Donnerstag, 11. Januar 2018

Kurzpapier Nr. 14: Beschäftigtendatenschutz

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

PDF-Version

Altes Recht = neues Recht?

In § 32 BDSG-alt war der Beschäftigtendatenschutz speziell geregelt. Ein umfassendes Beschäftigtendatenschutzrecht fehlte hingegen. Die DS-GVO enthält ebenfalls keine konkreten, bereichsspezifischen Re-gelungen. Vielmehr richtet sich der Beschäftigtendatenschutz zunächst nach den allgemeinen Regelungen der DS-GVO, die für jedes Rechtsverhältnis gelten. Allerdings enthält Art. 88 Abs. 1 DS-GVO für den Beschäftigtendatenschutz eine sogenannte Öffnungsklausel. Sie ermöglicht den Mitgliedstaaten spezifische Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu er-lassen, die den inhaltlichen Anforderungen des Art. 88 Abs. 2 DS-GVO entsprechen müssen. Ein bislang höheres nationales Datenschutzniveau kann daher in diesem Bereich aufrechterhalten werden. Der deutsche Gesetzgeber hat von dieser Öffnungsklausel durch Erlass des § 26 BDSG-neu Gebrauch gemacht.

Für Bedienstete und Beschäftigte bei Behörden und öffentlichen Stellen des Bundes und Länder – einschließlich der Kommunen – gelten besondere bundes- und landesspezifische Regelungen (z. B. beamtenrechtliche Vorschriften). Die Regelungen des § 26 BDSG finden dann keine Anwendung.

Inhalt § 26 BDSG-neu

I) Datenverarbeitung zum Zweck des Beschäftigtenverhältnisses

1. Grundsatz, § 26 Abs. 1 Satz 1, 1. Halbsatz BDSG-neu

§ 26 Abs. 1 Satz 1 BDSG-neu entspricht weitgehend der bisherigen Regelung des § 32 Abs. 1 Satz 1 BDSG-alt. Nach beiden Regelungen dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Insoweit gibt es keinen Unterschied zwischen der alten und der neuen Rechtslage.

2. Kollektiv-/ Betriebsvereinbarungen, § 26 Abs. 1 Satz 1 und Abs. 4 BDSG-neu

In § 26 Abs. 1 Satz 1 und Abs. 4 BDSG-neu ist nunmehr ausdrücklich geregelt, dass die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Dazu gehören Ta-rifverträge sowie Betriebs- und Dienstvereinbarungen (vergleiche Erwägungsgrund 155 zur DS-GVO). Die Verhandlungspartner haben die inhaltlichen Vorgaben des Art. 88 Abs. 2 DS-GVO zu beachten. Demnach sind angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DS-GVO absenken.

Beschäftigtendaten dürfen auch verarbeitet werden, soweit es für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist; unabhängig davon, ob sich diese aus einem Gesetz, Tarifvertrag bzw. einer Betriebs- oder Dienstvereinbarung ergeben (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu).

II) Einwilligung

Im Beschäftigungsverhältnis kommt eine freiwillige und damit wirksame Einwilligung aufgrund des bestehenden Über-/Unterordnungsverhältnisses regelmäßig nicht in Betracht. Allerdings kannte weder das BDSG-alt noch kennen das BDSG-neu bzw. die DS-GVO einen grundsätzlichen Ausschluss der Einwilligung im Beschäftigtenkontext. Die spezifische Regelung des § 26 Abs. 2 BDSG-neu enthält nunmehr jedoch restriktive Regelungen zur Frage der Freiwilligkeit einer Einwilligung. Beschäftigte können hiernach dann freiwillig in eine Datenverarbeitung einwilligen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Dasselbe gilt, wenn Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Im Hinblick auf diese gesetzlichen Regelvermutungen sind aufgrund des Über-/Unterordnungsverhältnisses jedoch hohe Anforderungen an den Zweck der Einwilligung zu stellen, falls eine Verarbeitung von Beschäftigtendaten im Einzelfall hierauf gestützt werden soll.

Die Einwilligung wird in der Praxis deshalb überwiegend in Konstellationen möglich sein, die nicht das Arbeitsverhältnis als solches, sondern Zusatzleistungen des Arbeitgebers betreffen (wie z.B. bei der Gestattung privater Nutzung dienstlicher Fahrzeuge, Telefone und EDV-Geräte; Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung; Aufnahme in Geburtstagslisten).

Für die Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Damit wird zugleich die Nachweispflicht des Arbeitgebers i. S. d. Art. 7 Abs. 1 DS-GVO konkretisiert. Hinzu kommen die Pflicht des Arbeitgebers zur Aufklärung in Textform über den Zweck der Datenverarbeitung und der jederzeit mögliche Widerruf durch die Beschäftigten sowie die damit verbundenen Folgen nach Art. 7 Abs. 3 DS-GVO. (Im Bereich öffentlicher Stellen wird die Einwilligung im Dienst- und Arbeitsverhältnis ebenso nur unter engen Voraussetzungen in Betracht kommen, insbesondere wenn eine auf eine Einwilligung gestützte Datenverarbeitung explizit im Landesbeamtengesetz vorgesehen ist.)

III) Zur Aufdeckung von Straftaten

 Übernommen wurde § 32 Abs. 1 Satz 2 BDSG-alt als § 26 Abs. 1 Satz 2 BDSG-neu. Danach dürfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat.

Die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere dürfen Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein. Damit entspricht § 26 Abs. 1 Satz 2 BDSG-neu der bisherigen Gesetzeslage.

Die Verarbeitung darf erst erfolgen, nachdem die Anhaltspunkte vorliegen. Die vorsorgliche Verarbeitung „auf Vorrat“ ist daher unzulässig. Arbeitgeber dürfen Daten also nicht für den Fall erheben, dass später eine Straftat im Beschäftigtenverhältnis begangen werden könnte. Zudem müssen sich die Maßnahmen gegen bestimmte verdächtigte Beschäftigte richten, nicht gegen größere Gruppen von Beschäftigten.

IV) Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten (vgl. Art. 9 Abs. 1 DS-GVO) ist im Beschäftigtenkontext unter den Voraussetzungen des § 26 Abs. 3 Satz 1 BDSG-neu möglich. Gemäß § 26 Abs. 3 Satz 2 BDSG-neu kann sich auch eine wirksame Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO i. V. m. § 26 Abs. 2 BDSG-neu auf diese Datenarten erstrecken, sofern sich die Einwilligung ausdrücklich auf diese Daten bezogen hat.

Gemäß § 26 Abs. 4 BDSG-neu können auch Kollektivvereinbarungen Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten darstellen. Dabei haben die Verhandlungspartner die inhaltlichen Vorgaben des Art. 88 Abs. 2 DS-GVO zu beachten.

Einen Verweis auf Art. 5 DS-GVO (Verarbeitungsgrundsätze) enthält § 26 Abs. 5 BDSG-neu. Damit wird besonders hervorgehoben, dass bei der Verarbeitung von Beschäftigtendaten geeignete Maßnah-men zu ergreifen sind. In der Gesetzesbegründung wird erläutert, dass auf diese Weise zugleich den Er-fordernissen des Art. 10 DS-GVO (Verarbeitung personenbezogener Daten über Straftaten) Rechnung getragen werden soll.

V) Verarbeitung außerhalb von Dateisystemen

Gemäß § 26 Abs. 7 BDSG-neu gilt der gesamte § 26 auch für solche Daten, die nicht in einem Dateisystem gespeichert sind und werden sollen. Damit ist der sachliche Anwendungsbereich der DS-GVO vom Gesetzgeber erweitert worden.

Auf das Vorhandensein einer zumindest strukturierten Sammlung von Daten (Dateisystem) i. S. d. Art. 4 Nr. 6 DS-GVO kommt es daher nicht an. Auch künftig unterfallen daher alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – papiergebundene sowie mündliche Formen, aber auch rein tatsächliche Handlungen – den datenschutzrechtlichen Bestimmungen (vgl. z. B. Urt. des BAG vom 20.06.2013, Az. 2 AZR 546/12). Dies können z. B. handschriftliche Notizen des Arbeitgebers über Beschäftigte sein.

VI) Definition „Beschäftigte“

Die Definition des Begriffs „Beschäftigte“ in § 26 Abs. 8 BDSG-neu entspricht grundsätzlich der Bisherigen. Ausdrücklich aufgenommen wurde klarstellend, dass die Beschäftigteneigenschaft von Leiharbeitnehmern auch im Verhältnis zum Entleiher – also nicht nur zum Verleiher – vorliegt.

Anwendbarkeit DS-GVO im Übrigen

I. Allgemein

Die Reichweite des § 26 BDSG-neu und damit die verbleibende Anwendbarkeit der DS-GVO im Beschäftigtenkontext ist im jeweiligen Einzelfall zu prüfen. Hierbei ist auch der Sinn und Zweck des Art. 88 DS-GVO i. V. m. § 26 BDSG-neu zu berücksichtigen.

II. Zweckänderung

Im Beschäftigtenkontext erfolgt – von Einzelfällen auf Basis einer freiwilligen Einwilligung abgesehen – die Erhebung und (Weiter-)Verarbeitung von Daten überwiegend gemäß § 26 BDSG-neu, also auf einer besonderen gesetzlichen Grundlage. Zudem erfolgt die Verarbeitung im Rahmen eines Über-/ Unterordnungsverhältnisses. Sowohl die Bewertung der Kriterien des Art. 6 Abs. 4 DS-GVO als auch die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO wird daher grundsätzlich zu dem Ergebnis kommen müssen, dass auch für neue Verwendungszwecke noch ein innerer Zusammenhang zum Beschäftigtenverhältnis im weitesten Sinne bestehen muss. Eine Verwendung zu gänzlich anderen Zwecken (z. B. Verkauf an Dritte zu Werbezwecken) wird demnach ausgeschlossen sein; ein solcher Zweck ist mit dem ursprünglichen unvereinbar bzw. es überwiegen in solchen Konstellationen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen. Im Übrigen ist in diesem Zusammenhang auch § 24 BDSG-neu („Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen“) zu beachten.

III. Rechtsfolgen bei Verstoß

Ein Verstoß gegen die Pflichten des § 26 BDSG-neu ist gemäß Art. 83 Abs. 5 lit. d DS-GVO mit einem Bußgeldrahmen von bis zu 20 Millionen Euro (bzw. 4 % des weltweiten Jahresumsatzes) sanktioniert. Strafrechtliche Regelungen enthält § 42 BDSG-neu.

Ausblick

Der Gesetzgeber hat sich vorbehalten, konkretere Vorschriften zum Beschäftigtendatenschutz zu erlassen. Ein solches Beschäftigtendatenschutzgesetz könnte u. a. das Fragerecht bei der Einstellung von Bewerberinnen und Bewerbern, die Grenzen zulässiger Kontrollen von Beschäftigten, die Begrenzung von Lokalisierungen (GPS) und die Verwendung biometrischer Authentifizierungs- und Autorisierungssysteme zum Gegenstand haben.