Beschäftigtendatenschutz – das ändert sich

Dr. Oliver Hornung - 04. April 2018 - EU-DSGVO

Der Beschäftigtendatenschutz ist in der EU-Datenschutz-Grundverordnung (EU-DSGVO) nicht eigenständig geregelt. Die Regelungsbefugnis wurde vielmehr durch eine Öffnungsklausel an die Mitgliedstaaten der Union zurückgespielt (vgl. Art. 88 Abs. 1 EU-DSGVO). Diese Öffnungsklausel ermöglicht den Mitgliedsstaaten spezielle Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu erlassen, die dann den inhaltlichen Anforderungen des Art. 88 Abs. 2 EU-DSGVO entsprechen müssen. Hiervon hat der deutsche Gesetzgeber Gebrauch gemacht und eine entsprechende Regelung zum Beschäftigtendatenschutz in das neugefasste BDSG (BDSG-neu) aufgenommen. 

Vorgaben zum Beschäftigtendatenschutz im BDSG-neu


1. Datenverarbeitung zum Zweck des Beschäftigtenverhältnisses

§ 26 Abs. 1 BDSG-neu entspricht überwiegend der bisherigen Regelung des § 32 Abs. 1 Satz 1 BDSG-alt. Nach diesen beiden Regelungen dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Es gibt insoweit keinen Unterschied zwischen dem BDSG-alt und dem BDSG-neu.

Die in § 26 BDSG-neu getroffenen Bestimmungen zum Beschäftigtendatenschutz sind nach § 26 Abs. 7 BDSG-neu auch dann anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit ist der sachliche Anwendungsbereich der EU-DSGVO vom Gesetzgeber erweitert worden. Künftig unterfallen daher alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – papiergebundene sowie mündliche Formen, aber auch rein tatsächliche Handlungen – den datenschutzrechtlichen Bestimmungen der EU-DSGVO und des BDSG-neu.

2. Datenverarbeitung zur Aufdeckung von Straftaten

Nach § 26 Abs. 1 Satz 2 BDSG-neu dürfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte vorliegen, dass der betroffene Beschäftigte eine Straftat begangen hat. Die Verarbeitung muss – in Übereinstimmung mit § 32 Abs. 1 Satz 2 BDSG-alt – zur Aufdeckung erforderlich sein und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Hierbei ist der Verhältnismäßigkeitsgrundsatz strikt zu beachten. Insoweit entspricht § 26 Abs. 1 Satz 2 BDSG-neu der bisherigen Gesetzeslage im BDSG-alt.

3. Verarbeitung auf der Grundlage von Kollektivanträgen

Eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann nunmehr ausdrücklich auf der Grundlage von Kollektivvereinbarungen erfolgen. Dazu gehören Tarifverträge sowie Betriebs- und Dienstvereinbarungen. Wichtig ist jedoch, dass die Parteien solcher Kollektiv-vereinbarungen die inhaltlichen Vorgaben des Art. 88 Abs. 2 EU-DSGVO beachten. Diese Vorgaben sollen sicherstellen, dass Kollektivvereinbarungen nicht das Schutzniveau der Verordnung untergraben.

4. Einwilligungen 

Auch Einwilligungen sind nach wie vor im Beschäftigungsverhältnis möglich. Jedoch muss beachtet werden, dass eine freiwillige und damit wirksame Einwilligung aufgrund des bestehenden Über-/ Unterordnungsverhältnisses im Beschäftigungsverhältnis hohen Anforderungen entsprechen muss. Die deutschen Aufsichtsbehörden zum Datenschutz stehen aktuell auf dem Standpunkt, dass die spezifische Regelung des § 26 Abs. 2 BDSG-neu restriktive Regelungen zur Frage der Freiwilligkeit einer Einwilligung enthält. Beschäftigte können hiernach nur dann freiwillig in eine Datenverarbeitung einwilligen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Dasselbe gilt, wenn Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Für Arbeitgeber verbleibt letztendlich ein Beurteilungsspielraum.

