Erläuterung
Mit dem Erlass der DSGVO vom 27.4.2016 ist in den Mitgliedsstaaten der Europäischen Union ein neues Kapitel im Datenschutz aufgeschlagen worden. Als deren Folge mussten die Mitgliedstaaten zur Herstellung eines gleichwertigen Schutzniveaus in allen Mitgliedsstaaten ihre bestehenden Datenschutzgesetze anpassen. In Deutschland ist dies mit Wirkung vom 25.5.2018 im BDSG 2018 geschehen. In diesem Gesetz wurde der bisherige § 32 mit seinen Regelungen zum Schutz personenbezogener Daten durch den jetzigen § 26 BDSG abgelöst. Dadurch wurde in Anwendung der Ermächtigung in Art. 88 DSGVO in Deutschland ein angemessenes Schutzniveau personenbezogener Daten hergestellt. Das BDSG regelt, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe durch öffentliche oder nicht-öffentliche Stellen im Sinne des § 1 Abs. 2 BDSG in diese Rechtspositionen zulässig sind. Es geht um die Durchschaubarkeit der Verarbeitung - dazu gehört auch die Erhebung - und Übermittlung personenbezogener Daten sowie die Überwachungssysteme am Arbeitsplatz unter Beachtung des Grundsatzes der Verhältnismäßigkeit.
Begriffe
Viele im Datenschutz bedeutsame Begriffe werden in Art. 4 DSGVO definiert. Sie gelten für das nationale DSG mit dem dort beschriebenen Inhalt. Besonders wichtig sind die dort enthaltenen Definitionen der "personenbezogenen" Daten und der "Verarbeitung". Dazu heißt e in Art. 4 Ziffer 1 und Ziffer 2 DSGVO:
" > personenbezogene Daten < auf eine identifizierte oder identifizierbare natürliche Person( im Folgenden >betroffene Person <) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind, identifiziert werden kann;
" > Verarbeitung < jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;"
Grundsätze des Datenschutzes
Auszugehen ist von der Charta der Grundrechte der Europäischen Union (GRC). Diese kann man sich als eine Art Grundgesetz der Europäischen Union vorstellen. Darin ist das Recht jeder Person auf Schutz ihrer persönlichen Daten verankert. Deren Art. 8 Abs. 1 gestattet die Verarbeitung personenbezogener Daten nur für festgelegte Zwecke und mit Einwilligung des Betroffenen oder gemäß einer gesetzlichen Grundlage.
Diese Vorgabe setzt die (EU-)DSGVO um. Deshalb heißt es in Art. 1 Abs. 2 DSGVO
" (2) Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher
Personen und insbesondere deren Recht auf Schutz personenbezogener Daten."
Dieses europäische Grundrecht besteht allerdings nicht uneingeschränkt. Es ist in einen Zusammenhang mit Grundrechten anderer Personen wie z.B. des Unternehmers auf Respektierung der unternehmerischen Freiheit oder anderer Gesetze zum Datenschutz zu sehen. Einschränkungen des Schutzes personenbezogener Daten müssen sich an dem unionsrechtlich vorgegebenen Grundsatz der Verhältnismäßigkeit orientieren. Das heißt nach EuGH v. 25.1.2018- C-473/16, sie müssen zur Erreichung des verfolgten Zieles geeignet und erforderlich sein. Die verursachten Nachteile dürfen nicht außer Verhältnis zu den durch die Einschränkung angestrebten Zielen stehen. Es geht um einen fairen Ausgleich der Interessen der Beschäftigten und des Unternehmens (siehe Münchner Handbuch Arbeitsrecht/Wybitul, Band 1, 6. Aufl. 2025, § 96 Rn. 12).
Über Art. 88 DSGVO werden den Mitgliedsstaaten Rechte zur Regelung des bei Ihnen geltenden Datenschutzes im Rahmen der Vorgaben der DSGVO eingeräumt. Davon hat der deutsche Gesetzgeber im BDSG Gebrauch gemacht.
