target="_blank" rel="nofollow" href="#ulink_91d885e8-5cbb-5d36-830d-a09507c257f0">
{Beschäftigtendatenschutz}
Zu den wichtigsten Rechtsquellen im Datenschutz zählt das Unionsprimärrecht mit dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und dem Vertrag über die Europäische Union (EUV) sowie der Grundrechtecharta der Europäischen Union (GRCh).
In der Praxis des Beschäftigtendatenschutzes hat allerdings das Unionssekundärrecht mit der DSGVO überragende Bedeutung. Hier sind die Grundsätze nach Art. 5 Abs. 2 DSGVO und die vom Verantwortlichen getroffenen technisch-organisatorischen Maßnahmen (TOM) gem. Art. 24 Abs. 1 DSGVO stets im Blick zu behalten.
Für den deutschen Rechtsanwender erscheint dabei die Regelungstechnik der DSGVO ungewohnt schwammig. Die mit Art. 4 DSGVO im Allgemeinen Teil vorangestellten Begriffsbestimmungen und Definitionen vermitteln eine trügerische Sicherheit. Das liegt nicht nur an dem vom deutschen Gesetzgeber bekannten Prinzip, allgemeine Grundsätze „vor die Klammer“ zu ziehen, sondern auch an den Überschriften der Norm. Diese vermitteln den Eindruck einer vollständigen und abschließenden Regelung, obwohl sich verstreut weitere wichtige Regelungen finden, die unter derselben Überschrift hätten abgehandelt werden können.
Auch die vielfach offenen Begrifflichkeiten verwirren. In dem für Unternehmen wichtigen Kap. IV, das die Vorschriften für Verantwortliche und Auftragsverarbeiter enthält, fehlt ein Pflichtenkatalog mit zuverlässigen und griffigen Formulierungen dieser Pflichten. Stattdessen verwendet der Verordnungsgeber im zentralen Art. 24 Abs. 1 Satz 1 DSGVO unbestimmte Rechtsbegriffe wie „Eintrittswahrscheinlichkeit“, „Schwere der Risiken“ und „geeignete Maßnahmen“.
Es wird vermutlich einmal mehr Aufgabe der Rechtsprechung sein, diese Begriffe für die Praxis handhabbar zu machen.
Die Verantwortlichen werden in Art. 24 Abs. 1 Satz 2 DSGVO zudem verpflichtet, „erforderlichenfalls“ die von ihnen getroffenen TOM zu überprüfen und zu aktualisieren. Damit will der Verordnungsgeber die oft als lästige Pflichtübung missverstandene einmalige Auseinandersetzung mit der DSGVO verhindern und einen fortlaufenden Prozess in Gang bringen. Die Eigenverantwortlichkeit wird so aber nur auf den ersten Blick gestärkt. Ohne konkrete Anhaltspunkte aus der Vorschrift, welche Prüfungsintensität und Aktualisierungsdichte vom Verantwortlichen erwartet wird, läuft dieses Ansinnen leer.
Leider führt dann konsequenterweise selbst die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 oder eine Zertifizierung gem. Art. 42 DSGVO nicht weiter. Beide sollen nur als jeweils einer unter mehreren Gesichtspunkten herangezogen werden können, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Absicht des Verordnungsgebers, Unternehmen zur ständigen Auseinandersetzung mit dem Datenschutz geradezu zu provozieren, ist zu begrüßen. Ob die Umsetzung immer geglückt ist, darf bezweifelt werden.
Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext
In dem für die Personalpraxis eminent wichtigen Art. 88 DSGVO ist eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext enthalten. Die Bedeutung dieser Vorschrift ist enorm.
Demnach können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten {Beschäftigtendaten} im Beschäftigungskontext festlegen. Dies gilt insbesondere für folgende Zwecke:
| • | Einstellung und Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten |
| • | Managementzwecke |
| • | Planung und Organisation der Arbeit |
| • | Gleichheit und Diversität am Arbeitsplatz |
| • | Gesundheit und Sicherheit am Arbeitsplatz |
| • | Schutz des Eigentums der Arbeitgeber oder Kunden |
| • | Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen |
| • | Beendigung des Beschäftigungsverhältnisses |
Diese müssen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Besonderes Gewicht legt die DSGVO hierbei auf die Transparenz der Verarbeitung und auf die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Ausdrücklich angesprochen sind außerdem die Überwachungssysteme am Arbeitsplatz.
Mit ihrem gegenüber der Vorgängernorm zugunsten der Betroffenen weiter gefassten Schutzkonzept und v. a. erheblich verschärften Sanktionen hat die DSGVO Handlungsbedarf im nationalen Recht ausgelöst. Die Reaktion des nationalen Gesetzgebers erfolgte in Deutschland mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz (DSAnpUG-EU) vom 30.06.2017. Auch im BDSG findet keine umfassende Neuregelung statt. Das mag aufgrund konzeptioneller Unklarheiten und Widersprüche zu bedauern sein, hat aber den Vorteil, dass zumindest teilweise auf bekanntes Praxiswissen zurückgegriffen werden kann.
Unverändert geblieben ist der subsidiäre Charakter, wie sich aus § 1 Abs. 2 Satz 1 BDSG ergibt. Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften des BDSG vor. Nur wenn sie einen vom BDSG erfassten Sachverhalt nicht oder nicht abschließend regeln, findet das BDSG Anwendung.
Die praxisrelevanten Begriffsbestimmungen und Grundlagen aus § 3 Abs. 11 und § 32 BDSG a. F. finden sich nun mit geringfügigen Änderungen im Abschnitt 2 unter den „Besonderen Verarbeitungssituationen“ in § 26 BDSG zusammengefasst.
Neu
Mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU), das am 26.11.2019 in Kraft getreten ist, beginnt die Pflicht zur Benennung eines betrieblichen oder externen Datenschutzbeauftragten erst bei 20 (bislang zehn) Angestellten. Was nach Entlastung klingt, ist vielleicht ein Danaergeschenk. Denn die datenschutzrechtlichen Pflichten müssen natürlich nach wie vor erfüllt werden. Klein- und Kleinstunternehmen sind jetzt lediglich nicht verpflichtet, sich dabei professioneller Unterstützung zu bedienen. Die Gefahr des „Weiterwurstelns“ ist deshalb beträchtlich.
Freiwilligkeit der datenschutzrechtlichen Einwilligung
In § 26 Abs. 2 BDSG ist erstmals die Freiwilligkeit der datenschutzrechtlichen Einwilligung geregelt. Hier wird es in Zukunft v. a. darauf ankommen, Freiwilligkeit durch Abschluss geeigneter Tauschgeschäfte herzustellen und nachweisen zu können. Der in die Datenverarbeitung einwilligende Mitarbeiter muss also einen attraktiven Gegenwert erhalten, auf den ein Rechtsanspruch sonst nicht bestünde.
So könnte es zulässig sein, private Internetnutzung an die Einräumung von Kontrollrechten zu binden. Denn der Arbeitgeber könnte bei erlaubter privater E-Mail-Nutzung wohl nicht an das Fernmeldegeheimnis gebunden sein (vgl. z. B. ArbG Weiden, Urteil vom 17.05.2017,
