5
Feb
2017
Starttaste Computer
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Der neue Beschäftigtendatenschutz nach § 26 BDSG – das Wichtigste auf einen Blick

 Was Arbeitgeber und Beschäftigte über den geplanten Datenschutz am Arbeitsplatz wissen sollten

Die Bundesregierung hat am 1.2.2017 einen Gesetzentwurf vorgelegt, der unter anderem ein Anpassungsgesetz zur DSGVO umfasst. Das geplante Gesetzespaket trägt den Titel “Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“. Abgekürzt – aber kaum weniger sperrig – soll der Entwurf “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU” oder auch “DSAnpUG-EU” heißen. Ein wesentlicher Teil des DSAnpUG-EU soll einen Entwurf für ein neues Bundesdatenschutzgesetz (BDSG-E) umfassen. Unter anderem soll § 26 BDSG-E künftig den Beschäftigtendatenschutz neu regeln. Der vorliegende Überblick beschreibt die Eckdaten der Neuregelung und zeigt, worauf sich Unternehmen und Beschäftigte einstellen müssen, sofern Bundestag und Bundesrat den Entwurf annehmen sollten.

Das Wichtigste im Überblick

Der geplante § 26 BDSG-E greift erkennbar auf wesentliche Strukturen und Regelungen des bisherigen § 32 BSDG zurück. Die neue Regelung ist allerdings deutlich umfangreicher und regelt mehr Aspekte des Beschäftigtendatenschutzes als das bislang in Deutschland geltende Recht. Dennoch kann man im Ergebnis kaum von einer umfassenden Regelung des künftigen Datenschutzes am Arbeitsplatz sprechen. Nachstehend finden Sie einen Überblick über die wichtigsten Eckdaten von § 26 BDSG-E:

 

  • Zwecke des Beschäftigungsverhältnisses: Wie auch der bisherige § 32 Abs.1 Satz 1 BDSG erlaubt § 26 Abs. 1 Satz 1 BDSG der Verarbeiten personenbezogener Daten von Beschäftigten sofern dies für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses “erforderlich” ist. Für die Praxis ist dabei wichtig, dass Arbeitgeber die Verarbeitung personenbezogener Daten für andere Zwecke als die des Beschäftigungsverhältnisses auch auf die allgemeinen Erlaubnisvorschriften der Verordnung stützen können, etwa auf Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO.

 

  • Erforderlichkeit näher definiert: Zwar definiert § 26 BDSG-E den Begriff der Erforderlichkeit nicht näher. Allerdings enthält die Gesetzesbegründung hierzu einen wichtigen Hinweis: “Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.” Der Verweis auf einen Interessenausgleich (praktische Konkordanz) zeigt klar, dass auch der Gesetzgeber die Erforderlichkeit auf der Grundlage einer am Verhältnismäßigkeitsgrundsatz orientierten Interessenabwägung bestimmt. Dies entspricht weitgehend der Rechtsprechung des BAG. Die Verarbeitung ist somit im Sinne von § 26 Abs. 1 BDSG-E erforderlich, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

 

  • Zwecke des Betriebsverfassungsrechts: § 26 Abs. 1 Satz 1 BDSG-E erlaubt auch dann die Verarbeitung personenbezogener Beschäftigtendaten, wenn dies zu Erfüllung der sich aus einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich. Die Vorschrift erlaubt es Arbeitgebern und Betriebsräten, Daten für die Verwirklichung der Rechte und Pflichten von Interessenvertretungen der Beschäftigten zu verarbeiten. Derartige Betriebsverfassungsorgane sind etwa Betriebsräte, Gesamtbetriebsräte, Konzernbetriebsräte, Wirtschafts- und Sprecherausschüsse, Jugend- oder Auszubildendenvertretungen. Die geplante Norm soll es Arbeitgebern etwa erlauben, personenbezogene Daten von Beschäftigten an Betriebsräte dort weiterzugegeben, wo dies gesetzlich (z.B. nach § 80 Abs. 2 BetrVG) vorgesehen ist. Aber auch die Datenverarbeitung durch Betriebsräte und andere Betriebsverfassungsorgane wird sich künftig an den Anforderungen von § 26 BDSG-E messen lassen müssen. Auch hier ist nach dem klaren Wortlaut von § 26 Abs. 1 Satz 1 BDSG-E eine Erforderlichkeitsprüfung vorzunehmen.

