Beschäftigtendatenschutz und das neue BDSG – Das ändert sich

Fachbeitrag

Der Beschäftigtendatenschutz (oder auch Arbeitnehmerdatenschutz) ist in der EU-Datenschutz-Grundverordnung nicht eigenständig geregelt worden. Vielmehr wurde die Regelungsbefugnis durch eine Öffnungsklausel an die Mitgliedsstaaten zurückgespielt. Von dieser hat die Bundesregierung Gebrauch gemacht und eine entsprechende Regelung zum Beschäftigtendatenschutz in das neugefasste BDSG (BDSG-neu) aufgenommen. Da dieses bereits von Bundestag und Bundesrat verabschiedet worden ist, stellen wir die kommenden Änderungen vor. Dieser Artikel ist Teil unserer Reihe zum neuen Bundesdatenschutzgesetz.

Öffnungsklausel der Datenschutz-Grundverordnung

Wie und in welchem Umfang es den Mitgliedsstaaten überlassen ist, den Beschäftigtendatenschutz selbst zu regeln, ergibt sich aus Art. 88 DSGVO. Weitere Erläuterungen zur Einführung eines Beschäftigtendatenschutzes durch die Mitgliedsstaaten enthält Erwägungsgrund 155 der Datenschutz-Grundverordnung.

Nach Art. 88 Absatz 1 der Datenschutz-Grundverordnung können die Mitgliedsstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext vorsehen.

Art. 88 Absatz 2 der DSGVO bestimmt, dass die jeweils geschaffenen Vorschriften angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz, umfassen müssen.

Aus Erwägungsgrund 155 zur Datenschutz-Grundverordnung ergibt sich, dass Betriebsvereinbarungen zu den Kollektivvereinbarungen im Sinne von Art. 88 Absatz 1 DSGVO zählen.

Vorgaben zum Arbeitnehmerdatenschutz im neuen Bundesdatenschutzgesetz

Der deutsche Gesetzgeber hat von der ihm eingeräumten Kompetenz Gebrauch gemacht, und mit § 26 BDSG-neu eine Regelung zum Arbeitnehmerdatenschutz in das überarbeitete Bundesdatenschutzgesetz mit aufgenommen. Diese lässt sich in zwei Kategorie unterteilen. Die einen sind bereits aus der vorherigen Fassung des Gesetzes bekannte Regelungen und die anderen neue – jedoch wenig überraschende – Regelungen.

Bekannte Regelungen zum Beschäftigtendatenschutz

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist (§ 26 Abs. 1 Satz 1 BDSG-neu). Dies entspricht weitestgehend dem alten § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz.

Die Voraussetzungen für die Verarbeitung von personenbezogene Daten zur Aufdeckung von Straftaten von Beschäftigten finden sich nun in § 26 Abs. 1 Satz 2 BDSG-neu und decken sich mit denen des § 32 Abs. 1 Satz 2 BDSG-alt.

Die in § 26 BDSG-neu getroffenen Bestimmungen zum Beschäftigtendatenschutz sind gem. § 26 Abs. 7 BDSG-neu auch anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Regelung stimmt mit dem bisherigen § 32 Abs. 2 BDSG-alt überein.

Nach § 26 Abs. 6 BDSG-neu bleiben die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt. Diese Regelung ist mit der Regelung des § 32 Abs. 3 BDSG-alt identisch.

Neue Regelungen zum Arbeitnehmerdatenschutz

Die nachfolgenden Regelungen sind nunmehr ausdrücklich in § 26 BDSG-neu für den Beschäftigtendatenschutz geregelt. Viele der Regelungen galten schon unter den Bestimmungen des BDSG-alt, finden sich dort jedoch an verschiedenen Stellen.

Verarbeitung aufgrund Gesetzes oder ähnlicher Vereinbarung

§ 26 Abs. Satz 1 BDSG-neu: Personenbezogene Daten von Beschäftigten dürfen auch dann verarbeitet werden, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

  • Demnach ist zukünftig auch die Verarbeitung personenbezogener Daten aufgrund Gesetzes oder gesetzesähnlicher Regelung am Maßstab der Erforderlichkeit zu messen.

Freiwilligkeit der Einwilligung

§ 26 Abs. 2 BDSG-neu: Für die Beurteilung der Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.

  • Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. § 26 Abs. 2 BDSG-neu greift die bekannte Problematik der Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigtenverhältnis auf und gibt insoweit eine Beurteilungshilfe. Da letztendlich ein Beurteilungsspielraum bleibt, wird die Problematik im Kern voraussichtlich bestehen bleiben. § 26 Abs. 2 BDSG-neu enthält darüber hinaus noch einige formelle Anforderungen an die Einwilligung. Die Einwilligung ist demnach grundsätzlich schriftlich einzuholen. Außerdem hat der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.

Verarbeitung besonderer Kategorien personenbezogener Daten

§ 26 Abs. 3 BDSG-neu: Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

  • Soweit die Verarbeitung auf der Grundlage einer Einwilligung erfolgt, ist zusätzlich zu den Voraussetzungen des § 26 Abs. 2 BDSG-neu zu beachten, dass sich die Einwilligung ausdrücklich auf diese Daten beziehen muss. Dies entspricht der bereits aus § 4a Abs. 3 BDSG-alt bekannten Regelung.

Verarbeitung auf der Grundlage von Kollektivvereinbarungen

§ 26 IV BDSG-neu: Eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen. Nachdem dies nach der bisherigen Rechtslage bereits über § 4 BDSG-alt in Verbindung mit der dazugehörigen Rechtsprechung möglich war, enthält § 26 BDSG-neu diesbezüglich nun eine ausdrückliche Regelung.

  • Die Möglichkeit zur Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung ergibt sich im Grunde auch schon aus dem oben genannten Art. 88 der Datenschutz-Grundverordnung und dem dazugehörigen Erwägungsgrund 155.

Einhaltung der Grundsätze nach Art. 5 DSGVO

§ 26 V BDSG-neu: Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass die Grundsätze der Datenschutz-Grundverordnung, insbesondere diejenigen des Art. 5 DSGVO, eingehalten werden.

Beschäftigte im Sinne des Gesetzes

§ 26 Abs. 8 BDSG-neu: Definition des Beschäftigtenbegriffs.

  • Im Vergleich zu der bisherigen Definition aus § 3 Abs. 11 BDSG-alt bezieht sich die Definition nunmehr ausdrücklich auch auf Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher und auf Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten.

Worauf ist in Zukunft besonders zu achten?

Betriebsvereinbarungen

Die Verarbeitung personenbezogener Daten von Mitarbeitern auf der Grundlage von Betriebsvereinbarungen bleibt weiterhin möglich. Beim Verfassen von Betriebsvereinbarungen sind jedoch stets die Anforderungen des Art. 88 Abs. 2 DSGVO im Blick zu behalten. Im Hinblick auf bestehende Betriebsvereinbarungen ist zu gewährleisten, dass diese ab Mai 2018 den Anforderungen der Datenschutz-Grundverordnung entsprechen.

Einwilligungen

Bei der Einholung von Einwilligungen im Beschäftigtenverhältnis ist weiterhin darauf zu achten, dass diese freiwillig erfolgen müssen. Dabei sind insbesondere die Abhängigkeit des Beschäftigten und die konkreten Umstände, unter denen die Einwilligung zu erteilen ist, zu berücksichtigen. Des Weiteren ist darauf zu achten, dass die Einwilligung grundsätzlich schriftlich einzuholen ist und der Beschäftigte in Textform über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufgeklärt worden ist. Die Vorgänge sollten entsprechend dokumentiert werden.

Keine Reform des Arbeitnehmerdatenschutzes

Im Zusammenhang mit den Umfangreichen Neuerungen im Datenschutz bot sich dem Gesetzgeber eine gute Gelegenheit, auch den Arbeitnehmerdatenschutz umfangreich zu regeln. Dass es bei einer leicht ergänzten Fassung des § 32 BDSG-alt geblieben ist, wurde auch im Rahmen des Gesetzgebungsverfahrens ausdrücklich kritisiert. Denn es gibt immer noch keine verbindlichen Regeln für die großen Problemfelder des Beschäftigtendatenschutzes, stattdessen muss man weiterhin auf die zu § 32 BDSG-alt entwickelten Grundsätze zurückgreifen. Natürlich mit der Einschränkung, dass diese im Lichte der DSGVO interpretiert werden müssen.

Hier finden Sie weitere Informationen zum neuen Bundesdatenschutzgesetz

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

8 Kommentare zu diesem Beitrag

  1. Ein sehr aufwendiger, hilfreicher und toll erklärter Artikel!!!

    Ich würde folgende Punkte aber eher unter „Bekannte Regelungen zum Beschäftigtendatenschutz“ als unter „Neue Regelungen zum Arbeitnehmerdatenschutz“ aufführen:

    Einwilligung der besondere Arten persb. Daten
    (nur die Ausdrücklichkeit der Einwilligung)
    § 26 Abs. 3 BDSG-neu -> § 4a Abs. 3 BDSG-alt

    Verarbeitung besonderer Kategorien personenbezogener Daten

    § 26 Abs. 4 BDSG-neu -> § 4 Abs. 2 Nr. 1 BDSG-alt
    (in Form des Begriffs „eine Rechtsvorschrift“ in Verbindung mit der derzeitigen Rechtsprechung)

    Beteiligungsrechte der Interessenvertretung

    § 26 Abs. 6 BDSG-neu -> § 32 Abs. 3 BDSG-alt

    • Vielen Dank für die wichtigen und richtigen Hinweise. Wir haben den Artikel entsprechend angepasst. Die Regelungen aus § 26 Abs. 3 und Abs. 4 BDSG-neu betreffend war uns wichtig herauszustellen, dass diese im Vergleich zu § 32 BDSG-alt nunmehr gesondert in einer Bestimmung zum Beschäftigtendatenschutz geregelt sind, so dass wir diese weiterhin bei den „neuen“ Regelungen aufführen – um einen entsprechenden Hinweis versehen.

  2. Viele hilfreiche Infos. Ich bin jedoch auf der Suche nach einer bestimmten Info: ein Geschäftsführer will ein Jubiläumsbuch herausgeben und sich bei allen bisherigen Mitarbeiter bedanken. Darf er die vollständigen Namen allen bisherigen Mitarbeiter ohne deren Einwiligung auflisten? Es handelt sich also um personenbezogene Daten, die zu quasi Marketing-Zwecken verwendet werden, oder?

    • Grundsätzlich gibt es mit § 26 BDSG eine Rechtsgrundlage für die Fälle, in denen die Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist, daneben ist die Einwilligung eine Möglichkeit. Es ist allerdings so, dass auch im Beschäftigungsverhältnis die Verarbeitung auf Grundlage eines berechtigten Interesses, also nach einer umfassenden Interessenabwägung, möglich sein muss. Die Übermittlung der Namen an eine Redaktion, damit diese Mitarbeiter in dem Jubiläumsbuch genannt werden, ist sicherlich nicht betrieblich erforderlich. Es stellt sich also die Frage, ob der Arbeitgeber ein berechtigtes Interesse daran hat und das entgegenstehende Interesse der betroffenen Person nicht überwiegt. Hier hängt es von vielen unterschiedlichen Faktoren ab, insbesondere auch davon, ob das Jubiläumsbuch lediglich intern verbreitet wird. Es ist jedenfalls keine sichere Variante, sich auf das berechtigte Interesse zu stützen. Dazu sollte man die Widerspruchsmöglichkeit, die den Mitarbeitern in dem Fall eingeräumt werden muss, nicht vergessen.

  3. Hallo Dr. Datenschutz,
    ich bin mit einem Auto meines Arbeitsgebers zu schnell gefahren und bin offenbar – ohne es zu merken – geblitzt worden. Mein Arbeitgeber erhielt ein Schreiben der Bußgeldstelle des Landkreises: schriftliche Verwarnung mit Verwarnungsgeld (25€) und Anhörung. Die Sekretärin des Geschäftsführers hat mich auf dem abgedruckten Bild erkannt und der Bußgeldstelle meine Adressdaten übermittelt. Daraufhin erhielt ich die schriftliche Verwarnung mit Verwarnungsgeld privat, zu Hause. Über die Weitergabe der Adressdaten wurde ich nicht informiert, das habe ich auf Nachfrage rausgefunden. Diese Herausgabe und dann noch ohne Info stört mich! Ich glaube ja, das dies ein Verstoß gegen Datenschutzbestimmungen ist und habe das auch meinem Arbeitgeber gesagt.
    Mein Arbeitgeber bezieht sich aber einfach auf §111 OWiG, danach sei er verpflichtet, die Daten heraus zu geben. Damit gäbe es auch keinen Verstoß. Ich glaube, das ist Quatsch, aber jetzt bin nunmal ich am Zug. Wie kann ich argumentieren, haben Sie einen Schimmer?
    Viele Grüße aus dem Norden

    • § 111 OWiG dürfte in diesem Fall nicht einschlägig sein, da die Vorschrift falsche Angaben über den eigenen Namen in bestimmten Fällen unter Strafe stellt. Grundsätzlich besteht für einen Arbeitgeber jedoch ein berechtigtes Interesse an der Weitergabe von Fahrerdaten, da der Arbeitgeber als Fahrzeughalter nach § 31a StVZO andernfalls zur Führung eines Fahrtenbuchs verpflichtet werden kann. Die Fahrtenbuchauflage kann auch für einen kompletten Fuhrpark verhängt werden. Ein Verstoß gegen eine Fahrtenbuchauflage stellt eine Ordnungswidrigkeit dar.

  4. Leider helfen mir all diese Infos noch nicht ganz so sehr weiter. Ich meine nämlich gelesen zu haben, dass ich persönlich haftbar gemacht werden kann, wenn ich persönliche Daten von Mitarbeitern weitergebe. Nun ist es so, dass ich unsere Mitarbeiter zu einer Schulung anmelden musste, wozu „dringend“ deren Gebürtsdaten benötigt wurden (man hat sich dort sogar ein wenig lustig gemacht, wer sich denn so anstellen würde bei der Herausgabe der Daten – was ich widerum überhaupt nicht witzig fand). Wie ist denn da die Rechtslage? Dass ich für ein Unternehmen den Namen des Anzumeldenden angeben muss, empfinde ich ja noch als logisch aber könnte ich darauf bestehen, die Mitarbeiter ohne Angabe des Geburtstatums anmelden zu können?
    Und grundsätzlich: sollten wir uns von unseren Mitarbeitern etwas unterzeichnen lassen, was uns dazu befugt bestimmte Daten ggfs. weitergeben zu dürfen? Und wenn ja; gibt es für sowas irgendwo eine Art Vordruck?
    Vielen Dank im Voraus, Gruß aus Hannover

    • Für die korrekte Umsetzung datenschutzrechtlicher Vorgaben steht zunächst die verantwortliche Stelle ein – d.h. in der Regel die Geschäftsführung. Die Leitung der verantwortlichen Stelle hat seine Beschäftigten ausreichend im Datenschutz zu schulen, um einen korrekten Umgang mit personenbezogenen Daten im Unternehmen zu gewährleisten. Eine Haftung der beschäftigten selbst kommt nur in Ausnahmefällen in Betracht. Inwieweit eine Datenweitergabe für die Anmeldung bei einer Schulung rechtmäßig ist, ist vom jeweiligen Einzelfall abhängig. Beispielsweise ist auch denkbar, dass die Durchführung einer bestimmten Schulung für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist. In einem solchen Fall ist eine weitere Einwilligung in der Regel nicht erforderlich. Einzelfragen sollten mit dem betrieblichen Datenschutzbeauftragten geklärt werden, soweit vorhanden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.