open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Arbeitsrecht 4.0 Datenschutz

    DSAnpUG-EU: Beschäftigtendatenschutz oder nur Buchstabensalat?

    Print Friendly, PDF & Email
    DSAnpUG-EU

    Nach heftigster Kritik aus allen Richtungen hat die Bundesregierung Anfang Februar 2017 einen neuen Entwurf des Umsetzungsgesetzes zur Datenschutzgrundverordnung beschlossen. Dieser beinhaltet unter Anderem eine Neufassung des bisherigen § 32 BDSG. Wird im Beschäftigtendatenschutz nun alles anders, systematisch und benutzerfreundlich? Wir beleuchten den Entwurfsstand der praktisch höchst relevanten Neuregelung.

    Reform des Beschäftigtendatenschutzes – die unendliche Geschichte?

    Die zentralen Normen im deutschen Beschäftigtendatenschutz sind Stand heute die §§ 28, 32 BDSG. Insbesondere § 32 BDSG gestattet dem Arbeitgeber, in bestimmten gesetzlich definierten Fällen Arbeitnehmerdaten zu erheben, zu speichern, zu verarbeiten und zu nutzen (im Folgenden: „Datenverarbeitung“).

    Eine Reform des Beschäftigtendatenschutzes stand schon in der Vergangenheit häufiger auf der Agenda. Sie ist jedoch mit schöner Regelmäßigkeit gescheitert. Nunmehr sieht sich der Gesetzgeber angesichts des nahenden Mai 2018 in der Pflicht, sein nationales Datenschutzrecht an die künftigen Rahmenbedingungen der EU-Datenschutzgrundverordnung (DSGVO) anzupassen.

    Hierzu hat das Bundesministerium des Inneren (BMI) das nicht nur lautmalerisch spektakuläre „DSAnpUG-EU“ (richtig: „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“) entworfen. Der Entwurf dieses Änderungsgesetzes, der jüngst durch das Kabinett beschlossen wurde (Direkter PDF-Download: BMI-Entwurf DSAnpUG-EU) beinhaltet unter Anderem auch eine Reform des BDSG und eine Neufassung des Beschäftigtendatenschutzes in § 26 „BDSG neu“.

    Gute oder schlechte Neuregelung?

    Die erste Erkenntnis beim Lesen der Neuregelung: Der Gesetzgeber hat sich durch die Kritik an den Vorentwürfen nicht davon abhalten lassen, eine maximal komplizierte Regelung zu schaffen, die schon beim bloßen Lesen viele Gesetzesanwender mit Fragezeichen zurücklassen dürfte.

    Schon die Regelungstechnik – Ausnahmen und Rückausnahmen sowie das nicht klar geregelte Verhältnis von DSGVO zum BDSG – erweckt den Eindruck, dass der Gesetzgeber hier gar nicht für mehr Praxisfreundlichkeit sorgen wollte.

    Blickt man auf die Inhalte, stellt man fest: § 26 „BDSG neu“ ist deutlich umfangreicher als der altbekannte und bewährte § 32 BDSG, deshalb aber nicht notwendig besser oder vollständiger.

    Inhaltliche Erkenntnisse aus § 26 „BDSG neu“

    Die formale Kritik außen vor gelassen, gibt auch der Inhalt der Neuregelung Anlass zu einer näheren Betrachtung. Die wichtigsten Punkte, kurz zusammengefasst:

    Geltungsbereich

    § 26 Abs. 7 „BDSG neu“ erstreckt den Anwendungsbereich der Regelung auch auf nicht-automatisierte Datenerhebungen. Dies entspricht im Wesentlichen dem bisherigen (wenig beachteten) § 32 Abs. 2 BDSG. § 26 Abs. 8 „BDSG neu“ nimmt eine eigenständige Definition des Beschäftigten im Sinne des Gesetzes vor und geht damit über die DSGVO hinaus. Neben Arbeitnehmern sind unter Anderem Zeitarbeitskräfte, Auszubildende und Heimarbeiter erfasst.

    Erhebung von Daten für die Zwecke des Beschäftigungsverhältnisses

    Wenig Änderungen ergeben sich im Grundsatz: Auch § 26 BDSG neu erlaubt die Datenverarbeitung, soweit erforderlich, für die Zwecke des Beschäftigungsverhältnisses. Der Begriff der Erforderlichkeit bleibt gesetzlich undefiniert, regelt aber nach wie vor eine Interessenabwägung zwischen dem Datenverarbeitungsinteresse des Arbeitgebers und dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers. Das entspricht der ständigen Auslegung des § 32 BDSG durch das Bundesarbeitsgericht.

