open search
close
Arbeitsrecht 4.0 Datenschutz

DSAnpUG-EU: Beschäftigtendatenschutz oder nur Buchstabensalat?

Print Friendly, PDF & Email
DSAnpUG-EU

Nach heftigster Kritik aus allen Richtungen hat die Bundesregierung Anfang Februar 2017 einen neuen Entwurf des Umsetzungsgesetzes zur Datenschutzgrundverordnung beschlossen. Dieser beinhaltet unter Anderem eine Neufassung des bisherigen § 32 BDSG. Wird im Beschäftigtendatenschutz nun alles anders, systematisch und benutzerfreundlich? Wir beleuchten den Entwurfsstand der praktisch höchst relevanten Neuregelung.

Reform des Beschäftigtendatenschutzes – die unendliche Geschichte?

Die zentralen Normen im deutschen Beschäftigtendatenschutz sind Stand heute die §§ 28, 32 BDSG. Insbesondere § 32 BDSG gestattet dem Arbeitgeber, in bestimmten gesetzlich definierten Fällen Arbeitnehmerdaten zu erheben, zu speichern, zu verarbeiten und zu nutzen (im Folgenden: „Datenverarbeitung“).

Eine Reform des Beschäftigtendatenschutzes stand schon in der Vergangenheit häufiger auf der Agenda. Sie ist jedoch mit schöner Regelmäßigkeit gescheitert. Nunmehr sieht sich der Gesetzgeber angesichts des nahenden Mai 2018 in der Pflicht, sein nationales Datenschutzrecht an die künftigen Rahmenbedingungen der EU-Datenschutzgrundverordnung (DSGVO) anzupassen.

Hierzu hat das Bundesministerium des Inneren (BMI) das nicht nur lautmalerisch spektakuläre „DSAnpUG-EU“ (richtig: „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“) entworfen. Der Entwurf dieses Änderungsgesetzes, der jüngst durch das Kabinett beschlossen wurde (Direkter PDF-Download: BMI-Entwurf DSAnpUG-EU) beinhaltet unter Anderem auch eine Reform des BDSG und eine Neufassung des Beschäftigtendatenschutzes in § 26 „BDSG neu“.

Gute oder schlechte Neuregelung?

Die erste Erkenntnis beim Lesen der Neuregelung: Der Gesetzgeber hat sich durch die Kritik an den Vorentwürfen nicht davon abhalten lassen, eine maximal komplizierte Regelung zu schaffen, die schon beim bloßen Lesen viele Gesetzesanwender mit Fragezeichen zurücklassen dürfte.

Schon die Regelungstechnik – Ausnahmen und Rückausnahmen sowie das nicht klar geregelte Verhältnis von DSGVO zum BDSG – erweckt den Eindruck, dass der Gesetzgeber hier gar nicht für mehr Praxisfreundlichkeit sorgen wollte.

Blickt man auf die Inhalte, stellt man fest: § 26 „BDSG neu“ ist deutlich umfangreicher als der altbekannte und bewährte § 32 BDSG, deshalb aber nicht notwendig besser oder vollständiger.


Inhaltliche Erkenntnisse aus § 26 „BDSG neu“

Die formale Kritik außen vor gelassen, gibt auch der Inhalt der Neuregelung Anlass zu einer näheren Betrachtung. Die wichtigsten Punkte, kurz zusammengefasst:

Geltungsbereich

§ 26 Abs. 7 „BDSG neu“ erstreckt den Anwendungsbereich der Regelung auch auf nicht-automatisierte Datenerhebungen. Dies entspricht im Wesentlichen dem bisherigen (wenig beachteten) § 32 Abs. 2 BDSG. § 26 Abs. 8 „BDSG neu“ nimmt eine eigenständige Definition des Beschäftigten im Sinne des Gesetzes vor und geht damit über die DSGVO hinaus. Neben Arbeitnehmern sind unter Anderem Zeitarbeitskräfte, Auszubildende und Heimarbeiter erfasst.

Erhebung von Daten für die Zwecke des Beschäftigungsverhältnisses

Wenig Änderungen ergeben sich im Grundsatz: Auch § 26 BDSG neu erlaubt die Datenverarbeitung, soweit erforderlich, für die Zwecke des Beschäftigungsverhältnisses. Der Begriff der Erforderlichkeit bleibt gesetzlich undefiniert, regelt aber nach wie vor eine Interessenabwägung zwischen dem Datenverarbeitungsinteresse des Arbeitgebers und dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers. Das entspricht der ständigen Auslegung des § 32 BDSG durch das Bundesarbeitsgericht.

Kollektivregelungen als Grundlage für die Datenerhebung

Wichtig ist der (klarstellende) Verweis in § 26 Abs. 1 Satz 1 „BDSG neu“: Die Datenverarbeitung ist auch dann zulässig, wenn dies zu Erfüllung der sich aus einer Kollektivvereinbarung (= Tarifvertrag oder Betriebs-/Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (s.a. Art. 88 Abs. 1 DSGVO i.V.m. Erwägungsgrund 155).

Auch die entsprechende Datenverarbeitung steht jedoch unter Erforderlichkeitsvorbehalt und verhindert „blankettartige“ Datenanforderungen von Betriebsräten auch in Zukunft.

Die Parteien einer Kollektivvereinbarung müssen zwingend die Vorgaben von Art. 88 Abs. 2 DSGVO zu beachten, § 26 Abs. 4 Satz 1 „BDSG neu“. Das bedeutet insbesondere: sie müssen dezidiert angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Sie müssen weiter die Transparenz der Verarbeitung sicherstellen und Schutzmaßnahmen bei einer unternehmensinternen oder konzerninternen Weitergabe von Daten regeln.

Einwilligung – in Zukunft noch weniger belastbar als bisher

Schließlich bleibt auch die Einwilligung ein zulässiger Erlaubnistatbestand zur Datenverarbeitung (§ 26 Abs. 2 BDSG neu). Jedoch wird der Arbeitgeber zukünftig in besonderem Maße berücksichtigen müssen, dass das Arbeitsverhältnis typischerweise durch eine gewisse Abhängigkeit geprägt ist, und muss daher auch die Umstände, unter denen die Einwilligung erteilt worden ist, in Betracht ziehen.

Im Regelfall dürfte das der „klassischen“ Einwilligung als Bestandteil des Arbeitsvertrages den Boden entziehen und eine separate Einwilligungserklärung nach Abschluss des Vertrages erforderlich machen. Die Einwilligung muss grundsätzlich schriftlich erfolgen und vor dem Hintergrund ausreichender Information über den Zweck der Datenverarbeitung sowie das Recht zum jederzeitigen Widerruf erfolgen. Das wird Arbeitgeber zukünftig vor ganz neue Herausforderungen stellen.

Allgemeine Erlaubnistatbestände

Nicht in § 26 „BDSG neu“ erwähnt, aber dennoch taugliche Grundlage für eine Datenerhebung sind im Übrigen die allgemeinen Erlaubnisvorschriften der DSGVO, also z.B. Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO.

Straftaten und Pflichtverletzungen

§ 26 „BDSG neu“ perpetuiert die gesetzgeberische Fehlleistung aus § 32 BDSG und spricht nur davon, dass die Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis zulässig ist.

Das BAG hatte jüngst erst entschieden, dass der Wortlaut von § 32 BDSG insoweit wenig gelungen ist, und dass ausweislich seiner Begründung auch der Verdacht gravierender arbeitsrechtlicher Pflichtverletzungen ausreicht, um Datenverarbeitung zu rechtfertigen (Urteil vom 22.9.2016, 2 AZR 848/15). Weshalb der Gesetzgeber diese Vorlage nicht dankend aufnimmt und den Wortlaut des § 26 BDSG neu anpasst, bleibt rätselhaft.

Besonders sensible Daten

§ 26 Abs. 3 „BDSG neu“ regelt auch die Verarbeitung besonders sensibler Daten wie z.B. zu politischen Meinungen oder Gesundheitsdaten. Für diese gilt nach § 26 Abs. 3 Satz 1 BDSG neu eine eingeschränkte Berechtigung zur Verarbeitung. Erforderlich ist, dass diese zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit bzw. des Sozialschutzes erforderlich ist. Zudem darf der Arbeitgeber keinen Grund zu der Annahme haben, dass sein Verarbeitungsinteresse dem Persönlichkeitsschutz des Arbeitnehmers untergeordnet ist.

