Beschäftigtendatenschutz und das neue BDSG – Das ändert sich

Fachbeitrag

Der Beschäftigtendatenschutz (oder auch Arbeitnehmerdatenschutz) ist in der EU-Datenschutz-Grundverordnung nicht eigenständig geregelt worden. Vielmehr wurde die Regelungsbefugnis durch eine Öffnungsklausel an die Mitgliedsstaaten zurückgespielt. Von dieser hat die Bundesregierung Gebrauch gemacht und eine entsprechende Regelung zum Beschäftigtendatenschutz in das neugefasste BDSG (BDSG-neu) aufgenommen. Da dieses bereits von Bundestag und Bundesrat verabschiedet worden ist, stellen wir die kommenden Änderungen vor. Dieser Artikel ist Teil unserer Reihe zum neuen Bundesdatenschutzgesetz.

Öffnungsklausel der Datenschutz-Grundverordnung

Wie und in welchem Umfang es den Mitgliedsstaaten überlassen ist, den Beschäftigtendatenschutz selbst zu regeln, ergibt sich aus Art. 88 DSGVO. Weitere Erläuterungen zur Einführung eines Beschäftigtendatenschutzes durch die Mitgliedsstaaten enthält Erwägungsgrund 155 der Datenschutz-Grundverordnung.

Nach Art. 88 Absatz 1 der Datenschutz-Grundverordnung können die Mitgliedsstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext vorsehen.

Art. 88 Absatz 2 der DSGVO bestimmt, dass die jeweils geschaffenen Vorschriften angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz, umfassen müssen.

Aus Erwägungsgrund 155 zur Datenschutz-Grundverordnung ergibt sich, dass Betriebsvereinbarungen zu den Kollektivvereinbarungen im Sinne von Art. 88 Absatz 1 DSGVO zählen.

Vorgaben zum Arbeitnehmerdatenschutz im neuen Bundesdatenschutzgesetz

Der deutsche Gesetzgeber hat von der ihm eingeräumten Kompetenz Gebrauch gemacht, und mit § 26 BDSG-neu eine Regelung zum Arbeitnehmerdatenschutz in das überarbeitete Bundesdatenschutzgesetz mit aufgenommen. Diese lässt sich in zwei Kategorie unterteilen. Die einen sind bereits aus der vorherigen Fassung des Gesetzes bekannte Regelungen und die anderen neue – jedoch wenig überraschende – Regelungen.

Bekannte Regelungen zum Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist (§ 26 Abs. 1 Satz 1 BDSG-neu). Dies entspricht weitestgehend dem alten § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz.

Die Voraussetzungen für die Verarbeitung von personenbezogene Daten zur Aufdeckung von Straftaten von Beschäftigten finden sich nun in § 26 Abs. 1 Satz 2 BDSG-neu und decken sich mit denen des § 32 Abs. 1 Satz 2 BDSG-alt.

Die in § 26 BDSG-neu getroffenen Bestimmungen zum Beschäftigtendatenschutz sind gem. § 26 Abs. 7 BDSG-neu auch anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Regelung stimmt mit dem bisherigen § 32 Abs. 2 BDSG-alt überein.

Nach § 26 Abs. 6 BDSG-neu bleiben die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt. Diese Regelung ist mit der Regelung des § 32 Abs. 3 BDSG-alt identisch.

Neue Regelungen zum Arbeitnehmerdatenschutz

Die nachfolgenden Regelungen sind nunmehr ausdrücklich in § 26 BDSG-neu für den Beschäftigtendatenschutz geregelt. Viele der Regelungen galten schon unter den Bestimmungen des BDSG-alt, finden sich dort jedoch an verschiedenen Stellen.

Verarbeitung aufgrund Gesetzes oder ähnlicher Vereinbarung

§ 26 Abs. Satz 1 BDSG-neu: Personenbezogene Daten von Beschäftigten dürfen auch dann verarbeitet werden, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

  • Demnach ist zukünftig auch die Verarbeitung personenbezogener Daten aufgrund Gesetzes oder gesetzesähnlicher Regelung am Maßstab der Erforderlichkeit zu messen.

Freiwilligkeit der Einwilligung

§ 26 Abs. 2 BDSG-neu: Für die Beurteilung der Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.

  • Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. § 26 Abs. 2 BDSG-neu greift die bekannte Problematik der Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigtenverhältnis auf und gibt insoweit eine Beurteilungshilfe. Da letztendlich ein Beurteilungsspielraum bleibt, wird die Problematik im Kern voraussichtlich bestehen bleiben. § 26 Abs. 2 BDSG-neu enthält darüber hinaus noch einige formelle Anforderungen an die Einwilligung. Die Einwilligung ist demnach grundsätzlich schriftlich einzuholen. Außerdem hat der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.

Verarbeitung besonderer Kategorien personenbezogener Daten

§ 26 Abs. 3 BDSG-neu: Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

  • Soweit die Verarbeitung auf der Grundlage einer Einwilligung erfolgt, ist zusätzlich zu den Voraussetzungen des § 26 Abs. 2 BDSG-neu zu beachten, dass sich die Einwilligung ausdrücklich auf diese Daten beziehen muss. Dies entspricht der bereits aus § 4a Abs. 3 BDSG-alt bekannten Regelung.

Verarbeitung auf der Grundlage von Kollektivvereinbarungen

§ 26 IV BDSG-neu: Eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen. Nachdem dies nach der bisherigen Rechtslage bereits über § 4 BDSG-alt in Verbindung mit der dazugehörigen Rechtsprechung möglich war, enthält § 26 BDSG-neu diesbezüglich nun eine ausdrückliche Regelung.

  • Die Möglichkeit zur Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung ergibt sich im Grunde auch schon aus dem oben genannten Art. 88 der Datenschutz-Grundverordnung und dem dazugehörigen Erwägungsgrund 155.

Einhaltung der Grundsätze nach Art. 5 DSGVO

§ 26 V BDSG-neu: Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass die Grundsätze der Datenschutz-Grundverordnung, insbesondere diejenigen des Art. 5 DSGVO, eingehalten werden.

Beschäftigte im Sinne des Gesetzes

§ 26 Abs. 8 BDSG-neu: Definition des Beschäftigtenbegriffs.

  • Im Vergleich zu der bisherigen Definition aus § 3 Abs. 11 BDSG-alt bezieht sich die Definition nunmehr ausdrücklich auch auf Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher und auf Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten.

Worauf ist in Zukunft besonders zu achten?

Betriebsvereinbarungen

Die Verarbeitung personenbezogener Daten von Mitarbeitern auf der Grundlage von Betriebsvereinbarungen bleibt weiterhin möglich. Beim Verfassen von Betriebsvereinbarungen sind jedoch stets die Anforderungen des Art. 88 Abs. 2 DSGVO im Blick zu behalten. Im Hinblick auf bestehende Betriebsvereinbarungen ist zu gewährleisten, dass diese ab Mai 2018 den Anforderungen der Datenschutz-Grundverordnung entsprechen.

Einwilligungen

Bei der Einholung von Einwilligungen im Beschäftigtenverhältnis ist weiterhin darauf zu achten, dass diese freiwillig erfolgen müssen. Dabei sind insbesondere die Abhängigkeit des Beschäftigten und die konkreten Umstände, unter denen die Einwilligung zu erteilen ist, zu berücksichtigen. Des Weiteren ist darauf zu achten, dass die Einwilligung grundsätzlich schriftlich einzuholen ist und der Beschäftigte in Textform über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufgeklärt worden ist. Die Vorgänge sollten entsprechend dokumentiert werden.

Keine Reform des Arbeitnehmerdatenschutzes

Im Zusammenhang mit den Umfangreichen Neuerungen im Datenschutz bot sich dem Gesetzgeber eine gute Gelegenheit, auch den Arbeitnehmerdatenschutz umfangreich zu regeln. Dass es bei einer leicht ergänzten Fassung des § 32 BDSG-alt geblieben ist, wurde auch im Rahmen des Gesetzgebungsverfahrens ausdrücklich kritisiert. Denn es gibt immer noch keine verbindlichen Regeln für die großen Problemfelder des Beschäftigtendatenschutzes, stattdessen muss man weiterhin auf die zu § 32 BDSG-alt entwickelten Grundsätze zurückgreifen. Natürlich mit der Einschränkung, dass diese im Lichte der DSGVO interpretiert werden müssen.

Hier finden Sie weitere Informationen zum neuen Bundesdatenschutzgesetz

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. Ein sehr aufwendiger, hilfreicher und toll erklärter Artikel!!!

    Ich würde folgende Punkte aber eher unter „Bekannte Regelungen zum Beschäftigtendatenschutz“ als unter „Neue Regelungen zum Arbeitnehmerdatenschutz“ aufführen:

    Einwilligung der besondere Arten persb. Daten
    (nur die Ausdrücklichkeit der Einwilligung)
    § 26 Abs. 3 BDSG-neu -> § 4a Abs. 3 BDSG-alt

    Verarbeitung besonderer Kategorien personenbezogener Daten

    § 26 Abs. 4 BDSG-neu -> § 4 Abs. 2 Nr. 1 BDSG-alt
    (in Form des Begriffs „eine Rechtsvorschrift“ in Verbindung mit der derzeitigen Rechtsprechung)

    Beteiligungsrechte der Interessenvertretung

    § 26 Abs. 6 BDSG-neu -> § 32 Abs. 3 BDSG-alt

    • Vielen Dank für die wichtigen und richtigen Hinweise. Wir haben den Artikel entsprechend angepasst. Die Regelungen aus § 26 Abs. 3 und Abs. 4 BDSG-neu betreffend war uns wichtig herauszustellen, dass diese im Vergleich zu § 32 BDSG-alt nunmehr gesondert in einer Bestimmung zum Beschäftigtendatenschutz geregelt sind, so dass wir diese weiterhin bei den „neuen“ Regelungen aufführen – um einen entsprechenden Hinweis versehen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.