Lesen Sie hier den Artikel von Holger-Michael Arndt, geschrieben für das dbb magazin und in diesem veröffentlicht in der Ausgabe Januar/Februar 2024:

Handeln Sie rechtssicher im Sinne Ihrer Beschäftigten!

Im März 2023 hatte der Europäische Gerichtshof wenig überraschend entschieden, dass eine Norm des Hessischen Landesdatenschutzgesetz im Bereich des Beschäftigtendatenschutzes nicht den Vorgaben der Europäischen Datenschutzverordnung gemäß Art. 88 EU-DSGVO entsprechen dürfte. Die hessische Norm ist fast wortgleich mit dem § 26 des Bundesdatenschutzgesetzes, das grundlegend den Beschäftigtendatenschutz in Deutschland regelt.

Das Urteil des Europäischen Gerichtshofs wird sich damit auf die Anwendung des Datenschutzes in der gesamten Bundesrepublik spürbar auswirken.

Im konkreten Fall (EuGH, Urteil vom 30. März 2023 C – 34/21) war zwischen dem Hauptpersonalrat der Lehrerinnen und Lehrer und dem Hessischen Kultusministerium der Streit zu klären, ob die Lehrkräfte dem Livestream-Unterricht im Kontext von Online-Unterricht während der Corona-Pandemie hätten einwilligen müssen.

Die aktuelle Regelung des § 26 BDSG und damit auch die Norm des Hessischen Landesdatenschutzgesetzes ist angesichts der Fortschritte im Bereich der Technologie und der Künstlichen Intelligenz nicht mehr ausreichend. Die deutschen Normen sind zu vage und lassen einen zu großen Interpretationsspielraum zu und damit sind sie nicht klar, praktikabel und angemessen. Die Digitalisierung der Arbeitswelt ermöglicht eine zunehmende Überwachung der Beschäftigten und es besteht ein starkes Interesse an der Nutzung solcher technischen Möglichkeiten. Daher wächst das Bedürfnis der Beschäftigten nach einem angemessenen Schutz ihres Rechts auf informationelle Selbstbestimmung.

Es sind spezifische Regelungen für den Datenschutz von Beschäftigten in Deutschland erforderlich, um einen ausgewogenen Ausgleich zwischen den grundrechtlich geschützten Interessen der Arbeitgeberinnen und Arbeitsgebern und dem Recht auf informationelle Selbststimmung der Beschäftigten zu gewährleisten. Es ist dabei entscheidend, dass die nationalen Vorschriften das Ziel haben, die Rechte und Freiheiten der Beschäftigten zu schützen und geeignete Maßnahmen zur Wahrung der Menschenwürde, berechtigter Interessen und Grundrechte der betroffenen Personen zu ergreifen.

Es geht in der Praxis also um konkrete Schutzmaßnahmen, die auf die jeweiligen Sachverhalte der Datenverarbeitung zugeschnitten sind. Diese Maßnahmen können technischer, organisatorischer oder rechtlicher Gestalt sein.

Bereits im Koalitionsvertrag der aktuellen Bundesregierung wurde eine Verabredung zur Optimierung des Beschäftigtendatenschutzes vereinbart, dieser wurde aber bislang nicht umgesetzt. Schon im Rahmen des ersten Bundesdatenschutzgesetzes aus dem Jahr 1978 wurde der Beschäftigtendatenschutz sträflich vernachlässigt. Erst durch eine Korrektur im Jahre 2009 wurde versucht, die Lage für die Beschäftigten notdürftig zu verbessern.

Es ist also nicht das erste Mal, dass die Interessen der Beschäftigen – auch im öffentlichen Dienst – nicht ausreichend berücksichtigt werden. Die Konsequenzen, die aus dem nun aktuellen Urteil folgen, werden umfangreich sein und ein dringender Handlungsbedarf besteht schon heute.

Welche Bereiche bedürfen im Kontext des Beschäftigtendatenschutzes einer genaueren Betrachtung und einer angemessenen Regelung, die vielfach zum Nachteil der Beschäftigten nicht existiert?

