Ab dem 25.05.2018 verdrängen die Artikel der Datenschutz-Grundverordnung (im Folgenden DSGVO) nationale Datenschutzbestimmungen der EU-Mitgliedstaaten. Grundlegend gilt für die DSGVO ein Anwendungsvorrang. Das hat zur Folge, dass Aufsichtsbehörden und Gerichte nationale Rechtsvorschriften nicht anzuwenden haben, sofern die DSGVO die für den Einzelfall relevanten Regelungen enthält. Die Vorgaben der DSGVO regeln im Gewand der Verordnung nicht alle Rechtsfragen eigenständig. Sie enthalten an einigen Stellen Öffnungsklauseln, die den Mitgliedstaaten, gebunden an die europäischen Grundrechte, begrenzte Regelungsoptionen überlassen.
Am 27.04.2107 hat der Deutsche Bundestag den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) verabschiedet (wir berichteten). Der Gesetzesentwurf bedarf noch der Zustimmung des Bundesrats. Wesentlicher Teil des DSAnpUG-EU ist das neue Bundesdatenschutzgesetz (im Folgenden BDSG-neu). Das BDSG-neu enthält auch Regelungen zum Beschäftigtendatenschutz. Vor diesem Hintergrund sind Unternehmen gut beraten, ihre bisherigen Praktiken zu überprüfen. Dieser Beitrag geht auf die Rechtmäßigkeit der Verarbeitung von Beschäftigtendaten nach dem BDSG-neu ein.
Beschäftigten Datenschutz nach dem BDSG-neu
Gemäß Art. 88 Abs. 3 DSGVO hat jeder Mitgliedstaat bis zum 25.05.2018 der Kommission mitzuteilen welche Rechtsvorschriften er auf Grundlage der in Art. 88 DSGVO enthaltenen Regelungsoptionen erlassen hat. Die Vorstellungen der Mitgliedstaaten gehen im Bereich des Beschäftigtendatenschutzes mitunter weit auseinander. In Deutschland ist bisher § 32 BDSG die zentrale Norm zur Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis. In dem Entwurf des BDSG-neu ist § 26 maßgeblich für die Datenverarbeitung im Beschäftigungskontext. Dieser konkretisiert die Vorgaben der DSGVO und ergänzt den Datenschutz am Arbeitsplatz um nationale Bestimmungen.
Dabei darf das BDSG-neu das EU-weite Schutzniveau jedoch weder absenken noch erhöhen. Vielmehr sollen spezifische Regelungen die einzelnen Sachverhalte konkret regeln und die abstrakt generellen Regelungen der Verordnung ergänzen. Der Begriff des Beschäftigten ist im Sinne des § 26 Abs. 8 BDSG-neu weit zu verstehen. Demnach sind nicht nur Arbeitnehmer, Bewerber, ehemalige Beschäftigte, Leiharbeiter und Auszubildende, sondern auch Beamte, Richter, Soldaten sowie weitere Personengruppen vom Anwendungsbereich umfasst.
Rechtmäßigkeit der Datenverarbeitung im Beschäftigungskontext
Entscheidend für die Rechtmäßigkeit der Datenverarbeitung von Daten, die das Beschäftigungsverhältnis betreffen, ist zunächst das Vorliegen eines legitimen Zwecks. Unternehmen dürfen Beschäftigtendaten gestützt auf § 26 Abs. 1 BDSG-neu verarbeiten, wenn dies zu folgenden Zwecken erforderlich ist:
- Entscheidungen über die Begründung eines Beschäftigungsverhältnisses
- Durchführung oder Beendigung des Beschäftigungsverhältnisses
- Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung (auch Betriebsvereinbarungen) ergebenden Rechte und Pflichten der Interessenvertretung von Beschäftigten
Ferner können sich Unternehmen auf die allgemeinen Erlaubnistatbestände der DSGVO stützen.
Erforderlichkeit der Datenverarbeitung im Beschäftigungsverhältnis
Weiterhin muss die Datenverarbeitung auch erforderlich sein. Daher ist es geboten, den Begriff der Erforderlichkeit im Sinne des BDSG-neu näher zu bestimmen. Der § 26 Abs. 1 BDSG-neu enthält Anhaltspunkte hierzu und wägt zwischen den Interessen des Arbeitgebers und denen des Beschäftigten ab. Im Rahmen der Erforderlichkeitsprüfung sollen die sich gegenüberstehenden Grundrechtspositionen zu einem Ausgleich gebracht werden, der die beiderseitigen Interessen im größtmöglichen Umfang berücksichtigt.
Demnach und aufgrund der in Art. 88 Abs. 2 DSGVO vorgesehenen Pflichten muss die Datenverarbeitung im Beschäftigungsverhältnis einer Verhältnismäßigkeitsprüfung unterzogen werden. Diese setzt zunächst voraus, dass die beabsichtigte Datenverarbeitung zur Verwirklichung des vorgesehenen Zwecks geeignet ist. Ferner muss die Datenverarbeitung das mildeste Mittel darstellen, mit dem der Zweck erreicht werden kann. Die Erwägungsgründe 47 und 48 der DSGVO enthalten weitere Umstände, die bei der Erforderlichkeit zu berücksichtigen sind. Praktisch relevant dürften vor allem die „vernünftigen Erwartungen“ der von der Datenverarbeitung betroffenen Person sein. Unternehmen sind im Sinne des Transparenzprinzips daher gut beraten, bereits im Vorfeld ausführlich über die Verarbeitung von Beschäftigtendaten zu informieren, um den Erwartungen der Beschäftigten hinreichend Rechnung zu tragen.
Verarbeitung auf Grundlage einer Einwilligung
Aufgrund von § 26 Abs. 2 BDSG-neu und Erwägungsgrund 155 DSGVO wird die Einwilligung im Beschäftigungskontext weiterhin ein Mittel zur Legitimierung einer Datenverarbeitung sein. Dennoch sind die Bedingungen, unter denen eine rechtmäßig erteilte Einwilligung erfolgen kann, umstritten.
Nicht selten ist davon auszugehen, dass der Arbeitnehmer gegenüber seinem Arbeitgeber Nachteile erleidet, sofern dieser nicht einer Verarbeitung von bestimmten Daten zustimmt. In diesen Fällen fehlt es an der gebotenen Freiwilligkeit der Einwilligung. Freiwilligkeit ist nur dann gegeben, wenn der Beschäftigte eine echte Wahl oder – wie es § 26 Abs. 2 BDSG-neu ausdrückt – die Einwilligung einen rechtlichen oder wirtschaftlichen Vorteil für einen Arbeitnehmer hat. Arbeitgeber sollten daher weiterhin die Abhängigkeit ihrer Beschäftigung bei der Einholung einer Einwilligung beachten.
Des Weiteren muss über den Zweck der Datenverarbeitung sowie das Recht zum Widerruf der Einwilligung nach Art 7 Abs. 3 DSGVO informiert werden. Für die Verarbeitung von sensiblen Daten wie Gesundheitsdaten gilt, dass diese zulässig ist, sofern sie zur Erfüllung von Rechten und Pflichten, die sich aus dem Beschäftigungsverhältnis ergeben, erforderlich ist oder eine ausdrückliche Einwilligung vorliegt. Gemäß § 23 Abs. 3 Variante 1 BDSG-neu müssen bei der Verarbeitung von sensiblen Daten Schutzmaßnahmen im Sinne des § 22 Abs. 2 BDSG-neu ergriffen werden. Hierzu zählen beispielsweise die Pseudonymisierung und das Verschlüsseln von Daten.
Handlungsempfehlungen für Unternehmen bis Mai 2018
- Wenn Daten im Beschäftigungskontext verarbeitet werden, stellt sich die Frage der Erforderlichkeit. Bei der Beantwortung dieser Frage sind die Interessen der Parteien zum Ausgleich zu bringen.
- Ferner sind die vernünftigen Erwartungen der von der Datenverarbeitung betroffenen Person zu beachten.
- Die Einwilligung bleibt ein Mittel zur Legitimierung einer Datenverarbeitung, sofern sie für den Einwilligenden rechtlich oder wirtschaftlich vorteilig ist.
- Für die Verarbeitung von sensiblen Daten müssen gesonderte Schutzmaßnahmen wie zum Beispiel die Pseudonymisierung oder Verschlüsselung ergriffen werden.
- Sonstige Vorgaben der DSGVO wie zum Beispiel Informationspflichten (Art. 12 bis 14 DSGVO) oder Löschpflichten aus Art. 17 DSGVO sollten zusätzlich berücksichtigt werden.