§ 1 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) regelt die Verpflichtung eines bestimmten Personenkreises, dass Datengeheimnis zu wahren. Das Datengeheimnis bezweckt den Schutz personenbezogener Daten i.S.d. § 3 Abs. 1 BDSG. Danach sind personenbezogene Daten alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dem Datengeheimnis unterliegen alle beschäftigten Personen, die Daten verarbeiten. Dazu zählt zunächst jeder Beschäftigte mit Datenverarbeitungsbefugnissen. Ihnen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Im Einzelfall kann es jedoch ausreichen, wenn Beschäftige ohne die Befugnis zur Datenverarbeitung Datenkenntnis erhalten. Das Datengeheimnis ist bereits dann durch unbefugtes Handeln verletzt, wenn die Datenverarbeitung aus der Sicht der verantwortlichen Stelle zulässig ist, der Arbeitnehmer jedoch, die ihm intern zugewiesenen Zugriffsrechte überschreitet.

Nach § 5 Satz 2 BDSG sind Unternehmen und Behörden von der Pflicht betroffen, Arbeitnehmer – soweit diese bei der Datenverarbeitung beschäftigt sind – zu Beginn ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Eine Verpflichtung auf das Datengeheimnis sollte aus Beweisgründen schriftlich erfolgen. Zudem könnte es erforderlich sein, Mitarbeiter von Fremdfirmen, die als Externe Tätigkeiten für ein Unternehmen ausüben, sicherheitshalber auf das Datengeheimnis zu verpflichten. Diese kann aus Praktikabilitätsgründen auch in Form einer allgemeinen Firmenerklärung erfolgen.

Die Verpflichtung das Datengeheimnis zu wahren, gilt nicht nur während des Zeitraums eines Beschäftigungsverhältnisses, sondern auch darüber hinaus nach § 5 Satz 3 BDSG. Demzufolge ist auch nach Beendigung eines Arbeitsverhältnisses Stillschweigen über die Kenntnis personenbezogener Daten zu bewahren.

Die Datenschutzgrundverordnung (DSGVO) trat im Mai 2018 in Kraft. Das Bundesdatenschutzgesetz (BDSG) wurde ebenfalls im Mai 2018 geändert, um die Vorgaben der DSGVO umzusetzen.

§ 1 Abs. 1 des BDSG regelt nunmehr die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes oder der Länder sowie nach § 1 Abs. 4 BDSG für nichtöffentliche Stellen, unter anderem wenn der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet sowie ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vornimmt. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als solche definiert die DSGVO eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Sensibel und damit besonders schützenswert sind gemäß § 9 DSGVO unter anderem politische Meinungen, genetische Daten oder Daten zu einer Gewerkschaftszugehörigkeit.

Beispiele für personenbezogene Daten sind der Vor- und Zuname, die Anschrift, Bankdaten, körperliche Merkmale wie eine Schwerbehinderung etc. einer betroffenen Person. Auf Arbeitgeber (als Verantwortliche) und Arbeitnehmer (als betroffene Personen) treffen diese Vorschriften also zu.

Die §§ 32 und 33 BDSG i.V.m. Art. 13 Abs. 4 der DSGVO regeln sodann eine Informationspflicht bei der Erhebung von personenbezogenen Daten. Bei Erhebung der Daten müssen sodann unter anderem die Kontaktdaten des Verantwortlichen, der Zweck der Erhebung, ggf. das berechtigte Interesse zur Erhebung und die Absicht der Weiterleitung angezeigt werden.

Arbeitnehmer müssen in die Erhebung ihrer Daten einwilligen. Wie bereits vor Inkrafttreten der DSGVO darf das Eingehen eines Arbeitsverhältnisses nicht von der Einwilligung zur Verarbeitung personenbezogener Daten abhängig gemacht (Koppelungsverbot). Die Erteilung zur Bearbeitung personenbezogener Daten muss vielmehr freiwillig erfolgen.

Für die Datenverarbeitung von Beschäftigten sieht § 26 BDSG Sonderregelungen vor. Der Begriff der Beschäftigten ist hierbei weit gefasst und umfasst auch z.B. Auszubildende, Zivildienstleistende, Freiwillige im Jugendfreiwilligendienst, ehemalige Beschäftigte, Beamte und Richter. Diese Regelungen sind nach § 26 Abs. 8 S. 2 BDSG ebenfalls auf Bewerber/innen anzuwenden.

Die Daten Beschäftigter dürfen für Zwecke des Arbeitsverhältnisses verarbeitet werden, soweit dies erforderlich ist, die Verarbeitung unterliegt aber den strengen Regeln des Art. 5 DSGVO. Für die Einhaltung dieser Grundsätze muss der Arbeitgeber geeignete Maßnahmen treffen (§ 26 Abs. 5 BDSG). Ansonsten gelten die allgemeinen Regeln von BDSG und DSGVO: Auch im Arbeitsverhältnis gelten die Informationspflichten, welche weit umfangreicher sind als sie es vor Inkrafttreten der DSGVO waren. Die Information hat direkt bei Erhebung der Daten zu erfolgen. Darüber hinaus haben die Betroffenen Auskunftsrechte hinsichtlich des Umgangs mit ihren Daten. Hierunter fallen beispielsweise die Dauer der Speicherung der Daten, ein Recht auf Berichtigung oder Löschung unrichtiger Daten, ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 15 DSGVO).

§ 26 Abs. 4 BDSG gestattet sodann bei der Beachtung bestimmter inhaltlicher Anforderungen die Verarbeitung personenbezogener Daten für die Zwecke des Beschäftigungsverhältnisses auf Grundlage von Kollektivvereinbarungen, also Betriebsvereinbarungen und ggf. Tarifverträgen.