§ 26 Abs. 2 BDSG-neu enthält darüber hinaus noch einige formelle Anforderungen an die Einwilligung. Die Einwilligung hat schriftlich zu erfolgen. Zudem hat der Arbeitgeber die Beschäftigten über den Zweck der Datenverarbeitung in transparenter Weise zu informieren und muss sie über das bestehende Widerrufsrecht und die damit verbundenen Folgen nach Art. 7 Abs. 3 EU-DSGVO aufklären.

5. Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten (vgl. Art. 9 Abs. 1 EU-DSGVO) ist im Beschäftigtenkontext unter den Voraussetzungen des § 26 Abs. 3 Satz 1 BDSG-neu möglich. Ebenso kann sich eine wirksame Einwilligung auf diese Datenarten erstrecken, sofern sich die Einwilligung ausdrücklich auf diese Daten bezieht.

Auch Kollektivvereinbarungen können Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten darstellen. Hier müssen die Verhandlungspartner wiederum die strikten Vorgaben des Art. 88 Abs. 2 EU-DSGVO beachten.

6. Definition „Beschäftigte“

Die Definition des „Beschäftigten“ in § 26 Abs. 8 BDSG-neu entspricht im Wesentlichen dem BDSG-alt. Der deutsche Gesetzgeber hat jedoch ausdrücklich aufgenommen, dass die Beschäftigteneigenschaften von Leiharbeitnehmern auch im Verhältnis zum Entleiher – somit nicht nur zum Verleiher – vorliegt.

Praxistipp

Die Betriebsvereinbarungen müssen darauf überprüft werden, ob sie den neuen Vorgaben der EU-DSGVO entsprechen, insbesondere den inhaltlichen Anforderungen des Art. 88 Abs. 2 EU-DSGVO.

Bei der Einholung von Einwilligungen im Beschäftigungsverhältnis ist zu prüfen, ob diese freiwillig erfolgen und den Anforderungen der EU-DSGVO entsprechen. Dabei sind insbesondere die Abhängigkeit der Beschäftigten und die konkreten Umstände, unter denen die Einwilligung zu erteilen ist, zu berücksichtigen.

Beschäftigte sind darüber hinaus nach Art. 13 EU-DSGVO über die Datenverarbeitung im Unternehmen, insbesondere in der Personalabteilung zu informieren. Hierzu sollten Unternehmen Merkblätter erstellen und den Beschäftigten übergeben. 

Ein Verstoß gegen die Pflichten des § 26 BDSG-neu ist gem. Art. 83 Abs. 5 lit. d) EU-DSGVO mit einem Bußgeldtatbestand von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Jahresumsatzes sanktioniert. Darüber hinaus enthält § 42 BDSG-neu strafrechtliche Sanktionen. Unternehmen sind daher gut beraten, die datenschutzrechtlichen Vorgaben der Verordnung und im BDSG-neu zum Beschäftigtendatenschutz strikt einzuhalten.

Sie möchten mehr über dieses Thema erfahren oder haben konkrete Fragen? Dann nehmen Sie gerne Kontakt zu unserem Experten auf:

Dr. Oliver Hornung

Tel. +49 69630001-65, Email: o.hornung@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main

Herr Dr. Hornung ist Rechtsanwalt und berät und betreut seit über 15 Jahren nationale und internationale IT-Dienstleister, Cloud Anbieter sowie IT-Anwender, hauptsächlich in IT-Projekten und IT-Outsourcing-Vorhaben, einschließlich notleidender Projekte und der dortigen Konfliktbewältigung. Seine Tätigkeit umfasst insbesondere auch die Beratung und Vertretung in Prozess-, Schlichtungs- und Schiedsverfahren. Ein weiterer Schwerpunkt von Dr. Oliver Hornung sind Fragen des Datenschutzes und der IT-Compliance. Im Urheberrecht und Wettbewerbsrecht begleitet Dr. Oliver Hornung die Verteidigung und Sicherung des geistigen Eigentums seiner Mandanten.


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (37)
Dezember (3) November (2) Oktober (4) September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)