Skip to main content

Neuregelung des Beschäftigtendatenschutz nach der DSGVO

Der Beschäftigtendatenschutz wird durch die Öffnungsklausel der DSGVO (Art. 88 DSGVO) noch immer dem nationalen Gesetzgeber überlassen. Dies ergibt sich zum einen aus Art. 88 DSGVO und zum anderen aus dem Erwägungsgrund 155 der DSGVO.

Nach Art. 88 DSGVO können die Mitgliedsstaaten weiterhin Rechtsvorschriften oder Kollektivvereinbarungen (Vgl. Erwägungsgrund 155 DSGVO) erlassen, sofern diese zur Gewähleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext erhoben werden Zu beachten ist jedoch, dass Kollektivvereinbarungen nicht von Staaten vereinbart werden können. Insofern handelt es sich bei der Formulierung wohl um ein redaktionelles Versehen.

Klar ist jedoch, dass insbesondere das Betriebsverfassungsgesetz mit seinen Regelungen zu den Mitbestimmungsrechten, bspw. in §§ 87, 99 oder 112 BetrVG von dem Anwendungsbereich der Öffnungsklausel und damit auch die Betriebsvereinbarung umfasst ist.

Art. 88 II DSGVO bestimmt weiter, dass die jeweils geschaffenen Bestimmungen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten müssen. Ein ähnlicher Maßstab findet sich bereits in § 75 BetrVG. Danach haben die Betriebsparteien die freie Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern.

Zur Umsetzung dieser Vorgaben hat der Gesetzgeber §26 BDSG-neu geschaffen. Dieser greift die aus der Vorgängerregelung des §32 BDSG bereits entwickelten Grundsätze auf und beinhaltet darüber hinausgehende Bestimmungen zur Einhaltung der soeben dargestellten Vorgaben durch die DSGVO.

Bekannte Regelungen

Insoweit ist §32 I S. 2 BDSG vollständig in §26 I S. 1 BDSG-neu aufgegangen. Danach dürfen personenbezogene Daten für Zwecke des Beschäftigungsverhältnis verarbeitet werden, wenn die für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnis erforderlich ist. Ebenfalls übernommen wurden die Voraussetzungen für die Verarbeitung von personenbezogenen Daten zur Aufdeckung von Straftaten von Beschäftigten (Vgl. §26 I S. 2 BDSG-neu und §32 I S. 2 BDSG).

Findet die Datenverarbeitung nicht automatisiert statt, regelt dann §26 VII BDSG-neu, dass die Datenverarbeitung nach den Grundsätzen der Absätze 1 – 6 selbst dann anzuwenden sind, wenn die Daten nicht in einem Dateisystem gespeichert werden oder gespeichert werden sollen. Auch diese Regelung wurde §32 II BDSG entnommen. 

Hinsichtlich der Beteiligungsrechte ergeben sich ebenfalls keine Neuerungen (Vgl. §26 VI BDSG-neu und §32 III BDSG).

Neue Aspekte

Neu ist, dass personenbezogene Daten von Beschäftigten auch dann verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (Vgl. 26 I S. 1 BDSG-neu). Damit müssen sich die gesetzlichen oder gesetzesähnlichen Regelungen in Zukunft am Maßstab der Erforderlichkeit orientieren. 

Die maßgeblichen Kriterien für eine Beurteilung der Freiwilligkeit einer abgegebenen Einwilligung ergeben sich nun direkt aus §26 II BDSG. Die Rechtmäßigkeit der Einwilligung ist demnach unter den ihr zugrundeliegenden Umständen und zu beurteilen. Auch bestehende Abhängigkeiten sind in diesem Kontext relevant. Des Weiteren ist ausdrücklich geregelt, dass sich die Freiwilligkeit auch aus einem rechtlichen oder wirtschaftlichen Vorteil oder aus gleichgelagerten Interessen von Arbeitgeber und Beschäftigten ergeben kann (Art 26 II S. 2 BDSG-neu). Damit wird das Problem der Freiwilligkeit von Einwilligungen zumindest entschärft.

Eine Einwilligungserklärung muss zudem schriftlich (Schriftformerfordernis, §26 II S. 3 BDSG-neu) eingeholt werden. Über die Möglichkeit eines Widerruf und den Zweck der Datenverarbeitung muss der Arbeitgeber den Beschäftigten in Textform aufklären (Art. 26 II BDSG-neu).

Werden besondere Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnis erhoben, ist darauf zu achten, dass diese nur dann rechtmäßig erhoben werden können, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt (§26 III BDSG-neu). Eine eingeholte Einwilligung des Betroffenen muss sich ausdrücklich auf diese Daten beziehen. Insoweit entspricht dies der Regelung des §4a III BDSG.

Nach dem BDSG-neu gelten als Beschäftigte von nun an auch Leiharbeiter im Verhältnis zum Entleiher. Auch fallen dann Freiwillige unter das Gesetz, die einen Dienst nach dem Bundesfreiwilligengesetz leisten.

Was gilt für Betriebsvereinbarungen?

Wie bereits dargestellt, können personenbezogene Daten im Beschäftigungsverhältnis auch auf Grundlage von Kollektivvereinbarungen Verarbeitet werden. Nach der bisherigen Rechtslage war dies nur über eine entsprechende Rechtsprechung in Verbindung mit §4 BDSG möglich. Die Möglichkeit einer solchen Verarbeitung ergibt sich zwar bereits aus Art. 88 DSGVO ivm. Erwägungsgrund 155 DSGVO. Eine ausdrückliche Regelung in §26 IV BDSG-neu ist aber vor dem Hintergrund der ergangenen deutschen Rechtsprechung begrüßenswert. Wichtig hierbei ist jedoch, dass sich die Betriebsvereinbarung am Maßstab des Art. 88 II DSGVO messen lassen muss (s.o.).

§26 V BDSG-neu stellt außerdem klar, dass der Verantwortliche geeignete Maßnahmen ergreifen muss, um sicherzustellen, dass die in Art. 5 DSGVO dargelegten Grundsätze eingehalten werden (Grundsätze für die Verarbeitung personenbezogener Daten). Im Ergebnis müssen die Maßnahmen gegenüber dem Betroffenen daher in transparenter Weise verarbeitet werden. Anders als bisher muss daher ausdrücklich in den Betriebsvereinbarungen auf die Rechte der betroffenen Arbeitnehmer eingegangen werden. Schon allein dieser Punkt macht eine Anpassung aktueller Betriebsvereinbarungen unumgänglich.

Folgende Punkte sind beim Abfassen einer neuen bzw. Anpassung einer aktuellen Betriebsvereinbarung zu regeln und zu berücksichtigen:

  • Informationspflicht bei Erhebung von Daten (leicht zugänglich und verständliche Darstellung)
    • Auskunftsrechte der betroffenen Personen
  • Rechte auf Berichtigung, Löschung und Sperrung und die damit verbundenen Mitteilungspflichten
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht und
  • Rechte bei Profilingmaßnahmen

Dies bedeutet für die Betriebsparteien, dass vor allem Art. 12 – 19 und 21 DSGVO in der Betriebsvereinbarung angesprochen werden sollten.

Profiling

Anders als das BDSG enthält die DSGVO eine eigenständige Definition zum so genannten Profiling in Art. 4 Nr. 4 DSGVO. Die rechtlichen Grenzen des Profilings werden ferner durch Art. 22 DSGVO geregelt. Dieser setzt die in Erwägungsgrund 71 der DSGVO gemachten Vorgaben zum Profiling um. Mit ihm soll verhindert werden, dass die betroffene Person "einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich – Profiling – beruhenden Entscheidung unterworfen (wird), die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Insofern ist nach wie vor im Arbeitnehmerdatenschutz auch das Recht auf informationelle Selbstbestimmung von Bedeutung. Die DSGVO enthält keine ausdrückliche Regelung darüber, wann eine Datenverarbeitung zulässig sein soll, die nicht „ausschließlich“ automatisch erfolgt, jedoch enthält Erwägungsgrund 71 diesbezügliche Hinweise. Demnach soll das datenverarbeitende Unternehmen geeignete mathematische oder statistische Verfahren für das Profiling verwenden sowie technische und organisatorische Maßnahmen treffen um eine transparente, richtige und diskriminierungsfreie Datenverarbeitung zu ermöglichen.

Art. 22 II DSGVO sieht zudem Ausnahmen vom Profiling vor, wenn dies für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist oder die Entscheidung aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten. Sind Profiling Maßnahmen daher in Betriebsvereinbarungen wirksam einbezogen, kann eine Verarbeitung personenbezogener Daten auch im Beschäftigtenverhältnis rechtlichen Bestand haben. Die Einholung einer rechtmäßigen Einwilligung macht das Profiling darüber Hinaus ebenfalls möglich (Art. 22 II c) DSGVO).

Wenn dir der Artikel gefallen hat, teile ihn einfach: