Datenschutz-Grundverordnung: Wichtige Änderungen beim Beschäftigtendatenschutz

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Durch die Öffnungsklausel in Art. 88 DS-GVO wird der nationale Gesetzgeber ermächtigt, spezifischere Vorschriften für den Beschäftigtendatenschutz zu erlassen. Hiervon hat der deutsche Gesetzgeber durch § 26 BDSG n. F. Gebrauch gemacht. Die Regelung in § 26 BDSG n. F. entspricht im Grundsatz § 32 BDSG a. F., wurde jedoch um verschiedene Aspekte ergänzt. Ferner regelt Art. 88 DSGVO, dass auch weiterhin Kollektivvereinbarungen (Tarifverträge und Betriebsvereinbarungen) als Grundlage im Beschäftigungskontext fungieren können (Art. 6 (1) b i. V. m. Art. 88 (1) DS-GVO i. V. m. § 26 (4) BDSG n. F.). Der Beschäftigtendatenschutz richtet sich daher zukünftig (weiterhin) nach nationalen Rechtsvorschriften und Kollektivvereinbarungen, welche den Anforderungen des Art. 88 DS-GVO entsprechen müssen.

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten, weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit (können sowohl gegen Verantwortlichen als auch Auftragsverarbeiter verhängt werden).

Die nationale Rechtssetzungsbefugnis ist im Umfang beschränkt auf Verarbeitungen im Beschäftigungskontext. Exemplarisch führt die Norm hierzu an: “(…) festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses“. ((Rechtsgrundlage: Art. 88 (1), ErwGr 155))

Beschränkt auf Verarbeitungen im Beschäftigungskontext können ferner auch Kollektivvereinbarungen (also Tarifverträge und Betriebsvereinbarungen) als Grundlage für die Datenverarbeitung dienen. Von dieser Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht.((Rechtsgrundlage: § 26 (4) BDSG n. F.))

Nationale Rechtsvorschriften und Kollektivvereinbarungen „umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.“ ((Rechtsgrundlage: Art. 88 (2) ))

Hieraus folgt, dass sowohl nationale gesetzliche Bestimmungen als auch kollektivrechtliche Regelungen durch Tarif- oder Betriebsparteien ein angemessenes Schutzniveau sicherstellen müssen. Derzeit ist nicht absehbar, wie diese Vorgaben von den Gerichten später ausgelegt werden. Eine denkbare Gestaltungsmöglichkeit könnte es beispielsweise sein, eine Rahmenbetriebsvereinbarung abzuschließen.

Ungeklärt ist bisher auch, ob bei den Schutzmaßnahmen ein bloßer Verweis auf die Vorgaben der DS-GVO ausreicht oder ob die Verpflichtung zu „besonderen“ Maßnahmen bedeutet, dass eigenständige Maßnahmen in der Kollektivvereinbarung zu definieren sind. Wenn eigenständige Schutzmaßnahmen festgelegt werden, sollte vor allem darauf geachtet werden, dem Transparenzgedanken Rechnung zu tragen, indem in der Kollektivvereinbarung insbesondere auf Informationspflichten und Betroffenenrechte eingegangen wird. Zudem müssen Schutzmaßnahmen nach allgemeinen Grundsätzen (Interessenabwägung zwischen Verantwortlichem und Betroffenem, Verhältnismäßigkeitsprinzip) angemessen sein.

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies 

• für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder 
• nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder 
• zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten 

erforderlich ist.“  ((Rechtsgrundlage: § 26 (1) BDSG n. F.))

Die Regelung entspricht dem bisherigen § 32 Abs. 1 BDSG-alt, erweitert um den bisher aus anderen Rechtsvorschriften hergeleiteten Verarbeitungszweck der Erfüllung einer gesetzlichen oder kollektivrechtlichen Pflicht (z. B. Weitergabe personenbezogener Daten an den Betriebsrat).

„Abweichend von Art. 9 (1) DS-GVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 (1) DS-GVO für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ ((Rechtsgrundlage: § 26 (3) BDSG n. F.))

Die einschränkende Regelung für die Verarbeitung sensibler personenbezogener Daten (bislang im allgemeinen Datenschutzrecht geregelt) ist nunmehr Bestandteil der spezifischeren Regelungen zum Beschäftigtendatenschutz. Zu beachten ist insbesondere die Erweiterung der Datenkategorien um biometrische Daten (vgl. Art. 9 (1) DS-GVO). 

Beispiele für die Verarbeitung besonderer Kategorien personenbezogener Daten sind die Erfassung von Krankmeldungen, das Eingliederungsmanagement schwerbehinderter Arbeitnehmer, Angaben zur Religionszugehörigkeit für die Gehaltsabrechnung und Informationen zur Gewerkschaftszugehörigkeit.

„Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 (3) DSGVO Textform aufzuklären.“ ((Rechtsgrundlage: § 26 (2) BDSG n. F., ErwGr 155))

Die Vorschrift legt im Hinblick auf die in der DS-GVO vorausgesetzte Möglichkeit der Datenverarbeitung auf der Grundlage einer Einwilligung die Voraussetzungen für die Erteilung einer solchen fest. Zu beachten ist insbesondere, dass diese (auch weiterhin) grundsätzlich schriftlich erteilt werden muss. Außerdem hat der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 DS-GVO in Textform aufzuklären. 

Eine Einwilligung kann z. B. im Zusammenhang mit der Erlaubnis zur privaten Nutzung von E-Mail und Internet in Betracht kommen.

„Beschäftigte im Sinne dieses Gesetzes sind:
1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, (…)“ ((Rechtsgrundlage: § 26 Abs. 8 Nr. 1 BDSG n. F.))

Neu ist, dass nun auch Zeitarbeitskräfte im Verhältnis zum Einsatzbetrieb (Entleiher) als Beschäftigte im Sinne des Gesetzes gelten.