Rechtliche Grundlagen des Privacy Nudgings

Datenschutzrecht

Das Datenschutzrecht ist so aufgebaut, dass es zunächst grundsätzlich den Umgang mit personenbezogenen Daten verbietet. Dieser ist jedoch unter bestimmten Voraussetzungen gestattet. Es handelt sich hierbei also um ein sog. Verbot mit Erlaubnisvorbehalt.

 

Personenbezogene Daten

From people 2 personal data

Diese Daten beschreiben Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen, so bspw. die Adresse, das Geburtsdatum, der Name oder die Telefonnummer. Die Gesetzgebung definiert personenbezogene Daten in Art. 4 der DSGVO wie folgt:

Art. 4 der DSGVO stellt den Ausgangspunkt der rechtlichen Gestaltung von Digitalen Privacy Nudges dar. Hier findest Du die detaillierten Bestandteile:

„alle Informationen"
4 Nr. 1 DSGVO ist grundsätzlich weit zu verstehen. Erfasst sind:

  • Identifikationsmerkmale (z. B. Name, Anschrift, Geburtsdatum, Fingerabdruck)
  • Äußere Merkmale (wie Augenfarbe, Größe, Gewicht, Geschlecht)
  • Innere Zustände (z. Meinungen, Motive, Wünsche, Werturteile)
  • Sachliche Informationen (wie Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen, Arbeitsleistung, Arbeitsgeschwindigkeit, Pausenzeiten an der Arbeit, alle sonstigen Beziehungen der betroffenen Person zu Dritten und Ihrer Umwelt)

Aussagegehalt, Herkunft und Ausgestaltung (Sprache, Schrift, Ton, Bild, digital, analog etc.) sind unerheblich.
≠ Sachdaten, da diese keinen Bezug zu einer Person aufweisen.

 

„identifizierte“
Die Identität der Person folgt aufgrund von Identifikationsmerkmalen oder aus dem Kontext unmittelbar aus der Information selbst.
„identifizierbare“
  • Die Information reicht allein nicht aus, um sie einer Person zuzuordnen, dies gelingt aber, sobald die Information mit weiteren Informationen verknüpft wird.
  • Die zu berücksichtigenden Mittel und Faktoren zur Beantwortung der Frage, ob eine Person identifizierbar ist, werden in Erwägungsgrund 26 S. 3 und S. 4 näher beschrieben.
  • Berücksichtigung des Wissens und der Mittel Dritter.
„natürliche Person“
  • Jede lebende Person. Daten Verstorbener stellen nach Erwägungsgrund 27 der DSGVO keine personenbezogenen Daten dar.
    Ausnahme: Diese Daten weisen einen Bezug zu einer lebenden Person auf. Kann z.B. dann der Fall sein, wenn der Verstorbene an einer Erbkrankheit litt.
  • ≠ Juristische Personen und Personengruppen
    Ausnahme: Die Informationen über eine Personengruppe schlagen auf ein identifiziertes oder identifizierbares Mitglied durch. Kann z.B. bei Angaben zur finanziellen Situation einer „Einmann-GmbH“ der Fall sein.

Weiterführende Literatur: Kühling/Klar/Sackmann, Datenschutzrecht, 45. Auflage 2021, Rn. 259 ff.

Grundsätze für die Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO

Die DSGVO enthält Grundsätze für die Verarbeitung von personenbezogenen Daten (auch Datenschutzgrundsätze genannt):

Auch ohne diesen Grundsatz wäre eine rechtswidrige Verarbeitung der Daten rechtswidrig und eine rechtmäßige Verarbeitung rechtmäßig. Dieser Grundsatz bringt lediglich zielsetzend zum Ausdruck, dass die Datenverarbeitung personenbezogener Daten kein rechtsfreier Raum ist, sondern als Grundrechtseingriff einer gesetzlichen Grundlage bedarf (nach Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (GRC)), die sich aus Art. 6 ergeben muss.

Dieser Grundsatz ist nicht mit dem Rechtsgrundsatz Treu und Glauben des § 242 BGB gleichzusetzen. Vielmehr handelt es sich um eine etwas unglückliche Übersetzung. Gemeint ist die Möglichkeit, eine formal rechtmäßige Datenverarbeitung als rechtswidrig qualifizieren zu können, wenn dadurch Vertrauen missbraucht wird oder die Verarbeitung generell unfair ist. Der in der englischen Fassung der DSGVO verwendetet Begriff „fairness“ wäre daher auch in der deutschen Fassung treffender.

Personenbezogene Daten müssen „in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden.

Der Grundsatz umfasst dabei alle Informationen und Informationsmaßnahmen, die erforderlich sind, damit die betroffene Person nachvollziehen kann, ob die Datenverarbeitung rechtmäßig ist. Dies umfasst unter anderem, aber nicht nur, ein Auskunftsrecht der betroffenen Person.

Die Einwilligung oder gesetzliche Grundlage zur Verarbeitung personenbezogener Daten gilt nur für den Zweck, den der Verantwortliche bei der Erhebung der Daten eindeutig festlegen muss. Die Zweckbindung ist der zentrale Grundsatz des Datenschutzrechts, denn die enge Zweckbestimmung ist auch Voraussetzung für die Grundsätze der Rechtmäßigkeit, der Transparenz, der Datenminimierung, der Richtigkeit und der Speicherbegrenzung.

Der Grundsatz der Datenminimierung beschreibt eine Zweck-Mittel-Relation und baut unmittelbar auf den Grundsatz der Zweckbindung auf. Denn eine Verarbeitung der personenbezogenen Daten ist nur insoweit rechtmäßig, wie diese als Mittel zur Erreichung des festgelegten Zwecks der Datenverarbeitung erforderlich ist. Sobald die personenbezogenen Daten nicht dem Zweck angemessen oder nicht erheblich sind, so ist eine Datenminimierung (durch Löschung oder Anonymisierung) erforderlich.

Dieser Grundsatz betrifft die Datenqualität. Die personenbezogenen Daten müssen „sachlich richtig“ und „auf dem neusten Stand“ sein. Die genaue Bestimmung, was das im Einzelnen heißt, kann allerdings schwierig sein. Durch die Informationen der Daten werden immer nur Ausschnitte der Realität repräsentiert. Um sachlich richtig zu sein, müssen die Daten den für den Zweck der Datenverarbeitung relevanten Ausschnitt aus der Realität korrekt darstellen. Ob die Daten auf dem „neusten Stand“ sind hängt auch davon ab, auf welchen Zeitpunkt es ankommt. Sofern es auf die ursprüngliche Situation ankommt, sind nachträgliche Änderungen irrelevant.

Der Verantwortliche darf einen Personenbezug nur so lange herstellen, wie dies für das Erreichen des Zwecks unverzichtbar ist. Entgegen des Wortlauts ist die Begrenzung also nicht etwa auf die Verarbeitungsform des Speicherns beschränkt, sondern gilt für alle Formen der Datenverarbeitung. Es soll jedoch die Bestimmbarkeit von personenbezogenen Daten für alle Formen der Verarbeitung begrenzt werden.

Dieser Grundsatz zielt auf die technische und organisatorische Sicherung der anderen Datenschutzgrundsätze ab. Er geht dabei über die Ziele des Wortlauts hinaus und umfasst auch die Ziele der Verfügbarkeit und Unversehrtheit der Daten, sowie der Beschränkung des Zugangs zu und des Zugriffs auf die Daten.

Der Verantwortliche hat hiernach zwei Pflichten. Einerseits muss er aktiv Maßnahmen ergreifen, um die Grundsätze bei der Verarbeitung personenbezogener Daten umzusetzen (materielle Pflicht). Andererseits muss der Verantwortliche die Einhaltung der Vorgaben der DSGVO bei der Datenverarbeitung dokumentieren und nachweisen können (formelle Pflicht).

