Gratis
9. Mai 2017 - Überblick Arbeitnehmerdatenschutz

Beschäftigtendatenschutz nach DSGVO und DSAnpUG-EU

Drucken

Ein wichtiger Teil des Datenschutzes ist der Beschäftigtendatenschutz. Die rechtliche Situation dazu ist nicht ganz einfach, da sich Regelungen dazu sowohl in der Datenschutz-Grundverordnung (DSGVO) wie auch im deutschen Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) finden. Doch wie spielen sie zusammen? Welche Regelungen gelten wann? Auf diese Frage gibt der folgende Artikel Antworten.

Die DSGVO bringt einige Änderungen im Beschäftigtendatenschutz Die Regelungen im DSAnpUG-EU zum Beschäftigtendatenschutz tragen durchaus dazu bei, einige Fragen zu klären (Bild: Wavebreakmedia Ltd. / Wavebreakmedia / Thinkstock)

Bekanntlich wird der Datenschutz mit der Datenschutz-Grundverordnung europäisch: Sie ist bereits zum 25. Mai 2016 in Kraft getreten, Geltung entfaltet sie allerdings erst 24 Monate später, also zum 25. Mai 2018.

Übergangszeit nutzen, um Prozesse zu prüfen und anzupassen

Diese Zeit ist dafür gedacht, einerseits alle Datenverarbeitungsprozesse im Unternehmen zu überprüfen, ob sie dem neuen Recht entsprechen oder ob sie innerhalb dieser Zeit geändert werden müssen.

Andererseits dient die Frist dazu, dass die Unternehmen die zahlreichen formalen Anforderungen der Datenschutz-Grundverordnung umsetzen können, wie etwa ein Verfahrensverzeichnis zu erstellen, Datenschutz-Folgenabschätzungen durchzuführen und den sonstigen, sehr umfänglichen Dokumentations- und Rechenschaftspflichten nachzukommen.

Verordnung stellt europaweit Einheitlichkeit her – eigentlich

Die DSGVO ist eine europäische Verordnung, also deutlich mehr als eine bloße EU-Richtlinie. Eine europäische Verordnung steht sogar über den nationalen Verfassungen. Sie ist somit „höher“ anzusiedeln als das deutsche Grundgesetz.

Die Idee einer Verordnung ist, eine gesamtheitliche und in allen Mitgliedstaaten einheitliche europäische Regelung zu haben. Nationales Recht soll insofern keine Rolle mehr spielen, um die angestrebte Einheitlichkeit nicht zu gefährden.

Öffnungsklauseln für nationales Recht – auch im Beschäftigtendatenschutz

Aus politischen Gründen war dies bei der DSGVO nicht ganz möglich. So gibt es eine Reihe von Regelungen, die einer nationalen Gesetzgebung geöffnet sind (Öffnungsklauseln). Diese Öffnungsklauseln geben einen mehr oder weniger schmalen Korridor vor, innerhalb dessen – z.T. als Pflicht, z.T. nur als Möglichkeit vorgesehen – die Mitgliedstaaten gewisse eigene nationale Besonderheiten behalten oder schaffen dürfen.

Aus Art. 88 DSGVO ergibt sich, dass der Beschäftigtendatenschutz einer solchen Öffnung unterliegt, und zwar einer solchen, bei denen es den Mitgliedstaaten freigestellt ist, diese Möglichkeit zu nutzen oder nicht. Nutzen sie diese nicht, gelten die Regelungen der Grundverordnung 1:1 auch für die Verarbeitung der Daten von Beschäftigten.

Art. 88 Abs. 1 DSGVO lautet insofern wie folgt: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der (…) vorsehen.“

Nationale Regelungen müssen „spezifischer“ sein

Möchte ein Mitgliedstaat also eigene Regelungen zum Beschäftigtendatenschutz schaffen, darf es sich nur um „spezifischere Regelungen“ handeln. Keinesfalls dürfen sie lockerer sein als die Grundverordnung. Ob sie strenger sein dürfen, ist eine umstrittene Frage, die eher bejaht wird.

Art. 88 Abs. 2 DSGVO ergänzt Abs. 1 und beinhaltet Mindestvorgaben an etwaige eigene nationale Regelungen, die die Mitgliedstaaten inhaltlich beachten müssen.

Was ist mit Betriebsvereinbarungen?

In Deutschland ist seit Jahrzehnten umstritten, ob Regelungen zur Datenverarbeitung in einer Betriebsvereinbarung aufgrund ihrer normativen Wirkung eine Datenverarbeitungserlaubnis darstellen können oder nicht. Das Bundesarbeitsgericht (BAG) bejaht diese Frage.

Die Grundverordnung schafft dazu Klarheit: Denn Art. 88 Abs. 1 DSGVO nennt ausdrücklich Kollektivvereinbarungen als Möglichkeit, „spezifischere Regelungen“ zu schaffen, also direkt durch die Betriebsparteien. Das gibt den Betriebsparteien sehr umfängliche Möglichkeiten und dürfte am Ende die Stellung des Betriebsrats im Datenschutz stärken.

Es ist allerdings aktuell umstritten, ob diese Möglichkeit für die Betriebs-parteien direkt aus der Datenschutz-Grundverordnung resultiert oder nur dann existiert, wenn ein Mitgliedstaat dies über zu schaffende Öffnungsklauseln zulässt. Diese Frage kann aber dahinstehen, wenn Letzteres in einem Land ohnehin erfolgen soll.

Neue und bestehende Betriebsvereinbarungen

Finden sich – wie fast immer im Fall von § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz – in Betriebsvereinbarungen Regelungen zum Umgang mit Beschäftigtendaten, gelten sie als spezifischere Regelungen im Sinne des Art. 88 Abs. 1 DSGVO. Folglich müssen sie den Mindestvorgaben des Art. 88 Abs. 2 DSGVO entsprechen. Bei einer neuen Betriebsvereinbarung lässt sich das bereits berücksichtigen.

Wie ist es aber bei Bestandsvereinbarungen? Sie müssen im Detail datenschutzrechtlich überprüft werden, ob sie Art. 88 Abs. 2 DSGSVO ausreichend beachten. Wenn nicht – wofür eine gewisse Wahrscheinlichkeit spricht –, müssen die Vereinbarungen bis zum 25. Mai 2018 angepasst werden. Das dürfte in Anbetracht der oft langwierigen Verhandlungen, der hohen Anzahl von Betriebsvereinbarungen zu technischen Themen etc. zu einem hohen Aufwand führen.

Damit stellt sich die Frage, was der deutsche Gesetzgeber hier plant.

Update: Am 12. Mai 2017 hat der Bundesrat den Gesetzentwurf für das „Datenschutz- Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“ binnen weniger Minuten gebilligt.
Was sagt nun die endgültige Fassung des BDSG-neu?

Die wichtigsten Regelungen

Aktuell nutzt Deutschland im Entwurf in § 26 DSAnpUG-EU-E die Öffnungsklausel des Art. 88 DSGVO und schafft „spezifischere“ Vorschriften. Dazu im Folgenden ein Überblick über die zentralen Regelungen.

1.            Kernvorschrift: § 26 Abs. 1 S. 1

Die bisherige Kernvorschrift des deutschen Beschäftigtendatenschutzes (§ 32 Abs. 1 S. 1 BDSG) findet sich in § 26 Abs. 1 S. 1, erweitert um Regelungen dazu, wann und wie die Interessenvertretungen selbst Beschäftigtendaten verarbeiten dürfen. Letzteres ist als ausdrückliche Regelung neu. Die bisherige Sondervorschrift bei Strafverdacht des § 32 Abs. 1 S. 2 BDSG findet sich nun in § 26 Abs. 1 S. 2.

Zu beiden Neuregelungen stellt sich die Frage, ob sie Art. 88 Abs. 2 DSGVO genügen. Auf den ersten Blick spricht einiges dagegen.

