Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Die EU-Datenschutzgrundverordnung (DSGVO) enthält viele Öffnungsklauseln für die nationalen Parlamente, mit Art. 88 Abs. 1 DSGVO auch eine für den Beschäftigtendatenschutz. Eine nationale Konkretisierung der Regeln ist erlaubt, sofern das Schutzniveau der DSGVO nicht unterschritten wird. Der deutsche Gesetzgeber hat von dieser Option Gebrauch gemacht, indem er den neuen § 26 Bundesdatenschutzgesetz (BDSG) geschaffen hat. Generell werden künftig bei der Prüfung datenschutzrechtlicher Sachverhalte – nicht nur im Bereich des Mitarbeiterdatenschutzes – DSGVO und BDSG-neu parallel zu lesen sein. Beide treten am 25. Mai 2018 in Kraft.

Zentrale Norm § 26 BDSG

Bei § 26 BDSG handelt es sich um die zentrale Norm des künftigen Mitarbeiterdatenschutzes. Der Beschäftigtenbegriff wird in Abs. 8 definiert: Hierzu gehören auch Leiharbeitnehmer, Auszubildende, Arbeitnehmer in Wiedereingliederung (sogenannte Rehabilitanden) und auch Bewerber.

Die Norm regelt die Verarbeitung personenbezogener Daten

  • für Zwecke des Beschäftigungsverhältnisses,
  • zur Aufdeckung von Straftaten,
  • von besonderen Kategorien,
  • auf Grundlage einer Einwilligung und
  • auf Grundlage einer Kollektivvereinbarung.

Die Verarbeitung von Mitarbeiterdaten für andere Zwecke als die des Beschäftigungsverhältnisses kann – wenn überhaupt – auf die allgemeinen Erlaubnisvorschriften der DSGVO gestützt werden. Erfasst sind somit in jedem Fall Verarbeitungsvorgänge, die für die Entscheidung über die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Auch erfasst sind gemäß Abs. 1 Vorgänge, die im Verhältnis zum Betriebsrat zur Ausübung oder Erfüllung von Rechtsvorschriften erforderlich sind, beispielsweise wenn dem Betriebsrat im Rahmen einer Anhörung zur Kündigung personenbezogene Daten zukommen.

Wann ist eine Vereinbarung freiwillig?

Bei Einwilligungen stellt sich – aufgrund der im Arbeitsverhältnis nach wie vor anzunehmenden Abhängigkeit – das Problem der Freiwilligkeit. Sie ist Voraussetzung für die Wirksamkeit der Einwilligung. Eine Einwilligung ist deshalb nur dann als freiwillig zu werten, wenn durch sie der Arbeitnehmer einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder wenn für beide Parteien gleichgelagerte Interessen verfolgt werden. Mögliche Beispiele sind die Einführung eines Gesundheitsmanagements, die Erlaubnis zur privaten Nutzung betrieblicher IT-Systeme oder die Veröffentlichung von Fotos im Intranet. Als unfreiwillig ist eine Einwilligung hingegen dann zu werten, wenn sie sich insgesamt für den Arbeitnehmer nachteilig auswirkt.

Einwilligungen sind in Schriftform einzuholen, „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Schriftliche oder elektronische Einverständniserklärungen dürften in vielen Betrieben ohnehin der Regelfall sein. In jedem Fall sollte der Arbeitgeber den Nachweis führen können, dass die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erklärt hat, dass sie mit der Verarbeitung ihrer Daten einverstanden ist. Art. 7 Abs. 3 DSGVO sieht ein jederzeitiges Widerrufsrecht (mit Wirkung nur für die Zukunft) vor, auf welches der Betroffene hinzuweisen ist.

