Das neue Beschäftigtendatenschutzgesetz – Was erwartet die Unternehmen?

Inhaltsverzeichnis

II. Abkürzungsverzeichnis

III. Abbildungsverzeichnis

1 Thematische Hinführung

2 Einführung in das Datenschutzrecht
2.1 Historische Entwicklung des Datenschutzes
2.2 Jüngste Entwicklungen zum Beschäftigtendatenschutz

3 Rechtsquellen des Beschäftigtendatenschutzes
3.1 Regelungen des Grundgesetzes
3.1.1 Wirkung der Grundrechte
3.1.2 Arbeitnehmergrundrechte
3.1.3 Arbeitgebergrundrechte
3.2 Gesetzliche Regelungen
3.2.1 Regelungen des BDSG sowie der LDSG
3.2.2 Regelungen des BetrVG
3.3 Richterrecht
3.4 Das neue BDSG-E

4 Problembereiche
4.1 Einwilligung als Rechtfertigungsinstrument
4.1.1 Rechtliche Ausgestaltung
4.1.2 Verfassungsrechtliche Bedenken
4.1.3 Europarechtliche Bedenken
4.1.4 Bewertung
4.1.5 Handlungsempfehlungen und Umsetzungsvorschläge
4.2 Betriebsvereinbarungen im Beschäftigtendatenschutz
4.2.1 Rechtliche Ausgestaltung
4.2.2 Bewertung
4.2.3 Handlungsempfehlungen und Umsetzungsvorschläge
4.3 Beschäftigtendatenschutz im Bewerbungsverfahren
4.3.1 Fragerecht des Arbeitgebers
4.3.1.1 Rechtliche Ausgestaltung
4.3.1.1.1 Fragen nach einer Schwerbehinderung
4.3.1.1.2 Fragen nach einer Schwangerschaft
4.3.1.1.3 Sondervorschriften für Tendenzunternehmen
4.3.1.2 Bewertung
4.3.1.3 Handlungsempfehlungen und Umsetzungsvorschläge
4.3.2 Ärztliche Einstellungsuntersuchungen und Eignungstests
4.3.2.1 Rechtliche Ausgestaltung der Einstellungsuntersuchungen
4.3.2.2 Bewertung
4.3.2.3 Rechtliche Ausgestaltung der Eignungstests
4.3.2.4 Bewertung
4.3.2.5 Exkurs: Untersuchungen und Eignungstests nach der Einstellung
4.3.2.6 Handlungsempfehlungen und Umsetzungsvorschläge
4.3.3 Background-Checks im Internet und Sozialen Netzwerken
4.3.3.1 Rechtliche Ausgestaltung
4.3.3.2 Bewertung
4.3.3.3 Handlungsempfehlungen und Umsetzungsvorschläge
4.4 Überwachung und Kontrolle der Arbeitnehmer
4.4.1 Beschäftigtendatenschutz vs. Compliance
4.4.1.1 Begriffsdefinition und Compliance-Pflicht
4.4.1.2 Rechtliche Ausgestaltung
4.4.1.3 Bewertung
4.4.1.4 Handlungsempfehlungen und Umsetzungsvorschläge
4.4.2 Videoüberwachung
4.4.2.1 Rechtliche Ausgestaltung
4.4.2.2 Bewertung
4.4.2.3 Handlungsempfehlungen und Umsetzungsvorschläge
4.4.3 Kontrolle von Telefon, Internet und E-Mail
4.4.3.1 Rechtliche Ausgestaltung
4.4.3.1.1 Verkehrsdaten sämtlicher Telekommunikationsdienste
4.4.3.1.2 Inhaltsdaten von Telefongesprächen
4.4.3.1.3 Inhaltsdaten sonstiger Telekommunikationsdienste
4.4.3.1.4 Der abgeschlossene Telekommunikationsvorgang
4.4.3.2 Bewertung
4.4.3.3 Handlungsempfehlungen und Umsetzungsvorschläge

5 Zusammenfassung und Ausblick
5.1 Zusammenfassung
5.2 Stellungnahme zum Gesetzesentwurf
5.3 Ausblick

IV. Literaturverzeichnis

V. Anhangsverzeichnis

II. Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

III. Abbildungsverzeichnis

Abbildung 1: Soziale Netzwerke Quelle:Eigene Darstellung in Anlehnung an NetAthlet. http://www.netathlet.com/wp-content/uploads/smblog-450x320.jpg (Download 12.06.2011)

Abbildung 2: Besucheranzahl Quelle: Eigene Darstellung in Anlehnung an den Google Ad Planner. http://www.google.com/adplanner (Download 13.06.2011)

1 Thematische Hinführung

Der missbräuchliche Umgang mit Beschäftigtendaten¹ und die damit einhergehenden Verletzungen von Datenschutzvorschriften sind heutzutage allgegenwärtig: Dies zei- gen insbesondere die Ergebnisse der erst kürzlich erfolgten WSI- Betriebsrätebefragung² der Hans-Böckler-Stiftung aus dem Jahre 2010, wonach es in jedem siebten Betrieb³ zur Missachtung von Datenschutzvorschriften kam. In ca. 35% der Fälle war hiervon eine Einzelperson, in 20% sogar die gesamte Belegschaft betrof- fen.⁴ Da allerdings nicht jeder Fall einer Datenschutzverletzung aufgedeckt wird, dürf- te die Dunkelziffer noch wesentlich höher liegen. Einer der Hauptgründe hierfür ist die technische Entwicklung der letzten Jahre und die damit verbundenen Kontroll- möglichkeiten. Erwähnt seien hier beispielhaft die Auswertungen von Internetnutzun- gen, biometrischen Verfahren oder Videoaufnahmen. In dieser technisch immer kom- plexer werdenden, Umwelt scheint die Verletzung von Arbeitnehmerrechten daher kaum noch vermeidbar. Dass dies keine reine Theorie ist, spiegelt die Vielzahl der in den letzten Jahren an die Öffentlichkeit gelangten Datenschutzskandale wieder: So ließ die Deutsche Bahn rund 173.000 Mitarbeiter ohne deren Wissen heimlich „be- spitzeln“, um damit mögliche Korruptionsfälle zu bekämpfen.⁵ Ähnlich verfuhr die Deutsche Telekom, als sie die Telefonanschlüsse ihrer Arbeitnehmer überwachen ließ.⁶ Erschüttert wurde die Öffentlichkeit zudem durch den Fall des Lebensmitteldis- counters Lidl, bei dem Mitarbeiter durch heimliche Videoaufnahmen überwacht und sogar umfangreiche Dossiers über deren Privatleben erstellt wurden.⁷

Diese Datenskandale hatten jedoch die positive Folge, dass das allgemeine Bewusst- sein für Datenschutz in der Gesellschaft geschärft wurde. So hat auch der Gesetzgeber hieraus Konsequenzen gezogen und als Antwort die seit vielen Jahrzehnten diskutierte Schaffung einer gesetzlichen Regelung zum Arbeitnehmerdatenschutz⁸ durch die Vor- lage eines entsprechenden Gesetzesentwurfs nunmehr verwirklicht. Nach mehreren Referentenentwürfen des BMI legte die Regierungskoalition am 25.08.2010 ihren ersten Entwurf zur Regelung des Beschäftigtendatenschutzes vor.⁹ Nach einer Stel- lungnahme des Bundesrates sowie einer Gegenäußerung der Regierung wurde dieser Entwurf nochmals leicht verändert und in dieser Form als vorläufige Endfassung am 15.12.2010 veröffentlich.¹⁰ Die nachfolgenden Ausführungen beziehen sich allesamt auf diese Fassung.

Dieser Entwurf beinhaltet kein eigenes Arbeitnehmerdatenschutzgesetz, sondern stellt lediglich eine Einfügung mehrerer Paragraphen (im Folgenden BDSG-E genannt) ins bereits vorhandene BDSG dar. Dieser Umstand ist einer der Gründe, warum sich das Gesetzgebungsverfahren indes steinig gestaltet. So erntete der Entwurf bei der ersten Lesung im Bundestag am 25.02.2011 nochmals harsche Kritik und wurde im An- schluss an den Innenausschuss zur weiteren Beratung überwiesen. Dort fand am 23.05.2011 sodann eine öffentliche Sachverständigenanhörung statt, bei der die Neu- regelungen zum Beschäftigtendatenschutz nochmals ausgiebig diskutiert wurden. Vor dem Hintergrund unzähliger kontroverser Meinungen ist es fraglich, ob der Entwurf noch in diesem Jahr in Gesetzesform gegossen wird. Nichtsdestotrotz wird er sich teilweise einschneidend auf die Personalpraxis auswirken.¹¹ Hervorzuheben ist jeden- falls die hohe Anzahl an Aufsätzen und Stellungnahmen seit der Veröffentlichung des Gesetzesentwurfs im August 2010. Ob es sich dabei um Kritik oder Zustimmung han- delt - für reichlich Diskussion hat der Entwurf zum Beschäftigtendatenschutzgesetz bereits gesorgt. Aber auf welche speziellen Bereiche hat sich der Entwurf überhaupt ausgewirkt und wie hat sich deren bisherige Rechtslage verändert? Kurzum: Was er- wartet die Unternehmen hinsichtlich ihrer Datenschutzpflichten im Arbeitsverhältnis? Die vorliegende Masterarbeit will der Beantwortung dieser Fragen nachgehen und den Unternehmen Handlungsempfehlungen und Umsetzungsvorschläge aufzeigen.

Hierzu wird zunächst eine kurze Einführung in das Datenschutzrecht (Kapitel 2) ge- geben. Anschließend sollen die derzeitigen Rechtsquellen des Beschäftigtendaten- schutzes (Kapitel 3) kurz beleuchtet werden, damit anhand dieser im Schwerpunkt der vorliegenden Masterarbeit ausgewählte Problembereiche (Kapitel 4) dahingehend untersucht werden können, inwieweit sich deren Rechtslage durch die geplanten Neu- regelungen verändert hat. Infolgedessen werden den Unternehmen Handlungsempfeh-lungen sowie Umsetzungsvorschläge für die Praxis unterbreitet. Abschließend erfol- gen eine Zusammenfassung der rechtlichen Veränderungen, eine Stellungnahme zum Gesetzesentwurf sowie ein kurzer Ausblick für die Zukunft (Kapitel 5). An dieser Stelle sei zudem auf den Leitfaden im Anhang verwiesen, in dem sich eine Darstel- lung der jeweiligen Handlungsempfehlungen und Umsetzungsvorschläge finden lässt.

2 Einführung in das Datenschutzrecht

Der Begriff des „Datenschutzes“ ist mittlerweile in der Sprache der Jurisprudenz fest verankert. In seiner Bedeutung ist er allerdings irreführend, denn die Funktion des Datenschutzes ist nicht der Schutz von Daten, wie es der Wortlaut vermuten lässt, sondern der Schutz eines Betroffenen, der vor etwaigen Gefahren bei der Datenverar- beitung bewahrt werden soll.¹² Diesen Zweck, bzw. dieses Ziel hat der Gesetzgeber auch in einer Art Legaldefinition in § 1 I BDSG festgelegt.¹³ Danach ist der Einzelne davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.¹⁴ Die Aufgabe des Datenschutzes ist es folglich, den „gläsernen Menschen“ zu verhindern, indem er bestimmt, welche Verwendung von Daten zulässig ist und ob diese Daten überhaupt gespeichert werden dürfen. Um diese Aufgaben wahren zu können, sind Rechtsvorschriften unerlässlich. Wie sich diese in den letzten Jahrzehnten entwickelt haben wird in den kommenden Abschnitten aufgezeigt.