Datenschutzgrundsätze

Schließlich enthält § 26 BDSG neu eine Regelung dahingehend, dass die verantwortliche Stelle sicherstellen muss, die in Art. 5 DSGVO festgelegten Datenschutzprinzipien zu beachten und umzusetzen. Wichtig: Diese Pflicht gilt nicht nur für den Arbeitgeber, sondern an alle Bestandteile der verbundenen Stelle (also auch für den Betriebsrat, der in Zukunft etwa den Grundsatz der Datenminimierung sowie Vertraulichkeitsregelungen beachten muss.).

Belastbare Arbeitsgrundlage?

Auch wenn die Bundesregierung bislang immun gegen die Kritik am Erstentwurf zum DSAnpUG-EU schien, ist nur schwer vorstellbar, dass die Regelung 1:1 in Kraft treten wird. Zu befürchten ist aber in jedem Fall, dass auch die Verhandlung des Gesetzesentwurfes vor dem Bundesrat, die derzeit für März 2017 geplant ist, nicht zu Verbesserungen im Grundsatz und in der Systematik führen wird, sondern nur einzelne Stellschrauben justiert werden.

Dem Rechtsanwender droht damit ab Mai 2018 nicht nur die (schon an sich) herausfordernde DSGVO, sondern darüber hinaus noch Unklarheit hinsichtlich des Geltungsrahmens existenter Regelungen. Für DSGVO-Anpassungsprojekte stellt sich vor diesem Hintergrund das unmittelbare Problem: Auf welche Regelungsebene können sich Unternehmen belastbar einstellen? Angesichts in Teilen klar nicht europarechtskonformer Regelungen des DSAnpUG-EU kann derzeit wohl nur die DSGVO als einigermaßen seriöse Arbeitsgrundlage dienen.

Dr. Till Heimann

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Till Heimann berät Arbeitgeber mit Fokus auf Unter­neh­mens­trans­ak­tio­nen (mit anschlie­ßen­der Integration), Umstruk­tu­rie­run­gen auf Unter­neh­mens- und Betriebsebene und Har­mo­ni­sie­rung von Arbeits­be­din­gun­gen. Besondere Expertise besitzt Till Heimann darüber hinaus hinsichtlich der Beratung zu regulierter Vergütung (Banken/Kapitalanlagegesellschaften u.A. Institute), von Unternehmen der Technologiebranche sowie von Startups. Er besitzt langjährige Erfahrung in der Steuerung inter­na­tio­na­ler Projekte.
Verwandte Beiträge
Digitalisierung in Unternehmen Individualarbeitsrecht Neueste Beiträge Video

Digitalisierung in Unternehmen (Video)

Digitalisierung in Unternehmen – diese Schlagworte sind der Titel unserer neuen Fokusgruppe. Ziel dieser Fokusgruppe ist es, Ihnen u. a. durch Beiträge und Webinare aktuelle Digitalisierungsthemen näherzubringen. Wir wollen Sie bei der Einführung, Umsetzung und Anwendung von technischen Neuerungen sowohl auf individual- und kollektivarbeitsrechtlicher als auch datenschutzrechtlicher Ebene unterstützen. Nicht nur die Implementierung von technischen Neuerungen sollte dabei das Ziel sein, sondern auch die Akzeptanz dieser…
Betriebsrat Datenschutz Neueste Beiträge

Betriebsratsmitglied + Datenschutzverstoß = außerordentliche Kündigung

Die Formel ist einfach: Begeht ein Betriebsratsmitglied einen Datenschutzverstoß, rechtfertigt dies eine außerordentliche Kündigung. Denn bei einem Datenschutzverstoß handelt es sich um eine schwerwiegende Pflichtverletzung, wie das LAG Baden-Württemberg entschied (Urteil vom 25.3.2021 – Az. 7 Sa 63/21). Ein langjähriges Betriebsratsmitglied veröffentlichte u.a. sensible Daten aus einem laufenden Rechtsstreit. Es handelte sich um die Schriftsätze der anderen Partei, die aber zweckbestimmt und nicht für die Allgemeinheit oder…
Compliance Neueste Beiträge

Bekommen wir bald ein Gesetz für den Beschäftigtendatenschutz?

Am 4. Mai 2022 hat die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht und nimmt dabei Bezug auf die Ankündigung der Regierungsparteien im Koalitionsvertrag, eine solche Regelung zu schaffen. Es ist davon auszugehen, dass in den nächsten Monaten ein entsprechender Entwurf aus dem Hause des Bundesministeriums für Arbeit und Soziales (BMAS) vorgelegt werden wird. Arbeitgeber in Deutschland…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert