Deutschland: Neue Entwicklungen im Beschäftigtendatenschutz

Sensibilisierung für eine weithin unbekannte Materie

Der Beschäftigtendatenschutz wird in der gängigen Unternehmenspraxis oft unterschätzt. Als sperrig und bürokratisch empfunden, fristet der Beschäftigtendatenschutz in vielen Unternehmen ein Schattendasein. Zu Unrecht, wie die medienwirksamen Datenschutzskandale von Großkonzernen wie Lidl oder der Deutschen Bahn gezeigt haben.

Die Bundesregierung hat nun einen Entwurf zur Erweiterung des Beschäftigtendatenschutzes in § 32 Bundesdatenschutzgesetz (BDSG) vorgestellt (BDSGE), der vermutlich noch in diesem Jahr in das BDSG aufgenommen werden wird. Aus diesem Grunde sollten auch mittelständische Unternehmen aktiv werden und sich mit den Regelungen des BDSG sowie den Folgen etwaiger Verstöße auseinandersetzen.

I. Datenschutzrechtliche Grundlagen

Alle Unternehmen haben den Schutz personeller Daten zu gewährleisten, für alle gilt das BDSG. Hierdurch wird für alle Beschäftigten ein nahezu gleichförmiger Schutz gewährleistet. Geregelt wird der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (z.B.: Telefon-, Personalnummer, E-Mail-Adresse).

Besonders sensible Daten, wie z.B. Gesundheitsdaten, Angaben über die rassische oder ethnische Herkunft oder Sexualleben genießen einen besonderen Schutz. Nach dem BDSG bedarf jede Erhebung, Verarbeitung und Nutzung von Daten einer Erlaubnis:

gesetzlich durch das BDSG (z.B. §§ 28, 32 BDSG) selbst oder andere Normen
Erlaubnis aufgrund „gesetzesgleicher Vorschriften“, d.h. einer Betriebsvereinbarung oder eines Tarifvertrages
Einwilligung des Betroffenen selbst; eine solche Einwilligung bedarf zwingend der Schriftform, sie muss vom Betroffenen im Original unterzeichnet werden.

II. Datenschutzrechtliche Besonderheiten im Bewerbungsverfahren

1. Internetrecherche zu Bewerberdaten

Auch schon vor Begründung eines Arbeitsverhältnisses gewährt das BDSG dem Arbeitnehmer einen weitgehenden Schutz. Seine Daten werden schon im Vorfeld eines Bewerbungsgespräches geschützt. Die Erhebung und Verarbeitung von Daten aus einer eingesandten Bewerbung ist dabei weitgehend unproblematisch. Dies ist zur Begründung des Beschäftigungsverhältnisses erforderlich, weshalb sich die Zulässigkeit wegen der zweckmäßigen Durchführung des Bewerbungsverfahrens schon aus § 32 Abs. 1 Satz 1 BDSG ergibt. Zudem wirkt der Betroffene mit der Einreichung der Unterlagen an der Erhebung mit.

Heutzutage nutzen viele Personalleiter jedoch mehr Quellen als die Bewerbungsunterlagen, um sich über die Bewerber zu informieren. Rund 30 % der Personalabteilungen greifen hierfür auf das Internet, vor allem soziale Netzwerke wie Facebook o.ä., zurück. Das BDSG erlaubt dies in § 32 nicht; auch der Bewerber willigt nach allgemeiner Ansicht nicht schon mit seiner Bewerbung ein, alle denkbaren Medien zu verwerten. Es kommt demnach nur eine Rechtfertigung nach der allgemeinen Vorschrift des § 28 Abs. 1 Nr. 2, 3 BDSG in Betracht. Allerdings ist auch hiernach die Datenerhebung nur gestattet, wenn sie zur Wahrung berechtigter Arbeitgeberinteressen erforderlich ist und die schutzwürdigen Belange des Betroffenen nicht überwiegen, d.h.:

Die Recherche muss erforderlich sein, um Erkenntnisse für die Eignung des Bewerbers zu erhalten.
Die berechtigten Interessen des Arbeitnehmers sind zu ermitteln und zu prüfen, ob sie überwiegen. Allein nachvollziehbare Motive für die Recherche reichen nicht. Sie müssen auch angesichts der schutzwürdigen Interessen des Betroffenen legitim sein. Insbesondere spielt es eine Rolle, wie und wo der Bewerber seine Informationen verbreitet hat. Soziale Netzwerke, die vor allem privaten Charakter haben (Facebook, StudiVZ) sind von jeglicher Recherche ausgenommen. Aus berufsbezogenen InternetPlattformen (Xing) ist demgegenüber die Datenverarbeitung zumeist erlaubt.

In der Praxis wird gegen derartige Bedenken häufig eingewandt, der Bewerber werde dies nicht herausfinden, Verstöße blieben daher letztlich sanktionslos. Diese Argumentation basiert jedoch auf dem „Prinzip Hoffnung“. Sie schützt, wie der Fall der Deutschen Bahn und anderer Großkonzerne zeigt, nicht vor Ordnungswidrigkeiten und Bußgeldern.

Zudem liegen die Schwierigkeiten häufig im Detail, wenn z.B. im Rahmen einer Betriebsratsanhörung erläutert wird, warum der nach den Bewerbungsunterlagen besser qualifizierte Bewerber nicht zum Vorstellungsgespräch eingeladen wurde. Hat der Arbeitgeber im Internet nach dem Bewerber recherchiert und ihn wegen des Rechercheergebnisses nicht eingeladen, z.B. weil dort kompromittierende Fotos öffentlich zugänglich sind, die nicht der Außenwirkung des Unternehmens entsprechen, dann muss er dies im Zweifel offen legen.

Die unerlaubte Recherche nach dem Bewerber im Internet ist ein Verstoß gegen § 32 BDSG und stellt als unbefugte Datenerhebung und -verarbeitung eine Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 BDSG dar, die mit einer Geldbuße bis zu EUR 300.000 geahndet werden kann.

Ausblick auf das BDSGE

Nach der geplanten Fassung des BDSGE soll der Arbeitgeber Kontaktdaten einholen dürfen, weitergehende Informationen jedoch nur noch dann, wenn sie „für die vorgesehenen Tätigkeiten erforderlich sind.“ Daten sollen in Zukunft nur noch unmittelbar beim Bewerber erhoben werden dürfen. Fragen beim Vorarbeitgeber sind danach grundsätzlich unzulässig, solange der Arbeitnehmer nicht ausdrücklich und schriftlich einwilligt. Die Einsicht in private Netzwerke bleibt weiterhin verboten. Berufliche Netzwerke darf der Arbeitgeber nur dann einsehen, wenn er den Arbeitnehmer vorher ausdrücklich darauf hingewiesen hat.

Tipp

Es sollte möglichst schon in der Stellenanzeige ein Hinweis darauf erfolgen, dass Angaben, die in beruflichen OnlineNetzwerken oder Jobbörsen hinterlegt sind, im Rahmen des Bewerbungsverfahrens erhoben und verarbeitet werden. Bei eingehenden Initiativbewerbungen sollte dem Bewerber ein separates Schreiben zugesandt werden, was diesen Hinweis enthält, sofern die zusätzliche Recherche in beruflichen OnlineNetzwerken beabsichtigt ist.

2. Bewerbungsgespräch

Auch im Bewerbungsgespräch werden datenschutzrechtliche Grenzen gesetzt. Sie ergänzen die ohnehin strengen Vorgaben des Allgemeinen Gleichbehandlungsgesetzes (AGG) oder Schwerbehindertenrechts (§ 81 SGB IX).