2.1 Historische Entwicklung des Datenschutzes

Die ersten Bestrebungen des Datenschutzes fanden zu Beginn der 60er Jahre statt. Angestoßen durch die ersten Erfahrungen mit dem Einsatz neuer Informationstechno- logien in den USA wuchs damals die Erkenntnis, dass diesen Entwicklungen Rah- menbedingungen gesetzt werden müssen. Der Grund hierfür war, dass diese Techno- logien erstmals automatisierte Datenverarbeitungen und damit einhergehende Eingrif- fe in das Persönlichkeitsrecht von Arbeitnehmern ermöglichten. Ein Datenschutz und diesbezügliche Regelungen wurden somit unumgänglich.¹⁵ Der Vorreiter für entspre- chende Regelungen zum Datenschutz war das Bundesland Hessen, wo im Jahre 1970 das weltweit erste Datenschutzgesetz¹⁶ verabschiedet worden ist.¹⁷ Zwar wurde bereits ein Jahr später ein erster Referentenentwurf für ein Datenschutzgesetz auf Bundesebe- ne vorgelegt, dennoch dauerte es aufgrund von unzähligen Datenschutzdiskussionen und -beratungen bis zum 01.02.1977, bis die Erstfassung des BDSG¹⁸ im Bundesge- setzblatt verkündet wurde. Dies führte in der Folgezeit dazu, dass bis 1981 in sämtli- chen Bundesländern - mit Ausnahme der nach der Wiedervereinigung hinzugekom- menen Neuen Bundesländer - teils neue, teils novellierte Landesdatenschutzgesetze beschlossen worden sind.¹⁹

In den Folgejahren gab es unzählige Anläufe zur Novellierung des BDSG.²⁰ Einen starken Einfluss übte hierbei das im Jahre 1983 ergangene Volkszählungsurteil²¹ des BVerfG aus. Dieses ging auf eine Verfassungsbeschwerde gegen das Volkszählungs- gesetz²² zurück, wonach eine umfangreiche Volkszählung durchgeführt werden sollte. In der Begründung dieses Urteils hat das BVerfG aus Art. 2 I i.V.m. Art. 1 I GG ein besonderes Recht auf „informationelle Selbstbestimmung“ entwickelt und hierdurch den verfassungsrechtlichen Rang des Datenschutzes manifestiert. Danach soll jeder Einzelne grundsätzlich selbst über die Freigabe und Verwendung seiner persönlichen Daten bestimmen können.²³ Damit hatte sich das Datenschutzrecht grundlegend ge- wandelt, weshalb eine Erneuerung und Erweiterung der Datenschutznormen, insbe- sondere des BDSG, unumgänglich wurde. Diese Novellierung, die bis ins Jahr 1990 andauerte, wurde den Grundlagen des Volkszählungsurteils zwar gerecht; der Gesetz- geber tat hierbei allerdings nur das Nötigste, denn die Weiterentwicklung hielt sich in sehr engem Rahmen und hat konzeptionelle Neuerungen grundsätzlich vermieden.²⁴ Den nächsten bedeutenden Anstoß zur Neuregulierung bekam das Datenschutzrecht durch die Entwicklungen auf europarechtlicher Ebene. So wurde nach mehrjährigen Verhandlungen 1995 die EG-Datenschutzrichtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“²⁵ erlas- sen, die innerhalb von drei Jahren in innerstaatliches Recht umgesetzt werden sollte.²⁶ Da die Richtlinie keine grundlegenden Neuerungen enthielt, sondern nur an die beste- hende Rechtslage in Deutschland anknüpfte, waren keine massiven Veränderungen für das deutsche Datenschutzrecht notwendig.²⁷ Dennoch ist sie, getreu der traditionellen Umsetzungsträgheit des deutschen Gesetzgebers, erst am 18.05.2001 und damit mehr als zweieinhalb Jahre nach Ablauf der Umsetzungsfrist durch eine zweite Novellie- rung des BDSG in das deutsche Recht transformiert worden.²⁸ Die Ursache hierfür ist laut Däubler, dass sie mehr als lästiger Zwang, denn als Impulsgeber angesehen wur- de.²⁹ Allerdings wurde diese Verzögerung auch durch das Ende der Legislaturperiode sowie diverse Forderungen aus dem Schrifttum nach einer umfassenden Modernisie- rung des Datenschutzrechts bedingt.³⁰ Trotz vorangeschrittener Planung musste von dieser jedoch aus Zeitgründen abgesehen werden, aber sie sollte der Novellierung als „zweite Stufe“ zügig nachfolgen.³¹ Erwähnenswerte Neuheiten der Richtlinienumset- zung waren insbesondere die Grundsätze der Datenvermeidung und -sparsamkeit so- wie die Zulässigkeit von Videoüberwachungen oder der Umgang mit sensiblen Da- ten.³² Die angestrebte grundlegende Modernisierung ist allerdings bis zum heutigen Tage nicht geschehen.³³ Zwar gab es die BDSG-Novellen I-III,³⁴ zu mehr als Einzel- regelungen oder systemimmanenten Weiterentwicklungen ist es aber nie gekommen.³⁵

2.2 Jüngste Entwicklungen zum Beschäftigtendatenschutz

Für den Bereich des Arbeitnehmerdatenschutzes ist allerdings insbesondere die BDSG-Novelle II von ausgesprochener Bedeutung. So hat der Gesetzgeber, angetrie- ben durch die bereits angeführten Datenschutzskandale³⁶ und einer zunehmenden Mit- arbeiterkontrolle, in dieser Novellierung einen ersten Schritt in Richtung einer gesetz- lichen Regelung des Beschäftigtendatenschutzes vollzogen, indem er den § 32 BDSG neugestaltete.³⁷ Dabei wurde indes kein neuer Arbeitnehmerdatenschutz kodifiziert, sondern lediglich die bisher geltenden Grundsätze zusammengefasst, was ein künfti- ges Gesetz aber weder entbehrlich machen noch inhaltlich präjudizieren sollte.³⁸ Im Zuge dieser Novellierung war die Ausgestaltung des § 32 BDSG anfänglich gar nicht vorgesehen, da lediglich einige Änderungen des BDSG in Bezug auf den Ver- braucherschutz vor Adresshandel und Kontoinformationsweitergabe erfolgen soll- ten.³⁹ Nichtsdestotrotz wurde er, insbesondere auf Bitte des Bundesrates und vor dem Hintergrund des Datenskandals bei der Deutschen Bahn AG, ohne intensive Vorarbeit kurz vor Ende der Legislaturperiode in die BDSG-Novelle II aufgenommen.⁴⁰ Da es sich folglich um einen gesetzgeberischen Schnellschuss handelte, waren Unstimmig- keiten und Anwendungsprobleme kaum zu vermeiden.⁴¹ Aus diesem Grund erfuhr der neue § 32 BDSG erhebliche Kritik in der Literatur.⁴² Daneben war auch der Bundesrat mit der Ausgestaltung dieser Regelung unzufrieden und bemängelte insbesondere, dass der Beschäftigtendatenschutz hierdurch nur rudimentär kodifiziert wurde und sich dieser vor allem rechtsunkundigen kaum zu erschließen vermag.⁴³ Dies konnte vom Gesetzgeber jedoch billigend in Kauf genommen werden, da zeitgleich mit der Schaffung des § 32 BDSG eine umfangreiche gesetzliche Regelung für den Daten- schutz im Arbeitsverhältnis angekündigt und anschließend durch die Vorlage eines entsprechenden Gesetzesentwurfs auch eingehalten worden ist.⁴⁴

Nach der Einführung in das Datenschutzrecht, sollen im nächsten Kapitel die gegenwärtigen Rechtsquellen des Arbeitnehmerdatenschutzes im Fokus stehen, denn um aufzeigen zu können, welche Veränderungen durch das BDSG-E auf die Unternehmen zukommen, ist ein Vergleich mit der vorherigen Rechtslage unumgänglich.

3 Rechtsquellen des Beschäftigtendatenschutzes

Der Arbeitnehmerdatenschutz ist einer der verschlungensten Irrgärten des Arbeits- rechts überhaupt. Er zeichnet sich bisher insbesondere durch einen ausgeprägten Rechtsquellenpluralismus aus und stellt damit ein Spiegelbild der dem Arbeitsrecht immanenten Zersplitterung der Rechtsnormen in fachfremde Nebengesetze dar.⁴⁵ Zwar ergibt sich der rechtliche Rahmen für den Beschäftigtendatenschutz teilweise aus diesen Nebengesetzen, doch in vielen Problembereichen fehlt es an jeglichen ge- setzlichen Regelungen. Daher war es lange Zeit Aufgabe der Rechtsprechung in die- sen Bereichen für einen angemessenen Datenschutz im Arbeitsverhältnis zu sorgen. Gerade vor diesem Hintergrund ist eine kompakte Ausgestaltung dieses Rechtsbe- reichs durch das BDSG-E besonders zu begrüßen.⁴⁶

Im Folgenden werden sodann die gegenwärtigen Rechtsquellen des Beschäftigtendatenschutzes kurz umrissen sowie ein kurzer Einstieg ins BDSG-E gegeben.

3.1 Regelungen des Grundgesetzes

Zu Beginn dieser Darstellung ist als grundlegendste Rechtsquelle das Grundgesetz zu nennen. Dabei erscheint es sinnvoll, eine Differenzierung zwischen den Arbeitneh- mer- und den Arbeitgebergrundrechten vorzunehmen, da auf beiden Seiten schutz- würdige Belange zu finden sind.⁴⁷ Zunächst soll an dieser Stelle allerdings geklärt werden, ob zwischen diesen beiden Parteien die Grundrechte überhaupt eine Wirkung entfalten.

3.1.1 Wirkung der Grundrechte

Grundsätzlich dienen die Grundrechte des Grundgesetzes als Freiheits- und Abwehr- rechte gegenüber hoheitlicher Gewalt und wirken folglich nicht ohne Weiteres im Verhältnis zwischen Arbeitnehmer und Arbeitgeber.⁴⁸ Dies ergibt sich indirekt aus dem Art. 1 III GG, wonach die Grundrechte die Gesetzgebung, die vollziehende Ge- walt sowie die Rechtsprechung als unmittelbar geltendes Recht binden.⁴⁹ Nach dem Wortlaut der Vorschrift ist es durchaus legitim, diese Aufzählung als abschließend zu betrachten, was zur Folge hätte, dass private Rechtsträger nicht an die Grundrechte gebunden wären.⁵⁰ Dieses Problem haben auch die höchstrichterlichen Instanzen er- kannt und daher in ihren Entscheidungen klargestellt, dass das Grundgesetz keine wertneutrale Ordnung ist, sondern in seinem Grundrechtsabschnitt objektive Grun- dentscheidungen enthält, die für alle Bereiche des Rechts, also auch für das Zivilrecht, gelten.⁵¹ Man spricht dabei von der sog. Drittwirkung von Grundrechten.⁵² Es ist zwar streitig, ob es sich dabei um eine mittelbare oder unmittelbare Drittwirkung handelt, dies kann an dieser Stelle jedoch dahinstehen, da in beiden Fällen eine Wirkung zwi- schen den Arbeitsvertragsparteien zu bejahen ist.⁵³ Somit sind die aus den Grundrech- ten abgeleiteten Schutzgebote auch vom Arbeitgeber zu beachten, wenn er mit seinen Bewerbern oder Arbeitnehmern interagiert.⁵⁴

An dieser Stelle ist weiterhin anzumerken, dass Grundrechte nicht schrankenlos ge- währt werden können. Insbesondere im Arbeitsverkehr kollidieren die Grundrechte der Arbeitnehmer regelmäßig mit denen des Arbeitgebers.⁵⁵ Gäbe es keine Schranken, würden somit Verletzungen anderer Schutzgüter grundrechtlich legitimiert und billi- gend in Kauf genommen werden. Von daher kann es keine Garantie dafür geben, sein Grundrecht stets in vollem Umfang ausüben zu können.⁵⁶ Fällt ein Grundrecht der Arbeitsvertragsparteien unter eine solche Schranke, so muss sich diese Beschränkung allerdings am Grundsatz der Verhältnismäßigkeit messen lassen; sie muss also geeig- net, erforderlich und angemessen sein, um das verfolgte Ziel zu erreichen.⁵⁷ Der Ein- griff in ein Grundrecht muss ferner entweder durch eine formell und materiell verfas- sungsgemäße Grundlage, womit vorwiegend Gesetze, aber auch schwächere Instru- mente, wie z.B. Betriebsvereinbarungen, gemeint sind oder durch schutzwürdige Be- lange anderer Grundrechtsträger, wie bspw. des Arbeitgebers, gerechtfertigt sein.⁵⁸