Verarbeitung besonderer Daten

§ 26 Abs. 3 BDSG-neu regelt die Datenverarbeitung besonderer Kategorien personenbezogener Daten, wie zum Beispiel Daten über die ethnische Herkunft, weltanschauliche Überzeugungen, genetische oder Gesundheitsdaten. Die Verarbeitung derartiger Daten ist zulässig, wenn dies zur Ausübung von Rechten oder zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder dem Sozialschutz erforderlich ist. So werden gesundheitsbezogene Daten stets erhoben, wenn ein langzeiterkrankter Mitarbeiter eine Wiedereingliederung durchläuft, wobei hier die Verarbeitung meist durch eine Einwilligung gedeckt ist.

Die Verarbeitung von Beschäftigtendaten aufgrund von Kollektivvereinbarungen (Tarifverträge, Betriebsvereinbarungen) wird in § 26 Abs. 4 BDSG-neu geregelt. Dies entspricht der bisherigen Rechtsprechung des Bundesarbeitsgerichts. Dieses sieht Kollektivvereinbarungen als „andere Rechtsvorschriften“ im Sinne des § 4 BDSG-alt. Durch Verweis auf Art. 88 Abs. 2 DSGVO ist klargestellt, dass Arbeitgeber die Würde, berechtigte Interessen und Grundrechte der Mitarbeiter zu wahren haben, vor allem im Hinblick auf die Transparenz der Verarbeitung ihrer Daten. Arbeitgeber können den an vielen Stellen der DSGVO betonten Transparenzgrundsatz einhalten, indem sie in möglichst einfacher Sprache möglichst genau beschreiben, welche Daten sie erfassen und wie diese verarbeitet werden. Zudem muss das Unternehmen die Mitarbeiter über Risiken, Vorschriften, Garantien und ihre Rechte im Zusammenhang mit der Datenverarbeitung aufklären.

Hinzuweisen ist insbesondere auf die in der DSGVO festgehaltenen Rechte von Betroffenen (Art. 13ff): Informationsrecht, Auskunftsrecht, Recht auf Berichtigung, Recht auf Datenlöschung, Recht auf Einschränkung der Verarbeitung und Recht auf Datenübertragbarkeit. Nach derzeit herrschender Literaturmeinung genügt dazu im Unternehmen die kollektive Information des Betriebsrats als „Informationsmediär“. Ein allgemeines Muster zur Mitarbeiterinformation wird noch zur Verfügung gestellt.

Handlungsempfehlungen für Unternehmen

Bestandsmitarbeiter, neue Mitarbeiter und auch bereits Bewerber sind über die Verarbeitung ihrer Daten sowie ihre damit verbundenen Rechte zu informieren. Hinsichtlich § 26 BDSG-neu kann zunächst auf die zu § 32 BDSG-alt entwickelten Rechtsgrundsätze zurückgegriffen werden. Einwilligungen sollten schriftlich eingeholt, Beschäftigte in Textform über Zweck der Datenvereinbarung und über ihr Widerrufsrecht informiert und alle möglichen Zwecke erfasst werden. Verarbeitungszwecke sollten dokumentiert, bestehende Pseudonymisierungs- und Löschkonzepte überprüft werden.

Wird der Datenschutz verletzt, ist zu prüfen, ob die Aufsichtsbehörde zu informieren ist (vgl. Art. 33f DSGVO). Anpassungsbedarf bei Betriebsvereinbarungen besteht nur, wenn die konkrete Vereinbarung zur Erhebung und Verarbeitung personenbezogener Daten führt und diese dabei die einzige Grundlage für diese Datenverarbeitung ist. Dies dürfte in der Praxis selten der Fall sein. In der Regel dient die Datenerhebung/-verarbeitung der Durchführung des Arbeitsverhältnisses und kann folglich auf § 26 Abs. 1 S. 1 BDSG-neu gestützt werden. Unproblematisch sind damit Betriebsvereinbarungen, die lediglich Ansprüche der Mitarbeiter festlegen sowie solche, die eine Datenerhebung/-verarbeitung für Zwecke des Beschäftigungsverhältnisses regeln.

Matthias Altmeppen ist Syndikusrechtsanwalt beim Genossenschaftsverband Bayern.

Artikel lesen
Rat