Prof. Dr. jur. Tobias Huep
Mit der DSGVO hat der europäische Gesetzgeber erstmals eine unmittelbar zwingende, europaweit einheitliche gesetzliche Regelung zum Datenschutz mit dem Ziel weitgehender Harmonisierung geschaffen. Dabei steht die Verordnung gemäß Art. 1 Abs. 1 DSGVO im Spannungsfeld von freiem Datenverkehr im Europäischen Binnenmarkt und dem persönlichen Datenschutz für den einzelnen EU-Bürger. Die diesbezügliche Konkretisierung und Abwägung auch für das Arbeitsrecht erfolgt maßgeblich durch den EuGH. Die Verordnung wirkt seit dem 25.5.2018 unmittelbar und zwingend in allen Mitgliedstaaten. Sie hat Vorrang vor dem nationalen Datenschutzrecht, enthält allerdings aufgrund verschiedener Öffnungsklauseln Freiräume für den nationalen Gesetzgeber. Die Datenschutz-Grundverordnung enthält keine spezifischen Regelungen zum Beschäftigtendatenschutz und wird das deutsche Datenschutzrecht nicht vollständig verdrängen. Von grundsätzlicher arbeitsrechtlicher Bedeutung sind dabei zunächst das in Art. 6 Abs. 1 b) DSGVO allgemein festgeschriebene Prinzip der vertragsbezogenen Erforderlichkeitsprüfung jeder Datenverarbeitung sowie die Einwilligung in die Datenverarbeitung seitens der betroffenen Person (Art. 6 Abs. 1 a) DSGVO). Für den Datenschutz im Arbeitsverhältnis weiterhin von Bedeutung ist die Öffnungsklausel des Art. 88 DSGVO. Die Regelung enthält keine eigenständigen Vorgaben zum Datenschutz im Arbeitsverhältnis, sondern eröffnet den Mitgliedstaaten, aber auch den Tarifvertragsparteien, "spezifischere Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung der personenbezogenen Beschäftigtendaten im Beschäftigungskontext" vorzusehen. Möglich sind dadurch z. B. strengere nationale Vorschriften zum Schutz der Beschäftigtendaten. Ein Unterschreiten des Schutzniveaus der DSGVO wäre unstreitig verordnungswidrig. Andererseits muss eine nationale Norm gegenüber der DSGVO "spezifischere" Regelungen enthalten. Unzulässig, weil letztlich überflüssig, ist daher ein Norminhalt wie in § 26 BDSG, der bloß die Vorgaben der DSGVO wiederholt und nicht über die Inhalte der DSGVO hinausgeht. Zu beachten sind darüber hinaus die Schranken des primären Unionsrechts, z. B. der Europäischen Grundrechte. Die entsprechende Umsetzung erfolgte in § 26 BDSG - zu dessen vermutlicher Unwirksamkeit bereits oben sowie zu den Details unten.
Die Öffnungsklausel gilt für alle relevanten Bereiche bei der Durchführung von Beschäftigungsverhältnissen: Einstellung, Erfüllung des Arbeitsvertrags, Planung und Organisation der Arbeit, Gleichheitsfragen und Diversität am Arbeitsplatz, Gesundheit und Sicherheit am Arbeitsplatz, sämtliche Bereiche individual- und kollektivvertraglicher Rechte und Leistungen sowie für Zwecke der Beendigung des Beschäftigungsverhältnisses.
Zu beachten sind jedoch die allgemeinen Anforderungen der DSGVO. Dazu gehören die Anforderungen an die Einwilligung des Betroffenen zur Datenverarbeitung (Art. 6 Abs. 1 a), 7 Abs. 1 und 2 DSGVO) und sein diesbezügliches Widerrufsrecht (Art. 7 Abs. 3 DSGVO).
Gemäß Art. 5 DSGVO wird auch der private Arbeitgeber auf die nachfolgenden Datenschutzgrundsätze verpflichtet:
- Transparenz, Integrität und Vertraulichkeit
- Zweckbindung und damit verknüpft die zeitlich begrenzte Speicherung
- Datenminimierung (str., ob dies enger oder weiter zu verstehen ist als die bisherige Pflicht zur Datensparsamkeit, siehe dazu unten 4. 4.1)
- Richtigkeit der Daten
Die DSGVO erfasst auch Unternehmen mit Sitz außerhalb der EU, sofern diese Beschäftigtendaten von Beschäftigungsverhältnissen innerhalb der EU erfassen (sog. "Marktortprinzip").