Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Beschäftigtendatenschutz in der Datenschutz-Grundverordnung: 4 Fragen - 4 Antworten

0 Beurteilungen
Beschäftigtendatenschutz [Urheber: vege | Fotolia]

Erstellt:

Beim Erheben, Verarbeiten und Nutzen personenbezogener Daten von Beschäftigten gibt es vieles zu beachten. Das, was es zu beachten gilt, wird bis zum 25.5.2018 noch einiges mehr werden. Schließlich ist dann die europäische Datenschutz-Grundverordnung (DS-GVO) verbindlich.

Klar, dass sich Ihnen und den Verantwortlichen in Ihrem Unternehmen viele Fragen stellen. Die Antworten auf typischerweise aufkommende Fragen finden Sie hier:

Frage 1: Welche Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten gibt es heute?

Wenn es um das Erheben, Verarbeiten und Nutzen personenbezogener Daten geht, muss dies von einem Gesetz vorgeschrieben oder erlaubt sein oder der Betroffene eingewilligt haben. Mit dieser Festlegung enthält § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) schon Hinweise auf wichtige Rechtsgrundlagen, die auch den Umgang mit personenbezogenen Daten von Beschäftigten betreffen. § 4 Abs. 1 BDSG nennt darüber hinaus eine weitere Variante. Auch andere Rechtsvorschriften können eine Rechtsgrundlage darstellen. Unter den Begriff der anderen Rechtsvorschrift fallen beispielsweise kollektivrechtliche Vereinbarungen wie Tarifverträge und Betriebsvereinbarungen. Konkret zählen zu den wichtigsten Rechtsgrundlagen: § 32 Abs. 1 Satz 1 BDSG

Die Datenverarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses kann zulässig sein, wenn die Verarbeitung für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

§ 32 Abs. 1 Satz 2 BDSG

Das ist die richtige „Hausnummer“ in Sachen Rechtsgrundlagen, wenn es um die Datenverarbeitung zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten geht. Dabei ist wichtig: Die gesetzliche Regelung enthält mehrere Tatbestandsvoraussetzungen, welche die arbeitsgerichtliche Rechtsprechung beispielsweise im Zusammenhang mit der heimlichen Videoüberwachung herausgebildet hat. Diese Voraussetzungen müssen alle erfüllt sein. Fehlt es beispielsweise an der Angemessenheit, ist die Datenverarbeitung insgesamt unzulässig.

Anzeige

Einwilligung des Beschäftigten (§ 4a BDSG) Die Einwilligung wird von der noch geltenden EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), aber auch vom BDSG in einem Atemzug mit den gesetzlichen Rechtsgrundlagen genannt. Dennoch vertreten viele Aufsichtsbehörden für den Datenschutz, dass unter Umständen im Beschäftigungsverhältnis eine Einwilligung nicht wirksam erklärt werden kann. Dies wird meist damit begründet, dass es an der in § 4a BDSG geforderten Freiwilligkeit fehlt. Schließlich befindet sich der Beschäftigte aufgrund des Beschäftigungsverhältnisses in einer Abhängigkeit zum Arbeitgeber. Anders sehen es jedoch Arbeitsgerichte. Immer wieder stellen diese fest, dass auch im Beschäftigungsverhältnis eingewilligt werden kann.

Betriebsvereinbarungen

Betriebsvereinbarungen gelten als andere Rechtsvorschriften. Sie können ähnlich wie gesetzliche Rechtsgrundlagen ein Erheben, Verarbeiten oder Nutzen personenbezogener Daten auf betrieblicher Ebene vorschreiben oder erlauben. Dabei können Arbeitgeber und Betriebsrat sogar von den Festlegungen des BDSG abweichen, wenn das Persönlichkeitsrecht der Arbeitnehmer nicht unzumutbar beeinträchtigt wird und die getroffene Regelung insbesondere nicht gegen den Grundsatz der Verhältnismäßigkeit verstößt.

Frage 2: Welche Rechtsgrundlagen soll es zukünftig geben?

Die DS-GVO enthält zunächst nur allgemeine Rechtsgrundlagen, die Basis für jede Datenverarbeitung sein können. Diese finden Sie in Art. 6 DS-GVO unter der Überschrift „Rechtmäßigkeit der Verarbeitung“. Nach Art. 6 Abs. 1 DS-GVO ist eine Datenverarbeitung nur rechtmäßig, wenn eine der im Absatz genannten Bedingungen (= Rechtsgrundlagen) erfüllt ist. Zu diesen Bedingungen zählen beispielsweise:

Einwilligung des Betroffenen (Art. 6 Abs. 1 Buchst. a, Art. 7 DSGVO) 

  • Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung (Art. 6 Abs. 1 Buchst. b DS-GVO)
  • Der Verantwortliche ist zur Verarbeitung der Daten verpflichtet (Art. 6 Abs. 1 Buchst. c DS-GVO).
  • Die Datenverarbeitung ist für berechtigte Interessen des Verantwortlichen

oder eines Dritten erforderlich und es überwiegen weder Interessen noch Grundrechte und Grundfreiheiten des Betroffenen (Art. 6 Abs. 1 Buchst. f DS-GVO).

Hinzukommen dürften jedoch noch weitere Rechtsgrundlagen. § 88 Abs. 1 DS-GVO enthält für die EU-Mitgliedsstaaten die Möglichkeit, im Hinblick auf die Datenverarbeitung im Beschäftigungskontext spezifischere Rechtsvorschriften zu erlassen. Aller Voraussicht nach wird Deutschland von dieser Möglichkeit Gebrauch machen.

Wie aus einem ersten Referentenentwurf zu einem BDSGNachfolgegesetz (Allgemeines Bundesdatenschutzgesetz (ABDSG-E)) hervorgeht, soll der bisherige § 32 BDSG in § 33 ABDSG-E übernommen werden. § 33 ABDSG-E wird nur noch um die Definition des Beschäftigtenbegriffs aus § 3 Abs. 11 BDSG ergänzt. Die in § 33 ABDSG-E enthaltenen Rechtsgrundlagen sind dann die spezifischeren Rechtsgrundlagen und gehen den allgemeinen Rechtsgrundlagen aus Art. 6 DS-GVO vor.

Frage 3: Wer ist für die Einhaltung der Vorgaben zum Beschäftigtendatenschutz verantwortlich?

Für die Geltungsdauer des BDSG haben Sie im Unternehmen vor allem das Unternehmen als verantwortliche Stelle. Diese entscheidet über das Erheben, Verarbeiten und Nutzen der Beschäftigtendaten. Selbst wenn die Datenverarbeitung der Mitbestimmung durch beispielsweise einen Betriebsrat unterliegt, trägt das Unternehmen als Arbeitgeber und verantwortliche Stelle, die Verantwortung für den datenschutzkonformen Umgang mit personenbezogenen Daten.

Im Unternehmen kann es jedoch eine weitere verantwortliche Stelle geben. Die Rede ist vom Betriebsrat. Aufgrund seiner autonomen Stellung wird der Betriebsrat nicht zum Arbeitgeber, sprich Unternehmen gezählt. Er ist selbst als verantwortliche Stelle anzusehen, wenn es um die von ihm verantworteten Verarbeitungen personenbezogener Daten geht. Kommt es zum Verstoß gegen den Datenschutz, muss der Betriebsrat bzw. das betreffende Betriebsratsmitglied dies verantworten. Mit Geltung der DS-GVO wird es im Ergebnis keine Änderung an dieser Einschätzung geben. Die Definition der verantwortlichen Stelle aus § 3 Abs. 7 BDSG ähnelt sehr der Definition des Verantwortlichen in Art. 4 Nr. 7 DS-GVO.

Frage 4: Was kann passieren, wenn im Umgang mit Beschäftigtendaten gegen den Datenschutz verstoßen wird?

Wurde bislang gegen den Datenschutz verstoßen und erhielt die Datenschutzaufsichtsbehörde Kenntnis vom Verstoß, konnte sie auf verschiedene Weise reagieren. Je nach Art des Verstoßes, Schwere und Auswirkungen für den Betroffenen oder etwa der gezeigten Einsicht und Kooperationsbereitschaft des Unternehmens konnte dies von freundlichen Hinweisen über die Verhängung von Bußgeldern bis hin zur Untersagung von Datenverarbeitungen gehen. Der Bußgeldrahmen ist in Deutschland bis zum Geltungsbeginn der DS-GVO insbesondere durch § 43 BDSG vorgegeben.

Allerdings wurden die Höchstgrenzen meist nicht ausgeschöpft. Mit der DS-GVO könnte dies anders werden. Schließlich sollen Verstöße gegen die DS-GVO so geahndet werden, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sind (Art. 83 Abs. 1 DS-GVO). Dabei dürften die sich aus Art. 83 Abs. 4 bis 6 DS-GVO ergebenden Bußgeldrahmen von 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs oder 10 bzw. 20 Mio. € an sich schon abschreckend genug sein.

Wichtig: Wenn Sie auf den Bußgeldrahmen hinweisen, sollten Sie Panikmache vermeiden. Auch wenn Vertreter mancher Datenschutzaufsichtsbehörden äußern, dass es zukünftig bei jedem Datenschutzverstoß zu einem Bußgeld kommt, muss sich dies erst noch in der Praxis bestätigen. Die DS-GVO enthält so manches Hintertürchen. Entsprechend kann man § 83 Abs. 2 Satz 2 DS-GVO wie folgt deuten: Nicht nur bei der Entscheidung über die Höhe, sondern auch bei der Entscheidung über eine Geldbuße an sich müssen die dort genannten Aspekte berücksichtigt werden. Vielleicht kommt man dann zu dem Ergebnis, dass kein Bußgeld zu verhängen ist.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Bei diesen Themen entscheiden Sie mit!

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Jobs