 

  • Zwecke der Aufdeckung von Straftaten: § 26 Abs. 1 Satz 2 BDSG-E sieht die Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis vor. Die Norm entspricht dem bisherigen § 32 Abs. 1 Satz 2 BDSG. Hier wäre eine ausdrückliche Klarstellung des Gesetzgebers zweckmäßig gewesen, dass die Aufklärung konkreter Anhaltspunkte auf Pflichtverletzungen, die aber keine Straftaten darstellen, der Durchführung des Beschäftigungsverhältnisses dienen und daher zulässig sein können. Hier hatte eine schwer nachvollziehbare aktuelle Entscheidung des LAG Baden-Württemberg für einige Unsicherheit gesorgt. Allerdings hatte das BAG in einem anderen Fall wenig später klargestellt, dass eine übermäßig enge Auslegung von § 32 Abs. 1 Satz 2 BDSG nicht angebracht ist Soweit der Wortlaut der Vorschrift ein anderes Verständnis nahelegen könnte, sei er – wörtliches Zitat der Bundesrichter – “verunglückt”. Im Ergebnis müssen Arbeitgeber auch hier einen angemessenen Ausgleich zwischen ihrem Aufklärungsinteresse und den Belangen der von einer Datenverarbeitung betroffenen Beschäftigten herstellen.

 

  • Einwilligungen im Beschäftigungsverhältnis: § 26 Abs. 2 BDSG-E stellt klar, dass Einwilligungen im Beschäftigungsverhältnis grundsätzlich weiterhin zulässig bleiben. Dies ergibt sich zwar bereits aus Erwägungsgrund 155 der DSGVO. Dennoch ist eine solche Klarstellung grundsätzlich zu begrüßen. Dabei sind nur freiwillige Einwilligungen zulässig. Bei der Beurteilung der Freiwilligkeit der Einwilligung muss der Arbeitgeber insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit des Beschäftigten berücksichtigen. Zudem muss er auch die sowie die Umstände, unter denen die Einwilligung erteilt worden ist, in Betracht ziehen. Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. Der Arbeitgeber muss die Einwilligung grundsätzlich schriftlich einholen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber muss den Beschäftigten zudem über den Zweck der Datenverarbeitung und über sein Widerrufsrecht nach Artikel 7 Abs. 3 DSGVO aufzuklären. Sofern Arbeitgeber auf der Grundlage einer Einwilligung auch besondere Kategorien personenbezogener Daten verarbeiten wollen, müssen sie im Rahmen einer Einwilligung hierauf gesondert hinweisen.

 

  • Besondere Kategorien personenbezogener Daten: § 26 Abs. 3 BSDG-E regelt die Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses. Nach Art. 9 Abs. 1 sind dies zunächst Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ferner betrifft dies auch die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Daten für Zwecke des Beschäftigungsverhältnisses ist nach Art. 26 Abs. 3 Satz 1 BDSG-E zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Zudem darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

 

  • Betriebsvereinbarungen: § 26 Abs. 4 BDSG-E stellt klar, dass Betriebsvereinbarungen und andere Kollektivvereinbarungen weiterhin die Verarbeitung von Beschäftigtendaten erlauben können. Dies ergibt sich auch aus Art. 88 Abs. 1 DSGVO und Erwägungsgrund 153 der Verordnung. Beim Abschluss solcher Kollektivvereinbarungen haben die Verhandlungspartner die Vorgaben von Art. 88 Abs. 2 DSGVO zu beachten, § 26 Abs. 4 Satz 1 BDSG-E. Diese Verpflichtung ergibt sich auch aus Art. 88 Abs. 2 DSGVO, insofern ist die geplante deutsche Regelung eher eine Klarstellung.

 

  • Anforderungen an Betriebsvereinbarungen: Tarifverträge, Betriebsvereinbarungen und andere Kollektivvereinbarungen zur Verarbeitung personenbezogener Daten von Beschäftigten müssen somit angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Insbesondere müssen sie entsprechende Regelungen im Hinblick auf die Transparenz der Verarbeitung enthalten. Sofern Betriebsvereinbarungen auch die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, betreffen, sind entsprechende Schutzmaßnahmen zu regeln. Ähnliches gilt für Betriebsvereinbarungen zu Überwachungssystemen am Arbeitsplatz. Auf Arbeitgeber und Betriebsräte kommt bis zum 25. Mai 2018 viel Arbeit zu. Denn § 26 BDSG-E enthält keine Ausnahmeregelungen für “Altfälle”, also für vor der DSGVO abgeschlossene Betriebsvereinbarungen. Zudem wäre eine solche Regelung wohl auch im Hinblick auf Art. 88 Abs. 2 DSGVO nicht zulässig. Arbeitnehmervertreter und Unternehmen sollten somit sehr zeitnah Gespräche zur Anpassung bestehender Betriebsvereinbarungen an die neuen Anforderungen der DSGVO aufnehmen. Auch bei neu abzuschließenden Kollektivvereinbarungen sollten sich die Beteiligten natürlich bereits an den Vorgaben von Art. 88 Abs. 2 DSGVO orientieren. Dies gilt unabhängig davon, ob der am 1.2.2017 vorgestellte Regierungsentwurf Bundestag und Bundesrat tatsächlich passiert.

 

  • Datenschutzgrundsätze: Der für die Verarbeitung personenbezogener Daten Verantwortliche muss sicherstellen, dass er die in Art. 5 DSGVO festgelegten Datenschutzprinzipien beachtet und umsetzt. Die betrifft die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und der Vertraulichkeit personenbezogener Daten sowie die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht. Diese Verpflichtung richtet sich sowohl an den Arbeitgeber und dessen verbundene Unternehmen, aber auch den Betriebsrat oder andere Betriebsverfassungsorgane, die personenbezogene Daten von Beschäftigten verarbeiten.

 

  • Beteiligungsrechte der Interessenvertretungen: § 26 Abs. 6 BDSG-E stellt klar, dass das BDSG-E die Beteiligungsrechte des Betriebsrats oder anderer Interessenvertretungen nicht berühren soll. Allerdings sind Informations- und Beteiligungsrechte des Betriebsrats oder anderer Interessenvertretungen grundsätzlich an den Vorgaben von Art. 6 Abs. 3 DSGVO und § 26 Abs. 1 Satz 1 BDSG-E zu messen, sofern sie die Verarbeitung personenbezogener Daten von Beschäftigten voraussetzen. Dies gilt etwa für Informationsrechte des Betriebsrats nach § 80 Abs. 1 BetrVG.

 

  • Nicht-automatisierte Verarbeitung von Beschäftigtendaten: § 26 Abs. 7 BDSG-E sieht vor, dass die vorstehend beschriebenen Regelungensind auch anzuwenden sind, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. § 26 BDSG-E gilt auch für besondere Kategorien personenbezogener Daten. Typische Fälle für die Anwendung dieser Vorschrift in der betrieblichen Praxis sind etwa das Befragen oder Beobachten von Beschäftigten. Die nicht-automatisierte beziehungsweise nicht dateimäßige Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses unterliegt somit stets den Vorgaben von § 26 BDSG-E. Dies entspricht im Ergebnis den Vorgaben des bisherigen § 32 Abs. 2 BDSG.

