1 Zielsetzung, Anwendungsbereich, Sanktionen

Die DSGVO harmonisiert das Datenschutzrecht der Mitgliedstaaten anders als bisher umfassend und unmittelbar, vgl. auch Kraska, AuA 5/16, S. 280. In der ganzen EU gilt dann ein neues, einheitliches Datenschutzrecht. Dadurch werden künftig Regelungen aus dem deutschen BDSG wegfallen, im Gegenzug enthält die DSGVO zahlreiche neue Rechte und Pflichten. So müssen neue Prozesse aufgesetzt werden, etwa zur Information von Betroffenen, Sicherstellung der Datenportabilität oder zur Datenschutz-Folgenabschätzung. Beim Anwendungsbereich ändert sich für Unternehmen wenig. Erfasst werden weiterhin alle voll- oder teilautomatisierten Datenverarbeitungsprozesse.

Eine wesentliche Änderung durch die DSGVO liegt in der drastischen Verschärfung der vorgesehenen Sanktionen. Sah das BDSG bei Verstößen Bußgelder bis maximal 300.000 Euro vor, können unter der DSGVO nun wesentlich empfindlichere Strafen bis zu 20 Millionen Euro bzw. 4 % des Vorjahresumsatzes fällig werden. Diese Verschärfung wird flankiert durch neue Rechte des Betroffenen, Informationen über eine rechtswidrige Datenverarbeitung zu erhalten, und darauf basierende Ansprüche zur gerichtlichen Durchsetzung. Materielle und immaterielle Schäden sind zu ersetzen (Art. 82 DSGVO). Es ist dann nur noch eine Frage der Zeit, bis das gebündelt oder massenhaft erfolgt.

man in gray sweatshirt sitting on chair in front of iMac
Foto von Studio Republic

2 Die duale Regelungsstruktur

Die Prämisse eines einheitlichen europäischen Datenschutzrechts muss gleich wieder ein Stück relativiert werden. Der europäische Gesetzgeber hat den Mitgliedstaaten mit sog. Öffnungsklauseln Gestaltungsspielräume eingeräumt, die sie mit nationalen Regelungen ausfüllen können. Das mehr oder weniger liebgewonnene BDSG wird deshalb eine Wiedergeburt als Ergänzungsgesetz feiern, in dem sich die deutschen Regelungen zu den Öffnungsklauseln sowie ergänzende Vorgaben außerhalb der DSGVO finden.

Wer also künftig seine datenschutzrechtlichen Rechte und Pflichten abschätzen möchte, muss dazu in (mindestens) zwei Gesetze – DSGVO und BDSG – schauen. Hinzukommen können sektorale Sonderregelungen, etwa für Telemedien oder Telekommunikation.

Ein Regierungsentwurf zum neuen Bundesdatenschutzgesetz (BDSG-E) wurde Anfang Februar 2017 veröffentlicht und dürfte schon bald – ggf. mit Änderungen – beschlossen werden. Zu befürchten ist, dass die beiden Gesetze nicht nahtlos ineinandergreifen und sich somit erst mit einiger Anstrengung ein Gesamtbild ergibt. Das gilt besonders für den Arbeitnehmerdatenschutz. Bereits 2010 gab es einmal den Versuch, den Datenschutz im Beschäftigungsverhältnis detailliert zu regeln (s. AuA - Sonderausgabe 2010), was aber im politischen Geflecht stecken blieb.

Angesichts der anstehenden Bundestagswahlen ist ein weiteres Mal damit zu rechnen, dass Rechte und Pflichten abstrakt vorgegeben werden, ohne den Unternehmen praxistaugliche Hinweise zu geben, wie sie das im Einzelnen umsetzen sollen. Der Gesetzgeber duckt sich wortreich weg und „behält sich vor, Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb dieser Vorschrift oder im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln.“

3 Neuer Datenschutz im Beschäftigtenverhältnis

Das Nebeneinander von DSGVO und BDSG kommt gerade im Betrieb zum Tragen. Denn eine der wichtigsten Öffnungsklauseln ist Art. 88 DSGVO, der dem nationalen Gesetzgeber eigene Regelungen des Beschäftigtendatenschutzes ermöglicht. Die DSGVO regelt also die Verarbeitung von Beschäftigtendaten nicht selbst, sondern überlässt dies – vermeintlich – auch weiterhin den Mitgliedstaaten.

Erlaubt sind den nationalen Gesetzgebern aber lediglich „spezifischere Vorschriften“, soweit gewährleistet ist, dass „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe ... und die Überwachungssysteme am Arbeitsplatz“ bestehen. Der den Mitgliedstaaten verbleibende Korridor ist damit eng und gewunden.

Der deutsche Gesetzgeber hat seine Regelungsbefugnis Anfang 2017 in § 26 BDSG-E umgesetzt (die Einschätzung stützt sich auf die letzte Fassung des Entwurfs vom 2.2.2017, BR-Drs. 110/17). Zuvor zirkulierten zwei Referentenentwürfe, die beide auf Kritik bei Datenschützern gestoßen waren, weil die eingeräumten Öffnungsklau- seln überdehnt und die von der DSGVO eingeräumten Rechte eingeschränkt worden seien.

Die Regelung zum Beschäftigtendatenschutz erhielt im Zuge der Nachbesserungen einen größeren Umfang, allerdings reichlich oberflächlich. Die geplante Neuregelung unterscheidet sich von der bisherigen Regelung in einigen Punkten. Daneben gelten außerdem die zahlreichen neuen Vorgaben der DSGVO gleichermaßen. In Summe ergibt sich dadurch für Unternehmen eine Vielzahl von Änderungen.

4 Erlaubt bleibt, was erforderlich ist

Derzeit erlaubt ist „die erforderliche Datenverarbeitung zur Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses“. Das bleibt im neuen § 23 BDSG-E praktisch gleich. Die zentrale Beurteilung der Erforderlichkeit ist danach im Rahmen einer Abwägung des Verarbeitungsinteresses des Arbeitgebers mit den persönlichkeitsrechtlichen Interessen des betroffenen Mitarbeiters zu bestimmen. In der DSGVO werden auch weitere zulässige Zwecke, wie Management, Planung und Organisation, ausdrücklich genannt, die aber letztendlich ebenfalls nur der Durchführung des Arbeitsverhältnisses dienen.

Eine Datenverwendung ist erforderlich, wenn

  • sie zur Erfüllung des Arbeitgeberinteresses geeignet ist,
  • unter verschiedenen gleichermaßen effektiven Mitteln das mildeste darstellt und
  • dem Mitarbeiter die Verarbeitung zumutbar ist.

Für die Verarbeitung besonderer Kategorien von personenbezogenen Daten, aus denen sich bspw. die Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen ergeben, ist die durchzuführende Abwägung in § 26 Abs. 3 BDSG-E ausdrücklich festgeschrieben.

Die Verarbeitung der Daten zur Aufdeckung von Straftaten ist auch weiterhin unter den gleichen Voraussetzungen wie bisher erlaubt. Zu dokumentierende tatsächliche Anhaltspunkte müssen den Verdacht einer Straftat des Betroffenen begründen. Die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzwürdige Interesse der Beschäftigten darf nicht überwiegen.

5 Einwilligung im Beschäftigungsverhältnis

Neu ist die Möglichkeit, Einwilligungen im Arbeitsumfeld sinnvoll einsetzen zu können. Diese Frage war nach deutschem Recht lange umstritten, da dem Arbeitnehmer unterstellt wurde, im Beschäftigungsverhältnis nicht freiwillig handeln zu können. Die DSGVO dagegen sieht dafür einen Spielraum. Der deutsche Gesetzgeber greift dies im zweiten Entwurf des geplanten BDSG auf.

Der neue § 26 Abs. 2 BDSG-E erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung. Er nennt außerdem die Kriterien für deren Freiwilligkeit. Zu bewerten sind die bestehende Abhängigkeit des Mitarbeiters sowie die Umstände der Erteilung. Freiwilligkeit kann insbeson- dere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder sie und der Arbeitgeber gleichgelagerte Interessen verfolgen.

Beispiele

  • Einführung eines betrieblichen Gesundheitsmanagements
  • Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen Nutzung von Fotos für das Intranet oder Geburtstagslisten

Mit der Neuregelung wird es aber vielleicht auch möglich sein, dass Beschäftigte im Rahmen von Bonus- oder ähnlichen Systemen ihre Persönlichkeitsrechte zu ihrem eigenen wirtschaftlichen Vorteil weitaus stärker kommerzialisieren können, als es bisher der Fall war. Eine Kopplung derart, dass die Durchführung des Vertrags von einer zusätzlichen Einwilligung des Mitarbeiters abhängig gemacht wird, ist unzulässig (Art. 7 Abs. 4 DSGVO).
Neben der Art des verarbeiteten Datums und der Eingriffstiefe ist z. B. auch der Zeitpunkt der Einwilligungserteilung wichtig. So wird man etwa vor Abschluss eines Arbeitsvertrags eine größere Drucksituation unterstellen müssen.

Der Arbeitgeber muss nachweisen, dass der Arbeitnehmer eingewilligt hat (Art. 7 Abs. 1 DSGVO). Bei Kombination mit anderen Erklärungen muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und klar unterscheidbar sein. Die Einwilligung bedarf im Regelfall der Schriftform. Soll sie auch für besondere Datenkategorien gelten, muss dies ausdrücklich erwähnt werden. Das Unternehmen muss den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht in Textform aufklären.

7 Allgemeine Neuerungen durch die DSGVO

Die DSGVO enthält auch zahlreiche grundsätzliche Neuerungen, die bei der Verarbeitung von Beschäftigtendaten gleichermaßen zu berücksichtigen sein werden. Den in Art. 5 DSGVO niedergelegten Verarbeitungsprinzipien wird auch im Beschäftigtenverhältnis künftig eine besondere Bedeutung zukommen.

Sie lauten in Kürze:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz;
  • Zweckbindung;
  • Datenminimierung;
  • Richtigkeit;
  • Speicherbegrenzung;
  • Integrität und Vertraulichkeit;
  • Rechenschaftspflicht.

§ 26 Abs. 5 BDSG-E nimmt darauf ausdrücklich Bezug und räumt den Grundsätzen, d. h. auch Datenminimierung und Rechenschafspflicht, einen prominenten Stellenwert ein. Einige der Grundsätze entsprechen bereits den bisherigen Leitlinien des BDSG, andere stellen Weiterentwicklungen dar. Die wesentliche Neuerung besteht darin, dass die Grundsätze zum allgemeinen Prinzip der Datenverarbeitung erhoben werden. Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss ihre Erfüllung nachweisen können.

Die Veränderung lässt sich am Zweckbindungsgrund- satz veranschaulichen, wonach Daten nur für einen genau definierten Zweck erhoben werden dürfen. Er war bislang im BDSG eher versteckt geregelt (z. B. § 4 Abs. 3 BDSG). Unter bestimmten Bedingungen konnte man den Zweck ändern (§ 28 Abs. 2 BDSG). Gemäß DSGVO kommt es zukünftig auf die Zweckvereinbarkeit an (Art. 6 Abs. 4 DSGVO). Alle Datenerhebungsprozesse sind dafür so zu gestalten, dass jedem Datum ein eindeutiger Zweck zugeordnet ist. Außerdem sollte man Mechanismen etablieren, die eine Zweckentfremdung verhindern.

Ähnliche Pflichten treffen den Verarbeiter künftig im Rahmen des Grundsatzes der Speicherbegrenzung. Hiernach sind Daten nur so lange personenbezogen zu speichern, wie dies für den Verarbeitungszweck erforderlich ist. Damit ist der Verantwortliche verpflichtet zu prüfen, ob bestimmte Daten noch erforderlich sind. Zwar war der Verarbeitende auch bisher schon verpflichtet, die Daten zu löschen, sofern die Verarbeitungsgrundlage weggefallen war, die Durchsetzung war bisher aber über die entsprechenden Löschungsansprüche des Betroffenen vornehmlich in dessen Hände gelegt. Künftig wird der Verantwortliche im Rahmen der Rechenschaftspflicht stärker selbst verpflichtet.

8 Interne Datenschutzerklärung

Die DSGVO-Prinzipien werden durch weitere Regelun- gen konkretisiert. Zur ausführlichen Information des Betroffenen über die Datenverarbeitung gibt es zahlreiche Vorgaben in Art. 12 ff. DSGVO. Alle Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.

Besondere Relevanz hat Art. 13 DSGVO, der eine Informationspflicht bei Erhebung von personenbezogenen Daten vorsieht. Eine solche Information kennt das deutsche Recht bislang nur für Telemedien (§ 13 Abs. 1 TMG), während das Hinweiserfordernis im Beschäftigtendatenschutz abstrakter oder eine Information sogar entbehrlich war, wenn der Betroffene bereits auf andere Weise Kenntnis erlangt hatte (§ 4 Abs. 3 BDSG). Die auf nahezu jeder Webseite vorzuhaltende Datenschutzerklärung wird also aufgewertet und muss künftig bei jeglicher Datenerhebung mitgeteilt werden. Damit gilt dies auch im Arbeitsverhältnis, insbesondere weil die Regelungen zum Beschäftigtendatenschutz in DSGVO und BDSG-E ausdrücklich auf die Transparenz der Verarbeitung verweisen.

In der Erklärung ist darzustellen,

  • wer
  • welche Daten
  • zu welchem Zweck und
  • ggf. durch wen
  • auf welcher Rechtsgrundlage
  • wie lange verarbeitet.

Zusätzlich ist noch auf bestehende Rechte des Verantwortlichen zur Löschung, Berichtigung, Einschränkung oder allgemein zur Beschwerde hinzuweisen. Die Erklärung ist dem Betroffenen zum Zeitpunkt der Erhebung zugänglich zu machen. Wer bspw. Jobs im Internet anbietet, sollte die Erklärung auch unmittelbar dort platzieren. Im Übrigen reicht es aus, wenn die Erklärung im Vorfeld der Wirksamkeit der DSGVO allgemein im Betrieb bekannt gemacht wird.

Im aktuellen Entwurf des BDSG-E wird die Informationspflicht zwar wieder eingeschränkt, insbesondere kann sie bei unverhältnismäßigem Aufwand entfallen. Ein solcher ist im Beschäftigungsverhältnis allerdings selten erkennbar.

9 Technische und organisatorische Massnahmen

Die DSGVO flankiert den Zuwachs an Betroffenenrechten und die Etablierung einschränkender Verarbeitungsgrundsätze mit strengeren Anforderungen an den technischen Datenschutz. Mitteilungspflichten und Informationen bringen wenig, wenn der unbefugte Zugriff auf die Daten durch ein unzureichendes Schutzniveau ermöglicht wird. Um dies zu verhindern, musste derjenige, der Daten erhebt, schon unter dem BDSG technische und organisatorische Schutzmaßnahmen ergreifen. Hierfür gab der Gesetzgeber verschiedene Kategorien vor.

Die entsprechende Vorgabe gem. § 32 DSGVO hat nun eine völlig neue Struktur. Sie verpflichtet den Verantwortlichen dazu, ein angemessenes Schutzniveau zu gewährleisten, welches insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherstellt. Hierfür werden verschiedene Parameter benannt, die zu berücksichtigen sind. Neu aufgenommen wurde der „Stand der Technik“. Dessen Bestimmung ist im Einzelfall sehr komplex, wie eine „Berücksichtigung“ aussieht ist unklar. Letztendlich lässt sich aber festhalten, dass der Gesetzgeber eine Erhöhung des Schutzniveaus  anstrebt. 2

10 Fazit

Die anstehenden Änderungen durch die DSGVO für den Umgang mit Beschäftigtendaten verlangen von Betrieben das Implementieren neuer Maßnahmen sowie die Prüfung und Anpassung bestehender Verfahren. Hinzukommen können weitere Anforderungen, z. B. zum Umgang mit Kundendaten. Der Umsetzungsbedarf kann erheblich sein und wird weit mehr einmaligen Erfüllungsaufwand auslösen als die vom Gesetzgeber geschätzten 58,9 Millionen Euro. Wer sich hiermit noch nicht beschäftigt hat, sollte dies schleunigst tun.
 
Praxistipp 2

Unternehmen sollten sich damit auseinandersetzen, ob ihre Sicherungsmechanismen noch aktuell sind und eine Dokumentation nach den Kriterien der DSGVO erstellen.

Bernhard Kloos, Rechtsanwalt, Partner, HK2 Rechtsanwälte, Berlin
Michael Schramm, Rechtsanwalt, HK2 Rechtsanwälte, Berlin

Mit freundlicher Genehmigung der HUSS-MEDIEN GMBH aus AuA 4/17

Praxistipp 1

Da die DSGVO zu allen zu berücksichtigenden Aspekten neue Regelungen enthält, sind bestehende Betriebsvereinbarungen darauf zu überprüfen, ob sie den neuen Anforderungen gerecht werden.

6 Kollektivvereinbarungen und Datenübermittlung im Konzern

Aufgenommen werden sollen auch Klarstellungen zur Verarbeitung von personenbezogenen Daten auf Grundlage einer Betriebsvereinbarung. § 26 Abs. 4 BDSG-E fordert für derartige Kollektivvereinbarungen, dass sie entsprechend Art. 88 Abs. 2 DSGVO die Menschenwürde, berechtigte Interessen und Grundrechte im Hinblick auf Transparenz der Verarbeitung, Datenübermittlung im Konzern sowie Überwachung am Arbeitsplatz beachten. Diese Verpflichtung gilt auch für bereits geschlossene Vereinbarungen.

1 Die DSGVO hält auch Erleichterungen bereit. Im Rahmen der Zusammenfassung der Verarbeitungsgrundlagen (Art. 6) wurde die Bedeutung der Verarbeitung aufgrund überwiegender Interessen massiv aufgewertet. In ihren Erwägungsgründen benennt die DSGVO verschiedene derartige Interessen. Anders als bisher wird es dadurch ein „Konzernprivileg light“ geben.

Bislang waren für Unternehmensgruppen Maßnahmen wie ein zentrales Mitarbeiterverzeichnis nur schwer und mittels komplizierter Vertragskonstruktionen zugänglich, z. B. durch Betriebsvereinbarungen oder Auftragsverarbeitung. In der DSGVO ist nun zwar – anders als in einem frühen Entwurf – kein ausdrücklich vorgesehenes Konzernprivileg mehr enthalten. Erwägungsgrund 48 stellt aber klar, dass die zentrale Verarbeitung von Beschäftigtendaten ein berechtigtes Interesse
darstellen kann, das eine Verarbeitung der Daten durch Unternehmen innerhalb einer Gruppe rechtfertigen kann.

Sofern also

  • die Daten für eine bessere Vernetzung der Arbeit- nehmer einer Unternehmensgruppe sorgen und
  • die Maßnahmen nicht über die Erforderlichkeit hinausgehen,

ist ein Austausch von Mitarbeiterdaten künftig ohne Umwege zulässig.

Ebenfalls weit reichend ist die Erhebung der „Richtigkeit“ der Daten zum eigenen Verarbeitungsgrundsatz. Das BDSG kannte lediglich Berichtigungs- und Löschungsansprüche des Betroffenen. Nun erwächst hieraus eine Pflicht des Verantwortlichen der Datenverarbeitung, von sich aus seine Daten stets korrekt und up to date zu halten.

Spannend wird der Grundsatz der Datenminimierung im Beschäftigtenverhältnis, einem Umfeld, in dem naturgemäß Unmengen von Daten anfallen. Bislang gab es das „Ziel“, so wenig personenbezogene Daten wie mög-lich zu verwenden (§ 3a BDSG). Zukünftig müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Auch hier also eine strengere, gleichzeitig aber auch weitere Vorgabe.

Der Verantwortliche muss über die Einhaltung der Grundsätze Rechenschaft ablegen (Art. 5 Abs. 2 DSGVO). Diese Norm ist die große Unbekannte der DSGVO, ihre Reichweite derzeit schwer abschätzbar. Wörtlich genommen verpflichtet sie den Verantwortlichen dazu, Rechenschaft über die Einhaltung aller Grundsätze legen zu können. Da die Grundprinzipien alle Datenverarbeitungsprozesse betreffen, würde das eine umfassende Dokumentations- und Nachweispflicht für sämtliche Verwendungen bedeuten. Eines macht die Norm aber unmissverständlich klar: Die Einhaltung sämtlicher Datenverarbeitungsgrundsätze ist unmittelbare Pflicht des Verantwortlichen. Dieser sollte sich also darauf einrichten.