Nach der Rasse, ethnischen Herkunft, der Religion oder Weltanschauung, einer Behinderung, dem Alter oder der sexuellen Identität darf der Arbeitgeber nur fragen, wenn das betreffende Merkmal wegen der Art der auszuübenden Tätigkeit eine wesentliche und entscheidende berufliche Anforderung darstellt und die Frage auch im Übrigen angemessen ist (§ 8 AGG).
Weitergehende Fragen, die keinen Tätigkeitsbezug aufweisen (z.B. zum bisherigen Verdienst, Hobbys, Vorstrafen u. ä.) darf der Arbeitgeber nur stellen, soweit die gewünschten Informationen erforderlich sind, § 32 BDSG. Fehlt es an der Erforderlichkeit, begeht der Arbeitgeber schon mit dem Stellen der Frage eine Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 BDSG, welche mit einer Geldbuße bis zu EUR 300.000 geahndet werden kann, da das Stellen der Frage schon eine unbefugte Datenerhebung darstellt. Auf die Methode der Datenerhebung kommt es nicht an. Der Bewerber hat überdies das sogenannte Recht zur Lüge. Er darf unrichtige Angaben machen, ohne dass ihm hieraus ein Nachteil erwächst.

Ausblick auf das BDSGE

Hinsichtlich des Fragerechts werden sich auch mit dem neuen BDSGE wohl keine größeren Änderungen ergeben. Die geplante Regelung entspricht der bisherigen Rechtsprechung des BAG.

3. abgelehnte Bewerber

Weist der Arbeitgeber einen Bewerber ab, ist die Speicherung der von ihm zur Verfügung gestellten Daten in aller Regel nicht mehr erforderlich. Dies gilt umso mehr für Informationen, die der Bewerber möglicherweise ungefragt und ohne erkennbaren Zusammenhang mit der auszuübenden Tätigkeit erteilt hat (z.B. Hobbys, Vereinszugehörigkeiten u.Ä.). Hier gilt ein besonderer Schutz, der eine schnelle Datenvernichtung erforderlich macht. Ausnahmsweise kann der ablehnende Arbeitgeber ein berechtigtes Interesse zur Aufbewahrung solcher Daten vorweisen. Nachvollziehbar ist dies zur Abwehr von Ansprüchen nach dem AGG. Die Speicherung von Bewerberdaten wenigstens bis zum Ablauf der gesetzlichen Ausschlussfristen für diese Ansprüche (2 Monate ab Zugang der Ablehnung des Bewerbers, § 15 Abs. 4 AGG) erscheint deshalb legitim.

Ausblick auf das BDSGE

§ 32b Abs. 3 BDSGE sieht nunmehr eine ausdrückliche Regelung zur Löschung der Daten eines abgelehnten Bewerbers vor. Das Gesetz lässt auf die Pflicht zur „unverzüglichen“ Löschung nach Ablehnungsentscheidung schließen. Dies kann mit den Vorgaben des AGG kollidieren. Eine Speicherung ist jedoch auch hier weiterhin möglich, wenn eine ausdrückliche und schriftliche Einwilligung des Arbeitnehmers vorliegt.

Dr. Anja Branz
Dr. Heiko Hellwege (Osnabrück, Bukarest, Shanghai)
Dr. Bernhard Heringhaus (Osnabrück, Bukarest, Hamburg, Shanghai)

Nächste nationale Veranstaltungen

KI im HR-Management – Rechtliche Rahmenbedingungen und Grenzen

Dr. Roland Heinrich, Mag. Bettina Poglies-Schneiderbauer
26.06.2025 16:00, Online

Vertiefendes Familienrecht: Vertragliche Vorsorge - Beratungspraxis

Dr. Birgit Leb
05.10.2025 09:30, Universität für Weiterbildung Krems

Gesellschaftsrecht I - Das Recht der Kapital- und Personengesellschaft - Rechtsformwahl, Vermögensordnung, Haftungsverfassung und Gründung

Dr. Gerald Schmidsberger
10.10.2025 09:00, Seegasthof Oberndorfer, Attersee am Attersee

Nächste internationale Veranstaltungen

Restrukturierung von Unternehmen unter Berücksichtigung betriebsverfassungsrechtlicher Vorgaben - 5. Teil "Restrukturierung nach dem StaRUG"

26.06.2025 16:00, Online