Schon seit Jahren ist der Beschäftigtendatenschutz immer mal wieder im Gespräch der Öffentlichkeit. Bereits im Jahre 2010 stellte die Bundesregierung ein Gesetzesentwurf zum Arbeitnehmerdatenschutz vor. Nach jahrelanger Diskussion und Verhandlung, kam das Vorhaben Anfang 2013 zum Erliegen. Die nötige Reform des Arbeitnehmerdatenschutzes wurde unter anderem wegen der geplanten EU-Datenschutz-Grundverordnung vorerst ausgesetzt. Da die Verabschiedung der Verordnung aber immer näher rückt, werfen wir nun einen Blick auf deren Auswirkung auf den Beschäftigtendatenschutz. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.
Was ist Beschäftigtendatenschutz?
Unter dem Stichwort Beschäftigten- oder Arbeitnehmerdatenschutz werden Regelungen zusammengefasst, die sich speziell mit der Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten, bzw. Daten in oder in Zusammenhang mit einem Beschäftigungsverhältnis befassen. In der bundesdeutschen Gesetzgebung finden sich diese Vorschriften in sehr unterschiedlichen, bereichsspezifischen Gesetzen – nicht nur im BDSG. Gerade dieser Umstand erschwert die Praxis eines Datenschutzbeauftragten.
Nicht zuletzt um die Rechtsfindung zu vereinfachen gab es in der Vergangenheit stets die Bestrebung, ein einheitliches Beschäftigtendatenschutzgesetz zu schaffen. Hierfür fehlte allerdings stets die notwendige Mehrheit, so dass es mit Einführung des § 32 BDSG lediglich zu einer Kompromisslösung kam, die durchaus kritkwürdig war und ist. Ihr vorausgegangen war eine, durch den damaligen Bundesarbeitsminister Olaf Scholz angestoßene Gesetzesinitiative aus dem Jahre 2009. Hierdurch sollte ein einheitliches, die Rechtsprechung des Bundesarbeitsgericht aufgreifendes, Beschäftigtendatenschutzgesetz (BDatG) erreicht werden. Diese, kurz vor der Bundestagswahl 2009 begonnene Initiative, wurde jäh durch die veränderten Machtverhältnisse im Parlament gestoppt. Der Koalitionsvertrag der neuen Regierungskoaltition sah sodann, sicherlich nicht zuletzt in Erwartung der Verabschiedung eines einheitlichen europäischen Datenschutzrechts, allerdings nur noch die Ergänzung des BDSG um einen Teil zum Arbeitnehmerdatenschutz vor.
Ist der Arbeitnehmerdatenschutz in der EU-DSGVO geregelt?
Nein, die EU-Datenschutz-Grundverordnung wie sie nunmehr im Arbeitsergebnis der Trilog-Parteien vom 15. Dezember 2015 ihre Endfassung gefunden hat, wird keinerlei spezifische, rechtsgestaltende Regelungen zum Beschäftigtendatenschutz enthalten. Eine erste, noch nicht abschließend Übersetzung findet sich hier.
Bedeutet das, es gibt keinen Beschäftigtendatenschutz?
Nein, auch nach der EU-DSGVO werden Beschäftigte innerhalb ihrer Arbeitsverhältnisse nicht rechtlos sein. So verweisen einzelne Vorschriften der EU-DSGVO (z.B.: Art. 9 Abs. h EU-DSGVO Verarbeitung von besonderen Kategorien von personenbezogen Daten) auf den Mitarbeiterdatenschutz und auch die allgemeine Grundätze der Datenverarbeitung (Art. 5 EU-DSGVO) gelten selbstverständlich auch im Beschäftigtenverhältnis. Allerdings wird es keine zentrale Regelungsvorschrift zu diesem Thema in der EU-DSGVO geben.
Was bedeutet „Öffnungsklausel im Arbeitnehmerdatenschutz“?
Der europäische Verordnungsgeber verweist in Art. 88 EU-DSGVO, sowie den Erwägungsgründen (EG 124), allerdings darauf, dass die Mitgliedsstaaten im Bereich der Verarbeitung personenbezogener Beschäftigtendaten spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten erlassen können und diesen Themenkomplex eigenständig regulieren dürfen (sog. Öffnungsklausel).
Was steht in Art. 88 EU-DSGVO?
Art. 88 EU-DSGVO lautet:
- „Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organization of work, equality and diversity in the workplace, health and safety at work, protection of employer’s or customer’s property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.“
- „These rules shall include suitable and specific measures to safeguard the data subject’s human dignity, legitimate interests and fundamental rights, with particular regard to the transparency of processing, the transfer of data within a group of undertakings or group of enterprises and monitoring systems at the work place.“
Welchen Regelungsumfang hat Art. 88 EU-DSGVO?
Nach seinem Wortlaut gestattet Art. 88 EU-DSGVO dem nationalen Gesetzgeber durch gesetzliche oder kollektivrechtliche Vereinbarungen spezielle Regelungen zu treffen, die den Schutz der Rechte und der Freiheiten des Einzelnen in Bezug auf die Datenverarbeitung im Kontext der Beschäftigtenverhältnisse in Zusammenhang mit deren Begründung, Durchführung und Beendigung sicherstellen und deckt sich insoweit weitestgehend mit dem BDSG. Besonders an der Formulierung des Art. 88 EU-DSGVO ist insoweit, dass dieser ausdrücklich die „collective agreements“ als Basis für eine Verarbeitung von Beschäftigtendaten anerkennt. Hier ist allerdings noch abschließend zu klären, ob hierunter tatsächlich, wie von einigen Stellen vertreten, „Betriebsvereinbarungen“ oder, wie Sachzusammenhang und wörtliche Übersetzung eigentlich vermuten lassen, „Kollektivvereinbarungen“, also Tarifverträge, zu verstehen sind.