    Kollektivregelungen als Grundlage für die Datenerhebung

    Wichtig ist der (klarstellende) Verweis in § 26 Abs. 1 Satz 1 „BDSG neu“: Die Datenverarbeitung ist auch dann zulässig, wenn dies zu Erfüllung der sich aus einer Kollektivvereinbarung (= Tarifvertrag oder Betriebs-/Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (s.a. Art. 88 Abs. 1 DSGVO i.V.m. Erwägungsgrund 155).

    Auch die entsprechende Datenverarbeitung steht jedoch unter Erforderlichkeitsvorbehalt und verhindert „blankettartige“ Datenanforderungen von Betriebsräten auch in Zukunft.

    Die Parteien einer Kollektivvereinbarung müssen zwingend die Vorgaben von Art. 88 Abs. 2 DSGVO zu beachten, § 26 Abs. 4 Satz 1 „BDSG neu“. Das bedeutet insbesondere: sie müssen dezidiert angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Sie müssen weiter die Transparenz der Verarbeitung sicherstellen und Schutzmaßnahmen bei einer unternehmensinternen oder konzerninternen Weitergabe von Daten regeln.

    Einwilligung – in Zukunft noch weniger belastbar als bisher

    Schließlich bleibt auch die Einwilligung ein zulässiger Erlaubnistatbestand zur Datenverarbeitung (§ 26 Abs. 2 BDSG neu). Jedoch wird der Arbeitgeber zukünftig in besonderem Maße berücksichtigen müssen, dass das Arbeitsverhältnis typischerweise durch eine gewisse Abhängigkeit geprägt ist, und muss daher auch die Umstände, unter denen die Einwilligung erteilt worden ist, in Betracht ziehen.

    Im Regelfall dürfte das der „klassischen“ Einwilligung als Bestandteil des Arbeitsvertrages den Boden entziehen und eine separate Einwilligungserklärung nach Abschluss des Vertrages erforderlich machen. Die Einwilligung muss grundsätzlich schriftlich erfolgen und vor dem Hintergrund ausreichender Information über den Zweck der Datenverarbeitung sowie das Recht zum jederzeitigen Widerruf erfolgen. Das wird Arbeitgeber zukünftig vor ganz neue Herausforderungen stellen.

    Allgemeine Erlaubnistatbestände

    Nicht in § 26 „BDSG neu“ erwähnt, aber dennoch taugliche Grundlage für eine Datenerhebung sind im Übrigen die allgemeinen Erlaubnisvorschriften der DSGVO, also z.B. Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO.

    Straftaten und Pflichtverletzungen

    § 26 „BDSG neu“ perpetuiert die gesetzgeberische Fehlleistung aus § 32 BDSG und spricht nur davon, dass die Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis zulässig ist.

    Das BAG hatte jüngst erst entschieden, dass der Wortlaut von § 32 BDSG insoweit wenig gelungen ist, und dass ausweislich seiner Begründung auch der Verdacht gravierender arbeitsrechtlicher Pflichtverletzungen ausreicht, um Datenverarbeitung zu rechtfertigen (Urteil vom 22.9.2016, 2 AZR 848/15). Weshalb der Gesetzgeber diese Vorlage nicht dankend aufnimmt und den Wortlaut des § 26 BDSG neu anpasst, bleibt rätselhaft.

    Besonders sensible Daten

    § 26 Abs. 3 „BDSG neu“ regelt auch die Verarbeitung besonders sensibler Daten wie z.B. zu politischen Meinungen oder Gesundheitsdaten. Für diese gilt nach § 26 Abs. 3 Satz 1 BDSG neu eine eingeschränkte Berechtigung zur Verarbeitung. Erforderlich ist, dass diese zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit bzw. des Sozialschutzes erforderlich ist. Zudem darf der Arbeitgeber keinen Grund zu der Annahme haben, dass sein Verarbeitungsinteresse dem Persönlichkeitsschutz des Arbeitnehmers untergeordnet ist.

