Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 05 – Regelungsgehalt des § 32 BDSG

2.4 Regelungsgehalt des § 32 BDSG

§ 32 BDSG betrifft Datenvorgänge für Zwecke des Beschäftigungsverhältnisses. Bevor diese Norm in Kraft trat, bemaß sich die Zulässigkeit solcher Datenvorgänge nach § 28 I BDSG. Diese Vorschrift ist die wesentliche Erlaubnisnorm für solche Vorgänge im geschäftlichen Verkehr, wird im Beschäftigungskontext aber weitgehend von der bereichsspezifischen Generalklausel § 32 BDSG verdrängt.

2.4.1 Anwendungsbereich

2.4.1.1 Grundsatz

Vom personellen Anwendungsbereich des § 32 BDSG sind alle Beschäftigten(Fußnote) erfasst.(Fußnote) Dazu zählen nicht nur die in einem abhängigen Beschäftigungsverhältnis stehenden Personen,(Fußnote) sondern auch Bewerber und diejenigen, deren Beschäftigungsverhältnis beendet ist.(Fußnote) Ferner sind unter anderem auch Richter(Fußnote), Beamte(Fußnote) und freie Mitarbeiter(Fußnote) vom Anwendungsbereich des § 32 BDSG erfasst. Der für § 32 BDSG maßgebliche Beschäftigtenbegriff des § 3 XI BDSG ist also deutlich weiter als der gleichlautende Begriff im Sozialversicherungs- oder Gleichstellungsrecht(Fußnote) und der allgemeine Arbeitnehmerbegriff im Arbeitsrecht(Fußnote). Die enorme Reichweite des Begriffs verdeutlicht den Schutzzweck des § 32 BDSG: Weitgehend unabhängig von der Funktion des Betroffenen gewährleistet die Norm einen umfassenden Datenschutz im Beschäftigungskontext.

Der sachliche Anwendungsbereich von § 32 BDSG erfasst alle Datenvorgänge für Zwecke des Beschäftigungsverhältnisses.(Fußnote) Nach § 32 II BDSG fallen im Beschäftigungskontext explizit auch nicht automatisierte Daten unter die Vorschriften des BDSG. Diese Regelung ist eine Ausnahme von § 1 II Nr. 3 BDSG: Grundsätzlich sind nur automatisierte Datenvorgänge den Vorschriften des BDSG unterstellt.

Auch der sachliche Anwendungsbereich des § 32 BDSG ist also umfassend. Von digitalen Mitarbeiter-Datenbanken, über handschriftlich geführte Personalakten, bis hin zur telefonischen Stammdatenauskunft der Personalabteilung betreffen alle Vorgänge den Beschäftigtendatenschutz.
Der Anwendungsbereich des § 32 BDSG ist nur eröffnet, wenn Daten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden.(Fußnote) Darunter sind solche Zwecke zu verstehen, die mit dem Verhältnis in einem ursächlichen Zusammenhang stehen.(Fußnote) Ein Bezug zum beschäftigungsvertraglich vereinbarten Leistungsaustausch ist nicht erforderlich.(Fußnote) Erst wenn der Arbeitgeber dem Beschäftigten wie ein beliebiger Dritter gegenüber steht, wird § 32 BDSG nicht mehr angewendet.(Fußnote) Dieses weite Verständnis passt zum gesetzgeberischen Willen, eine allgemeine Regelung zum Schutz personenbezogener Daten von Beschäftigten zu schaffen.(Fußnote)

2.4.1.2 Problematische Einzelfälle

Im Einstellungskontext wird die Debatte(Fußnote) über das Verhältnis von § 32 BDSG und § 28 BDSG praktisch bedeutsam. Wenn es um besondere Arten personenbezogener Daten(Fußnote) geht, ist statt § 32 BDSG der strengere § 28 VI-VIII BDSG anwendbar.(Fußnote) Fraglich ist, auf welchen Erlaubnistatbestand sich der Arbeitgeber dann stützen kann, wenn er im Einstellungsgespräch Gesundheitsdaten i.S.d. § 3 IX BDSG abfragt, die für den zu besetzenden Arbeitsplatz relevant sind.(Fußnote) Für diese Konstellationen besteht ein gesetzliches Regelungsdefizit.(Fußnote)

