EU-Datenschutz-Grundverordnung und Beschäftigtendatenschutz

arbeitnehmer 01
Fachbeitrag

Schon seit Jahren ist der Beschäftigtendatenschutz immer mal wieder im Gespräch der Öffentlichkeit. Bereits im Jahre 2010 stellte die Bundesregierung ein Gesetzesentwurf zum Arbeitnehmerdatenschutz vor. Nach jahrelanger Diskussion und Verhandlung, kam das Vorhaben Anfang 2013 zum Erliegen. Die nötige Reform des Arbeitnehmerdatenschutzes wurde unter anderem wegen der geplanten EU-Datenschutz-Grundverordnung vorerst ausgesetzt. Da die Verabschiedung der Verordnung aber immer näher rückt, werfen wir nun einen Blick auf deren Auswirkung auf den Beschäftigtendatenschutz. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Was ist Beschäftigtendatenschutz?

Unter dem Stichwort Beschäftigten- oder Arbeitnehmerdatenschutz werden Regelungen zusammengefasst, die sich speziell mit der Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten, bzw. Daten in oder in Zusammenhang mit einem Beschäftigungsverhältnis befassen. In der bundesdeutschen Gesetzgebung finden sich diese Vorschriften in sehr unterschiedlichen, bereichsspezifischen Gesetzen – nicht nur im BDSG. Gerade dieser Umstand erschwert die Praxis eines Datenschutzbeauftragten.

Nicht zuletzt um die Rechtsfindung zu vereinfachen gab es in der Vergangenheit stets die Bestrebung, ein einheitliches Beschäftigtendatenschutzgesetz zu schaffen. Hierfür fehlte allerdings stets die notwendige Mehrheit, so dass es mit Einführung des § 32 BDSG lediglich zu einer Kompromisslösung kam, die durchaus kritkwürdig war und ist. Ihr vorausgegangen war eine, durch den damaligen Bundesarbeitsminister Olaf Scholz angestoßene Gesetzesinitiative aus dem Jahre 2009. Hierdurch sollte ein einheitliches, die Rechtsprechung des Bundesarbeitsgericht aufgreifendes, Beschäftigtendatenschutzgesetz (BDatG) erreicht werden. Diese, kurz vor der Bundestagswahl 2009 begonnene Initiative, wurde jäh durch die veränderten Machtverhältnisse im Parlament gestoppt. Der Koalitionsvertrag der neuen Regierungskoaltition sah sodann, sicherlich nicht zuletzt in Erwartung der Verabschiedung eines einheitlichen europäischen Datenschutzrechts, allerdings nur noch die Ergänzung des BDSG um einen Teil zum Arbeitnehmerdatenschutz vor.

Ist der Arbeitnehmerdatenschutz in der EU-DSGVO geregelt?

Nein, die EU-Datenschutz-Grundverordnung wie sie nunmehr im Arbeitsergebnis der Trilog-Parteien vom 15. Dezember 2015 ihre Endfassung gefunden hat, wird keinerlei spezifische, rechtsgestaltende Regelungen zum Beschäftigtendatenschutz enthalten. Eine erste, noch nicht abschließend Übersetzung findet sich hier.

Bedeutet das, es gibt keinen Beschäftigtendatenschutz?

Nein, auch nach der EU-DSGVO werden Beschäftigte innerhalb ihrer Arbeitsverhältnisse nicht rechtlos sein. So verweisen einzelne Vorschriften der EU-DSGVO (z.B.: Art. 9 Abs. 2 h DSGVO Verarbeitung von besonderen Kategorien von personenbezogen Daten) auf den Mitarbeiterdatenschutz und auch die allgemeine Grundätze der Datenverarbeitung (Art. 5 DSGVO) gelten selbstverständlich auch im Beschäftigtenverhältnis. Allerdings wird es keine zentrale Regelungsvorschrift zu diesem Thema in der EU-DSGVO geben.

Was bedeutet „Öffnungsklausel im Arbeitnehmerdatenschutz“?

Der europäische Verordnungsgeber verweist in Art. 88 DSGVO, sowie der Erwägungsgrund (EG 155), allerdings darauf, dass die Mitgliedsstaaten im Bereich der Verarbeitung personenbezogener Beschäftigtendaten spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten erlassen können und diesen Themenkomplex eigenständig regulieren dürfen (sog. Öffnungsklausel).

Welchen Regelungsumfang hat Art. 88 EU-DSGVO?

Nach seinem Wortlaut gestattet Art. 88 DSGVO dem nationalen Gesetzgeber durch gesetzliche oder kollektivrechtliche Vereinbarungen spezielle Regelungen zu treffen, die den Schutz der Rechte und der Freiheiten des Einzelnen in Bezug auf die Datenverarbeitung im Kontext der Beschäftigtenverhältnisse in Zusammenhang mit deren Begründung, Durchführung und Beendigung sicherstellen und deckt sich insoweit weitestgehend mit dem BDSG. Besonders an der Formulierung des Art. 88 DSGVO ist insoweit, dass dieser ausdrücklich die „Kollektivvereinbarungen“, also Tarifverträge, als Basis für eine Verarbeitung von Beschäftigtendaten anerkennt.

Ferner bezieht sich Absatz 2 des Art. 88 EU-DSGVO auf den Datentransfer zwischen verbundenen Unternehmen, was zumindest auf eine teilweise Anerkennung eines Konzernprivilegs schließen lässt. Hierfür spricht letztlich auch Erwägungsgrund 38a, der zumindest eine Datenweitergabe innerhalb verbundener Unternehmen zu administrativen Zwecken als legitime Interessen ansieht.

Welche Aufgaben hat der nationale Gesetzgeber?

Aufgrund des Anwendungsvorrangs der EU-DSGVO besteht für den bundesdeutschen Gesetzgeber die vordringliche Aufgabe, eine Bereinigung des nationalen Rechts, orientiert an der EU-DSGVO herbeizuführen. Dies wird, nach derzeitiger Einschätzung einiger Stellen, aufgrund des Auffangcharakters des BDSG zu einer weitgehenden Aufhebung des BDSG führen, zumindest insoweit dieses im Widerspruch zur EU-DSGVO steht oder der Regelungsgehalt bereits durch die EU-DSGVO gedeckt wird. Hinsichtlich der bereichsspezifischen Regelungen wird deren Fortgeltung davon abhängen, ob diese vom Regelungsgehalt der EU-DSGVO umfasst sind, oder gerade nicht. Die Fortgeltung von TMG und TKG wird derzeit angenommen, muss allerdings im Einzelfall überprüft werden. Erste Stimmen sehen für das Kunst-Urhebergesetz (KUG) bereits dessen Ende gekommen.

Gibt es eine Pflicht zur Regelung?

Die EU-DSGVO kennt zwei Arten von Regelungen. Dies sind zum einen die sog. Öffnungsklauseln („kann“/“may“-Vorschriften), die dem nationalen Gesetzgeber eine weitergehende Regelung freistellen, und zum anderen die sog. Regelungsaufträge („soll“/“should“-Vorschriften), die vom nationalen Gesetzgeber ein weitergehendes Handeln im Rahmen von sog. Ausführungsgesetzen verlangen. Der bundesdeutsche Gesetzgeber ist insoweit gehalten, bis Mitte 2018 ein Ausführungsgesetz zur EU-DSGVO zu schaffen, welches die Regelungsaufträge der EU-DSGVO erfüllt.

Was passiert mit § 32 BDSG?

Nach uns bisher bekannt gewordenen Ansichten kann § 32 BDSG nicht per se als „Ausführungsgesetz“ zur EU-DSGVO bestehen bleiben, da Art. 88 EU-DSGVO insoweit kein Regelungsgebot enthält. Zudem muss § 32 BDSG zunächst auf seine Konformität mit der EU-DSGVO hin untersucht werden.

Es gibt allerdings derzeit erste Meinungen dahingehend, dass § 32 BDSG zumindest für die Übergangszeit bis zum Erlass einer neuen nationalen Regelung teilweise als nationale Zusatzregelung erhalten bleiben kann. Dies betrifft nach Verlautbarungen des Bayerischen Innenministeriums insbesondere die Absätze 2 und 3 des § 32.

Können bestehende Betriebsvereinbarungen weiter genutzt werden?

Ob bestehende Betriebsvereinbarungen eines Unternehmens angepasst werden müssen, hängt ebenfalls davon ab, ob sie die Anforderungen der EU-DSGVO nicht unterlaufen und insbesondere ausreichende Schutzmaßnahmen i.S.d. Art. 88 Abs. 2 EU-DSGVO enthalten. Dies ist im Einzelfall zu prüfen.

Wie geht es weiter?

Wie die BRD den Beschäftigtendatenschutz künftig umsetzt, ist noch nicht abschließend geklärt und wird in der kommenden Zeit sicherlich kontrovers diskutiert, bedenkt man nur die Diskussionen, die zur Einführung des § 32 BDSG, der Zentralnorm zum Beschäftigtendatenschutz, geführt wurden. Nach dem Koalitionsvertrag der Großen Koalition aus dem Jahre 2014 ist jedenfalls vereinbart, Beschäftigtendatenschutz gesetzlich […] regeln:

Die Verhandlungen zur Europäischen Datenschutz-Grundverordnung verfolgen wir mit dem Ziel, unser nationales Datenschutzniveau – auch bei grenzüberschreitenden Datenverarbeitungen – zu erhalten und über das europäische Niveau hinausgehende Standards zu ermöglichen. […] wollen wir hiernach eine nationale Regelung zum Beschäftigtendatenschutz schaffen.

Nach Verlautbarungen des Bayerischen Innenministeriums ist eine rasche Umsetzung im Hinblick auf die bevorstehenden Bundestagswahlen im Herbst 2017 von Nöten. Allerdings bedürfte dieser Gesetzgebungsprozess der Zustimmung des Bundesrates, vgl.: Art. 72, 74 GG. Um dieses Gesetzesvorhaben bis zur Bundestagswahl umsetzen zu können, werde es nach derzeitigem Kenntnisstand zunächst nur Umsetzungen von Rechtsnormen geben, die zwingend erforderlich sind, um den derzeitigen „Status Quo“ zu erhalten, bzw. um den europarechtlichen Regelungsauftrag der EU-DSGVO zu erfüllen.

Die Frage der Umsetzung des Beschäftigtendatenschutzes wird aller Voraussicht nach abgekoppelt und erst in der neuen Legislaturperiode aufgegriffen werden.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

4 Kommentare zu diesem Beitrag

  1. Guter Artikel! Das Thema wird gerade in Deutschland große Aufmerksamkeit haben. Haben Sie hier schon eine zeitlich Angabe bis wann ein neues Gesetz oder eine andere Regelung diesbezüglich erlassen werden soll? Vielen Dank!

    • Derzeit sind noch keine konkreten Angaben zur zeitlichen Umsetzung einer nationalen Regelung zum Beschäftigtendatenschutz bekannt.

      Nach uns vorliegenden Informationen des Bundesinnenministeriums ist derzeitiger Planungsstand, dass es ein BDSG-Nachfolgegesetz, sowie diverse bereichsspezifische nationale Datenschutzregelungen geben wird, die die Regelungen der DSGVO ergänzen und spezifizieren. Als ersten Schritt bedarf es hierzu allerdings eines umfassenden Normenscreenings der betroffenen Gesetzgebung auf Vereinbarkeit mit der DSGVO. Dies dürfte derzeit erfolgen. Sodann soll noch vor der Bundestagswahl im Herbst 2017 eine sog. zweistufige Anpassungsgesetzgebung beginnen. In der ersten Stufe innerhalb der 18. Legislaturperiode (also bis Herbst 2017) sollen nach der DSGVO zwingende Regelungsaufträge des nationalen Gesetzgebers, vorrangige Handlungsoptionen sowie die Rechtsbereinigung des BDSG erfolgen. In der zweiten Stufe beginnend ab Herbst 2017 (19. Legislaturperiode) sollen sodann weitere Vorhaben, mit besonderem Abstimmungsbedarf umgesetzt werden. Hierunter fällt wohl auch der Beschäftigtendatenschutz, so dass mit einer konkreten Gestaltung wohl erst ab Herbst 2017 zu rechnen ist.

      Wir werden das weiter beobachten.

  2. Hallo,
    die Betriebsvereinbarungen sind „im Einzelfall zu prüfen“. Soll der Betriebsrat involviert werden? Wie es hier steht – https://www.betriebsrat.de/datenschutz-im-unternehmen/arbeitnehmerdatenschutz-und-datensicherheit/zulaessigkeit-der-datenerhebung.html – sind die Betriebsräte dafür zuständig, die gesetzlichen Vorschriften für solche Vereinbarungen an die Bedürfnisse konkretes Arbeitgebers bzw. Interessen seiner Mitarbeiter anzupassen.

    • Ich halte eine Einbindung des BR durchaus für sinnvoll und richtig. Eine eventuelle Anpassung könnte ohnehin nur in Zusammenarbeit mit dem BR erfolgen. Hier schon aus Transparenzgründen von Anfang an mit „offenen Karten“ zu spielen, dürfte die beste Lösung sein.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.