Das Grundrecht auf Datenschutz gem. Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union (auch Grundrechtecharta genannt; GRC) garantiert bereits seit 2009 für betroffene Personen wichtige Grundsätze der Rechtmäßigkeit, Treu und Glauben, Zweckbindung, Auskunft und Berichtigung. Diese bereits grundrechtlich verankerten Grundsätze sind mit Art. 5 Abs. 1 DSGVO nunmehr in die DSGVO übernommen und weiter ausgefüllt worden. Der Grundsatz der Verantwortung war bereits in der DSRL enthalten und wurde in Art. 5 Abs. 2 DSGVO übernommen. Auch der Grundsatz der Integrität und Vertraulichkeit ergab sich bereits aus der Verpflichtung zu Sicherungsmaßnahmen gem. Art. 17 DSRL. Die Datenschutzgrundsätze des Art. 5 DSGVO gelten durch die Übernahme in eine Verordnung nach Art. 288 Abs. 2 AEUV für alle Adressaten der DSGVO unmittelbar. Die Grundsätze sind jedoch sehr abstrakt und bedürfen für ihre Anwendung der Konkretisierung. Sie sind daher eher als eine allgemeine Ordnung des Datenschutzrechts zu verstehen.

Die in Art. 5 DSGVO aufgelisteten Grundsätze sind jedoch weder vollständig noch abschließend. Weitere der DSGVO zugrunde liegende Grundsätze, die jedoch nicht ausdrücklich so benannt werden, sind z. B. das Territorialitätsprinzip in Art. 3 Abs. 1 und das Marktortprinzip in Art. 3 Abs. 2 oder der Grundsatz der Unabhängigkeit der Datenschutzaufsicht nach Art. 51 ff. Des Weiteren gelten auch für die DSGVO die allgemeinen Grundsätze des Unionsrechts. Zu nennen sind hier vor allem der Grundsatz der Effektivität und der Grundsatz der Verhältnismäßigkeit.

Weiterführende Literatur: Roßnagel, ZD 2018, 339-344; Simitis/Hornung/Spiecker gen. Döhmann-Roßnagel, Datenschutzrecht (1. Auflage 2019), Art. 5 DSGVO, Rn. 1-193.

Rechte der betroffenen Personen

good 2 know

Zur Ausübung der Rechte aus Art. 8 GRC ist es für die betroffene Person von besonderer Bedeutung nachzuvollziehen zu können, welche Daten wie verarbeitet werden, um auf dieser Grundlage die Verarbeitung der personenbezogenen Daten überprüfen und ggf. korrigieren oder unterbinden zu können. Diesem Umstand trägt die DSGVO durch die Rechte der betroffenen Personen in den Art. 13 ff. Rechnung.

Weiterführende Literatur: Kühling/Klar/Sackmann, Datenschutzrecht, 45. Auflage 2021, Rn. 601 ff.

Nudging und Art. 25 DSGVO

HOW 2 NUDGE LEGALLY

Art. 25 DSGVO trägt in der deutschen Sprachfassung die Überschrift „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Dennoch hat sich auch im deutschsprachigen Raum für Abs. 1 der Begriff „Privacy by Design“ und für Abs. 2 der Begriff „Privacy by Default“ durchgesetzt. Die Begriffe sind jedoch missverständlich, da das primäre Schutzgut DSGVO nicht der Schutz der Privatsphäre (wie noch nach der Datenschutzrichtlinie gem. Art. 1 Abs. 1), sondern der Schutz der personenbezogenen Daten ist (Art. 1 Abs. 2 DSGVO) (Baumgartner/Gausling, ZD 2017, 308). Die Überschrift der englischen Sprachfassung lautet daher richtigerweise auch „Data protection by design and by default“.

Alle Maßnahmen der datenschutzfreundlichen Technikgestaltung gem. Art. 25 Abs. 1 DSGVO sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen auszuwählen und zu treffen. Dies ist Ausdruck des risikobasierten Ansatzes der DSGVO und begrenzt die Auswahl geeigneter technischer Maßnahmen (Baumgartner/Gausling, ZD 2017, 308). Es bedarf also nicht immer der theoretisch optimalen Maßnahme, sondern bei geringem Risiko oder besonders hohen Implementierungskosten kann im Einzelfall ggf. auch ein geringerer Schutz ausreichend sein. Daher bedarf es einer Verhältnismäßigkeitsabwägung im Einzelfall, welche im Sinne einer allgemeinen Risiko- und Folgenabschätzung dokumentiert werden sollte, um der Rechenschaftspflicht des Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO Genüge zu tun (Laue in Laue/Kremer).

