Es wurde erneut eine Möglichkeit versäumt, den Beschäftigtendatenschutz im Rahmen der Umsetzung der Datenschutzgrundverordnung einer erschöpfenden Regelung zuzuführen.

Auch in dem nunmehr veröffentlichten Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung EU 2016/679 (Datenschutzgrundverordnung – DSGVO) und zur Umsetzung der Richtlinie EU 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) ist der Beschäftigtendatenschutz – wieder einmal – nicht umfassend geregelt worden.

Nachdem zum Ende des vergangenen Jahres ein erster Entwurf für ein Umsetzungsgesetz hinsichtlich der von der DSGVO eröffneten Gestaltungsspielräume bekannt wurde und dieser erhebliche Kritik nach sich zog, liegt mittlerweile ein neuer Gesetzesentwurf vor. Dieser wurde auch bereits in das Gesetzgebungsverfahren eingebracht. Nach jetzigem Kenntnisstand sind eine zweite und dritte Lesung im Bundestag bereits für Ende April dieses Jahres terminiert. Eine Verabschiedung soll also noch vor der Sommerpause erfolgen. Die Öffnungsklauseln der DSGVO sollen somit genutzt werden.

Auch in dem nunmehr vorliegenden Gesetzesentwurf sind zahlreiche Punkte diskussionswürdig. Dieser Beitrag beschränkt sich jedoch auf die in Art. 1 § 26 DSAnpUG-EU enthaltene Regelung der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses.

Keine erschöpfende gesetzliche Regelung des Beschäftigtendatenschutzes in der Vergangenheit

Es gibt wohl kaum einen Bereich des Datenschutzrechts, in welchem bereits so lange und wiederholt eine umfassende gesetzliche Regelung gefordert wird, wie im Arbeitnehmerdatenschutz. Die konkrete Ausgestaltung aber wurde im Ergebnis der Rechtsprechung überlassen. Bis heute existiert im Wesentlichen nur die „Rumpfregelung“ des § 32 BDSG.

Die weiteren Gesetzesvorschläge, so existiert ein umfassender Regierungsentwurf aus dem Jahr 2010 (dazu Josupeit/Mujan, FA 2011, 69 mit weiteren Nachweisen), wurden nie abschließend verfolgt – wir hatten hierzu berichtet. Die Bundesregierung wollte abwarten, ob die anstehende europäische Datenschutzgrundverordnung eine einheitliche Regelung des Arbeitnehmerdatenschutzes enthalten wird.

Die am 25. Mai 2016 in Kraft getretene und ab dem 25. Mai 2018 anwendbare DSGVO regelt den Beschäftigtendatenschutz jedoch nicht. Stattdessen enthält die DSGVO in Art. 88 eine Öffnungsklausel, welche die Eckpfeiler für einen solchen festlegt und diesen ansonsten in die Hand der Mitgliedsstaaten gibt.

In Absatz 2 des Art. 88 DSGVO werden Vorgaben hinsichtlich der konkreten einzelstaatlichen Regelungen getroffen, sodass diese nicht im „luftleeren Raum“ erfolgen dürfen. Auch dem korrespondierenden Erwägungsgrund Nr. 155 DSGVO lassen sich Maßstäbe für die Umsetzung der Öffnungsklausel entnehmen.

Im Rahmen des nationalen Gesetzgebungsprozesses ist gleichwohl erneut keine umfassende Regelung des Beschäftigtendatenschutzes vorgesehen. Vielmehr scheint es abermals bei einer Rumpfregelung, und zwar Art. 1 § 26 DSAnpUG-EU (nachfolgend: § 26 BDSG-RE), zu bleiben.

§ 26 BDSG-RE im Überblick – Eine Fortführung des § 32 BDSG

Die Gesetzesbegründung bestätigt dabei den ersten Eindruck: § 26 BDSG-RE soll im Wesentlichen eine Fortführung des § 32 BDSG darstellen.

Absatz 1: Die bekannte beschränkte Zulässigkeit zur Verarbeitung personenbezogener Daten

Gemäß Absatz 1 Satz 1 ist eine Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis grundsätzlich nur insoweit zulässig, als dies für die Entscheidung über die Begründung, die Beendigung und die Durchführung erforderlich ist. Die „Verarbeitung″ bezieht gemäß Art. 1 § 46 Ziffer 2 DSAnpUG-EU (und Art. 4 Nr. 1 DSGVO) auch die bisher in § 32 BDSG separat genannte Erhebung und Nutzung ein.

Neu ist die Erwähnung von Tarifverträgen sowie Betriebs- und Dienstvereinbarungen: Soweit erforderlich, ist die Datenverarbeitung auch zulässig zur Ausübung oder Erfüllung der sich aus dem Gesetz oder den Kollektivvereinbarungen ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten (z.B. Gesamt-/Konzern-/Betriebsräte, Sprecherausschüsse etc.).

Grundlegende Neuerungen dürften sich daraus aber nicht ergeben. Ein uneingeschränktes Recht der Interessenvertretungen hat die Rechtsprechung bereits bisher nicht anerkannt, sondern über geltend gemachte Ansprüche u.a. in Hinblick auf den verfolgten Zweck entschieden.

