Arbeitnehmerdatenschutz in der unternehmerischen Praxis unter besonderer Berücksichtigung der BDSG-Novelle

Inhaltsverzeichnis

Abkürzungsverzeichnis

Teil 1: Einleitung
A. Ausgangslage und Zielsetzung
B. Gang der Untersuchung

Teil 2: Hauptteil
A. Die Novellierung des Bundesdatenschutzgesetzes
I. Der Begriff der „Novelle“, Themeneingrenzung
II. Die Entwicklungshistorie der Novelle II
III. Erweiterung des Bußgeldrahmens
IV. Normierter Arbeitnehmerdatenschutz nach § 32 BDSG
1. Vorbemerkung
2. Einordnung in das BDSG
3. Anwendungsbereich des § 32 BDSG
a) Nicht-öffentliche Stellen oder öffentlich-rechtliche Wettbewerbs­unter­nehmen
b) Keine persönlichen oder familiären Zwecke
c) Automatisierte Verarbeitung
4. Der Begriff des Beschäftigten
5. Erlaubnistatbestände des § 32 Abs. 1 S. 1 BDSG
a) Begründung eines Beschäftigungsverhältnisses
b) Durchführung eines Beschäftigungsverhältnisses
c) Beendigung eines Beschäftigungsverhältnisses
d) Erforderlichkeit
6. Aufdeckung von Straftaten (§ 32 Abs. 1 S. 2 BDSG)
a) Inhalt der Regelung
b) Begriff der Straftat
c) Tatverdacht
d) Bezug zum Beschäftigungsverhältnis
e) Interessenabwägung
7. Verzicht auf Dateierfordernis (§ 32 Abs. 2 BDSG)
8. Beteiligungsrechte von Interessenvertretungen (§ 32 Abs. 3 BDSG)
9. Verhältnis zu § 28 BDSG
a) Erlaubnistatbestände des § 28 Abs. 1 S. 1 BDSG
b) Zwecksetzung des § 28 Abs. 1 S. 2 BDSG
c) Besondere Daten nach § 28 Abs. 6 bis 8 BDSG
10. „Korrektur“ durch Individual- oder Kollektivvereinbarung
a) Die Einwilligung des Beschäftigten
aa) Die freie Entscheidung des Beschäftigten
bb) Die formalen Voraussetzungen an die Einwilligung
(1) Zeitpunkt
(2) Vorherige Information
(3) Schriftformerfordernis
b) Kollektivvereinbarung
B. Die Auswirkungen auf die Begründung von Arbeitsverhältnissen
I. Fragerecht bei Einstellungsgesprächen
1. Vorüberlegungen
2. Schwangerschaft
3. Schwerbehinderung
4. Gewerkschafts-, Partei-, Religionszugehörigkeit
5. Vorstrafen
II. Die Nutzung von sozialen Netzwerken
III. Einstellungsuntersuchungen
IV. Bewerbungsunterlagen
V. Zwischenfazit
C. Die Auswirkungen auf bestehende Arbeitsverhältnisse
I. Erhebung, Speicherung und Nutzung von Arbeitnehmerdaten
1. Allgemeine Personaldaten
2. Krankheitsdaten
3. Compliance
4. Telekommunikationsdaten
a) Rein dienstliche IT-Nutzung
b) Zulässige private IT-Nutzung
5. Videoüberwachung
a) Begriffsdefinition
b) Anwendungsbereich des § 6b Abs. 1 BDSG
c) Anwendungsbereich des § 32 BDSG
II. Übermittlung und Veröffentlichung von Arbeitnehmerdaten
1. Internetveröffentlichungen
2. Werkszeitungen und Intranetveröffentlichungen
3. Übermittlung von Arbeitnehmerdaten

Teil 3: Schlussteil
A. Zusammenfassung der Ergebnisse
B. Ausblick

Literaturverzeichnis

Allgemeine Geschäftsbedingungen von sozialen Netzwerken

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Teil 1: Einleitung

A. Ausgangslage und Zielsetzung

Zahlreiche Datenskandale, die durch namhafte deutsche Unternehmen ausgelöst wurden, haben das Bewusstsein der Öffentlichkeit für das Problem des Erfassens, des Speicherns und der Verarbeitung von Daten verstärkt. Die Deutsche Bahn sah sich mit Vorwürfen konfrontiert, Mitarbeiterdaten für ein Massenscreening benutzt zu haben.^[1] Die Telekom erfasste systematisch Verbindungsdaten von Mitarbeitern, Aufsichtsrats- und Betriebsratsmitgliedern und wertete diese aus.^[2] Der Einzelhandelsriese Lidl erfasste detaillierte Krankheitsdaten seiner Mitarbeiter.^[3] Es gilt zu untersuchen, warum in diesen Fällen von „Skandalen“ gesprochen wurde und ob dies berechtigterweise erfolgte. Handelte es sich etwa um Skandale, weil gegen geltendes Recht verstoßen wurde, oder wurde diese Bezeichnung verwendet, weil ein möglicherweise moralisch verwerfliches Verhalten eben nicht gegen ein Gesetz verstößt?

Die oben genannten Vorfälle haben jedenfalls das Bewusstsein für den Arbeitnehmerdatenschutz in der Öffentlichkeit geschärft. Nachdem zahlreiche Schlagworte aus anderen Gebieten des Datenschutzrechts, wie die Vorratsdatenspeicherung von allgemeinen Telekommunikationsdaten^[4], die sog. Online-Durch­su­chung^[5] oder auch die Videoüberwachung^[6] ein Thema in der Presse waren, erlangte auch der Arbeitnehmerdatenschutz mehr Aufmerksamkeit. Die vorgenannten Schlagworte sind jedoch auch in Beschäftigungsverhältnissen relevant, wie die weitere Untersuchung zeigen wird.

Der Gesetzgeber hat die neu erlangte Aufmerksamkeit zum Anlass genommen, umfangreiche Änderungen am Bundesdatenschutzgesetz vorzunehmen. Insbesondere ist hierbei die Einführung des § 32 BDSG zu nennen, die mit der zweiten Novelle^[7] des BDSG im Jahre 2009 vorgenommen wurde. Dieser Paragraf wird oftmals als Einstieg in ein Beschäftigtendatenschutzgesetz gedeutet.^[8] Auch wenn bereits einige Forderungen nach einem eigenständigen Gesetz für den Beschäftigtendatenschutz aufgekommen sind^[9], so stellt das BDSG zum jetzigen Zeitpunkt neben der (nicht sehr umfangreichen) Rechtsprechung die einzige normierte rechtliche Grundlage für den Arbeitnehmerdatenschutz dar, wenngleich sich Datenschutznormen mit arbeitsrechtlichem Bezug auch im BetrVG, im GenDG und im AGG finden lassen.^[10] Eine Kodifikation ist bisher unterblieben.

Viele Bereiche der täglichen Personalarbeit in Unternehmen sind datenschutzrechtlich relevant. Schwerpunkte der Ausarbeitung werden datenschutzrechtliche Fragestellungen bei der Begründung von Arbeitsverhältnissen, der Kontrolle der Mitarbeiter in bestehenden Arbeitsverhältnissen und der Übermittlung bzw. Veröffentlichung von Arbeitnehmerdaten sein.

Ziel der Ausarbeitung ist es, die Änderungen des Bundesdatenschutzgesetzes aus dem Blickwinkel des Beschäftigtendatenschutzes darzustellen, diese in die unternehmerische Praxis einzuordnen und die Auswirkungen der Änderungen für die Parteien in Arbeitsverhältnissen zu bewerten. Es werden Handlungsempfehlungen insbesondere aus Arbeitgebersicht gegeben und rechtliche Folgen erörtert.

B. Gang der Untersuchung

In Teil 1 wird zunächst die Ausgangslage dargestellt, aus der sich die Notwendigkeit dieser Ausarbeitung ergibt. Es werden ferner die Ziele der Untersuchung erläutert (Kapitel A). Kapitel B des ersten Teils zeigt den Gang der Untersuchung auf und liefert damit einen strukturierten Überblick über die Systematik der Ausarbeitung.

Im Teil 2 folgt sodann der Hauptteil, der die eigentliche Analyse enthält. In Kapitel A wird die Novellierung des BDSG dargestellt; insbesondere wird dabei der neue § 32 BDSG im Detail analysiert. In Kapitel B werden anschließend die gewonnenen Erkenntnisse auf praxisrelevante Sachverhalte angewendet, welche die Begründung von Arbeitsverhältnissen betreffen. Kapitel C beschäftigt sich mit den Auswirkungen der Novellierung auf bestehende Arbeitsverhältnisse und umfasst dabei auch die Beendigung von Arbeitsverhältnissen.

Im Kapitel A des dritten Teils werden die Ergebnisse zusammengefasst. Anschließend wird ein Ausblick auf die aktuelle und zukünftige Entwicklung des Arbeitnehmerdatenschutzes gegeben. Da sich das Thema des Arbeitnehmerdatenschutzes während der Erstellung dieser Ausarbeitung noch immer im gesetzestechnischen Umbruch befindet, wird im Rahmen des Ausblicks der aktuelle Stand des Gesetzgebungsverfahrens dargestellt.

