Beschäftigtendatenschutz unter der EU-Datenschutz-Grundverordnung – wohin geht die Reise?

Der Beschäftigtendatenschutz bildet den datenschutzrechtlichen Rahmen, der innerhalb des Beschäftigungsverhältnisses einzuhalten ist; das informationelle Selbstbestimmungsrecht von Beschäftigten muss auch ihrem Arbeitsplatz gewährleistet sein. Es gilt jedoch nicht ohne Einschränkung: Vielmehr soll der Beschäftigtendatenschutz einen angemessenen Ausgleich zwischen den Interessen des Arbeitgebers oder Dienstherrn und denen der Beschäftigten herstellen.  

In kaum einem anderen privatrechtlichen Vertragsverhältnis werden mehr personenbezogene Daten eines Vertragspartners erhoben, verarbeitet oder genutzt wie im Beschäftigungsverhältnis. Die besondere Schutzbedürftigkeit des Beschäftigten aufgrund der Datenverarbeitung durch den Arbeitgeber oder Dienstherrn ergibt sich aufgrund mehrerer Tatsachen: Erstens liegt im Hinblick auf die beiden Vertragsparteien eine strukturelle Unterlegenheit auf Seiten des Beschäftigten vor. Zweitens bestehen steigende Informationserwartungen von Arbeitgeber oder Dienstherr aufgrund einer zunehmenden Speicherung und Auswertung beschäftigtenbezogener Daten. Drittens muss es dem Arbeitgeber oder Dienstherrn möglich sein, die Erbringung der Arbeitsleistung durch seine Beschäftigten sowohl in qualitativer als auch quantitativer Hinsicht zu überprüfen. Der Einsatz technischer Arbeitsmittel erleichtert dieses Bedürfnis: Allein die Auswertung der anfallenden Protokolldaten der von Beschäftigten jeweils genutzten Softwareprodukten und Netzwerkkomponenten ermöglicht es, ein umfassendes Profil zu erstellen, das einen bedeutenden Lebensbereich der Beschäftigten abbildet.  

Die bereits seit Jahrzehnten geforderte umfassende gesetzliche Regelung des Beschäftigtendatenschutzes besteht bis zum heutigen Tag nicht. Als Schwierigkeit für die Praxis gilt die Tatsache, dass zu zahlreichen Fragestellungen im Hinblick auf den Beschäftigtendatenschutz bislang keine ausdrücklichen Vorschriften existieren. Die Rechtslage ergibt sich teilweise aus dem Zusammenwirken verschiedener allgemeiner Gesetze, wie dem Bundesdatenschutzgesetz und dem Betriebsverfassungsgesetz. Darüber hinaus bestehen essentielle Grundsätze für den Beschäftigtendatenschutz, die in Gerichtsentscheidungen entwickelt wurden. Die gesamte Rechtsmaterie ist im Regelfall aufgrund ihrer Komplexität weder für Arbeitgeber oder Dienstherrn noch für den einzelnen Beschäftigten zu durchschauen. 

Aktuell findet sich in § 32 Bundesdatenschutzgesetz (BDSG) eine allgemeine Vorschrift zum Beschäftigtendatenschutz. Diese regelt u. a., dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 

Ab 25. Mai 2018 werden die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) gelten, die das Datenschutzrecht innerhalb der EU auf einem Höchstmaß vereinheitlichen sollen. Die EU-DSGVO enthält in Art. 88 eine Öffnungsklausel, die es den Mitgliedstaaten erlaubt, spezifische nationale Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorzusehen. Dies betrifft etwa ausdrückliche Vorgaben über die Bedingungen, unter denen personenbezogene Daten auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen.  

Dass der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen will, zeigt sich am ersten und zweiten Referentenentwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU), das dem gesetzlichen Anpassungsbedarf im nationalen Datenschutzrecht Rechnung tragen soll. Das aktuelle Bundesdatenschutzgesetz soll insgesamt von einem neuen Bundesdatenschutzgesetz abgelöst werden. Die beiden mit den zwei Referentenentwürfen bislang eingebrachten potenziellen Varianten von Regelungen zum Beschäftigtendatenschutz entsprechen im Wesentlichen der aktuellen Vorschrift des § 32 BDSG. Sie enthalten weitergehend eine enumerative Aufzählung der als „Beschäftigte“ zählenden Personengruppen, die sich aktuell in § 3 Abs. 11 BDSG wiederfindet. 

Die seit jeher geforderte Rechtssicherheit im Beschäftigtendatenschutz durch ausdrückliche Regelung bestimmter Sachverhalte wird damit nicht hergestellt – vielmehr bleibt es bei der aktuellen Rechtslage. Auch die Möglichkeit, bestimmte datenschutzrelevante Sachverhalte mittels Kollektivvereinbarung zu regeln, bleibt erhalten. 

Wir von DATA-S helfen Ihnen gerne, Ihre gesamten Unternehmensabläufe auf die künftigen Vorgaben der EU-DSGVO anzupassen. Kontaktieren Sie uns!