Datenschutzfreundliche Voreinstellungen gem. Art. 25 Abs. 2 DSGVO werden wiederum von Teilen der Literatur als eine Konkretisierung der datenschutzfreundlichen Technikgestaltung gem. Art. 25 Abs. 1 DSGVO verstanden. Verarbeitungssysteme müssen danach so eingestellt sein, dass nur die für den Zweck der Verarbeitung erforderlichen Daten verarbeitet werden. Es reicht dabei nicht aus, dass der Nutzer eine Wahl- oder Gestaltungsmöglichkeit hat. Personenbezogene Daten dürfen nicht ohne Kenntnis und ohne Zustimmung des Betroffenen verarbeitet werden (Richter in Jandt/Steidle, 356). Die Zulässigkeit einer Systemeinstellung beurteilt sich also danach, ob die Verarbeitung hinsichtlich Menge, Umfang, Speicherfrist und Zugänglichkeit der personenbezogenen Daten für den Zweck erforderlich ist (Richter in Jandt/Steidle, 356). Anders als in Art. 25 Abs. 1 DSGVO fehlen bei Art. 25 Abs. 2 DSGVO einschränkende Bedingungen wie z.B. die Implementierungskosten. Das könnte allerdings auch daran liegen, dass hier lediglich bestimmte Einstellungen vorzunehmen sind, welche in der Regel nicht mit zusätzlichen Kosten verbunden sind.

Martini war der erste Autor, der im Kontext des Art. 25 Abs. 2 DSGVO das Wort „Nudging“ verwendete (Martini, Art. 25). Er geht allerdings von „Nudging mit umgekehrter Stoßrichtung“ durch die DSGVO aus, da die Dienstanbieter nun ihre eigenen wirtschaftlichen Interessen dem Gebot der Datenminimierung unterordnen müssen (Paal/Pauly, DSGVO/BDSG-Martini, Art. 25). Thaler und Sunstein können aber viel eher so verstanden werden, dass Art. 25 Abs. 2 DSGVO genau die Intention der Autoren von „Nudge“ trifft. Denn es geht um „bessere“ Entscheidungen für den Nutzer und nicht für den Dienstanbieter; also den Angestupsten und nicht den Entscheidungsarchitekten (Thaler und Sunstein 2009). Dass die Dienstanbieter Voreinstellungen datenschutzfreundlich und nicht maximal vorteilhaft für die eigene Gewinnerzielung ausgestalten, wäre daher mutmaßlich auch im Sinne von Thaler und Sunstein.

Art. 25 Abs. 2 DSGVO stellt mithin eine Ermächtigungsgrundlage für Privacy Nudges in Form von datenschutzfreundlichen Voreinstellungen dar (Herfurth/Benner-Tischler, ZD-Aktuell 2017). Fraglich ist, ob dies auch eine taugliche Ermächtigungsgrundlage für weitere digitale Nudges sein kann. Bei Auslegung des Wortlauts von Art. 25 Abs. 2 DSGVO dürfte es schwer sein neben Default Nudges, also Voreinstellungen, auch weitere Arten von Nudges unter diesen zu subsumieren. Weitere Nudges könnten als technische und organisatorische Maßnahmen jedoch unter Art. 25 Abs. 1 DSGVO zu fassen sein. Der Wortlaut des Abs. 1 ist weiter und so unkonkret, dass er durch die Verantwortlichen ausgestaltet werden muss. Eine mögliche Ausgestaltung könnte die Verwendung datenschutzfreundlicher Nudges sein. Dies passt auch insoweit in die Systematik, als Art. 25 Abs. 2 DSGVO eine Konkretisierung des Absatz 1 ist (s.o.). Desweitern dürfte dies im Sinne des Verordnungsgebers sein, sofern so personenbezogene Daten geschützt werden können, ohne die Betroffenen ihrer Entscheidungsfreiheit zu berauben (vgl. Art. 1 Abs. 2 DSGVO).