Teil 2: Hauptteil

A. Die Novellierung des Bundesdatenschutzgesetzes

I. Der Begriff der „Novelle“, Themeneingrenzung

Der Gesetzgeber hat die eingangs erwähnten Datenskandale zum Anlass genommen, im Jahr 2009 umfangreiche Änderungen am BDSG vorzunehmen. Es wurden drei voneinander unabhängige Gesetzesvorhaben zur Änderung der Datenschutznormen initiiert und umgesetzt. Es ging dabei nicht ausschließlich um eine Novellierung des Arbeitnehmerdatenschutzes; eine Novelle diente auch der Umsetzung der Verbraucherkreditrichtlinie^[11]. Eine weitere Novelle widmete sich der gestiegenen Bedeutung von Auskunfteien und Scoring-Werten.^[12]

Um diese zahlreichen Änderungen voneinander abzugrenzen und später darauf eindeutig Bezug nehmen zu können, wird hier ein kurzer Überblick über die drei Novellen gegeben. Der Gesetzgebungsprozess verlief insgesamt sehr kompliziert, was bereits anhand der in sich verschachtelten offiziellen Dokumente (Bundestags-, Bundesrats-Drucksachen) deutlich wird.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Übersicht über die BDSG-Novellen

Von entscheidender Bedeutung für den Arbeitnehmerdatenschutz ist die Novelle II. Die Bezeichnung des Artikelgesetzes zur Novelle II (DSÄndG) ist im Verhältnis zur Novelle I (BDSGÄndG) insoweit misslungen, als die Novelle II wesentlich umfangreichere Änderungen am BDSG beinhaltet. Daher wird die Novelle II unter dem oben genannten Schlagwort (s. Tabelle 1) zusammengefasst. Die Untersuchungen beschränken sich im Folgenden auf diese Novelle.

II. Die Entwicklungshistorie der Novelle II

Wie bereits erwähnt, zeichnete sich der Gesetzgebungsprozess der Novelle II durch einen komplexen Verlauf aus. Ausgangspunkt war der Referentenentwurf (RefE) eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits vom 22.10.2008.^[14] Dieser Entwurf beinhaltete noch keine Regelungen zum Arbeitnehmerdatenschutz. Die Bundesregierung beschloss am 10.12.2008 den Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften, der in weiten Teilen dem RefE vom 22.10.2008 entsprach.^[15] Zu dem Gesetzentwurf der Bundesregierung^[16] vom 02.01.2009 nahm der Bundesrat am 13.02.2009 Stellung. In dieser Stellungnahme forderte der Bundesrat die Bundesregierung auf, Regelungen zum Arbeitnehmerdatenschutz vorzulegen. In diesen Regelungen sollten die Grenzen zulässiger Datenerhebung, ‑verarbeitung und ‑verwendung klar definiert und die innerbetriebliche Datenschutzkontrolle sichergestellt werden, um Rechtssicherheit zu schaffen.^[17]

Am 18.02.2009 wurde daraufhin die Gegenäußerung der Bundesregierung dem Bundestag vorgelegt.^[18] Nach weitergehenden Anträgen^[19] und Beratungen wurde der Gesetzentwurf mit der Beschlussempfehlung des Innenausschusses^[20] am 03.07.2009 mit dem Titel „Gesetz zur Änderung datenschutzrechtlicher Vorschriften“ (DSÄndG) angenommen. Dieses Gesetz enthielt mit dem neuen § 32 BDSG nun erstmals eine Regelung zum Arbeitnehmerdatenschutz. Am 19.08.2009 wurde das DSÄndG im Bundesgesetzblatt verkündet.^[21] Es trat gemäß Art. 5 DSÄndG am 01.09.2009 bzw. am 01.04.2010 (Art. 1 Nr. 14 und 17 lit. a, cc DSÄndG) in Kraft. Durch das DSÄndG wurden Änderungen am BDSG (Art. 1 DSÄndG), am Telemediengesetz (Art. 2 DSÄndG) und am Telekommunikationsgesetz (Art. 3 DSÄndG) vorgenommen. Die umfangreichsten Änderungen erfuhr das BDSG.

III. Erweiterung des Bußgeldrahmens

Für die unternehmerische Praxis ist der geänderte § 43 BDSG von besonderer Bedeutung.^[22] Der darin enthaltene Bußgeldrahmen für ordnungswidriges Handeln wurde deutlich erweitert. So sieht § 43 Abs. 4 BDSG n. F. vor, dass Ordnungswidrigkeiten nach § 43 Abs. 1 BDSG n. F. mit einer Geldbuße von 50.000 EUR (vormals 25.000 EUR) und Ordnungswidrigkeiten nach § 43 Abs. 2 mit einer Geldbuße von 300.000 EUR (vormals 250.000 EUR) belegt werden. Eine Gewinnabschöpfung entsprechend § 10 UWG wurde nicht aufgenommen. Stattdessen legt § 43 Abs. 3 S. 2 BDSG n. F. fest, dass die Geldbuße den wirtschaftlichen Vorteil übersteigen soll. Sofern der wirtschaftliche Vorteil die festgelegten Beträge des Satzes 1 überschreitet, ist die Geldbuße nicht auf diese begrenzt (§ 43 Abs. 3 S. 3 BDSG). Diese Regelung wurde entsprechend dem § 149 Abs. 2 S. 2, 3 TKG übernommen. Zwar folgt sie bereits aus § 17 Abs. 4 OWiG, sie wurde jedoch zur Klarstellung aufgenommen.^[23]

Der neue, erweiterte Bußgeldrahmen trägt dabei der zunehmenden Bedeutung der Informationstechnik Rechnung. Zudem haben die wirtschaftliche Bedeutung personenbezogener Daten und das damit einhergehende Missbrauchspotenzial zugenommen.^[24]

Für den Personalverantwortlichen eines öffentlichen oder nicht-öffentlichen Unternehmens ist dabei vor allem der Tatbestand des § 43 Abs. 2 Nr. 1 von Bedeutung. Demnach handelt ordnungswidrig, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet. Inwieweit ein Personalverantwortlicher hiermit in Konflikt geraten kann, wird insbesondere in Kapitel B und C des zweiten Teils beleuchtet.

IV. Normierter Arbeitnehmerdatenschutz nach § 32 BDSG

1. Vorbemerkung

Der Gesetzgeber selbst erwähnt die eingangs dargestellten Datenskandale als Begründung für politischen Handlungsbedarf beim Datenschutz für Arbeitnehmer.^[25] Der mit der Novelle II eingeführte § 32 BDSG wird dabei auch aufseiten des Gesetzgebers als ein Einstieg in ein umfassendes Arbeitnehmerdatenschutzgesetz und somit nicht als abschließende Lösung angesehen.^[26] Die weitergehende Suche nach Lösungsansätzen zeigt sich bereits in Diskussionsentwürfen, die nach der hier vorgestellten BDSG-Novelle vorgebracht wurden.^[27]

Die Regierungsparteien beabsichtigen, den Arbeitnehmerdatenschutz in einem eigenen Kapitel im BDSG auszugestalten.^[28] Auch wenn die Bestrebungen zum Arbeitnehmerdatenschutz damit noch nicht abgeschlossen sind, ist dennoch die Analyse der aktuellen Rechtslage notwendig.

2. Einordnung in das BDSG

Zweck des Bundesdatenschutzgesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Insofern ist der Begriff des Datenschutzes missverständlich. Es sollen nicht die Daten selbst geschützt werden, sondern der Betroffene soll davor geschützt werden, dass seine personenbezogenen Daten für Zwecke verwendet werden, die sein Persönlichkeitsrecht beeinträchtigen. Als Betroffener gilt dabei gemäß Legaldefinition in § 3 Abs. 1 BDSG a. E. jede natürliche Person. Juristische Personen sind folglich nicht vom Schutz durch das BDSG umfasst.^[29]

Es werden lediglich personenbezogene Daten geschützt. Dabei handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG).

Das BDSG stellt sich als Verbotsnorm mit Erlaubnisvorbehalt dar. Dies zeigt sich an § 4 Abs. 1 BDSG. Demnach sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.^[30] Eine solche Erlaubnis erteilt § 32 BDSG für Beschäftigungsverhältnisse.

Der § 32 befindet sich im dritten Abschnitt des BDSG und bezieht sich folglich zunächst auf die Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen (dies entspricht der Überschrift des dritten Abschnitts). Von dieser Gesetzessystematik abweichend bezieht sich § 32 BDSG gemäß § 12 Abs. 4 BDSG allerdings auch auf öffentliche Stellen des Bundes, soweit keine spezifischen Normen für die Verarbeitung personenbezogener Daten im Dienstverhältnis bestehen.^[31] Somit gilt § 32 BDSG für alle in § 2 BDSG definierten öffentlichen und nicht-öffentlichen Stellen. Innerhalb dieser Ausarbeitung werden, insbesondere in Kapitel B und C des zweiten Teils, die Ausführungen auf nicht-öffentliche Stellen beschränkt. Öffentlich-rechtliche Regelungen (z. B. BBG, BPersVG) werden nicht behandelt.

