§ 32d BDSG
Datenverarbeitung und -nutzung im Beschäftigungsverhältnis

Arbeitnehmerdatenschutzgesetz

(1) Der Arbeitgeber darf Beschäftigtendaten verarbeiten und nutzen, soweit

  1. sie nach den §§ 32, 32a oder 32c erhoben worden sind,
  2. dies erforderlich ist zur Erfüllung der Zwecke, für die die Daten erhoben worden sind, oder zur Erfüllung anderer Zwecke, für die der Arbeitgeber sie nach den Vorschriften dieses Unterabschnitts hätte erheben dürfen, und
  3. dies nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist.

(2) Beschäftigtendaten, die der Arbeitgeber ohne Datenerhebung nach den §§ 32, 32a oder 32c erhalten hat, darf er nur verarbeiten und nutzen, soweit

  1. dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich und nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist und
  2. er sie nach den §§ 32, 32a oder 32c hätte erheben dürfen.

(3) Der Arbeitgeber darf zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere zur Aufdeckung von Straftaten nach den §§ 266, 299, 331 bis 334 des Strafgesetzbuchs, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter oder pseudonymisierter Form mit von ihm geführten Dateien durchführen. Ergibt sich ein Verdachtsfall, dürfen die Daten personalisiert werden. Der Arbeitgeber hat die näheren Umstände, die ihn zu einem Abgleich nach Satz 1 veranlassen, zu dokumentieren. Die Beschäftigten sind über Inhalt, Umfang und Zweck des automatisierten Abgleichs zu unterrichten, sobald der Zweck durch die Unterrichtung nicht mehr gefährdet wird.

(4) Ein Dritter, an den Beschäftigtendaten übermittelt worden sind, darf diese nur für den Zweck verarbeiten und nutzen, zu dessen Erfüllung sie ihm übermittelt wurden. Der Arbeitgeber hat ihn darauf hinzuweisen.

(5) Der Arbeitgeber darf die nach § 32 Absatz 1 bis 6 sowie nach den §§ 32a und 32c Absatz 1 bis 3 erhobenen Beschäftigtendaten nicht in einer Weise verarbeiten und nutzen, dass sie durch die automatisierte Zusammenführung einzelner Lebens- und Personaldaten ein Gesamtbild der wesentlichen geistigen und charakterlichen Eigenschaften oder des Gesundheitszustandes des Beschäftigten ergeben.

Kommentar und Urteile zum Arbeitnehmerdatenschutz

Erläuterungen des BMI

Korruptionsbekämpfung/Durchsetzung von Compliance-Anforderungen: Für die Korruptionsbekämpfung und die Durchsetzung von Compliance-Anforderungen sind klare gesetzliche Grundlagen vorgesehen:
Der Arbeitgeber darf grundsätzlich vorhandene Beschäftigtendaten verwenden, um Leistungs- und Verhaltenskontrollen durchzuführen.

Automatisierte Datenabgleiche (§ 32d Absatz 3): von Beschäftigtendaten sind nur zur Aufdeckung von Straftaten und anderen schwerwiegenden Pflichtverletzungen zulässig. Die Daten müssen in anonymisierter oder pseudonymisierter Form verarbeitet werden und dürfen nur im konkreten Verdachtsfall personalisiert werden. Der Arbeitgeber hat die näheren Umstände eines Datenabgleichs zu dokumentieren. Die betroffenen Beschäftigten sind nach einem Datenabgleich darüber zu unterrichten.

Quelle: Hintergrundpapier zum Beschäftigtendatenschutz (BMI)

Passende Urteile zum Thema

Namensnennung von Mitarbeitern auf der Webseite (öffentlicher Dienst)
OVG Koblenz, Urteil v. 10.09.2007 - 2 A 10413/07.OVG

Veröffentlichung von Mitarbeiterdaten im Internet
EuGH, Urteil v. 06.11.2003 - Az.: C-101/01

Compliance-Maßnahmen (Korruptionsbekämpfung)
ArbG Berlin, Urteil vom 18.2.2010 - 38 Ca 12879/09

Kennen Sie weitere Urteile? Schreiben Sie uns doch bitte einen Kommentar.

Stellungnahme der GDD

Zu § 32d BDSG-E: § 32d Abs. 3 BDSG-E regelt die Verarbeitung und Nutzung von Beschäftigtendaten im Zusammenhang mit der Durchsetzung von Compliance-Anforderungen. In § 32e BDSG-E werden Compliance-Anforderungen im Zusammenhang mit Maßnahmen „ohne Kenntnis des Beschäftigten“ geregelt. Nach ihrem Wortlaut erfassen beide Regelungen sowohl präventive als auch repressive Maßnahmen („verhindern oder aufzudecken“). Wie § 32d Abs. 3 BDSG-E und § 32e BDSG-E genau von einander abzugrenzen sind, bleibt unklar.

Sinnvoll wäre es, eine einheitliche Regelung zu schaffen, die sich mit Datenerhebungen, -verarbeitungen und -nutzungen im Zusammenhang mit Compliance-Maßnahmen befasst. Dabei sollte zum einen klar zwischen präventiven und repressiven Maßnahmen differenziert werden. Deshalb sollte statt des Begriffes „Aufdeckung“ auch der Begriff „Aufklärung“ verwendet werden. Zum anderen müsste deutlicher werden, welche exakten Regelungen für die Informationsbeschaffung und welche für die anschließende Nutzung der erhobenen Daten gelten sollen.

§ 32d BDSG-E regelt die Datenverarbeitung und -nutzung im Beschäftigungsverhältnis. Es sollte eine gesetzliche Klarstellung dahingehend erfolgen, dass für die Datenverarbeitung und -nutzung außerhalb des Beschäftigungsverhältnisses § 28 BDSG weiter Anwendung findet. Entscheidend ist, dass die Interessenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG mit Blick auf die Verwendung von Beschäftigtendaten außerhalb des Beschäftigtenverhältnisses durch die in den §§ 32 ff. BDSG enthaltenen Regelungen nicht abgeschnitten wird.

Quelle: GDD-Stellungnahme zum Referentenentwurf zum Beschäftigtendatenschutz

Querverweise zum Arbeitnehmerdatenschutz

Arbeitnehmerdatenschutzgesetze in der Übersicht:

Weiterführende Informationen:

Beratung zum Arbeitnehmerdatenschutz, Entstehung des Arbeitnehmerdatenschutzgesetzes, Externer Datenschutzbeauftragter