2.            Einwilligung im Beschäftigungsverhältnis

Neu sind ausdrückliche Regelungen zu Einwilligungen im Beschäftigungsverhältnis, § 26 Abs. 2: Die Sätze 1 und 2 beinhalten Regelungen zur Frage der Freiwilligkeit, S. 3 schreibt – strenger als Art. 7 DSGVO – die Schriftform vor, lässt aber Ausnahmen zu. Ob diese „Verstrengung“ EU-konform ist, bleibt abzuwarten. Satz 4 enthält einen Verweis auf Art. 7 Abs. 3 DSGVO.

3.            Besondere Arten personenbezogener Daten

Ebenfalls in dieser Deutlichkeit neu sind die Regelungen zu besonderen Arten personenbezogener Daten. § 26 Abs. 3. S. 1 geht weiter als die DSGVO und lässt ihre Verarbeitung im Beschäftigungskontext in zusätzlichen Fällen zu. Satz 2 stellt klar, dass auch insofern Einwilligungen denkbar sind, die sich dann ausdrücklich auf diese Daten beziehen müssen (so schon jetzt in § 4a Abs. 3 BDSG).

4.            Definition „Beschäftigter“

Ähnlich wie aktuell § 3 Abs. 11 BDSG enthält § 26 Abs. 8 eine Definition des „Beschäftigten“. Auch dazu stellt sich die Frage, ob dies EU-konform ist, da Art. 88 DSGVO zu Definitionen keine Öffnung enthält.

5.            Automatisierte und nicht automatisierte Verarbeitung

Wie bislang sollen die spezifischen Beschäftigtendatenschutzregelungen nicht nur für die automatisierte Verarbeitung gelten, sondern auch dann, wenn sie nicht in einem Dateisystem erfolgt. Hier geht der deutsche Gesetzgeber ebenfalls über die Datenschutz-Grundverordnung hinaus.

6.            Betriebsvereinbarungen bleiben wichtiges Instrument

Zuletzt ist auf § 26 Abs. 4 zu verweisen: Beschäftigtendaten dürfen danach auf der Grundlage von Kollektivvereinbarungen verarbeitet werden, also etwa auf der Basis von Betriebsvereinbarungen. Somit wäre dies in Deutschland also ausdrücklich gestattet. Den Betriebsparteien ist damit möglich, in Betriebsvereinbarungen eigene Datenverarbeitungserlaubnisse zu schaffen. Natürlich müssen sie den Mindestvorgaben des Art. 88 Abs. 2 DSGVO und diesem insgesamt genügen, was § 26 Abs. 4 S. 1 extra betont.

Bestandsvereinbarungen prüfen!

Folge ist, dass in Deutschland tatsächlich alle Bestands-Betriebsvereinbarungen schnellstmöglich überprüft werden müssen, ob sie diese Anforderungen erfüllen: Wenn nicht, läuft der Countdown bis zum 25. Mai 2018, dies zu erledigen.

Fazit: Durchaus nützliche Regelungen

Die Datenschutz-Grundverordnung selbst enthält keine speziellen Regelungen zum Beschäftigtendatenschutz. Das bedeutet:

  • Entweder nutzt ein Mitgliedstaat die in Art. 88 DSGVO vorhandene Öffnungsmöglichkeit und schafft eigene (spezifischere) Regelungen. Dann gelten diese.
  • Oder es gibt keine nationalen Regelungen. Dann gelten die allgemeinen Regelungen der Grundverordnung auch für den Umgang mit Beschäftigtendaten.

Deutschland möchte in Form des DSAnpUG-EU-E diese (und fast alle anderen) Öffnungsmöglichkeiten umfänglich nutzen und dabei auch Regelungen zum Beschäftigtendatenschutz schaffen.

Wenngleich man bei einigen europarechtliche Bedenken haben kann, sind sie inhaltlich gesehen durchaus nützlich. Denn sie sorgen zu einigen wichtigen Themen für mehr Klarheit.

Ob, wann und in welcher Form das DSAnpUG-EU kommt, ist aktuell noch offen.

Dr. Robert Selk
Dr. Robert Selk, LL.M., ist Rechtsanwalt und Fachanwalt für IT-Recht. Außerdem ist er als Sachverständiger für arbeitsrechtliche Einigungsstellen sowie externer Datenschutzbeauftragter tätig.