Der neue Beschäftigtendatenschutz

DSGVO und BDSG-neu - Was ist zu beachten?

In Deutschland wurde lange über die Einführung eines eigenen Gesetzes zum Beschäftigtendatenschutz debattiert. Die Schutzbedürftigkeit personenbezogener Daten auch und gerade im Beschäftigungsverhältnis steht außer Frage. Ein besonderes Gesetz zum Beschäftigtendatenschutz ist trotzdem nicht zu Stande gekommen. Dies mag unter anderem auch mit den langwierigen politischen Debatten um die neue Datenschutzgrundverordnung (DS-GVO) zusammen hängen. Diese wird ab dem 28.05.2017 vielleicht keine neue Zeitrechnung im Datenschutzrecht einläuten. Aber doch weitgehende Änderungen mit sich bringen. Wichtig für das Verständnis des zukünftigen Datenschutzrechts ist, dass die DS-GVO - anders als die bisherige Datenschutz-Richtlinie - unmittelbar gültiges Recht in den Mitgliedstaaten der EU sein wird. Sie ist daher ab 28.05.2018 die europaweit primär maßgebliche Regelung des Datenschutzrechts. Eigenständige Regelungen können die Mitgliedstaaten nur noch dort treffen, wo ihnen die DS-GVO Handlungsspielraum einräumt. Dies betrifft insbesondere den Bereich des Beschäftigtendatenschutzes.
Die DS-GVO enthält keine konkrete Regelung des Beschäftigtendatenschutzes, sondern sieht in Art. 88 eine Öffnungsklausel für die Mitgliedstaaten. Diese erlaubt die Spezifizierung  der Vorgaben für die Verarbeitung von Beschäftigtendaten. Dies gilt insbesondere für
  • Zwecke der Einstellung,
  • der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten,
  • des Managements, der Planung und der Organisation der Arbeit,
  • der Gleichheit und Diversität am Arbeitsplatz,
  • der Gesundheit und Sicherheit am Arbeitsplatz,
  • des Schutzes des Eigentums der Arbeitgeber oder der Kunden
  • sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und
  • für Zwecke der Beendigung des Beschäftigungsverhältnisses
Die hierbei genau bestehenden Spielräume sind bisher noch recht unklar. Letztlich dürfte es aber Konsens sein, dass die mitgliedstaatlichen Regelungen das Schutzniveau der DS-GVO nicht unterschreiten dürfen. Ob eine Verschärfung der Anforderungen an eine rechtmäßige Datenverarbeitung zulässig ist, ist bisher offen.
Etwas unglücklich ist der Wortlaut des Art. 88 Abs. 1 DS-GVO insofern, als er davon spricht, dass die Mitgliedstaaten spezifischere Vorschriften durch Gesetz oder Kollektivvereinbarung vorsehen können. Die Mitgliedstaaten sind natürlich nicht zuständig für arbeitsrechtliche Kollektivvereinbarungen wie Betriebsvereinbarungen oder Tarifverträge. Dies können aber auch weiterhin Rechtsgrundlage für eine Datenverarbeitung sein.
Art. 88 Abs. 2 Ds-GVO gibt zudem vor, dass angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorgesehen werden müssen. Diese Anforderung ist zukünftig insbesondere für Betriebsvereinbarungen, die eine Datenverarbeitung durch den Arbeitgeber vorsehen, von Bedeutung. Diese dürfen sich unter Geltung der DS-GVO nicht mehr alleine darauf beschränken, die Datenverarbeitung für zulässig zu erklären. Es bedarf weitergehender Regelungen vor allem zur Gewährleistung der Transparenz der vorgenommenen Datenverarbeitung und der Festlegung des konkreten Verarbeitungszwecks. Letzteres ergibt sich aus Art. 5 Abs. 1 lit b DS-GVO. Hieran fehlt es in vielen älteren Betriebsvereinbarungen.
Ein Bestandsschutz für bereits bestehende Betriebsvereinbarungen ist nicht vorgesehen! Diese müssen deshalb bis zum zum 28.05.2017 so gestaltet werden, dass sie den Anforderungen des Art. 88 Abs. 2 DS-GVO genügen.
Der deutsche Gesetzgeber hat mittlerweile - noch gerade rechtzeitig vor dem Ende der Legislaturperiode - von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht. Allerdings weiterhin nicht in Form eines eigenständigen und detaillierten Gesetzes zum Beschäftigtendatenschutz, sondern in Form eines neuen § 26 im BDSG-neu. Die dortige Regelung geht auf den aktuell noch gültigen § 32 BDSG-alt zurück und ergänzt diesen in einzelnen Punkten. Von einer umfassenden Regelung des Beschäftigtendatenschutzes kann aber auch weiterhin nicht gesprochen werden.
In Anlehnung an § 32 BDSG-alt erlaubt § 26 Abs. 1 BDSG-neu ebenfalls das Verarbeiten von personenbezogenen Daten, sofern dies für Zwecke der Begründung, der Durchführung und Beendigung des Arbeitsverhältnisses erforderlich ist. Auch nach der neuen Rechtslage behält die vom BAG insofern vorgenommene Verhältnismäßigkeitsprüfung damit ihre Gültigkeit. Es geht auch hier nach dem Willen des Gesetzgebers um die Herstellung eines Ausgleichs zwischen den unterschiedlichen betroffenen Rechtspositionen. Werden personenbezogene Daten von Beschäftigten zum Zwecke der Administration des Arbeitsverhältnisses erhoben oder verarbeitet, muss also auch zukünftig geprüft werden, ob die Datenverarbeitung für einen legitimen Zweck im Rahmen des Arbeitsverhältnisses geeignet und das mildeste Mittel aller gleich effektiven Optionen ist, um den angestrebten Zweck zu erreichen. Zudem muss eine abschließende Interessenabwägung zu dem Ergebnis führen, dass schutzwürdige Interessen des Arbeitnehmers nicht überwiegen.
Erhebliches Konfliktpotential boten bisher vor allem (heimliche) Datenerhebungen zur Aufdeckung von Straftaten gegenüber dem Arbeitgeber. In einem solchen Fall war die Datenverarbeitung nur zulässig, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Der Wortlaut des § 32 Abs. 1 S. 2 BDSG-alt legt zunächst nahe, dass sich der konkrete Verdacht gegen eine bestimmte Person richten müsste. Das BAG hat allerdings in einer aktuellen Entscheidung (Urt. v. 22.09.2016 - 2 AZR 848/15) klargestellt,  dass sich der Verdacht in Bezug auf eine konkrete strafbare Handlung oder andere schwere Verfehlung zu Lasten des Arbeitgebers gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten muss und nicht notwendig gegen einen konkreten Arbeitnehmer. Auch Zufallsfunde, die sich bei der Überwachung eines konkreten Verdachtsbereichs ergeben, sind nach Auffassung des BAG (a.a.O.). Am insofern etwas missverständlichen Wortlaut hat der Gesetzgeber allerdings in § 26 Abs. 1 S. 2 BDSG-neu nichts geändert.
Ungeklärt bleibt auch nach der Änderung des BDSG die Frage, ob Präventivmaßnahmen des Arbeitgebers auf § 26 Abs. 1 S. 1 BDSG-neu oder § 26 Abs. 1 S. 2 BDSG-neu gestützt werden können. Auf Grund des im Wesentlichen unveränderten Wortlautes im Vergleich zu § 32 Abs. 1 BDSG-alt, ist harrt die Streitfrage weiterhin einer Klärung.
§ 26 Abs. 4 BDSG-neu stellt nunmehr ausdrücklich klar, dass auch Betriebsvereinbarungen und Tarifverträge als Kollektivvereinbarungen Rechtsgrundlage für eine Datenerhebung sein können. Diese müssen allerdings die bereits angesprochenen Vorgaben des Art. 88 Abs. 2 DS-GVO erfüllen.
§ 26 Abs. 2 BDSG-neu klärt nun ausdrücklich, dass auch in einem Beschäftigungsverhältnis eine Einwilligung des Arbeitnehmers als Rechtsgrundlage für eine Datenverarbeitung in Betracht kommt. Allerdings sind an die erforderliche Freiwilligkeit der Einwilligung hohe Anforderungen zu stellen. Insofern wird nun beispielsweise klargestellt, dass Freiwilligkeit vorliegen kann bei einem wirtschaftlichen Vorteil des Arbeitnehmers oder bei gleichgerichteten Interessen von Arbeitnehmer und Arbeitgeber. Die Frage, ob eine Einwilligung insofern freiwillig erfolgt ist oder nicht, bietet auch für die Zukunft genügend Streitpotential. Jedenfalls darf ein etwaiger Vertragsschluss nicht von einer Einwilligung in die Datenerhebung abhängig gemacht werden, wenn diese zur Vertragsdurchführung nicht erforderlich sind.
Abweichend zur DS-GVO sieht § 26 Abs. 2 S. 3 BDSG-neu vor, dass die Einwilligung der Schriftform bedarf, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Hierdurch wird die Rechtslage unter Geltung des aktuellen BDSG übernommen. Die Einwilligung kann durch den Arbeitnehmer jederzeit widerrufen werden, Art. 7 Abs. 3 S. 1 DS-GVO. Hierauf muss der Arbeitnehmer ausdrücklich hingewiesen werden ebenso wie auf die betroffenen Daten und den Zweck der Datenerhebung. Die Hinweise müssen in leicht zugänglicher Form, verständlicher und klaren einfacher Sprache erfolgen. Findet sich Einwilligung in einem Dokument, dass noch andere Erklärungen betrifft, muss sie klar unterscheidbar sein, insbesondere durch eine Hervorhebung. Sie sollte deshalb möglichst nicht im Arbeitsvertrag, selbst sondern in eigenständigem Dokument erklärt werden.
§ 26 Abs. 5 BDSG-neu verpflichtet die verantwortliche Stelle noch einmal auf die Datenschutzprinzipien des Art. 5 DS-GVO. Darunter fällt u.a. die Zweckbindung, die Datenminimierung, Transparenz, Integrität und Vertraulichkeit. Die verantwortliche Stelle ist verpflichtet, geeignete Maßnahmen zu ergreifen, damit diese Prinzipien eingehalten und umgesetzt werden können. Dabei trifft Verpflichtung trifft nicht nur den Arbeitgeber, sondern auch im Gegensatz zur alten Rechtslage auch Betriebsräte, soweit sie personenbezogene Daten verarbeiten.
Bekannt aus dem bisherigen BDSG ist die Erweiterung des Anwendungsbereiches von § 26 BDSG-neu auf Datenerhebungen ohne zumindest beabsichtigte Speicherung in einem Datensystem, § 26 Abs. 7 BDSG-neu.
Auch für Betriebsräte wird sich zukünftig vermehrt die Frage nach einer datenschutzrechtlichen Verantwortlichkeit für vorgenommene Datenverarbeitungen stellen. Unter Geltung des BDSG-alt war im Wesentlichen unstreitig, dass der Betriebsrat der verantwortlichen Stelle, dem Arbeitgeber, zugeordnet wurde und damit jedenfalls eine betriebsverfassungsrechtliche gebotene Übermittlung von personenbezogenen Daten nicht datenschutzrechtlich unzulässig sein konnte. Ob dies auch unter Geltung der DS-GVO uneingeschränkt angenommen werden kann, bleibt abzuwarten.
Für das Arbeitsrecht dürften zudem die weitergehenden Informationsansprüche der Betroffenen und Löschpflichten der Arbeitgeber in der DS-GVO eine erhebliche größere Bedeutung erlangen. Betroffene können nunmehr insbesondere eine Kopie der von ihnen gespeicherten personenbezogenen Daten verlangen.

Beliebte Posts aus diesem Blog

Ist der Spind des Arbeitnehmers für den Arbeitgeber tabu?

Bestimmtheit einer Kündigung und Kündigungsfrist

Mitbestimmung des Betriebsrats bei Dienstplänen