open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Arbeitsrecht 4.0 Datenschutz

    DSAnpUG-EU: Beschäftigtendatenschutz oder nur Buchstabensalat?

    Print Friendly, PDF & Email
    DSAnpUG-EU

    Nach heftigster Kritik aus allen Richtungen hat die Bundesregierung Anfang Februar 2017 einen neuen Entwurf des Umsetzungsgesetzes zur Datenschutzgrundverordnung beschlossen. Dieser beinhaltet unter Anderem eine Neufassung des bisherigen § 32 BDSG. Wird im Beschäftigtendatenschutz nun alles anders, systematisch und benutzerfreundlich? Wir beleuchten den Entwurfsstand der praktisch höchst relevanten Neuregelung.

    Reform des Beschäftigtendatenschutzes – die unendliche Geschichte?

    Die zentralen Normen im deutschen Beschäftigtendatenschutz sind Stand heute die §§ 28, 32 BDSG. Insbesondere § 32 BDSG gestattet dem Arbeitgeber, in bestimmten gesetzlich definierten Fällen Arbeitnehmerdaten zu erheben, zu speichern, zu verarbeiten und zu nutzen (im Folgenden: „Datenverarbeitung“).

    Eine Reform des Beschäftigtendatenschutzes stand schon in der Vergangenheit häufiger auf der Agenda. Sie ist jedoch mit schöner Regelmäßigkeit gescheitert. Nunmehr sieht sich der Gesetzgeber angesichts des nahenden Mai 2018 in der Pflicht, sein nationales Datenschutzrecht an die künftigen Rahmenbedingungen der EU-Datenschutzgrundverordnung (DSGVO) anzupassen.

    Hierzu hat das Bundesministerium des Inneren (BMI) das nicht nur lautmalerisch spektakuläre „DSAnpUG-EU“ (richtig: „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“) entworfen. Der Entwurf dieses Änderungsgesetzes, der jüngst durch das Kabinett beschlossen wurde (Direkter PDF-Download: BMI-Entwurf DSAnpUG-EU) beinhaltet unter Anderem auch eine Reform des BDSG und eine Neufassung des Beschäftigtendatenschutzes in § 26 „BDSG neu“.

    Gute oder schlechte Neuregelung?

    Die erste Erkenntnis beim Lesen der Neuregelung: Der Gesetzgeber hat sich durch die Kritik an den Vorentwürfen nicht davon abhalten lassen, eine maximal komplizierte Regelung zu schaffen, die schon beim bloßen Lesen viele Gesetzesanwender mit Fragezeichen zurücklassen dürfte.

    Schon die Regelungstechnik – Ausnahmen und Rückausnahmen sowie das nicht klar geregelte Verhältnis von DSGVO zum BDSG – erweckt den Eindruck, dass der Gesetzgeber hier gar nicht für mehr Praxisfreundlichkeit sorgen wollte.

    Blickt man auf die Inhalte, stellt man fest: § 26 „BDSG neu“ ist deutlich umfangreicher als der altbekannte und bewährte § 32 BDSG, deshalb aber nicht notwendig besser oder vollständiger.

    Inhaltliche Erkenntnisse aus § 26 „BDSG neu“

    Die formale Kritik außen vor gelassen, gibt auch der Inhalt der Neuregelung Anlass zu einer näheren Betrachtung. Die wichtigsten Punkte, kurz zusammengefasst:

    Geltungsbereich

    § 26 Abs. 7 „BDSG neu“ erstreckt den Anwendungsbereich der Regelung auch auf nicht-automatisierte Datenerhebungen. Dies entspricht im Wesentlichen dem bisherigen (wenig beachteten) § 32 Abs. 2 BDSG. § 26 Abs. 8 „BDSG neu“ nimmt eine eigenständige Definition des Beschäftigten im Sinne des Gesetzes vor und geht damit über die DSGVO hinaus. Neben Arbeitnehmern sind unter Anderem Zeitarbeitskräfte, Auszubildende und Heimarbeiter erfasst.

    Erhebung von Daten für die Zwecke des Beschäftigungsverhältnisses

    Wenig Änderungen ergeben sich im Grundsatz: Auch § 26 BDSG neu erlaubt die Datenverarbeitung, soweit erforderlich, für die Zwecke des Beschäftigungsverhältnisses. Der Begriff der Erforderlichkeit bleibt gesetzlich undefiniert, regelt aber nach wie vor eine Interessenabwägung zwischen dem Datenverarbeitungsinteresse des Arbeitgebers und dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers. Das entspricht der ständigen Auslegung des § 32 BDSG durch das Bundesarbeitsgericht.

    Kollektivregelungen als Grundlage für die Datenerhebung

    Wichtig ist der (klarstellende) Verweis in § 26 Abs. 1 Satz 1 „BDSG neu“: Die Datenverarbeitung ist auch dann zulässig, wenn dies zu Erfüllung der sich aus einer Kollektivvereinbarung (= Tarifvertrag oder Betriebs-/Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (s.a. Art. 88 Abs. 1 DSGVO i.V.m. Erwägungsgrund 155).

    Auch die entsprechende Datenverarbeitung steht jedoch unter Erforderlichkeitsvorbehalt und verhindert „blankettartige“ Datenanforderungen von Betriebsräten auch in Zukunft.

    Die Parteien einer Kollektivvereinbarung müssen zwingend die Vorgaben von Art. 88 Abs. 2 DSGVO zu beachten, § 26 Abs. 4 Satz 1 „BDSG neu“. Das bedeutet insbesondere: sie müssen dezidiert angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Sie müssen weiter die Transparenz der Verarbeitung sicherstellen und Schutzmaßnahmen bei einer unternehmensinternen oder konzerninternen Weitergabe von Daten regeln.

    Einwilligung – in Zukunft noch weniger belastbar als bisher

    Schließlich bleibt auch die Einwilligung ein zulässiger Erlaubnistatbestand zur Datenverarbeitung (§ 26 Abs. 2 BDSG neu). Jedoch wird der Arbeitgeber zukünftig in besonderem Maße berücksichtigen müssen, dass das Arbeitsverhältnis typischerweise durch eine gewisse Abhängigkeit geprägt ist, und muss daher auch die Umstände, unter denen die Einwilligung erteilt worden ist, in Betracht ziehen.

    Im Regelfall dürfte das der „klassischen“ Einwilligung als Bestandteil des Arbeitsvertrages den Boden entziehen und eine separate Einwilligungserklärung nach Abschluss des Vertrages erforderlich machen. Die Einwilligung muss grundsätzlich schriftlich erfolgen und vor dem Hintergrund ausreichender Information über den Zweck der Datenverarbeitung sowie das Recht zum jederzeitigen Widerruf erfolgen. Das wird Arbeitgeber zukünftig vor ganz neue Herausforderungen stellen.

    Allgemeine Erlaubnistatbestände

    Nicht in § 26 „BDSG neu“ erwähnt, aber dennoch taugliche Grundlage für eine Datenerhebung sind im Übrigen die allgemeinen Erlaubnisvorschriften der DSGVO, also z.B. Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO.

    Straftaten und Pflichtverletzungen

    § 26 „BDSG neu“ perpetuiert die gesetzgeberische Fehlleistung aus § 32 BDSG und spricht nur davon, dass die Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis zulässig ist.

    Das BAG hatte jüngst erst entschieden, dass der Wortlaut von § 32 BDSG insoweit wenig gelungen ist, und dass ausweislich seiner Begründung auch der Verdacht gravierender arbeitsrechtlicher Pflichtverletzungen ausreicht, um Datenverarbeitung zu rechtfertigen (Urteil vom 22.9.2016, 2 AZR 848/15). Weshalb der Gesetzgeber diese Vorlage nicht dankend aufnimmt und den Wortlaut des § 26 BDSG neu anpasst, bleibt rätselhaft.

    Besonders sensible Daten

    § 26 Abs. 3 „BDSG neu“ regelt auch die Verarbeitung besonders sensibler Daten wie z.B. zu politischen Meinungen oder Gesundheitsdaten. Für diese gilt nach § 26 Abs. 3 Satz 1 BDSG neu eine eingeschränkte Berechtigung zur Verarbeitung. Erforderlich ist, dass diese zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit bzw. des Sozialschutzes erforderlich ist. Zudem darf der Arbeitgeber keinen Grund zu der Annahme haben, dass sein Verarbeitungsinteresse dem Persönlichkeitsschutz des Arbeitnehmers untergeordnet ist.

    Datenschutzgrundsätze

    Schließlich enthält § 26 BDSG neu eine Regelung dahingehend, dass die verantwortliche Stelle sicherstellen muss, die in Art. 5 DSGVO festgelegten Datenschutzprinzipien zu beachten und umzusetzen. Wichtig: Diese Pflicht gilt nicht nur für den Arbeitgeber, sondern an alle Bestandteile der verbundenen Stelle (also auch für den Betriebsrat, der in Zukunft etwa den Grundsatz der Datenminimierung sowie Vertraulichkeitsregelungen beachten muss.).

    Belastbare Arbeitsgrundlage?

    Auch wenn die Bundesregierung bislang immun gegen die Kritik am Erstentwurf zum DSAnpUG-EU schien, ist nur schwer vorstellbar, dass die Regelung 1:1 in Kraft treten wird. Zu befürchten ist aber in jedem Fall, dass auch die Verhandlung des Gesetzesentwurfes vor dem Bundesrat, die derzeit für März 2017 geplant ist, nicht zu Verbesserungen im Grundsatz und in der Systematik führen wird, sondern nur einzelne Stellschrauben justiert werden.

    Dem Rechtsanwender droht damit ab Mai 2018 nicht nur die (schon an sich) herausfordernde DSGVO, sondern darüber hinaus noch Unklarheit hinsichtlich des Geltungsrahmens existenter Regelungen. Für DSGVO-Anpassungsprojekte stellt sich vor diesem Hintergrund das unmittelbare Problem: Auf welche Regelungsebene können sich Unternehmen belastbar einstellen? Angesichts in Teilen klar nicht europarechtskonformer Regelungen des DSAnpUG-EU kann derzeit wohl nur die DSGVO als einigermaßen seriöse Arbeitsgrundlage dienen.

    Dr. Till Heimann
    Rechtsanwalt
    Fachanwalt für Arbeitsrecht
    Partner
    Till Heimann berät Arbeitgeber mit Fokus auf Unter­neh­mens­trans­ak­tio­nen (mit anschlie­ßen­der Integration), Umstruk­tu­rie­run­gen auf Unter­neh­mens- und Betriebsebene und Har­mo­ni­sie­rung von Arbeits­be­din­gun­gen. Besondere Expertise besitzt Till Heimann darüber hinaus hinsichtlich der Beratung zu regulierter Vergütung (Banken/Kapitalanlagegesellschaften u.A. Institute), von Unternehmen der Technologiebranche sowie von Startups. Er besitzt langjährige Erfahrung in der Steuerung inter­na­tio­na­ler Projekte. Er ist Mitglied der Fokusgruppe "ESG".
    vCard downloaden Dr. Till Heimann auf Xing Dr. Till Heimann auf LinkedIn
    Verwandte Beiträge
    Compliance Neueste Beiträge Whistleblowing Whistleblowing & Investigations

    Datenschutz vs. Hinweisgeberschutz: Wo endet der Identitätsschutz?

    Das Hinweisgeberschutzgesetz („HinSchG“) hat in vielen Unternehmen ein stärkeres Bewusstsein für interne Meldesysteme und den Schutz von Hinweisgebern geschaffen. Während die Einführung von Hinweisgebersystemen zur Aufdeckung von Missständen und zur Förderung einer transparenten Unternehmenskultur beiträgt, bringt sie auch komplexe datenschutzrechtliche Herausforderungen mit sich. Wir zeigen, was es zu beachten gilt. Personen, die mit der Bearbeitung von eingehenden Meldungen beauftragt sind, sog. Meldestellenbeauftragte, müssen sicherstellen, dass…
    BEM Individualarbeitsrecht

    BEM-Einladungsschreiben – keine reine Formalität!

    Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
    Datenschutz Neueste Beiträge

    Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

    Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert