open search
close
Arbeitsrecht 4.0 Datenschutz

DSAnpUG-EU: Beschäftigtendatenschutz oder nur Buchstabensalat?

Print Friendly, PDF & Email
DSAnpUG-EU

Nach heftigster Kritik aus allen Richtungen hat die Bundesregierung Anfang Februar 2017 einen neuen Entwurf des Umsetzungsgesetzes zur Datenschutzgrundverordnung beschlossen. Dieser beinhaltet unter Anderem eine Neufassung des bisherigen § 32 BDSG. Wird im Beschäftigtendatenschutz nun alles anders, systematisch und benutzerfreundlich? Wir beleuchten den Entwurfsstand der praktisch höchst relevanten Neuregelung.

Reform des Beschäftigtendatenschutzes – die unendliche Geschichte?

Die zentralen Normen im deutschen Beschäftigtendatenschutz sind Stand heute die §§ 28, 32 BDSG. Insbesondere § 32 BDSG gestattet dem Arbeitgeber, in bestimmten gesetzlich definierten Fällen Arbeitnehmerdaten zu erheben, zu speichern, zu verarbeiten und zu nutzen (im Folgenden: „Datenverarbeitung“).

Eine Reform des Beschäftigtendatenschutzes stand schon in der Vergangenheit häufiger auf der Agenda. Sie ist jedoch mit schöner Regelmäßigkeit gescheitert. Nunmehr sieht sich der Gesetzgeber angesichts des nahenden Mai 2018 in der Pflicht, sein nationales Datenschutzrecht an die künftigen Rahmenbedingungen der EU-Datenschutzgrundverordnung (DSGVO) anzupassen.

Hierzu hat das Bundesministerium des Inneren (BMI) das nicht nur lautmalerisch spektakuläre „DSAnpUG-EU“ (richtig: „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“) entworfen. Der Entwurf dieses Änderungsgesetzes, der jüngst durch das Kabinett beschlossen wurde (Direkter PDF-Download: BMI-Entwurf DSAnpUG-EU) beinhaltet unter Anderem auch eine Reform des BDSG und eine Neufassung des Beschäftigtendatenschutzes in § 26 „BDSG neu“.

Gute oder schlechte Neuregelung?

Die erste Erkenntnis beim Lesen der Neuregelung: Der Gesetzgeber hat sich durch die Kritik an den Vorentwürfen nicht davon abhalten lassen, eine maximal komplizierte Regelung zu schaffen, die schon beim bloßen Lesen viele Gesetzesanwender mit Fragezeichen zurücklassen dürfte.

Schon die Regelungstechnik – Ausnahmen und Rückausnahmen sowie das nicht klar geregelte Verhältnis von DSGVO zum BDSG – erweckt den Eindruck, dass der Gesetzgeber hier gar nicht für mehr Praxisfreundlichkeit sorgen wollte.

Blickt man auf die Inhalte, stellt man fest: § 26 „BDSG neu“ ist deutlich umfangreicher als der altbekannte und bewährte § 32 BDSG, deshalb aber nicht notwendig besser oder vollständiger.


Inhaltliche Erkenntnisse aus § 26 „BDSG neu“

Die formale Kritik außen vor gelassen, gibt auch der Inhalt der Neuregelung Anlass zu einer näheren Betrachtung. Die wichtigsten Punkte, kurz zusammengefasst:

Geltungsbereich

§ 26 Abs. 7 “BDSG neu” erstreckt den Anwendungsbereich der Regelung auch auf nicht-automatisierte Datenerhebungen. Dies entspricht im Wesentlichen dem bisherigen (wenig beachteten) § 32 Abs. 2 BDSG. § 26 Abs. 8 “BDSG neu” nimmt eine eigenständige Definition des Beschäftigten im Sinne des Gesetzes vor und geht damit über die DSGVO hinaus. Neben Arbeitnehmern sind unter Anderem Zeitarbeitskräfte, Auszubildende und Heimarbeiter erfasst.

Erhebung von Daten für die Zwecke des Beschäftigungsverhältnisses

Wenig Änderungen ergeben sich im Grundsatz: Auch § 26 BDSG neu erlaubt die Datenverarbeitung, soweit erforderlich, für die Zwecke des Beschäftigungsverhältnisses. Der Begriff der Erforderlichkeit bleibt gesetzlich undefiniert, regelt aber nach wie vor eine Interessenabwägung zwischen dem Datenverarbeitungsinteresse des Arbeitgebers und dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers. Das entspricht der ständigen Auslegung des § 32 BDSG durch das Bundesarbeitsgericht.

Kollektivregelungen als Grundlage für die Datenerhebung

Wichtig ist der (klarstellende) Verweis in § 26 Abs. 1 Satz 1 “BDSG neu”: Die Datenverarbeitung ist auch dann zulässig, wenn dies zu Erfüllung der sich aus einer Kollektivvereinbarung (= Tarifvertrag oder Betriebs-/Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (s.a. Art. 88 Abs. 1 DSGVO i.V.m. Erwägungsgrund 155).

Auch die entsprechende Datenverarbeitung steht jedoch unter Erforderlichkeitsvorbehalt und verhindert „blankettartige“ Datenanforderungen von Betriebsräten auch in Zukunft.

Die Parteien einer Kollektivvereinbarung müssen zwingend die Vorgaben von Art. 88 Abs. 2 DSGVO zu beachten, § 26 Abs. 4 Satz 1 “BDSG neu”. Das bedeutet insbesondere: sie müssen dezidiert angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Sie müssen weiter die Transparenz der Verarbeitung sicherstellen und Schutzmaßnahmen bei einer unternehmensinternen oder konzerninternen Weitergabe von Daten regeln.

Einwilligung – in Zukunft noch weniger belastbar als bisher

Schließlich bleibt auch die Einwilligung ein zulässiger Erlaubnistatbestand zur Datenverarbeitung (§ 26 Abs. 2 BDSG neu). Jedoch wird der Arbeitgeber zukünftig in besonderem Maße berücksichtigen müssen, dass das Arbeitsverhältnis typischerweise durch eine gewisse Abhängigkeit geprägt ist, und muss daher auch die Umstände, unter denen die Einwilligung erteilt worden ist, in Betracht ziehen.

Im Regelfall dürfte das der „klassischen“ Einwilligung als Bestandteil des Arbeitsvertrages den Boden entziehen und eine separate Einwilligungserklärung nach Abschluss des Vertrages erforderlich machen. Die Einwilligung muss grundsätzlich schriftlich erfolgen und vor dem Hintergrund ausreichender Information über den Zweck der Datenverarbeitung sowie das Recht zum jederzeitigen Widerruf erfolgen. Das wird Arbeitgeber zukünftig vor ganz neue Herausforderungen stellen.

Allgemeine Erlaubnistatbestände

Nicht in § 26 “BDSG neu” erwähnt, aber dennoch taugliche Grundlage für eine Datenerhebung sind im Übrigen die allgemeinen Erlaubnisvorschriften der DSGVO, also z.B. Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO.

Straftaten und Pflichtverletzungen

§ 26 “BDSG neu” perpetuiert die gesetzgeberische Fehlleistung aus § 32 BDSG und spricht nur davon, dass die Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis zulässig ist.

Das BAG hatte jüngst erst entschieden, dass der Wortlaut von § 32 BDSG insoweit wenig gelungen ist, und dass ausweislich seiner Begründung auch der Verdacht gravierender arbeitsrechtlicher Pflichtverletzungen ausreicht, um Datenverarbeitung zu rechtfertigen (Urteil vom 22.9.2016, 2 AZR 848/15). Weshalb der Gesetzgeber diese Vorlage nicht dankend aufnimmt und den Wortlaut des § 26 BDSG neu anpasst, bleibt rätselhaft.

Besonders sensible Daten

§ 26 Abs. 3 “BDSG neu” regelt auch die Verarbeitung besonders sensibler Daten wie z.B. zu politischen Meinungen oder Gesundheitsdaten. Für diese gilt nach § 26 Abs. 3 Satz 1 BDSG neu eine eingeschränkte Berechtigung zur Verarbeitung. Erforderlich ist, dass diese zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit bzw. des Sozialschutzes erforderlich ist. Zudem darf der Arbeitgeber keinen Grund zu der Annahme haben, dass sein Verarbeitungsinteresse dem Persönlichkeitsschutz des Arbeitnehmers untergeordnet ist.

Datenschutzgrundsätze

Schließlich enthält § 26 BDSG neu eine Regelung dahingehend, dass die verantwortliche Stelle sicherstellen muss, die in Art. 5 DSGVO festgelegten Datenschutzprinzipien zu beachten und umzusetzen. Wichtig: Diese Pflicht gilt nicht nur für den Arbeitgeber, sondern an alle Bestandteile der verbundenen Stelle (also auch für den Betriebsrat, der in Zukunft etwa den Grundsatz der Datenminimierung sowie Vertraulichkeitsregelungen beachten muss.).

