Update Datenschutz Nr. 36 und Update Arbeitsrecht Nr. 2
Beschäftigtendatenschutz unter der DSGVO
Ab dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) anwendbar, durch die der Datenschutz in der EU umfassend harmonisiert werden soll. Die DSGVO löst die bislang geltende EU-Datenschutzrichtlinie (DSRL 95/46/EG) ab und gilt unmittelbar in allen EU-Mitgliedstaaten.
Aufgrund der neuen Regelungen müssen sich auch die deutschen Arbeitgeber auf Änderungen im Beschäftigtendatenschutz vorbereiten. Der deutsche Gesetzgeber hat die vorhandene Öffnungsklausel der DSGVO bzgl. des Arbeitsrechts in § 26 BDSG-neu umgesetzt. Dieser wird zeitgleich mit der DSGVO Geltung erlangen und im Wesentlichen dem jetzigen § 32 BDSG entsprechen. Es gibt jedoch mehrere Punkte, auf welche Arbeitgeber achten sollten:
Einwilligung
Die Einwilligung ist eine von mehreren möglichen Rechtmäßigkeitsvoraussetzungen für die Verarbeitung von Daten. Besonders wichtig ist, dass sie vom Betroffenen freiwillig abgegeben wird. In § 26 Abs. 2 BDSG-neu ist die Einwilligung im Rahmen eines Beschäftigungsverhältnisses nun ausdrücklich geregelt. Dort gibt der Gesetzgeber auch Hilfestellung für die Frage, wie diese gestaltet werden muss und wann Freiwilligkeit vorliegt. Bereits in der Vergangenheit abgegebene Einwilligungen bleiben jedoch wirksam, sofern sie rechtskonform eingeholt wurden.
Betriebsvereinbarungen
Darüber hinaus regeln Art. 88 Abs. 1 DSGVO sowie § 26 BDSG-neu nunmehr ausdrücklich, dass die Verarbeitung von personenbezogenen Daten basierend auf Betriebsvereinbarungen zulässig ist. Die Betriebsvereinbarungen müssen natürlich dem Datenschutzstandard der DSGVO entsprechen. Senken sie den Schutzstandard ab und wird die Datenverarbeitung nach den Regeln einer solchen Betriebsvereinbarung weitergeführt, droht ein Bußgeld. Demgemäß ist zu empfehlen alle bestehenden Betriebsvereinbarungen auf ihre Vereinbarkeit mit dem neuen Datenschutzrecht zu überprüfen. Gegebenenfalls kann der Abschluss einer Rahmenbetriebsvereinbarung zu empfehlen sein. Diese kann als Leitfaden für die Umsetzung der DSGVO genutzt werden und Regelungen enthalten wie in Zukunft die bestehenden Betriebsvereinbarungen an das neue Datenschutzrecht angepasst werden sollen.
Verpflichtungserklärung
Der jetzige § 5 BDSG enthält die Verpflichtung der bei der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis. Diese ausdrückliche Regelung fällt zwar weg, allerdings stellt die DSGVO Grundsätze auf, die bei jeder Datenverarbeitung zu beachten sind und deren Einhaltung der Verantwortliche nachweisen muss. Es sind z.B. technische und organisatorische Maßnahmen erforderlich, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Darum ist nach wie vor eine schriftliche Verpflichtung der Arbeitnehmer zur Einhaltung der datenschutzrechtlichen Anforderungen einzuholen.
Konzerninterner Datenaustausch
Wie bisher gibt es auch unter dem neuen Recht kein Konzernprivileg für den Datenaustausch innerhalb einer Unternehmensgruppe. Die Datenübermittlung unterliegt vielmehr den gleichen Rechtmäßigkeitsvoraussetzungen wie gegenüber sonstigen Dritten. Eine Erleichterung ergibt sich jedoch zumindest für den Austausch von personenbezogenen Daten zu internen Verwaltungszwecken innerhalb einer Unternehmensgruppe. Eine entsprechende Übermittlung und Verarbeitung kann auf Grund solcher Zwecke legitimiert sein. Aber auch in diesen Fällen muss das berechtigte Interesse definiert und eine Abwägung mit den Interessen des Arbeitnehmers durchgeführt werden. Der reine, nicht näher spezifizierte Wunsch, die Daten übermitteln zu wollen wird weiterhin nicht ausreichen.
Fazit
Arbeitgeber sollten die noch verbleibende Zeit zur Anwendbarkeit der DSGVO nutzen und entsprechenden Anpassungsbedarf überprüfen: Einwilligungen sollten zeitnah geprüft und aktualisiert, die Verpflichtung auf die Grundsätze der DSGVO sollte sichergestellt und Betriebsvereinbarungen einem Kompatibilitätsscreening unterzogen werden.