auml;ngigkeit von der eingekauften Nutzungslizenz zudem weitere Anwendungen wie etwa Yammer, Skype for Business oder Delve. SaaS aus der Cloud bietet zudem den Vorteil, dass keine bestimmte Softwareversion mehr angeschafft werden muss, die schnell veraltet. Stattdessen stehen immer aktuelle und fehlerbereinigte Versionen zur Verf&uuml;gung, die zudem inhaltlich st&auml;ndig weiterentwickelt werden. Das macht aufwendige Neuinstallationen auf jedem Ger&auml;t entbehrlich. F&uuml;r Nutzer verbindet sich diese Entwicklung allerdings mit der Notwendigkeit, st&auml;ndig auf Programm&auml;nderungen &#039;&#039;gefasst&#039;&#039; sein zu m&uuml;ssen. Eine vertraute Softwareoberfl&auml;che kann sich da &uuml;berraschend von heute auf morgen ver&auml;ndern. Moderne IT-Anwendungen erm&ouml;glichen gerade auch unter R&uuml;ckgriff auf Cloud-Computing eine umfassende Vernetzung innerhalb des Unternehmens und mit Kunden, Lieferanten und Gesch&auml;ftspartnern. Weil sich umfassende oder permanente Verhaltens- und Leistungskontrollen im Arbeitsverh&auml;ltnis negativ auf das verfassungsrechtlich herausragend gesch&uuml;tzte Pers&ouml;nlichkeitsrecht der Arbeitnehmer auswirken, setzt die Rechtsprechung ihnen Grenzen: Eingriff und Einschr&auml;nkungen des allgemeinen Pers&ouml;nlichkeitsrechts von Arbeitnehmern d&uuml;rfen als Ergebnis einer Abw&auml;gung mit schutzw&uuml;rdigen Belangen von Arbeitgebern nur ausnahmsweise gerechtfertigt sein. Ob eine zul&auml;ssige Ausnahme vorliegt, ist im Rahmen einer G&uuml;terabw&auml;gung zwischen den Pers&ouml;nlichkeitsrechten der Besch&auml;ftigten und den schutzw&uuml;rdigen Belangen der Arbeitgeber zu ermitteln. Zur Feststellung, ob Einschr&auml;nkungen des Pers&ouml;nlichkeitsrechts im konkreten Fall zul&auml;ssig sind, muss eine Verh&auml;ltnism&auml;&szlig;igkeitspr&uuml;fung durchgef&uuml;hrt werden. Dabei ist zu pr&uuml;fen, ob Kontrollma&szlig;nahmen geeignet sind, den erstrebten Erfolg zu erreichen. Erforderlich sind bestimmte Kontrollma&szlig;nahmen zudem nur, wenn Arbeitgebern kein anderes, gleichwirksames Mittel zur Verf&uuml;gung steht, das die Pers&ouml;nlichkeitsrechte weniger tangiert oder einschr&auml;nkt. Die Grenzen f&uuml;r den zul&auml;ssigen Umgang mit Besch&auml;ftigtendaten im Arbeitsverh&auml;ltnis, die das BAG formuliert, leiten sich aus einschl&auml;gigen gesetzlichen Normen ab, die f&uuml;r den Umgang mit personenbezogenen Daten bestehen. Mangels spezialgesetzlicher Regelungen zum Besch&auml;ftigtendatenschutz kommt in diesem Zusammenhang insbesondere den allgemeinen Vorschriften eine besondere Bedeutung zu, die das Bundesdatenschutzgesetz (BDSG) enth&auml;lt. Daneben leiten sich Regeln und Grenzen f&uuml;r den Besch&auml;ftigtendatenschutz aus zahlreichen weiteren allgemeinen Einzelgesetzen ab. Beispielsweise finden sich Verarbeitungsbegrenzungen, die auch f&uuml;r den Umgang mit Besch&auml;ftigtendaten von Bedeutung sind, verstreut in Regelungen wie etwa dem Telekommunikationsgesetz (TKG) oder dem Telemediengesetz (TMG). Hinzu kommen im arbeits- und sozialrechtlichen Bereich Vorschriften wie etwa in &sect; 19 Gendiagnostikgesetz zum Verlangen von Arbeitgebern nach gentechnischen Untersuchungen oder in &sect; 84 Abs. 2 Sozialgesetzbuch IX zur Ausgestaltung des betrieblichen Eingliederungsmanagements. Diese Situation wird auch durch das Inkrafttreten der neuen europ&auml;ischen Datenschutz-Grundverordnung (DSGVO)7 am 25. Mai 2018 nichts grundlegend ver&auml;ndert, soweit nicht als Folge dieser dann BAG vom 19.01.1999 - 1 AZR 499/98, NZA 1999, S. 546. BAG vom 29.06.2004 - 1 ABR 21/03, NZA 2004, S. 1278. Verordnung (EU) 2016/679 des Europ&auml;ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat&uuml;rlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO), Amtsblatt der Europ&auml;ischen Union vom 4.5.2016, L 119/1 ff</p> <p><a href="https://www.boeckler.de/pdf/p_mbf_praxis_2016_003.pdf">Publikation zeigen</a></p>