Belastbare Arbeitsgrundlage?

Auch wenn die Bundesregierung bislang immun gegen die Kritik am Erstentwurf zum DSAnpUG-EU schien, ist nur schwer vorstellbar, dass die Regelung 1:1 in Kraft treten wird. Zu befürchten ist aber in jedem Fall, dass auch die Verhandlung des Gesetzesentwurfes vor dem Bundesrat, die derzeit für März 2017 geplant ist, nicht zu Verbesserungen im Grundsatz und in der Systematik führen wird, sondern nur einzelne Stellschrauben justiert werden.

Dem Rechtsanwender droht damit ab Mai 2018 nicht nur die (schon an sich) herausfordernde DSGVO, sondern darüber hinaus noch Unklarheit hinsichtlich des Geltungsrahmens existenter Regelungen. Für DSGVO-Anpassungsprojekte stellt sich vor diesem Hintergrund das unmittelbare Problem: Auf welche Regelungsebene können sich Unternehmen belastbar einstellen? Angesichts in Teilen klar nicht europarechtskonformer Regelungen des DSAnpUG-EU kann derzeit wohl nur die DSGVO als einigermaßen seriöse Arbeitsgrundlage dienen.

31 beiträge

Dr. Till Heimann




Till Heimann berät Arbeitgeber mit Fokus auf Unter­neh­mens­trans­ak­tio­nen (mit anschlie­ßen­der Integration), Umstruk­tu­rie­run­gen auf Unter­neh­mens- und Betriebsebene und Har­mo­ni­sie­rung von Arbeits­be­din­gun­gen. Besondere Expertise besitzt Till Heimann darüber hinaus in der Beratung innerhalb der Technologiebranche, der Startup-Beratung, der Unterstützung bei Fragen der Nutzung von IT und Social Media am Arbeits­platz sowie bei Kün­di­gun­gen mit Krank­heits­be­zug. Außerdem ist er erfahren in der Steuerung inter­na­tio­na­ler Projekte.
Verwandte Beiträge
Arbeitsrecht in der Pandemie Datenschutz Individualarbeitsrecht Neueste Beiträge

Bring Your Own Device – Chancen und Risiken der dienstlichen Nutzung privater Endgeräte

Viele Arbeitgeber bieten ihren Arbeitnehmern an, ihre privaten mobilen Endgeräte (wie z.B. Smartphones, Tablet-PC’s, Laptops etc.) auch für betriebliche Zwecke zu nutzen. Hinter diesem Trend verbirgt sich die Bezeichnung „Bring Your Own Device“ (BYOD). Gesteigerte Relevanz entfaltet die Thematik rund um BYOD auch vor dem Hintergrund der aktuellen pandemischen Lage in Deutschland und der jüngsten Anordnung der Bundesregierung, wonach Arbeitgeber ihren Arbeitnehmern (sofern möglich) Homeoffice…
Compliance Neueste Beiträge

Wenn die Datenschutzbehörde beim Arbeitgeber anklopft ...

Bußgelder für Datenschutzverstöße im Zusammenhang mit Mitarbeiter- und Bewerberdaten haben zugenommen. Jüngst erreichte ein Bußgeld Millionenhöhe, weil ein Unternehmen Informationen aus dem Privatleben von Mitarbeitern speicherte und auswertete. Vor diesem Hintergrund bleibt nicht jeder Unternehmensverantwortliche cool, wenn ein Schreiben der Datenschutzbehörde ins Haus flattert. Dabei muss ein Tätigwerden der Datenschutzbehörde nicht zwingend zu einem (hohen) Bußgeld führen. Wie sollten Unternehmen reagieren? Wann und wie wird…
Internationales Arbeitsrecht Neueste Beiträge

Der „Brexit“ ist vollzogen: Was deutsche Arbeitgeber und UK-Arbeitnehmer nun beachten sollten

Nach langwierigen Verhandlungen um einen Brexit-Deal ist das Vereinigte Königreich mit Ablauf des 31. Januar 2020 aus der Europäischen Union ausgetreten. In unserer Blogbeiträgen vom 21. Februar 2020 und vom 28. November 2019 haben wir bereits über mögliche Konsequenzen des Brexit für Arbeitgeber und über den Aufenthalt und Arbeitsmarktzugang von UK-Staatsbürgern in Deutschland berichtet. Seit dem 1. Januar 2021 ist nun auch die sog. Übergangsphase,…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.