Weiterführende Literatur:

Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, hrsg. v. Paal, B. P./Pauly, D. A., 2. Auflage, München 2018 (zitiert: Paal/Pauly, DSGVO/BDSG-Bearbeiter).

Baumgartner, U./Gausling, T., Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Was Unternehmen jetzt nach der DS-GVO beachten müssen, ZD 2017, 308–313.

Herfurth, C./Benner-Tischler, A., Nudging in der DS-GVO und die Wirkung von Privacy by Default, ZD-Aktuell 2017.

Hummel, D./Maedche, A., How effective is nudging? A quantitative review on the effect sizes and limits of empirical nudging studies, Journal of Behavioral and Experimental Economics 80 (2019), 47–58.

Laue, P., § 7 (Technischer und organisatorischer Datenschutz, in: Laue, P./Kremer, S. (Hrsg.), Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Auflage, Baden-Baden 2019.

Paal, B. P./Pauly, D. A. (Begr.), Datenschutz-Grundverordnung, bearb. v. Paal, B. P./Pauly, D. A., München 2017 (zitiert: -Bearbeiter).

Richter, P., Datenschutz durch Technik und datenschutzfreundliche Voreinstellung, in: Jandt, S./Steidle, R. (Hrsg.), Datenschutz im Internet. Rechtshandbuch zu DSGVO und BDSG, Baden-Baden 2018, 356–374.

Thaler, R. H./Sunstein, C. R., Nudge (Wie man kluge Entscheidungen anstößt. 37366, Ungekürzte Ausgabe im Ullstein Taschenbuch, 13. Auflage, Berlin 2009.

Nudging als Chance und als Gefahr

OPPOR2NITIES AND RISKS

Bei den Default Nudges in digitalen Arbeitssystemen handelt es sich um eine Maßnahme im Sinne des Art. 25 Abs. 2 DSGVO. Die Literatur legt nahe, dass Default Nudges am effektivsten sind, da sie in digitalen Arbeitssystemen standartmäßig das Maß der Datensparsamkeit vorgeben ( Hummel/Maedche, Journal of Behavioral and Experimental Economics 80 (2019), 47). Alle anderen digitalen Privacy Nudges im Arbeitsumfeld wären nach der hier vertretenen Auffassung (s. o.) rechtlich als Datenschutzmaßnahmen durch Technikgestaltung gem. Art. 25 Abs. 1 DSGVO einzuordnen. Konkretere technische und organisatorische Maßnahmen werden in Art. 25 Abs. 1 DSGO nicht genannt, weswegen den Verantwortlichen ein weiter Gestaltungsspielraum gewährt wird. Wichtig ist jedoch, dass die technischen und organisatorischen Maßnahmen dafür ausgelegt sein müssen, die in Art. 5 DSGVO kodierten Grundätze wirksam umzusetzen ( Hartung, in: Kühling/Buchner, Datenschutz-Grundverordnung/BDSG, 2. Aufl., Rn. 5).

Um die Vorgaben des Art. 25 DSGVO vollständig im Unternehmen umzusetzen und sich nicht der Gefahr eines hohen Bußgeldes gem. Art. 83 Abs. 4 DSGVO auszusetzen, werden weitere technische und organisatorische Maßnahmen zu treffen sein. Privacy Nudges können jedoch eine dieser Maßnahme im Sinne des Art. 25 DSGVO sein, um den Schutz von personenbezogenen Daten und der Privatheit von Mitarbeiter*innen zu verbessern. Somit können Privacy Nudges einen wichtigen Beitrag dazu leisten, den sehr abstrakten Art. 25 DSGVO mit Leben zu füllen. Privacy Nudging kann daher eine Chance für individuelle Umsetzung der Vorgaben der DSGVO im Unternehmen sein.

Der weite Spielraum des Art. 25 DSGVO kann für Unternehmen jedoch auch eine Gefahr darstellen. Bei einer individuellen Umsetzung ist es schwierig mit Sicherheit zu sagen, wann ausreichend technische und organisatorische Maßnahmen umgesetzt wurden und somit kein Bußgeld mehr droht. Außerdem besteht die Gefahr, dass das Konzept des Nudgings für andere Ziele als den Schutz personenbezogener Daten verwendet wird. Dieselben Mechanismen funktionieren auch, wenn man die Nutzenden zu mehr Datenfreigabe bewegen will. Als Beispiel seien nur die Cookie Banner verschiedenster Websites genannt, die den Butten „Alle Cookies akzeptieren“ besonders hervorheben, z. B. durch ein grünes Framing, und die Option „Alle Cookies ablehnen“ maximal klein und grau darstellen oder sogar in den weiteren Einstellungen verstecken.

Informationelle Selbstbestimmung

Informationelle Selbstbestimmung stellt einen Grundpfeiler der Thematik des digitalen Privacy Nudgings dar. In seinem berühmten Volkszählungsurteil vom 15.12.1983 entwickelte das BVerfG das Grundrecht auf informationelle Selbstbestimmung. Dort zieht das BVerfG die Schlussfolgerung:

„Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ (BVerfGE 65, 1 (43).

Der Schutzbereich wird weit verstanden, denn vor dem Hintergrund der automatischen Datenverarbeitung gibt es nach Ansicht des BVerfG kein belangloses Datum mehr (BVerfGE 65, 1 (45). Demnach fällt zunächst jedes personenbezogene Datum in den Schutzbereich des Rechts auf informationelle Selbstbestimmung. Diese umfasst jedoch gerade auch die Möglichkeit, Daten in großem Umfang preiszugeben. Daher ist eine (DSGVO konforme) Einwilligung in die Verarbeitung personenbezogener Daten gerade Ausdruck der informationellen Selbstbestimmung (Kühling/Klar/Sackmann 2018, Rn. 61).

Auch dieses Grundrecht ist nicht schrankenlos gewährleistet. Niemand hat ein Recht im Sinne einer „absoluten, uneinschränkbaren Herrschaft über „seine“ Daten“ (BVerfGE 65, 1 (43 f.)). Einschränkungen durch überwiegende Allgemeininteressen sind grundsätzlich hinzunehmen. Diese bedürfen jedoch einer gesetzlichen Grundlage, die insbesondere dem Grundsatz der Verhältnismäßigkeit und dem Gebot der Normenklarheit entsprechen muss (Kühling/Klar/Sackmann 2018, Rn. 64; BVerfGE 65, 1 (44)).

Informationelle Selbstbestimmung im Arbeitsverhältnis

how 2 be informationally self-determined in the employment relationship

Im Rahmen der mittelbaren Drittwirkung ist das Recht auf informationelle Selbstbestimmung auf den privaten Bereich mit vergleichbaren Gefährdungslagen zu erstrecken (Kühling/Klar/Sackmann 2018, Rn. 68). Der Staat muss seine Bürger*innen also auch im Verhältnis untereinander in ihrem Recht auf informationelle Selbstbestimmung schützen (ebd.). Sofern Schutz notwendig ist muss der Gesetzgeber Regelungen schaffen, die Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung durch Private abwehren (Maunz/Dürig, Grundgesetz-Kommentar-Di Fabio, Art. 2 Abs. 1 GG Rn. 189).

Eine Nebenpflicht (gem. §§ 242, 241 Abs. 2 BGB) der Arbeitnehmenden ist der Persönlichkeitsschutz (BeckOGK BGB-Maties, Stand: 01.12.2019, § 611a Rn. 1303 ff). Das allgemeine Persönlichkeitsrecht und damit auch seine Weiterentwicklungen, strahlen durch die Generalklausel des § 241 Abs. 2 BGB Wirkung auch innerhalb des Arbeitsverhältnisses aus (BeckOGK BGB-Maties, Stand: 01.12.2019, § 611a Rn. 1318). Im Hinblick auf das informationelle Selbstbestimmungsrecht besteht im Berufsumfeld ein Spannungsverhältnis zwischen dem Informationsinteresse der Arbeitgeber*innen und dem Persönlichkeitsrecht der Arbeitnehmer*innen (BeckOGK BGB-Maties, Stand: 01.12.2019, § 611a Rn. 1370). Die beiden Interessen sind gegeneinander abzuwägen und in Ausgleich zu bringen.

Das Spannungsverhältnis zeigt sich im Arbeitsverhältnis besonders deutlich im Falle von Kündigungen bei rechtswidriger Informationsgewinnung (VGH Mannheim, Beschl. v. 28. 11. 2000, NJW 2001, 1083 ff. – Verdachtskündigung auf Grund von DNA-Analyse) und bei der Führung von Personalakten (BAG, Urt. v. 15. 7. 1987, NJW 1988, 791 f.;  Maunz/Dürig, Grundgesetz-Kommentar-Di Fabio, Art. 2 Abs. 1 GG Rn. 191). Weitere Konfliktpunkte ergeben sich beispielsweise bei der Videoüberwachung, der Nutzung moderner Telekommunikationsmittel und der Standortortung bei Dienstfahrzeugen (BeckOGK-Maties, § 611a BGB 1389 ff m. w. N.).

Beschäftigtendatenschutz

Seit dem 25.05.2018 gilt die DSGVO als Verordnung unmittelbar und muss, im Gegensatz zu einer Richtlinie, nicht durch den nationalen Gesetzgeber umgesetzt werden. Sie genießt einen Anwendungsvorrang gegenüber nationalen Regelungen. Es gibt jedoch in der DSGVO eine Vielzahl von Öffnungsklauseln, welche den Mitgliedstaaten wiederum Raum für nationale Regelungen gewähren (Kühling/Martini, EuZW 2016, 448). Eine dieser Öffnungsklauseln ist Art. 88 DSGVO, welcher es den Mitgliedstaaten erlaubt, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten im Beschäftigungskontext“ zu erlassen. Durch diesen Wortlaut wird indiziert, dass keine wesentlichen inhaltlichen Abweichungen von den allgemeinen Vorgaben der DSGVO erlaubt sind (Wybitul, NZA 2017, 413; Kort, ZD 2017, 319; Taeger/Rose, BB (Betriebs-Berater) 2016, 819). Art. 88 Abs. 2 DSGVO schreibt vor, dass die nationalen Vorschriften „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen“ umfassen.

Der deutsche Gesetzgeber hat davon in § 26 BDSG Gebrauch gemacht und orientierte sich dabei erkennbar an § 32 BDSG a.F., welcher zuvor den Beschäftigtendatenschutz regelte (Wybitul, NZA 2017, 413). So wurde der Kern der alten Regelung übernommen und es werden nach wie vor alle drei Phasen des Beschäftigungsverhältnisses, nämlich seine Begründung, Durchführung und Beendigung, erfasst. Diese strukturelle Ähnlichkeit soll für eine gewisse Kontinuität im deutschen Beschäftigtendatenschutz sorgen (Kort, NZA 2018, 1097). Inhaltlich geht die neue deutsche Regelung des Beschäftigtendatenschutzes jedoch deutlich über die bisherige hinaus (Kort, ZD 2017, 319).