Zuerst ist die alltägliche Frage nach der privaten Nutzung der Telefonie, des Internets und damit der E-Mail-Nutzung am Arbeitsplatz anzusprechen. Sollte die private Nutzung gestattet oder zumindest geduldet sein, sind die Kontrollrechte der Arbeitgeberinnen und Arbeitgeber oft bis auf Null reduziert, dennoch finden rechtswidrig u.a. Aufzeichnungen von Inhalten oder Protokollierungen von Verbindungsdaten statt.

Der Datenschutz hat in Bewerbungsverfahren eine große Bedeutung. Beim Umgang mit Unterlagen der Bewerberinnen und Bewerber ist grundsätzlich zu beachten, dass diese bereits den gleichen Schutz wie Beschäftigte genießen. Zur Personalauswahl dürfen jedoch nur die Daten verlangt werden, die erforderlich sind, um eine geeignete Person nach dem Maßstab „Eignung, Leistung und Befähigung“ auswählen zu können. So verbietet sich beispielsweise der Wunsch nach einem Bild, aber auch das Wissen um den Geburtsort oder eines Geburtsnamens ist keinesfalls erforderlich. Fragen, die über den Maßstab der Erforderlichkeit hinausgehen, können sogar einen AGG-Verstoß bedeuten. Ebenso ist der sogenannte Background-Check in den sozialen Medien bis auf wenige Ausnahmen rechtswidrig.

Besondere Beachtung bedürfen ebenso Bewerbungsverfahren, die mit dem Einsatz von Videointerviews oder der Unterstützung von künstlicher Intelligenz durchgeführt werden.

Auch bestehen für die Rückgabe und die Löschung der Unterlagen von Bewerberinnen und Bewerbern enge rechtliche Vorgaben. Ebenso ist die Abfrage von Gesundheitsdaten im Kontext des Bewerbungsverfahrens von hoher praktischer Relevanz.

Der Umgang mit Personalaktendaten gilt häufig als verstaubt und vernachlässigenswert. Jedoch an keinem anderen Ort wird eine vergleichbare Fülle von Daten der Beschäftigten verarbeitet. Besonderes Augenmerk ist hier dem Einsatz von technischen Systemen zur Verarbeitung von Personaldaten, insbesondere bei der Einführung der E-Akte, beizumessen. Auch hier spielt der Umgang mit Gesundheitsdaten der Beschäftigten eine besondere Rolle. Der Zugriff von Vorgesetzen auf Personalakten und insbesondere auf Gesundheitsdaten ist generell auszuschließen, wird jedoch häufig bei Abwesenheitsmeldungen aus Krankheitsgründen eingefordert.

Ebenso sind sämtliche Inhalte eines BEM-Verfahrens zum Schutz der Beschäftigten von den übrigen Personaldaten abzuschirmen.

Darüber hinaus ist der Datenschutz in der Gremienarbeit des Personalrats, der Schwerbehindertenvertretung und der Gleichstellungbeauftragten einer gezielten Betrachtung und Begleitung zu unterziehen. Dabei ist es aber auch Aufgabe der Gremien und benannten Personen, neben den spezifischen behördlichen Datenschutzbeauftragen zum Schutze der Beschäftigen durch Einhaltung der datenschutzrechtlichen Regelungen mitzuwirken.

In Veranstaltungen der dbb akademie erhalten Sie einen umfassenden Überblick über die Folgen der Entscheidung des Europäischen Gerichtshof und das nötige Handwerkszeug, um jetzt datenschutzkonform im Sinne Ihrer Beschäftigten in den genannten Einzelfragen zu reagieren.

Das Kompetenzteam Datenschutz der dbb akademie GmbH unterstützt Ihre Behörde darüber hinaus mit der Durchführung von maßgeschneiderten Inhouse-Veranstaltungen und der Erstellung von Konzepten zum effektiven Schutz der Rechte der Beschäftigten.

Das komplette dbb magazin 1–2 2024 können Sie auf der Website des dbb beamtenbund und tarifunion online lesen oder herunterladen. Auch ältere Ausgaben stehen Ihnen dort zur Verfügung

• Zur Mediathek auf der Website des dbb beamtenbund und tarifunion
• Zum Kompetenzzentrum Datenschutz der dbb akademie GmbH
• Zu den Seminaren der dbb akademie für Einzelteilnehmer:innen