3. Anwendungsbereich des § 32 BDSG

Den Anwendungsbereich des dritten Abschnitts und damit auch des § 32 BDSG regelt § 27 BDSG. Nach § 27 Abs. 1 BDSG müssen die folgenden Voraussetzungen kumulativ erfüllt sein, damit der dritte Abschnitt anwendbar ist.

a) Nicht-öffentliche Stellen oder öffentlich-rechtliche Wett­bewerbs­unter­nehmen

Die verantwortliche Stelle muss entweder eine nicht-öffentliche Stelle (§ 27 Abs. 1 S. 1 Nr. 1) oder ein öffentlich-rechtliches Wettbewerbsunternehmen sein (§ 27 Abs. 1 S. 1 Nr. 2).^[32] Mit nicht-öffentlichen Stellen sind gemäß § 2 Abs. 4 BDSG alle natürlichen und juristischen Personen des Privatrechts umfasst. Somit sind „klassische“ Unternehmensformen wie Personengesellschaften (Kommanditgesellschaft, offene Handelsgesellschaft) und Kapitalgesellschaften (GmbH, AG), aber auch Handwerker, Vereine und Gesellschaften des bürgerlichen Rechts (§§ 705 ff. BGB) als verantwortliche Stellen zu klassifizieren.

Entscheidend ist, dass das Gesetz auf die juristische Person abstellt und damit die rechtliche Einheit eines Unternehmens meint. Unbeachtet bleiben wirtschaftliche Verknüpfungen zwischen rechtlich eigenständigen Unternehmen. Insoweit ist dem Gesetz bezogen auf den Datenschutz ein Konzernprivileg fremd (vgl. später Rn. 175), d. h., auch Unternehmen innerhalb eines Konzernverbundes sind an die Vorgaben dieses Gesetzes gebunden, wenn personenbezogene Daten übermittelt werden.^[33]

Bei öffentlich-rechtlichen Wettbewerbsunternehmen handelt es sich um öffentliche Stellen des Bundes (§ 27 Abs. 1 S. 1 Nr. 2 lit. a BDSG) oder des Landes (§ 27 Abs. 1 S. 1 Nr. 2 lit. b BDSG), die in Konkurrenz zu privaten Personen oder Unternehmen stehen. Diese werden denselben gesetzlichen Vorgaben wie private Unternehmen unterworfen, damit es nicht zu Wettbewerbsverzerrungen kommen kann.^[34]

Die Ausarbeitung beschränkt sich im Folgenden (Kapitel B und C dieses Teils) auf privatrechtliche Unternehmen, auch wenn, wie eben gezeigt, für öffentliche Wettbewerbsunternehmen die gleichen Regelungen gelten.

b) Keine persönlichen oder familiären Zwecke

Datenverarbeitungen, die ausschließlich für persönliche oder familiäre Zwecke erfolgen, werden nicht von den Regelungen des BDSG umfasst (§ 1 Abs. 2 Nr. 3 Hs. 2; § 27 Abs. 1 S. 2 BDSG), auch wenn sie von den oben erläuterten verantwortlichen Stellen durchgeführt werden. Folglich wird die Verarbeitung von personenbezogenen Daten, die rein persönlich-privaten Zwecken dient, nicht vom BDSG reglementiert. Die Abgrenzung der geschäftlichen von den persönlichen oder familiären Zwecken gestaltet sich mitunter schwierig. Fällt bspw. die Speicherung von Daten einer in einem Privathaushalt angestellten Reinigungskraft auf dem privaten Computer des Arbeitgebers in den Anwendungsbereich des dritten Abschnitts? Fraglich ist hier, wieso der Reinigungskraft in diesem Fall der Arbeitnehmerdatenschutz verwehrt werden sollte. Dafür gibt es keine ersichtlichen Gründe. Die Nichtanwendbarkeit des dritten Abschnitts muss eng ausgelegt werden.^[35] Darüber hinaus sind persönliche oder familiäre Zwecke regelmäßig zu verneinen, wenn es um die Verarbeitung von Arbeitnehmerdaten geht.^[36]

c) Automatisierte Verarbeitung

Der dritte Abschnitt des BDSG gilt gemäß § 27 Abs. 2 BDSG nicht, wenn die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien erfolgt (also z. B. mithilfe von physischen, papiernen Akten). Einschränkend dazu legt der zweite Halbsatz jedoch fest, dass die Verarbeitung dennoch den Regelungen des BDSG unterliegt, wenn die Daten offensichtlich aus einer automatisierten Verarbeitung stammen. Schwierig scheint hier die Beurteilung der Offensichtlichkeit. Wann ist es offensichtlich, dass die verwendeten Daten aus einer automatisierten Verarbeitung stammen? Vielfach kann zwar noch nach dem äußeren Anschein der Aufbereitung auf eine vorherige automatisierte Verarbeitung geschlossen werden (z. B. bei Computerausdrucken).^[37] Dabei kommt es jedoch nicht auf die Erkennbarkeit der Herkunft aus einer automatisierten Verarbeitung für die verantwortliche Stelle an. Vielmehr ist die Kenntnis der verantwortlichen Stelle entscheidend.^[38] Handelt es sich um übermittelte Daten, sind für die Kenntnis die Hinweispflichten der übermittelnden Stelle nach § 28 Abs. 5 S. 3 BDSG und § 29 Abs. 4 BDSG von Bedeutung.

Dieses Abgrenzungsproblem ist jedoch im Hinblick auf den Arbeitnehmerdatenschutz von untergeordneter Bedeutung. § 32 Abs. 2 BDSG hebt die Beschränkungen des § 27 Abs. 2 im Anwendungsbereich des dritten Abschnitts auf (s. dazu Rn. 56 ff.).

4. Der Begriff des Beschäftigten

Die Begriffe des Einzelnen (§ 1 Abs. 1 BDSG) und des Betroffenen (§ 3 Abs. 1 BDSG a. E.) werden in § 32 Abs. 1 BDSG ergänzt um den Begriff des Beschäftigten. Dieser Begriff wurde mit der Novelle II neu aufgenommen. Er wird mit der Legaldefinition in § 3 Abs. 11 BDSG abschließend erläutert. Demnach sind unter dem Begriff des Beschäftigten nicht nur Arbeitnehmer i. e. S. zu verstehen, sondern u. a. auch folgende Personengruppen: die zur ihrer Berufsbildung Beschäftigten (§ 1 Abs. 1 BBiG), Ein-Euro-Jobber (§ 16d SGB II), Rehabilitanden (§§ 27 S. 2 Nr. 6, 42 und 74 SGB V), in anerkannten Werkstätten für behinderte Menschen Beschäftigte (§§ 136 ff. SGB IX), Beschäftigte in einem sog. freiwilligen sozialen Jahr (§ 2 JFDG), Heimarbeiter (§ 2 Abs. 1 HAG), Bewerber für ein Beschäftigungsverhältnis, ehemalige Beschäftigte sowie Beamte, Richter des Bundes, Soldaten und Zivildienstleistende. Der Begriff des Beschäftigten ist hier nicht gleichbedeutend mit der im Sozialversicherungsrecht zur Anwendung kommenden Definition.^[39]

Nicht aufgezählt werden Leiharbeitnehmer. Diese genießen allerdings den Datenschutz als Arbeitnehmer i. S. v. § 3 Abs. 11 Nr. 1 BDSG beim Verleiher. Erfolgt eine Datenverarbeitung beim Entleiher, so greift § 28 BDSG.^[40]

An dieser umfassenden Definition eines Beschäftigten zeigt sich, dass der Begriff des Arbeitnehmers gänzlich zu kurz greift.^[41] Besonders deutlich wird dies an den Personengruppen der Bewerber für ein Beschäftigungsverhältnis und den ehemaligen Beschäftigten, die gemäß § 3 Abs. 11 Nr. 7 BDSG auch vom Schutz des BDSG umfasst sind. Insofern kann nicht mehr von einem Arbeitnehmer datenschutz gesprochen werden, vielmehr handelt es sich um einen Beschäftigten datenschutz. Der Gesetzgeber folgt damit, wenn auch umfassender, den bereits vorhandenen Regelungen in § 6 Abs. 1 S. 2 AGG, die ebenfalls Bewerber dem Schutz des Gesetzes unterstellen.^[42] Im Rahmen dieser Ausarbeitung wird der Begriff des Arbeitnehmers im weiteren Sinne und damit synonym zum Begriff des Beschäftigten verwendet.

Das Einbeziehen des Beamten bei der Legaldefinition des Beschäftigten erscheint nur von geringem Nutzen.^[43] Zum einen sind Beamte des Landes aufgrund der gemäß § 1 Abs. 2 Nr. 2 BDSG vorgehenden Datenschutzgesetze der Länder nicht vom Schutz des § 32 BDSG umfasst. Zum anderen gilt für Beamte des Bundes der § 32 BDSG schon durch die Verweisungsvorschrift des § 12 Abs. 4 BDSG, selbst wenn § 27 Abs. 1 BDSG, wie oben erläutert, den Anwendungsbereich des dritten Abschnitts auf die nicht-öffentlichen verantwortlichen Stellen beschränkt. Weiterhin kommt selbst diese Verweisungsvorschrift nicht zum Zuge, seit das Personalaktenrecht für Beamte abschließend bereichsspezifisch in den §§ 106 ff. BBG geregelt ist.^[44] Diese Regelungen gehen gemäß § 1 Abs. 3 BDSG vor. Dies erkennt auch der Gesetzgeber und beschränkt die Anwendung des § 32 BDSG für Beamte des Bundes auf den Fall, dass diese bei nicht -öffentlichen Stellen beschäftigt sind.^[45]

5. Erlaubnistatbestände des § 32 Abs. 1 S. 1 BDSG

§ 32 Abs. 1 S. 1 BDSG normiert drei Erlaubnistatbestände (dazu im Folgenden lit. a‑c), die im Zusammenhang mit dem Beschäftigungsverhältnis stehen. Der Paragraf lautet wie folgt:

„Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.“

Dieser Satz fügt sich damit in das System des BDSG insoweit ein, als von der allgemeinen Verbotsnorm des § 4 Abs. 1 BDSG ausgehend eine Erlaubnis erteilt wird. Erlaubt werden die in § 3 Abs. 3 bis 5 BDSG definierten Umgangsarten mit personenbezogenen Daten: das Erheben, das Verarbeiten und das Nutzen.

Die für die Erteilung der Erlaubnis zur Datenerhebung, ‑verarbeitung und ‑nutzung notwendigen Voraussetzungen werden im Folgenden näher betrachtet.

a) Begründung eines Beschäftigungsverhältnisses

Zunächst dürfen personenbezogene Daten eines Beschäftigten nur zum Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden. Diese Zweckbestimmung wird im folgenden Halbsatz durch verschiedene Varianten präzisiert. Nach § 32 Abs. 1 S. 1 Alt. 1 BDSG ist die Erhebung, Verarbeitung oder Nutzung erlaubt, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. In diesem Erlaubnistatbestand spiegelt sich auch die Definition des Bewerbers als Beschäftigter gemäß § 3 Abs. 11 Nr. 7 BDSG wider. Bereits vor dem Beginn eines Beschäftigungsverhältnisses greift folglich der „Arbeitnehmerdatenschutz“^[46]. Der Gesetzgeber stellt damit nicht auf das Bestehen eines abhängigen Arbeitsverhältnisses ab, sondern auf die Schutzbedürftigkeit dieser Personengruppe.^[47] Als Beispiel für die Erlaubnis zur Erhebung von personenbezogenen Daten, die zur Begründung eines Beschäftigungsverhältnisses erforderlich sind, nennt die Gesetzesbegründung das Fragerecht des Arbeitgebers in Einstellungsgesprächen.^[48] Die Grundsätze über das Fragerecht des Arbeitgebers hatten sich bereits im Arbeitsvertragsrecht entwickelt, bevor der Begriff „Datenschutz“ existierte.^[49] Durch die zunächst unscheinbare, aber weitgehende Erweiterung des Anwendungsbereiches des BDSG in § 32 Abs. 2 BDSG kann das Fragerecht, das bisher aus dem Persönlichkeitsrecht abgeleitet wurde, in das BDSG überführt werden.^[50]

b) Durchführung eines Beschäftigungsverhältnisses

§ 32 Abs. 1 S. 1 Alt. 2 BDSG normiert eine weitere Ausnahme von der Verbotsnorm des § 4 Abs. 1 BDSG. Demnach ist das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten erlaubt, sofern dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Hiermit sollen laut Gesetzesbegründung die durch die Rechtsprechung erarbeiteten Grundsätze für den Datenschutz von Beschäftigten, die in einem Anstellungsverhältnis i. S. v. § 3 Abs. 11 Nr. 1-6, 8 BDSG stehen, festgeschrieben werden.^[51] Dem Arbeitgeber ist es somit erlaubt, all diejenigen Daten zu erheben, die er zur Erfüllung seiner vertraglichen Pflichten gegenüber dem Beschäftigten benötigt, so z. B. Pflichten im Zusammenhang mit der allgemeinen Personalverwaltung sowie der Verdienstabrechnung.^[52]

c) Beendigung eines Beschäftigungsverhältnisses

§ 32 Abs. 1 S. 1 Alt. 3 BDSG erteilt eine Erlaubnis für die Datenverwendung^[53] im Zusammenhang mit der Beendigung eines Beschäftigungsverhältnisses. Der Begriff der Beendigung ist dabei weit gefasst; er umfasst auch die Abwicklung eines Beschäftigungsverhältnisses.^[54] Folglich können alle Maßnahmen des Arbeitgebers, die damit in Zusammenhang stehen, auf diesen Paragrafen gestützt werden (z. B. Abmahnungen, Kündigungen, Berechnung der Betriebsrente nach dem Ausscheiden).^[55]

d) Erforderlichkeit

Bei den vorgenannten Tatbeständen, die eine Datenverwendung erlauben, ist stets die Grenze der Erforderlichkeit einzuhalten (§ 32 Abs. 1 S. 1 a. E.).^[56] Dabei ist zunächst zu prüfen, welcher Bezugspunkt für die Erforderlichkeit gilt. Hier könnte man zum einen den Zweck des Beschäftigungsverhältnisses, zum anderen die Entscheidung über die Begründung eines Beschäftigungsverhältnisses und die Durchführung bzw. Beendigung eines Beschäftigungsverhältnisses als Bezugspunkte ansehen.

Erfurth wertet die Formulierung des Gesetzestextes diesbezüglich als missglückt.^[57] Die von ihm angesprochene Problematik ergibt sich jedoch nach Meinung des Verfassers erst auf den zweiten Blick. Der § 32 Abs. 1 S. 1 BDSG ist schon aus sprachlicher Sicht eindeutig formuliert. Die satzbauliche Trennung in einen Haupt- und einen Nebensatz macht deutlich, dass der Bezugspunkt der Erforderlichkeit in der Entscheidung über die Begründung und in der Durchführung bzw. Beendigung eines Beschäftigungsverhältnisses zu finden ist. Erfurth erkennt dann auch richtigerweise, dass es sich hierbei um Kategorien von Zwecken eines Beschäftigungsverhältnisses handelt.^[58] Zudem erscheint schon das logische Ergebnis fragwürdig, wenn man das Kriterium der Erforderlichkeit auf den Zweck des Beschäftigungsverhältnisses bezieht. Dann könnte nämlich durch eine hinreichend enge Zwecksetzung (des Arbeitgebers)^[59] erreicht werden, dass jede Datenverwendung für zulässig erklärt wird.^[60]

Fraglich ist überdies, wie der Begriff der Erforderlichkeit zu verstehen ist. Vor der Novelle II des BDSG fand die Generalklausel des § 28 Abs. 1 S. 1 Nr. 1 BDSG a. F. Anwendung auf den Datenschutz im Beschäftigungsverhältnis.^[61] Die alte Fassung erlaubte das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten und die Nutzung für eigene Geschäftszwecke, wenn dies der Zweckbestimmung eines Vertragsverhältnisses „diente“. Durchaus umstritten ist, ob die nun einzuhaltende Erforderlichkeit lediglich eine Festschreibung der bisherigen Rechtslage ist oder über diese hinausgeht und somit strengere Anforderungen für die Erlaubnis zur Datenverwendung stellt.

