Mit dem zweiten Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679, eher bekannt als DSGVO, haben der Bundestag und der Bundesrat Änderungen am BDSG verabschiedet. Neben einigen redaktionellen Änderungen finden sich im BDSG vor allem zwei Änderungen, die Auswirkungen auf die Praxis haben dürften. Diese betreffen zum einen die Bestellpflicht eines betrieblichen Datenschutzbeauftragten und zum anderen die datenschutzrechtliche Einwilligung der Arbeitnehmer.
Schwelle zur Bestellpflicht wird höher
Eine kleine aber feine Änderung findet sich im § 38 Abs. 1 S. 1 BDSG, der die Bestellpflicht eines betrieblichen Datenschutzbeauftragten regelt. Bislang musste ein Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, sofern mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten befasst waren. Diese Schwelle wurde nun auf 20 angehoben. Auch wenn in der Praxis hierdurch viele mittelständische Unternehmen von der Bestellpflicht befreit werden, so kann eine Bestellung eines Datenschutzbeauftragten trotz allem auch bei weniger als 20 datenverarbeitenden Mitarbeitern sinnvoll sein. Schließlich müssen die Vorschriften der DSGVO trotzdem eingehalten werden und ein Mitarbeiter, der genau für diesen Zweck bestellt und fortgebildet wird, kann im Zweifel Fragen zum Datenschutz beantworten und das Unternehmen vielleicht sogar vor dem ein oder anderen kostspieligen Bußgeld bewahren.
Änderung der Form der Einwilligung im Arbeitsverhältnis
Ebenfalls im BDSG fand sich in § 26 Abs. 2 S. 3 die Regelung, wonach Mitarbeiter eine datenschutzrechtliche Einwilligung nur wirksam erteilen konnten, wenn sie schriftlich abgegeben wurde. Hier wurde nun die Regelung
„Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.„
durch
„Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.„
ersetzt.
Der Gesetzgeber wollte hier den Verwaltungsaufwand der schriftlichen Einwilligungen etwas eindämmen und den Mitarbeitern ermöglichen, ihre Einwilligung auch per E-Mail zu erklären, wie sich beispielsweise auf der Seite des Bundesrats findet: https://www.bundesrat.de/DE/plenum/bundesrat-kompakt/19/980/03.html#top-3
Allerdings leidet die Formulierung leider unter dem Problem, dass unter „elektronisch“ in in Deutschland aller Regel die „elektronische Form“ des § 126a BGB verstanden wird.
In § 126a Abs. 1 BGB findet sich folgendes:
„Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen.“
Dieser Fall hat aber leider nur selten etwas mit einer E-Mail zu tun, weil es bei so ziemlich jeder E-Mail an einer qualifizierten elektronischen Signatur fehlt.
Hätte der Gesetzgeber eine Einwilligung per einfacher E-Mail ermöglichen wollen, hätte man auf die Textform des § 126b BGB zurückgreifen müssen.
Da es explizit gewünscht war (s. o. auf der Seite des Bundesrats), eine Einwilligung per E-Mail zu ermöglichen, stellt sich die Frage, was unter „elektronisch“ zu verstehen ist.
In der Bundestagsdrucksache 19/4674 finden sich (unabhängig von § 26 BDSG, aber mit ähnlicher Regelungsintention) z. B. auf Seite 340 Ausführungen dazu, dass Nutzer „ihre Daten aus dem Online-Formular direkt elektronisch (im XML-Format)“ übermitteln könnten. Ein solches Verständnis von „elektronisch“ findet sich in der Drucksache noch an der ein oder anderen Stelle. Offenbar wollte man hier auch ohne qualifizierte elektronische Signatur in der Form von (XML-)Dokumenten Übermittlungsmöglichkeiten schaffen. Auch in anderen Gesetzen, z. B. dem § 67b Abs. 2 SGB X, findet sich eine entsprechende „elektronische“ Regelung. Auch wenn in der Gesetzesbegründung (BT-Drs. 18/12611 S. 114) nicht auf den § 126a BGB eingegangen wird, so geht auch die Kommentarliteratur bei dieser Norm davon aus, dass § 126a gemeint ist:
„Mit der Möglichkeit, eine elektronische Erklärung abzugeben, wird berücksichtigt, dass in Zukunft Verwaltungsverfahren zunehmend elektronisch geführt werden (§ 126a BGB: elektronische Signatur).“(BeckOK SozR/Westphal, 53. Ed. 1.6.2019, SGB X § 67b Rn. 16)
Es ist auch denkbar, dass das „elektronische Format“ nach europäischem Verständnis gemeint war. So findet sich z. B. im Art. 28 Abs. 9 DSGVO eine solche Regelung für den Abschluss von Auftragsverarbeitungsverträgen. Zum einen ist hier aber von „Format“ und nicht von „Form“ die Rede und zum anderen ist es schwierig, eine europäische Verordnung als Auslegungshilfe für ein nationales Gesetz heranzuziehen, auch wenn das gleiche Thema geregelt wird.
Und schlussendlich hat der Gesetzgeber in § 26 Abs. 2 S. 4 BDSG folgendes geregelt:
„Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“
Vor dem Hintergrund, dass der Gesetzgeber hier in der gleichen Norm explizit die Textform (also auch die E-Mail) nennt, ist es etwas unverständlich, warum im zweiten Absatz die Textform nicht aufgegriffen wurde, die neben E-Mail z. B. auch die Übermittlung per Webformular oder sonstiger Software erfasst.
Und auch die Regelung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“ ist als Ausnahmevorschrift nur selten anwendbar. Das Zurückgreifen auf diese Ausnahmeregelung wäre z. B. bei einem Bewerber denkbar, der seine Einwilligung für die Speicherung seiner Daten im Bewerberpool bei der Online-Bewerbung erklärt, weil es hier mit erheblichem Aufwand verbunden wäre, eine entsprechende Erklärung in Schriftform auszutauschen. Bei einem regulären Arbeitnehmer wird es aber regelmäßig an einer solchen Situation fehlen, sodass für die Ausnahmevorschrift kein Raum bleibt.
Fazit
Alles in allem handelt es sich hier um eine handwerklich missglückte Gesetzesanpassung, bei der man womöglich etwas anderes geregelt hat, als man eigentlich wollte. Auch wenn man davon ausgehen kann, dass die Textform gemeint sein sollte, so muss man doch einige Anstrengungen unternehmen, um zu diesem Ergebnis zu gelangen. In der Praxis hat der Datenschutz an dieser Stelle nun ein weiteres Auslegungsproblem. Es wäre wünschenswert gewesen, wenn der Gesetzgeber hier bereits mit einem eindeutigen Wortlaut Klarheit geschaffen hätte.