Bereits vor dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) waren Auseinandersetzungen zwischen Arbeitsvertragsparteien zu datenschutzrechtlichen Themen ein Schwerpunkt arbeitsrechtlicher Rechtsprechung. Durch die europaweite Thematisierung dieses Rechtsbereichs ist es auch zu einer erhöhten Sensibilisierung von Unternehmen aber auch von Mitarbeiterinnen und Mitarbeitern zum Thema „Datenschutz“ gekommen.
Insbesondere in einer sich stetig weiter digitalisierenden und weitergehend flexibilisierenden Arbeitswelt, namentlich in Zeiten immer mobiler werdender Arbeitsverhältnisse und stetig steigender technischer Möglichkeiten stellt das Thema Datenschutz und insbesondere auch das Thema „Beschäftigten-Datenschutz“ einen Schwerpunkt dar, mit dem sich alle Beteiligten, Arbeitsvertragsparteien wie Betriebsparteien, intensiv auseinanderzusetzen haben.
Umgang mit Mitarbeiterdaten während eines Arbeitsverhältnisses
Mitarbeiterdaten stellen „personenbezogene Daten“ dar. Differenzierten die Bestimmungen des alten Bundesdatenschutzgesetzes (BDSG alt) noch zwischen Prozessen wie dem „Speichern“, „Verändern“, „löschen“, „Sperren“ oder „Übermitteln“, so sieht die neue Regelung in § 3 BDSG neu lediglich noch die „Verarbeitung“ personenbezogener Daten als relevanten Prozess vor, unter den jedoch alle vorgenannten Vorgänge zu subsumieren sind.
Die Präsentation von Mitarbeiterdaten im Internet, sei es über die unternehmenseigene Homepage oder Darstellungen auf Social Media-Plattformen (als verlängerter Arm der Unternehmenspräsenz im Netz), bietet Unternehmen zum einen im Hinblick auf Marketing-Aspekte viele Möglichkeiten. Zugleich beinhaltet die Veröffentlichung dahingehender Informationen aber auch eine nicht zu unterschätzende Anzahl von Risiken.
„Einwilligung“ des Mitarbeiters stellt hohe Anforderungen
Einem Arbeitgeber ist beispielsweise die Veröffentlichung von Mitarbeiterdaten auf der Homepage des Unternehmens nur dann gestattet, wenn es hierfür eine gesetzliche Grundlage gibt oder aber der/die betroffene Mitarbeiter/in einer dahingehenden Verarbeitung wirksam zugestimmt bzw. in diese eingewilligt hat. Die Anforderungen an eine wirksame Einwilligung des Mitarbeiters sind dabei nicht zu unterschätzen, denn der Beschäftigte muss über die Bedeutung seiner Einwilligung und den Einsatz umfassend informiert werden und zwar auch in Bezug auf den Zweck der Anwendung, die Art der erfassten Daten oder Datenverarbeitung sowie in Bezug auf sämtliche Beteiligten stellen.
Es sind daher sowohl bei der Einholung der Einwilligung des Mitarbeiters zur Verwendung zum Beispiel seines Lichtbildes zur Präsentation auf einer Unternehmens-Homepage und damit zur Veröffentlichung seiner Daten die entsprechenden datenschutzrechtlichen Vorgaben zu berücksichtigen. Im Kontext des Arbeitsverhältnisses (Beschäftigungsverhältnisses) gelten insoweit erhöhte Anforderungen. So muss eine entsprechende Einwilligung zwingend vor der angestrebten Verarbeitung eingeholt werden. Zudem muss der Mitarbeiter über den konkreten Verwendungszweck aufgeklärt werden, sodass er sich der konkreten Tragweite seiner Entscheidungbewusst ist. Zudem muss eine wirksame Einwilligungserteilung im Beschäftigungsverhältnis freiwillig erfolgen, d. h. sie muss durch den Mitarbeiter ohne situativen Druck erklärt werden. Beispielsweise kann die Einwilligungserklärung insbesondere dann freiwillig erfolgen, wenn „für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen“ (§ 26 Abs. 2 Satz 2 BDSG neu).
Zudem ist zu beachten, dass der Beschäftigte vor Abgabe einer Einwilligung auch auf sein insoweit bestehendes jederzeitiges Widerrufsrecht hingewiesen werden muss, wobei erforderlich ist, dass der Widerruf der Einwilligung genauso einfach vorzunehmen ist wie die Erteilung der Einwilligung selbst.
Arbeitgebern ist insoweit zu empfehlen, sich mit den Anforderungen an eine Legitimation sämtlicher Verarbeitungsprozesse, die personenbezogene Daten ihrer Mitarbeiterinnen und Mitarbeiter zum Gegenstand haben, intensiv auseinanderzusetzen und neben den Persönlichkeitsrechten ihrer Mitarbeiterinnen und Mitarbeiter nicht zuletzt auch die datenschutzrechtlichen Vorgaben des BDSG neu wie auch der DS-GVO bei der Umsetzung ihrer unternehmerischen Vorhaben, nicht zuletzt im digitalen Bereich (Stichwort Social Media) stets im Blick zu haben.
Datenschutz endet nicht mit dem Arbeitsvertrag
Auch nach der Beendigung eines Arbeitsverhältnisses (zum Beispiel durch Kündigung oder Aufhebungsvertrag) bleibt Datenschutz ein Thema. So sind Arbeitgeber in jedem Fall verpflichtet, zu überprüfen, ob überhaupt und in welcher Form sie die Daten ihrer (ehemaligen) Mitarbeiterinnen und Mitarbeiter auch nach Beendigung eines Anstellungsverhältnisses weiter nutzen bzw. verwenden dürfen.
Da sich eine im Anstellungsverhältnis vorausgehend gegebenenfalls eingeholte Einwilligung des/der Mitarbeiters/in nach dem Grundsatz der Zweckbindung grundsätzlich nur auf den Zeitraum bzw. die Dauer des Arbeitsverhältnisses beschränkt, ist davon auszugehen, dass sich mit Beendigung des Anstellungsverhältnisses grundsätzlich diese Legitimationswirkung erschöpft. Spätestens, wenn ein Mitarbeiter/eine Mitarbeiterin nach Beendigung des Anstellungsverhältnisses explizit die Löschung seiner/ihrer Daten verlangt, ist grundsätzlich davon auszugehen, dass ein Arbeitgeber keine Berechtigung mehr zu entsprechenden Verarbeitung (zum Beispiel Nutzung eines Lichtbildes auf einer Unternehmenshomepage etc.) hat. Ausnahmen können hier bestehen, wenn beispielsweise die lichtbildliche Darstellung Teil der arbeitsvertraglichen Leistungsverpflichtung ist. Auch kommt es auf den Kontext der Darstellung im Einzelfall und die Eingriffsintensität in das Persönlichkeitsrecht des Mitarbeiters an.