Orientiert man sich am Wortlaut des Gesetzes, so ist zunächst eindeutig eine strengere Anforderung zu vermuten. Personenbezogene Daten dienen der Zweckbestimmung des Beschäftigungsverhältnisses, wenn sie wenigstens als nützlich anzusehen sind. Hingegen sind für die Einstufung von Daten als erforderlich wesentlich strengere Kriterien heranzuziehen. So ist die Bankverbindung eines Beschäftigten sicherlich ein nützliches Datum, da es dem Arbeitgeber damit ermöglicht wird, Lohn oder Gehalt bargeldlos (und damit mit geringerem Verwaltungsaufwand, also z. B. ohne die Notwendigkeit der Kassenhaltung) auszuzahlen. Als erforderlich kann die Verwendung der Bankverbindung für die Durchführung des Beschäftigungsverhältnisses allerdings in keinem Fall angesehen werden. Zur Leistung der vertraglich geschuldeten Vergütung nach § 611 Abs. 1 BGB kann sich der Arbeitgeber durchaus anderer Zahlungsmittel (Bargeld, Scheck) bedienen.^[62]

Das nunmehr obsolete Kriterium des Dienens wurde bereits bisher von der Rechtsprechung und Teilen der Lehre als Erforderlichkeit gewertet.^[63] Insofern trifft also die Einschätzung des Gesetzgebers zu, dass durch das geänderte BDSG keine Änderung der Rechtslage eintritt bzw. eintreten soll.^[64]

Zu klären ist noch, wie und durch wen eine Bewertung der Erforderlichkeit erfolgen soll. Eine objektive Festlegung scheidet schon aufgrund der Vielschichtigkeit der Personalarbeit aus. So werden sich bspw. mindestens zwei Meinungen dazu finden lassen, ob die Durchführung eines Assessment-Centers für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Auch beim Zweck der Durchführung eines Beschäftigungsverhältnisses würde die Festlegung eines bestimmten, erforderlichen Datenpools je nach Berufsbild zu kurz greifen.^[65] Hierbei könnten dann die berechtigten Interessen des Arbeitgebers als vernachlässigt angesehen werden.^[66] Deutsch/Diller sehen als Konsequenz aus dieser fehlenden Objektivierbarkeit die Entscheidungsbefugnis über die Erforderlichkeit beim Arbeitgeber. Die Erforderlichkeit der Datenverwendung müsse sich nach dem „unternehmerischen Konzept“ richten.^[67] Auch wenn die Autoren gute Gründe für ihre Einschätzung vorbringen, erscheint der gezogene Schluss als zu weitreichend. Dem Telos der Norm folgend muss stets eine Interessenabwägung vorgenommen werden.^[68] Erforderlich ist eine Maßnahme aus juristischer Sicht üblicherweise dann, wenn kein milderes Mittel existiert, das gleichermaßen geeignet ist, ein festgelegtes Ziel zu erreichen.^[69] Demzufolge kann die Erforderlichkeit dann bejaht werden, wenn das den Arbeitnehmer am wenigsten belastende Mittel gewählt wird.^[70] Zugleich sind auch die Interessen des Arbeitgebers zu berücksichtigen. Zwar steht dem Arbeitgeber auf Grundlage der Unternehmerfreiheit (Art. 12 und 14 GG) ein Beurteilungsspielraum zu, er ist jedoch in seiner Entscheidung über die Datenverwendung nicht gänzlich frei.^[71]

Zusammenfassend lässt sich sagen, dass einerseits die reine Nützlichkeit eines Datums nicht ausreichend das Kriterium der Erforderlichkeit erfüllt.^[72] Andererseits müssen die Daten aber auch nicht unverzichtbar für den Arbeitgeber sein, um als erforderlich zu gelten.^[73] Um sowohl die Standpunkte der Arbeitnehmer- als auch die der Arbeitgeberseite angemessen zu berücksichtigen, ist eine Interessenabwägung vorzunehmen. Diese hier vertretene Auffassung wird auch der Intention des Gesetzgebers gerecht, der lediglich eine Normierung und keine Änderung der Rechtslage beabsichtigte.^[74]

6. Aufdeckung von Straftaten (§ 32 Abs. 1 S. 2 BDSG)

a) Inhalt der Regelung

Zu kontroversen Diskussionen hat die Formulierung des § 32 Abs. 1 S. 2 BDSG geführt^[75], der wie folgt lautet:

„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Dieser Satz regelt folglich einen Sonderfall der Datennutzung im Arbeitsverhältnis und schränkt die durch Satz 1 gewährte Erlaubnis gleichsam ein. Dies wird durch die Formulierung mit „nur dann“ deutlich. Es geht hier um die Aufdeckung von Straftaten. Nach der Gesetzesbegründung orientiert sich diese Regelung sprachlich am Wortlaut des § 100 Abs. 3 S. 1 TKG und inhaltlich an der Rechtsprechung zur verdeckten Überwachung am Arbeitsplatz.^[76]

b) Begriff der Straftat

Fraglich ist zunächst, was mit „Straftaten“ gemeint ist. Die Gesetzesbegründung nennt dazu als Beispiele den Diebstahl (§ 242 StGB) und die Korruption (§§ 298 ff. bzw. 331 ff. StGB).^[77] Allgemein kann eine Straftat als eine rechtswidrige und schuldhafte Handlung oder Unterlassung definiert werden, die den Tatbestand eines Gesetzes erfüllt und die gleichzeitig mit einer Strafe geahndet wird (§ 1 StGB, Art. 103 Abs. 2 GG). Folgt man diesem Wortlaut, so sind Ordnungswidrigkeiten (§ 1 OWiG) und Verstöße gegen den Arbeitsvertrag nicht von dieser Norm erfasst.^[78] Zu Recht weisen hier Deutsch/Diller darauf hin, dass der Arbeitgeber auch ein berechtigtes Interesse an der Aufklärung von Ordnungswidrigkeiten hat. Insbesondere vor dem Hintergrund hoher Geldbußen von EU-Wettbewerbs­behörden liege es im Interesse des Arbeitgebers, Ordnungswidrigkeiten aufzuklären.^[79] Auch Vertragsverletzungen wolle der Arbeitgeber aufdecken.^[80] Dabei verkennen die Autoren jedoch, dass der § 32 BDSG als Schutznorm für Arbeitnehmer ausgestaltet ist.^[81] Insgesamt ist Absatz 1 Satz 2 damit, nicht nur in Bezug auf den Begriff der Straftat, eng auszulegen.^[82] Zudem kann eine Aufklärung von Vertragsbrüchen weiterhin auf § 32 Abs. 1 S. 1 BDSG gestützt werden.^[83] Gleiches gilt für Ordnungswidrigkeiten.^[84] So spricht der Gesetzgeber in der Gesetzesbegründung auch von „Straftaten und sonstigen Rechtsverstößen“, deren Verhinderung auf Satz 1 gestützt werden kann.^[85] Zu beachten ist hierbei jedoch, dass die Prüfung der Verhältnismäßigkeit keinesfalls großzügiger sein darf als bei der Aufdeckung von Straftaten nach Satz 2. Die Vertragsinteressen des Arbeitgebers unterliegen zweifelsohne einer anderen Gewichtung als die Realisierung des staatlichen Strafanspruches.^[86]

Als gleichsam unglücklich ist damit insgesamt die Formulierung des Satzes 2 zu werten. Formulierung und Intention des Satzes driften derart stark auseinander, dass dem Rechtsanwender die Arbeit nicht erleichtert wird.^[87]

c) Tatverdacht

Dem Arbeitgeber müssen tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, dass eine Straftat im Beschäftigungsverhältnis begangen wurde. Es müssen also Anhaltspunkte vorhanden sein, der bloße Verdacht des Arbeitgebers reicht nicht aus.^[88] Zudem müssen diese Anhaltspunkte dokumentiert werden. Deutsch/Diller kritisieren diesbezüglich, die Dokumentationspflicht des Arbeitgebers würde dem eigentlichen Zweck dieser Vorschrift zuwiderlaufen. Der Arbeitgeber wäre verpflichtet, die Dokumentation auch aufzubewahren, nachdem sich der Verdacht bereits zerstreut hätte, damit der Nachweis der Erfüllung der Dokumentationspflicht geführt werden könne.^[89] Dabei verkennen die Autoren, dass der Nachweis eben nur zu führen ist, wenn sich der Tatverdacht erhärtet. Ergibt sich kein Tatverdacht, sind die Dokumentationen zu löschen.^[90] Diese Vorgehensweise steht dann auch im Einklang mit § 35 Abs. 2 S. 2 Nr. 3 BDSG.

Damit die Datenverwendung zur Aufdeckung von Straftaten zulässig ist, muss der Verdacht bestehen, dass eine Straftat bereits begangen wurde. Als Tempus zur sprachlichen Gestaltung der Norm wurde vom Gesetzgeber das Präteritum gewählt. Dies impliziert, dass nur bereits in der Vergangenheit begangene Straftaten erfasst sind. Die Prävention von Straftaten ist somit nicht vom Satz 2 umfasst. Maßnahmen, die Straftaten im Vorfeld verhindern sollen, können nicht auf diesen Erlaubnistatbestand gestützt werden. Zum Verhältnis von präventiven zu repressiven Maßnahmen vgl. später das Kapitel zur Compliance (Rn. 142 ff.).

d) Bezug zum Beschäftigungsverhältnis

Das Gesetz schreibt fest, dass die Erhebung personenbezogener Daten nur zur Aufdeckung solcher Straftaten zulässig ist, die der Betroffene im Beschäftigungsverhältnis begangen hat. Die Erlaubnis zum Erheben von Daten bezieht sich folglich ausschließlich auf beschäftigungsbezogene Straftaten. Im Umkehrschluss heißt das, dass von der Erlaubnis nicht die Aufdeckung von Straftaten, die dem rein privaten Bereich zuzuordnen sind, umfasst ist.^[91] Präzisier formuliert: Die Straftat muss in Ausübung des Beschäftigungsverhältnisses begangen worden sein. So ist dies bspw. nicht der Fall, wenn der Beschäftigte in erlaubter privater Nutzung des betrieblichen Internetzugangs rechtsverletzend erstellte Dateien herunterlädt und sich so nach § 106 UrhG strafbar macht.^[92] Andererseits ist wohl nicht zwingend erforderlich, dass ein direkter Bezug zur Arbeitsaufgabe des Beschäftigten besteht (z. B. bei Entgegennahme von Bestechungsgeldern durch einen Einkaufsmitarbeiter, vgl. § 299 Abs. 1 StGB). Vielmehr reicht schon ein „erweiterter“ Bezug zur Arbeitsaufgabe (z. B. Diebstahl von Betriebsmaterial durch einen Angestellten) aus.^[93] Zusammenfassend lässt sich sagen, dass § 32 Abs. 1 S. 2 BDSG nur solche Straftaten erfasst, die sich gegen das Unternehmen richten. Die Ermittlungen in anders gelagerten Fällen sind Sache des Staates.^[94]

e) Interessenabwägung

Wie schon § 32 Abs. 1 S. 1 BDSG macht auch Satz 2 die Erlaubnis von der Erforderlichkeit der Maßnahmen abhängig. Diesbezüglich wird auf obige Ausführungen (Rn. 41 ff.) verwiesen. Hinzu kommt, dass Satz 2 ausdrücklich auf die schutzwürdigen Interessen des Beschäftigten verweist. Präzisiert wird dies durch den letzten Halbsatz von Satz 2, der festlegt, dass Art und Ausmaß der Erhebung, Verarbeitung und Nutzung im Hinblick auf den Anlass nicht unverhältnismäßig sein dürfen. Die Interessenabwägung des Satzes 2 trägt dabei der Tatsache Rechnung, dass Ermittlungen zur Aufdeckung von Straftaten regelmäßig stark in das allgemeine Persönlichkeitsrecht des Betroffenen eingreifen. Zu berücksichtigen sind bei der Abwägung dann die Art und Schwere der Straftat sowie die Intensität des Verdachts.^[95] Insoweit muss Deutsch/Diller widersprochen werden, die kein schutzwürdiges Interesse eines Straftäters erkennen wollen.^[96] Dabei lassen sie außer Acht, dass es eben nicht um den Schutz von Straftätern, sondern um den Schutz von Beschäftigten geht, die lediglich in Verdacht stehen, eine Straftat begangen zu haben. Diesen Beschäftigten muss sehr wohl ein schutzwürdiges Interesse zugebilligt werden. So muss also eine Verhältnismäßigkeitsprüfung erfolgen. Auf Bagatelldelikte und Verdachtsmomente ohne Fundierung findet Satz 2 demnach keine Anwendung.^[97]

7. Verzicht auf Dateierfordernis (§ 32 Abs. 2 BDSG)

Gemäß § 32 Abs. 2 BDSG ist Absatz 1 auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Diese nicht sehr eingängig formulierte und zunächst unscheinbare Regelung führt zu den wohl am weitesten reichenden Folgen für den Anwender in der unternehmerischen Praxis. Zunächst sind die Begrifflichkeiten dieses Absatzes zu klären, um dann auf den eigentlichen Inhalt der Norm schließen zu können.

Unter automatisierter Verarbeitung ist gemäß § 3 Abs. 2 S. 1 BDSG die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen zu verstehen. Eine nicht automatisierte Datei ist gemäß § 3 Abs. 2 S. 2 BDSG jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.

In seiner Formulierung bezieht sich § 32 Abs. 2 BDSG auf den § 27 Abs. 1 S. 1 BDSG, der den Anwendungsbereich des dritten Abschnitts des BDSG (und damit auch des § 32 BDSG) regelt. Demnach finden die Regelungen des dritten Abschnitts des BDSG nur Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden. Zusammengefasst geht es also um die elektronisch unterstützte Verarbeitung von personenbezogenen Daten oder – bei manuellem Vorgehen – um einen Dateibezug.^[98] Nur auf dateigebundene oder automatisierte Verarbeitung findet der dritte Abschnitt Anwendung.

§ 32 Abs. 2 BDSG negiert jedoch eben diese automatisierte (elektronisch unterstützte) und dateigebundene Verarbeitung und ordnet auch die nicht automatisierte Verarbeitung in den Geltungsbereich von Absatz 1 ein. Damit wird § 27 Abs. 1 S. 1 BDSG gleichzeitig konterkariert. § 32 Abs. 1 BDSG gilt daher nun für jede Form der Erhebung und Verarbeitung, d. h. auch für Personalvorgänge und ‑akten, die nicht unter den Dateibegriff fallen.^[99] Dem steht auch § 1 Abs. 2 Nr. 3 BDSG nicht entgegen, der ebenfalls wie § 27 Abs. 1. S. 1 BDSG die Anwendbarkeit auf den Einsatz von Datenverarbeitungsanlagen und die dateigebundene Verarbeitung beschränkt. Diese Grundentscheidung schließt nicht aus, dass eine darüber hinausgehende Regelung speziellere Beziehungen normiert.^[100]

Nicht-öffentliche Stellen i. S. v. § 2 Abs. 4 BDSG, also die gesamte private Wirtschaft, sind damit dem öffentlichen Dienst gleichgestellt.^[101] Für öffentliche Stellen i. S. v. § 2 Abs. 1 und 2 BDSG^[102] galt vor der Novelle II gemäß § 12 Abs. 4 Hs. 2 BDSG a. F. bereits der Verzicht auf das Dateierfordernis und auf die automatisierte Verarbeitung in Beschäftigungsverhältnissen. Dieser Halbsatz ist in § 12 Abs. 4 BDSG n. F. zwar nicht mehr zu finden. Der neue Paragraf verweist jetzt jedoch ausdrücklich auch auf § 32 BDSG, sodass im Ergebnis eine Gleichstellung von Beschäftigungsverhältnissen im öffentlichen und nicht-öffentlichen Bereich erfolgt ist.^[103]

Als Ergebnis bleibt festzuhalten, dass durch den neuen § 32 Abs. 2 BDSG und den damit verbundenen Verzicht auf das Dateierfordernis des § 27 Abs. 1 BDSG ab sofort bspw. auch Beschäftigtendaten in (papiernen) Personalakten, handschriftliche Notizen mit Personenbezug und Telefongespräche (Datenerhebung) mit ehemaligen Arbeitgebern eines Bewerbers den Regelungen des Arbeitnehmerdatenschutzes unterliegen.^[104]

8. Beteiligungsrechte von Interessenvertretungen (§ 32 Abs. 3 BDSG)

Absatz 3 stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben. Der Absatz hat damit rein deklaratorische Wirkung.^[105] Beispielhaft zu nennen sind hierfür das Mitbestimmungsrecht bei der formalisierten Erhebung von Personaldaten (§ 94 BetrVG, §§ 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 1 BPersVG) oder bei der Einführung und Anwendung technischer Einrichtungen zu Verhaltens- und Leistungskontrollen (§ 87 Abs. 1 Nr. 6 BetrVG, § 75 Abs. 3 Nr. 17 BPersVG). Man konnte nicht davon ausgehen, dass die Beteiligungsrechte der Interessenvertretungen durch den Beschäftigtendatenschutz außer Kraft gesetzt wurden. Dennoch verdeutlicht diese normative Klarstellung des Absatzes 3, dass die Interessenvertreter auch ihre Mitbestimmungs- und Mitwirkungsrechte in Bezug auf den Beschäftigtendatenschutz wahrzunehmen haben.^[106]

9. Verhältnis zu § 28 BDSG

a) Erlaubnistatbestände des § 28 Abs. 1 S. 1 BDSG

Gemäß § 28 Abs. 1 S. 1 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist (Nr. 1), soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und keine schutzwürdigen Interessen des Betroffenen anzunehmen sind (Nr. 2) oder wenn die Daten öffentlich zugänglich sind und berechtigterweise veröffentlicht wurden, ohne dass schutzwürdige Interessen des Betroffenen gegenüber denen der Daten verarbeitenden Stelle überwiegen (Nr. 3). Bei einem Beschäftigungsverhältnis handelt es sich auch um eine vertragliche Beziehung, die als rechtsgeschäftliches Schuldverhältnis i. S. v. Absatz 1 Satz 1 Nr. 1 einzustufen ist. Diese Norm ist also auch auf Beschäftigungsverhältnisse anzuwenden, soweit § 32 BDSG als lex specialis nicht vorgeht. Insoweit ist zu klären, in welchen Fällen die Regelungen des § 28 Abs. 1 S. 1 BDSG verdrängt werden und welche Reichweite diese Verdrängung hat. Fest steht, dass der neu geschaffene § 32 BDSG über den Wortlaut des Abs. 1 hinaus keine abschließende Regelung für die Datenverarbeitung im Arbeitsverhältnis darstellt.^[107]

Vor der Novelle II galt nach einhelliger Meinung von Lehre und Rechtsprechung für Beschäftigungsverhältnisse der § 28 Abs. 1 S. 1 Nr. 1 BDSG a. F.^[108] Man könnte nach der Intention und dem Wortlaut des § 32 BDSG zu dem Ergebnis kommen, dass § 28 Abs. 1 BDSG gänzlich durch den neuen § 32 BDSG verdrängt werden soll.^[109] Der Gesetzesbegründung ist allerdings zu entnehmen, dass nur § 28 Abs. 1 S. 1 Nr. 1 BDSG durch § 32 konkretisiert und somit verdrängt wird.^[110] Die speziellere Norm hat hier den Vorrang vor der allgemeineren. § 28 BDSG wird also nur teilweise vom neuen § 32 BDSG verdrängt.^[111] Im Übrigen kann eine Rechtfertigung der Datenverarbeitung nach § 28 Abs. 1 BDSG möglich sein.^[112]

Missverständlich ist allerdings die Formulierung des Gesetzgebers, dass § 28 Abs. 1 BDSG keine Anwendung findet, wenn personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden.^[113] Dies schließt freilich nicht aus, dass eine Datenverarbeitung oder –nutzung erlaubt sein kann, die zwar nicht der Durchführung eines Beschäftigungsverhältnisses dient, aber gleichwohl in einer anderen Beziehung zum Arbeitsverhältnis steht.^[114] Als Beispiel dazu nennt Däubler den Zugriff auf Mitarbeiterdaten während der Verhandlungen mit einem potenziellen Betriebserwerber.^[115]

So stellt auch der Gesetzgeber klar, dass für andere Zwecke im Verhältnis von Arbeitgeber und Beschäftigten die Vorschriften des BDSG, die eine Datenverwendung erlauben oder anordnen, weiterhin Anwendung finden können.^[116] Dazu gehören die Regelungen über die Datenverwendung zur Wahrung berechtigter Interessen des Arbeitgebers nach § 28 Abs. 1 S. 1 Nr. 2 BDSG und über die Datenübermittlung und ‑nutzung zur Wahrung berechtigter Interessen eines Dritten nach § 28 Abs. 3 S. 1 Nr. 1 BDSG.^[117] Dabei kann es jedoch zu Abgrenzungsschwierigkeiten kommen. Es muss letztlich bestimmt werden, welcher Zweck (der Zweck des Beschäftigungsverhältnisses oder der andere, beschäftigungsfremde Zweck) maßgeblich ist.^[118] Maßnahmen, die Zwecke des Beschäftigungsverhältnisses betreffen, wären dann nach den (strengeren) Regelungen des § 32 Abs. 1 zu beurteilen.

Als Zwischenergebnis lässt sich festhalten, dass § 28 Abs. 1 S. 1 Nr. 1 BDSG von § 32 BDSG verdrängt wird und § 28 Abs. 1 S. 1 Nr. 2 BDSG zwar nicht für Zwecke des Beschäftigungsverhältnisses, aber weiterhin für andere (soll heißen: beschäftigungsfremde) Zwecke, die gleichwohl einen Bezug zum Arbeitsverhältnis haben können, anwendbar bleibt.

Die Gesetzesbegründung gibt keine expliziten Hinweise auf die Verdrängung des § 28 Abs. 1 S. 1 Nr. 3 BDSG. Aus den oben erwähnten, missverständlichen Hinweisen des Gesetzgebers zur Verdrängung von § 28 Abs. 1 BDSG lässt sich jedoch folgern, dass für Satz 1 Nr. 3 das gleiche gilt wie für Nr. 2. D. h., auch die Regelung der Nr. 3 darf nicht für Zwecke des Beschäftigungsverhältnisses verwendet werden. Der § 32 Abs. 1 BDSG geht vor. Der Arbeitgeber ist jedoch frei, in anderen Zusammenhängen für beschäftigungsfremde Zwecke auf § 28 Abs. 1 S. 1 Nr. 3 BDSG zurückzugreifen. Nach einem Beispiel von Däubler sei es also möglich, dass der Arbeitgeber einem Tierschutzverein eine Spende zukommen lässt, weil er aus dem Internet erfahren hat, dass einer seiner Arbeitnehmer dort im Vorstand tätig ist.^[119] Für Einstellungszwecke, also für Beschäftigungszwecke, darf diese Norm allerdings generell nicht herangezogen werden.^[120] Die Bewertung der Zulässigkeit muss hierbei nach § 32 Abs. 1 BDSG erfolgen (s. dazu im Detail Rn. 108 ff.).

[...]

^[1] Vgl. Gatzke, Stern.de vom 28.01.2009.

^[2] Vgl. Röhrig, Stern Magazin vom 20.11.2008, S. 185 ff.

^[3] Vgl. Amann/Grill, Der Spiegel vom 06.04.2009, S. 78 ff.

^[4] Vgl. dazu Graulich, NVwZ 2008, 485; Simitis, NJW 2009, 1782.

^[5] Vgl. BVerfG, NJW 2008, 822.

^[6] Vgl. LfD RLP, Pressemitteilung vom 15.07.2009.

^[7] Zur Abgrenzung der einzelnen Novellen voneinander s. Rn. 9 ff.

^[8] Vgl. Gola/Wronka, Vorwort zur 5. Auflage.

^[9] Vgl. zum Antrag der Fraktion Bündnis 90/Die Grünen BT-Drs. 17/121, S. 2; zum Antrag der Fraktion Die Linke BT-Drs. 17/779, S. 1 f.; zum Tätigkeitsbericht des BfDI BT-Drs. 16/12600, S. 122.

^[10] Vgl. Gola/Wronka, Rn. 58.

^[11] Vgl. EU-Richtlinie 2008/48/EG vom 23. April 2008.

^[12] Vgl. BT-Drs. 16/10529, S. 1.

^[13] Durch das Gesetz zur Umsetzung der Verbraucherkreditrichtlinie sind neben dem BDSG zahlreiche weitere Gesetze geändert worden, darunter u. a. das BGB, das Kreditwesengesetz, die Zivilprozessordnung, die Insolvenzordnung, das UWG u. v. m.

^[14] Vgl. zu diesem RefE Hanloser, MMR 12/2008, XIII.

^[15] Vgl. Hanloser, MMR 2009, 594.

^[16] S. BR-Drs. 4/09.

^[17] Vgl. BR-Drs. 4/09 (B), S. 28.

^[18] S. BT-Drs. 16/12011.

^[19] S. Anträge der Fraktion Bündnis 90/Die Grünen (BT-Drs.16/1499 und BT-Drs. 16/10216) und Antrag der FDP-Fraktion (BT-Drs. 16/1169), die jedoch alle abgelehnt wurden.

^[20] S. BT-Drs. 16/13657.

^[21] Vgl. BGBl. 2009, Teil 1 Nr. 54, S. 2814.

^[22] § 43 BDSG wurde auch durch das VerbrKredRLUG m. W. v. 11.06.2010 und durch das BDSGÄndG m. W. v. 01.04.2010 geändert. Diese Änderungen hatten jedoch keinen signifikanten Einfluss auf den Arbeitnehmerdatenschutz.

^[23] Vgl. Hanloser, MMR 2009, 594 (598).

^[24] Vgl. BT-Drs. 16/12011, S. 35.

^[25] Vgl. BT-Drs. 16/13657, S. 20.

^[26] Vgl. BT-Drs. 16/13657, S. 20; Fröhlich, ArbRB 2009, 300.

^[27] S. RefE eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 28.05.2010, 28.06.2010 (mit Korrektur vom 07.07.2010) und 11.08.2010 sowie der jüngst veröffentlichte RegE vom 03.09.2010 (vgl. BR-Drs. 535/10).

^[28] Vgl. Koalitionsvertrag zwischen CDU, CSU und FDP, 17. Legislaturperiode, S. 106.

^[29] Ein Schutz juristischer Personen kann sich allenfalls aus dem allgemeinen Persönlichkeitsrecht ergeben. Vgl. dazu BGH, NJW 1994, 1281.

^[30] Zur Einwilligung vgl. insbesondere Rn. 72 ff.

^[31] Vgl. Wedde, in: DKWW, § 27 Rn. 5.

^[32] Beachte jedoch § 12 Abs. 4 BDSG (s. Rn. 22).

^[33] Vgl. Wedde, in: DKWW, § 27 Rn. 7 m. w. N.; Gola/Schomerus, § 27 Rn. 4.

^[34] Vgl. Wedde, in: DKWW, § 27 Rn. 10; Gola/Schomerus, § 27 Rn. 7.

^[35] So auch Wedde, in: DKWW, § 27 Rn. 17.

^[36] Vgl. Gola/Wronka, Rn. 211; Däubler, in: DKWW, § 32 Rn. 6.

^[37] Vgl. Wedde, in: DKWW, § 27 Rn. 21.

^[38] Vgl. Gola/Schomerus, § 27 Rn. 16.

^[39] Vgl. BT-Drs. 16/13657, S. 17.

^[40] Vgl. Gola/Schomerus, § 32 Rn. 5. Zum Verhältnis zu § 28 BDSG s. Rn. 63 ff.

^[41] Zu einer rechtsvergleichenden Studie zum Arbeitnehmerbegriff vgl. Rebhan, RdA 2009, 154.

^[42] Vgl. Thüsing, NZA 2009, 865 (867). Unklar bleibt, warum Thüsing hier die Bewerber eben nicht vom Schutz des BDSG umfasst sehen will; ging er doch von der aktuellen Gesetzeslage mit Verweis auf BT-Drs. 16/13657 aus.

^[43] So auch Gola/Schomerus, § 32 Rn. 6.

^[44] Vgl. Gola/Schomerus, § 32 Rn. 6.

^[45] Vgl. BT-Drs. 16/13657, S. 18. Dieser Fall wird gleichwohl nur selten in der Praxis anzutreffen sein.

^[46] Wie bereits erwähnt, ist dieser Begriff hier i. w. S. und synonym zum Beschäftigtendatenschutz zu verstehen.

^[47] Vgl. Däubler, Gläserne Belegschaften, Rn. 183.

^[48] Vgl. BT-Drs. 16/13657, S. 21.

^[49] Vgl. Däubler, Gläserne Belegschaften, Rn. 51.

^[50] Vgl. Erfurth, NJOZ 2009, 2914 (2917). S. auch Rn. 84 f.

^[51] Vgl. BT-Drs. 16/13657, S. 20.

^[52] Vgl. BT-Drs. 16/13657, S. 21 und später Rn. 129 ff.

^[53] Die Begriffe „Datenverwendung“ und „Datenverarbeitung“ werden hier als Kumulierung der Begriffe „Datenerhebung, ‑nutzung und ‑verarbeitung“ definiert.

^[54] Vgl. BT-Drs. 16/13657, S. 21.

^[55] Vgl. Erfurth, NJOZ 2009, 2914 (2917).

^[56] So auch Erfurth, NJOZ 2009, 2914 (2917).

^[57] Vgl. Erfurth, NJOZ 2009, 2914 (2918).

^[58] Vgl. Erfurth, NJOZ 2009, 2914 (2918).

^[59] So billigen bspw. Deutsch/Diller die Zwecksetzung dem Arbeitgeber zu, vgl. Deutsch/Diller, DB 2009, 1462 (1463).

^[60] Vgl. Erfurth, NJOZ 2009, 2914 (2918).

^[61] Vgl. Gola/Schomerus, § 32 Rn. 1, und unten Rn. 63 ff.

^[62] Beispiel nach Thüsing, Compliance, Rn. 58 und Thüsing, NZA 2009, 865 (867).

^[63] BAG, NJW 1987, 2459 (2460 f.); Gola/Schomerus, § 28 Rn. 14; kritisch dagegen Thüsing, Compliance, Rn. 59, und Thüsing, NZA 2009, 865 (867).

^[64] Vgl. BT-Drs. 16/13657, S. 20.

^[65] Beispiele nach Deutsch/Diller, DB 2009, 1462 (1463).

^[66] Vgl. Deutsch/Diller, DB 2009, 1462 (1463).

^[67] Vgl. Deutsch/Diller, DB 2009, 1462 (1463).

^[68] Vgl. Thüsing, Compliance, Rn. 59.

^[69] Vgl. Huster/Rux, in: BeckOK GG, Art. 20 Rn. 15.

^[70] Vgl. Gola/Schomerus, § 32 Rn. 12.

^[71] Vgl. BAG, NJW 2005, 313 (314 f.).

^[72] Vgl. auch Däubler, Gläserne Belegschaften, Rn. 125.

^[73] Vgl. Erfurth, NJOZ 2009, 2914 (2920).

^[74] Vgl. BT-Drs. 16/13657, S. 20.

^[75] Vgl. dazu später das Kapitel zur Compliance (Rn. 142 ff.).

^[76] Vgl. BT-Drs. 16/13657, S. 21; BAG, NZA 2003, 1193; BAG, NZA 2008, 1187.

^[77] Vgl. BT-Drs. 16/13657, S. 21.

^[78] So auch Koch, ITRB 2010, 164.

^[79] Vgl. Deutsch/Diller, DB 2009, 1462 (1464). Die Autoren gehen dort von einer leicht abweichenden Fassung des § 32 BDSG aus, die jedoch inhaltlich identisch ist.

^[80] Vgl. Deutsch/Diller, DB 2009, 1462 (1464).

^[81] Vgl. auch Wedde, in: DKWW, § 32 Rn. 124.

^[82] Vgl. Wedde, in: DKWW, § 32 Rn. 132.

^[83] Vgl. Thüsing, Compliance, Rn. 70, und Thüsing, NZA 2009, 865 (868).

^[84] Vgl. Gola/Schomerus, § 32 Rn. 29.

^[85] Vgl. BT-Drs. 16/13657, S. 21.

^[86] Vgl. Thüsing, Compliance, Rn. 70, und Thüsing, NZA 2009, 865 (868).

^[87] Zu den (widersinnigen) Konsequenzen einer strikten Auslegung nach dem Wortlaut vgl. auch Schmidt, RDV 2009, 193 (195 f.).

^[88] Vgl. Wedde, in: DKWW, § 32 Rn. 127.

^[89] Vgl. Deutsch/Diller, DB 2009, 1462 (1464).

^[90] So auch Gola/Wronka, Rn. 403.

^[91] Vgl. Hanloser, MMR 2009, 594 (597).

^[92] Vgl. Koch, ITRB 2010, 164.

^[93] Vgl. Deutsch/Diller, DB 2009, 1462 (1464).

^[94] Vgl. Gola/Schomerus, § 32 Rn. 30.

^[95] Vgl. BT-Drs. 16/13657, S. 21.

^[96] Vgl. Deutsch/Diller, DB 2009, 1462 (1464).

^[97] Vgl. Wedde, in: DKWW, § 32 Rn. 132.

^[98] Vgl. Erfurth, NJOZ 2009, 2914 (2924).

^[99] Vgl. Gola/Schomerus, § 32 Rn. 7.

^[100] Vgl. Dannmann, in: Simitis, § 1 Rn. 138; Gola/Schomerus, § 1 Rn. 22a.

^[101] Vgl. Schmitt-Rolfes, AuA 2/2010, 71.

^[102] Für öffentliche Stellen des Landes i. S. v. § 2 Abs. 2 BDSG gelten in Bezug auf Beschäftigungsverhältnisse z. T. vorrangige Spezialgesetze, z. B. § 34 HDSG.

^[103] Vgl. Wedde, in: DKWW, § 12 Rn. 15.

^[104] Vgl. Hanloser, MMR 2009, 594 (596); Deutsch/Diller, DB 2009, 1462; Albrecht, jurisPR-ITR 20/2009 Anm. 2; Wedde, in: DKWW, § 12 Rn. 15; Schmitt-Rolfes, AuA 2/2010, 71.

^[105] Vgl. Gola/Schomerus, § 32 Rn. 43

^[106] Vgl. Wedde, in: DKWW, § 32 Rn. 177.

^[107] Vgl. Gola/Wronka, Rn. 399. Die Autoren verweisen dort fälschlicherweise auf die Gesetzesbegründung in BT-Drs. 16/12011. Diese Fassung des Gesetzentwurfes enthielt jedoch noch keinen § 32 BDSG. Gemeint war wohl BT-Drs. 16/13567.

^[108] Vgl. z. B. Gola/Schomerus, § 32 Rn. 1; Gola/Wronka, Rn. 396; Erfurth, NJOZ 2009, 2914 (2916); BAG, NJW 2005, 313.

^[109] Vgl. Erfurth, NJOZ 2009, 2914 (2922).

^[110] Vgl. BT-Drs. 16/13657, S. 20.

^[111] Vgl. Vogel/Glas, DB 2009, 1747 (1750 f.).

^[112] Vgl. Rolf/Rötting, RDV 2009, 263 (264); Schmidl, ZJS 2009, 453 (455 f.); Thüsing, NZA 2009, 865 (869); Schmidt, DuD 2010, 207 (209).

^[113] Vgl. BT-Drs. 16/13657, S. 20 f.; Steinau-Steinrück/Mosch, NJW-Spezial 2009, 450 (451).

^[114] Vgl. Gola/Schomerus, § 32 Rn. 33; Schmidt, RDV 2009, 293 (295); Bierekoven, CR 2010, 203 (206).

^[115] Vgl. Däubler, in: DKWW, § 32 Rn. 8.

^[116] Vgl. BT-Drs. 16/13657, S. 21.

^[117] Vgl. BT-Drs. 16/13657, S. 21.

^[118] Vgl. Albrecht, jurisPR-ITR 20/2009 Anm. 2.

^[119] Vgl. Däubler, in: DKWW, § 32 Rn. 8.

^[120] Vgl. Erfurth, NJOZ 2009, 2914 (2922); a. A. Rolf/Rötting, RDV 2009, 263 (265); kritisch dazu Steinau-Steinrück/Mosch, NJW-Spezial 2009, 450 (451).