Datenschutz im Unternehmen: Alles neu ab dem 25. Mai 2018

Nach zähen Verhandlungen erfolgte Ende 2015 die europaweite Einigung auf eine EU-Datenschutz-Grundverordnung (DSGVO). Das Ziel: Eine weitgehende Vereinheitlichung des europäischen Datenschutzrechts. Inkrafttreten werden die Neuregelungen am 25. Mai 2018 – zeitgleich mit dem ebenfalls neugefassten Bundesdatenschutzgesetz (BDSG).
 
DSGVO oder BDSG?
Die DSGVO gibt den gesetzlichen Rahmen für ein harmonisiertes Datenschutzrecht innerhalb der EU vor. Gleichzeitig überlässt sie das gesetzliche „Feintuning“ in vielen Regelungspunkten den jeweiligen Mitgliedsstaaten (oftmals als „Öffnungsklausel“ bezeichnet). Dies hat zur Folge, dass in Deutschland zeitgleich mit der DSGVO am 25. Mai 2018 ein neues Bundesdatenschutzgesetz (BDSG) in Kraft tritt.
 
Wichtig zu wissen: Die DSGVO gilt in der gesamten EU und damit auch in Deutschland direkt und unmittelbar. Die Regelungen des neuen BDSG sind somit nur als Ergänzung bzw. Konkretisierung der DSGVO zu verstehen.
 
Verarbeitung von Beschäftigtendaten
Die wichtigste Norm, die dem Arbeitgeber das Speichern und Verarbeiten von Beschäftigtendaten in begrenztem Umfang erlaubt, stellt zurzeit § 32 BDSG-alt dar. Da die DSGVO keine vergleichbaren Regelungen enthält, hat der Gesetzgeber von der oben genannten Öffnungsklausel Gebrauch gemacht. Die bislang in § 32 BDSG-alt enthaltenen Bestimmungen finden sich künftig relativ gleichlautend im § 26 BDSG-neu.
 
Danach dürfen personenbezogene Daten von Beschäftigten (sinngemäß) für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Insoweit gibt es keinen Unterschied zwischen der alten und der neuen Rechtslage.
 
Zu den Arbeitnehmer-Daten, die Arbeitgeber laut aktueller Rechtsprechung speichern dürfen, gehören:

• Name und Adresse,
• Bankverbindung,
• Ausbildung und Qualifikationen,
• Arbeitszeiterfassung,
• bestimmte PC-Vorgänge.

 
Schwierig wird es, wenn – darüber hinausgehend – noch deutlich sensiblere Daten erhoben werden, beispielsweise zur Gesundheit. Hier kommt es darauf an, ob die Datenerhebung für die Durchführung des Arbeitsverhältnisses „erforderlich“ ist. Das Bundesarbeitsgericht hat hierzu in diversen Urteilen festgestellt, dass der Einsatz technischer Geräte nur dann „erforderlich“ ist, wenn kein anderes, milderes Mittel zur Verfügung steht.
 
In das neue BDSG wurden auch die Datenschutzregelungen im Zusammenhang mit der Aufdeckung von Straftaten übernommen. Danach dürfen personenbezogene Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn der Verdacht besteht, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt.
 
Zu beachten ist außerdem, dass sich der Verdacht auf dokumentierte Tatsachen stützt und die vom Arbeitgeber ergriffenen Maßnahmen verhältnismäßig sind.

Einwilligung des Beschäftigten
Ein Arbeitgeber darf die Daten eines Beschäftigten speichern, wenn dieser selbst damit einverstanden ist, also einwilligt. Diese Einwilligung ist im Arbeitsvertrag oder in einer gesonderten Vereinbarung festzuhalten. Wichtig: Die Einwilligung muss auf freiwilliger Basis geschehen und bedarf der Schriftform, soweit nicht „wegen besonderer Umstände“ eine andere Form angemessen ist. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufzuklären.
 
Betriebsvereinbarungen zur Datenverarbeitung
Die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen (Tarifverträge sowie Betriebs- und Dienstvereinbarungen).
Nachdem dies bereits nach § 4 BDSG-alt in Verbindung mit der dazugehörigen Rechtsprechung möglich war, enthält das BDSG-neu hierzu nun eine ausdrückliche Regelung (§ 26 Abs. 1 Satz 1 und Abs. 4 BDSG-neu). Zudem ist hier ausdrücklich geregelt, dass die Verhandlungspartner bei der geplanten oder getroffenen Betriebsvereinbarung die inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten haben.
 
Danach sind angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DSGVO absenken.
 
Wichtig: Mit dem Inkrafttreten von DSGVO und BDSG-neu am 25. Mai 2018 müssen alle Betriebsvereinbarungen – auch die alten – den Vorgaben der EU-DGSVO entsprechen.
 
Benennung eines Datenschutzbeauftragten
Wie bisher, besteht auch künftig die Pflicht zur Benennung eines Datenschutzbeauftragten, soweit ein Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (Art. 37 DSGVO in Verbindung mit § 38 BDSG-neu).
 
Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen ist u.a. auch dann ein Datenschutzbeauftragter zu benennen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Auch diese Regelung entspricht weitestgehend der bisherigen Bestimmung.
 
Rechenschaftspflicht
Art. 5 DSGVO listet eine Reihe von Grundsätzen auf, die bei der Verarbeitung personenbezogener Daten vom Unternehmen zu beachten sind. U.a. müssen personenbezogene Daten

• auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden,
• für festgelegte, eindeutige und legitime Zwecke erhoben werden,
• dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein,
• in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

 
Das datenverarbeitende Unternehmen ist für die Beachtung dieser Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).
 
Empfindliche Bußgelder bei Verstößen
Der Rahmen für Geldbußen bei Verstößen gegen Datenschutzbestimmungen wird mit der DSGVO deutlich erhöht. So können künftig bis zu 10 Millionen Euro beziehungsweise bis zu zwei Prozent des weltweiten Jahresumsatzes und in schweren Fällen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes als Strafe verhängt werden. Hierdurch soll der gestiegenen Bedeutung des Datenschutzes Rechnung getragen werden.

Fragen?
Die neue DSGVO stellt viele Unternehmen vor große Herausforderungen. Weitere Informationen zu den beschriebenen Neuregelungen finden Sie hier:

(Herausgeber: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)

(Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht – BayLDA)

(Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht – BayLDA)

Das Team der BAHN-BKK berät Sie gerne. Sie erreichen uns täglich von 8 bis 20 Uhr.