3.1.2 Arbeitnehmergrundrechte

Grundsätzlich kennt das Grundgesetz kein selbständiges Recht auf Datenschutz. Als juristischer Ausgangspunkt des Datenschutzes wird daher gemeinhin das aus Art. 2 I i.V.m. Art. 1 I GG abgeleitete allgemeine Persönlichkeitsrecht angesehen.⁵⁹ Aus diesem allgemeinen Grundrecht sind in regelmäßigen Abständen weitere spezielle Rechte durch die Judikative konkretisiert worden, die hinsichtlich des Beschäftigtendatenschutzes zusätzliche Schutzbereiche eröffnen.⁶⁰

Eines dieser Rechte ist das bereits dargestellte Recht auf informationelle Selbstbe- stimmung, nach dem jeder Einzelne im Grundsatz selbst über die Freigabe und Ver- wendung seiner persönlichen Daten bestimmen können soll.⁶¹ Das BVerfG hat dieses Recht aus dem allgemeinen Persönlichkeitsrecht abgeleitet, weil die modernen Infor- mationstechnologien zunehmend Einzelangaben über Personen zusammenführen konnten und damit immer umfangreichere individuelle Auswertungen möglich mach- ten.⁶²

Der Persönlichkeitsschutz der Arbeitnehmer geht jedoch weit über das informationelle Selbstbestimmungsrecht in seiner datenschutzrechtlichen Ausgestaltung hinaus. So umfasst der Schutzbereich außerdem das Recht am eigenen Bild.⁶³ Dieses Recht schützt den Arbeitnehmer vor jeder Art der unberechtigten Anfertigung, Verbreitung oder Veröffentlichung einer bildlichen Darstellung seiner Person entweder durch stoffliche Fixierung oder durch eine Direktübertragung seines Erscheinungsbildes mittels technischer Geräte.⁶⁴ Eine solche unerlaubte Darstellung würde einen Eingriff in die Freiheit der Selbstbestimmung und der freien Betätigung der Persönlichkeit eines Menschen darstellen.⁶⁵

Eine weitere Ausprägung des allgemeinen Persönlichkeitsrechts ist das Recht am ge- sprochenen Wort. Durch dieses Recht verfügt jeder Einzelne über die Entscheidungs- gewalt, welchem Adressatenkreis er seine gesprochenen Worte zugänglich machen möchte.⁶⁶ Hierdurch verfügt ein Arbeitnehmer über einen angemessenen Schutz vor der Verdinglichung seines Wortes bspw. durch heimliches Mithören oder heimliche Tonbandaufnahmen.⁶⁷

Des Weiteren hat das BVerfG im Frühjahr 2008 in seiner viel beachteten Entschei- dung zur Online-Durchsuchung aus Art. 2 I i.V.m. Art. 1 I GG das Recht auf Gewähr- leistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgelei- tet.⁶⁸ Aus diesem Recht leitet sich der Schutz von persönlichen Daten ab, die in infor- mationstechnischen Systemen gespeichert oder verarbeitet werden. Diesbezüglich hat das BVerfG die Grundrechte der Art. 10 und 13 GG (Telekommunikationsgeheimnis und Unverletzlichkeit der Wohnung) sowie das Recht auf informationelle Selbstbe- stimmung als nicht ausreichend erachtet. Der Zugriff auf die in den IT-Systemen in erheblichem Maße vorhandenen persönlichen Daten gehe in seinem Gewicht weit über einzelne Datenerhebungen, wovon das Recht auf informationelle Selbstbestim- mung ausgehe, hinaus.⁶⁹ Es soll daher vor allem als Auffanggrundrecht dienen, wenn ein angemessener Schutz des Arbeitnehmers durch die oben genannten Rechte nicht gewährleistet werden kann.

Auch wenn die Arbeitnehmer durch das ungleiche Machtverhältnis in ihrer Beziehung zum Arbeitgeber in der Regel schutzbedürftiger sind, dürfen den Arbeitgebern die Wahrung ihrer Interessen nicht verwehrt werden. Daher verdienen auch die Grundrechte des Arbeitgebers eine nähere Betrachtung.

3.1.3 Arbeitgebergrundrechte

Die schutzwürdigen Belange des Arbeitgebers können sich aus dem Grundrecht der Informationsfreiheit ergeben. Der Art. 5 I 1 GG gewährleistet jedem das Recht, sich aus allgemein zugänglichen Quellen ohne gesetzliche Ermächtigung bspw. auch über personenbezogene Informationen zu unterrichten.⁷⁰

Von besonderer Bedeutung ist zudem das Grundrecht der freien unternehmerischen Betätigung, das sich aus Art. 12 I GG ableitet. Dieses Recht schützt die Auswahl und Ausübung von erwerbsbezogenen Tätigkeiten in sämtlichen Formen zum Zwecke der Teilnahme am Wettbewerb.⁷¹ Unter diesem Schutz stehen dabei insbesondere die Mit- tel und der Umfang sowie die gegenständliche Ausgestaltung der Betätigung, aber auch die freie Gründung sowie die Modalitäten der Führung von Unternehmen.⁷² Auf diese Weise wird die unternehmerische Handlungsfreiheit also in ihrem gesamten Umfang grundrechtlich geschützt.

Des Weiteren ist auf Arbeitgeberseite noch das Recht auf Eigentum gem. Art. 14 I GG zu erwähnen, wodurch privatrechtliche vermögenswerte Rechte, wie etwa das Grund- eigentum oder sonstige dingliche Rechte und Forderungen, geschützt werden.⁷³ Es wird in den Fällen tangiert, bei denen auf einen konkreten Bestand an Rechten und Gütern eingewirkt wird.⁷⁴ Das Eigentumsgrundrecht des Art. 14 I GG umfasst nach h.M. auch das Recht am eingerichteten und ausgeübten Gewerbebetrieb. ⁷⁵ Diese Aus- prägung schützt nicht nur den eigentlichen Bestand des Betriebes, sondern auch die „Substanz“ der Sach- und Rechtsgesamtheit, also alles, was in seiner Gesamtheit den wirtschaftlichen Wert eines Betriebes ausmacht.⁷⁶ Abschließend sei zudem erwähnt, dass die Grundrechte der Art. 5, 12 und 14 GG gem. Art. 19 Abs. 3 GG auch juristi- schen Personen zustehen, da sie ihrem Wesen nach auf diese anzuwenden sind.⁷⁷

3.2 Gesetzliche Regelungen

Auch gegenwärtig gibt es bereits einige gesetzliche Regelungen zum Beschäftigtendatenschutz, die sich jedoch über mehrere Einzelgesetze verteilen.⁷⁸ Da deren Anzahl im Laufe der Jahre stetig angestiegen ist, sollen an dieser Stelle nur die wichtigsten Bestimmungen kurz vorgestellt werden.

3.2.1 Regelungen des BDSG sowie der LDSG

Die wichtigsten gesetzlichen Regelungen enthält ohne Zweifel das BDSG. Dieses hat in erster Linie eine präventive Ausrichtung. Die Arbeitnehmer sollen hierdurch einen vorbeugenden Schutz vor einem zweckwidrigen und missbräuchlichen Umgang mit ihren personenbezogenen Daten genießen.⁷⁹ Da unzählige Vorschriften des BDSG den Arbeitnehmerdatenschutz zumindest mittelbar tangieren, werden nur die wichtigsten Grundsätze sowie der bisherige § 32 BDSG erläutert.

Der erste Grundsatz der Datenvermeidung und -sparsamkeit findet sich in § 3a BDSG. Dieser besagt, dass die Gestaltung und Auswahl von Datenverarbeitungssystemen so zu erfolgen haben, dass von Anfang an so wenig personenbezogene Daten wie mög- lich verarbeitet werden.⁸⁰ Durch den Einsatz solcher datenschutzfreundlicher Systeme sollen mögliche Grundrechtsgefährdungen der Arbeitnehmer bereits im Vorhinein, bspw. durch Anonymisierung oder Pseudonymisierung der personenbezogenen Daten, reduziert werden.⁸¹

Zu erwähnen ist des Weiteren das Verbotsprinzip mit Erlaubnisvorbehalt, welches in § 4 I BDSG verankert ist. Nach diesem Prinzip ist eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten grundsätzlich verboten, es sei denn, diese ist durch eine andere Rechtsvorschrift oder durch die Einwilligung des Betroffenen aus- nahmsweise erlaubt.⁸² Das BDSG schafft auf diese Weise einen gesetzlichen Rahmen für die automatisierte Datenverarbeitung, der durch spezialgesetzliche Regelungen, wie auch durch Willenserklärungen des Betroffenen, näher ausgestaltet werden kann.⁸³

Von herausragender Bedeutung für den Arbeitnehmerdatenschutz ist gegenwärtig der § 32 BDSG, der am 01.09.2009 in Kraft getreten ist.⁸⁴ Nach § 32 I 1 BDSG dürfen personenbezogene Daten von Beschäftigten von Arbeitgebern nunmehr nur noch für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden.⁸⁵ Die Zulässigkeit orientiert sich dabei daran, ob diese Daten im Rahmen der verschie- denen Phasen eines Arbeitsverhältnisses, also der Begründung, Durchführung oder Beendigung, erforderlich sind.⁸⁶ Er verdrängt damit als Spezialvorschrift die allge- meinere Norm des § 28 I 1 Nr. 1 BDSG.⁸⁷ Da der § 32 BDSG quasi als „Übergangs- vorschrift“ bis zur Verabschiedung eines Beschäftigtendatenschutzgesetzes eingeführt wurde,⁸⁸ wird an dieser Stelle von einer näheren Betrachtung abgesehen.⁸⁹

Für öffentliche Stellen der Länder können außerdem die jeweiligen LDSG einschlägig sein, da sie gem. § 1 II Nr. 2 BDSG einen vorrangigen Charakter besitzen. So haben die Länder bereits in zahlreichen LDSG Sonderbestimmungen für den Datenschutz im Dienst- und Arbeitsverhältnis erlassen.⁹⁰

3.2.2 Regelungen des BetrVG

Datenschutzrelevante Vorschriften finden sich ferner im BetrVG. Da es sich hierbei vordergründig um mitbestimmungsrechtliche Aspekte zum Beschäftigtendatenschutz handelt, sind diese Vorschriften grundsätzlich nur für mitbestimmte Betriebe ein- schlägig. Auf übergeordneter Ebene hat der Betriebsrat gem. § 75 II BetrVG die Ver- pflichtung gegen sämtliche Maßnahmen vorzugehen, die die Arbeitnehmer in der freien Entfaltung ihrer Persönlichkeit hindern.⁹¹ Darüber hinaus verfügt der Betriebs- rat über eine Reihe von Informations-, Mitwirkungs- sowie Mitbestimmungsrechten, die im Falle von datenschutzrechtlichen Fragen in Anspruch genommen werden kön- nen.⁹²

Die wohl wichtigste Vorschrift ist § 87 I Nr. 6 BetrVG, wonach der Betriebsrat über ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Ein- richtungen verfügt, die dazu bestimmt sind, das Verhalten oder die Leistung der Mit- arbeiter zu überwachen. Dies ist bspw. bei der Installation von Videokameras oder der Einführung von Telekommunikationssystemen der Fall und soll vor allem dem Per- sönlichkeitsschutz der Arbeitnehmer dienen.⁹³ Daneben enthält das BetrVG ebenso Rechte des Arbeitnehmers. So gibt § 83 I BetrVG dem Arbeitnehmer das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen.⁹⁴ Das Einsichtsrecht besteht sogar in Betrieben ohne Betriebsrat, da es über einen ausschließlich individualrechtli- chen Charakter verfügt.⁹⁵

3.3 Richterrecht

Vor dem Hintergrund, dass der Gesetzgeber bisher keine spezifische Regelung zum Beschäftigtendatenschutz verabschiedet hat, ist es lange Zeit die Aufgabe der Gerichte gewesen, in diesem Bereich Recht zu schaffen.⁹⁶ Somit hat sich im Laufe der Jahre ein überaus differenziertes Richterrecht zu dieser Materie entwickelt.⁹⁷ Es sind dabei unter anderem Entscheidungen ergangen:

- zum Umgang mit der Personalakte und den Mitarbeiterdaten,
- zum heimlichen Mithören von Telefongesprächen,
- zum Fragerecht des Arbeitgebers oder
- zur Videoüberwachung am Arbeitsplatz.

