In § 32 BDSG-alt war der Beschäftigtendatenschutz speziell geregelt. Ein umfassendes Beschäftigtendatenschutzrecht fehlte hingegen. Um zu klären, wie das Thema im Rahmen der DSGVO zu sehen ist, haben sich auch die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) damit in ihrem aktuellen Kurzpapier zur DSGVO auseinandergesetzt.
ALTES RECHT = NEUES RECHT?
Die DGVO enthält hierzu keine konkreten, bereichsspezifischen Regelungen. Vielmehr richtet sich der Beschäftigtendatenschutz zunächst nach den allgemeinen Regelungen der DS-GVO, die für jedes Rechtsverhältnis gelten. Allerdings enthält Art. 88 Abs. 1 DS-GVO für den Beschäftigtendatenschutz eine sogenannte Öffnungsklausel. Sie ermöglicht den Mitgliedstaaten spezifische Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu erlassen, die den inhaltlichen Anforderungen des Art. 88 Abs. 2 DS-GVO entsprechen müssen. Ein bislang höheres nationales Datenschutzniveau kann daher in diesem Bereich aufrechterhalten werden. Der deutsche Gesetzgeber hat von dieser Öffnungsklausel durch Erlass des § 26 BDSG-neu Gebrauch gemacht. Für Bedienstete und Beschäftigte bei Behörden und öffentlichen Stellen des Bundes und der Länder – einschließlich der Kommunen – gelten besondere bundes- und landesspezifische Regelungen (z. B. beamtenrechtliche Vorschriften). Die Regelungen des § 26 BDSG finden dann keine Anwendung.
INHALT DES § 26 BDSG-NEU
§ 26 Abs. 1 Satz 1 BDSG-neu entspricht weitgehend der bisherigen Regelung des § 32 Abs. 1 Satz 1 BDSG-alt. Nach beiden Regelungen dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Insoweit gibt es keinen Unterschied zwischen der alten und der neuen Rechtslage.
In § 26 Abs. 1 Satz 1 und Abs. 4 BDSG-neu ist nunmehr ausdrücklich geregelt, dass die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Dazu gehören Tarifverträge sowie Betriebs- und Dienstvereinbarungen (vergleiche Erwägungsgrund 155 zur DS-GVO). Die Verhandlungspartner haben die inhaltlichen Vorgaben des Art. 88 Abs. 2 DS-GVO zu beachten. Demnach sind angemessene und besondere Maß-nahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DS-GVO absenken. Beschäftigtendaten dürfen auch verarbeitet werden, soweit es für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist; unabhängig davon, ob sich diese aus einem Gesetz, Tarifvertrag bzw. einer Betriebs- oder Dienstvereinbarung ergeben (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu).
Im Beschäftigungsverhältnis kommt eine freiwillige und damit wirksame Einwilligung aufgrund des bestehenden Über-/Unterordnungsverhältnisses regelmäßig nicht in Betracht. Allerdings kannte weder das BDSG-alt noch kennen das BDSG-neu bzw. die DS-GVO einen grundsätzlichen Ausschluss der Einwilligung im Beschäftigtenkontext. Die spezifische Regelung des § 26 Abs. 2 BDSG-neu enthält nunmehr jedoch restriktive Regelungen zur Frage der Freiwilligkeit einer Einwilligung. Beschäftigte können hiernach dann freiwillig in eine Datenverarbeitung einwilligen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Dasselbe gilt, wenn Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Im Hinblick auf diese gesetzlichen Regelvermutungen sind aufgrund des Über-/Unterordnungsverhältnisses jedoch hohe Anforderungen an den Zweck der Einwilligung zu stellen, falls eine Verarbeitung von Beschäftigtendaten im Einzelfall hierauf gestützt werden soll. Die Einwilligung wird in der Praxis deshalb überwiegend in Konstellationen möglich sein, die nicht das Arbeitsverhältnis als solches, sondern Zusatzleistungen des Arbeitgebers betreffen (wie z.B. bei der Gestattung privater Nutzung dienstlicher Fahrzeuge, Telefone und EDV-Geräte; Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung, Aufnahme in Geburtstagslisten). Für die Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Damit wird zugleich die Nachweispflicht des Arbeitgebers i. S. d. Art. 7 Abs. 1 DS-GVO konkretisiert. Hinzu kommen die Pflicht des Arbeitgebers zur Aufklärung in Textform über den Zweck der Datenverarbeitung und der jederzeit mögliche Widerruf durch die Beschäftigten sowie die damit verbundenen Folgen nach Art. 7 Abs. 3 DS-GVO.
Übernommen wurde § 32 Abs. 1 Satz 2 BDSG-alt als § 26 Abs. 1 Satz 2 BDSG-neu. Danach dürfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere dürfen Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein. Damit entspricht § 26 Abs. 1 Satz 2 BDSG-neu der bisherigen Gesetzeslage. Die Verarbeitung darf erst erfolgen, nachdem die Anhaltspunkte vorliegen. Die vorsorgliche Verarbeitung „auf Vorrat“ ist daher unzulässig. Arbeitgeber dürfen Daten also nicht für den Fall erheben, dass später eine Straftat im Beschäftigtenverhältnis begangen werden könnte. Zudem müssen sich die Maßnahmen gegen bestimmte verdächtigte Beschäftigte richten, nicht gegen größere Gruppen von Beschäftigten.
Die Verarbeitung besonderer Kategorien personenbezogener Daten (vgl. Art. 9 Abs. 1 DS-GVO) ist im Beschäftigtenkontext unter den Voraussetzungen des § 26 Abs. 3 Satz 1 BDSG-neu möglich. Gemäß § 26 Abs. 3 Satz 2 BDSG-neu kann sich auch eine wirksame Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO i. V. m. § 26 Abs. 2 BDSG-neu auf diese Datenarten erstrecken, sofern sich die Einwilligung ausdrücklich auf diese Daten bezogen hat. Gemäß § 26 Abs. 4 BDSG-neu können auch Kollektivvereinbarungen Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten darstellen. Dabei haben die Verhandlungspartner die inhaltlichen Vorgaben des Art. 88 Abs. 2 DS-GVO zu beachten. Einen Verweis auf Art. 5 DS-GVO (Verarbeitungsgrundsätze) enthält § 26 Abs. 5 BDSG-neu. Damit wird besonders hervorgehoben, dass bei der Verarbeitung von Beschäftigtendaten geeignete Maßnahmen zu ergreifen sind. In der Gesetzesbegründung wird erläutert, dass auf diese Weise zugleich den Erfordernissen des Art. 10 DS-GVO (Verarbeitung personenbezogener Daten über Straftaten) Rechnung getragen werden soll.
Gemäß § 26 Abs. 7 BDSG-neu gilt der gesamte § 26 auch für solche Daten, die nicht in einem Dateisystem gespeichert sind und werden sollen. Damit ist der sachliche Anwendungsbereich der DS-GVO vom Gesetzgeber erweitert worden. Auf das Vorhandensein einer zumindest strukturierten Sammlung von Daten (Dateisystem) i. S. d. Art. 4 Nr. 6 DS-GVO kommt es daher nicht an. Auch künftig unterfallen daher alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – papiergebundene sowie mündliche Formen, aber auch rein tatsächliche Handlungen – den datenschutzrechtlichen Bestimmungen (vgl. z. B. Urt. des BAG vom 20.06.2013, Az. 2 AZR 546/12). Dies können z. B. handschriftliche Notizen des Arbeitgebers über Beschäftigte sein.
Die Definition des Begriffs „Beschäftigte“ in § 26 Abs. 8 BDSG-neu entspricht grundsätzlich der Bisherigen. Ausdrücklich aufgenommen wurde klarstellend, dass die Beschäftigteneigenschaft von Leiharbeitnehmern auch im Verhältnis zum Entleiher – also nicht nur zum Verleiher – vorliegt.
ANWENDBARKEIT DER DSGVO IM ÜBRIGEN
Die Reichweite des § 26 BDSG-neu und damit die verbleibende Anwendbarkeit der DS-GVO im Beschäftigtenkontext ist im jeweiligen Einzelfall zu prüfen. Hierbei ist auch der Sinn und Zweck des Art. 88 DS-GVO i. V. m. § 26 BDSG-neu zu berücksichtigen.
Im Beschäftigtenkontext erfolgt – von Einzelfällen auf Basis einer freiwilligen Einwilligung abgesehen – die Erhebung und (Weiter-)Verarbeitung von Daten überwiegend gemäß § 26 BDSG-neu, also auf einer besonderen gesetzlichen Grundlage. Zudem erfolgt die Verarbeitung im Rahmen eines Über-/ Unterordnungsverhältnisses. Sowohl die Bewertung der Kriterien des Art. 6 Abs. 4 DS-GVO als auch die Inteessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO wird daher grundsätzlich zu dem Ergebnis kommen müssen, dass auch für neue Verwendungszwecke noch ein innerer Zusammenhang zum Beschäftigtenverhältnis im weitesten Sinne bestehen muss. Eine Verwendung zu gänzlich anderen Zwecken (z. B. Verkauf an Dritte zu Werbezwecken) wird demnach ausgeschlossen sein; ein solcher Zweck ist mit dem ursprünglichen unvereinbar bzw. es über-wiegen in solchen Konstellationen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen. Im Übrigen ist in diesem Zusammenhang auch § 24 DSG-neu („Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen“) zu beachten.
RECHTSFOLGEN BEI VERSTOSS
Ein Verstoß gegen die Pflichten des § 26 BDSG-neu ist gemäß Art. 83 Abs. 5 lit. d DS-GVO mit einem Bußgeldrahmen von bis zu 20 Millionen Euro (bzw. 4 % des weltweiten Jahresumsatzes) sanktioniert. Strafrechtliche Regelungen enthält § 42 BDSG-neu.
AUSBLICK
Der Gesetzgeber hat sich vorbehalten, konkretere Vorschriften zum Beschäftigtendatenschutz zu er-lassen. Ein solches Beschäftigtendatenschutzgesetz könnte u. a. das Fragerecht bei der Einstellung von Bewerberinnen und Bewerbern, die Grenzen zulässiger Kontrollen von Beschäftigten, die Begrenzung von Lokalisierungen (GPS) und die Verwendung biometrischer Authentifizierungs- und Autorisierungssysteme zum Gegenstand haben.