Praxishandbuch DSGVO. Tobias Rothkegel
oder auch bestimmte Erfindungen sein.
38
Besonders zu bedenken ist, dass nach dem GeschGehG Informationen nur geschützt sind, wenn sie geheim, von wirtschaftlichem Wert und zudem durch angemessene Maßnahmen geschützt sind.
Praxishinweis
Bei letztgenannter Voraussetzung ergibt sich in der Praxis eine relevante Überlappung mit datenschutzrechtlichen Anforderungen: Die angemessenen Maßnahmen zur Geheimhaltung, die nach GeschGehG erforderlich sind, müssen im Fall von personenbezogenen Daten zugleich als angemessene technische oder organisatorische Maßnahme im Sinne von Art. 32 DSGVO qualifiziert werden können, damit die Schutzmaßnahmen auch den datenschutzrechtlichen Anforderungen genügen.
4. Arbeits- und Mitbestimmungsrecht
39
Zu dem Arbeits- und Mitbestimmungsrecht weist das Datenschutzrecht eine besondere Nähe auf. In der Praxis kommt es vor allem bei der Verarbeitung von Beschäftigtendaten sehr häufig vor, dass Anforderungen aus beiden Rechtsgebieten zu berücksichtigen sind. Die in der Praxis bedeutsamsten Schnittmengen werden nachfolgend kurz aufgezeigt.42
a) Umfang von Datenerhebungen im Bewerbungsgespräch
40
Datenschutzrechtlich gilt, dass personenbezogene Daten eines Bewerbers nur dann erhoben werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 Alt. 1). Zum Umfang der hierbei zugelassenen Datenerhebungen hat sich bereits vor der DSGVO und außerhalb des Regelungsbereichs des BDSG auf Basis zivilrechtlicher Vorschriften eine ausdifferenzierte Rechtsprechung zum sog. Fragerecht des Arbeitsgebers herausgebildet, die hier wertungsmäßig mit zu berücksichtigen ist.
41
Hiernach ist das Recht des Arbeitgebers, einem Bewerber Fragen zu stellen, auf Fragen beschränkt, an deren Beantwortung der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges Interesse hat, das so stark ist, dass das Interesse des Arbeitnehmers dahinter zurücktritt. Grundsätzlich sind hierbei nur solche Fragen zulässig, die in einem sachlichen Zusammenhang mit den Pflichten des Arbeitnehmers aus dem Arbeitsverhältnis stehen.43
Beispiel
Der Arbeitgeber darf keine Fragen stellen, bei denen es um Risiken geht, die die Rechtsordnung ausdrücklich ihm zuweist, beispielsweise die Frage nach der Schwangerschaft einer Bewerberin.44
42
Darf der Arbeitgeber nach diesen Grundsätzen eine bestimmte Frage nicht stellen, ist ihm datenschutzrechtlich auch die Erhebung der als Antwort mitgeteilten personenbezogenen Daten untersagt.
b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift
43
Betriebsvereinbarungen können eine Doppelfunktion haben. Betriebsverfassungsrechtlich übt die Arbeitnehmervertretung darüber ihr Recht auf Mitbestimmung in betrieblichen Angelegenheiten aus. Daneben kann ihnen auch eine bedeutsame datenschutzrechtliche Funktion zukommen: Gemäß § 26 Abs. 1 S. 1 BDSG kann die Verarbeitung von Beschäftigtendaten u.a. auch gerechtfertigt sein, wenn sie zur Ausübung oder Erfüllung der sich aus einer Kollektivvereinbarung (d.h. einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Praxishinweis
In der Praxis ist deshalb bei der Gestaltung und Verhandlung einer Betriebsvereinbarung darauf zu achten, ob und, wenn ja, welche datenschutzrechtliche Legitimationswirkung ihr zukommen soll. Macht eine Betriebsvereinbarung eine bestimmte Datenverarbeitung erforderlich, so wird sie über § 26 Abs. 1 S. 1 BDSG erlaubt. Es können in solche Betriebsvereinbarungen aber auch weitergehende, datenschutzrechtliche Erlaubnistatbestände integriert werden.45
c) Einsicht in Personalakten
44
Datenschutzrechtlich besitzen auch Beschäftigte nach Art. 15 DSGVO ein Recht auf Auskunft über die zu ihrer Person durch den Arbeitgeber gespeicherten personenbezogenen Daten.
45
Parallel hat ein Arbeitnehmer nach § 83 Abs. 1 S. 1 BetrVG im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Dieser Anspruch ist sehr breit angelegt und überschneidet sich inhaltlich mit dem datenschutzrechtlichen Auskunftsanspruch. So wird unter „Personalakte“ nach herrschender Meinung jede Sammlung von Unterlagen verstanden, die mit dem Arbeitnehmer in einem inneren Zusammenhang steht, und zwar unabhängig von Form, Material, Stelle und Ort, an dem sie geführt wird.46
Praxishinweis
Diese Parallelität ist wichtig zu beachten, weil dem Arbeitnehmer unter Umständen auf Basis einer etwa parallel zu einem Auskunftsanspruch geltend gemachten Personalakteneinsicht mehr Informationen herauszugeben sind. So ist das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 4 DSGVO beschränkt durch die Rechte und Freiheiten anderer Personen47. Das Einsichtsrecht des Arbeitnehmers in seine Personalakte nach § 83 Abs. 1 S. 1 BetrVG ist gesetzlich hingegen nicht in gleicher Weise eingeschränkt. Das Einsichtsrecht des Arbeitnehmers besteht bezüglich aller Aufzeichnungen, die sich mit seiner Person und dem Inhalt der Entwicklung seines Arbeitsverhältnisses befassen und kann deshalb auch Informationen über andere Personen umfassen, soweit diese Daten in der Personalakte gespeichert sind, z.B. Hinweise anderer Mitarbeiter auf ein etwaiges Fehlverhalten des Arbeitnehmers.48
d) Kündigungsschutz für Datenschutzbeauftragte
46
Ein weiterer praxisrelevanter Anknüpfungspunkt zum Arbeitsrecht ergibt sich aus § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 S. 2 und 3 BDSG. Danach gilt für den betrieblichen Datenschutzbeauftragten ein besonderer Kündigungsschutz: Die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten ist hiernach unzulässig, es sei denn, dass Tatsachen vorliegen, welche eine Kündigung aus wichtigem Grund zulassen würden. Dieser Sonderkündigungsschutz besteht noch ein Jahr nach dem Ende der Tätigkeit als Datenschutzbeauftragter fort.
47
Diese Regelung ist auch europarechtlich wirksam; insbesondere bedarf es hierfür keiner Öffnungsklausel in der DSGVO, weil es sich im Kern nicht um eine datenschutzrechtliche, sondern eine arbeitsrechtliche Regelung handelt.49
22 Auer-Reinsdorff/Conrad/Conrad/Treeger, § 34 Rn. 503. 23 Taeger/Louven, DSRITB 2019, 703, 708f. 24 BKartA, BeckRS 2019, 4895. 25 OLG Düsseldorf, Beschl. v. 26.8.2019 – VI-Kart 1/19 (V), MMR 2019 Rn. 742. 26 OLG Düsseldorf, Beschl. v. 26.8.2019 – VI-Kart 1/19 (V), MMR 2019 Rn. 18. 27 OLG Düsseldorf, Beschl. v. 26.8.2019 – VI-Kart 1/19 (V), MMR 2019 Rn. 45. 28 Vgl. Bunte, EWiR 2019, 575. 29 OLG Frankfurt, GRUR-RR 2017, 231. 30 So für Einwilligungserklärungen: