Datenschutz im Arbeitsverhältnis

Verhältnis von DSGVO und BDSG

Die Datenschutz-Grundverordnung (DSGVO) gilt unmittelbar und hat als Verordnung nach Art. 288 Abs. 2 AEUV sowie aufgrund des Anwendungsvorrangs des Unionsrechts Vorrang vor nationalem Recht. Die DSGVO enthält jedoch zahlreiche Öffnungsklauseln und Regelungsaufträge, wodurch sich ein Ineinandergreifen von Unionsrecht und nationalem Datenschutzrecht ergibt: Ausgangspunkt jeder Prüfung ist stets die DSGVO; soweit diese den Mitgliedstaaten Gestaltungsspielräume eröffnet, ist im zweiten Schritt zu prüfen, ob und in welcher Form der deutsche Gesetzgeber diese im BDSG ausgefüllt hat. Angesichts der Vielzahl solcher Anpassungsnormen ist ein Hin- und Herspringen zwischen DSGVO und BDSG bei der Rechtsanwendung kaum vermeidbar.

  • Beschäftigtendatenschutz (§ 26 BDSG als Konkretisierung von Art. 88 DSGVO)
  • Bestellung von Datenschutzbeauftragten (§§ 37, 38 BDSG neben Art. 37 DSGVO)
  • Befugnisse der Aufsichtsbehörden (§§ 40 ff. BDSG ergänzend zu Art. 51 ff. DSGVO)

Das BDSG ergänzt die DSGVO für private Arbeitgeber und Bundesbehörden. Die Gesetzgebungskompetenz des Bundes folgt aus Art.70 GG (konkurierende Gesetzgebung) nach Art. 74 Abs. 1 Nr. 1 GG für Bürgerliches Recht. Die Landesdatenschutzgesetze (LDSG) greifen im verbleibenden Gesetzgebungsbereich der Länder insbesondere die öffentlichen Stellen der Länder, also z. B. Schulen, Universitäten, Landesbehörden oder Polizei. In diesen Bereichen ist das jeweilige LDSG die primäre nationale Rechtsgrundlage, muss aber mit der DSGVO im Einklang stehen.

Rechtsgrundlage für Verarbeitung von Arbeitnehmerdaten

Die Verarbeitung von Beschäftigtendaten ist nach Art. 6 DSGVO und § 26 BDSG nur zulässig, wenn sie für das Arbeitsverhältnis erforderlich ist. Dazu zählen unter anderem die Auszahlung von Gehalt und Sozialleistungen, die Verwaltung von Urlaubs- und Krankheitstagen sowie die Dokumentation von Arbeitszeiten oder Leistungen.

Proaktive Informationspflichten aus Art. 13, 14 DSGVO 

Nach Art. 13 und 14 DSGVO sind Verantwortliche verpflichtet, betroffene Personen transparent über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dazu gehört die Mitteilung über die Identität des Verantwortlichen, den Zweck der Verarbeitung, die zugrunde liegende Rechtsgrundlage, die Speicherdauer oder die Kriterien für deren Festlegung, die Empfänger oder Kategorien von Empfängern der Daten sowie die Rechte der Betroffenen, etwa Auskunft, Berichtigung, Löschung oder Widerspruch. Zudem muss auf die Möglichkeit hingewiesen werden, sich bei einer Aufsichtsbehörde zu beschweren. Während Art. 13 DSGVO gilt, wenn die Daten direkt bei der betroffenen Person erhoben werden, kommt Art. 14 DSGVO zur Anwendung, wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden.

Auskunftsrecht nach Art. 15 DSGVO

Der Arbeitnehmer kann nach § 15 DSGVO bei seinem Arbeitgeber einen Antrag auf Auskunft über die bei ihm gespeicherten personenbezogenen Daten Daten über ihn Stellen. In der Praxis, wird dieser Anspruch öfters auch im Rahmen von Kündigungsschutzverfahren geltend gemacht.

ArbG HN,  27.3.2025 – 8 Ca 123/24:

Der Arbeitgeber darf bei pauschalen Auskunftsersuchen eine Konkretisierung verlangen. Eine allumfassende Auskunft ist bei großen Datenmengen nicht zumutbar. Eine strukturierte Zusammenfassung oder ein Datenbankzugang kann ausreichend sein – vollständige Kopien sind nicht zwingend erforderlich.Art. 15 DSGVO dient der Kontrolle über die Datenverarbeitung, nicht der Vorbereitung arbeitsrechtlicher Ansprüche (z. B. Überstundenvergütung).

Schadensersatzansprüche nach Art. 82 DSGVO wegen Verletzung des Auskunftsrechts nach Art. 15 DSGVO setzen einen konkret dargelegten immateriellen Schaden voraus. Bloße Befürchtungen eines Datenmissbrauchs oder allgemeiner Ärger reichen nicht aus. Ein hypothetischer Kontrollverlust ist kein ersatzfähiger Schaden. Die Revision ist zugelassen, das Verfahren beim BAG jedoch bis zur Entscheidung des EuGH ausgesetzt.

Das Gericht gab den Anträgen auf Auskunft über die Verarbeitungszwecke und die Kategorien der Daten sowie den Anspruch auf Herausgabe einer Datenkopie statt. Es stellte fest, dass die Beklagte die Auskunft nicht in der von Art. 12 Abs. 1 DSGVO geforderten präzisen und verständlichen Form erteilt hatte. Ein pauschaler Verweis auf Hunderte von Seiten reiche nicht aus. Der Anspruch auf Auskunft über die Datenempfänger sei hingegen bereits erfüllt gewesen.

Der Antrag auf immateriellen Schadensersatz wurde abgewiesen. Das Gericht stellte klar, dass eine bloße Verletzung der DSGVO-Vorschriften, wie eine verspätete oder unvollständige Auskunft, nicht automatisch einen Schaden begründet. Ein Anspruch besteht nur, wenn ein konkreter, spürbarer Schaden nachgewiesen wird. Der Kläger konnte in diesem Fall keinen solchen Schaden belegen.

Der Arbeitgeber darf die Heruasgabe von Kopien verweigern, wenn schutzwürdige Geheimhaltungsinteressen entgegenstehen. Dies könnte der Schutz von Informanten sein. Allerdings muss in jedem Einzelfall eine Güterabwägung zwischen dem Geheimhaltungsinteresse des Arbeitgebers und dem Auskunftsinteresse des Arbeitnehmers vorgenommen werden. Der Arbeitgeber muss das Geheimhaltungsinteresse konkret darlegen und substantiieren, eine pauschale Berufung reicht nicht aus. Im vorliegenden Fall hatte das Arbeitsgericht Stuttgart den Antrag auf Auskunft abgewiesen, aber das LAG Baden-Württemberg hat in seinem Urteil die Grundlage für den Anspruch auf Kopie der Daten bekräftigt.