Aus dem vorstehend dargestellten Zusammenhang erklärt sich, warum für das BDSG die in der DSGVO definierten Begriffsbestimmungen gelten, z.B. über die "personenbezogenen Daten" und die "Verarbeitung". Unter dem Begriff "personenbezogene Daten" ist aus Sicht des Betriebsrats die Definition der "Identifizierbarkeit" als Auslöser des Mitbestimmungsrechts des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG interessant. Diese wird zum Beispiel bei der Verwendung von KI immer gegeben sein.
Einzelne Grundprinzipien des Datenschutzes
Zentrale Grundsätze des Datenschutzes werden in Konkretisierung von Art. 8 GRC in Art. 5 DSGVO näher geregelt. Bei Verstößen gegen die Grundsätze des Art. 5 DSGVO drohen nach Art. 83 Abs. 5 Buchstabe a DSGVO Bußgelder bis zu 20 Millionen Euro. Daher ist es für Unternehmen und Betriebsräte wichtig, die Datenschutzgrundsätze zu kennen und auch umzusetzen. Darauf weist Wybitul in Münchner Handbuch Arbeitsrecht, Band 1 , 6. Aufl., 2025, § 96 Rn. 53 nachdrücklich hin.
Zu den Grundprinzipien des Datenschutzes gehören
- Rechtmäßigkeit
dazu heißt es in Art. 5 Abs. 1 Buchstabe a:" Personenbezogene müssen
a) auf rechtmäßige Weise, nach Treu und Glauben Daten und in einer für
die betroffene Person nachvollziehbaren Weise verarbeitet werden
(Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz )
b) Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
( Zweckbindung)
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein
(Datenminimierung)
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein
(Richtigkeit)
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Person
nur solange ermöglicht, wie es für Zwecke, für die sie verarbeitet werden,
erforderlich ist in Klammern
( Speicherbegrenzung )
f )in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter
oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeab-
sichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete
technische oder und organisatorische Maßnahmen
Bezüglich der Einhaltung der vorstehenden Grundprinzipien trifft den
Verantwortlichen nach Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht.
Der Grundsatz der Rechenschaftspflicht wird in Art. 24 Abs. 1 Satz 1 DSGVO konkretisiert. Die Rechenschaftspflicht erfordert nach Art. 30 DSGVO die Führung eines Verarbeitungsverzeichnisses. Dieses hat wiederum Auswirkungen auf den Ausgang von Schadenersatzprozessen gemäß Art. 82 DSGVO. Der Arbeitgeber kann dadurch die Einhaltung der Bestimmungen des Datenschatzrechtes nachweisen. Das ist besonders bedeutsam, wenn man aus der Pflicht zur Führung eines Verarbeitungsverzeichnisses eine Umkehr der Beweislast ableitet. Der klagende Betroffene muss dann nicht mehr die Verletzung des Datenschutzrechts nachweisen. Vielmehr wird dadurch dem Arbeitgeber der Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben auferlegt (Einzelheiten dazu siehe Wybitul in Münchner Handbuch Arbeitsrecht, Band 1, 6. Aufl., 2025, § 96 Rn. 73).
Die Frage nach dem Träger der Beweislast ist angesichts der drei Voraussetzungen für das Bestehen eines Schadenersatzanspruchs nach Art. 82 DSGVO bedeutsam. Dazu muss nachgewiesen werden
1. ein Verstoß gegen die DSGVO mit der oben benannten Beweislastumkehr,
2. der Eintritt eines konkreten Schadens materieller Art oder immaterieller Form
(z.B. Angstzustände wegen der Gefahr des Datenmissbrauchs) und
3. das Bestehen eines ursächlichen Zusammenhangs zwischen Verstoß und Schaden
(EuGH 4.5.2023 - C-300/21NZA 2023, 621(625); BAG v. 20.6.2024 - 8 AZR 124/23 in NZA 2024,1499 Rn. 13).
Nur bei schweren Datenschutzverstößen bedarf es unter Umständen keiner Begründung des Schadens (BAG v. 20.2.2025 - 8 AZR 61/24 in NZA 2025, 837 Rn. 22). In einer Entscheidung vom 25.7.2024 8 AZR 225/23 in NZA 2024,1580 Rn. 34 verzichtete das Gericht auf eine Darlegung des Schadens. Denn der Arbeitgeber hatte durch die Veranlassung einer detektivischen Überwachung eines krankgeschriebenen Arbeitnehmers auch im Bereich seines Wohnumfeldes besonders schwer gegen Art. 9 Abs. 1 DSGVO verstoßen. Dies habe einen immateriellen Schaden in Form eines Kontrollverlustes und dem Verlust der Sicherheit vor weiteren Beobachtungen im privaten Bereich ausgelöst. Die Entschädigung betrug 1500,00 Euro.
Einen häufigen Fall von Schadenersatzansprüchen betreffen verspätete oder unvollständige Auskünfte nach Art. 15 DSGVO. Der Frage eines dadurch auslösbaren Schadenersatzanspruches haben der BGH und das BAG dem EuGH vorgelegt (BAG v. 24.6.2025 - 8 AZR 4/25).
Nach § 26 Abs. 7 BDSG gelten die Grundsätze über die Behandlung personenbezogener oder beziehbarer Daten auch für die manuelle Verarbeitung wie sie z.B. in Form von Torkontrollen oder Fragebogenaktionen stattfindet. Deshalb müssen auch bei einer nicht automatisierten Verarbeitung von Beschäftigtendaten die Grundsätze des Art. 5 DSGVO eingehalten werden (Wybitul in Münchner Handbuch Arbeitsrecht, Band 1, 6. Aufl., 2025, § 96 Rn. 88).
Erlaubnistatbestände für die Datenverarbeitung
Erlaubnistatbestand des § 26 BDSG
Nach Art. 5 Abs. 1 Buchstabe a DSGVO muss die Verarbeitung personenbezogener Daten rechtmäßig in nachvollziehbarerweise erfolgen. Das heißt, die Daten dürfen nur auf das Basis eines Erlaubnistatbestandes verarbeitet werden. Nach Art. 88 DSGVO können solche Erlaubnistatbestände von den Mitgliedsstaaten erlassen werden. Der deutsche Gesetzgeber hat von dieser Möglichkeit in § 26 BDSG Gebrauch gemacht. Dieser gestattet die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Insoweit stellt dessen Abs. 1 Satz 1 eine nach Ansicht des EuGH vom 30.3.2023 - C-34/21 unwirksame, weil inhaltsgleiche Wiederholung des Art. 6 Abs. 1 Buchstabe b DSGVO dar. Dieses Urteil steht aber der Erlaubnis nicht entgegen. Denn die Erlaubnis kann dann aus Art. 6 Abs. 1 Buchstabe b abgeleitet werden. Das dort ebenfalls als Erlaubnistatbestand aufgeführte Merkmal der "Durchführung" des Vertrages ist weit auszulegen. Es betrifft auch Daten betreffend die Erfüllung von Nebenpflichten, z.B. ob der Arbeitnehmer im Home Office seinen Dienst-PC vertragswidrig auch für private Zwecke nutzt. Dazu hatte der Arbeitgeber in dem vom BAG am 27.7.2017 -2 AZR 681/16 in NZA 2017,1327 entschiedenen Fall einen sogenannten Keylogger installiert. Er hatte die dadurch gewonnenen Erkenntnisse zum Anlass für den Ausspruch einer Kündigung verwandt. Dagegen hatte der Arbeitnehmer mit dem Argument geklagt, die Datenerhebung sei rechtswidrig und damit die Aufzeichnungen des Keyloggers für die Beweiserhebung unzugänglich. Sein fehlender Protest gegen deren Verwertung sei nicht als "Einwilligung " zu verstehen. Insoweit gab das Bundesarbeitsgericht dem Kläger recht. Es wies dessen Klage aber ohne die Berücksichtigung der per Keylogger gewonnenen Daten ab. Die Entscheidung des Bundesarbeitsgericht erging zu § 32 BDSG alter Fassung. Dieser entspricht inhaltlich dem heute geltenden § 26 BDSG.