Nach der Darstellung der gegenwärtigen Regelungen soll im kommenden Abschnitt ein kurzer Einstieg in den Gesetzesentwurf zum Beschäftigtendatenschutz gegeben werden.

3.4 Das neue BDSG-E

Der Gesetzesentwurf zum BDSG-E geht auf eine Erklärung im Koalitionsvertrag der aktuellen Bundesregierung aus dem Jahre 2009 zurück, in der es heißt: „Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden.“⁹⁸ Des Weiteren hat die schwarzgelbe Koalition vereinbart, das Bundesdatenschutzgesetz lesbarer und verständlicher zu machen.⁹⁹ An diesen Zielen wird das BDSG-E also zu messen sein.

Die Hauptaufgabe des Entwurfs ist die Gewährleistung eines angemessenen Schutzes der Arbeitnehmer vor überzogener Datenerhebung, -verarbeitung und -nutzung sowie vor unangemessener Kontrolle und Überwachung bei gleichzeitiger Beachtung des Informationsinteresses der Arbeitgeber.¹⁰⁰

Zu diesem Zweck wurde der bisherige § 32 BDSG durch die § 32 bis § 32l BDSG-E ersetzt. Diese neuen Paragrafen erstrecken sich auf mehrere spezifische Problembereiche und behandeln dabei insbesondere:

-den Umgang mit Bewerberdaten einschließlich der ärztlichen Einstellungsun- tersuchungen und Eignungstests (§§ 32 bis 32b),
-die Datenerhebung, -verarbeitung und -nutzung im Beschäftigungsverhältnis (§§ 32c bis 32d),
-die Aufdeckung und Verhinderung von Straftaten im Beschäftigungsverhältnis (§ 32e),
-die Videoüberwachung, den Einsatz von Ortungssystemen und biometrischen Verfahren (§§ 32f bis 32h),
-die Nutzung von Internet, Telefon und E-Mail (§ 32i) sowie
-den Umgang mit Einwilligungen und den Betriebsvereinbarungen (§ 32l).

Zusammenfassend lässt sich festhalten, dass sich die Bundesregierung durch diese Normen vor allem mit den jüngst öffentlich gewordenen Sünden der Großkonzerne aus den letzten Jahren auseinandergesetzt hat und hierzu entsprechende Regelungen in Gesetz zu gießen versucht. Welche Auswirkungen die Neuregelungen des BDSG-E haben und was sich hierdurch für die Unternehmen verändert, soll im nächsten Kapitel dieser Arbeit beleuchtet werden.¹⁰¹

4 Problembereiche

In der Praxis hat der Beschäftigtendatenschutz seit einiger Zeit unzählige Fragen auf- geworfen, die aus Sicht der Arbeitsvertragsparteien bisher nur unbefriedigend bzw. unvollständig gelöst sind. Diesen Rechtsunsicherheiten bspw. bei der Compliance, dem Einstellungsverfahren, der Videoüberwachung sowie in einigen weiteren Berei- chen hat sich der Gesetzesentwurf jetzt angenommen und versucht beiden Vertrags- parteien die nötigen Rechtsgrundlagen hierzu an die Hand zu geben. Die Vielfalt und Komplexität der Thematik bedingen dabei, dass dieser Abschnitt nicht sämtliche As- pekte des Entwurfs behandeln kann, sondern auf besonders wichtige und kontroverse Einzelfragen beschränkt werden muss.

Aus diesem Grund sollen im Rahmen dieser Arbeit nur die folgenden Problemfelder thematisiert werden:

- Einwilligung als Rechtfertigungsinstrument
- Betriebsvereinbarungen im Beschäftigtendatenschutz
- Beschäftigtendatenschutz im Bewerbungsverfahren
- Fragerecht des Arbeitgebers
- Einstellungsuntersuchungen und Eignungstests
- Background-Checks und Soziale Netzwerke  Überwachung und Kontrolle der Arbeitnehmer
- Beschäftigtendatenschutz vs. Compliance
- Videoüberwachung
- Kontrolle von Telefon, Internet und E-Mail

Hierzu wird nach einer bündigen Darstellung der bisherigen die neue Rechtslage vorgestellt und abschließend eine Bewertung der Neuerungen mit entsprechenden Empfehlungen und Umsetzungsvorschlägen für die Unternehmen vorgenommen.

4.1 Einwilligung als Rechtfertigungsinstrument

Zur Legitimation einer Datenerhebung oder -verwendung greifen Unternehmen ge- genwärtig oftmals auf das Rechtfertigungsinstrument der Einwilligung zurück, denn auf diese Weise kann das potenzielle Risiko vermieden werden, dass eine gesetzliche Rechtfertigungsgrundlage unter Umständen doch nicht einschlägig ist. Allerdings ist die Funktion der Einwilligung im Arbeitsverhältnis bereits nach derzeitiger Rechtsla- ge nicht gänzlich unumstritten.¹⁰² Daher hat sich der Gesetzgeber sein Reformvorha- ben zum Anlass genommen, die Einsatzfähigkeit dieses Instrumentes zu überdenken.

4.1.1 Rechtliche Ausgestaltung

Ist eine Erhebung oder Verarbeitung von personenbezogenen Daten nicht durch eine Rechtsnorm gestattet, ist nach bisheriger Rechtslage eine Zustimmung durch den be- troffenen Arbeitnehmer erforderlich.¹⁰³ Da es sich in diesem Fall um eine Einwilli- gung handelt, muss sie gem. § 183 BGB vor der datenschutzrechtlichen Maßnahme erteilt werden, da diese ansonsten unwirksam wäre.¹⁰⁴ Die Einwilligung ist im Daten-schutzrecht als Erlaubnisnorm und Steuerungsinstrument in § 4 I BDSG manifestiert. Sie stellt damit eine der Durchbrechungen des Verbotsprinzips der Erhebung von per- sonenbezogenen Daten dar.¹⁰⁵ Die inhaltlichen und formalen Anforderungen an eine Einwilligung, die vordergründig aus der Umsetzung der EG-Datenschutzrichtlinie¹⁰⁶ entsprungen sind, haben zudem in § 4a BDSG eine eigenständige Regelung erfah- ren.¹⁰⁷ Diese Regelungen sollen dem Schutz des informationellen Selbstbestimmungs- rechts dienen, weil jeder Einzelne grundsätzlich frei bestimmen können soll, wem er seine Daten zugänglich macht und wem nicht.¹⁰⁸ Um dies zu gewährleisten, hat der Gesetzgeber in § 4a I 1 BDSG festgeschrieben, dass eine Einwilligung nur wirksam ist, sofern sie auf der freien Entscheidung des Betroffenen beruht.¹⁰⁹ Damit er diese auch frei treffen kann, sind ihm ferner gem. § 4a I 2 BDSG vorab gewisse Informatio- nen mitzuteilen.¹¹⁰

Es ist jedoch fraglich, ob diese Freiwilligkeit im Arbeitsrecht, insbesondere vor der Begründung sowie während eines Arbeitsverhältnisses aufgrund der regelmäßig un- gleichen Machtverteilung zwischen Arbeitnehmer und Arbeitgeber, überhaupt gege- ben ist.¹¹¹ Besonders deutlich wird dies schon in der Anbahnungsphase eines Arbeits- verhältnisses. Man stelle sich einmal vor, ein Bewerber würde die Einwilligung in die eigentlich nicht gestattete Erhebung von bestimmten personenbezogenen Daten oder etwa eine Einstellungsuntersuchung verweigern. Die Chancen dieses Arbeitnehmers auf eine Anstellung würden zweifelsfrei gegen null tendieren. Der Arbeitgeber verfügt in diesem Fall also über eine so starke wirtschaftliche Machtposition, dass er den Be- werber quasi zu einer Einwilligung zwingt.¹¹² Ähnlich ist die Situation während eines Arbeitsverhältnisses. Auch in diesem Fall werden sich die Arbeitnehmer zweimal überlegen, ob sie im Zweifelsfall ihre Zustimmung verweigern. Zwar werden sie hier- durch nicht sofort ihren Arbeitsplatz verlieren, allerdings werden sie dennoch Miss-trauen beim Arbeitgeber wecken, getreu dem Motto: Wer nichts herzeigen möchte, der hat gewiss etwas zu verbergen. Nach diesen Ausführungen erscheint es überaus problematisch, die Erhebung und Verwendung von personenbezogenen Daten im Ar- beitsverhältnis auf eine Einwilligung zu stützen.¹¹³ Die Anforderungen an die rechts- sichere Ausgestaltung einer Einwilligung liegen deutlich höher als in anderen Rechts- bereichen, weshalb die Unternehmen hier besondere Sorgfalt walten lassen müssen. Durch den neuen Gesetzesentwurf werden diese hohen rechtlichen Anforderungen sogar noch weiter verschärft, denn dieser sieht in § 32l I BDSG-E eine Beschränkung der Einwilligungsmöglichkeit vor. Danach ist eine Einwilligung des Beschäftigten im Rahmen der §§ 32 ff. BDSG-E im Gegensatz zu § 4 I BDSG nur noch möglich, wenn dies im Gesetz ausdrücklich vorgesehen ist.¹¹⁴ Das ist unter anderem der Fall in:

-§ 32 VI BDSG-E - Erhebung von Daten bei sonstigen Dritten,
-§ 32a I 2 BDSG-E - Ärztliche Untersuchungen,
-§ 32a II 2 BDSG-E - Eignungstests,
-§ 32h I 2 BDSG-E - Lichtbilder eines Beschäftigten sowie
-§ 32i II BDSG-E - Nutzung von Telefondiensten.

4.1.2 Verfassungsrechtliche Bedenken

Die geplante Regelung wirft allerdings verfassungsrechtliche Bedenken auf.¹¹⁵ Durch die generelle Abschaffung der Einwilligung in § 32l I BDSG-E werden die Beschäf- tigten datenschutzrechtlich nahezu entmündigt, da sie über ihr informationelles Selbstbestimmungsrecht nicht mehr eigenständig entscheiden können.¹¹⁶ Das Recht auf informationelle Selbstbestimmung ist eine Ausprägung des allgemeinen Persön- lichkeitsrechts und über dieses kann der Betroffene grundsätzlich selbst verfügen.¹¹⁷ Folglich gelten auch hier die Grundsätze der Grundrechtsausübung, insbesondere des Grundrechtsverzichts, so dass eine Einwilligung in Eingriffe und Beeinträchtigungen der individuellen Verfügbarkeit einer Grundrechtsposition prinzipiell gestattet sein muss.¹¹⁸ So gibt es durchaus Fälle, in denen die Beschneidung der Einwilligungsmög- lichkeit nicht der Interessenlage von Beschäftigten gerecht wird, da sie nicht nur zu ihren Gunsten, sondern eher zu ihrem Nachteil wirken.¹¹⁹ Beispielhaft seien hier die Veröffentlichung von wissenschaftlichen Arbeiten durch Forscher auf der Homepage ihrer Institution zwecks eines Kontaktausbaus im Wissenschaftsbetrieb sowie eine vorübergehende Videoüberwachung zur Aufklärung anhaltender Diebstähle aufge- führt.¹²⁰ Aus welchem Grund sollen also Einwilligungen als Rechtfertigungsinstru- mente in solchen Fällen ausgeschlossen sein, wenn sie für den Beschäftigten überwie- gend positiv sind?

4.1.3 Europarechtliche Bedenken

Bedenken bestehen zudem hinsichtlich der Vereinbarkeit mit europarechtlichen Vorgaben. Zwar lässt der Gesetzgeber in seiner Entwurfsbegründung verlauten, dass der § 32l I BDSG-E mit den Regelungen der EG-Datenschutzrichtline¹²¹ im Einklang steht,¹²² dennoch wird dies im Schrifttum kontrovers diskutiert:

Vereinzelt findet die Ansicht des Gesetzgebers auch in der Literatur Anklang. Danach könne eine Datenverarbeitung nach Art. 7 lit. a) der EG-Datenschutzrichtline durch eine Einwilligung erlaubt werden. Sie sei jedoch nicht zwingend einzuräumen, sofern sie entgegen der Definition des Art. 2 lit. h) der EG-Datenschutzrichtline¹²³ nicht ohne Zwang erfolge. Da im Arbeitsverhältnis regelmäßig von einem gewissen Zwang aus- zugehen sei, könne eine Einschränkung der Einwilligungsmöglichkeit daher in einer generell-abstrakten Regelung vorgesehen werden.¹²⁴ Dies hat der Gesetzgeber mit § 32l BDSG-E auch getan.

Diese Meinung teilt der Großteil des Schrifttums jedoch nicht. Sie sehen diese Be- schränkung als klar unionsrechtswidrig an.¹²⁵ Sie sei mit Art. 7 lit. a) der EG- Datenschutzrichtlinie gerade nicht vereinbar, da dieser die Einwilligungsmöglichkeit ausnahmslos anerkenne. Daran könne auch die Definition in Art. 2 lit. h) der EG- Datenschutzrichtlinie nichts ändern, denn selbst wenn eine Einwilligung im Arbeits- verhältnis nicht in jedem Fall ohne Zwang erteilt sein möge, so bleibe sie stets eine Frage des konkreten Einzelfalls, die einer generell-abstrakten Regelung nicht zugänglich sei.¹²⁶ Insbesondere bei Einzelmaßnahmen bilde die Einwilligung ein wichtiges Rechtfertigungsinstrument.¹²⁷

In Anbetracht des Zwecks der EG-Datenschutzrichtlinie kann diese Sicht nur Zustim- mung finden, denn wie aus den Erwägungsgründen 8 und 9 der Richtlinie deutlich wird, soll sie innerhalb des europäischen Marktes für die Unternehmen ein „level playing field“ im Bereich des Datentransfers schaffen.¹²⁸ Die Beschränkung der Ein- willigungsmöglichkeit des § 4a BDSG würde diesem Ziel zuwiderlaufen, wozu auch auf europarechtlicher Ebene eine Rechtfertigung erforderlich wäre.¹²⁹ Diesbezüglich ist in diesem Fall jedoch nichts ersichtlich. Eine Abweichung wäre zudem nur mög- lich, wenn die EG-Datenschutzrichtlinie nur eine Mindest- nicht jedoch eine Vollhar- monisierung bewirken soll. Bei einer Mindestharmonisierung sind die Mitgliedsstaa- ten verpflichtet, ein Schutzniveau zu errichten, das zumindest dem aus der Richtlinie entspricht, während die Vollharmonisierung eine Abweichung von den materiellen Vorgaben einer Richtlinie verbietet.¹³⁰ Der EuGH hat hierzu bereits mehrfach und auch überzeugend entschieden, dass es sich bei der Datenschutzrichtlinie um eine Vollharmonisierung handelt.¹³¹ Demnach kann der deutsche Gesetzgeber nicht einfach von den Vorgaben der Richtlinie abweichen und deren Rechtfertigungsgründe ein- schränken.¹³²

4.1.4 Bewertung

Die Einschränkung auf gewisse Einzelfälle verfolgt einen begrüßenswerten Ansatz, da sie versucht die Zulässigkeit von Einwilligungen im Bereich des Arbeitnehmerdaten- schutzes eindeutig zu regeln. Die Ausgestaltung dieses Ansatzes vermag jedoch so- wohl vor dem Hintergrund verfassungsrechtlicher als auch europarechtlicher Überle- gungen nicht zu überzeugen. Ganz im Gegenteil ist bei einer richtlinienwidrigen Re- form des BDSG schlimmstenfalls gar mit einem Vertragsverletzungsverfahren gem. Art. 258 ff. AEU (Ex Art. 226 ff. EG) zu rechnen.¹³³ Außerdem handelt es sich in den ausgewählten Einzelfällen typischerweise um Situationen, in denen es an der erforder- lichen Freiwilligkeit mangelt.¹³⁴ Sei es in den Fällen vor Abschluss eines Arbeitsver- hältnisses oder währenddessen: Stets wird der Betroffene seine Einwilligung lieber erteilen, bevor er negative Konsequenzen durch eine Verweigerung in Kauf nimmt. Die geforderte Freiwilligkeit kann hierbei also stets angezweifelt werden. Auch ist die Freiwilligkeit bereits seit längerer Zeit als Problem der Einwilligungen im Arbeitsrecht bekannt. Folglich hätte der Gesetzgeber doch diese Novellierung zum Anlass nehmen können, genau festzuschreiben, wie eine rechtswirksame Einwilligung auszusehen hat. So schlägt Forst etwa vor, die formalen Anforderungen (z.B. unauf- geforderte Mitteilung der Folgen einer verweigerten Einwilligung) zu erhöhen und eine freiwillige Entscheidung der Betroffenen durch gewisse Verfahren (z.B. Unter- stützung durch Mitglieder der Mitarbeitervertretung) zu gewährleisten.¹³⁵ Eine andere Möglichkeit wäre eine gesetzliche Konkretisierung von gewissen Mindestanforderun- gen an die Freiwilligkeit einer Einwilligung im Beschäftigtendatenschutz. Hiermit wäre der Rechtssicherheit viel mehr geholfen als eine Reduzierung auf festgeschrie- bene Fälle, in denen die Freiwilligkeit von vornherein kaum gegeben sein wird. Trotz der aufgeführten Bedenken hat der Gesetzgeber diesen Ansatz gewählt. Warum versuchen Novara und Ohrmann zu erläutern. Sie sehen einen möglichen Hintergrund für die Regelung des § 32l I BDSG-E in der Befürchtung der Bundesregierung, dass einige Unternehmen die neuen Vorschriften zum Beschäftigtendatenschutz durch um- fassende Einwilligungserklärungen zu umgehen versuchen.¹³⁶ Doch sollte die Freiwil- ligkeit künftig durch die eben genannten Maßnahmen gewährleistet sein, so kann eine Datenerhebung oder -verwendung auf der Grundlage einer Einwilligung stets nur auf Wunsch der Beschäftigten erfolgen. Aus diesem Grund ist dem Gesetzgeber anzura- ten, die Beschränkung auf diese Einzelfälle noch einmal zu überdenken. Ferner ist zu bemängeln, dass der Gesetzgeber im Entwurf nicht geregelt hat, welche Rechtsfolgen den Arbeitgeber erwarten, sollte er in den nun verbliebenen Fällen Daten ohne die Einwilligung des Betroffenen erheben.¹³⁷ Lehnt ein Arbeitgeber also bspw. einen Bewerber aufgrund solcher Daten ab, würde dies für ihn ohne Folgen bleiben.

Daher wäre die Aufnahme einer diesbezüglichen Regelung in die §§ 32 ff. BDSG-E wünschenswert.

Abschließend betrachtet ist es schon erstaunlich, dass die Bundesregierung die Einwilligung in ihrem Koalitionsvertrag noch als „wesentliche Säule des informationellen Selbstbestimmungsrechts“¹³⁸ betrachtete und nunmehr deren Einsatz als Rechtfertigungsinstrument dermaßen beschränkt. Diese Beschränkung wird den Interessen beider Arbeitsvertragsparteien nicht gerecht und sollte daher nochmals überdacht werden. Lässt sich der Gesetzgeber dennoch nicht von seiner Haltung abbringen, so wäre zumindest für diejenigen Fälle, in denen eine Erhebung oder Verarbeitung personenbezogener Daten für die Beschäftigten nur vorteilhaft wäre,¹³⁹ eine Art Generalklausel denkbar. Weiterhin könnten Einwilligungen in solchen Situationen erlaubt sein, in denen Beschäftigte z.B. von sich aus initiativ werden.¹⁴⁰

4.1.5 Handlungsempfehlungen und Umsetzungsvorschläge

- In Anbetracht der vorherstehenden Ausführungen sind im Beschäftigtendaten-schutz hinsichtlich der Verwendung von Einwilligungen einige Veränderungen für die Unternehmen zu erwarten. So sollten die Unternehmen zunächst überprü- fen, in welchen Bereichen Einwilligungen zur Erhebung, Verarbeitung oder Nut-zung von Beschäftigtendaten derzeit zum Einsatz kommen. Diese Überprüfung ist sodann mit den verbliebenen zulässigen Tatbeständen¹⁴¹ abzugleichen. In diesen Bereichen kann die Einwilligung weiterhin als Rechtfertigungsgrundlage verwen-det werden. Demgegenüber ist der Gebrauch in den nunmehr unzulässigen Berei- chen zukünftig einzustellen, um eine rechtswidrige Verwendung von Einwilli- gungserklärungen zu vermeiden. Es sollte jedoch die Rechtsentwicklung stets ver-folgt werden, da aufgrund des noch laufenden Gesetzgebungsverfahren und der geäußerten Bedenken diesbezüglich noch mit Veränderungen zu rechnen ist.

- Um zudem ein Zeichen für die Unterstützung eines besseren Beschäftigtendaten- schutzes zu setzen, hätten Unternehmen die Möglichkeit die von Forst vorge- schlagenen Verfahren zur Verbesserung der Freiwilligkeit einer Einwilligungser- klärung ohne gesetzliche Verpflichtung zu implementieren.

4.2 Betriebsvereinbarungen im Beschäftigtendatenschutz

Das jahrelange Fehlen expliziter Regelungen zum Datenschutz im Arbeitsverhältnis hat dazu geführt, dass in der Praxis oftmals eigene Schutzregelungen in Form von Betriebsvereinbarungen abgeschlossen worden sind.¹⁴² Die hohe Bereitschaft der Ar- beitgeber zum Abschluss solcher Vereinbarungen lässt sich insbesondere mit dem deutlichen Plus an Rechtssicherheit im Bereich des Arbeitnehmerdatenschutzes be- gründen.¹⁴³

4.2.1 Rechtliche Ausgestaltung

Nach dem Prinzip des Verbots mit Erlaubnisvorbehalt ist gem. § 4 I BDSG die Erhe- bung, Verarbeitung und Nutzung von personenbezogenen Daten verboten, sofern sie nicht durch eine andere Rechtsvorschrift gestattet ist.¹⁴⁴ Nach praktisch einhelliger Meinung der Literatur und ständigen Rechtsprechung stellt eine Betriebsvereinbarung eine solche Rechtsvorschrift i.S.d. § 4 I BDSG dar.¹⁴⁵ Das BAG vertritt dabei sogar die Auffassung, dass Betriebsvereinbarungen nach derzeitiger Rechtslage nicht nur von den Regelungen des BDSG abweichen, sondern den Datenschutzstandard des BDSG auch unterschreiten dürfen.¹⁴⁶ Diese Rechtsprechung fand im arbeitsrechtli- chen Schrifttum¹⁴⁷ durchaus Zuspruch, wurde in der datenschutzrechtlichen Litera- tur¹⁴⁸ allerdings ebenso kritisch wahrgenommen.¹⁴⁹

