Menü Menü schließen

Wissen für Profis

Datenschutz in Europa: Ab 25.05.2018 (fast) einheitlich

Nach zähen Verhandlungen erfolgte Ende 2015 die europaweite Einigung auf eine EU-Datenschutz-Grundverordnung (DSGVO). Das Ziel: Eine weitgehende Vereinheitlichung des europäischen Datenschutzrechts. Inkrafttreten werden die Neuregelungen am 25.05.2018 – zeitgleich mit dem ebenfalls neugefassten Bundesdatenschutzgesetz (BDSG).

DSGVO oder BDSG?

Die DSGVO gibt den gesetzlichen Rahmen für ein harmonisiertes Datenschutzrecht innerhalb der EU vor. Gleichzeitig überlässt sie das gesetzliche „Feintuning" in vielen Regelungspunkten den jeweiligen Mitgliedsstaaten (oftmals als „Öffnungsklausel" bezeichnet). Dies hat zur Folge, dass in Deutschland zeitgleich mit der DSGVO am 25.5.2018 ein neues Bundesdatenschutzgesetz (BDSG) in Kraft tritt.

Wichtig zu wissen: Die DSGVO gilt in der gesamten EU und damit auch in Deutschland direkt und unmittelbar. Die Regelungen des neuen BDSG sind somit nur als Ergänzung bzw. Konkretisierung der DSGVO zu verstehen.

Verarbeitung von Beschäftigtendaten

Die wichtigste Norm, die dem Arbeitgeber das Speichern und Verarbeiten von Beschäftigtendaten in begrenztem Umfang erlaubt, stellt zurzeit § 32 BDSG-alt dar. Da die DSGVO keine vergleichbaren Regelungen enthält, hat der Gesetzgeber von der og. Öffnungsklausel Gebrauch gemacht. Die bislang in § 32 BDSG-alt enthaltenen Bestimmungen finden sich künftig relativ gleichlautend im § 26 BDSG-neu.

Danach dürfen personenbezogene Daten von Beschäftigten (sinngemäß) für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Insoweit gibt es keinen Unterschied zwischen der alten und der neuen Rechtslage.

Zu den Arbeitnehmer-Daten, die Arbeitgeber laut aktueller Rechtsprechung speichern dürfen, gehören:

  • Name und Adresse,
  • Bankverbindung,
  • Ausbildung und Qualifikationen,
  • Arbeitszeiterfassung,
  • bestimmte PC-Vorgänge.

Schwierig wird es, wenn – darüber hinausgehend – noch deutlich sensiblere Daten erhoben werden, beispielsweise zur Gesundheit. Hier kommt es darauf an, ob die Datenerhebung für die Durchführung des Arbeitsverhältnisses „erforderlich" ist. Das Bundesarbeitsgericht hat hierzu in diversen Urteilen festgestellt, dass der Einsatz technischer Geräte nur dann „erforderlich" ist, wenn kein anderes, milderes Mittel zur Verfügung steht.

In das neue BDSG wurden auch die Datenschutzregelungen im Zusammenhang mit der Aufdeckung von Straftaten übernommen. Danach dürfen personenbezogene Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn der Verdacht besteht, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt.

Zu beachten ist außerdem, dass sich der Verdacht auf dokumentierte Tatsachen stützt und die vom Arbeitgeber ergriffenen Maßnahmen verhältnismäßig sind.

Einwilligung des Beschäftigten

Ein Arbeitgeber darf die Daten eines Beschäftigten speichern, wenn dieser selbst damit einverstanden ist, also einwilligt. Diese Einwilligung ist im Arbeitsvertrag oder in einer gesonderten Vereinbarung festzuhalten. Wichtig: Die Einwilligung muss auf freiwilliger Basis geschehen und bedarf der Schriftform, soweit nicht „wegen besonderer Umstände" eine andere Form angemessen ist. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufzuklären.

Recht auf Löschung

Mit Inkrafttreten der DSGVO wird das Recht auf Vergessenwerden bzw. das Recht auf Löschung von Daten nun europaweit vorgegeben. Gegenüber der bisherigen Rechtslage erfährt die Löschung personenbezogener Daten insofern eine Aufwertung, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch darüber hinausgehen.

Nach Art. 17 Abs. 1 DSGVO sind personenbezogene Daten künftig unverzüglich zu löschen, wenn

  • diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist,
  • die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote, wie Medien, Webshops oder Online-Spiele, erhoben wurden.

Hierbei sind die betroffenen Daten unverzüglich zu löschen, also ohne „schuldhaftes Zögern". Dem für die Löschung Verantwortlichen steht somit nicht mehr Zeit zur Verfügung als nötig ist, um zu prüfen, ob die Voraussetzungen für die Löschung vorliegen.

Betriebsvereinbarungen zur Datenverarbeitung

Die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen (Tarifverträge sowie Betriebs- und Dienstvereinbarungen).

Nachdem dies bereits nach § 4 BDSG-alt in Verbindung mit der dazugehörigen Rechtsprechung möglich war, enthält das BDSG-neu hierzu nun eine ausdrückliche Regelung (§ 26 Abs. 1 Satz 1 und Abs. 4 BDSG-neu). Zudem ist hier ausdrücklich geregelt, dass die Verhandlungspartner bei der geplanten oder getroffenen Betriebsvereinbarung die inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten haben.

Danach sind angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DSGVO absenken.

Wichtig: Mit dem Inkrafttreten von DSGVO und BDSG-neu am 25.5.2018 müssen alle Betriebsvereinbarungen – auch die alten – den Vorgaben der EU-DGSVO entsprechen.

Benennung eines Datenschutzbeauftragten

Wie bisher, besteht auch künftig die Pflicht zur Benennung eines Datenschutzbeauftragten, soweit ein Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (Art. 37 DSGVO in Verbindung mit § 38 BDSG-neu).

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen ist u.a. auch dann ein Datenschutzbeauftragter zu benennen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Der Verantwortliche oder der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Sie haben ihn zu unterstützen und ihm die erforderlichen Ressourcen zur Verfügung zu stellen.

Der Datenschutzbeauftragte ist weisungsfrei, berichtet unmittelbar der jeweiligen Leitungsebene und ist zur Geheimhaltung verpflichtet. Zudem darf er wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

Die Regelungen rund um die Benennung des Datenschutzbeauftragten, seine Rechtstellung und seine Aufgaben sind weitgehend mit der derzeitigen Rechtslage in Deutschland identisch.

Rechenschaftspflicht

Art. 5 DSGVO listet eine Reihe von Grundsätzen auf, die bei der Verarbeitung personenbezogener Daten vom Unternehmen zu beachten sind. U.a. müssen personenbezogene Daten

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden,
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden,
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein,
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Das datenverarbeitende Unternehmen ist für die Beachtung dieser Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht").

Empfindliche Bußgelder bei Verstößen

Der Rahmen für Geldbußen bei Verstößen gegen Datenschutzbestimmungen wird mit der DSGVO deutlich erhöht. Hierdurch soll der gestiegenen Bedeutung des Datenschutzes Rechnung getragen werden.

So können künftig bis zu 10 Millionen Euro beziehungsweise bis zu zwei Prozent des weltweiten Jahresumsatzes und in schweren Fällen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes als Strafe verhängt werden.

Bei der Bemessung der Geldbußen ist neben Art, Schwere und Dauer des Verstoßes entscheidend, welche Art von Daten verarbeitet wurde und ob früher angeordnete Maßnahmen vom Verantwortlichen eingehalten wurden. Ebenfalls wird berücksichtigt, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere, ob und wie die Verantwortlichen mit den Aufsichtsbehörden zusammengearbeitet haben.