Dr. iur. Berthold Hilderink
A. Datenschutz-Grundverordnung
I. Ziel der Datenschutz-Grundverordnung
Rz. 1
Seit dem 25.5.2018 gilt europaweit die Datenschutz-Grundverordnung (DSGVO). Ziel der Datenschutz-Grundverordnung (DSGVO) vom 27.4.2016 ist es, ein gleichwertiges Schutzniveau bei der Verarbeitung von personenbezogenen Daten in allen Mitgliedstaaten der Europäischen Union herzustellen (Erwägungsgrund 10). Der DSGVO kommt gegenüber nationalen Regelungen ein Anwendungsvorrang zu. Seit dem 25.5.2018 verdrängt die DSGVO die nationalen Datenschutzgesetze der EU-Mitgliedstaaten. Erwägungsgrund 8 der DSGVO stellt klar, dass den Mitgliedstaaten nationale Regelungen nicht verwehrt sind, solange der Vorrang beachtet wird, der nach Art. 288 Abs. 2 AEUV einer EU-Verordnung zukommt.
II. Regelungen zum Beschäftigtendatenschutz in der Datenschutz-Grundverordnung
Rz. 2
Der Beschäftigtendatenschutz ist im EU-Recht nicht gesondert geregelt. Art. 88 DSGVO ermächtigt dazu, "spezifischere Vorschriften ("more specific rules" im englischen Text) …im Beschäftigungskontext" zu erlassen. Im Rahmen des Normsetzungsverfahrens von Europäischem Parlament, Rat und Kommission konnten sich die Mitgliedstaaten nicht über eine bereichsspezifische Regelung der Verarbeitung von Beschäftigtendaten einigen. Dies war nicht Ausdruck eines besonderen unionsrechtlichen, sondern eines allgemeinen Problems: auch in Deutschland scheiterten in der Vergangenheit alle Regulierungsversuche eines umfassenden Beschäftigtendatenschutzes, zuletzt beispielsweise 2010 mit dem "Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutz". Die Regierungen waren bislang nicht bereit, auch ohne Konsens zwischen Arbeitgeberverbänden und Gewerkschaften ein Gesetz zu erlassen (Düwell/Brink, NZA 2017, 1081; Düwell in: Weth/Herberger/Wächter, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, I. Die Entwicklung des Arbeitnehmerdatenschutzes, Rn 25 ff.).
Als Beispiele für Sachverhalte beziehungsweise Zwecke, die von den Mitgliedstaaten geregelt werden können, nennt Art. 88 Abs. 1 DSGVO "Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags" sowie "Zwecke der Beendigung des Beschäftigungsverhältnisses". Typische Zwecke der Erfüllung des Arbeitsvertrags sollen insbesondere die folgenden in Art. 88 Abs. 1 DSGVO beispielhaft genannten Fallgruppen umfassen:
▪ |
Erfüllung von durch Rechtsvorschriften festgelegten Pflichten; |
▪ |
Erfüllung der durch Kollektivvereinbarungen festgelegten Pflichten; |
▪ |
das Management, die Planung und die Organisation der Arbeit; |
▪ |
die Sicherstellung der Gleichheit und Diversität am Arbeitsplatz; |
▪ |
die Sicherstellung der Gesundheit und Sicherheit am Arbeitsplatz; |
▪ |
den Schutz des Eigentums des Arbeitgebers; |
▪ |
den Schutz des Eigentums der Kunden des Arbeitgebers sowie |
▪ |
die Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen. |
Diese in Art. 88 Abs. 1 DSGVO genannten Zwecke können Arbeitgebern auch hilfreiche Anhaltspunkte für die Festlegung von Verarbeitungszwecken nach Maßgabe des Art. 5 Abs. 1 lit. b) DSGVO bieten (vgl. hierzu im Einzelnen Rdn 100).
B. Datenschutz-Anpassungs- und Umsetzungsgesetz; BDSG
I. Aufbau und sachliche Anwendungsbereiche des BDSG
Rz. 3
Der deutsche Gesetzgeber hat den ihm eingeräumten Gestaltungsspielraum genutzt und am 5.7.2017 das "Gesetz zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 (Datenschutz – Anpassungs- und – Umsetzungsgesetz EU – DSAnpUG-EU)" verkündet. Nach Art. 8 Abs. 1 S. 1 des DSAnpUG-EU ist ein neues Bundesdatenschutzgesetz mit Wirkung vom 25.5.2018 in Kraft (in der Folge: BDSG), welches damit das Bundesdatenschutzgesetz i.d.F. der Bekanntmachung vom 14.1.2003 (in der Folge: BDSG a.F.) abgelöst hat. § 26 BDSG enthält besondere Regelungen für die Datenverarbeitung im Beschäftigungskontext. Am 28.6.2019 verabschiedete der Bundestag das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG), welches vom Bundesrat am 20.9.2019 gebilligte und am 25.11.2019 im Bundesgesetzblatt veröffentlicht wurde. Mit dem 2. DSAnpUG wurde § 26 Abs. 2 BDSG über die Voraussetzungen, unter denen im Beschäftigungsverhältnis eine Einwilligung eingeholt werden kann, geändert. Nach früherem Recht war für die Einwilligung die Schriftform nötig, soweit nicht wegen besonderer Umstände eine andere Form angemessen war. Nach neuem Recht kann die Einwilligung schriftlich oder elektronisch erfolgen. Zudem wurde in § 38 Abs. 1 S. 1 BDSG die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von zehn auf 20 angehoben. Hiermit sollen kleinere und mittlere Unternehmen entlastet werden. Allgemein lässt sich feststellen, dass das Zusammenwirken von Unions- und Nationalrecht das bisher ohnehin schon komplexe Datenschutzrecht für den Rechtsanwender noch komplizierter macht.
Rz. 4
Das BDSG gliedert sich strukturell in vier Teile. Die Teile 1 und 2 ergänzen die unmittelbar geltende DSGVO um die Bereiche, in denen die DSGVO den Mitgliedstaaten Regelungsgebote auferlegt oder durch Öffnungsklauseln Gestaltungsspielräume gewährt. Im Anwendungsbereich der DSGVO sind somit das BDSG und die DSGVO in einem Verbund zu betrachten. Die in Teil 1 des BDSG enthalten...