Manche Arbeitgeber verlassen sich auf Einwilligungen als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten. Ob Arbeitnehmer rechtswirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können, war bereits nach der bisherigen Rechtslage umstritten. Die ab dem 25. Mai 2018 geltende EU Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) stellen klar, dass Einwilligungen unter bestimmten Umständen auch die Verarbeitung von Beschäftigtendaten durchaus rechtfertigen können. Nach neuer Rechtslage gelten aber für wirksame Einwilligungen zusätzliche Voraussetzungen. Dieser Beitrag fast die wesentlichen Anforderungen an Einwilligungen im Beschäftigungsverhältnis zusammen und gibt Handlungsempfehlungen, wie Arbeitgeber auf die neue Rechtslage reagieren sollten.

Anforderungen an Einwilligungen von Beschäftigten nach der DSGVO und dem BDSG-neu

Nach Art. 4 Nr. 11 DSGVO muss jede Einwilligung freiwillig sein, auf einen bestimmten Fall bezogen, informiert und unmissverständlich erfolgen. Art. 7 DSGVO und § 26 Abs. 2 BDSG-neu konkretisieren die Vorgaben für zulässige Einwilligungen im Beschäftigungsverhältnis.

§ 26 Abs. 2 BDSG-neu konkretisiert das Merkmal “freiwillig” dahingehend, dass die Freiwilligkeit im Beschäftigungsverhältnis vom Grad der Abhängigkeit des Beschäftigten sowie den konkreten Umständen der Erteilung abhängig ist. Insbesondere soll die gesetzlich geforderte Freiwilligkeit dann vorliegen, wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erlangt. Eine Einwilligung kann auch dann freiwillig erfolgen, wenn der Arbeitgeber und der Beschäftigte gleichgelagerte Interessen verfolgen. Der Beschäftigte muss eine echte Wahlmöglichkeit haben, ob er in die Verarbeitung seiner Daten einwilligt. Ihm darf durch Nicht-Erteilung der Einwilligung oder den späteren Widerruf kein Nachteil entstehen. Bei mehreren Verarbeitungsprozessen soll der Beschäftigte die Möglichkeit haben, für jeden einzelnen Prozess zu entscheiden, ob er einwilligen möchte. Arbeitgeber müssen auch das Kopplungsverbot in Art. 7 Abs. 4 DSGVO beachten. Danach darf die Erfüllung eines Vertrages nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, die für die Erfüllung des Vertrages nicht erforderlich ist.

Die Einwilligung muss auf informierter Grundlage erfolgen. Der Arbeitgeber muss dem Betroffenen vor der Einwilligung alle entscheidungserheblichen Informationen zur Verfügung stellen. Die Einwilligung muss zudem eindeutig sein. Sie muss nach § 26 Abs. 2 BDSG-neu grundsätzlich schriftlich erfolgen, sofern nicht wegen besonderer Umstände der Verarbeitungssituation eine andere Form angemessen ist. Bezieht sich die Einwilligung auf mehrere Verarbeitungsvorgänge, sollte der Beschäftigte nach Erwägungsgrund 43 zur DSGVO in jeden Verarbeitungsvorgang gesondert einwilligen, wenn dies im Einzelfall angebracht ist. Gleiches gilt, wenn der Arbeitgeber die personenbezogenen Daten des Beschäftigten für andere als die ursprünglichen Zwecke verarbeiten möchte. Auch dann muss der Arbeitgeber eine neue Einwilligung von den betroffenen Beschäftigten einholen.

Im Beschäftigungsverhältnis muss der Arbeitgeber nach § 26 Abs. 2 BDSG-neu die Beschäftigten in Textform zumindest über die Zwecke der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 DSGVO aufklären. Der Widerruf muss für den Beschäftigten grundsätzlich genauso einfach wie die Erteilung der Einwilligung selbst sein.

Die Artikel-29-Datenschutzgruppe geht in ihren Leitlinien für Einwilligungen vom 28. November 2017 davon aus, dass eine Datenverarbeitung aufgrund einer Einwilligung nicht auch alternativ auf eine andere Rechtsgrundlage gestützt werden kann. Der Verantwortliche müsse offenlegen, auf welche Rechtsgrundlage er die Erhebung personenbezogener Daten stützt, bevor er die Daten erhebt. Diese Ansicht ist jedoch unverbindlich und von den Gerichten bislang nicht bestätigt. Unseres Erachtens spricht der klare Wortlaut von Art. 6 Abs. 1 DSGVO für die Möglichkeit, Verarbeitungsvorgänge alternativ auf mehr als eine Rechtsgrundlage zu stützen. Danach ist “die Verarbeitung [personenbezogener Daten] nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist“. Art. 6 Abs. 1 DSGVO nennt im Folgenden die Einwilligung (lit. a) gleichberechtigt mit anderen gesetzlichen Erlaubnistatbeständen für die Rechtmäßigkeit der Datenverarbeitung wie z.B. die Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (lit. c). Der Arbeitgeber muss den Beschäftigten über die Rechtsgrundlage der Verarbeitung informieren. Will der Arbeitgeber die Datenverarbeitung neben einer Einwilligung auch auf andere Rechtsgrundlagen stützen, sollte er den Eindruck vermeiden, dass die Einwilligung die einzige Rechtsgrundlage für die Datenverarbeitung ist. Zu diesem Zweck sollte sich der Arbeitgeber ausdrücklich vorbehalten, personenbezogene Daten auch auf anderer Rechtsgrundlage zu verarbeiten. Hierüber sollte der Arbeitgeber den Beschäftigten in transparenter Form informieren.

