• Gut zu sehen, was schon geschafft ist. Besser zu wissen was noch vor uns liegt.
  • Präzision, perfektes Timing und der Blick für das Wesentliche.
  • Im richtigen Moment das Richtige tun. Das unterscheidet die Besten von den Guten.
  • Ziele erreichen mit einem zuverlässigen Partner an der Seite.
Focus Datenschutz

Dr. Michael Rath

Beschäftigtendatenschutz nach DSGVO und BDSG-neu

Am 25. Mai 2018 tritt neben der DSGVO auch das neue BDSG in Kraft. Nachfolgend wird dargestellt, was dann im Beschäftigtendatenschutz gilt und welche Auswirkungen sich für die Datenverarbeitung im Arbeitsverhältnis (insbesondere für Betriebsvereinbarungen mit IT- und datenschutzrechtlichem Inhalt) ergeben.

Ab Mai 2018 gelten DSGVO und BDSG-neu

Die DSGVO hat grundsätzlich ab dem 25. Mai 2018 Vorrang vor den nationalen Datenschutzbestimmungen in den EU-Mitgliedstaaten (und damit auch vor dem BDSG). Das bedeutet auch, dass Aufsichtsbehörden und Gerichte nationale Regelungen nicht anzuwenden haben, wenn diese Sachverhalte bereits durch die DSGVO geregelt werden. Andererseits enthält die DSGVO zahlreiche Öffnungsklauseln, die den Mitgliedsstaaten begrenzte Regelungsmöglichkeiten überlassen. Der deutsche Gesetzgeber hat mit dem DSAnpUG (Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 [Datenschutz-Anpassungs- und -Umsetzungsgesetz EU], http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s2097.pdf) einige dieser Öffnungsklauseln genutzt. In § 26 BDSG-neu sind etwa Regelungen zum Beschäftigtendatenschutz enthalten. Ob die deutschen Regelungen mit der DSGVO in Einklang stehen, wurde bereits angezweifelt, sodass davon auszugehen ist, dass diese alsbald Gegenstand gerichtlicher Entscheidungen werden (https://www.computerwoche.de/a/das-bundesdatenschutzgesetz-wird-europaeisiert,3330647).

Beschäftigtendatenschutz nach der DSGVO: Kollektivvereinbarungen bleiben

Gemäß Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen (Betriebs- oder Dienstvereinbarungen) „spezifischere Vorschriften“ zur Verarbeitung von Beschäftigtendaten vorsehen. In Deutschland soll § 26 BDSG-neu diese Spezialregelung zum Beschäftigtendatenschutz liefern. Erhebliche praktische Bedeutung insbesondere für Unternehmen hat aber Art. 88 Abs. 2 DSGVO. Denn daran müssen sich zukünftig Betriebsvereinbarungen zum Datenschutz messen lassen. Betriebsvereinbarungen können auch zukünftig die Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten bilden, sofern diese die Vorgaben des Art. 88 Abs. 2 DSGVO beachten. Dazu müssen Betriebsvereinbarungen „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen“. Da bereits nach der derzeitigen Rechtsprechung zu Betriebsvereinbarungen die Grundrechte und berechtigten Interessen der Beschäftigten sowie der Grundsatz der Verhältnismäßigkeit zu wahren sind, ergibt sich aus der DSGVO insoweit aber keine wesentliche Abweichung. Neu ist hingegen, dass angemessene Maßnahmen getroffen werden müssen in Bezug auf die Transparenz der Verarbeitung, die konzerninterne Datenübermittlung und an Überwachungssysteme am Arbeitsplatz.

Beschäftigtendatenschutz nach dem BDSG-neu

Bei der Anpassung des Beschäftigtendatenschutzes an die DSGVO hat sich der deutsche Gesetzgeber (wohl auch mit Blick auf die auslaufende Legislaturperiode) dazu entschieden, im Kern die bisherige Regelung zu übernehmen. Nach wie vor ist die Verarbeitung von Beschäftigtendaten zulässig, wenn diese für die Verwirklichung der in § 26 Abs. 1 BDSG-neu enthaltenen Zwecke erforderlich ist. Erforderlich bedeutet, dass die Interessen des datenverarbeitenden Arbeitgebers mit den Interessen des betroffenen Arbeitnehmers abzuwägen sind und das Verhältnismäßigkeitsprinzip gewahrt sein muss. Zudem bleibt die Verarbeitung auf Grundlage von Betriebsvereinbarungen zulässig, wobei insbesondere auf die dazugehörige Regelung in Art. 88 Abs. 2 DSGVO verwiesen wird. Weitergehende Anforderungen an Betriebsvereinbarungen stellt das BDSG-neu also nicht auf. Neu ist dagegen die ausdrückliche Regelung zu Einwilligungen im Beschäftigungskontext in § 26 Abs. 2 BDSG-neu. Einwilligungen bleiben als Legitimationsgrundlage für die Datenverarbeitung auch im Beschäftigungsverhältnis zulässig, sofern diese freiwillig erteilt wurden. Für diese Beurteilung sind zwar das Abhängigkeitsverhältnis der beschäftigten Person als auch die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Andererseits aber soll die Freiwilligkeit bereits dann vorliegen, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Entwicklungen auf europäischer Ebene

Ob die Vorgaben zur Einwilligung wirklich in Einklang stehen mit der europäischen Regelung in Art. 7 DSGVO, wird sich noch zeigen. Gerade nämlich hat die Art. 29-Datenschutzgruppe (ein Gremium aus Vertretern der nationalen Datenschutzbehörden der EU) eine neue Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses („Opinion 2/2017 on data processing at work) veröffentlicht (http://ec.europa.eu/newsroom/document.cfm?doc_id=45631), indem sie Arbeitgebern explizit empfiehlt,  Datenverarbeitungen im Beschäftigungsverhältnis gerade nicht auf Einwilligungen zu stützen. Denn die Beschäftigten könnten aufgrund ihres Abhängigkeitsverhältnisses fast nie eine freiwillige Einwilligung abgeben. Nach Ansicht der Datenschützer sei dies nur unter außergewöhnlichen Umständen möglich, nämlich wenn überhaupt keine Konsequenzen mit der Annahme oder Ablehnung des Angebots zur Abgabe einer Einwilligung verbunden seien. Ferner muss die Einwilligung gemäß dem BDSG-neu grundsätzlich schriftlich erklärt werden, sowie jederzeit widerrufbar sein. Im Ergebnis erscheint der gesetzliche Erlaubnistatbestand der Einwilligung daher insbesondere für Unternehmen mit einer größeren Belegschaft wenig praktikabel. Davon abgesehen kann die Verarbeitung von personenbezogen Daten im Beschäftigtenverhältnis auch weiterhin auf die Erlaubnistatbestände der Vertragserfüllung oder der Wahrung berechtigter Interessen, sowie auf etwaige Betriebsvereinbarungen gestützt werden.

Prüfungs- und Anpassungsbedarf bei Betriebsvereinbarungen

Gerade bei Kollektivvereinbarungen kann sich noch Aktualisierungsbedarf ergeben. Denn die Betriebsvereinbarungen müssen sämtliche Anforderungen der DSGVO einhalten, um den Vorgaben von Art. 88 DSGVO zu entsprechen. So sollten in Betriebsvereinbarungen mit IT-Bezug Regelungen im Hinblick auf die Transparenz der Verarbeitung sowie beispielsweise zu Löschkonzepten enthalten sein. Auch kann es sich anbieten die Grundprinzipien der DSGVO in der Betriebsvereinbarung in einer „klaren und einfachen“ Sprache zu erläutern. Darüber hinaus sollte aus dem Wortlaut der Betriebsvereinbarung klar hervorgehen, dass diese einen datenschutzrechtlichen Erlaubnistatbestand für die rechtmäßige Verarbeitung personenbezogener Beschäftigtendaten darstellt und die Zwecke der Datenverarbeitung konkret benennen. Einigkeit besteht darüber, dass Betriebsvereinbarungen zukünftig auch nicht negativ vom Datenschutzniveau der DSGVO abweichen dürfen.

Anders als bei Einwilligungen ist jedoch unklar, welche Anforderungen an bereits bestehende Betriebsvereinbarungen zu stellen sind. Eine gesetzliche Übergangsfrist oder einen Hinweis der Aufsichtsbehörden, ob bestehende Betriebsvereinbarungen (wie etwa bei den Einwilligungen geschehen) fortgelten, gibt es nicht. Daher wird überwiegend angenommen, dass bis zum 25. Mai 2018 alle den Datenschutz betreffende Betriebsvereinbarungen an die neuen Vorgaben angepasst bzw. deren Übereinstimmung mit den wesentlichen Prinzipien der DSGVO geprüft werden müssen. Wie groß der Anpassungsbedarf ist, lässt sich natürlich nicht ohne Blick in die Betriebsvereinbarungen beantworten. Jedenfalls aber bei einer Vielzahl an Betriebsvereinbarungen werden die Betroffenenrechte, Informationspflichten und Löschkonzepte nicht umfassend berücksichtigt sein. Offen ist jedoch inwiefern Abweichungen von der DSGVO die Wirksamkeit der gesamten Betriebsvereinbarung als Erlaubnistatbestand für die Datenverarbeitung beeinflussen.

Weitere Neuerungen im Beschäftigtendatenschutz

Zukünftig bedarf auch die Verarbeitung personenbezogener Daten durch den Betriebsrat oder andere betriebsverfassungsrechtliche Interessenvertretungen einer datenschutzrechtlichen Erlaubnis. Damit können diese nun auch durch den Datenschutzbeauftragten in Bezug auf die Datenverarbeitung von Beschäftigtendaten kontrolliert werden. Der Begriff des Beschäftigten ist übrigens weit gefasst, sodass darunter nicht nur Arbeitnehmer, Bewerber, ehemalige Beschäftigte, Leiharbeiter und Auszubildende fallen sondern auch Beamte, Richter und Soldaten. Werden sensible Daten wie etwa Gesundheitsdaten verarbeitet, ist dies zulässig, sofern die Verarbeitung zur Erfüllung von Rechten und Pflichten aus dem Beschäftigungsverhältnis erforderlich ist oder eine ausdrückliche Einwilligung dazu vorliegt. Der Arbeitgeber hat jedoch Schutzmaßnahmen, wie etwa die Pseudonymisierung oder das Verschlüsseln von Daten, zu treffen.

Dr. Michael Rath
Partner
michael.rath(at)luther-lawfirm.com
Telefon +49 221 9937 25795