Ab dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (EU-DSGVO) gültig. Art. 88 Abs. 1 EU-DSGVO erlaubt den Mitgliedstaaten, den Beschäftigtendatenschutz durch nationale Rechtsvorschriften zu konkretisieren. Auf dieser Grundlage wurde das Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (BDSG-neu) verabschiedet das ebenfalls am 25. Mai 2018 in Kraft tritt. § 26 BDSG-neu wird künftig den Beschäftigtendatenschutz regeln. § 26 BDSG-neu ist stark an den bisherigen § 32 BDSG angelehnt. Dennoch enthält § 26 BDSG-neu einige Neuregelungen:
1. Verarbeitung für Zwecke des Beschäftigungsverhältnisses
Wie bisher § 32 Abs. 1 BDSG, regelt § 26 Abs. 1 BDSG-neu zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn das zum Zwecke des Beschäftigungsverhältnisses erforderlich ist. Leider hat der Gesetzgeber die Chance nicht genutzt, um zu definieren, was unter „erforderlich“ zu verstehen ist. Daher ist weiterhin eine Einzelfallbetrachtung notwendig.
2. Einwilligungen von Beschäftigten
Einwilligungen von Beschäftigten in die Verarbeitung personenbezogener Daten bleiben nach wie vor zulässig, müssen aber nach § 26 Abs. 2 BDSG-neu ausdrücklich freiwillig erteilt werden. Die Einwilligung bedarf nach § 26 Abs. 2 Satz 3 BDSG-neu stets der Schriftform. Nur wenn „besondere Umstände“ vorliegen, kann auch eine andere Form angemessen sein. Was solche besonderen Umstände sein können, wird sowohl in der Regelung als auch in der Gesetzesbegründung offen gelassen.
Außerdem hat der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform nach Art. 7 Abs. 3 EU-DSGVO aufzuklären. Die Vorgänge sollten seitens der Arbeitgeber immer entsprechend dokumentiert werden.
3. Beschäftigtenbegriff
§ 26 Absatz 8 BDSG-neu legt die Grenzen des Beschäftigtenbegriffs fest und stellt nunmehr u.a. klar, dass auch Leiharbeitnehmer im Verhältnis zum Entleiher, Bewerber für ein Arbeitsverhältnis und Personen, deren Beschäftigungsverhältnis beendet ist, vom Schutz des Gesetzes umfasst werden.
4. Verarbeitung auf Grundlage von Kollektivvereinbarungen
Nach § 26 Abs. 4 BDSG-neu ist die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen wie Betriebs- oder Tarifvereinbarungen weiterhin ein zulässiges Mittel zur Regelung erlaubter Datenverarbeitung. Sie müssen aber künftig den Anforderungen von Art. 88 Abs. 2 EU-DSGVO und § 26 BDSG-neu genügen. Da die Vorschrift keine Regelung zu Alt-Betriebsvereinbarungen“ trifft, sind diese bis Mai 2018 an die Anforderungen der EU-DSGVO anzupassen.
5. Fazit
Dem Gesetzgeber hat sich die Möglichkeit geboten, im Zusammenhang mit den Neuerungen des Datenschutzes, den Beschäftigtendatenschutz umfangreich zu regeln. Von der Möglichkeit hat der Gesetzgeber jedoch keinen Gebrauch gemacht, sondern den ursprünglichen § 32 BDSG nur leicht modifiziert. Die großen Problemfelder des Beschäftigtendatenschutzes bleiben damit weiterhin ungeregelt, so dass sich Arbeitgeber, Beschäftigte und Betriebsräte weiterhin an den Vorgaben der Rechtsprechung zu § 32 BDSG orientieren sollten. Dabei müssen aber zwingend die neuen Vorgaben der EU-DSGVO beachtet werden, wie etwa die umfangreichen Unterrichtungspflichten nach Art. 12 EU-DSGVO, die Informationspflichten nach Art. 13 ff. EU-DSGVO, die Auskunftsansprüche nach Art. 15 EU-DSGVO und das Recht auf Löschung nach Art. 17 EU-DSGVO.
Unternehmen sollten in einem ersten Schritt auch im HR-Bereich eine Ist-Analyse durchführen: Welche Daten werden zu welchem Zweck auf welcher Grundlage erhoben? Des Weiteren sollten die bestehenden Betriebsvereinbarungen auf deren „Zukunftsfestigkeit“ geprüft werden. Erfolgt keine Anpassung, drohen empfindliche Strafen durch die Aufsichtsbehörden (Art. 83 DSGVO).