Aufsatz : Der neue Datenschutz am Arbeitsplatz : aus der RDV 1/2016, Seite 10 bis 17
Der vorliegende Beitrag beschreibt wesentliche Strukturen des künftigen Beschäftigtendatenschutzes nach der aktuellen Entwurfsfassung der Datenschutz-Grundverordnung (DSGVO-E). Eine zentrale Vorschrift ist dabei die Öffnungsklausel des Art. 82 DSGVO-E. Sie erlaubt es den einzelnen Mitgliedstaaten, konkretere Regelungen zum Persönlichkeitsschutz im Arbeitsverhältnis zu treffen. Art. 82 DSGVO-E gestattet indes keine wesentlichen Abweichungen von der Verordnung und sieht Mechanismen zum Schutz der Rechte betroffener Arbeitnehmer vor. Der Beitrag zeigt, warum § 32 BDSG den von Art. 82 DSGVO-E aufgestellten Anforderungen an einzelstaatliche Vorschriften zur Regelung des Beschäftigtendatenschutzes entspricht. Weitere Artikel und Erwägungsgründe wirken sich ebenfalls auf den kommenden Beschäftigtendatenschutz aus. Unternehmen müssen zudem die grundlegenden systematischen Vorgaben der DSGVO-E beachten. Dieses Nebeneinander unterschiedlicher Regelungskomplexe auf nationaler und europäischer Ebene wird künftig eine wesentliche Herausforderung bei der Entwicklung von Datenschutzlösungen sein.
1. Stand der Verhandlungen über die DSGVO
Der Datenschutz am Arbeitsplatz war bei den Verhandlungen über die Endfassung der DSGVO-E Gegenstand einiger Kontroversen. Hiervon zeugen die einzelnen Entwurfsfassungen, die teilweise recht erhebliche Unterschiede aufweisen. Im Rahmen eines informellen Troligs haben sich Rat, Parlament und Kommission am 15. Dezember 2015 geeinigt.[1]
Bereits am 17. Dezember wurde der Verordnungsentwurf von den Mitgliedern des LIBE-Ausschusses mit deutlicher Mehrheit angenommen (48 Stimmen bei 4 Gegenstimmen und 4 Enthaltungen). Über den Kompromisstext für die Verordnung stimmt das Plenum im Frühjahr 2016 ab. Nach dem Inkrafttreten haben die Mitgliedstaaten zwei Jahre Zeit, die neuen Vorschriften umzusetzen.[2]
2. Art. 6 DSGVO-E – die zentrale Vorschrift des kommenden Datenschutzrechts
2.1 Verbot mit Erlaubnisvorbehalt
Ein komplett neuer Regelungsansatz wird mit der DSGVO – dies ist sicherlich schon jetzt absehbar – nicht verbunden sein. Der private Datenschutz wird weiterhin durch das Prinzip des Verbots mit Erlaubnisvorbehalt geprägt sein. Ebenso wie derzeit nach § 4 Abs. 1 BDSG, muss auch nach der DSGVO-E jede Datenverarbeitung durch einen gesetzlichen Erlaubnistatbestand gedeckt sein. Künftig gibt Art. 6 DSGVO-E die wichtigsten Erlaubnistatbestände vor. Diese Vorschrift hat dabei auch für den Datenschutz im Beschäftigungsverhältnis zentrale Bedeutung: Wenn und soweit einzelne Mitgliedstaaten keine spezifischen Sonderregelungen nach Art. 82 DSGVO-E erlassen, beurteilt sich die Datenverarbeitung am Arbeitsplatz in erster Linie nach Art. 6 DSGVO-E.
2.2 Typische Rechtsgrundlagen für das Verarbeiten von Daten im Rahmen des Arbeitsvertrags
Die einzelnen Erlaubnistatbestände stimmen dabei weitestgehend mit den bisherigen Vorgaben der Richtlinie 95/46/ EG (dort: Art. 7) sowie den nationalen Bestimmungen des BDSG überein. Nach Art. 6 Abs. 1 lit. b DSGVO-E ist die Datenverarbeitung zulässig, soweit diese für die Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist („processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract“). Auch Einwilligungen können den Umgang mit personenbezogenen Daten legitimieren (Art. 6 Abs. 1 lit. a DSGVO-E). Näher konkretisiert wird dies durch Art. 7 DSGVOE. Ferner kann die Verwirklichung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DSGVO-E Datenverarbeitungen auf der Grundlage einer Interessenabwägung erlauben („processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data“).
Dies entspricht den bisherigen Vorgaben der Generalklauseln des BDSG: Die Datenverarbeitung zur Erfüllung vertraglicher Zwecke ist bislang in §§ 28 Abs. 1 S. 1 Nr. 1, 32 Abs. 1 S. 1 BDSG geregelt. Zentrale Voraussetzung ist hiernach – ebenso wie nach Art. 6 Abs. 1 lit. b DSGVO-E – die Erforderlichkeit der Verarbeitung. Das Tatbestandsmerkmal der Erforderlichkeit ist Einfallstor für eine Drittwirkung der Grundrechte des Betroffenen[3] (insbesondere Art. 8 EU-Grundrechtecharta). Dies impliziert eine Abwägung der widerstreitenden Interessen im Sinne des Verhältnismäßigkeitsprinzips.[4]
Der Wortlaut von Art. 6 Abs. 1 lit. b DSGVO-E enthält jedoch keinen expliziten Hinweis auf die Notwendigkeit einer Abwägung. Dies ist allein bei einer Datenverarbeitung aufgrund sonstiger berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO-E) der Fall.[5] In dieser sprachlichen Differenzierung dürfte eine gewisse Abstufung zum Ausdruck kommen.[6] Man wird im Rahmen von Datenverarbeitungen, die der Erfüllung eines Vertragszecks dienen, eine etwas großzügigere Verhältnismäßigkeitsprüfung durchführen müssen und so – wie auch sonst bei vertraglichen Beziehungen – ein Stück weit der Privatautonomie der Vertragsparteien Rechnung tragen.[7] Der Begriff der Erforderlichkeit wird in der Literatur und der Rechtsprechung zum BDSG daher richtigerweise schwerpunktmäßig im Sinne der zweiten Stufe der Verhältnismäßigkeitsprüfung verstanden. Dabei ist insbesondere zu fragen, ob mildere Mittel zur Erreichung des Eingriffszwecks zur Verfügung stehen.[8] Eine umfassende und strenge Verhältnismäßigkeitsprüfung ist hingegen im außervertraglichen Bereich angezeigt (§ 28 Abs. 1 S. 1 Nr. 2, Abs. 2 BDSG; Art. 6 Abs. 1 lit. b DSGVO-E). Hier ist nicht nur die Geeignetheit und Erforderlichkeit der Datenverarbeitung zu kontrollieren. Vielmehr ist im Rahmen einer Interessenabwägung auch zu prüfen, ob sich der mit der Datenverarbeitung verbundene Grundrechtseingriff vor dem Hintergrund der verfolgten Eingriffszwecke und den darin zum Ausdruck kommenden kollidierenden Rechtspositionen rechtfertigen lässt.[9]
3. Art. 9 DSGVO-E – Umgang mit besonderen Daten
Wie auch nach dem bisherigem Recht gibt es besonders geschützte Datenkategorien (vgl. § 3 Abs. 9 BDSG). Dies umfasst nach Art. 9 Abs. 1 DSGVO-E Daten, aus denen Rasse, ethnische Herkunft, politische Meinung, Religion, sexuelle Orientierung, Geschlechtsidentität oder Gewerkschaftstätigkeit abgeleitet werden können. Hinzu kommen genetische oder biometrische Daten, aber auch Daten über verwaltungsrechtliche Sanktionen, Urteile, Straftaten oder mutmaßliche Straftaten und Verurteilungen. Hier gelten nach Art. 9 DSGVO-E strengere Datenschutzanforderungen.[10] Die im Vergleich zu Art. 6 DSGVO-E erhöhten Schranken sind nichts weiter als eine Konkretisierung des Verhältnismäßigkeitsprinzips. Bei sensiblen Daten ist die Eingriffsintensität in der Regel besonders hoch, so dass kongruent hierzu auch die Anforderungen an eine Rechtfertigung von Grundrechtseingriffen steigen.[11]
Abs. 1 dieser Vorschrift normiert ein grundsätzliches Verbot für den Umgang mit sensitiven Daten. Dies ist für sich genommen noch keine Verschärfung, denn ein Verbot mit Erlaubnisvorbehalt besteht schließlich für die Verarbeitung aller personenbezogenen Daten. Die eigentliche Besonderheit liegt darin, dass die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO-E strengere Voraussetzungen beinhalten als Art. 6 DSGVO-E. So muss etwa die Einwilligung des Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO-E „ausdrücklich“ („explicit“) erfolgen, während nach Art. 6 Abs. 1 lit. a DSGVO-E auch eine konkludente Willensäußerung genügen kann. Ein Rückgriff auf die großzügigeren Erlaubnistatbestände ist bei besonderen Daten nicht möglich. Art. 9 DSGVO-E geht als speziellere Norm Art. 6 DSGVO-E vor.
Anders als bislang nach § 28 Abs. 6 BDSG sieht Art. 9 Abs. 2 lit. b DSGVO-E dabei ausdrücklich vor, dass auch bestimmte arbeits- und sozialrechtliche Zwecke die Verarbeitung sensibler Daten legitimieren können: Danach ist eine Rechtfertigung möglich, wenn die Verarbeitung erforderlich ist, damit der für die Verarbeitung Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte bzw. Pflichten nachkommen kann, soweit dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten oder einem Kollektivvertrag nach dem Recht eines Mitgliedstaats, das angemessene Garantien vorsieht, zulässig ist.[12] Dies betrifft etwa die Übermittlung von Daten an Sozialversicherungsträger.
4. Die Einwilligung des Beschäftigten nach Art. 7 DSGVO-E
Die Einwilligung des Betroffenen ist seit jeher ein wichtiger Rechtfertigungstatbestand. In ihr verwirklicht sich – hinreichende Informiertheit und Freiwilligkeit vorausgesetzt – informationelle Selbstbestimmung.[13] Gleichwohl war im Rahmen des gesamten Reformprozesses das Rechtsinstitut der Einwilligung besonders umstritten, und zwar nicht zuletzt im Beschäftigungskontext.
Dieser Konflikt schlägt sich in den unterschiedlichen Entwurfsfassungen nieder: Der ursprüngliche Kommissionsvorschlag[14] sah noch eine deutliche Einschränkung der Einwilligungsmöglichkeit im Arbeitsverhältnis vor. Gem. Art. 7 Abs. 4 DSGVO-E des Entwurfs sollte eine Einwilligung nicht zur Rechtfertigung einer Datenverarbeitung dienen, wenn ein strukturelles Ungleichgewicht zwischen dem Betroffenen und der verarbeitenden Stelle besteht. Nach Erwägungsgrund (34) sollte dies dann der Fall sein, „wenn sich die betroffene Person in einem Abhängigkeitsverhältnis von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden.“ Damit wäre die Einwilligung pauschal als Grundlage für Datenverarbeitungen im Arbeitsverhältnis ausgeschlossen gewesen, und zwar unabhängig vom tatsächlichen Vorliegen einer Abhängigkeitssituation, die einen freien Willensentschluss gefährden könnte. Folglich wäre selbst in Fällen, in denen die Einwilligung sich nur zu Gunsten des Beschäftigten ausgewirkt hätte (z.B. Sozialleistungen des Arbeitgebers), eine umfangreiche Prüfung anderer Erlaubnistatbestände erforderlich gewesen.[15] Eine derart bevormundende Gesetzgebung war rechtspolitisch verfehlt.[16] Sie wäre zudem primärrechtlichen Bedenken ausgesetzt, denn Art. 8 Abs. 2 EU-Grundrechtecharta sieht die Einwilligung des Grundrechtsträgers ausdrücklich als Rechtfertigungsmöglichkeit vor.
Dagegen gingen die Änderungsvorschläge des Par laments und spätestens die Ratsfassung wieder von einer Einwilligungsmöglichkeit aus. Durchgesetzt hat sich im Trilog zu Recht die Position von Rat und EP. Einwilligungen bleiben also auch künftig im Rahmen des Beschäftigungsverhältnisses eine tragfähige Grundlage für Datenverarbeitungen.
4.1 Anforderungen an Einwilligungen nach Art. 7 DSGVO-E und Art. 9 DSGVO-E
Die Anforderungen an eine wirksame Einwilligung werden sich dabei mit der DSGVO im Vergleich zur Datenschutzrichtlinie 95/46/EG und den nationalen Regelungen des BDSG nicht wesentlich ändern:
– Nach Art. 6 Abs. 1 lit. a DSGVO-E muss die Einwilligung „unmissverständlich“ („unambiguous“) erfolgen. Dies verlangt lediglich eine unzweideutige Willensäußerung. Der Betroffene kann sie also auch mündlich oder sogar nur konkludent abgeben. Dies bestätigt die Legaldefinition der Einwilligung in Art. 4 Abs. 8 DSGVO-E („statemate or action”). Nur bei der Verarbeitung von besonderen Daten gelten höhere Anforderungen, denn hier verlangt Art. 9 Abs. 2 lit. a DSGVO-E eine „ausdrückliche“ („explicit“) Einwilligung. Dies schließt konkludente Zustimmungsformen aus. Schriftform ist aber selbst in diesem Falle nicht geboten. Somit sinken gegenüber dem BDSG die formellen Anforderungen an eine wirksame Einwilligung.
– Die materiellen Voraussetzungen bleiben indes unverändert: Weiterhin muss die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO-E „für einen oder mehrere genau festgelegte Zwecke“ erfolgen, sie muss also möglichst konkret sein (vgl. Art. 4 Abs. 8 DSGVO-E: „für den konkreten Fall“/ “specific”). Für Einwilligungen im Rahmen des Beschäftigungsverhältnisse bedeutet dies, dass pauschale oder globale Einwilligungen für den Umgang mit personenbezogenen Daten im Arbeitsverhältnis nicht wirksam sind.[17]
– Ferner muss die Einwilligung gem. Art. 4 Abs. 8 DSGVO-E ohne Zwang, also freiwillig („freely given“) erteilt werden. Dies stellt im Beschäftigungsverhältnis oftmals eine wichtige Hürde dar, denn der Arbeitnehmer steht in einem Abhängigkeitsverhältnis zum Arbeitgeber. Dies hat auch den restriktiven Ansatz im Kommissions-Entwurf geprägt, wonach die Einwilligung im Arbeitsverhältnis gleich ganz ausgeschlossen werden sollte.
Man kann in Bezug auf die Freiwilligkeit der Einwilligung an die Diskussion unter der Datenschutzrichtlinie 95/46/ EG anknüpfen. Die Artikel-29-Datenschutzgruppe vertritt hierzu bislang die Ansicht, dass die Einwilligung nicht freiwillig sei, wenn sie vom Beschäftigten erbeten werde und die Nichteinwilligung mit tatsächlichen oder potenziellen Nachteilen für ihn verbunden sei.[18] Die Einwilligung der betroffenen Person sollte daher nur in den Fällen in Anspruch genommen werden, in denen der Beschäftigte eine echte Wahl habe. Zudem müsse er seine Einwilligung zu einem späteren Zeitpunkt widerrufen können, ohne dass ihm daraus Nachteile erwachsen.[19] Als eine Situation, bei der die Freiwilligkeit nicht gegeben sei, nennt die Artikel-29-Datenschutzgruppe etwa den Fall, dass die Einwilligung als eine Einstellungsvoraussetzung aufgestellt wird.[20]
– Eine freiwillige Einwilligung ist zudem nur möglich, wenn der Betroffene vorab hinreichend informiert ist (vgl. Art. 4 Abs. 8 DSGVO-E: „in Kenntnis der Sachlage“/„informed”).[21] Der Beschäftigte ist daher nach dem aktuellen Recht gem. § 4a Abs. 1 S. 2 BDSG auf den Zweck der Datenverarbeitung sowie auf die Folgen der Verweigerung hinzuweisen. Entsprechendes wird man grundsätzlich auch für Art. 7 DSGVO-E verlangen müssen.
Nach Art. 7 Abs. 3 DSGVO-E kann die Einwilligung jederzeit widerrufen werden. Dies entspricht weitgehend bereits der geltenden Rechtslage,[22] wenn auch mit der DSGVO eine explizite Regelung erfolgen würde.
4.2 Nationale Sonderregelungen für Einwilligungen?
Ob von den dargelegten Voraussetzungen für die Einwilligung durch nationale Vorschriften abgewichen werden darf, ist offen. Nach dem Vorschlag des Rats sollten die Mitgliedstaaten nach Art. 82 Abs. 3 DSGVO-E die Bedingungen festlegen können, „unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Arbeitnehmers verarbeitet werden dürfen.“ In einer inoffiziellen konsolidierten Fassung vom 4. Dezember 2015 gab es diesen Absatz noch, in der endgültigen Kompromissfassung vom 15. Dezember fehlt er hingegen. Somit müssen die Mitgliedstaaten auf die allgemeine Öffnungsklausel des Art. 82 Abs. 1 DSGVO-E rekurrieren, wenn sie nationale Regelungen für die Einwilligung im Beschäftigungskontext schaffen wollen. Danach sind in erster Linie konkretisierende Vorschriften zulässig. In Bezug auf die Einwilligung des Beschäftigten könnte daher etwa für bestimmte Situationen, in denen eine Freiwilligkeit kaum denkbar ist (etwa im Bewerbungsverfahren), die Einwilligung als Rechtfertigungsmöglichkeit ausgeschlossen werden. Außerdem ließe sich wohl auch eine Verschärfung der formellen Hürden, wie sie aktuell noch § 4a BDSG vorsieht, regeln. Ob dies rechtspolitisch jedoch sinnvoll ist, kann bezweifelt werden. Der Arbeitgeber ist aber aus Beweisgründen ohnehin gut beraten, eine Einwilligung schriftlich oder zumindest in Textform zu dokumentieren.
5. Art. 82 DSGVO-E – Spezialvorschrift für den Beschäftigtendatenschutz
Die aktuelle Entwurfsfassung von Art. 82 DSGVO-E sieht nach wie vor Möglichkeiten für einzelstaatliche Sonderregelungen des Beschäftigtendatenschutzes vor. Dies ist aber an einige Anforderungen geknüpft:
„Article 82 Processing in the employment context
- Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, protection of employer’s or customer’s property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.
- These rules shall include suitable and specific measures to safeguard the data subject’s human dignity, legitimate interests and fundamental rights, with particular regard to the transparency of processing, the transfer of data within a group of undertakings or group of enterprises and monitoring systems at the work place.
2a. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.
- (…)
Art. 82 Abs. 1 DSGVO-E erlaubt es den Mitgliedstaaten somit, konkretisierende Regelungen („more specific rules“) für die Verarbeitung personenbezogener Daten von Arbeitnehmern für Zwecke des Arbeitsverhältnisses zu erlassen. Solche Sonderregelungen zum Beschäftigtendatenschutz müssen nach Art. 82 Abs. 2 DSGVO-E angemessene und spezifische Maßgaben zum Schutz der Menschenwürde, der berechtigten Interessen und der Grundrechte der betroffenen Arbeitnehmer enthalten, wobei besonderes Augenmerk auf die Transparenz der Datenverarbeitung zu legen ist. Mitgliedstaaten, die solche Sonderregeln zum Beschäftigtendatenschutz erlassen, müssen dies nach Art. 82 Abs. 2a DSGVO-E der EU-Kommission mitteilen.
5.1 Weitergeltung von § 32 BDSG nach Inkrafttreten der DSGVO
Für den Beschäftigtendatenschutz bedeutet dies: Sofern der deutsche Gesetzgeber § 32 BDSG nicht aktiv außer Kraft setzt, wird diese Vorschrift auf Grundlage von Art. 82 Abs. 1 DSGVO-E weiter gelten und nicht durch die DSGVO verdrängt.[23]
(a) § 32 BDSG als Spezialvorschrift nach Art. 82 DSGVO-E
§ 32 Abs. 1 BDSG kann mit guten Argumenten bereits heute als eine nationale Spezialvorschrift i.S.d. Art. 82 Abs. 1 DSGVO-E verstanden werden. Zunächst stellt sich insofern die Frage, ob § 32 BDSG hinreichende Schutzmechanismen i.S.v. Art. 82 Abs. 2 DSGVO-E enthält. Der Wortlaut von § 32 Abs. 1 BDSG sieht schließlich keine ausdrücklichen Regelungen zu Transparenz, zum Datentransfer im Konzern oder zur Überwachung am Arbeitsplatz vor. Hierbei muss man indes auch die Gesetzesbegründung der Vorschrift kennen: § 32 BDSG soll vor allem die Rechtsprechung der Arbeitsgerichte zum Beschäftigtendatenschutz kodifizieren[24] – und gerade die Rechtsprechung des BAG zum Datenschutz am Arbeitsplatz gibt ein hohes Schutzniveau vor. Nur sehr wenige andere EUMitgliedstaaten verfügen über ähnlich hohe Schutzstandards, wie sie die deutschen Arbeitsgerichte entwickelt haben.
Es lohnt also, den nach geltendem Recht bestehenden, austarierten Regelungsrahmen zu erhalten. Zudem ermöglicht der Rückgriff auf die bisherige Rechtsprechung zum Datenschutz am Arbeitsplatz weitestgehend vorhersehbare Ergebnisse und schafft so auch ein gewisses Maß an Rechtssicherheit. Es wäre somit zu begrüßen, wenn der Gesetzgeber § 32 BDSG als eine nationale Sondervorschrift im Sinne von Art. 82 DSGVO-E erhalten würde.
(b) Keine förmliche Bestätigung vorgeschrieben
Art. 82 DSGVO-E erfordert auch nicht, dass Mitgliedstaaten Vorschriften zur Regelung des Beschäftigtendatenschutzes erst nach Verabschiedung oder Inkrafttreten der DSGVO-E erlassen. Art. 82 Abs. 2a DSGVO-E sieht lediglich vor, dass die Mitgliedstaaten die EU-Kommission über einzelstaatliche Regelungen zum Beschäftigtendatenschutz informieren müssen. Dies umfasst vom Wortlaut her auch bereits bestehende Vorschriften.
Gerichte, Arbeitgeber und Beschäftigte können und müssen nach Inkrafttreten der DSGVO-E § 32 BDSG daher bis auf weiteres als konkretisierende Regelung für den Beschäftigtendatenschutz anwenden. Dies gilt jedenfalls so lange, wie der deutsche Gesetzgeber keine ablösende Regelung schafft oder § 32 BDSG außer Kraft setzt. Zweckmäßig wäre eine klarstellende Bestätigung allerdings dennoch.
(c) Regelungen zum Beschäftigtendatenschutz in einem Ausführungsgesetz
Es spricht einiges dafür, dass der deutsche Gesetzgeber das BDSG mit einem Ausführungsgesetz zur DSGVO teilweise oder vollständig außer Kraft setzen wird. Diesen Anlass sollte er dann auch nutzen, um § 32 BDSG ausdrücklich als Sonderregelung i.S.v. Art. 82 Abs. 1 DSGVO zu bestätigen.
Die Alternativen zu einer solchen Bestätigung wären wenig sachgerecht. Sofern der deutsche Gesetzgeber das BDSG vollständig außer Kraft setzen würde, würde dies auch zu einem Wegfall von § 32 BDSG führen. Dies würde unnötige Rechtsunsicherheit bewirken. Im Ergebnis wäre es aber wahrscheinlich, dass die deutsche Rechtsprechung ihren arbeitnehmerfreundlichen Kurs beim Beschäftigtendatenschutz auch dann nicht ändern würde, wenn der deutsche Gesetzgeber § 32 BDSG aufheben würde. Denn in der Vergangenheit haben die Erfurter Richter ihre Entscheidungen oftmals nur nachrangig auf das BDSG gestützt und vielmehr direkt auf das Recht auf informationelle Selbstbestimmung rekurriert.[25] Gleichwohl erscheint eine Abschaffung von § 32 BDSG insgesamt weder wünschenswert noch politisch umsetzbar, denn es wäre wohl mit massiven Protesten von Gewerkschaften und Betriebsräten zu rechnen.
Als Alternative zu einer Bestätigung von § 32 BDSG könnte der deutsche Gesetzgeber gleich eine ausführliche einzelstaatliche Regelung zum Beschäftigtendatenschutz schaffen. Allerdings darf man Zweifel haben, ob sich die am Gesetzgebungsverfahren Beteiligten innerhalb der zweijährigen Umsetzungsfrist[26] bis zum Inkrafttreten der DSGVO auf eine umfassende Regelung des Beschäftigtendatenschutzes verständigen können. Die Erfahrungen mit bisherigen Gesetzesvorhaben zum Beschäftigtendatenschutz lassen dies eher nicht vermuten.
Insgesamt wäre es daher vor allem im Sinne einer möglichst hohen Rechtssicherheit zu begrüßen, wenn der Gesetzgeber § 32 BDSG zunächst bestätigen würde. Zugleich könnte er klarstellen, dass die von der deutschen Rechtsprechung entwickelten Grundsätze zum Persönlichkeitsrechtsschutz im Arbeitsverhältnis weitergelten sollen.
5.2 Betriebsvereinbarungen als Erlaubnistatbestand
Neben § 32 BDSG werden in der Praxis vor allem Betriebsvereinbarungen als Rechtfertigungsgrundlage für Datenverarbeitungen herangezogen. Es stellt sich daher die Frage, ob der Umgang mit personenbezogenen Daten mit Inkrafttreten der DSGVO weiterhin auf der Grundlage von Betriebsvereinbarungen geregelt werden kann.[27] Nach der aktuellen Entwurfsfassung bleibt dies möglich. Art. 82 Abs. 1 DSGVOE sieht Datenverarbeitungen auf der Grundlage von Kollektivvereinbarungen („collective agreements“) ausdrücklich vor. Dies zeigt auch Erwägungsgrund (124). Er erwähnt dabei explizit auch Betriebsvereinbarungen („works agreements“) als Erlaubnistatbestand im Sinne der DSGVO-E.[28]
Daher kommt auch in Zukunft die Betriebsvereinbarung als Erlaubnistatbestand in Betracht. Voraussetzung hierfür ist allerdings, dass solche Betriebsvereinbarungen die Anforderungen von Art. 82 Abs. 2 DSGVO-E hinreichend umsetzen. Da die Bußgelder nach der DSGVO-E deutlich höher ausfallen können, als dies § 43 BDSG bislang vorsieht (vgl. Art. 79 DSGVO-E), ist besondere Vorsicht geboten.
Vergleichbare Vorgaben macht aber bereits das nationale Recht, insbesondere § 75 Abs. 2 BetrVG und § 80 Abs. 1 Nr. 1 BetrVG. Sofern eine Betriebsvereinbarung also bislang als wirksame Rechtsgrundlage eine Datenverarbeitung rechtfertigen konnte, spricht vieles dafür, dass dies auch unter dem Rechtsregime der DSGVO der Fall sein wird.
Eine andere Frage ist, ob Betriebsvereinbarungen über den Schutzstandard der DSGVO hinausgehen, also ein „Mehr“ an Datenschutz vorsehen dürfen. Im Ergebnis ist dies zu bejahen. Gegen diese Annahme spricht zwar zunächst die Rechtsnatur der DSGVO, denn eine EU-Verordnung ist immer auf eine Vollharmonisierung des nationalen Rechts angelegt. Andererseits ist Art. 82 Abs. 1 DSGVO-E in der aktuellen Fassung gegenüber dem ursprünglichen Kommissionsentwurf bewusst weit formuliert. Damit hat sich erneut der Rat durchgesetzt. Er hat die bei anderen Öffnungsklauseln der DSGVO-E geläufige Formulierung, wonach eine nationale Regelung nur „in den Grenzen der Verordnung“ ermöglicht wird, gestrichen. Dies ist sicherlich kein Versehen, sondern eine bewusste Änderung gegenüber dem ursprünglichen Entwurf der Kommission. Die Entstehungsgeschichte von Art. 82 DSGVO-E spricht somit für ein Verständnis der DSGVO-E als Mindestvorgabe für den Bereich des Beschäftigtendatenschutzes.
Beim Beschäftigtendatenschutz zuständige Aufsichtsbehörden
Die DSGVO-E reformiert nicht nur das materielle Datenschutzrecht. Sie regelt auch die Vorgaben zu Kontrolle und Sanktionen durch die Aufsichtsbehörden. Dabei ordnet sie zugleich die Kompetenzen der nationalen Kontrollstellen neu (Art. 51 ff. DSGVO-E).
Für Arbeitgeber in Deutschland ist dies von zentraler Bedeutung, denn viele verantwortliche Stellen haben nach dem geltenden Recht mit „ihrer Stamm-Aufsichtsbehörde“ einen offenen und konstruktiven Abstimmungsprozess etabliert, der im Sinne aller Beteiligten datenschutz- und praxisgerechte Lösungen fördert.
5.3 Territoriale Zuständigkeit
Es bleibt zunächst dabei, dass jede Aufsichtsbehörde[29] für das Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist (Art. 51 Abs. 1 DSGVO-E). Grundsätzlich darf sie nur dort ihre Überwachungsbefugnisse ausüben und Sanktionen verhängen (Art. 52 Abs. 1 lit. a DSGVO-E). Für international tätige Konzerne bedeutet dies – wie bislang nach der Richtlinie und den jeweiligen nationalen Datenschutzgesetzen –, dass sie sich bei jeder Niederlassung mit den jeweiligen Aufsichtsbehörden abstimmen müssen.
5.4 Abgeschwächtes One-stop-shop-Prinzip
Der Kommissions-Entwurf sah noch vor, dass für ein Unternehmen mit mehreren Niederlassungen in unterschiedlichen Staaten für dessen Verarbeitungstätigkeit in allen Mitgliedstaaten nur die Aufsichtsbehörde des Mitgliedstaats zuständig ist, in dem sich die Hauptniederlassung des für die Verarbeitung Verantwortlichen befindet (sog. One-stopshop-Prinzip, Art. 52 Abs. 2 DSGVO-E). Dies hätte – gerade im Lichte der neueren EuGH-Urteile in den Rechts sachen Google[30] und Weltimmo[31] – eine erhebliche Erleichterung für verantwortliche Stellen bedeutet. Parlament und Rat haben hingegen lediglich eine „federführende Behörde“ vorgeschlagen (vgl. Art. 54a DSGVO-E in der EP-Fassung[32] bzw. Art. 51a, 54a in der Ratsfassung[33]) und sich damit durchgesetzt.
5.5 Zuständigkeit bei grenzüberschreitenden Sachverhalten
Nach der konsolidierten Fassung steht nun als bisheriges Resultat des Trilogs fest, dass die federführende Behörde ergänzend zu ihrer originären Zuständigkeit (Art. 51 DSGVO-E) nach Art. 51a Abs. 1 DSGVO-E für grenzüberschreitende Sachverhalte („cross-border processing“) zuständig ist. Jedoch bleiben die anderen Kontrollstellen für Sachverhalte, die ausschließlich eine Niederlassung oder Betroffene in ihrem Mitgliedstaat betreffen, weiterhin zuständig (Art. 51a Abs. 2a DSGVO-E). Es geht bei Abs. 2a also um „lokale Fälle“. Hierzu nennt Erwägungsgrund (97c) als Beispiel u.a. die Verarbeitung von Arbeitnehmerdaten im spezifischen Beschäftigungskontext eines Mitgliedstaats („where the subject matter concerns the processing of employees data in the specific employment context of a Member State“). Diese sinnvolle Ergänzung ist dem Rat zu verdanken.[34]
Für Verarbeitungen von Beschäftigtendaten dürfte also künftig hinsichtlich der zuständigen Aufsichtsbehörden grundsätzlich alles beim Alten bleiben.
5.6 Abstimmung mit der federführenden Aufsichtsbehörde
Falls es eine federführende Aufsichtsbehörde in einem anderen Mitgliedstaat gibt und die parallele Zuständigkeit einer nationalen Kontrollstelle sich aus Art. 51a Abs. 2a DSGVO-E ergibt, muss die nationale Kontrollstelle mit der federführenden Aufsichtsbehörde kooperieren.[35] Sie muss die federführende Aufsichtsbehörde umgehend unterrichten. Nach ihrer Unterrichtung sollte die federführende Aufsichtsbehörde entscheiden, ob sie den Fall übernimmt oder ob die Aufsichtsbehörde, die sie unterrichtet hat, den Fall auf örtlicher Ebene regeln sollte. Dabei sollte die federführende Aufsichtsbehörde berücksichtigen, ob der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat, damit Beschlüsse gegenüber dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter wirksam durchgesetzt werden. Entscheidet die federführende Aufsichtsbehörde, den Fall selbst zu regeln, greift das Verfahren nach Art. 54a DSGVO-E. Die Aufsichtsbehörde, die sie unterrichtet hat, sollte die Möglichkeit haben, einen Beschlussentwurf vorzulegen, dem die federführende Aufsichtsbehörde bei der Ausarbeitung ihres Beschlussentwurfs Rechnung tragen muss (s. Art. 51a Abs. 2c S. 3 DSGVO-E: „shall take utmost account of that draft“).
Zusammenfassung und Fazit
Die DSGVO verändert die Grundstrukturen des derzeit geltenden Beschäftigtendatenschutzes in Deutschland nicht wesentlich.
Neben den Erlaubnistatbeständen der Art. 6-9 DSGVO, können § 32 BDSG und Betriebsvereinbarungen weiterhin den Umgang mit personenbezogenen Daten rechtfertigen § 32 BDSG gewährleistet in seiner Ausgestaltung durch die Rechtsprechung der Arbeitsgerichte ein hohes Schutzniveau. Damit entspricht die Vorschrift den in Art. 82 Abs. 2 DSGVO aufgestellten Anforderungen an einzelstaatliche Regelungen zum Beschäftigtendatenschutz. Jedenfalls sofern der deutsche Gesetzgeber § 32 BDSG nicht außer Kraft setzt, bleibt es bei dem von den deutschen Arbeitsgerichten bislang vorgegebenen Schutzstandard. Zur Schaffung von Rechtssicherheit sollte der deutsche Gesetzgeber in einem Ausführungsgesetz klarstellen, dass § 32 BDSG als einzelstaatliche Spezialvorschrift i.S.v. Art. 82 DSGVO-E auch nach Inkrafttreten des neuen EU-weiten Datenschutzes gelten soll.
Auch Betriebsvereinbarungen können weiterhin Datenverarbeitungen am Arbeitsplatz erlauben. Allerdings müssen sie den Anforderungen von Art. 82 Abs. 2 DSGVO-E entsprechen. Hierfür müssen sie Regelungen enthalten, die sicherstellen, dass die Menschenwürde, berechtigte Interessen und Grundrechte der betroffenen Arbeitnehmer gewahrt bleiben. Besondere Anforderungen gelten dabei in Bezug auf die Transparenz von Datenverarbeitungen, die Überwachung am Arbeitsplatz und Übermittlungen von Beschäftigtendaten im Konzern. Die in Art. 91 DSGVO-E vorgesehene Umsetzungsfrist von zwei Jahren ist für die Neuverhandlung einschlägiger Betriebsvereinbarungen nicht eben üppig bemessen. Auf Gesetzgeber, Arbeitgeber und Betriebsräte kommt mit der Umsetzung der EU-Vorgaben zum neuen Beschäftigtendatenschutz also voraussichtlich einige Arbeit zu.
Tim Wybitul Der Autor ist Rechtsanwalt und Fachanwalt für Arbeitsrecht. Er ist Partner bei Hogan Lovells. Er berät Unternehmen umfassend zum Datenschutz, insbesondere zu Fragen des Beschäftigtendatenschutzes, bei Datenübermittlungen, internen Untersuchungen, Compliance und arbeitsrechtlichen Problemlösungen.
Dr. Stephan Pötters Stephan Pötters ist als Associate bei Seitz in Köln tätig. Er berät in den Bereichen Arbeitsrecht und Compliance.
[1] Vgl. Pressemitteilung der Kommission vom 15.12.2015, IP/15/6321, abrufbar unter http://europa.eu/rapid/press-release_IP-15-6321 _en.htm.).
[2] Pressemitteilung des Europäischen Parlaments vom 17.12.2015, abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do? pubRef=-//EP//TEXT+IM-PRESS+20151217IPR08112+0+DOC+XM L+V0//DE.)
[3] Vgl. Simitis/Seifert, BDSG, § 32 Rn. 11.
[4] Vgl. BAG v. 20.6.2013 – 2 AZR 546/12, RDV 2014, 103; Wybitul/Pötters, BB 2014, 437, 439 f.; Thüsing, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 3 Rn. 36 ff.
[5] Sowohl nach den bisherigen Regelungen des nationalen Rechts (§ 28 Abs. 1 S. 1 Nr. 2, Abs. 2 BDSG; vgl. auch § 32 Abs. 1 S. 2 BDSG) als auch nach Art. 6 Abs. 1 lit. f) DSGVO-E wird ausdrücklich eine Abwägung mit den Rechten und Interessen des Betroffenen angeordnet.
[6] Vgl. zum nationalen Recht bereits Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 99 f.
[7] Sehr weitgehend Taeger, in: Taeger/Gabel, BDSG, 2010, § 28 Rn. 48, der sogar annimmt, dass das Gesetz bei § 28 Abs. 1 S. 1 Nr. 1 BDSG stillschweigend vom Einklang der Datenverarbeitung mit den Interessen des Betroffenen ausgehe und daher eine Abwägung entbehrlich sei.
[8] S. Thüsing, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 3 Rn. 17 ff.; Simitis/Seifert, BDSG, § 32 Rn. 11.
[9] Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 100.
[10] Vgl. zum nationalen Recht § 28 Abs. 6 BDSG sowie die Parallelvorschriften für öffentliche Stellen in §§ 13 Abs. 2, 14 Abs. 5 BDSG.
[11] Vgl. BVerfG 4.4.2006 – 1 BvR 518/02, BVerfGE 115, 320, 348.
[12] Vgl. die konsolidierte englische Fassung: „processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union law or Member State law or a collective agreement pursuant to Member State law providing for adequate safeguards for the fundamental rights and the interests of the data subject.“
[13] Vgl. BVerfG v. 23.10.2006 – 1 BvR 2027/02, DVBl 2007, 111; aus der Lit. Forst, RDV 2010, 150, 151.
[14] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DatenschutzGrundverordnung), KOM/2012/011 endgültig.
[15] Gola, EuZW 2012, 332, 335.
[16] Kritisch auch Forst, NZA 2012, 364, 365; Gola, EuZW 2012, 332, 333.
[17] Vgl. Thüsing/Traut, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 5 Rn. 17.
[18] Stellungnahme 8/2001, 5062/01/DE/endg. (WP48), S. 27.
[19] Stellungnahme 8/2001, 5062/01/DE/endg. (WP48), S. 3, 27 f
[20] Stellungnahme 8/2001, 5062/01/DE/endg. (WP48), S. 27; vgl. auch Stellungnahme 15/2011 zur Definition von Einwilligung, angenommen am 13. Juli 2011, 01197/11/DE (WP187), S. 16 f.
[21] Hierzu ausf. Thüsing/Traut, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 5 Rn. 3.
[22] Vgl. Thüsing/Traut, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 5 Rn. 32 ff.
[23] Vgl. bereits Wybitul/Sörup/Pötters, ZD 2015, 559, 561.
[24] BT-Drucks. 16/13657, S. 35.
[25] Vgl. etwa BAG v. 20.6.2013 – 2 AZR 546/12, RDV 2014, 103; BAG v. 21.06.2012 − 2 AZR 153/11, NZA 2012, 1025; BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187; BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216; BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278.
[26] Vgl. Art. 91 DSGVO-E.
[27] Vgl. bereits Wybitul/Sörup/Pötters, ZD 2015, 559.
[28] Erwägungsgrund 124 DSGVO-E: „National law or collective agreements (including ‚works agreements‘) may provide for specific rules on the processing of employees‘ personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.“
[29] Es können auch wie bislang mehrere Aufsichtsbehörden in einem Mitgliedstaat vorgesehen werden, vgl. Art. 46 Abs. 1 DSGVO-E („one or more independent public authorities“). Die in Deutschland bestehende Aufteilung der Zuständigkeiten nach Bundesländern kann also erhalten bleiben.
[30] EuGH v. 13.05.2014 – C-131/12, NJW 2014, 2257 = RDV 2014, 265 (Google Spain).
[31] EuGH v.1.10.2015 – C-230/14, RDV 2015, 320 (Weltimmo).
[32] Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 – C7-0025/2012 – 2012/0011(COD), abrufbar unter http:// www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP// TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//DE (Stand: 10.12.2015).
[33] Vermerk vom 11. Juni 2015, 9565/15 – 2012/0011(COD), abrufbar unter http://data.consilium.europa.eu/doc/document/ST-9565- 2015-INIT/de/pdf (Stand: 10.12.2015).
[34] Vgl. Vermerk vom 11. Juni 2015, 9565/15 – 2012/0011(COD), abrufbar unter http://data.consilium.europa.eu/doc/document/ST-9565- 2015-INIT/de/pdf (Stand: 10.12.2015).
[35] Siehe Erwägungsgrund (97c) sowie Art. 51 Abs. 2b bis 2d DSGVO-E