Erlaubnistatbestand gemäß einer Betriebsvereinbarung
Für die Betriebsparteien ist der Erlaubnistatbestand des § 26 Abs. 7 BDSG wichtig. Danach ist die Verarbeitung personenbezogener Daten auch auf der Basis von Kollektivvereinbarungen zulässig. Dazu gehören die für die Praxis besonders wichtigen Regelungen in Betriebsvereinbarungen. Dabei können die Betriebsparteien auch an einen Datenschutz durch Technikgestaltung im Sinne des Art. 25 DSGVO denken. Dies kann z.B. durch Voreinstellung von Löschungsvorgängen geschehen.
Erlaubnistatbestand der Erfüllung von Pflichten
Erlaubt ist auch die Verarbeitung personenbezogener Daten, wenn dies zur Erfüllung einer sich aus Gesetz, Tarifvertrag, oder einer Betriebsvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Der Arbeitgeber schuldet danach zum Beispiel dem Wahlvorstand für die Betriebsratswahl die Mitteilung aller Daten für die Anfertigung der Wählerliste, darunter das Geburtsdatum der Wahlberechtigten.
Bedeutung erlangt die Frage nach einem Erlaubnistatbestand auch im Zusammenhang mit der Übermittlung von personenbezogenen Daten an die Teilnehmer eines bEM Verfahrens. Man wird insoweit die nach § 167 Abs. 2 Satz 1 SGB IX sozialversicherungsrechtlich erforderliche Zustimmung bei praxisnaher Auslegung auch als datenschutzrechtliche Einwilligung des Betroffenen zur Verarbeitung seiner personenbezogenen Daten verstehen können. Denn dem Betroffenen ist bekannt, dass für das bEM-Verfahren seine Gesundheitsdaten eine herausragende Rolle spielen. Neben dem Erlaubnistatbestand des § 26 Abs. 2 könnte der Erlaubnistatbestand des § 26 Abs. 3 BDSG eingreifen. Denn der Arbeitgeber erfüllt mit der Durchführung eines bEM eine rechtliche Pflicht. Zum Ausschluss jeden Haftungsrisikos sollte der Arbeitgeber sich um eine zusätzliche datenschutzrechtliche Einwilligung in die Verarbeitung personenbezogener Daten im BEM-Verfahren bemühen. Einzelheiten zu der umstrittenen Datenverarbeitung im Rahmen eines bEM Verfahrens finden sich bei Wybitul in Münchner Handbuch Arbeitsrecht, Band 1 , 6. Aufl., 2025, § 96 Rn. 124.
Das Ergebnis eines bEM-Verfahrens kann die fehlende Weiterbeschäftigungsmöglichkeit des Arbeitnehmers feststehen. Diese Erkenntnis kann der Arbeitgeber ohne Verstoß gegen den Datenschutz gemäß § 26 Abs. 1 BDSG und ebenso nach Art. 6 Abs. 1 Buchst. b DSGVO für die Begründung einer Kündigung verwerten (siehe dazu Evermann in NZA 2021,1468).
Erlaubnistatbestand der Einwilligung
Ebenfalls zu den Erlaubnistatbeständen zählt nach § 26 Abs. 3 Satz 2 BDSG die Einwilligung des Beschäftigten. Diese ist im Zusammenhang mit Art. 6 Abs. 1 DSGVO zu lesen.
Von diesem Tatbestand wird in der Praxis häufig Gebrauch gemacht. An eine beachtliche Einwilligung stellt jedoch der Gesetzgeber in § 26 Abs. 2 BDSG einige Anforderungen. Diese müssen nachgewiesen werden können. Das dürfte angesichts der in § 26 Abs. 2 Satz 3 BDSG vorgesehenen Schrift- oder Textform möglich sein. Für die Einwilligung genügt eine E-Mail. Denn bei der Einwilligung handelt es sich nicht um eine Willenserklärung im Sinne von § 126 und § 126 a BGB (dazu Thüsing in NZA 2019,1399). Bedeutsamer ist aber das Erfordernis der Freiwilligkeit der erklärten Einwilligung. Diese Anforderung beruht auf Art. 7 DSGVO. Sie hat nach § 26 Abs. 2 BDSG besondere Voraussetzungen zu erfüllen. Dazu gehört eine ausreichende Informationsgrundlage als Ausdruck von Transparenz und Fairness. Die Einwilligung muss dem Bestimmtheitserfordernis genügen. Das heißt sie muss einen konkreten Fall betreffen. Die Einwilligung muss dem Formerfordernis genügen und demgemäß schriftlich oder elektronisch erklärt werden. Der Beschäftigt muss über sein Widerrufsrecht in Textform aufgeklärt worden sein (§ 26 Abs. 2 Satz 4 BDSG).
Ein Widerruf beseitigt eine zunächst wirksam erklärte Einwilligung nicht rückwirkend. Er erzeugt nur für die Zukunft ein Verbot sich auf die Einwilligung zu berufen. Es ist jedoch denkbar wenngleich auch umstritten, dass der Arbeitgeber sich dann auf einen anderen Erlaubnistatbestand beruft. Darüber sollte er den Arbeitnehmer informieren vgl. Wybitul in Münchner Handbuch Arbeitsrecht, Band 1, 6. Aufl., 2025, § 96 Rn. 141).
Eine ohne weitere Prüfung anzunehmende Einwilligung liegt vor, wenn der Arbeitnehmer nach § 83 BetrVG ein Betriebsratsmitglied zur Einsichtnahme in seine Personalakte zuzieht. Diesem ist dann ohne datenschutzrechtliche Beschränkungen Einsicht in die Personalakte zu gewähren. Die Zuziehung enthält zugleich die datenschutzrechtliche Einwilligung (Fitting, BetrVG, 32. Aufl. 2024, § 83 Rn. 16).
Erlaubnistatbestand der Aufdeckung von Straftaten
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten unter den in § 26 Abs. 1 Satz 2 BDSG aufgeführten Voraussetzungen verarbeitet, das heißt u.a. erhoben werden. Dafür bedarfs es eines zu dokumentierenden Anfangsverdachtes. Der Datenerhebung darf das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung nicht entgegenstehen. Insbesondere dürfen Art und Ausmaß der Erhebung im Hinblick auf den Anlass nicht unverhältnismäßig sein (§ 26 Abs. 1 S. 2 BDSG). Diese Vorgaben spielen für die nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtige Gestattung einer verdeckten Videoüberwachung eine Rolle. Die zur verdeckten Videoüberwachung ergangenen Entscheidungen des Bundesarbeitsgerichts vom 27.3.2003 – 2 AZR 51/02 und 20.10.2016 - 2 AZR 395/15 können insoweit nicht mehr ohne weitere Anpassung an die datenschutzrechtlich veränderte Rechtslage übernommen werden.
Betroffenenrechte
Die Betroffenenrechte sind in den Artikeln 12 bis 15 DSGVO geregelt. Sie enthalten umfangreiche Vorgaben zu den Rechten der von einer Datenverarbeitung im Sinne der Definition des Art. 4 Ziffer 2 der DSGVO betroffenen Person.
Diese Vorgaben betreffen zunächst deren antragslos zu erfüllende Information.
Dazu gehört nach Art. 13 Abs. 2 DSGVO auch das Bestehen eines Widerspruchsrechts und das Recht zum Widerruf einer erteilten Einwilligung der betroffenen Person.
Praktisch bedeutsam ist das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO. In diesem Zusammenhang besteht ein Anspruch auf Herausgabe einer Kopie. Nach dem Grundsatz der Verhältnismäßigkeit kann dieser Anspruch nicht sämtliche Vermerke, Personalvorgänge und personenbezogene E-Mails umfassen. Es kann nur um Kopien gehen, die den Auskunftsanspruch nach Art- 15 Abs. 1 DSGVO betreffen.
Alle Leistungen hat der Verantwortliche (Arbeitgeber) bis zur Grenze des Missbrauchs (Art. 12 Abs. 5 DSGVO) unentgeltlich zu erbringen. Der Auskunftsanspruch ist unverzüglich, spätestens innerhalb eines Monats zu erfüllen (Art: 12 Abs. 3 DSGVO). Andern falls droht dem Arbeitgeber eine Klage wegen "Kontrollverlustes"
Datenschutzbeauftragter
Sind in einem Betrieb mindestens 20 Personen mit einer automatisierten Datenverarbeitung beschäftigt, so ist für diesen Betrieb nach § 38 BDSG ein Datenschutzbeauftragter zu bestellen. Daran ist der Betriebsrat unter dem Aspekt der Einstellung oder der Versetzung nach § 99 BetrVG zu beteiligen. Die eigentliche Bestellung mit den daraus erwachsenden offiziellen Aufgaben nimmt der Arbeitgeber vor.
Dem Datenschutzbeauftragten stehen auch hinsichtlich der Datenverarbeitung durch den Betriebsrat die Prüf- und Kontrollrechte nach Art. 39 DSGVO zu (Fitting, BetrVG, 32. Aufl. § 79a Rn. 54; Schaub, Arbeitsrechtsrechts- Handbuch, 21. Aufl., 2025, § 231 Rn. 34). Dieser Rechte des Datenschutzbeauftragten bedarf es. Denn personenbezogene Daten der Beschäftigten werden vom Betriebsrat ständig "verarbeitet" im Sinne von Art. 4 Nr. 2 DSGVO. Dazu genügt bereits deren bloßes Erfassen und Speichern. Er ist insoweit auch für deren Schutz verantwortlich. Das heißt, z.B. er oder dessen einzelnes Mitglied dürfen nicht jedem beliebigen Ersatzmitglied gemäß § 34 BetrVG Einsicht in Akten mit persönlichen Daten der Mitarbeiter gewähren. Der Datenschutzbeauftragte müsste dies dem Betriebsrat erläutern und eventuelle Vorkommnisse der in Rede stehenden Art beanstanden. Er müsste dies aber dem Arbeitgeber nicht mitteilen. Denn der Arbeitgeber könnte dem Betriebsrat ohnehin keine Weisungen erteilen, obwohl er datenschutzrechtlich der "Verantwortliche " im Sinne des Art. 4 Ziffer 7 DSGVO ist. Für diese Funktion bedarf es eines "bestimmenden Einflusses" auf die Datenverarbeitung (EuGH v. 5.6.2018 -C-210/16 in NZA 2018,919 Rn. 28). Diesen übt der Arbeitgeber über den Datenschutzbeauftragten aus.
Der Datenschutzbeauftragte ist zur Geheimhaltung solcher Daten gegenüber dem Arbeitgeber verpflichtet, die Rückschlüsse auf die Arbeit des Betriebsrats erlauben. Datenschutzrechtlich bleibt der Arbeitgeber der "Verantwortliche".
(Literatur: Maschmann, Der Arbeitgeber als Verantwortlicher für den Datenschutz im Betriebsratsbüro? In NZA 2021,834).
Ordnungswidrigkeiten
Wer ordnungswidrig handelt, weil er vorsätzlich oder fahrlässig gegen Vorschriften des Bundesdatenschutzgesetzes verstößt, wird mit einer Geldbuße belegt (§ 43 BDSG). Wer vorsätzlich eine Ordnungswidrigkeit gegen Entgelt begeht oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft (§ 42 Abs. 2 BDSG). Das ist z. B. der Fall, wenn jemand vorsätzlich unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, zum Abruf mittels automatisierten Verfahrens bereithält, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft oder durch unrichtige Angaben erschleicht (§ 42 Abs. 2 BDSG).
Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen (§ 9a BDSG).