Bedenken sind in Bezug auf diese Unterschreitungsmöglichkeit durchaus verständlich, jedoch gilt es hierbei zu berücksichtigen, dass beim Aushandeln von Betriebsverein- barungen stets die Arbeitnehmervertretungen beteiligt sind. Dadurch werden die Ar- beitnehmer grundsätzlich vor grenzenlosen Eingriffen in ihr Recht auf informationelle Selbstbestimmung geschützt, weil die Betriebsparteien gem. § 75 II BetrVG die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben.¹⁵⁰ Sie sind deshalb angehalten, den Kernbereich der privaten Lebensgestaltung sowie das Verhältnismäßigkeitsprinzip fortwährend zu beachten.¹⁵¹ Im Ergebnis wird also regelmäßig ein angemessener Umgang mit Beschäftigtendaten gewährleistet sein, wobei die Betriebsvereinbarungen jedoch einen „um einige Pegel- striche großzügigeren Maßstab“¹⁵² als die Wertungen des BDSG anlegen dürfen. Beim erstmaligen Lesen des neuen Gesetzesentwurfs erscheint es so, als wenn sich an der bisherigen Rechtslage nichts verändert hat, denn gleich zu Beginn stellt der Ge- setzgeber im neuen § 4 I 2 BDSG-E nunmehr auch gesetzlich klar, dass Betriebsver- einbarungen als jene Rechtsvorschriften zu klassifizieren sind, die eine Datenerhe- bung, -nutzung und -verarbeitung rechtfertigen können.¹⁵³ In der Gesetzesbegründung zu § 4 I 2 BDSG-E führt der Gesetzgeber ferner aus, dass mit dieser Klarstellung we- der eine Einschränkung noch eine Erweiterung der Möglichkeiten gegenüber der jet- zigen, durch die Rechtsprechung geprägten, Rechtslage erfolgt sei.¹⁵⁴ Daraus lässt sich schließen, dass die Option der Handhabe des betrieblichen Datenschutzes durch pra- xisgerechte Ausgestaltungen in Betriebsvereinbarungen weiter fortbestehen soll. Zu- dem besagt § 32l III BDSG-E, dass die Rechte der Interessenvertretungen in Folge der Reform unberührt bleiben.¹⁵⁵ Dem Vernehmen nach erfahren die Betriebsräte somit keine Beschränkung ihrer Beteiligungsrechte.

Diese Ausführungen konterkariert nun allerdings § 32l V BDSG-E, wonach von den Vorschriften der §§ 32 ff. BDSG-E nicht zu Ungunsten der Beschäftigten abgewichen werden darf.¹⁵⁶ Entgegen der Gesetzesbegründung des neuen § 4 I 2 BDSG-E werden hierdurch also doch die bisherige Sichtweise der Rechtsprechung und demzufolge auch die Rechte der Interessenvertretung eingeschränkt.

4.2.2 Bewertung

Auf der einen Seite ist diese Regelung durchaus zu begrüßen, denn die Abwei- chungsmöglichkeit unter die gesetzlichen Standards kann zu einer Ungleichbehand- lung zwischen Beschäftigten von Betrieben mit und ohne Betriebsrat führen. In be- triebsratslosen Betrieben wären die Beschäftigten somit unter Umständen einem bes-seren Beschäftigtendatenschutz ausgesetzt als in Betrieben, die über einen Betriebsrat verfügen. Des Weiteren besteht die Gefahr, dass Arbeitgeber mit einer deutlich größeren Machtposition als ihr Betriebsrat ihre Vorstellungen zum Datenschutz einseitig durchsetzen können. Daher stimmt auch DGB-Chef Sommer der geplanten Neuregelung zu, denn die Untergrenze des erforderlichen Schutzes der Beschäftigten müsse durch den Gesetzgeber und nicht durch die Betriebsparteien festgelegt werden.¹⁵⁷ Diesen Befürchtungen kann jedoch entgegengesetzt werden, dass nach § 75 II BetrVG sowohl die Betriebsräte als auch die Arbeitgeber dazu verpflichtet sind, stets für einen ausreichenden Schutz der Beschäftigten zu sorgen.¹⁵⁸

Auf der anderen Seite hat das Verbot der Unterschreitung die negative Folge, dass im Einzelfall betriebsnähere und sachgerechtere Ausgestaltungen des Beschäftigtenda- tenschutzes erheblich erschwert werden.¹⁵⁹ Wie Seifert zutreffend ausführt, stellt sich also die Frage, wieso Betriebsvereinbarungen durch die Neuschaffung des § 4 I 2 BDSG-E in den Olymp der legalisierenden Rechtsvorschriften aufgenommen werden, wenn sie nur dann als Rechtsgrundlage taugen, soweit sie den durch andere, vorgeb- lich gleichrangige Rechtsgrundlagen errichteten Limes nicht übertreten dürfen.¹⁶⁰ Als weitere Konsequenz ist ferner zu befürchten, dass durch diese Einschränkung auch die Verhandlungsbereitschaft der Arbeitgeber negativ beeinflusst wird. Diesen wird nun- mehr jegliche Abweichung zum Nachteil der Belegschaft gesetzlich untersagt, wodurch ihnen de lege ferenda bei der Aushandlung einer Datenschutz- Betriebsvereinbarung die Hände gebunden werden.¹⁶¹ Nicht zuletzt entspricht es durchaus der arbeitsrechtlichen Übung, Gesetze zur Abdingbarkeit durch Betriebsver- einbarungen zu öffnen.¹⁶²

Sollte der Gesetzgeber diese Regelung dennoch beibehalten wollen, so ist ihm anzura- ten im weiteren Gesetzgebungsverfahren klarzustellen, dass er die Betriebsparteien hierdurch keineswegs entmündigen will, sondern hervorzuheben, dass sie bspw. für die betriebsspezifische Konkretisierung der unbestimmten Rechtsbegriffe im Arbeit- nehmerdatenschutz, wie etwa die „Erforderlichkeit“, die „Verhältnismäßigkeit“ oder „betriebliche Gründe“, mit Hilfe von Betriebsvereinbarungen eine gewichtige Rolle spielen.¹⁶³ Auf jeden Fall ist dafür Sorge zu tragen, dass mit der Regelung betriebsautonome Lösungen nicht verhindert werden, denn dem Ziel des praxisnahen Arbeitnehmerdatenschutzes genügen Betriebsvereinbarungen in den meisten Fällen besser und nachhaltiger als gesetzliche Regelungen.¹⁶⁴

Zu beachten bleibt allerdings, dass Betriebsräte auch nach einer Verabschiedung des Gesetzesentwurfs in gewissen Bereichen des Beschäftigtendatenschutzes über ein Mitbestimmungsrecht verfügen. So ist nach § 87 I Nr.6 BetrVG z.B. bei der Installati- on von Videokameras oder der Einführung von Telekommunikationssystemen auch weiterhin eine Zustimmung des Betriebsrats erforderlich.¹⁶⁵ Demnach werden auch künftig diesbezügliche Betriebsvereinbarungen ausgehandelt und abgeschlossen, nur mutmaßlich keine unterhalb des Datenschutzniveaus der gesetzlichen Regelungen.

4.2.3 Handlungsempfehlungen und Umsetzungsvorschläge

- Diese Rechtsentwicklung kann zum Teil erhebliche Auswirkungen haben, denn entsprechend der bisherigen Rechtslage gibt es mittlerweile unzählige Betriebs- vereinbarungen, die im Bereich des Arbeitnehmerdatenschutzes in vertretbarem Maße den Schutzstandard des BDSG unterschreiten.¹⁶⁶ Die Praxis wird sich somit darauf einstellen müssen, sämtliche Betriebsvereinbarungen dahingehend zu überprüfen, ob sie von den gesetzlichen Neuregelungen auf irgendeine Art und Weise abweichen. Allerdings wird nicht nur diese Überprüfung für die Unter- nehmen einen großen Aufwand zur Folge haben, denn es hat sodann auch eine Anpassung der Vereinbarungen an die künftige Rechtslage durch die Betriebspar- teien zu erfolgen. Dies muss zudem zeitnah geschehen, denn der Gesetzentwurf enthält weder irgendwelche Schonfristen noch Übergangsvorschriften.¹⁶⁷

- Des Weiteren werden die Unternehmen gezwungen sein, ihren Datenschutzbeauf-tragten oder etwaige andere Beschäftigte in Hinsicht auf die Neuregelungen des Beschäftigtendatenschutzes zu schulen, um diese Überprüfungen überhaupt vor- nehmen zu können. Je nach Art und Umfang der vorhandenen Betriebsvereinba- rungen ist sogar zu empfehlen auf externe Hilfe bspw. durch Fachanwälte zurück- zugreifen.

[...]

---

¹ Zum Zwecke der leichteren Lesbarkeit wird auf die doppelte Nennung weiblicher und männlicher Bezeichnungen verzichtet. In dieser Arbeit sind stets sowohl männliche als auch weibliche Personen gemeint.

² Vgl. Behrens, WSI-Report 05/2010, S. 1 ff.

³ Erfasst wurden nur Betriebe mit Betriebsrat und mehr als 20 Beschäftigten.

⁴ Vgl. Behrens, WSI-Report 05/2010, S. 3 f.

⁵ Vgl. Kock/Francke, NZA 2009, S. 646; Gatzke (2009): Online im Internet.

⁶ Vgl. Scherer, MMR 2008, S. 433; Haustein-Teßmer (2008): Online im Internet.

⁷ Vgl. Oberwetter, NZA 2008, S. 609; Lill (2008): Online im Internet; Klopp (2010): Online im Internet.

⁸ In dieser Arbeit werden die Begriffe „Arbeitnehmerdatenschutz“ und „Beschäftigtendatenschutz“ synonym verwendet. Unter den Anwendungsbereich fallen daher gem. § 3 XI Nr. 7 BDSG auch Bewerber sowie Personen, deren Arbeitsverhältnis bereits beendet ist.

⁹ Vgl. BMI-Regierungsentwurf (2010): Online im Internet.

¹⁰ Vgl. Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230.

¹¹ Vgl. Künzel, AuA 2011, S. 210.

¹² Vgl. Weichert et al./Weichert (2007): Einleitung, Rn. 1; Vogelsang, CR 1995, S. 554; Faber, RDV 2003, S. 278; Wohlgemuth (1988): S. 5; Gola/Wronka (2010): Rn. 4.

¹³ Der Begriff „Datenschutz“ wird im Gesetz nicht ausdrücklich genannt, daher handelt es sich nicht um eine Legaldefinition im gesetzestechnischen Sinne.

¹⁴ Vgl. Küttner/Griese (2011): Datenschutz, Rn. 1; Bull (2009): S. 27 f.; Gola/Schomerus- Gola/Schomerus (2010): § 1 BDSG, Rn. 1; ErfK/Wank (2011): § 1 BDSG, Rn. 1.

¹⁵ Vgl. Bull (2009): S. 23 f.; Gola/Wronka (2010): Rn. 33.

¹⁶ Hessisches Datenschutzgesetz vom 07.10.1970, GVBl. I S. 625.

¹⁷ Vgl. Simitis, NJW 1998, S. 2473; Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 1.

¹⁸ Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (BDSG 1977) vom 27.01.1977, BGBl. I S. 201.

¹⁹ Vgl. Gola/Wronka (2010): Rn. 34.

²⁰ Vgl. Gola, NJW 1983, S. 915; NJW 1984, S. 1155; NJW 1985, S. 1196; NJW 1986, S. 1913; NJW 1987, S.1675; NJW 1988, S. 1637; Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 5, wonach dem Parlament insgesamt zehn Gesetzesentwürfe vorgelegen haben.

²¹ BVerfG Urt. v. 15.12.1983 (1 BvR 209/83) in: NJW 1984, S. 419.

²² Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983) vom 25.03.1982, BGBl. I S. 369.

²³ Vgl. BVerfG Urt. v. 15.12.1983 (1 BvR 209/83) in: NJW 1984, S. 419; Däubler (2010): Rn. 80.

²⁴ Vgl. Däubler (2010): Rn. 935; Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 7.

²⁵ Richtlinie 95/46/EG vom 24.10.1995, ABl. EG 1995 Nr. L281, S. 31.

²⁶ Vgl. zum Inhalt der Richtlinie Rüpke, ZRP 1995, S. 185.

²⁷ Vgl. Brühann/Zerdick, CR 1996, S. 429; Wohlgemuth, BB 1996, S. 690.

²⁸ Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze (BDSG 2001) vom 18.05.2001, BGBl. I S. 904.

²⁹ Vgl. Däubler (2010): Rn. 936.

³⁰ Vgl. Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 11.

³¹ Vgl. Gola/Wronka (2010): Rn. 40.

³² Vgl. Besgen/Prinz (2009): § 10, Rn. 6; Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 12.

³³ Vgl. Gola/Wronka (2010): Rn. 44.

³⁴ Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSGÄndG) vom 29.07.2009, BGBl. I S. 2254; Gesetz zur Änderung datenschutzrechtlicher Vorschriften (DSÄndG) vom 14.08.2009, BGBl. I S. 2814; Gesetz zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdiensterichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht (VerbrKredRLUG) vom 29.07.2009, BGBl. I S. 2355.

³⁵ Vgl. Däubler (2010): Rn. 939; Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 22 ff.

³⁶ Vgl. hierzu Kapitel 1.

³⁷ Vgl. Gola/Klug, NJW 2010, S. 2485; Däubler (2010): Rn. 182a; Gola/Wronka (2010): Rn. 49.

³⁸ Vgl. Beschlussempfehlung und Bericht des BT-Innenausschusses vom 01.07.2009, BT-Drs. 16/13657, S. 34 f.; ErfK/Wank (2011): § 32 BDSG, Rn. 1; Thüsing, NZA 2009, S. 870.

³⁹ Vgl. Schmidt, DuD 2010, S. 208; ErfK/Wank (2011): § 32 BDSG, Rn. 1.

⁴⁰ Vgl. Stellungnahme des Bundesrates zum Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften vom 18.02.2009, BT-Drs. 16/12011, S. 66.

⁴¹ Vgl. Wank, in: FS Schnapp (2008): S. 850; zu den Anwendungsproblemen vgl. Däubler (2010): Rn. 183 ff.; Gola/Schomerus- Gola/Schomerus (2010): § 32 BDSG, Rn. 3.

⁴² Vgl. zur Kritik insbesondere Wybitul, BB 2010, S. 1085.

⁴³ Vgl. Empfehlung der Ausschüsse des Bundesrates zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 05.11.2010, BR-Drs. 535/2/10, S. 4.

⁴⁴ Vgl. Gola/Klug, NJW 2010, S. 2483; Deutsch/Diller, DB 2009, S. 1462; Wybitul, BB 2009, S. 1582; Gola/Wronka (2010): Rn. 56; ErfK/Wank (2011): Einleitung BDSG, Rn. 12.

⁴⁵ Vgl. hierzu auch Gola/Wronka (2010): Rn. 27 ff.

⁴⁶ Vgl. Empfehlung der Ausschüsse des Bundesrates zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 05.11.2010, BR-Drs. 535/2/10, S. 5.

⁴⁷ Vgl. ErfK/Wank (2011): Einleitung BDSG, Rn. 6.

⁴⁸ Vgl. Ipsen (2005): S. 30; Michalski (2005), S. 21; ErfK/Dieterich (2011): Einleitung zum GG, Rn. 25.

⁴⁹ Vgl. ErfK/Dieterich (2011): Art. 1 GG, Rn. 4; Seifert/Hömig- Antoni (2005): Art.1 GG, Rn. 20.

⁵⁰ Zur unterschiedlichen Bewertung dieser Frage vgl. Gola/Wronka (2010): Rn. 82 ff. m.w.N.

⁵¹ Vgl. BVerfG Beschl. v. 07.02.1990 (1 BvR 26/84) in: NJW 1990, S. 1470; BAG Urt. v. 22.10.1986 (5 AZR 660/85) in: NJW 1987, S. 2461; BAG Beschl. v. 27.02.1985 (GS 1/84) in: NJW 1985, S. 2968.

⁵² Vgl. hierzu auch Guckelberger, JuS 2003, S. 1151 ff.

⁵³ Vgl. Gola/Wronka (2010): Rn. 83 ff.; Gamillscheg (1989): S.28 ff.

⁵⁴ Vgl. MüHaAR/Richardi (2009): § 12, Rn. 35 f.

⁵⁵ Vgl. Ipsen (2005): S.46; ErfK/Wank (2011): Einleitung BDSG, Rn. 6.

⁵⁶ Vgl. ErfK/Wank (2011): Einleitung BDSG, Rn. 6.

⁵⁷ Vgl. Ipsen (2005): S.51.

⁵⁸ Vgl. BVerfG Urt. v. 15.12.1983 (1 BvR 209/83) in: NJW 1984, S. 422; BAG Beschl. v. 26.08.2008 (1 ABR 16/07) in: NZA 2008, S. 1189.

⁵⁹ Vgl. Wohlgemuth (1988): S. 6 m.w.N.

⁶⁰ Vgl. Däubler (2010): Rn. 77.

⁶¹ Vgl. BVerfG Urt. v. 15.12.1983 (1 BvR 209/83) in: NJW 1984, S. 419; ErfK/Wank (2011): Einleitung BDSG, Rn. 6.

⁶² Vgl. Bull (2009): S. 32; Besgen/Prinz (2009): § 10, Rn. 5.

⁶³ Vgl. BAG Urt. v. 27.03.2003 (2 AZR 51/02) in: NZA 2003, S. 1194; vgl. zudem §§ 22, 23, 33 KUG.

⁶⁴ Vgl. BGH Urt. v. 12.12.1995 (VI ZR 223/94) in: NJW 1996, S. 986; BGH Urt. v. 26.06.1979 (VI ZR 108/78) in: NJW 1996, S. 986; Däubler (2010): Rn. 19.

⁶⁵ Vgl. BGH Urt. v. 14.02.1958 (I ZR 151/56) in: NJW 1958, S. 829 f.; Seifert/Hömig- Antoni (2005): Art.1 GG, Rn. 14.

⁶⁶ Vgl. BGH Urt. v. 18.02.2003 (XI ZR 165/02) in: NJW 2003, S. 1728; BAG Urt. v. 29.10.1997 (5 AZR 508/96) in: NJW 1998, S. 1332.

⁶⁷ Vgl. Däubler (2010): Rn. 10.

⁶⁸ Vgl. BVerfG Urt. v. 27.02.2008 (1 BvR 370/07, 595/07) in: NJW 2008, S. 822; instruktiv Hoeren, MMR 2008,S. 365 ff.; Wedde, AuR 2009, S. 373 ff.

⁶⁹ Vgl. BVerfG Urt. v. 27.02.2008 (1 BvR 370/07, 595/07) in: NJW 2008, S. 824; Bull (2009): S. 35; Gola/Schomerus- Gola/Schomerus (2010): Einleitung, Rn. 27; Gusy, DuD 2009, S. 39.

⁷⁰ Vgl. Maunz/Dürig- Herzog (2011): Art. 5 GG, Rn. 81; Wente, NJW 1984, S. 1447.

⁷¹ Vgl. ErfK/Dieterich/Schmidt (2011): Art. 12 GG, Rn. 9.

⁷² Vgl. BVerfG Urt. v. 01.03.1979 (1 BvR 532, 533/77, 419/78, 1 BvL 21/78) in: NJW 1979, S. 708; Däubler (2010): Rn. 116; Jarass/Pieroth- Jarass (2006): Art. 12 GG, Rn. 8.

⁷³ Vgl. Maunz/Dürig- Papier (2011): Art. 14 GG, Rn. 55; Seifert/Hömig- Antoni (2005): Art. 14 GG, Rn. 3.

⁷⁴ Vgl. Däubler (2010): Rn. 115.

⁷⁵ Vgl. ErfK/Dieterich/Schmidt (2011): Art. 14 GG, Rn. 5; Schwarz (2003): S. 375; Maunz/Dürig- Papier (2011): Art. 14 GG, Rn. 95; Das BVerfG hat dies betont offengelassen und deutliche Zweifel geäußert, vgl. BVerfG Beschl. v. 22.05.1979 (1 BvL 9/75) in: NJW 1980, S. 384 ff.

⁷⁶ Vgl. BVerwG Beschl. v. 11.01.1983 (8 B 91/82) in: NJW 1983, S. 1810 f.; Maunz/Dürig- Papier (2011): Art. 14 GG, Rn. 95; Jarass/Pieroth- Jarass (2006): Art. 14 GG, Rn. 25.

⁷⁷ Vgl. Seifert/Hömig- Antoni (2005): Art. 12 GG, Rn. 2; Seifert/Hömig- Antoni (2005): Art. 14 GG, Rn. 1; Jarass/Pieroth- Jarass (2006): Art. 5 GG, Rn. 18.

⁷⁸ Vgl. Däubler (2010): Rn. 52 ff.; ErfK/Wank (2011): Einleitung BDSG, Rn. 8 ff.

⁷⁹ Vgl. Gola/Schomerus- Gola/Schomerus (2010): § 1 BDSG, Rn. 6; ErfK/Wank (2011): § 1 BDSG, Rn. 1; Erstellt ein Arbeitgeber z.B. eine Geburtstagsliste aus den Geburtsdaten aus der Lohnabrechnung, so ist diese Datenver- arbeitung ohne vorherige Einwilligung der Arbeitnehmer unzulässig, da sie für die Durchführung des Arbeitsver-trages nicht erforderlich ist.

⁸⁰ Vgl. Besgen/Prinz (2009): § 10, Rn. 6; Däubler, NZA 2001, S. 876.

⁸¹ Vgl. Gliss/Kramer (2006): S. 47; Besgen/Prinz (2009): § 10, Rn. 6.

⁸² Vgl. Gola/Wronka (2010): Rn. 236 f.; Maties, NJW 2008, S. 2219; Küttner/Griese (2011): Datenschutz, Rn. 5 f.

⁸³ Vgl. Küttner/Griese (2011): Datenschutz, Rn. 4.

⁸⁴ Auf der Grundlage des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften (DSÄndG) vom 14.08.2009, BGBl. I S. 2814.

⁸⁵ Vgl. Gola/Wronka (2010): Rn. 1070; ErfK/Wank (2011): § 32 BDSG, Rn. 2.

⁸⁶ Vgl. Wybitul, BB 2010, S. 1085; Gola/Schomerus- Gola/Schomerus (2010): § 32 BDSG, Rn. 10.

⁸⁷ Vgl. Beschlussempfehlung und Bericht des BT-Innenausschusses vom 01.07.2009, BT-Drs. 16/13657, S. 34.

⁸⁸ Vgl. ErfK/Wank (2011): § 32 BDSG, Rn. 1; Gola/Schomerus- Gola/Schomerus (2010): § 32 BDSG, Rn. 1.

⁸⁹ Zur Kritik am derzeitigen § 32 BDSG vgl. Kapitel 2.2.

⁹⁰ Vgl. ErfK/Wank (2011): Einleitung BDSG, Rn. 9; beispielhaft seien hier § 29 BbgDSG, § 20 BrDSG, § 28 HmbDSG, § 34 HessDSG sowie § 23 LDSG-SH angeführt.

⁹¹ Vgl. Richardi/Richardi (2010): § 75 BetrVG, Rn. 44; Oberwetter, NZA 2008, S. 612; Gola/Wronka (2010): Rn. 72, Däubler (2010): Rn. 698.

⁹² Für eine Übersicht vgl. Schaub/Koch- Schaub (2009): Datenschutz, V; ErfK/Wank (2011): Einleitung BDSG, Rn. 10; Gola/Wronka (2010): Rn. 1676.

⁹³ Vgl. Richardi/Richardi (2010): § 87 BetrVG, Rn. 478 ff.; Däubler (2010): Rn. 689 ff.; Altenburg/Reinersdorff/Leister, MMR 2005b, S. 223.

⁹⁴ Vgl. Kilian/Heussen- Weichert/Kilian (2010): 1. Abschnitt, Teil 13, Individueller Arbeitnehmerdatenschutz, Rn.30.

⁹⁵ Vgl. Richardi/Richardi (2010): § 83 BetrVG, Rn. 1 f.

⁹⁶ Vgl. Forst, NZA 2010b, S. 1043; Gliss/Kramer (2006): S. 18.

⁹⁷ Vgl. Kilian/Heussen- Weichert/Kilian (2010): 1. Abschnitt, Teil 13, Individueller Arbeitnehmerdatenschutz, Rn. 3.

⁹⁸ Koalitionsvertrag zwischen CDU, CSU und FDP der 17. Legislaturperiode vom 26.10.2009, S. 106.

⁹⁹ Vgl. Koalitionsvertrag zwischen CDU, CSU und FDP der 17. Legislaturperiode vom 26.10.2009, S. 105.

¹⁰⁰ Vgl. Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230,S. 1; Empfehlung der Ausschüsse des Bundesrates zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 05.11.2010, BR-Drs. 535/2/10, S. 5.

¹⁰¹ Unter dem Vorbehalt eventueller Änderungen im weiteren Gesetzgebungsverfahren.

¹⁰² Vgl. hierzu etwa Kort, MMR 2011, S. 299.

¹⁰³ Vgl. Gola/Schomerus- Gola/Schomerus (2010): § 4a BDSG, Rn. 2.

¹⁰⁴ Vgl. ErfK/Wank (2011): § 4a BDSG, Rn. 1.

¹⁰⁵ Vgl. hierzu Kapitel 3.2.1.

¹⁰⁶ Richtlinie 95/46/EG vom 24.10.1995, ABl. EG 1995 Nr. L281, S. 31.

¹⁰⁷ Vgl. Gola/Schomerus- Gola/Schomerus (2010): § 4a BDSG, Rn. 1; Däubler (2010): Rn. 135 ff.; Tinne- feld/Beisenherz, DuD 2011, S. 110 f.

¹⁰⁸ Vgl. BVerfG Urt. v. 02.03.2006 (2 BvR 2099/04) in: NJW 2006, S. 978.

¹⁰⁹ Vgl. Gola/Schomerus- Gola/Schomerus (2010): § 4a BDSG, Rn. 6 ff.; Raif/Rasmussen-Bonne, GWR 2011, S. 80; Däubler (2010): Rn. 150 ff.; Tinnefeld/Beisenherz, DuD 2011, S. 110.

¹¹⁰ So bspw. der Zweck der Erhebung und Verwendung der Daten sowie ein Hinweis auf die Folgen einer Verwei- gerung der Einwilligung, vgl. Tinnefeld/Beisenherz, DuD 2011, S. 111; Gola/Schomerus- Gola/Schomerus (2010): § 4a BDSG, Rn. 11 ff.; Jordan/Bissels/Löw, BB 2010, S. 2892 f.

¹¹¹ Vgl. Weichert et al./Weichert (2007): § 4a BDSG, Rn. 21; Däubler (2010): Rn. 152; Tinnefeld/Petri/Brink, MMR 2010, S. 729; Beckschulze/Natzel, BB 2010, S. 2374; Jordan/Bissels/Löw, BB 2010, S. 2892 f.; Haa- se/Heermann/Rottwinkel, DuD 2011, S. 86; Raif/Rasmussen-Bonne, GWR 2011, S. 80.

¹¹² So auch Körner (2010): Online im Internet, S. 5; Weichert et al./Weichert (2007): § 4a BDSG, Rn. 21; Haa- se/Heermann/Klügel, DuD 2010, S. 821.

¹¹³ Für nähere Ausführungen zur Freiwilligkeit vgl. Däubler (2010): Rn. 150 ff.; ErfK/Wank (2011): § 4a BDSG, Rn. 1.

¹¹⁴ Vgl. Beckschulze/Natzel, BB 2010, S. 2374; Schmidt/Jakob, DuD 2011, S. 89; Novara/Ohrmann, AuA 2011, S. 147; Haase/Heermann/Rottwinkel, DuD 2011, S. 86; Raif/Rasmussen-Bonne, GWR 2011, S. 80.

¹¹⁵ So auch Wybitul, MMR-Aktuell 2011, 315091.

¹¹⁶ Vgl. Beckschulze/Natzel, BB 2010, S. 2374; Novara/Ohrmann, AuA 2011, S. 147; Thüsing, RDV 2010, S. 148.

¹¹⁷ Vgl. BVerfG Urt. v. 15.12.1983 (1 BvR 209/83) in: NJW 1984, S. 419.

¹¹⁸ Vgl. ErfK/Dieterich (2011): Einleitung GG, Rn. 62; Maunz/Dürig- di Fabio (2011): Art. 2 GG, Rn. 228 f.; Thüsing, NZA 2011, S. 18.

¹¹⁹ Vgl. Novara/Ohrmann, AuA 2011, S. 147; Seifert, DuD 2011, S. 106.

¹²⁰ Vgl. Tinnefeld/Petri/Brink, MMR 2010, S. 729; Seifert, DuD 2011, S. 106; weitere Beispiele bei Beckschul- ze/Natzel, BB 2010, S. 2374; Thüsing, NZA 2011, S. 19.

¹²¹ Richtlinie 95/46/EG vom 24.10.1995, ABl. EG 1995 Nr. L281, S. 31.

¹²² Vgl. Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230,S. 12.

¹²³ Dieser definiert eine Einwilligung als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt”.

¹²⁴ Vgl. Körner (2010): Online im Internet, S. 5; Tinnefeld/Petri/Brink, MMR 2010, S. 729.

¹²⁵ Vgl. Forst, RDV 2010, S. 150; Thüsing, RDV 2010, S. 148; Schmidt/Jakob, DuD 2011, S. 89.

¹²⁶ Vgl. Lelley/Müller, RDV 2011, S. 65; Raif/Rasmussen-Bonne, GWR 2011, S. 80; Haase/Heermann/Rottwinkel, DuD 2011, S. 86; Forst, NZA 2010b, S. 1044.

¹²⁷ Vgl. Haase/Heermann/Rottwinkel, DuD 2011, S. 86; Forst, NZA 2010b, S. 1044.

¹²⁸ So auch Forst, RDV 2010, S. 150; ders. NZA 2010b, S. 1043; Thüsing, NZA 2011, S. 18.

¹²⁹ Vgl. Thüsing, NZA 2011, S. 18.

¹³⁰ Vgl. Callies/Ruffert- Kahl (2007): Art. 94 EG, Rn. 5.

¹³¹ Vgl. EuGH Urt. v. 20.05.2003 (C-465/00, C-138/01 und C-139/01) in: EuR 2004, S. 282; EuGH Urt. v.16.12.2008 (C-524/06) in: EuZW 2009, S. 183; ausführlich auch Forst, RDV 2010, S. 151 f.

¹³² So im Ergebnis auch Brühann, EuZW 2009, S. 639.

¹³³ Vgl. hierzu Forst, RDV 2010, S. 153.

¹³⁴ Vgl. Thüsing, NZA 2011, S. 18; Tinnefeld/Petri/Brink, MMR 2010, S. 729.

¹³⁵ Für detailliertere Ausführungen vgl. Forst, RDV 2010, S. 154; Thüsing, RDV 2010, S. 148 f.

¹³⁶ Vgl. Novara/Ohrmann, AuA 2011, S. 147.

¹³⁷ Vgl. Heinson/Sörup/Wybitul, CR 2010, S. 753; Haase/Heermann/Rottwinkel, DuD 2011, S. 86.

¹³⁸ Koalitionsvertrag zwischen CDU, CSU und FDP der 17. Legislaturperiode vom 26.10.2009, S. 105.

¹³⁹ Vgl. hierzu Kapitel 4.1.2.

¹⁴⁰ So vorgeschlagen von Hornung (2011): Online im Internet, S. 5.

¹⁴¹ Vgl. hierzu die Auflistung in Kapitel 4.1.1.

¹⁴² Vgl. Beckschulze/Natzel, BB 2010, S. 2369; Rose, DuD 2011, S. 136.

¹⁴³ Vgl. Rose, DuD 2011, S. 136; Franzen, RdA 2010, S. 257.

¹⁴⁴ Vgl. hierzu Kapitel 3.2.1.

¹⁴⁵ Vgl. Thüsing, NZA 2011, S. 17 f.; Seifert, DuD 2011, S. 106; Rose, DuD 2011, S. 136; Brandt, DuD 2010, S. 214; Franzen, RdA 2010, S. 257; Taeger/Gabel- Taeger (2010): § 4 BDSG, Rn. 34 ff.; Beckschulze/Natzel, BB 2010, S. 2368; BAG Beschl. v. 27.05.1986 (1 ABR 48/84) in: NZA 1986, S. 643; BAG Beschl. v. 30.08.1995 (1 ABR 4/95) in: NZA 1996, S. 218; BAG Beschl. v. 20.12.1995 (7 ABR 8/95) in: NZA 1996, S. 945.

¹⁴⁶ Vgl. BAG Beschl. v. 27.05.1986 (1 ABR 48/84) in: NZA 1986, S. 643; BAG Beschl. v. 30.08.1995 (1 ABR 4/95) in: NZA 1996, S. 218; BAG Beschl. v. 20.12.1995 (7 ABR 8/95) in: NZA 1996, S. 945.

¹⁴⁷ Vgl. ErfK/Kania (2011): § 83 BetrVG, Rn. 11; Thüsing (2010): Rn. 105; ErfK/Wank (2011): § 4 BDSG, Rn. 3.

¹⁴⁸ Vgl. Gola/Schomerus- Gola/Schomerus (2010): § 4 BDSG, Rn. 10 f.; Franzen, RdA 2010, S. 257.

¹⁴⁹ Zur Darstellung der unterschiedlichen Auffassungen vgl. Brandt, DuD 2010, S. 214.

¹⁵⁰ Vgl. Thüsing, NZA 2011, S. 18; Beckschulze/Natzel, BB 2010, S. 2369.

¹⁵¹ Vgl. Seifert, DuD 2011, S. 107.

¹⁵² Thüsing, RDV 2010, S. 148.

¹⁵³ Vgl. Beckschulze/Natzel, BB 2010, S. 2368 f.; Seifert, DuD 2011, S. 106.

¹⁵⁴ Vgl. Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230,S. 14.

¹⁵⁵ Vgl. Körner (2010): Online im Internet, S. 13 f.; Seifert, DuD 2011, S. 106.

¹⁵⁶ Vgl. Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230,S. 22; Rose, DuD 2011, S. 136; Tinnefeld/Petri/Brink, MMR 2010, S. 729; Franzen, RdA 2010, S. 257; Beckschulze/Natzel, BB 2010, S. 2369.

¹⁵⁷ Vgl. Dpa-AFX (2011): Online im Internet.

¹⁵⁸ Vgl. Forst, NZA 2010b, S. 1044.

¹⁵⁹ So auch Tinnefeld/Petri/Brink, MMR 2010, S. 729; Franzen, RdA 2010, S. 257.

¹⁶⁰ Vgl. Seifert, DuD 2011, S. 107.

¹⁶¹ Vgl. Seifert, DuD 2011, S. 107.

¹⁶² Vgl. Thüsing, NZA 2011, S. 18.

¹⁶³ Vgl. Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230,S. 22, wonach dies wohl auch vom Gesetzgeber so gewollt ist.

¹⁶⁴ So auch BDI/BDA (2011): Online im Internet, S. 2.

¹⁶⁵ Vgl. Raif, ArbRAktuell 2010a, S. 359; Polenz/Thomsen, DuD 2010, S. 616.

¹⁶⁶ Vgl. Körner (2010): Online im Internet, S. 13 f.; Thüsing, RDV 2010, S. 148.

¹⁶⁷ Vgl. Seifert, DuD 2011, S. 107.