Braucht es eine schriftliche Einwilligung, damit Unternehmen die personenbezogenen Daten ihrer Mitarbeiter verarbeiten dürfen? Das sagen Bundesdatenschutzgesetz und DSGVO.
Schriftformerfordernis im Beschäftigungskontext
Die Einwilligung ist auch nach der DSGVO eine mögliche Legitimationsgrundlage für die Verarbeitung personenbezogener Daten. Voraussetzung ist, dass sie freiwillig und auf den Einzelfall bezogen informiert erfolgt. Die Schriftform ist hingegen nach der DSGVO grundsätzlich nicht mehr erforderlich. Ausreichend ist vielmehr eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. Gemäß Erwägungsgrund32DSGVO reicht hierfür bspw. das Anklicken eines Kästchens aus.
Etwas anderes gilt jedoch für die Einwilligung im Beschäftigungsverhältnis. §26Abs.2S.3BDSG schreibt abweichend von der DSGVO vor, dass die Einwilligung im Beschäftigungsverhältnis der Schriftform bedarf, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Diese Formulierung ist an § 4a BDSG-alt angelehnt, so dass davon auszugehen ist, dass deutsche Datenschutzbehörden und Gerichte den gleichen Maßstab wie bisher anlegen werden. Das heißt, soweit die schriftliche Einholung der Einwilligung beim Arbeitnehmer möglich ist – dies dürfte die Mehrzahl der Praxisfälle darstellen –, wäre die Einholung der Einwilligung in einer anderen Form (z. B. in elektronischer Form unter Einsatz einer Software oder App) aus datenschutzrechtlicher Sicht nicht wirksam. Es ist folglich darauf zu achten, dass die Einwilligung von jedem Betroffenen separat eingeholt und entsprechend §126BGB durch eigenhändige Unterschrift abgegeben wird.
Fortgeltung bisher erteilter Einwilligungen
In der Praxis wurde bisher von der Möglichkeit der Einwilligung im Beschäftigungskontext vermehrt Gebrauch gemacht und eine Einwilligung zur Datenverarbeitung entweder im Arbeitsvertrag selbst oder mittels separater Erklärung im Zusammenhang mit der Einstellung eingeholt. Ausweislich des Erwägungsgrundes171DSGVO gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen.
Hinweis: Mehrere Stellungnahmen deutscher Datenschutzbehörden weisen darauf hin, dass die meisten vor Wirksamwerden der DSGVO rechtswirksam erteilten Einwilligungen grundsätzlich die Bedingungen der DSGVO erfüllen dürften und damit weitergelten. Insbesondere ist nicht erforderlich, dass die Informationspflichten nach Artikel13DSGVO erfüllt sind. Vielmehr ist ausreichend, wenn die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache vorliegt, keine missverständlichen Klauseln beinhaltet und der Betroffene zumindest über den Verantwortlichen und die Zwecke der Verarbeitung informiert ist und über sein Widerrufsrecht aufgeklärt wurde.
Nichtsdestotrotz ist es ratsam, bereits erteilte Einwilligungen auf Konformität mit der seit 25. Mai 2018 geltenden Rechtslage zu überprüfen und ggf. anzupassen.
Freiwilligkeit
Ein großer Streitpunkt bisher, insbesondere aus dem Blickwinkel der Aufsichtsbehörden, war die Frage, ob aufgrund des Abhängigkeitsverhältnisses in der Beziehung Arbeitgeber–Arbeitnehmer Letzterer überhaupt wirksam in die Verarbeitung seiner personenbezogenen Daten einwilligen kann und es folglich generell an der notwendigen Freiwilligkeit im Arbeitsverhältnis mangelt. Das BAG hat in seiner Grundsatzentscheidung vom 11. Dezember 2014 (8 AZR 1010/13, NZA 2015, 604) jedoch klargestellt, dass sich Arbeitnehmer auch im Rahmen eines Arbeitsverhältnisses grundsätzlich frei entscheiden können, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Während Aufsichtsbehörden teilweise auch weiterhin unter Berücksichtigung der seit 25. Mai 2018 geltenden Rechtslage eine Einwilligung im Arbeitsverhältnis kritisch sehen, hat der deutsche Gesetzgeber in §26Abs.2BDSG festgelegt, dass eine Einwilligung im Arbeitsverhältnis grundsätzlich möglich ist. Dabei sind aber insbesondere die Umstände, unter denen die Einwilligung erteilt wird, bei der Beurteilung der Freiwilligkeit zu berücksichtigen. So kann ausweislich §26Abs.2S.2BDSG Freiwilligkeit vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen.
Zu vermeiden ist dabei insbesondere, den Eindruck zu erwecken, der Abschluss des Arbeitsvertrages sei (auch) von der Erteilung der Einwilligung in die Verarbeitung personenbezogener Daten abhängig. Dem steht das „Koppelungsverbot“ aus Artikel7Abs.4 i. V. m. Erwägungsgrund 43DSGVO entgegen. Um Missverständnisse auszuschließen, sollte aus diesem Grund die Einwilligung nicht im Arbeitsvertrag selbst (auch nicht als Anlage zum Arbeitsvertrag), sondern durch eine separate Erklärung in einem eigenständigen Dokument eingeholt werden.
Einwilligungserklärung als Rechtfertigung neben anderen Legitimationsgrundlagen
Von Aufsichtsbehörden kritisch hinterfragt und höchstrichterlich bisher nicht geklärt ist, ob eine Einwilligung rechtswirksam erteilt werden kann, wenn es für die Verarbeitung bereits einen anderen einschlägigen Rechtfertigungstatbestand gibt. Die Aufsichtsbehörden verneinen die Wirksamkeit einer sog. „Vorratseinwilligung“ in diesem Zusammenhang mit Verweis darauf, dass nach Artikel6DSGVO der Rechtfertigungstatbestand für die konkrete Verarbeitung vor Beginn der Verarbeitung durch den Verantwortlichen festzulegen ist und während des Verarbeitungsprozesses nicht durch eine andere Legitimationsgrundlage ausgetauscht werden kann. Zudem ist darauf zu achten, dass wegen der Einzelfallbezogenheit der Einwilligung „Blankoeinwilligungen“ auch nach der DSGVO und dem BDSG weiterhin keine Rechtswirksamkeit entfalten. Vielmehr ist gemäß Erwägungsgrund 32 DSGVO die Einwilligung „für den konkreten Fall“ abzugeben.
Vor Einholung der Einwilligung der Beschäftigten ist demgemäß zu prüfen, ob die Verarbeitung nicht bereits aufgrund eines gesetzlichen Erlaubnistatbestands oder möglicherweise durch eine Betriebsvereinbarung gerechtfertigt ist und es damit keiner Einwilligung mehr bedarf. Ohnehin gibt es in Bezug auf das Arbeitsverhältnis in der Praxis viele Konstellationen, die von dem weiten Anwendungsbereich des §26Abs.1BDSG– der inhaltlich weitestgehend dem früheren §32BDSG-alt entspricht – erfasst sind.
Üblicherweise nicht von §26BDSG erfasst und durch eine Einwilligung des Beschäftigten legitimiert werden kann die Verarbeitung personenbezogener Daten im Rahmen eines Stock-Option-Programms. Ausweislich der Gesetzesbegründung zum neuen BDSG und der Berichte von Aufsichtsbehörden können auch Bild- und Tonaufnahmen von Beschäftigten zur Veröffentlichung im Intranet, in einem Newsletter oder auf der offiziellen Homepage mittels einer Einwilligung legitimiert werden.