In unserem BEITEN BURKHARDT Newsletter Arbeitsrecht − Ausgabe September 2016, S. 2 f. haben wir über die neue EU-Datenschutz-Grundverordnung (nachfolgend „DS-GVO“) berichtet. Olga Morasch hat dabei darauf hingewiesen, dass aufgrund der DS-GVO auch mit Anpassungen des deutschen Beschäftigtendatenschutzes zu rechnen ist. Mittlerweile hat die Bundesregierung einen neuen Gesetzesentwurf zur Anpassung des Datenschutzrechts an die DS-GVO beschlossen, der insbesondere den Beschäftigtendatenschutz in Deutschland neu regeln soll. Bisher ist der Beschäftigtendatenschutz in Deutschland in § 32 des Bundesdatenschutzgesetzes (BDSG) geregelt. Der neue Gesetzesentwurf sieht einen neuen § 26 BDSG (nachfolgend „§ 26 BDSG-neu“) vor.

Was bleibt bestehen?

Auch nach dem neuen Gesetzesentwurf soll die bisherige Grundstruktur im Beschäftigtendatenschutz beibehalten werden: Personenbezogene Daten von Beschäftigten dürfen also auch künftig für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, wenn

  • dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist;
  • Kollektivvereinbarungen (z. B. Betriebsvereinbarungen, Tarifverträge) dies zulassen;
  • die betroffene Person in wirksamer Weise eingewilligt hat oder
  • tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat.

Was ist neu?

Nur vermeintlich neu ist, dass personenbezogene Daten von Beschäftigen nach § 26 BDSG-neu auch dann verarbeitet werden dürfen, wenn dies „zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigen erforderlich ist“. Dadurch soll also eine datenschutzrechtliche Grundlage dafür geschaffen werden, dass der Arbeitgeber z. B. gegenüber dem Betriebsrat im Rahmen einer Betriebsratsanhörung personenbezogene Daten des betroffenen Beschäftigten weitergibt, soweit dies erforderlich ist. Damit wird allerdings lediglich die bisherige Rechtslage klargestellt. Lediglich vermeintlich neu ist zudem die Regelung in § 26 Abs. 7 BDSG-neu, wonach der Beschäftigtendatenschutz auch auf solche personenbezogenen Daten Anwendung findet, die nicht in einem Dateisystem gespeichert werden und nicht gespeichert werden sollen. Dies betrifft etwa handschriftliche Aufzeichnungen des Arbeitgebers während eines Personalgesprächs, die für die Ablage in einer körperlichen Personalakte bestimmt sind. Auch dies stellt aber nur die bisher schon bestehende Rechtslage nach § 32 BDSG dar.

Ebenfalls nicht wirklich neu ist, dass eine datenschutzrechtliche Einwilligung im Beschäftigungsverhältnis im Grundsatz zulässig ist. Dies stellt § 26 BDSG-neu jetzt klar. Durchaus neu ist allerdings die Präzielfsierung, dass bei der Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwil-ligung erteilt worden ist, zu berücksichtigen sind. Nach § 26 Abs. 2 BDSG-neu kann Freiwilligkeit insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleich gelagerte Interessen verfolgen. Die damit erfolgende Konkretisierung des Begriffs der Freiwilligkeit der Einwilligung ist aus praktischer Sicht zwar zu begrüßen; aufgrund der vielen unbestimmten Rechtsbegriffe, die § 26 Abs. 2 BDSG-neu verwendet, werden allerdings Rechtsunsicherheiten bleiben. Klärungsbedürftig wird etwa sein, ob ein unmittelbarer „wirtschaftlicher Vorteil“ für die beschäftigte Person gegeben sein muss oder ein mittelbarer „wirtschaftlicher Vorteil“ ausreicht (siehe zur Gestaltung von Einwilligungen auch den Beitrag von Morasch in der genannten Newsletterausgabe September 2016, Seite 2 f.).

Neu sind im Vergleich zum bisherigen § 32 BDSG auch die zahlreichen Verweisungen im Rahmen des § 26 BDSG-neu auf die DS-GVO:

  • So haben z. B. die Parteien einer Betriebsvereinbarung, die als Erlaubnistatbestand für die Verarbeitung personenbezogener Daten von Beschäftigten dienen soll, künftig Art. 88 Abs. 2 der DS-GVO zu beachten. Tarifverträge, Betriebs- und Dienstvereinbarungen müssen danach insbesondere „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ umfassen. Was darunter im Einzelnen zu verstehen ist, hat der europäische Gesetzgeber leider nicht mitgeteilt. Auch der deutsche Gesetzgeber scheint die ihm nach der DS-GVO zustehende Möglichkeit, dies zu spezifizieren, nicht ergreifen zu wollen. Die Praxis (namentlich die Gerichte) wird es also am Ende wieder richten müssen (siehe zu Praxistipps bei der Gestaltung von Betriebsvereinbarungen den genannten Beitrag von Morasch).
  • Der für die Verarbeitung personenbezogener Daten Verantwortliche (also in der Regel der Arbeitgeber) muss zudem sicherstellen, dass die in Art. 5 DS-GVO festgelegten Datenschutzprinzipien beachtet und umgesetzt werden. Diese betreffen Grundsätze der Rechtmäßigkeit der Datenverarbeitung, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit der Speicherbegrenzung, der Integrität und der Vertraulichkeit personenbezogener Daten sowie die in Art. 5 Abs. 2 DS-GVO normierte Rechenschaftspflicht. Auch hier bleiben sowohl der europäische als auch der nationale Gesetzgeber (bisher) jegliche Spezifizierung schuldig – mit entsprechenden Rechtsunsicherheiten für die Praxis.

Fazit

Bleibt es nur bei diesem neuen deutschen Beschäftigtendatenschutz, wird für die Praxis nicht viel gewonnen sein. Abgesehen von einigen Präzisierungen der bestehenden Regelungen bleibt es im Wesentlichen bei der bisherigen Struktur. Damit könnten Arbeitgeber durchaus leben, wäre nicht das Verhältnis zwischen DS-GVO und deutschem Beschäftigtendatenschutz sowie der Umfang vieler Pflichten nach der DS-GVO noch teilweise ungeklärt (siehe hierzu der genannte Beitrag von Morasch auf S. 2). Da bei Verstößen gegen die DS-GVO, die ab dem 25. Mai 2018 europaweit unmittelbar und zwingend gilt, Geldbußen in Höhe von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen, wäre eine entsprechende Spezifizierung der Pflichten nach der DS-GVO durch den nationalen Gesetzgeber wünschenswert gewesen. Bleibt zu hoffen, dass die Bundesregierung ihre Ankündigung in der Begründung des neuen Gesetzesentwurfs wahr macht und die Pflichten nach der DS-GVO für Arbeitgeber doch noch spezifiziert – vielleicht im Rahmen eines gesonderten und lange angekündigten Beschäftigtendatenschutzgesetzes.