    Datenschutzgrundsätze

    Schließlich enthält § 26 BDSG neu eine Regelung dahingehend, dass die verantwortliche Stelle sicherstellen muss, die in Art. 5 DSGVO festgelegten Datenschutzprinzipien zu beachten und umzusetzen. Wichtig: Diese Pflicht gilt nicht nur für den Arbeitgeber, sondern an alle Bestandteile der verbundenen Stelle (also auch für den Betriebsrat, der in Zukunft etwa den Grundsatz der Datenminimierung sowie Vertraulichkeitsregelungen beachten muss.).

    Belastbare Arbeitsgrundlage?

    Auch wenn die Bundesregierung bislang immun gegen die Kritik am Erstentwurf zum DSAnpUG-EU schien, ist nur schwer vorstellbar, dass die Regelung 1:1 in Kraft treten wird. Zu befürchten ist aber in jedem Fall, dass auch die Verhandlung des Gesetzesentwurfes vor dem Bundesrat, die derzeit für März 2017 geplant ist, nicht zu Verbesserungen im Grundsatz und in der Systematik führen wird, sondern nur einzelne Stellschrauben justiert werden.

    Dem Rechtsanwender droht damit ab Mai 2018 nicht nur die (schon an sich) herausfordernde DSGVO, sondern darüber hinaus noch Unklarheit hinsichtlich des Geltungsrahmens existenter Regelungen. Für DSGVO-Anpassungsprojekte stellt sich vor diesem Hintergrund das unmittelbare Problem: Auf welche Regelungsebene können sich Unternehmen belastbar einstellen? Angesichts in Teilen klar nicht europarechtskonformer Regelungen des DSAnpUG-EU kann derzeit wohl nur die DSGVO als einigermaßen seriöse Arbeitsgrundlage dienen.

    Dr. Till Heimann
    Rechtsanwalt
    Fachanwalt für Arbeitsrecht
    Partner
    Till Heimann berät Arbeitgeber mit Fokus auf Unter­neh­mens­trans­ak­tio­nen (mit anschlie­ßen­der Integration), Umstruk­tu­rie­run­gen auf Unter­neh­mens- und Betriebsebene und Har­mo­ni­sie­rung von Arbeits­be­din­gun­gen. Besondere Expertise besitzt Till Heimann darüber hinaus hinsichtlich der Beratung zu regulierter Vergütung (Banken/Kapitalanlagegesellschaften u.A. Institute), von Unternehmen der Technologiebranche sowie von Startups. Er besitzt langjährige Erfahrung in der Steuerung inter­na­tio­na­ler Projekte. Er ist Mitglied der Fokusgruppe "ESG".
    vCard downloaden Dr. Till Heimann auf Xing Dr. Till Heimann auf LinkedIn
    Verwandte Beiträge
    Arbeitsrecht 4.0Bewerbung Neueste Beiträge

    Möglichkeiten und Grenzen – vom Fragerecht bis hin zum Pre-Employment-Screening

    Arbeitgeber verwenden oft viel Zeit auf Bewerbungsverfahren, um bei einer Einstellung eine informierte Entscheidung zu treffen und es zu vermeiden, ungeeignete Kandidaten einzustellen, die nach kurzer Zeit kündigen bzw. gekündigt werden. Neben dem klassischen Bewerbungsgespräch nutzen Arbeitgeber oft noch auch modernere Tools und Möglichkeiten der Informationsgewinnung wie E-Recruiting und Backgroundchecks. Dem Interesse des Unternehmens an möglichst umfassenden Informationen über Kandidaten steht das Recht der Bewerber…
    Datenschutz Individualarbeitsrecht Neueste Beiträge

    „Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

    Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
    Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung Top-Management Vergütung

    Top 6 des Jahres 2023 aus arbeitsrechtlicher Sicht

    Das Jahr 2023 ist nun beinahe wieder vorbei. Zur Anheizung der weihnachtlichen Vorfreude lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an besonders beachtenswerten und für das Arbeitsrecht relevanten Urteilen – u.a. zu den Themen Equal Pay, Beweisverwertungsverbote, Geschäftsführerhaftung, Outsourcing und Strafrecht. Wie in jedem Jahr gab es auch in 2023 wieder einige Gerichtsentscheidungen, die in einem arbeitsrechtlichen Jahresrückblick nicht fehlen dürfen. Unsere diesjährigen…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert