19.5.17: Neuregelung des Datenschutzes in Beschäftigungsverhältnissen

Das neue Gesetz zur Anpassung des deutschen Datenschutzrechtes an die europäische Datenschutz-Grundverordnung (DSAnpUG-EU) tritt am 25.5.2018 in Kraft und löst das geltende Bundesdatenschutzgesetz vollständig ab. Dies hat auch Auswirkungen auf den Datenschutz in Beschäftigungsverhältnissen.  

Das vom Bundestag am 27.04.2017 verabschiedete DSAnpUG-EU soll in erster Linie die ebenfalls ab dem 25.05.2018 unmittelbar geltende Datenschutz-Grundverordnung der EU (EU-DSGVO) ergänzen und konkretisieren. Im Hinblick auf die Erfragung, Speicherung oder Nutzung von persönlichen Daten von Beschäftigten gibt die EU-DSGVO einen Rahmen vor, der durch das DSAnpUG-EU inhaltlich ausgestaltet wird. Folgende Änderungen im Vergleich zum bisherigen Beschäftigtendatenschutz sollten Sie kennen:  

  • Ausweitung des geschützten Personenkreises
  • Stärkung von Kollektivvereinbarungen
  • Kriterien für die Feststellung der Freiwilligkeit der Einwilligung des Beschäftigten
  • Einschränkung der Informationspflichten des Arbeitgebers
  • Erhöhung der möglichen Geldbußen

Dazu im Einzelnen:

1.    Ausweitung des geschützten Personenkreises

§ 26 Abs. 8 DSAnpUG-EU definiert, wer zukünftig unter den Begriff „Beschäftigte“ zu fassen ist. Über den bislang geschützten Personenkreis hinaus werden Zeitarbeitskräfte künftig nicht nur im Verhältnis zum Verleiher, sondern auch im Verhältnis zum Einsatzbetrieb (Entleiher) als Beschäftigte i. S. d. Gesetzes angesehen.

2.    Stärkung von Kollektivvereinbarungen

Neu ist im Vergleich zur bisherigen Bundesdatenschutzregelung auch die Stärkung von Kollektivvereinbarungen (Tarifvertrag, Betriebsvereinbarung). So ist die Verarbeitung von personenbezogenen Daten von Beschäftigten künftig ohne die Einwilligung des Betroffenen auch dann zulässig, wenn die Verarbeitung auf Grundlage einer Kollektivvereinbarung erfolgt (§ 26 Abs. 4 DSAnpUG-EU). Den Tarif- und Betriebsparteien wird auf diese Weise das Recht eingeräumt, unter Ausschöpfung ihres Ermessensspielraumes einen auf die betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutz zu regeln. Hierdurch ist vor allem mit Erleichterungen bei der Übermittlung von Beschäftigtendaten innerhalb eines Konzerns etwa zur Umsetzung eines konzernweit geltenden Bonussystems zu rechnen.    

Eine zulässige Datenverarbeitung kann künftig aber auch dann vorliegen, wenn die Verarbeitung von Beschäftigtendaten zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenen Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (§ 26 Abs. 1 DSAnpUG-EU). So kann der Betriebsrat künftig auf Grundlage des DSAnpUG-EU – und nicht allein auf Grundlage der Rechtsprechung des Bundesarbeitsgerichts – verlangen, dass der Arbeitgeber ihm die Namen von Arbeitnehmern nennt, bei denen die Voraussetzungen zur Durchführung eines betrieblichen Eingliederungsmanagements i. S. d. § 84 Abs. 2 SGB IX erfüllt sind. Für die Frage der Erforderlichkeit kommt es im Übrigen auf eine einzelfallbezogene Abwägung des Interesses des Arbeitgebers an der Datenverarbeitung und des Interesses des Beschäftigten an einer Geheimhaltung seiner Daten an.

3.    Kriterien für die Feststellung der Freiwilligkeit der Einwilligung

Für die Frage, ob die Einwilligung von Beschäftigten freiwillig erfolgt, kommt es nach § 26 Abs. 2 DSAnpUG-EU künftig insbesondere auf die Umstände, unter denen die Einwilligung erteilt worden ist, und die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person vom Arbeitgeber an. Zu den Umständen des Einzelfalles zählt beispielsweise der Zeitpunkt der Einwilligungserklärung. So werden Beschäftigte vor Abschluss eines (Arbeits-)Vertrages regelmäßig einer größeren Drucksituation im Hinblick auf die Preisgabe und die Einwilligung in die Verarbeitung von persönlichen Daten ausgesetzt sein als nach Vertragsschluss.

Eine freiwillige Einwilligung soll nach dem Willen des Gesetzgebers für gewöhnlich dann vorliegen, wenn für den Beschäftigten durch die Datenverarbeitung ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und der Beschäftigte gleichgelagerte Interessen verfolgen. Die Gewährung eines Vorteils liegt beispielsweise in der Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder der Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen. Ein Fall der Verfolgung gleichgerichteter Interessen sind die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos für das Intranet.

Die Einwilligung muss grundsätzlich schriftlich erteilt werden, soweit nicht wegen besonderer Umstände eine andere Form vorgesehen ist. Der Beschäftigte ist in diesem Zusammenhang auf den Zweck der Datenverarbeitung und das Recht zum jederzeitigen Widerruf seiner Einwilligung – anders als bisher – in Textform hinzuweisen. 

4.    Einschränkung der Informationspflichten des Arbeitgebers

Stärkeres Gewicht als nach bisherigem Recht wird der Transparenz der Datenverarbeitung für die Betroffenen beigemessen, damit diese die ihnen zustehenden Rechte gegenüber dem Arbeitgeber ausüben können. Nach dem Willen des europäischen Gesetzgebers hat der Arbeitgeber den Beschäftigten in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ u.a. über Art und Umfang der Verarbeitung der personenbezogenen Daten des Beschäftigten, die für den Datenschutz verantwortlichen Personen und die Rechte des Betroffenen (wie die auf Auskunft, Berichtigung, Löschung, Sperrung oder Übertragbarkeit von Daten) zu informieren (Art. 12 ff. EU-DSGVO). Diese Pflicht schränkt § 29 Abs. 1 DSAnpUG-EU ein für den Fall, dass durch die Pflichterfüllung Informationen offenbart werden würden, die ihrerseits einer besonderen Geheimhaltung unterliegen. Diese Ausnahme kann für Arbeitgeberverbände wichtig sein, die als Bevollmächtigte des Arbeitgebers im arbeitsgerichtlichen Verfahren tätig werden.

5.    Erhöhung der möglichen Geldbußen

Erhebliche Änderungen im Vergleich zu der aktuellen Rechtslage ergeben sich für Unternehmen in Bezug auf mögliche Sanktionen bei Verstößen gegen datenschutzrechtliche Regelungen. Derzeit kann ein Verstoß gegen datenschutzrechtliche Regelungen mit einer Geldbuße von maximal 300.000 Euro geahndet werden. § 41 DSAnpUG-EU i. V. m. Art. 83 EU-DSGVO sieht bei Datenschutzverstößen jedoch – abhängig von der Art des Verstoßes – Geldbußen von bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Vorjahresumsatzes des Unternehmens vor.

Diese und weitere Neuerungen im Bereich des Beschäftigtendatenschutzes werden wir zum Gegenstand einer für Herbst geplanten Informationsveranstaltung machen, auf der dann auch konkrete Handlungsempfehlungen bei der Umsetzung der neuen Regelungen gegeben werden. Ort und Zeit dieser Veranstaltung geben wir Ihnen zeitnah bekannt. 

Weitergehende Informationen zum Download: