Phillip Raszawitz
Im kommenden Jahr wird in ganz Europa die Datenschutz-Grundverordnung (DS-GVO) gelten, die den Datenschutz im Zusammenhang mit der Verarbeitung von personenbezogenen Daten in allen Mitgliedsstaaten auf ein einheitliches Niveau festsetzen soll. Die Verordnung gilt unmittelbar und genießt Anwendungsvorrang vor nationalem Recht, lässt den nationalen Gesetzgebern allerdings auch Gestaltungsspielräume für eigene Regelungen, solange diese denen der DS-GVO nicht entgegenstehen. Der deutsche Gesetzgeber hat von dieser Gestaltungsmöglichkeit mit dem Datenschutz - Anpassungs- und Umsetzungsgesetz EU Gebrauch gemacht und Änderungen in der aktuellen Fassung des Bundesdatenschutzgesetzes (BDSG) vorgenommen. Am 5. Juni 2017 ist die Neufassung des BDSG verkündet worden. Die Regelungen werden gleichzeitig mit der DS-GVO ab dem 25. Mai 2018 in Kraft treten.
Eine umfassende Darstellung der sich aus der DS-GVO ergebenden und Arbeitsverhältnisse tangierenden datenschutzrechtlichen Änderungen würde den Rahmen dieses Beitrags sprengen. Die Darstellung soll sich daher darauf beschränken, einen Überblick über etwaige Änderungen im Beschäftigtendatenschutz insbesondere im Hinblick auf die Regelung des § 26 BDSG n.F. zu geben und zudem aufzeigen, worauf sich Unternehmen und Beschäftigte zukünftig einstellen müssen.
Einführung
Die DS-GVO stärkt in erster Linie die Rechte der von einer Datenverarbeitung Betroffenen und stellt z.B. in Art. 13 und 14 DS-GVO erweiterte Informationspflichten auf, die auch gegenüber Beschäftigten zu beachten sind. Betroffene können zudem künftig in weit größerem Umfang als bisher Auskunft über die verarbeiteten personenbezogenen Daten verlangen, Art.15 DSGVO. Wenngleich die DS-GVO ein einheitliches Datenschutzniveau sicherstellen soll, enthält sie eine Vielzahl von obligatorischen und fakultativen Öffnungsklauseln, die es den nationalen Gesetzgebern in bestimmten Regelungsbereichen auftragen oder erlauben, konkretisierend tätig zu werden.
Für den Bereich des Beschäftigtendatenschutzes erlaubt es Art. 88 Abs. 1 DS-GVO den Mitgliedstaaten, die personenbezogene Verarbeitung von Beschäftigtendaten im Beschäftigungskontext durch nationale Rechtsvorschriften näher zu regeln. Dabei beschränkt sich die Regelungskompetenz indes auf ein „Konkretisieren“. Die nationalen Gesetzgeber sind nicht befugt, das Schutzniveau in Abweichung zur DS-GVO abzusenken oder anzuheben. Der durch Art. 88 Abs. 1 DS-GVO vorgegebene Regelungsrahmen für Konkretisierungen der nationalen Gesetzgeber für den Bereich des Beschäftigtendatenschutzes ist auch nicht unbeschränkt. Nach Art. 88 Abs. 2 DS-GVO sind vielmehr nur solche Regelungen zulässig, die angemessen sind und die Grundrechte und Interessen der Betroffenen hinreichend schützen.
In Deutschland wird zukünftig § 26 BDSG n.F. den aktuellen § 32 BDSG ablösen und als zentrale Vorschrift den Beschäftigtendatenschutz regeln. Der Gesetzgeber greift bei der Neufassung des § 26 BDSG n.F. erkennbar auf die wesentlichen Regelungsstrukturen, Mechanismen und Vorgaben des bisherigen § 32 BSDG zurück.
Beschäftigtendatenschutz nach § 26 BDSG n.F.
Rechtfertigungsgründe
Wie schon bisher erlaubt § 26 Abs. 1 S. 1 BDSG n.F. die Verarbeitung personenbezogener Daten von Beschäftigten, sofern dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses “erforderlich” ist. Auch bleibt nach § 26 Abs. 1 S. 2 BDSG n.F. die Datenverarbeitung zur Aufdeckung von Straftaten unter Beachtung besonderer Anforderungen zulässig. Darüber hinaus ist nunmehr die Datenverarbeitung auch zulässig, wenn sie zur Ausübung oder Erfüllung der sich aus dem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Die Verarbeitung von personenbezogenen Beschäftigtendaten für andere Zwecke als die des Beschäftigungsverhältnisses kann wohl auch auf die allgemeinen Erlaubnisvorschriften der Verordnung, etwa auf Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO, gestützt werden.
Erforderlichkeit der Datenverarbeitung
Der Gesetzbegründung zu § 26 BDSG n.F. lässt sich zudem entnehmen, dass eine Datenverarbeitung nur dann erforderlich ist, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schließlich schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen. Auf einer Linie mit der bisherigen Rechtsprechung des BAG sind die beiderseitigen Grundrechtspositionen von Arbeitgeber und Arbeitnehmer gegeneinander abzuwägen und im Wege praktischer Konkordanz in Einklang zu bringen.
Kollektivvereinbarungen
Erstmalig wird in § 26 Abs. 4 BDSG n.F. klargestellt, dass auch sogenannte Kollektivvereinbarungen, also Tarifverträge, Betriebs- oder Dienstvereinbarungen Rechtsvorschriften im Sinne des BDSG sind und demnach geeignete Rechtsgrundlagen für eine Datenverarbeitung schaffen können. Diese Vereinbarungen müssen sich indes nunmehr auch an den Anforderungen und Vorgaben des Art. 88 Abs. 2 DS-GVO messen lassen. Kollektivvereinbarungen müssen somit angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Insbesondere müssen sie entsprechende Transparenzregelungen hinsichtlich der Datenverarbeitung enthalten. Sofern Betriebsvereinbarungen auch die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, betreffen, sind entsprechende Schutzmaßnahmen zu treffen. Ähnliches gilt für Betriebsvereinbarungen zu Überwachungssystemen am Arbeitsplatz.
Wichtig ist, sich zu vergegenwärtigen, dass weder § 26 BDSG n.F. noch die DS-GVO eine Ausnahmeregelung für „Altfälle“ vorsieht. Existente Kollektivvereinbarungen, insbesondere Betriebsvereinbarungen, mittels denen die Verarbeitung personenbezogener Beschäftigtendaten geregelt wird, unterliegen mithin denselben Vorgaben. Insoweit stellt sich bereits die Frage, ob diese Vereinbarungen als „datenschutzrechtliche Erlaubnisnorm“ kenntlich zu machen sind. Darüber hinaus sind die Vereinbarungen daraufhin zu überprüfen, ob die Vorgaben des Art. 88 Abs. 2 DS-GVO erfüllt, die datenschutzrechtlichen Grundsätze gemäß Art. 5 Abs. 1 DS-GVO gewahrt und die Umsetzung der Informationspflichten gemäß Art. 12 DS-GVO sowie die Datenschutzfolgenabschätzung erfolgt sind. Treten im Rahmen einer solchen Überprüfung Unzulänglichkeiten hervor, müssen die entsprechenden Vereinbarungen angepasst werden.
Freiwillige Einwilligung
War bisher im Rahmen des Beschäftigtendatenschutzes die Frage nach der Wirksamkeit einer Einwilligung des Beschäftigten als Rechtfertigungsgrund für die Datenverarbeitung umstritten, sieht § 26 Abs. 2 BDSG n.F. eine Einwilligung als möglichen Rechtfertigungsgrund ausdrücklich vor. Zudem stellt die Neuregelung klar, dass trotz der in einem Beschäftigungsverhältnis bestehenden Abhängigkeit eine freiwillige Einwilligung vorliegen kann, wenn z.B. durch die Datenverarbeitung ein rechtlicher oder wirtschaftlicher Vorteil für die beschäftigte Person erreicht wird oder beide Arbeitsvertragsparteien gleich gelagerte Interessen verfolgen. Als Beispiele nennt die Gesetzesbegründung exemplarisch „die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung“ und die „Erlaubnis zur privaten Nutzung von betrieblichen IT-Systemen“.
Vor der Einwilligung hat der Verantwortliche den betroffenen Beschäftigten über den Zweck der Datenverarbeitung und über das Widerrufsrecht nach Art. 7 Abs. 3 DS-GVO aufzuklären. Sollen besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DS-GVO auf Basis einer Einwilligung verarbeitet werden, muss der Verantwortliche hierauf ebenfalls gesondert hinweisen, da sich die Einwilligung ausdrücklich hierauf beziehen muss. Beim Entwurf einer etwaigen Einwilligung sollte sorgsam formuliert werden, um das Risiko der Unwirksamkeit der Einwilligung zu minimieren.
Auch nach der Neuregelung bleibt es nach § 26 Abs. 2 S. 3 BDSG n.F. bei dem Grundsatz des Schriftformerfordernisses, sofern nicht besondere Umstände vorliegen, die eine abweichende Form der Einwilligung rechtfertigen.
Erstreckung auf „analoge“ Datenverarbeitung
Mit § 26 Abs. 7 BDSG n.F. erstreckt der Gesetzgeber die Anwendbarkeit der datenschutzrechtlichen Vorschriften auch weiterhin auf Fälle, in denen die Datenverarbeitung nicht automatisch, sondern analog erfolgt.