leaders.law - Blog

Treuepflicht beim Datenschutz

Welche Rechte und Pflichten haben Arbeitnehmer?

In vielen Betrieben haben Arbeitnehmer Zugang zu den Daten von Kunden, Lieferanten, Auftraggebern und anderen Mitarbeitern. Oftmals macht sich hierüber niemand Gedanken. Man denkt nicht daran, dass hieraus unter anderem datenschutzrechtliche Probleme mit weitreichenden Konsequenzen folgen können. 

Umgang mit personenbezogenen Daten

Der Betriebsinhaber ist verpflichtet, den Umgang mit diesen Daten verbindlich und nachvollziehbar zu regeln. Ein Arbeitnehmer darf personenbezogene Daten, zu denen er Zugang hat, ausschließlich auf Weisung seines Arbeitgebers verarbeiten.

Unvollständige oder missverständliche Umgangsregeln

Fehlen solche Umgangsregeln oder sind sie unvollständig oder missverständlich, stellt sich die Frage, wie der Arbeitnehmer zu reagieren hat. Das Gleiche gilt, wenn der Arbeitnehmer meint, der Umgang mit solchen Daten im Betrieb sei datenschutzrechtlich bedenklich oder gar unzulässig.

Auch hier gilt zunächst der Grundsatz: Ein Arbeitnehmer ist verpflichtet zu tun, zu dulden und zu unterlassen, wozu er nach Vertrag und Weisung sowie aufgrund der Treuepflicht gegenüber seinem Arbeitgeber verpflichtet ist. Wenn ein Arbeitnehmer Zweifel an der Rechtmäßigkeit einer von ihm geforderten oder ihm obliegenden Verarbeitung von personenbezogenen Daten hat, kann er berechtigt sein, die Ausführung der Tätigkeit zu unterlassen. Hingegen wird der Arbeitnehmer kaum jemals berechtigt sein, die geforderte Tätigkeit anders als vom Arbeitgeber verlangt auszuführen.

Kein Anspruch auf das "Verpfeifen" des Arbeitgebers

Mit der Treuepflicht unvereinbar ist im Regelfall, dass der Arbeitnehmer solche Rechtmäßigkeitszweifel mit Personen außerhalb des Betriebs teilt. Er ist insbesondere nicht berechtigt, Dritte über vermeintliche datenschutzrechtliche Defizite im Betrieb des Arbeitgebers informiert. Das gilt auch für Informationen an die Aufsichtsbehörde.

Auch die Frage, ob der Arbeitnehmer den betrieblichen Datenschutzbeauftragten über vermeintliche datenschutzrechtliche Defizite informieren darf, muss differenziert beantwortet werden.

Im Falle eines externen Datenschutzbeauftragten wird man eher verneinen müssen, dass der Arbeitnehmer berechtigt ist, den Datenschutzbeauftragten zu informieren. Der externe Datenschutzbeauftragte ist Dritter. Welche Informationen über innerbetriebliche Angelegenheiten ihm offenbart werden, ist Sache des Betriebsinhabers.

Dieser Grundsatz gilt allerdings nur eingeschränkt, wenn der Arbeitnehmer sich an den externen Datenschutzbeauftragten als betroffene Person wendet, also wegen der Verarbeitung ihn selbst betreffender personenbezogener Daten. Auch in diesem Fall wird der Arbeitnehmer sein Interesse am Schutz ihn betreffender Daten und seine Treuepflicht gegenüber seinem Arbeitgeber abwägen müssen. Schließlich sprechen auch bei einem internen Datenschutzbeauftragten überzeugende Gründe dafür, dass der Arbeitnehmer für Informationen über vermeintliche Missstände den Dienstweg einzuhalten hat, der durch Vertrag, Weisung, Treuepflicht gegenüber dem Vorgesetzten und betriebliche Übung vorgegeben ist. Danach kann möglich sein, dass der betriebliche Datenschutzbeauftragte unmittelbar informiert werden darf. Zwingend ist das aber keineswegs.

Tipp

Arbeitnehmern und Arbeitgebern – letzteren auch als Verantwortlichen im Sinne der Datenschutzgrundverordnung – ist dringend zu raten, die innerbetriebliche Verarbeitung von personenbezogenen Daten klar zu regeln und die diesbezüglichen Regelungen und Weisungen gut zu dokumentieren.

Friedrich Vosberg

Rechtsanwalt, Counsel,

Zertifizierter Datenschutzbeauftragter (TÜV)

 

Vollständiges Profil
Dirk Helge Laskawy

Rechtsanwalt, Fachanwalt für Arbeitsrecht,

Mediator (Universität Bielefeld), Partner,

Zertifizierter Datenschutzbeauftragter (TÜV)

 

Vollständiges Profil

c/o
Aderhold Rechtsanwaltsgesellschaft mbH

Standort Leipzig
Aderholdhaus
Reichsstraße 15
04109 Leipzig
Tel. +49 (0)341 44 924 - 0
Fax +49 (0)341 44 924 - 100