Was sich beim Beschäftigtendatenschutz ändert

Der Bundestag hat am 27. April 2017 Anpassungen des Bundesdatenschutzgesetzes (BDSG) beschlossen, die zum 25. Mai 2018 in Kraft treten sollen. Im Rahmen dessen hat er auch Veränderungen am Beschäftigtendatenschutz vorgenommen. Die wichtigsten Änderungen.

Anlass für die Anpassungen ist die neue EU-Datenschutzgrundverordnung (DS-GVO), die ebenfalls zum 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union unmittelbar anwendbares Recht sein wird. Diese schreibt vor, dass insbesondere Arbeitgeber in der Europäischen Union künftig verschiedene Prinzipien bei der Verarbeitung personenbezogener Daten einzuhalten haben. So sollen personenbezogene Daten immer rechtmäßig, nach Treu und Glauben sowie transparent verarbeitet werden. Zudem soll der aus dem deutschen Datenschutzrecht bekannte Grundsatz der Zweckbindung gelten. Personenbezogene Daten dürfen also nur für festgelegte, eindeutige und legitime Zwecke erhoben und entsprechend verarbeitet werden.

Des Weiteren muss die Datenerhebung auf das nach dem Zweck notwendige Maß beschränkt sein (Grundsatz der Datenminimierung). Die Daten müssen auch richtig und auf dem neuesten Stand sein und dürfen nur so lange gespeichert werden wie es zur Zweckerreichung notwendig ist. Ferner muss angemessener Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Daten sowie vor unbeabsichtigtem Verlust gewährleistet werden. Arbeitgeber sind für die Einhaltung der oben genannten Prinzipien verantwortlich und müssen die Einhaltung gegenüber Aufsichtsbehörden und Gerichten nachweisen können (sogenannte Rechenschaftspflicht). Hierzu werden Prozesse notwendig sein, die sicherstellen, dass der Arbeitgeber die genannten Prinzipien einhält und dies hinreichend dokumentiert. Zudem räumt die die DS-GVO Beschäftigten nicht nur umfangreiche Rechte ein (zum Beispiel Informations- und Löschungsrechte), sondern verpflichtet Arbeitgeber auch, das Risiko und die Folgen der Verarbeitung personenbezogener Daten abzuschätzen und bei hohen Risiken vorab die Aufsichtsbehörden zu konsultieren.

Bei Verstößen gegen die DS-GVO drohen Geldbußen von bis zu 4 Prozent des gesamten Konzern- beziehungsweise Unternehmensumsatzeses eines Jahres! Was Unternehmen aber ganz konkret in der Praxis umsetzen müssen, um die Einhaltung mit der DS-GVO zu gewährleisten und sich vor erheblichen Bußgeldern zu schützen, ist derzeit noch alles andere als klar. 

Im Hinblick auf den Beschäftigtendatenschutz eröffnet die DS-GVO den nationalen Gesetzgebern übrigens die Möglichkeit, spezifischere Regelungen zu treffen. Und bisher bestand bei vielen Beteiligten die Hoffnung, dass der deutsche Gesetzgeber diese Chance nutzen würde, um für Arbeitgeber mehr Klarheit zu schaffen, welche Maßnahmen aufgrund der DS-GVO in der Praxis konkret zu treffen sind. Wie sich nun zeigt, waren diese Hoffnungen leider nicht berechtigt. Im Hinblick auf die oben genannten Prinzipien der DS-GVO stellt das neue BDSG lediglich klar, dass der Arbeitgeber „geeignete Maßnahmen“ ergreifen muss, um sicherzustellen, dass diese Prinzipen eingehalten werden. Konkrete Maßnahmen nennt der Gesetzgeber nicht.

Nach dem neuen Gesetz werden die bisher in § 32 BDSG speziell getroffenen Regelungen zum Umgang mit personenbezogenen Daten von Beschäftigten künftig in § 26 BDSG verankert. An der Grundstruktur der bisherigen Regelungen zum Beschäftigtendatenschutz im BDSG ändert sich indessen nichts. Nach wie vor soll gelten, dass das Erheben, Verarbeiten Speichern und Nutzen von Beschäftigtendaten nur gerechtfertigt ist, wenn

  • dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist;
  • Kollektivvereinbarungen (zum Beispiel Betriebsvereinbarungen, Tarifverträge) dies zulassen;
  • die betroffene Person in wirksamer Weise eingewilligt hat – oder
  • tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat.

Nur vermeintlich neu ist, dass personenbezogene Daten von Beschäftigen nach § 26 BDSG-neu auch dann verarbeitet werden dürfen, wenn dies „zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigen erforderlich ist“. Dadurch soll also eine datenschutzrechtliche Grundlage dafür geschaffen werden, dass der Arbeitgeber zum Beispiel gegenüber dem Betriebsrat im Rahmen einer Betriebsratsanhörung personenbezogene Daten des betroffenen Beschäftigten weitergibt, soweit dies erforderlich ist. Damit wird allerdings lediglich die bisherige Rechtslage klargestellt.

Lediglich vermeintlich neu ist zudem die Regelung in § 26 Abs. 7 BDSG-neu, wonach der Beschäftigtendatenschutz auch auf solche personenbezogenen Daten Anwendung findet, die nicht in einem Dateisystem gespeichert werden und nicht gespeichert werden sollen. Dies betrifft etwa handschriftliche Aufzeichnungen des Arbeitgebers während eines Personalgesprächs, die für die Ablage in einer körperlichen Personalakte bestimmt sind. Auch dies stellt aber nur die bisher schon bestehende Rechtslage nach § 32 BDSG dar.

Ebenfalls nicht wirklich neu ist, dass eine Einwilligung im Beschäftigungsverhältnis im Grundsatz zulässig ist. Dies stellt § 26 BDSG-neu jetzt klar. Durchaus neu ist allerdings die Präzisierung, dass bei der Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen sind. Nach § 26 Abs. 2 BDSG-neu kann Freiwilligkeit insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleich gelagerte Interessen verfolgen. Die damit erfolgende Konkretisierung des Begriffs der Freiwilligkeit der Einwilligung ist aus praktischer Sicht zwar zu begrüßen; aufgrund der vielen unbestimmten Rechtsbegriffe, die § 26 Abs. 2 BDSG-neu verwendet, werden allerdings Rechtsunsicherheiten bleiben.

von Daniel Hund
Daniel Hund, Foto: Beiten Burkhardt
Autor
Daniel Hund, LL.M. (NYU)
Rechtsanwalt und Fachanwalt für Arbeitsrecht
Beiten Burkhardt Rechtsanwaltsgesellschaft

Daniel Hund ist Rechtsanwalt und Fachanwalt für Arbeitsrecht bei Beiten Burkhardt in München.

Neuen Kommentar schreiben

Bitte achten Sie bei Ihren Beiträgen auf Netiquette. Wir behalten uns vor, Kommentare, die dagegen verstoßen, werblichen Inhalt enthalten oder den Artikelbezug vermissen lassen, nicht zu veröffentlichen.
Die Kommentare müssen aus technischen Gründen einzeln freigeschaltet werden. Daher kann es zu Verzögerungen kommen, bis diese sichtbar werden.