26 Abs. 2 BDSG stellt klar, dass Beschäftigte auch weiterhin im Rahmen des Beschäftigungsverhältnisses in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Dies ergibt sich zudem schon aus Erwägungsgrund 155 der DSGVO und entspricht auch der bisherigen Rechtsprechung des Bundesarbeitsgerichts. Um dem Über-/Unterordnungsverhältnis zwischen Arbeitgebenden und Arbeitnehmenden Rechnung zu tragen, werden mit § 26 Abs. 2 BSDG jedoch erhöhte Anforderungen an die Freiwilligkeit der Einwilligung gestellt. Die Arbeitgebenden müssen bei der Beurteilung der Freiwilligkeit immer die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Personen berücksichtigen. Von der Freiwilligkeit der Einwilligung ist jedoch auszugehen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder sofern Arbeitgeber*innen und Arbeitnehmer*innen gleichgelagerte Interessen verfolgen. Eine Einwilligung der Arbeitnehmer*innen in die Verarbeitung ihrer personenbezogenen Daten mit inkludierten Privacy Nudges dürfte daher auch unproblematisch möglich sein, da in der Regel sowohl die Arbeitgeber*innen als auch der Arbeitnehmenden ein Interesse an datenschutzfreundlicher Ausgestaltung der Datenverarbeitung haben. Beschäftigte müssen jedoch über ihr Widerrufsrecht gem. Art. 7 Abs. 3 DSGVO aufgeklärt werden und können ihre Einwilligung jederzeit widerrufen. Darüber hinaus kann die Datenverarbeitung gem. § 26 Abs. 4 BDSG jedoch auch auf der Grundlage einer Kollektivvereinbarung erfolgen.

Problematischer könnte die unklare Rolle des Betriebsrats sein. Weder die DSGVO noch § 26 BDSG befassen sich mit der Frage, ob der Betriebsrat eigenständiger Datenverarbeiter oder Teil der Arbeitgeber*innen als der für die Datenverarbeitung Verantwortliche ist (Kort, ZD 2017, 319; Kort, NZA 2018, 1097). Der Entwurf des Betriebsrätemodernisierungsgesetzes (BT-Drs. 19/28899) sieht jedoch in § 79a BertVG-E vor, dass die Arbeitgeber*innen für die Verarbeitung Verantwortliche sind, soweit  der  Betriebsrat  zur  Erfüllung  der  in  seiner  Zuständigkeit  liegenden  Aufgaben personenbezogene Daten verarbeitet. Außerdem sollen sich Arbeitgeber*innen und der Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen. Diese Regelung im Entwurf ist jedoch nicht unumstritten, weswegen die weitere Entwicklung zu beobachten bleibt.

Der Betriebsrat könnte gem. § 87 BetrVG ein Mitbestimmungsrecht bei der Ausgestaltung der Nudges haben. Privacy Nudges dürften für den Betriebsrat jedoch durchaus zustimmungsfähig sein. Bei Beachtung der überschaubaren Besonderheiten des Beschäftigungsdatenschutzes mit Relevanz für Nudging stehen auch Art. 88 DSGVO und § 26 BDSG der Umsetzung der Vorgaben der DSGVO durch Privacy Nudges nicht entgegen.

 

 

Weiterführende Literatur:

beck-online.GROSSKOMMENTAR. zum Zivilrecht, hrsg. v. Gsell, B./Krüger, W./Lorenz, S., et al., München (zitiert: BeckOGK-Bearbeiter).

Maunz, T./Dürig, G. (Begr.), Grundgesetz. Kommentar, bearb. v. Herzog, R./Herdegen, M./Scholz, R., et al., 90. Ergänzungslieferung, Februar 2020, München 2019 (zitiert: Maunz/Dürig, Grundgesetz-Kommentar-Bearbeiter).

Kort, M., Der Beschäftigtendatenschutz gem. § 26 BDSG-neu (Ist die Ausfüllung der Öffnungsklausel des Art. 88 DS-GVO geglückt?, ZD 2017, 319–323.

Kort, M., Die Bedeutung der neueren arbeitsrechtlichen Rechtsprechung für das Verständnis des neuen Beschäftigtendatenschutzes, NZA 2018, 1097–1105.

Kühling, J./Klar, M./Sackmann, F., Datenschutzrecht, 4. Auflage, Heidelberg 2018.

Kühling, J./Martini, M., Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Detenschutzrecht?, EuZW 2016, 448–453.

Taeger, J./Rose, E., Zum Stand des deutschen und europäischen Beschäftigtendatenschutzes, BB (Betriebs-Berater) 2016, 819.

Wybitul, T., Der neue Beschäftigtendatenschutz nach Art. 26 BDSG und Art. 88 DSGVO, NZA 2017, 413–419.