DA+

Aufsatz : Der Nebel lichtet sich: Das BAG systematisiert die Erlaubnistatbestände des Beschäftigtendatenschutzrechts Zugleich Anm. zu BAG, Urteil vom 29.06.2017 – 2 AZR 597/16 : aus der RDV 6/2017, Seite 284 bis 287

Zugleich Anm. zu BAG, Urteil vom 29.06.2017 – 2 AZR 597/16 (S. 296 in dieser Ausgabe)

Lesezeit 9 Min.

Das Konkurrenzverhältnis der datenschutzrechtlichen Erlaubnistatbestände in Arbeitsverhältnissen ist seit Erlass des § 32 BDSG umstritten[1] Nicht nur hat der Gesetzgeber Auslegungs- und Abgrenzungsschwierigkeiten im Verhältnis von § 32 Abs. 1 BDSG zu § 28 Abs. 1 BDSG geschaffen, sondern selbst innerhalb der oft als „Merkposten“[2]verspotteten Regelung unklar gelassen, wie Satz 1 und Satz 2 zueinander stehen: Dass § 32 Abs. 1 S. 2 BDSG keine abschließende und § 32 Abs. 1 S. 1 BDSG verdrängende Regelung ist, sondern allein für den Fall der Verfolgung eines Straftatverdachts spezieller ist, hat das BAG nun vollkommen zu Recht festgestellt. Ein gutes Stück mehr Rechtssicherheit im Dschungel der Erlaubnistatbestände des BDSG.

I. Die Thesen des Gerichts

Inmitten der Entscheidung steht die Feststellung des BAG, dass § 32 Abs. 1 S. 2 BDSG keine Sperrwirkung gegenüber § 32 Abs. 1 S. 1 BDSG entfaltet, wenn der Arbeitgeber keine konkreten Anhaltspunkte für eine im Beschäftigungsverhältnis begangene Straftat hat, sondern wegen des Verdachts anderer schwerwiegender, im Beschäftigungsverhältnis begangener Pflichtverletzungen personenbezogene Daten verarbeitet. Zur Begründung nimmt der 2. Senat eine sorgsame Auslegung der Vorschriften vor und erteilt der vom LAG Baden-Württemberg vertretenen gegenläufigen Ansicht zudem den Hinweis, dass diese europarechtswidrig sei.

Eine Sperrwirkung des § 32 Abs. 1 Satz 2 BDSG gegenüber der Erlaubnisnorm in Satz 1 in Fällen des bloßen Verdachtsschwerwiegender Pflichtverletzungen lasse sich weder aus dem Wortlaut des § 32 Abs. 1 BDSG, noch seiner Genese, Systematik oder seinem Sinn und Zweck ableiten. Einleitend hebt das BAG die fehlende Systematik der datenschutzrechtlichen Erlaubnistatbestände im Datenschutz hervor.[3] Dieser Hinweis dient dem Gericht als „Türöffner“ für einen Rekurs auf die eigene Rechtsprechung, die der Gesetzgeber nach eigener Auskunft in der Begründung zu § 32 BDSG lediglich kodifizieren wollte.[4] Damit ermöglicht das BAG eine Begründung der eigenen Auslegung mit seiner bisherigen Rechtsprechung und kann diese gleichsam in die missglückten Vorschriften „hineinlesen“: Da vor Erlass des § 32 BDSG heimliche Videoüberwachungsmaßnahmen beim Verdacht schwerwiegender Vertragsverletzungen in Ausnahmefällen unter Wahrung der Verhältnismäßigkeit möglich waren,[5] könne nichts anderes für die Auslegung der danach erlassenen Vorschriften gelten.[6] Folglich sei die verdeckte Überwachung eines einer schweren Pflichtverletzung verdächtigen Arbeitnehmers unter den vergleichbaren Voraussetzungen zulässig wie zur Aufdeckung einer Straftat.[7] Systematisch handele es sich bei § 32 Abs. 1 S. 2 BDSG um eine besondere Ausformung der Grundnorm des § 32 Abs. 1 S. 1 BDSG für den Fall des Verdachts der Begehung einer Straftat im Beschäftigungsverhältnis. Zum Maßstab innerhalb der Verhältnismäßigkeitsprüfung wiederholt das BAG dann die bekannten Formeln zur Geeignetheit, Erforderlichkeit und Angemessenheit eines Eingriffs in das Allgemeine Persönlichkeitsrecht. Insbesondere sei auch eine verdeckte Ermittlung „ins Blaue hinein“, ob ein Arbeitnehmer sich pflichtwidrig verhält, nach § 32 Abs. 1 Satz 1 BDSG unzulässig.

Die Gegenansicht Brinks[8] , der sich auch das LAG BadenWürttemberg (freilich ohne Zitierung) angeschlossen hatte, erschöpfe sich in der begründungslosen Behauptung, ein anderes Verständnis widerspreche „offensichtlich“ dem systematischen Verhältnis der beiden Ermächtigungsgrundlagen. Zudem verstoße diese gegen Unionsrecht, nämlich den in Art. 7 der RL 95/46/EG genannten Grundsätzen. Die Mitgliedstaaten dürfen nach Art. 5 RL 95/46/EG in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten keine anderen als die in Art. 7 RL 95/46/EG aufgezählten Grundsätze einführen und auch nicht durch zusätzliche Bedingungen die Tragweite der sechs in Art. 7 RL 95/46/EG vorgesehenen Grundsätze verändern. Wäre eine Datenerhebung zur Aufdeckung einer schwerwiegenden Pflichtverletzung unterhalb einer Straftat generell unzulässig, ohne dass es auf die Verhältnismäßigkeit der Maßnahme unter Abwägung der beiderseitigen Interessen ankäme, würden diese Grundsätze verletzt. Schließlich gäbe es dann bei bestimmter Zweckverfolgung (Aufdeckung schwerwiegender Pflichtverletzung) gar keine Möglichkeit der Rechtfertigung.

I. Die einzig richtige Entscheidung – Warum das BAG so richtig liegt

Die Entscheidung des BAG verdient nicht nur Beifall, sondern ruft geradezu nach stehenden Ovationen. Sie bringt Rechtssicherheit in einem praktisch besonders relevanten Fall und ist zudem sehr gut begründet.

Die Entscheidung ist systemgerecht. Gegenüber § 32 Abs. 1 S. 1 BDSG ist § 32 Abs. 1 S. 2 BDSG bloß konkretisierende, nicht jedoch sperrende Sondervorschrift.[9] Datenschutzrecht als Persönlichkeitsschutzrecht erfordert immer die Abwägung der widerstreitenden Interessen, im Rahmen von § 32 Abs. 1 BDSG am Merkmal der Erforderlichkeit.[10] Der verfolgte Zweck verändert allein die notwendigen legitimen Interessen und deren Gewichtung, sprich: Maßnahmen, die bei Straftatverdacht rechtmäßig sein können (§ 32 Abs. 1 S. 2 BDSG), müssen dies nicht bei dem Verdacht einer Ordnungswidrigkeit oder der Schlechtleistung sein (§ 32 Abs. 1 S. 1 BDSG). Die eine Vorschrift sperrt aber nicht den Rückgriff auf die andere, wenn verschiedene Zwecke verfolgt werden. Verhältnismäßigkeit ist immer das Wechselspiel von verfolgtem Zweck und Eingriffsintensität. Die Absage an Datenverarbeitungen beim Verdacht „bloß“ schwerwiegender Pflichtverletzung würde eine solche Prüfung von vornherein ausschließen. Das kann nicht richtig sein. Außerhalb des Kernbereichs privater Lebensführung[11] gibt es keinen absolut „eingriffsfreien Raum“. Der Zweck mag die im Übrigen notwendige Verhältnismäßigkeitsprüfung maßgeblich beeinflussen, doch wäre es verfassungsrechtlich unzulässig, legitime Interessen von Datenverarbeitern von vornherein als nicht zur Rechtfertigung tauglich gesetzlich auszusortieren. Folglich bedarf es auch bei Verdacht von schwerwiegenden Pflichtverletzungen der Abwägung, was rechtlich zulässig ist und was nicht.

Die Entscheidung ist praxisnah. Eine andere Auslegung würde dem Arbeitgeber in der Praxis die Möglichkeit nehmen, schwerwiegende Verstöße gegen arbeitsvertragliche Pflichten aufzuklären – selbst, wenn er bereits erkannt hat, dass diese vorliegen. Präventive Kontrollen sind nach § 32 Abs. 1 S. 1 BDSG nach ganz h.M. grundsätzlich zulässig, freilich kommt es auf Anlass und Eingriffstiefe an.[12] Wenn sich hierbei der Verdacht einer schweren Pflichtverletzung gegen einen konkreten Arbeitnehmer ergibt, muss der Arbeitgeber weiter nachforschen dürfen. Präventive Maßnahmen sind nur wirksam, wenn Ergebnissen auch nachgegangen werden kann. Die Entscheidung sichert daher auch die Grundrechte beider Vertragsparteien. Der Arbeitgeber hat ein genuines Interesse an der Vermeidung schwerwiegender Pflichtverletzungen, die letztlich zulasten seines Vermögens gehen. Häufig ist es für Arbeitgeber nicht von entscheidender Bedeutung, ob der Verdacht einer Pflichtverletzung zugleich strafbares Verhalten begründet. Sein Interesse ist nicht primär die Einhaltung der Rechtsordnung, sondern der Schutz seines Unternehmens. Wer nach § 32 Abs. 1 S. 2 BDSG den Verdacht des Diebstahls von Gummibärchen aufklären darf, muss auch die Möglichkeit haben, wettbewerbswidrigen Tätigkeiten eines Arbeitnehmers nach § 32 Abs. 1 S. 1 BDSG nachzugehen.

Die Entscheidung sichert eine unionsrechtskonforme Auslegung des § 32 Abs. 1 BDSG – nicht nur unter Geltung der Datenschutz-Richtlinie 94/46/EG, sondern auch künftig ab Anwendbarkeit der Datenschutz-Grundverordnung. Das BAG nimmt zu Recht an, dass nach der grundlegenden Entscheidung des EuGH zur vollharmonisierenden Wirkung der Richtlinie in der Rs. ASNEF[13] Erlaubnistatbestände der DSRL 95/46/EG nicht ausgeschlossen werden dürfen. Wenn jedoch für bestimmte legitime Zwecke von vornherein eine Datenverarbeitung unzulässig wäre, würden die Vorgaben der Richtlinie unterlaufen. Dies gilt künftig noch viel mehr ab Anwendbarkeit der Datenschutz-Grundverordnung. Zwar wurde durchaus über die Reichweite der Öffnungsklausel für Beschäftigungsverhältnisse gestritten[14], doch wird diese allein auf Grund ihres Rechtscharakters nicht mehr Abweichung erlauben als bisher die DSRL. Damit dürfte ab Mai 2018 erst recht ein Verbot der Datenverarbeitung zur Aufklärung schwerwiegender Pflichtverletzungen gegen Unionsrecht verstoßen.

Schließlich offenbart die Entscheidung den fehlenden Mut des Gesetzgebers. Die Chance, eine echte Klarstellung in § 26 Abs. 1 BDSG-neu zu schaffen, wurde versäumt – und dies sehenden Auges, nachdem die Entscheidung des LAG Baden-Württembergs ergangen war und in der Literatur bereits auf das Missverständnis des Gerichts hingewiesen wurde.[15] Zwar hat das BAG mal wieder überzeugend den Ausputzer für die Fehlleistungen des Gesetzgebers im Beschäftigtendatenschutz gespielt. Doch wenn das BAG eine Vorschrift lange Jahre ausdrücklich als „verunglückt“[16] formuliert bezeichnet, hätte es sich nahezu zwingend angeboten, diese Korrektur im Rahmen des BDSG-neu vorzunehmen.[17] Wieder einmal hat der Gesetzgeber sich eine solch tragende Rolle offenbar nicht zugetraut, sondern ist bei bloß klarstellenden Regelungen geblieben.[18] Klarstellend heißt hier: Kodifizieren, was das BAG bereits entschieden hat, nicht etwa, was der Gesetzgeber selbst im Sinn hat(te).

III. Der Nebel lichtet sich: Die Systematik der §§ 28, 32 BDSG

Daher ist es an der Rechtsprechung eine Systematik innerhalb der Erlaubnistatbestände des BDSG herauszubilden – was langsam aber stetig gelingt. Der en passant fallen gelassene Hinweis des Gerichts auf die Möglichkeit des Rückgriffs auf § 28 Abs. 1 S. 2 BDSG für „beschäftigungsfremde Zwecke“ ist ein klarer Fingerzeig: Auf welchen Erlaubnistatbestand zurückgegriffen werden kann, hängt vom verfolgten Zweck ab.[19] § 32 Abs. 1 S. 2 BDSG gilt allein für repressive Maßnahmen im Rahmen eines Straftatverdachtes, präventive und repressive Maßnahmen für Beschäftigungszwecke mit Ausnahme des Anwendungsbereiches des Satzes 2 sind nach § 32 Abs. 1 S. 1 BDSG zu beurteilen[20], für sonstige „beschäftigungsfremde“ Zwecke greift § 28 Abs. 1 Satz 1 Nr. 2 BDSG[21]. Dies befreit den Rechtsanwender zwar nicht von den Unwägbarkeiten einer die widerstreitenden Grundrechtspositionen in Ausgleich bringenden Verhältnismäßigkeitsprüfung, aber erlaubt immerhin den richtigen gesetzlichen Prüfungsmaßstab zugrunde zu legen. Der Nebel über den Erlaubnistatbeständen des Beschäftigtendatenschutzes lichtet sich.

Dr. Maximilian Schmidt Wissenschaftlicher Mitarbeiter am Institut für Arbeitsrecht in Bonn und Lehrbeauftragter an der Fachhochschule für Oekonomie und Management (FOM) in Köln.

[1] S. bereits Thüsing, NZA 2009, 865, 868

[2] Riesenhuber, in: BeckOK Datenschutzrecht, Wolff/Brink, 20. Edition 2017, § 32 Rn. 2.

[3] Rn. 28 des Urteils. Wank urteilt geradezu mitleidvoll, dass „die Auslegung der Norm wohlwollend vorzunehmen (ist), da es sich um einen gesetzgeberischen Schnellschuss“ handele, ErfK/Wank, 17. Aufl. 2017, § 32 Rn. 1.

[4] BT-Drs. 16/13657, S. 20.

[5] Grundlegend BAG 27.03.2003 – 2 AZR 51/02, BAGE 105, 356, Rn. 27.

[6] Rn. 29 des Urteils.

[7] Rn. 30 des Urteils; tendenziell großzügiger Grimm, JM 2016, 17, 19.

[8] Brink, juris-PR-ArbR 36/2016 Anm. 2.

[9] Thüsing, NZA 2009, 865, 868; Grimm, JM 2016, 17, 20; Gola/Thüsing/Schmidt, DuD 2017, 244, 246; Schmidt, Datenschutz für „Beschäftigte“, 2016, S. 98 ff.; s. auch Seifert, in: Simitis, BDSG, 8. Aufl., § 32 Rn. 100.

[10] Ausführlich zum Begriff der Erforderlichkeit Gola/Klug/Körffer, in: Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, § 28 Rn. 14-23; speziell für den Beschäftigtendatenschutz Thüsing, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, Rn. 36-54.

[11] Grundlegend BVerfG v. 16.11.1957 – 1 BvR 253/56, BVerfGE 6, 32 (Elfes); BVerfG v. 03.03.2004 – 1 BvR 2378/98, BVerfGE 109, 279 (Großer Lauschangriff).

[12] S. jüngst BAG v. 27.07.2017 – 2 AZR 681/1: Nutzung eines Keylogger-System nur bei konkretem Verdacht gegen einen Beschäftigten.

[13] EuGH v. 24.11.2011 – C-468/10, Slg 2011, I-12181

[14] Für ein Abweichungsverbot plädieren Kort, ZD 2016, 555; Brink/ Düwell, NZA 2016, 665, 666; Pötters, RDV 2015, 10, in Richtung einer bloßen Mindestharmonisierung und entsprechend großen Spielraum nationaler Regelung Taeger/Rose, BB 2016, 819, 830; differenzierend nach allgemeinen und besonderen Vorschriften Düwell/Brink, NZA 2016, 665.

[15] S. Gola/Thüsing/Schmidt, DuD 2017, 244, 246; ebenso Gola/Klug, NJW 2017, 2593, 2595.

[16] BAG v. 22.09.2016 – 2 AZR 848/15, BAGE 156, 370, Rn. 30.

[17] Gola/Thüsing/Schmidt, DuD 2017, 244, 246.

[18] So wiederum die Formulierung zur Begründung des § 26 BDSG-neu, s. BT-Drs. 18/11325: „Der Gesetzgeber behält sich vor, Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb dieser Vorschrift oder im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln.“

[19] Ausführlich Schmidt, Datenschutz für Beschäftigte, 2016, 90 ff.

[20] Wobei die Verhältnismäßigkeitsprüfung wesentlich von Zweck, Anlass und Eingriffstiefe der Maßnahme bestimmt wird.

[21] BT-Drs. 16/13657 20 f.; Gola/Schomerus BDSG 12. Aufl. § 32 Rn. 2, 45 f. Streitig ist freilich, wann ein Zweck „beschäftigungsfremd“ ist, zur h.M. s. Gola/Jaspers, RDV 2009, 212, 214 sowie Seifert, in: Simitis, BDSG, 7. Aufl. 2016, § 32 Rn. 17.