Datenverarbeitung im Beschäftigungsverhältnis nach der DSGVO
Im bisherigen Bundesdatenschutzgesetz (BDSG) wird die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses in § 32 geregelt. Dort wird festgelegt, dass personenbezogene Daten, welche für das Beschäftigungsverhältnis benötigt werden, vom Arbeitgeber verarbeitet werden dürfen.
Nur eine Öffnungsklausel in der DSGVO
Die EU Datenschutz-Grundverordnung (DSGVO) enthält zum Thema „Beschäftigungsverhältnis“ nun keinerlei inhaltliche Regelungen mehr. In Art. 88 DSGVO wird lediglich festgelegt, dass die Datenverarbeitung im Beschäftigungskontext durch nationales Recht oder Kollektivvereinbarungen (also Tarifverträge oder Betriebsvereinbarungen) geregelt werden kann.
Alte Regelungen übernommen…
Glücklicherweise hat der deutsche Gesetzgeber im Nachfolgegesetz zum BDSG (wir nennen es nachfolgend BDSG-neu) in § 26 eine solche Regelung geschaffen. § 26 Abs. 1 BDSG-neu übernimmt die bisherigen Regelungen des § 32 Abs. 1 BDSG inhaltlich nahezu unverändert. Lediglich Anpassungen an Wortwahl und Kontext der DSGVO wurden vorgenommen.
Gleiches gilt für Abs. 6, welcher dem bisherigen Abs. 3 entspricht und die Rechte der Interessenvertretungen (beispielsweise des Betriebsrats) sichert.
… und sinnvoll ergänzt
Ebenso wurde mit Abs. 7 die Regelung des bisherigen Abs. 2 übernommen. Dort wird festlegt, dass die Erlaubnis der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis sich sowohl auf papierhafte als auch auf elektronisch verarbeitete Daten bezieht. Hier wird zwar zusätzlich auf besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO eingegangen. Die Erlaubnis, diese zu verarbeiten wird allerdings bereits in § 26 Abs. 3 BDSG-neu eingeführt: Sofern solche besonderen Kategorien personenbezogener Daten „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ benötigt werden, ist deren Verarbeitung zulässig.
Darüber hinaus wird in Abs. 4 klargestellt, dass in Kollektivvereinbarungen durchaus die Verarbeitung weiterer personenbezogener Daten, einschließlich besonderer Kategorien, vereinbart werden kann.
Endlich sind Einwilligungen möglich
Wirklich erfreulich ist nach unserer Ansicht der Abs. 2. Dort wird (endlich! wir können es gar nicht oft genug betonen) klargestellt, dass Einwilligungserklärungen zur Verarbeitung möglich sind. Bislang wurde häufig argumentiert, dass aufgrund des Abhängigkeitsverhältnisses im Rahmen der Beschäftigung eine echte Freiwilligkeit bei Einwilligungen der Beschäftigten nicht möglich sei. Hier trifft der Gesetzgeber die klare Aussage, dass die Umstände zu berücksichtigen sind und dass eine Freiwilligkeit durchaus gegeben sein kann, wenn beispielsweise die Beschäftigten durch die Einwilligung einen Vorteil erlangen oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen.
Für solche Einwilligungen wird für den Regelfall die Schriftform vorgeschrieben.
Kleine Ergänzung bei der Definition des Beschäftigten
Schließlich wurde die bekannte Definition des Begriffs „Beschäftigter“ aus § 3 Abs. 11 BDSG in § 26 Abs. 8 nahezu übernommen. Lediglich die Klarstellung, dass Leiharbeitnehmer und Leiharbeitnehmerinnen im Verhältnis zum Entleiher auch als dessen Beschäftigte zu behandeln sind, wurde ergänzt.
Es lässt sich also feststellen, dass die bislang nach dem bisherigen BDSG geltenden Regelungen nahezu identisch weiter gelten. Das BDSG-neu füllt die in Art. 88 DSGVO enthaltene Öffnungsklausel gut aus. Wir empfehlen allerdings allen Arbeitgebern, zu überprüfen, inwieweit sich aus der expliziten Erweiterung des Begriffs „Beschäftigter“ auf Leiharbeitnehmer und Leiharbeitnehmerinnen ein Handlungsbedarf ergibt.
Darüber hinaus schafft die zusätzliche Regelung in Abs. 2 zusätzlichen Spielraum für die Gestaltung von Einwilligungserklärungen.
Sind Sie unsicher, ob bei Ihnen Handlungsbedarf bezüglich des Personalmanagements besteht? Möchten Sie Daten auf Basis einer Einwilligung im Beschäftigungsverhältnis verarbeiten? Wir unterstützen Sie dabei!
Sie schreiben, dass „endlich Einwilligungen möglich seien“. Dem Wortlaut des Gesetzes folgend stimmt das selbstverständlich. Ich sehe aber kaum realistische Möglichkeiten solcher „gleichgelagerter Interessen“. Auch der Gesetzgeber stellt klar, dass Freiwilligkeit eben nicht der Regelfall ist, sondern nur bestehen „kann“. Außerdem sind Einwilligungen immer und jederzeit widerruflich, insofern meines Erachtens keine sichere Rechtsgrundlage, darauf Datenverarbeitungsprozesse zu stützen. Lediglich, wo eine Verarbeitung tatsächlich optional ist, halte ich das Risiko für vertretbar. Dann aber ist bereits nicht die Maßgabe der Erforderlichkeit erfüllt und die Verarbeitung von vornherein unzulässig, oder nicht?
Liebe(r) AKK,
vielen Dank für Ihren Kommentar. Sie treffen den zukünftigen Charakter von Einwilligungen auf den Kopf: Sie stellen nur für den Moment eine valide Rechtsgrundlage für eine Verarbeitung dar, die im nächsten Moment bereits durch Widerruf entfallen kann.
Genau aus diesem Grunde sehen wir die Klarstellung des Gesetzgebers als durchaus nützlich an, denn durch die jederzeitige Widerrufbarkeit einer Einwilligung wird die „Macht des Arbeitgebers“ unseres Erachtens deutlich beschnitten. Auch sehen wir diese Regelung als deutlichen Hinweis in Richtung der Rechtsprechung, genauer zu prüfen und nicht pauschal anzunehmen, der Arbeitgeber übe Druck auf die Beschäftigten aus. Ein Beispiel hierfür sind Vereinbarungen zur privaten Nutzung von Kommunikationsmitteln (zum Beispiel des Internetzugangs) des Arbeitgebers, in denen die Beschäftigten regelmäßig einwilligen müssen, dass der Arbeitgeber Einsicht in die Verbindungs-Metadaten nimmt, welche bei einer privaten Nutzung eigentlich dem Fernmeldegeheimnis nach § 88 TKG unterliegen. Diese Einwilligung dient durchaus beiden Seiten: Die Beschäftigten dürfen den Firmen-Internetzugang für private Zwecke nutzen und der Arbeitgeber behält dabei alle Möglichkeiten, sein Netzwerk zu verwalten und zu sichern oder Datenabflüsse zu entdecken, ohne das Fernmeldegeheimnis zu verletzen.
Darüber hinaus sind Einwilligungen bei einer optionalen Verarbeitung häufig das einzige Mittel, diese durchführen zu können. Nach Ihrer Argumentation wären alle Verarbeitungen, die nicht zwingend notwendig sind, von vorneherein unzulässig. Das würde dann z. B. auch auf den Versand von Newslettern zutreffen. Diese funktionieren nur mit Einwilligung und sind, solange diese besteht, auch zulässig. Nur weil eine Verarbeitung nicht zwingend notwendig ist, bedeutet das nicht, dass Sie per se unzulässig wäre. Gerade die Einwilligung ist hier unseres Erachtens das Mittel der Wahl. Wenn auch keines, auf das man sich dauerhaft verlassen könnte.