Prof. Dr. Anja Mengel, Jan Peters
Seit den 90er-Jahren des letzten Jahrhunderts hat die EU auch den Datenschutz harmonisiert, zunächst mit der Richtline 95/46/EG vom 24.10.1995, nunmehr mit der sog. Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Datenverkehr sowie der Richtlinie (EU) 2016/680 v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI. Mit der Datenschutz-Grundverordnung, die zwar nach ihrem Art. 99 am 24.5.2016 in Kraft getreten ist, jedoch erst seit dem 25.5.2018 gilt, will die EU der deutlich gestiegenen Bedeutung von (personenbezogenen) Daten in der globalisierten digitalisierten Welt und den Anforderungen an den Umgang mit dem immer größer werdenden Volumen digitalisierter Daten und dem Datenaustausch gerecht werden. Die Datenschutz-Grundverordnung ist ungewöhnlich umfangreich und enthält sehr viele Generalklauseln sowie Öffnungsklauseln für weitere (konkretisierende) Regelungen der Mitgliedsstaaten. Sie enthält auch sehr genaue Vorgaben zur Einrichtung und Unabhängigkeit von nationalen Datenschutz-Aufsichtsbehörden (Kapitel VI, Art. 51 ff.); allerdings keine konkreten neuen Vorgaben für die arbeitsrechtlich typischerweise interessanten Sachverhalte, etwa Datenschutz bei dienstlichen E-Mails usw. Mit Gesetz vom 30.6.2017 zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 hat der nationale Gesetzgeber Änderungen des BDSG zur Anpassung an die DSGVO beschlossen. Auch haben die DSGVO und in der Folge der deutsche Gesetzgeber unverändert keine ausdrückliche Regelung zum Transfer von Arbeitnehmerdaten im Konzern getroffen.
Fehlen konkreter Regelungen zur E-Mail-Kontrolle
Ausdrückliche Regelungen, die sich auf Arbeitsverhältnisse oder die Rechte und Pflichten von Arbeitgebern oder Arbeitnehmern beziehen, enthält sie ebenso wenig wie z. B. konkrete Regelungen zu dem in Deutschland unverändert rechtlich nicht eindeutig geregelten Thema der Kontrolle von E-Mails, die Arbeitnehmer über das Arbeitgebersystem schreiben. Allerdings sind Arbeitsverhältnisse von dem sachlichen Anwendungsbereich der Datenschutz-Grundverordnung uneingeschränkt erfasst (Art. 2), wenngleich der Anwendungsbereich von dem seit 25.5.2018 geltenden § 26 Abs. 7 BDSG (§ 32 Abs. 2 BDSG a. F.) durch die Einbeziehung auch nicht-automatisiert genutzter personenbezogener Daten weiter geht. Besonders interessant ist vor dem Hintergrund der Debatten in Deutschland um die Wirksamkeit von Einwilligungen von Arbeitnehmern für die Rechtfertigung von Datenverarbeitungen im Arbeitsverhältnis die grundsätzlich nicht besonders eingeschränkte Anerkennung von Einwilligungen nach Art. 6 Abs. 1 Buchst. a und Art. 7 der Datenschutz-Grundverordnung – auch für das Arbeitsverhältnis. In Art. 7 Abs. 4 ist jedoch auch ein pauschaler Vorbehalt zur "Freiwilligkeit" der Einwilligung enthalten. Entsprechend hat auch der nationale Gesetzgeber nun in dem seit 25.5.2018 geltenden § 26 Abs. 2 Satz 2 BDSG die Voraussetzungen für die Freiwilligkeit einer Einwilligung normiert; damit ist zugleich grundlegend die Option einer Einwilligung für das Arbeitsverhältnis anerkannt – entgegen einer bisher weitverbreiteten Ansicht in der Literatur und von Datenschützern.
Erhöhter Verwaltungsaufwand
Ausführliche Regelungen dazu, dass und wie die Erhebung personenbezogener Daten in verschiedenen Situationen der betroffenen Person mitgeteilt werden muss, muten aus Sicht eines Arbeitgebers bürokratisch an und werden bei genauer Befolgung zu erhöhtem Aufkommen von "Mitteilungen" führen, ggf. ähnlich der neu eingeführten "SEPA-Notifikationen" für Zahlungseinzug von Konten (vgl. Art. 12 ff.). Das ausdrücklich und ausführlich geregelte Recht auf Löschung ("Vergessenwerden") nach Art. 17 bzw. Einschränkung der Verarbeitung nach Art. 18 der Datenschutz-Grundverordnung könnte auch für Arbeitgeber relevant werden, soweit bisher noch keine entsprechenden Richtlinien zu Rentention und Löschung von Daten eingesetzt sind. Auch dazu ist nun seit dem 25.5.2018 eine entsprechende Regelung in § 35 BDSG getroffen.
Besonderheiten bei Auftragsdatenverwaltung
Wie bereits nach geltendem Recht, sind Besonderheiten der "Auftragsdatenverarbeitung", die gerade auch für Arbeitgeber praxisrelevant sind, insbesondere, aber nicht allein für die Lohnbuchhaltung, anerkannt und geregelt in Art. 29 ff.
Regeln zum Datentransfer
Umfangreiche Regeln sind in einem eigenen Kapitel V zum Datentransfer in Länder außerhalb der EU geregelt (Art. 44 ff.). Mit der sog. "Safe-Harbor-Entscheidung" hat der EuGH zu dem Datentransfer aus der EU in die USA entschieden, die von der EU nicht als ein Staat mit einem gleichwertigen Datenschutzniveau a...