22 Mai 2017

Am 15. Mai hat der Bundesrat das neue Bundesdatenschutzgesetz (BDSG-neu) genehmigt, das bereits im April vom Bundestag verabschiedet wurde. Das neue BDSG wird am 25. Mai 2018 mit der DSGVO in Kraft treten und sie ergänzen.

Besonders interessant für Unternehmen ist die neue Regelung zum Beschäftigtendatenschutz. Finden Sie hier die maßgeblichen Vorschriften.

Bereits auf den ersten Blick ist erkennbar, dass die neue Regelung viel umfangreicher ist als die Aktuelle. Eine komplette Neuregelung stellt der § 26 BDSG jedoch nicht dar, stattdessen wird auf die Grundsätze des § 32 BDSG, insbesondere, die durch Rechtsprechung entwickelt wurden, zurückgegriffen und weitere Elemente verschriftlicht. Der deutsche Gesetzgeber hat große Teile des bisherigen Beschäftigtendatenschutzes übernommen.

  • 26 BDSG-neu ergänzt den Datenschutz am Arbeitsplatz, verdrängt die (vorrangigen) Regelungen der DSGVO aber nicht. Daher müssen Arbeitgeber und Betriebsräte auch die allgemeinen Vorgaben der DSGVO kennen und umsetzen. Der wesentliche Regelungsgehalt ist wie folgt:

Zulässigkeit der Datenverarbeitung nach Interessensabwägung

Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden sofern dies für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Da die Interpretation von „Erforderlichkeit“ viel Spielraum lässt, enthält die Gesetzesbegründung hierzu einen Hinweis: “Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.” Damit wird also auf die Grundsätze des aktuellen BDSG zurückgegriffen: Datenverarbeitung von Beschäftigten ist damit erlaubt, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interessen des Beschäftigten nicht überwiegen.

Zulässigkeit der Datenverarbeitung zum Zwecke der Aufdeckung von Straftaten

Auch weiterhin bleibt die Verwertung von Daten zulässig, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Zulässigkeit der Datenverarbeitung nach Einwilligungen durch den Beschäftigten

Datenverarbeitungen von Beschäftigten die im Rahmen einer Interessensabwägung für nicht zulässig erachtet werden, können durch Einholung einer freiwilligen Einwilligung zulässig gemacht werden. Bei der Beurteilung der Freiwilligkeit der Einwilligung wird der Gesetzesanwender diesmal mehr an die Hand genommen. Berücksichtigt werden muss die bestehende Abhängigkeit des Beschäftigten vom Arbeitgeber. Zudem muss er auch die Umstände, unter denen die Einwilligung erteilt worden ist, in Betracht ziehen. Neu ist, dass Freiwilligkeit dann vorliegen kann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. Die Einwilligung muss einer Form entsprechen: schriftlich oder soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Des Weiteren treffen den Arbeitgeber höhere Transparenzpflichten. Der Arbeitgeber muss den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufklären. Bei der Verarbeitung besonderer Arten personenbezogener Daten (u.a. Religion, sexuelle Neigung, Gesundheitsdaten) besteht zudem eine spezielle Hinweispflicht.

Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien von Daten: rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Zudem darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Zulässigkeit der Verarbeitung auf Grundlage von Betriebsvereinbarungen

Es wird klargestellt, dass Betriebsvereinbarungen und andere Kollektivvereinbarungen weiterhin die Verarbeitung von Beschäftigtendaten erlauben können. Unter welchen Voraussetzungen Kollektivvereinbarungen Bestand haben, wird in der DSGVO geklärt.

Beachtung von Datenschutzgrundsätzen

Die in der DSGVO festgelegten Datenschutzgrundsätze: Rechtmäßigkeit der Datenverarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Integrität und Vertraulichkeit personenbezogener Daten sowie die Rechenschaftspflicht müssen vom Arbeitgeber und dessen verbundene Unternehmen, aber auch von dem Betriebsrat oder anderen Betriebsverfassungsorganen, die personenbezogene Daten von Beschäftigten verarbeiten, beachtet werden.

Nicht-automatisierte Verarbeitung von Beschäftigtendaten

Nach dem neuen BDSG, wie auch nach dem alten, soll auch die nicht automatisierte (bzw. nicht elektronische) Datenverarbeitung von Mitarbeiterdaten in den Anwendungsbereich des Gesetzes fallen. Dies spielt z.B. bei der Durchführung von Mitarbeiterumfragen oder bei Überwachungsmaßnahmen eine Rolle.

Nähere Definition des Beschäftigten

Die DSGVO bestimmt, dass der datenschutzrechtliche Beschäftigtenbegriff neben Arbeitnehmern, Leiharbeitnehmern und Auszubildenden auch noch Heimarbeiter, Beamte, Richter, Soldaten und weitere in § 26 Abs. 8 BDSG-neu genannten Personengruppen meint.

Fazit und unsere Empfehlung

Die neuen Regelungen bringen viel neuen Gesetzestext, der „tacheles“ aber den bisherigen Anforderungen der deutschen Rechtsprechung im Wesentlichen entspricht. Arbeitgeber, Beschäftigte und Betriebsräte die sich bisher auch an den Vorgaben der Rechtsprechung zu § 32 BDSG orientiert haben, sind gut beraten, dies auch weiterhin so zu tun und einige zusätzliche Punkte zu beachten. Bis Mai 2018 sollte bei den folgenden wesentlichen To-Do’s nochmal sichergegangen werden, dass diese geprüft und gegebenenfalls den Anforderungen der DSGVO entsprechend angepasst wurden, denn wie auch bei allen anderen Datenschutzverstößen, bringen auch Verstöße im Bereich Beschäftigtendatenschutz, mit der DSGVO hohe Risiken: Es drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes (dies entscheidet sich danach, welcher Betrag höher ist). Es können auch Schadensersatzansprüche von Arbeitnehmern auch wegen Nichtvermögensschäden geltend gemacht werden. Die Beweislast liegt bei dem datenverarbeitenden Arbeitgeber.

To-Do’s

  • Bei jeder Datenverarbeitung, die Mitarbeiterdaten umfasst, sollte die Erforderlichkeit hinterfragt und bei nicht offensichtlich erforderlichen Projekten gegebenenfalls dokumentiert werden.
  • Einwilligungen und Betriebsvereinbarungen bleiben gangbare Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses. Diese sollten aber dahingehend geprüft werden, ob Sie auch nach dem neuen Gesetz Bestand haben.
    Die Einwilligung sollte den Vorgaben von § 26 Abs. 2 BDSG-neu genügen. D.h. alle Einwilligungen sollten auf die Einhaltung der Voraussetzungen geprüft werden, ggf. vom Fachmann, da auch weiterhin die Frage nach der Freiwilligkeit einer Einwilligung nicht unstrittig bleiben dürfte.
    Tarifverträge, Betriebsvereinbarungen und andere Kollektivvereinbarungen in Bezug   auf Mitarbeiterdatenverarbeitung sollten den Anforderungen von Art. 88 Abs. 2 DSGVO genügen. Hier besteht bei vielen bereits abgeschlossenen          Betriebsvereinbarungen einiger Handlungsbedarf.
  • Für die Verarbeitung von sensiblen Daten (Krankheitsdaten, Religionsdaten von Mitarbeitern) müssen gesonderte Schutzmaßnahmen wie zum Beispiel die Pseudonymisierung oder Verschlüsselung ergriffen werden.

 

Weiterführende Links zur DSGVO:

 

Comments are closed.