Ferner bezieht sich Absatz 2 des Art. 88 EU-DSGVO auf den Datentransfer zwischen verbundenen Unternehmen, was zumindest auf eine teilweise Anerkennung eines Konzernprivilegs schließen lässt. Hierfür spricht letztlich auch Erwägungsgrund 38a, der zumindest eine Datenweitergabe innerhalb verbundener Unternehmen zu administrativen Zwecken als legitime Interessen ansieht.
Welche Aufgaben hat der nationale Gesetzgeber?
Aufgrund des Anwendungsvorrangs der EU-DSGVO besteht für den bundesdeutschen Gesetzgeber die vordringliche Aufgabe, eine Bereinigung des nationalen Rechts, orientiert an der EU-DSGVO herbeizuführen. Dies wird, nach derzeitiger Einschätzung einiger Stellen, aufgrund des Auffangcharakters des BDSG zu einer weitgehenden Aufhebung des BDSG führen, zumindest insoweit dieses im Widerspruch zur EU-DSGVO steht oder der Regelungsgehalt bereits durch die EU-DSGVO gedeckt wird. Hinsichtlich der bereichsspezifischen Regelungen wird deren Fortgeltung davon abhängen, ob diese vom Regelungsgehalt der EU-DSGVO umfasst sind, oder gerade nicht. Die Fortgeltung von TMG und TKG wird derzeit angenommen, muss allerdings im Einzelfall überprüft werden. Erste Stimmen sehen für das Kunst-Urhebergesetz (KUG) bereits dessen Ende gekommen.
Gibt es eine Pflicht zur Regelung?
Die EU-DSGVO kennt zwei Arten von Regelungen. Dies sind zum einen die sog. Öffnungsklauseln („kann“/“may“-Vorschriften), die dem nationalen Gesetzgeber eine weitergehende Regelung freistellen, und zum anderen die sog. Regelungsaufträge („soll“/“should“-Vorschriften), die vom nationalen Gesetzgeber ein weitergehendes Handeln im Rahmen von sog. Ausführungsgesetzen verlangen. Der bundesdeutsche Gesetzgeber ist insoweit gehalten, bis Mitte 2018 ein Ausführungsgesetz zur EU-DSGVO zu schaffen, welches die Regelungsaufträge der EU-DSGVO erfüllt.
Was passiert mit § 32 BDSG?
Nach uns bisher bekannt gewordenen Ansichten kann § 32 BDSG nicht per se als „Ausführungsgesetz“ zur EU-DSGVO bestehen bleiben, da Art. 88 EU-DSGVO insoweit kein Regelungsgebot enthält. Zudem muss § 32 BDSG zunächst auf seine Konformität mit der EU-DSGVO hin untersucht werden.
Es gibt allerdings derzeit erste Meinungen dahingehend, dass § 32 BDSG zumindest für die Übergangszeit bis zum Erlass einer neuen nationalen Regelung teilweise als nationale Zusatzregelung erhalten bleiben kann. Dies betrifft nach Verlautbarungen des Bayerischen Innenministeriums insbesondere die Absätze 2 und 3 des § 32.
Können bestehende Betriebsvereinbarungen weiter genutzt werden?
Ob bestehende Betriebsvereinbarungen eines Unternehmens angepasst werden müssen, hängt ebenfalls davon ab, ob sie die Anforderungen der EU-DSGVO nicht unterlaufen und insbesondere ausreichende Schutzmaßnahmen iSd Art. 88 Abs. 2 EU-DSGVO enthalten. Dies ist im Einzelfall zu prüfen.
Wie geht es weiter?
Wie die BRD den Beschäftigtendatenschutz künftig umsetzt, ist noch nicht abschließend geklärt und wird in der kommenden Zeit sicherlich kontrovers diskutiert, bedenkt man nur die Diskussionen, die zur Einführung des § 32 BDSG, der Zentralnorm zum Beschäftigtendatenschutz, geführt wurden. Nach dem Koalitionsvertrag der Großen Koalition aus dem Jahre 2014 ist jedenfalls vereinbart, Beschäftigtendatenschutz gesetzlich […] regeln:
Die Verhandlungen zur Europäischen Datenschutz-Grundverordnung verfolgen wir mit dem Ziel, unser nationales Datenschutzniveau – auch bei grenzüberschreitenden Datenverarbeitungen – zu erhalten und über das europäische Niveau hinausgehende Standards zu ermöglichen. […] wollen wir hiernach eine nationale Regelung zum Beschäftigtendatenschutz schaffen.
Nach Verlautbarungen des Bayerischen Innenministeriums ist eine rasche Umsetzung im Hinblick auf die bevorstehenden Bundestagswahlen im Herbst 2017 von Nöten. Allerdings bedürfte dieser Gesetzgebungsprozess der Zustimmung des Bundesrates, vgl.: Art. 72, 74 GG. Um dieses Gesetzesvorhaben bis zur Bundestagswahl umsetzen zu können, werde es nach derzeitigem Kenntnisstand zunächst nur Umsetzungen von Rechtsnormen geben, die zwingend erforderlich sind, um den derzeitigen „Status Quo“ zu erhalten, bzw. um den europarechtlichen Regelungsauftrag der EU-DSGVO zu erfüllen.
Die Frage der Umsetzung des Beschäftigtendatenschutzes wird aller Voraussicht nach abgekoppelt und erst in der neuen Legislaturperiode aufgegriffen werden.
Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de