Review | BetroffenheitAlle Arbeitgeber NachrichtMit dem neuen BDSG soll das 40 Jahre alte bisherige deutsche Bundesdatenschutzgesetz an die europäischen Vorgaben der Datenschutzgrundverordnung (DSGVO) angepasst werden. Diese Verordnung wirkt zwar unmittelbar auf die nationale Rechtsordnung, so dass eigentlich ein Gesetzgebungsverfahren nicht notwendig gewesen wäre, damit die Verordnung auch in Deutschland Gültigkeit erlangt, es sind aber in der DSGVO zahlreiche Öffnungsklauseln zu finden, die den einzelnen Mitgliedstaaten die Möglichkeit geben, bestimmte Sachverhalte konkreter zu regeln oder auch Rechte und Pflichten aus der Verordnung auf nationaler Ebene einzuschränken.
Wesentliche Änderungen des neuen BDSG sind: - Videoüberwachung: Geringe Änderungen
§ 4 befasst sich mit der Videoüberwachung. Im Wesentlichen werden die alten Regelungen beibehalten. In den in § 4 Abs. 1 S. 2 statuierten Fällen von Videoüberwachung von hochfrequentierten Räumen wird die Abwägungsentscheidung im Sinne von § 4 Abs. 1 S. 1 zugunsten von Sicherheitsbelangen und demzufolge zugunsten der Zulässigkeit des Einsatzes einer Videoüberwachungsmaßnahme gewichtet.
- Vorgaben zum Arbeitnehmerdatenschutz
Der deutsche Gesetzgeber hat von der ihm eingeräumten Kompetenz Gebrauch gemacht und mit § 26 eine Regelung zum Arbeitnehmerdatenschutz in das neue BDSG aufgenommen. Diese lässt sich in zwei Kategorien unterteilen: bereits aus der vorherigen Fassung des Gesetzes bekannte Regelungen und neue Regelungen. - Bekannte Regelungen zum Beschäftigtendatenschutz
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist (§ 26 Abs. 1 Satz 1). Dies entspricht weitestgehend dem alten § 32 Abs. 1 Satz 1 BDSG.
Die Voraussetzungen für die Verarbeitung von personenbezogene Daten zur Aufdeckung von Straftaten von Beschäftigten finden sich nun in § 26 Abs. 1 Satz 2 und decken sich mit denen des § 32 Abs. 1 Satz 2 BDSG alte Fassung.
Die in § 26 getroffenen Bestimmungen zum Beschäftigtendatenschutz sind gemäß § 26 Abs. 7 auch anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Regelung stimmt mit dem bisherigen § 32 Abs. 2 überein.
Nach § 26 Abs. 6 bleiben die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt. Diese Regelung ist mit der Regelung des alten § 32 Abs. 3 BDSG identisch.
- Neue Regelungen zum Arbeitnehmerdatenschutz
Die nachfolgenden Regelungen sind nunmehr ausdrücklich in § 26 für den Beschäftigtendatenschutz geregelt. Viele der Regelungen galten schon unter den Bestimmungen des BDSG alte Fassung, finden sich dort jedoch an verschiedenen Stellen. - Verarbeitung aufgrund Gesetzes oder ähnlicher Vereinbarung
§ 26 Abs. 1: Personenbezogene Daten von Beschäftigten dürfen auch dann verarbeitet werden, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Demnach ist zukünftig auch die Verarbeitung personenbezogener Daten aufgrund Gesetzes oder gesetzesähnlicher Regelung am Maßstab der Erforderlichkeit zu messen.
- Freiwilligkeit der Einwilligung
§ 26 Abs. 2: Für die Beurteilung der Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person und die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. § 26 Abs. 2 greift die Problematik der Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigtenverhältnis auf und gibt insoweit eine Beurteilungshilfe.
§ 26 Abs. 2 enthält darüber hinaus noch einige formelle Anforderungen an die Einwilligung. Die Einwilligung ist demnach grundsätzlich schriftlich einzuholen. Außerdem hat der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform aufzuklären.
- Verarbeitung besonderer Kategorien personenbezogener Daten
§ 26 Abs. 3: Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Soweit die Verarbeitung auf der Grundlage einer Einwilligung erfolgt, ist zusätzlich zu den Voraussetzungen des § 26 Abs. 2 zu beachten, dass sich die Einwilligung ausdrücklich auf diese Daten beziehen muss.
- Verarbeitung auf der Grundlage von Kollektivvereinbarungen
§ 26 Abs. 4: Eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen. Nachdem dies nach der bisherigen Rechtslage bereits über § 4 BDSG alte Fassung in Verbindung mit der dazugehörigen Rechtsprechung möglich war, enthält § 26 diesbezüglich nun eine ausdrückliche Regelung.
- Einhaltung der Grundsätze nach Art. 5 DSGVO
§ 26 Abs. 5: Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Grundsätze der DSGVO, insbesondere diejenigen des Art. 5 DSGVO, eingehalten werden. Diese sind Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.
- Beschäftigte
§ 26 Abs. 8: Definition des Beschäftigtenbegriffs
Im Vergleich zu der bisherigen Definition aus § 3 Abs. 11 BDSG alte Fassung bezieht sich die Definition nunmehr ausdrücklich auch auf Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher und auf Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten.
- Datenschutzbeauftragte
§ 38 Abs. 1 entspricht weitgehend § 4f Abs. 1 S. 4 BDSG alte Fassung, ergänzt die bisherige Vorschrift jedoch um einen Punkt. § 38 Abs. 2 weitet die Vorgaben zur Abberufung und Kündigung des Datenschutzbeauftragten für öffentliche Stellen auch auf den Datenschutzbeauftragten für nichtöffentliche Stellen aus.
Es besteht nach § 38 weiterhin eine Pflicht zur Benennung ab zehn Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Wie bisher unterliegt der betriebliche Datenschutzbeauftragte sowohl dem besonderen Kündigungsschutz als auch der Verschwiegenheitspflicht und hat ein Zeugnisverweigerungsrecht.
Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Nicht konkretisiert wurde, was unter dem Begriff „Benennung“ aus der DSGVO zu verstehen ist, denn die DSGVO schreibt keine bestimmte Form für die Benennung vor. Begrifflich ist eine „Benennung“ jedenfalls weniger formal als eine „Bestellung“. Aufgrund der möglichen Rechtsfolgen einer Benennung empfiehlt es sich aber dennoch, eine schriftliche Benennung vorzunehmen.
HandlungsempfehlungHolen Sie sich – soweit noch nicht geschehen – die Einwilligung zur Verarbeitung personenbezogener Daten von Ihren Beschäftigten ein. Achten Sie bei der Einholung darauf, dass diese freiwillig erfolgen muss. Berücksichtigen Sie dabei insbesondere die Abhängigkeit der Beschäftigten und die konkreten Umstände, unter denen die Einwilligung zu erteilen ist. Achten Sie zudem darauf, dass die Einwilligung grundsätzlich schriftlich einzuholen ist und die Beschäftigten in Textform über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufgeklärt worden sind. Dokumentieren Sie die Vorgänge entsprechend.
Ziehen Sie ggf. die Möglichkeit in Betracht, dass eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis auch auf der Grundlage von Kollektivvereinbarungen erfolgen kann.
Ergreifen Sie geeignete technische und organisatorische Maßnahmen zur Einhaltung der Grundsätze der DSGVO. Stellen Sie beispielsweise mit datenschutzfreundlichen Voreinstellungen sicher, dass nur die jeweils erforderlichen Daten verarbeitet werden.
Prüfen Sie Ihre Bestellungspflicht hinsichtlich des Datenschutzbeauftragten. Wenn Sie bisher einen Datenschutzbeauftragten bestellen mussten, bleibt dieses Erfordernis auch als „Benennungspflicht“ weiterhin bestehen. |