Besondere Kategorien personenbezogener Daten sind unter der DSGVO wie schon nach aktueller Rechtslage besonderes geschützt, Art. 9 DSGVO. Auch die Verarbeitung besonderer Kategorien personenbezogener Daten eines Beschäftigten kann grundsätzlich auf Grundlage einer Einwilligung des Beschäftigten erfolgen. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten muss sich die Einwilligung dann aber ausdrücklich auch auf die besonderen Kategorien von Daten beziehen, welche der Arbeitgeber verarbeiten will, § 26 Abs. 3 BDSG.

Handlungsempfehlungen, was Arbeitgeber nun beachten müssen

Arbeitgeber, die Beschäftigtendaten bislang auf Grundlage einer Einwilligung verarbeiten, laufen Gefahr, diese Rechtsgrundlage ab dem 25. Mai 2018 zu verlieren. Um den neuen gesetzlichen Anforderungen an wirksame Einwilligungen im Beschäftigungsverhältnis zu genügen, können Arbeitgeber etwa wie folgt vorgehen:

  • Bestandsaufnahme: Arbeitgeber sollten prüfen, in welchen Fällen sie derzeit die Verarbeitung von Beschäftigtendaten auf Einwilligungen der Beschäftigten als Rechtsgrundlage stützen.
  • Freiwilligkeit: Soweit Arbeitgeber die Verarbeitung von Beschäftigtendaten auf Einwilligungen stützen, müssen sie prüfen, ob auch nach neuer Rechtslage Einwilligungen als mögliche Rechtsgrundlage für die betreffenden Verarbeitungsvorgänge überhaupt in Betracht kommen. Dies ist nur dann der Fall, wenn der Beschäftigte in die Datenverarbeitung entsprechend der gesetzlichen Anforderungen freiwillig einwilligen kann.
  • Überprüfung erteilter Einwilligungen: Vor Inkrafttreten der DSGVO erteilte Einwilligungen sollten Arbeitgeber dahingehend überprüfen, ob sie auch die neuen, höheren Anforderungen der DSGVO erfüllen. Sollte dies nicht der Fall sein, muss das Unternehmen neue Einwilligungen von seinen Beschäftigten einholen.
  • Rückgriff auf gesetzliche Erlaubnistatbestände: Arbeitgeber sollten sich aus Transparenzgründen ausdrücklich vorbehalten, die Verarbeitung neben der Einwilligung auch auf andere, gesetzliche Rechtsgrundlagen zu stützen. Ist die beabsichtigte Verarbeitung aber auch auf anderer Rechtsgrundlage zulässig, sollt der Arbeitgeber in Erwägung ziehen, ganz auf eine Einwilligung der Beschäftigten zu verzichten.
  • Alternative Rechtsgrundlagen: Hat ein Arbeitgeber einen Verarbeitungsvorgang bislang auf Einwilligungen gestützt, ist dies unter der DSGVO zukünftig aber nicht mehr zulässig, so sollte der Arbeitgeber ausloten, ob er die betreffenden Verarbeitungsvorgänge zukünftig auf eine andere Rechtsgrundlage stützen kann. Ist dies der Fall, muss der Arbeitgeber die Beschäftigten hierüber in transparenter Form informieren.
  • Beendigung nicht rechtskonformer Verarbeitungsvorgänge und Löschung von Daten: Steht eine alternative Rechtsgrundlage für die Datenverarbeitung nicht zur Verfügung, so muss der Arbeitgeber den Verarbeitungsvorgang einstellen. Die betreffenden personenbezogenen Daten sind nach Maßgabe der gesetzlichen Vorschriften zu löschen oder zu anonymisieren. Letzteres kommt in der Praxis aufgrund der hohen Anforderungen der Rechtsprechung jedoch nur selten als Alternative zur Löschung in Betracht.
  • Entfernung von Einwilligungserklärungen aus Arbeitsverträgen: Arbeitgeber sollten Arbeitsverträge dahingehend überprüfen, ob sie Regelungen enthalten, nach denen der Arbeitnehmer mit Unterzeichnung des Arbeitsvertrags gleichzeitig in die Verarbeitung seiner personenbezogenen Daten einwilligt. Solche Regelungen sind unwirksam und sollten aus Transparenzgründen entfallen.