Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
Der heutige Beitrag soll einen Einblick in die wichtigsten Neuerungen bei der bereichsspezifischen Datenverarbeitung geben. Hierunter fassen wir zum einen das Thema Beschäftigtendatenschutz, zum anderen die Datenverarbeitung durch öffentliche Stellen.
Beschäftigtendatenschutz
Bisher war der Schutz von Beschäftigtendaten maßgeblich durch § 32 Bundesdatenschutzgesetz (BDSG) bestimmt. Gemäß § 32 Absatz 1 Satz 1 BDSG dürfen im Grundsatz personenbezogene Daten eines Beschäftigten „für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist“.
Dies bedeutet, dass ein Unternehmen z.B. im Rahmen eines Bewerbungsverfahrens alle für die Auswahl erforderlichen Daten des Bewerbers oder während des Beschäftigungsverhältnisses die Kontodaten des Arbeitnehmers zur Gehaltszahlung erheben, verarbeiten und nutzen darf.
§ 32 Absatz 1 Satz 2 BDSG sieht daneben eine Sonderregelung zur Datenverarbeitung zwecks Aufdeckung von Straftaten durch Mitarbeiter vor.
Auch Betriebsvereinbarungen können Bestimmungen zur Verarbeitung von Beschäftigtendaten enthalten, allerdings können diese nur als Rechtsgrundlage herangezogen werden, soweit sie das Schutzniveau des BDSG nicht unterschreiten.
In der neuen DSGVO ist Artikel 88 zentrale Vorschrift für den Beschäftigtendatenschutz . Dort werden keine eigenen inhaltlichen Bestimmungen zur Verarbeitung von Beschäftigtendaten getroffen, sondern den Mitgliedstaaten wird hierbei ausdrücklich ein Gestaltungsspielraum eingeräumt (sog. Öffnungsklausel).
„Artikel 88 Datenverarbeitung im Beschäftigungskontext
(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
(2) Diese Vorschriften umfassen angemessenen und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
(3) Jeder Mitgliedstaat teilt der Kommission bis zum …[zwei Jahre nach dem Inkrafttreten dieser Verordnung] die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“
Hierdurch wird also den nationalen Gesetzgebern die Möglichkeit eröffnet, eigene Vorschriften zum Beschäftigtendatenschutz zu treffen. Auch hier sind Regelungen auf nationaler Ebene in der Form von Betriebsvereinbarungen möglich.
Allerdings sollen die nationalen Bestimmungen lediglich spezifischer, nicht jedoch strenger sein dürfen als die Regelungen der DSGVO.
Aktuell ist wohl zu erwarten, dass der Regelungsinhalt des § 32 BDSG in Deutschland unverändert bestehen bleiben wird. Die Schaffung eines eigenständigen deutschen Beschäftigtendatenschutzgesetzes ist hingegen nach derzeitigem Kenntnisstand in nächster Zeit nicht geplant.
Datenverarbeitung durch öffentliche Stellen
Öffentliche Stellen (Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen) unterliegen nach deutschem Recht bislang anderen datenschutzrechtlichen Regelungen als nicht-öffentliche Stellen.
Das BDSG differenziert stark zwischen öffentlichen und nicht-öffentlichen Stellen und enthält – neben gemeinsam geltenden Bestimmungen – für beide gesonderte Regelungsabschnitte. Hinzu kommen primär anwendbare bereichsspezifische Normen (z.B. in den Sozialgesetzbüchern oder in Polizeigesetzen des Bundes oder der Länder) sowie bei öffentlichen Stellen der Länder die jeweils vorrangigen Landesdatenschutzgesetze. Diese Unterscheidung liegt in der andersartigen Interessenlage und Struktur von öffentlichen Stellen und privatwirtschaftlichen Unternehmen begründet.
Die Regelungen der DSGVO hingegen gelten für öffentliche und nicht-öffentlichen Stellen gleichermaßen. Art. 4 Absatz 7 und 8 DSGVO beziehen bei den Definitionen des Verantwortlichen und des Auftragsverarbeiters neben natürlichen oder juristischen Personen auch Behörden, Einrichtungen und andere Stellen mit ein. Eine Unterteilung in gesonderte Regelungsabschnitte existiert nicht.
Lediglich einzelne Normen enthalten Spezialvorschriften bzw. Ausnahmeregelungen für öffentliche Stellen. So ist z.B. gemäß Artikel 2 Absatz 2 (d) DSGVO die Datenverarbeitung durch die zuständigen Behörden zwecks Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung vom Anwendungsbereich der DSGVO ausgenommen. Artikel 83 Absatz 7 DSGVO enthält etwa eine Öffnungsklausel für nationale Vorschriften bezüglich der Verhängung von Geldbußen gegen öffentliche Stellen.
Daneben sollen im Allgemeinen nationale bereichsspezifische Regelungen für den öffentlichen Bereich auch weiterhin möglich bleiben.
Fazit
Während im Beschäftigtendatenschutz aufgrund der zentralen Öffnungsklausel des Artikels 88 DSGVO keine wesentlichen inhaltlichen Änderungen zu erwarten sind, wird das Datenschutzrecht für öffentliche Stellen durch die DSGVO neu strukturiert.
Wie sich die parallele Geltung nationaler Regelungen mit dem Ziel der Vereinheitlichung durch die DSGVO in der Praxis vereinbaren lässt, bleibt abzuwarten.
Weitere Beiträge zur DSGVO in unserem Blog.
Update 21.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.