Am 27. April 2017 verabschiedete der Bundestag das. sog. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU. Der Bundesrat stimmte dem Gesetz zu, mit Verkündung wird es am 25. Mai 2018 Kraft treten. Unter anderem enthält das Gesetz ein neues Bundesdatenschutzgesetz (BDSG), das die nationale Rechtslage im Datenschutz an die ab dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DS-GVO) anpassen, insbesondere die zahlreichen in der Verordnung enthaltenen Öffnungsklauseln ausfüllen soll.
1. Einführung eines § 26 BDSG-neu
Für das Arbeitsrecht hat der Gesetzgeber einen neuen § 26 BDSG geschaffen. Für Arbeitgeber ist es ratsam, sich mit den wichtigsten Punkten dieser Vorschrift zeitig vertraut zu machen. Diese sind:
§ 26 Abs. 1 BDSG-neu regelt, zu welchen Zwecken und unter welchen Bedingungen personenbezogene Daten vor, im und nach Beendigung des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für Zwecke des Beschäftigungsverhältnisses erforderlich ist. Bei der Prüfung der Erforderlichkeit ist eine Abwägung der Interessen des Arbeitgebers an der Datenverarbeitung und des informationellen Selbstbestimmungsrechts des Beschäftigten vorzunehmen. Ferner regelt Abs. 1 die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
Neu ist, dass Daten zum Zwecke des Beschäftigungsverhältnisses auch dann erhoben werden dürfen, wenn sich dies aus einer Kollektivvereinbarung, also Tarifvertrag oder Betriebsvereinbarung ergibt.
In § 26 Abs. 2 BDSG-neu sind Auslegungshilfen für die Wirksamkeit einer erteilten Einwilligungserklärung enthalten. Laut Gesetzesbegründung soll diese Neuregelung der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung tragen. Das Gesetz löst den alten Streit, dass Einwilligungen zur Datenverarbeitung im Arbeitsverhältnis grundsätzlich möglich sind. Es knüpft diese Möglichkeit allerdings an zusätzliche Voraussetzungen und bestimmt, dass im Beschäftigungsverhältnis die grundsätzlich bestehende Abhängigkeit des Beschäftigten und die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Abs. 2 S. 2 enthält Regelbeispiele, wann bei einer Einwilligung im Beschäftigungsverhältnis Freiwilligkeit vorliegen kann. So liegt insbesondere dann Freiwilligkeit vor, wenn der Beschäftigte durch die Verarbeitung seiner Daten einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. In der Gesetzesbegründung werden als Beispiele die Einführung eines betrieblichen Gesundheitsmanagements oder die Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen genannt. Die Einwilligung muss zwingend schriftlich erklärt werden, also der Arbeitnehmer eigenhändig die Einwilligung unterzeichnet haben. Textform ist nicht ausreichend.
§ 26 Abs. 8 BDSG-neu regelt, wer als Beschäftigter gilt. Dies sind:
- Arbeitnehmer einschließlich der Leiharbeitnehmer im Verhältnis zum Entleiher
- Auszubildende
- Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung
- in anerkannten Werkstätten für behinderte Menschen Beschäftigte
- Freiwillige nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz
- arbeitnehmerähnliche Personen und Heimarbeiter
- Beamte des Bundes, Richter des Bundes, Soldaten sowie Zivildienstleistende
Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten ebenfalls als Beschäftigte.
2. Weitere relevante Neuerungen
Wichtig werden für Arbeitgeber darüber hinaus insbesondere die folgenden Neuerungen im BDSG sein:
- Bei Verstößen gegen den Beschäftigtendatenschutz steht Arbeitnehmern künftig ein Schadensersatzanspruch auch bei sog. Nichtvermögensschäden (= Schmerzensgeld) zu.
- Bei Verstößen gegen das BDSG drohen empfindliche Geldbußen bis zu 20.000.000,00 €, auch drohen strafrechtliche Konsequenzen
- Betriebe mit mehr als 10 Beschäftigten müssen einen betrieblichen Datenschutzbeauftragten haben; externe Lösungen bleiben möglich
- Interne Ermittlungen von Straftaten unterliegen strengeren Anforderungen
- Der Betriebsrat muss die datenschutzrechtlichen Vorschriften einhalten
- umfangreiche Dokumentationspflichten des Arbeitgebers