2.4.2 Bereichsspezifische Erlaubnistatbestände

Neben den allgemeinen Erlaubnistatbeständen(Fußnote) eröffnet § 32 I BDSG vier weitere Ausnahmen vom grundsätzlichen Verbot(Fußnote) personenbezogener Datenvorgänge. Gemäß § 32 I S. 1 BDSG sind Datenvorgänge zu Beschäftigungszwecken zulässig, wenn sie für die Entscheidung über die Begründung, für die Durchführung oder für die Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Außerdem sind Datenvorgänge zur Aufdeckung von Straftaten gemäß § 32 I S. 2 BDSG zulässig, wenn sie nicht unverhältnismäßig sind.

Fraglich ist, wie das Kriterium der Erforderlichkeit gemäß § 32 I S. 1 BDSG auszulegen ist. Man könnte den Wortlaut einerseits weit auslegen und darunter eine umfassende Interessenabwägung in Form einer Verhältnismäßigkeitsprüfung verstehen.(Fußnote) Andererseits könnte man die Norm eng auslegen und Datenvorgänge lediglich einer Erforderlichkeitsprüfung unterziehen. Dann käme es darauf an, ob mildere Mittel zur Erreichung des Eingriffszwecks zur Verfügung stehen.(Fußnote)

Der Wortlaut des § 32 I S. 1 BDSG ist zunächst unmissverständlich und stellt allein den Maßstab der Erforderlichkeit heraus.(Fußnote) Auch die Gesetzessystematik stützt ein enges Wortlautverständnis: Die Erlaubnistatbestände § 32 I S. 2 und § 28 I S. 1 Nr. 2, 3 BDSG ordnen Interessenabwägungen explizit an, während § 32 I S. 1 BDSG lediglich Erforderlichkeit voraussetzt. Datenvorgänge im Rahmen des § 32 I S. 2 BDSG trotzdem auf ihre Verhältnismäßigkeit zu überprüfen, wäre also systemwidrig. Diesen Schluss unterstreicht die Gesetzeshistorie. Das Inkrafttreten des § 32 BDSG sollte die Rechtslage nicht verändern.(Fußnote) Vor dem Inkrafttreten bemaß sich die Zulässigkeit der Datenvorgänge im Beschäftigungskontext nach der alten Fassung des § 28 I Nr. 1 BDSG. Dessen Dienlichkeitskriterium wurde im Sinne der Erforderlichkeit ausgelegt.(Fußnote) Zwar bezeichnete die Rechtsprechung ihr Vorgehen damals schon als Verhältnismäßigkeitsprüfung. Dass es dabei neben der Geeignetheit und Erforderlichkeit der Maßnahme auch auf die Angemessenheit ankommen sollte, präzisierte die Rechtsprechung jedoch erst später.(Fußnote) Wenn § 32 I S. 1 BDSG die Rechtslage nicht verändern sollte, kann es also auch in ihrem Rahmen nur auf die Erforderlichkeit der Datenvorgänge ankommen. Dieses historische Argument spricht gegen eine Verhältnismäßigkeitsprüfung im Rahmen des § 32 I S. 1 BDSG.

Mithin ist Erforderlichkeit i.S.d. § 32 I S. 1 BDSG nicht als umfassende Verhältnismäßigkeitsprüfung auszulegen. Es ist schlicht Erforderlichkeit im Sinne der zweiten Stufe der Verhältnismäßigkeitsprüfung gemeint.(Fußnote) Das bedeutet, ein Datenvorgang ist erforderlich, wenn kein milderes gleich geeignetes Mittel zur Erreichung des Zwecks des Datenvorgangs in Frage kommt. Das Kriterium der Erforderlichkeit ist Einfallstor für die Drittwirkung der Grundrechte des Betroffenen und der verantwortlichen Stelle.(Fußnote)

Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.

Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: