Datenschutz

A.  AKTUELL: Datenschutz-Grundverordnung und neues BDSG

I.    Regelung zum Beschäftigtendatenschutz mit Regelungsauftrag

Neu ist in der Datenschutz-Grundverordnung vor allem auch, dass sie für den Beschäftigtendatenschutz nähere, allgemeine Vorgaben macht. Um detaillierte Vorgaben zu spezifischen Bereichen des Arbeitslebens, wie sie als „Beschäftigtendatenschutzgesetz“ seit Langem von vielen gefordert wird, handelt es sich dabei jedoch leider nicht. Vergleicht man die verschiedenen Entwurfsfassungen, stellt man fest, dass viele konkrete Vorschläge des Europäischen Parlaments, z.B. ein ausdrückliches Verbot der Videoüberwachung in Umkleideräumen, der heimlichen Videoüberwachung oder von schwarzen Listen von Arbeitnehmern aufgrund von Gewerkschaftszugehörigkeit – nicht im Einzelnen aufgegriffen wurde. Vielmehr wurden diese Vorschläge auf eine allgemeine Vorgabe zusammengeschmolzen.

Die Datenschutz-Grundverordnung besagt, dass Deutschland und die anderen EU-Mitgliedsstaaten zum Beschäftigtendatenschutz selbst eigene, „spezifischere“ Vorschriften als die übrigen Vorschriften der Datenschutz-Grundverordnung erlassen dürfen (Art. 88 Abs. 1 DSGVO).
 
Neu ist ebenfalls, dass die Datenschutz-Grundverordnung ausdrücklich festlegt, dass diese spezifischeren Vorschriften zur Verarbeitung von Beschäftigtendaten auch in Kollektivvereinbarungen, d.h. in Tarifverträgen oder Betriebsvereinbarungen, bestehen können. Das ist eine gute Nachricht für Betriebsräte, die zum Schutz der Daten der Beschäftigten ihres Betriebs bereits Betriebsvereinbarungen verhandelt haben oder abschließen wollen.

Betriebsvereinbarungen zum Schutz von Beschäftigtendaten sind ausdrücklich weiter möglich.

Die Datenschutz-Grundverordnung nennt einige Verarbeitungszwecke, zu denen spezifischere Gesetze, Tarifverträge oder Betriebsvereinbarungen erlassen bzw. abgeschlossen werden können. Verarbeitungszwecke zu denen spezifischere Vorschriften möglich sind, sind u.a. die der Einstellung, der Erfüllung des Arbeitsvertrags, der Planung und Organisation der Arbeit oder der Beendigung der Arbeitsverhältnisses; diese Zwecke sind in ähnlicher Formulierung bereits aus der bisherigen deutschen Vorschrift zum Beschäftigtendatenschutz bekannt (§ 32 BDSG). Mögliche Verarbeitungszwecke sind aber auch – konkreter als in der bisherigen deutschen Regelung – die Gleichheit und Diversität am Arbeitsplatz, die Gesundheit und Sicherheit am Arbeitsplatz oder der Schutz des Eigentums der Arbeitgeber oder der Kunden, oder auch des „Managements“. Diese Aufzählung ist nicht abschließend.

Allgemeine Vorgaben, wie die spezifischeren Vorschriften zum Beschäftigtendatenschutz ausgestaltet sein müssen, enthält die Datenschutz-Grundverordnung ebenfalls (Art. 88 Abs. 2 DSGVO): Die spezifischeren Vorschriften müssen „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte“ der betroffenen Person umfassen.

Auch Betriebsvereinbarungen müssen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der Arbeitnehmer enthalten.

Mit der menschlichen Würde ist eines der Grundrechte angesprochen, die den Beschäftigtendatenschutz notwendig machen. Die Gesetze, Tarifverträge oder Betriebsvereinbarungen müssen zu deren Wahrung konkrete Maßnahmen regeln. Die konkreten Maßnahmen müssen den weiteren Grundrechten der Beschäftigten und ihren weiteren berechtigten Interessen angemessen Rechnung tragen. Was das im Einzelnen genau heißt, werden Anwälte, Gerichte, Datenschutzbehörden und sonstige Fachautoren vor allem nach Maßgabe des Grundrechts auf Schutz personenbezogener Daten (Art. 8 EU-Grundrechtecharta) klären müssen. Derartige besondere Maßnahmen sollen insbesondere in Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und Überwachungssysteme am Arbeitsplatz getroffen werden.

Diese Vorgaben machen bereits jetzt deutlich, dass die spezifischeren Vorschriften nicht beliebig nach unten von den übrigen Vorschriften der Datenschutz-Grundverordnung abweichen dürfen.

Betriebsvereinbarungen müssen konkretere Regelungen als die Datenschutz-Grundverordnung treffen und dabei mindestens das Schutzniveau der übrigen Datenschutz-Grundverordnung bieten.

Dies gilt übrigens auch für Gesetze und Tarifverträge.

Die Datenschutz-Grundverordnung konkretisiert nach dem europäischen Gesetzgeber das Recht auf Schutz personenbezogener Daten. Das gleiche Schutzniveau muss auf Vorschriften Anwendung finden, die die Vorschriften der Datenschutzverordnung noch weiter konkretisieren bzw. sie noch spezifischer machen.

Deutschland hat die sich durch die Ermächtigungsvorschrift in der Verordnung bietende Gelegenheit leider nicht ergriffen, um ein Beschäftigtendatenschutzgesetz in Angriff zu nehmen. Grob gesagt haben Bundestag und Bundesrat die knappe Vorschrift zur Datenverarbeitung im Beschäftigtenverhältnis aus dem alten BDSG in das neue hinübergerettet und etwas verlängert.
Sie findet sich fast wortgleich im neuen BDSG wieder (dort jetzt § 26 BDSG-neu). Hinzugekommen ist die Zulässigkeit der Datenerhebung zur Ausübung oder Erfüllung der Rechte und Pflichten eines Betriebs- oder Personalrats.

Das neue BDSG sieht die Zulässigkeit der Datenübermittlung an den Betriebsrat ausdrücklich vor, wenn dies zur Ausübung seiner Rechte oder Erfüllung seiner Pflichten erforderlich ist.

Erwähnenswert sind zudem eine ausdrückliche Regelung im neuen § 26 BDSG zur Einwilligung im Arbeitsverhältnis und eine Aufzählung, wer alles Beschäftigte sind, u.a. auch arbeitnehmerähnliche Personen (z.B. bestimmte freie Mitarbeiter, die einem Arbeitnehmer vergleichbar schutzbedürftig sind).

RSS abonieren Drucken Per Email empfehlen