So konnte der Betriebsrat beispielsweise verlangen, dass der Arbeitgeber Arbeitnehmer benennt, bei denen die Voraussetzungen zur Durchführung eines betrieblichen Eingliederungsmanagement (§ 84 Abs. 2 SGB IX) erfüllt sind (BAG vom 07.02.2012). Dagegen war dem Betriebsrat die generelle und einschränkungslose Übermittlung von Arbeitszeiten von Arbeitnehmern an das Amt für Arbeitsschutz verwehrt (BAG vom 03.06.2003).

Die Datenverarbeitung zur Aufdeckung von Straftaten im Beschäftigungsverhältnis in Satz 2 gleicht der bisherigen Regelung. Das ist angesichts des – vom Bundesarbeitsgericht (BAG vom 22.09.2016) zurecht als „verunglückt″ bezeichneten – Wortlauts wenig verständlich. Gleichermaßen fehlt eine Klarstellung, dass eine Überwachung nicht nur zur Aufdeckung von Straftaten, sondern auch für Pflichtverletzungen unterhalb der Strafbarkeitsschwelle gelten – was mittlerweile anerkannt ist (vgl. auch dazu BAG vom 22.09.2016).

Der Grundsatz der Verhältnismäßigkeit findet sich dabei weiterhin nur in Satz 2, sodass er – wie bisher – in Satz 1 „hineingelesen″ werden muss.

Absatz 2: Einwilligung in die Verwertung der personenbezogenen Daten

Absatz 2 betrifft die mögliche Einwilligung des jeweiligen Beschäftigten in die Verarbeitung seiner personenbezogenen Daten im Rahmen des Beschäftigungsverhältnisses. Diese geht auch über die erlaubten Verarbeitungen nach Absatz 1 hinaus. Kernpunkt ist die Frage, wann bei einer Einwilligung die gesetzlich geforderte Freiwilligkeit – auch im Sinne der DSGVO – vorliegt.

Bei der Beurteilung sollen sowohl das Abhängigkeitsverhältnis als auch die Umstände, unter denen die Einwilligung erteilt worden ist, berücksichtigt werden. Eine freiwillige Einwilligung soll insbesondere dann vorliegen, wenn gleichgerichtete Interessen zwischen den Parteien oder ein rechtlicher oder wirtschaftlicher Vorteil gegeben sind. Nach der Gesetzesbegründung soll das z. B. bei der Privatnutzung von betrieblichen IT-Systemen gegeben sein.

Wenngleich das BAG die Freiwilligkeit einer Einwilligung auch im Rahmen eines Arbeitsverhältnisses als möglich erachtet hat (BAG vom 11.12.2014 und 19.02.2015), birgt die Regelung ein nicht unerhebliches Konfliktpotential. So wird von den Aufsichtsbehörden bereits jetzt bezweifelt, dass eine Freiwilligkeit gegeben sein kann, wenn für den Beschäftigten ein wirtschaftlicher Vorteil auf dem Spiel steht:

Ist dieser an die Einwilligung gebunden, liegt vielmehr ein Verstoß gegen das Koppelungsverbot vor.

(Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern vom 25.01.2017).

Über den Zweck der Datenverarbeitung, sowie auch über das Widerrufsrecht, muss – anders als bisher – in Textform aufgeklärt werden. Ein gesonderter Hinweis ist erforderlich, wenn besondere personenbezogene Daten verarbeitet werden sollen.

Absatz 3: Spezielle Regelung zur Verarbeitung besonderer personenbezogener Daten

Absatz 3 regelt die Verarbeitung besonderer personenbezogener Daten im Rahmen des Beschäftigtendatenschutzes. Dies sind nach Art. 9 Abs. 1 DSGVO u.a. Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Darunter fallen ebenfalls die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person sowie allgemein Gesundheitsdaten.

Deren Verarbeitung soll zulässig sein, wenn sie zur Ausübung von Rechten und Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes, erforderlich ist. Die Verarbeitung muss verhältnismäßig sein, das heißt, es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Nach der Gesetzesbegründung schließt Absatz 3 auch die Verarbeitung von Daten „zur Beurteilung der Arbeitsfähigkeit″ ein.

Absatz 4: Kollektivvereinbarungen als Rechtsgrundlage einer Verarbeitung

Absatz 4 regelt ausdrücklich, dass auch Kollektivvereinbarungen im Sinne von Art. 88 Abs. 2 DSGVO Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Sinne des Art. 9 DSGVO sein können. Das war in der Rechtsprechung des Bundesarbeitsgerichts, wonach Betriebsvereinbarungen eine Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG sind, bereits anerkannt (z.B. BAG vom 27.05.1986 und 09.07.2013). Satz 2 stellt klar, dass die Parteien einer solchen Kollektivvereinbarung die Vorgaben des Art. 88 Abs. 2 der DSGVO zu beachten haben.

Es müssen also angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person getroffen werden. Das gilt insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Datenübermittlung im Konzern oder einer Gruppe von Unternehmen, sowie Überwachungssysteme am Arbeitsplatz. Daran werden sich Kollektivvereinbarungen ab 25. Mai 2018 messen lassen müssen – unabhängig vom Inkrafttreten einer deutschen Regelung hinsichtlich des Beschäftigtendatenschutzes zur Umsetzung der Öffnungsklauseln der DSGVO.

Absatz 5 – 6: Allgemeine Grundsätze der Datenverarbeitung gelten auch im Beschäftigungsverhältnis

Die Absätze 5 und 6 stellen klar, dass auch in einem Beschäftigungsverhältnis die allgemeinen Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO (u.a. Transparenz Zweckbindung, Datenminimierung, angemessene Sicherheit der Daten) einzuhalten sind. Außerdem bleiben die Beteiligungsrechte von Interessenvertretungen unberührt.

Absatz 7: Geltung auch für nicht automatisierte Verarbeitung

Absatz 7, wonach die Regelungen auch für die nicht automatisierte Verarbeitung gelten (also z.B. für Daten in Papierform, Befragen von Beschäftigten), ist eine Fortschreibung von § 32 Abs. 2 BDSG.

Absatz 8: Definition

Absatz 8 integriert im Wesentlichen die Definition der Beschäftigten des § 3 Abs. 11 BDSG, die sich in der DSGVO nicht findet.

Änderungen gegenüber dem Entwurf aus dem vergangenen Jahr

Bereits der im letzten Jahr veröffentlichte Entwurf vom 05. August 2016 enthielt eine rudimentäre Regelung bezüglich des Beschäftigtendatenschutzes. Diese entsprach aber nahezu vollumfänglich dem bisherigen § 32 BDSG und enthielt lediglich eine Angleichung an die neue Definition der „Verarbeitung″ (die nach Art. 4 Ziffer 2 DSGVO auch die „Erhebung″ und „Nutzung″ umfasst). Auch die Definition der Beschäftigten war bereits Bestandteil. Im Vergleich dazu mag die neue Fassung als Erweiterung erscheinen. Grundlegende Änderungen bringt sie allerdings nicht mit sich. Vielmehr bleibt die Regelung weit hinter den Erwartungen zurück.

Beschäftigtendatenschutz: Bisher geäußerte Kritik an dem Entwurf

Unter anderem im Hinblick den Beschäftigtendatenschutz hat der vorliegende Gesetzesentwurf erhebliche Kritik erfahren.

So wird angezweifelt, dass der derzeitige Entwurf tatsächlich den Anforderungen des Art. 88 Abs. 2 DSGVO gerecht wird. Denn er umfasse gerade keine Regelungen hinsichtlich der angemessenen und besonderen Maßnahmen zur „Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen“. In Bezug auf die Verarbeitung besonderer personenbezogener Daten werde den Anforderungen der Öffnungsklausel in Art. 9 Abs. 2 b) DSGVO nicht genügt, sondern schlicht der Wortlaut wiederholt.

Dem Bundesrat ist von den Ausschüssen empfohlen worden, verschiedene Nachbesserungen zu fordern, die zum Teil Formalien betreffen, andererseits aber auch grundsätzliche Fragen (Ausschussempfehlung vom 01.03.2017, BR-Drs. 110/1/17). In Bezug auf den Beschäftigtendatenschutz wird hervorgehoben, dass die Vorgaben aus Art. 88 DSGVO nicht ausreichend umgesetzt seien. Es wird angeregt, zeitnah einen ergänzenden Gesetzentwurf vorzulegen, der die von der Rechtsprechung bereits angelegten Grundsätze aufgreift und sie nicht lediglich in der Gesetzesbegründung in Bezug nimmt.

Barbara Thiel, die Vorsitzende der Datenschutzkonferenz von Bund und Ländern, hat den Entwurf als in Teilen europarechtswidrig kritisiert und klargestellt, wie die Behörden verfahren werden:

Das Europarecht ist für uns in jedem Fall bindend. Die Aufsichtsbehörden werden sich in ihren Auslegungsprinzipien deshalb an der Datenschutz-Grundverordnung zu orientieren haben.

Fazit: Keine ausreichende Neuregelung des Beschäftigtendatenschutzes

Der Beschäftigtendatenschutz wird – zumindest vorläufig – eine niemals endende Geschichte bleiben. Die jetzigen Regelungen enthalten zwar Neuerungen, sind aber keine grundlegende Weiterentwicklung des Beschäftigtendatenschutzes. Zudem werden sie wohl den Anforderungen des Art. 88 Abs. 2 DSGVO in der jetzigen Form nicht gerecht.

Wesentlich schwerwiegender ist jedoch, dass datenschutz- und arbeitsrechtlich relevante Fragen im Zusammenhang mit der fortschreitenden Digitalisierung der Arbeitswelt komplett ausgeklammert werden. Dabei sind es gerade Themen wie die Verarbeitung von personenbezogenen Daten der Arbeitnehmer im Rahmen der Industrie 4.0, die die Arbeitswelt bewegen. Hier hätte die Neuregelung zumindest weitergehende Eckpfeiler setzen können. Stattdessen werden nicht mehr zeitgemäße Regelungen wie das Schriftformerfordernis für eine Einwilligung zementiert.