 

  • Begriff des Beschäftigten: Die DSGVO bestimmt nicht näher, was unter Beschäftigten zu verstehen ist. § 26 Abs. 8 BDSG-E legt fest, dass der datenschutzrechtliche Beschäftigtenbegriff neben Arbeitnehmern, Leiharbeitnehmern und Auszubildenden auch noch Heimarbeiter, Beamte, Richter, Soldaten und einige weitere Personengruppen umfassen soll.

 

Fazit und Handlungsempfehlungen

Beim Beschäftigtendatenschutz beschränkt sich der Gesetzentwurf der Bundesregierung auf ein Minimum. Die Vorschrift des § 26 BDSG-E selbst gibt keine Antworten auf die Frage, wann eine Verarbeitung von personenbezogenen Daten von Beschäftigtendaten “erforderlich” ist und wann nicht. Umso erfreulicher ist, dass die Gesetzesbegründung klarstellt, dass hier ein angemessener Interessenausgleich der betroffenen Grundrechtspositionen von Arbeitgeber und Beschäftigten gemeint ist. Die hier geforderte “praktische Konkordanz” entspricht im Wesentlichen den bisherigen Anforderungen der deutschen Rechtsprechung. Arbeitgeber, Beschäftigte und Betriebsräte sind gut beraten, sich weiter an den Vorgaben der Rechtsprechung zu § 32 BDSG zu orientieren. Dabei müssen sie aber auch die vielen sonstigen Vorgaben der DSGVO beachten, wie etwa die umfangreichen Unterrichtungspflichten nach Art. 12 ff. DSGVO.

Einwilligungen und Betriebsvereinbarungen bleiben gangbare Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses. Der Streit, ob und unter welchen Voraussetzungen ein Beschäftigter in die Verarbeitung seiner personenbezogenen Daten freiwillig eingewilligt hat, dürfte uns wohl erhalten bleiben. Allerdings wird er sich künftig um die Frage drehen, ob eine Einwilligung den Vorgaben von § 26 Abs. 2 BDSG-E genügt.

Betriebsvereinbarungen bleiben eine sichere und belastbare Regelung zur Verarbeitung von Beschäftigtendaten. Allerdings müssen sie ab dem 25.5.2018 den Anforderungen von Art. 88 Abs. 2 DSGVO genügen. Hier besteht bei vielen bereits abgeschlossenen Betriebsvereinbarungen einiger Handlungsbedarf. Aber auch bei neu abzuschließenden Kollektivvereinbarungen sollten sich die Beteiligten an den Anforderungen des neuen Beschäftigtendatenschutzes orientieren. Andenfalls hätte das erzielte Verhandlungsergebnis nur eine kurze Lebensdauer.

Zudem sollten Arbeitgeber und Betriebsräte verfolgen, wie das aktuelle Gesetzgebungsvorhaben der Bundesregierung zum Beschäftigtendatenschutz weiter voran schreitet. Bereits kurz nach dem Erscheinen des Entwurfes gab es teilweise heftige Kritik an dem Gesetzentwurf, etwa von Seiten der Datenschutzaufsichtsbehörden. Dem Vernehmen nach soll der Bundesrat über den Entwurf bereits am 10.3.2017 verhandeln.

Ein Interview mit Expertenmeinungen von Jan Philipp Albrecht, Dr. Stefan Brink und Tim Wybitul zu dem Entwurf können Sie hier abrufen. Den vollständigen Entwurf für ein neues BDSG und die sonstigen geplanten Vorschriften für ein DSAnpUG-EU finden Sie hier. Nachstehend finden Sie zudem den vollständigen Wortlaut von § 26 BDSG-E.

 

 

§ 26 BDSG-E

Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

(3) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Ab-satz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zu-lässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Ab-satz 2 gilt entsprechend.

(4) Die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.

(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grund-sätze für die Verarbeitung personenbezogener Daten eingehalten werden.

(6) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(8) Beschäftigte im Sinne dieses Gesetzes sind:

1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

2. zu ihrer Berufsbildung Beschäftigte,

3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

5. Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,

6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7. Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.