Allgemein

Einwilligung und Auskunft im neuen Beschäftigtendatenschutz

5. September 2017, von Silvia C. Bauer & Heidi Schuster

Ab 25. Mai 2018 ist innerhalb der Europäischen Union (EU) die Datenschutz-Grundverordnung (DSGVO) von Unternehmen mit Sitz in der EU anwendbar. Die DSGVO hat es allerdings dem nationalen Gesetzgeber überlassen, manche Themen wie z.B. den Beschäftigtendatenschutz selbst zu regeln. Der deutsche Gesetzgeber hat davon mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, das sich gerade im Gesetzgebungsverfahren befindet, Gebrauch gemacht.

Das DSAnpUG sieht in § 26 Regelungen zum Beschäftigtendatenschutz vor. Im Ergebnis entspricht dieser Paragraf im Wesentlichen dem bereits bekannten § 32 BDSG, sieht allerdings auch einige Ergänzungen vor.

Zusammengefasst soll die Verarbeitung künftig für Zwecke des Beschäftigtenverhältnisses, der Aufdeckung von Straftaten, des Betriebsverfassungsrechts oder auch mit Einwilligung des Arbeitnehmers zulässig sein. Daneben wird eine Regelung für den Umgang mit besonderen personenbezogenen Daten eingeführt, und Betriebsvereinbarungen werden ausdrücklich als Grundlagen für den Umgang mit Beschäftigtendaten anerkannt.

Die Einwilligung wird jetzt als Rechtsgrund anerkannt – sofern sie freiwillig erteilt wird. Das Gesetz sieht vor, dass eine Freiwilligkeit ua. dann gegeben ist, wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder wenn beide Parteien gleichgelagerte Interessen verfolgen. Als Beispiele werden die Einführung eines betrieblichen Gesundheitsmanagements, die Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen, die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder auch die Nutzung von Fotos für das Intranet angeführt. In jedem Fall ist die konkrete Situation bei Prüfung der „Freiwilligkeit“ zu berücksichtigen. Bewerber werden z.B. anders zu beurteilen sein als Arbeitnehmer, da sie sich in einer schlechteren Position gegenüber einem künftigen Arbeitgeber befinden als bereits fest angestellte Arbeitnehmer.

Besondere personenbezogene Daten sollen künftig ohne Einwilligung verarbeitet werden können, wenn es für Zwecke der Ausübung von Rechten und Pflichten aus dem Arbeitsrecht, des Rechts der sozialen Sicherheit oder auch des Sozialschutzes erforderlich ist und wenn keine schutzwürdigen Interessen der Beschäftigen entgegenstehen.

Entdecken Sie weitere Programminhalte der IDACON

Hinsichtlich der Beauskunftung von Mitarbeitern wird wohl die DSGVO Anwendung finden. Arbeitgeber müssen jedenfalls auch im Umgang mit den Mitarbeiterdaten die in Art. 5 DSGVO normierten Grundsätze umsetzen und nachweisen. Danach muss der Arbeitgeber z.B. nachweisen, dass er die Grundsätze der Transparenz, Zweckbindung und Datensparsamkeit sowie angemessene technisch-organisatorische Maßnahmen umsetzt oder auch die Daten rechtmäßig verarbeitet. Das umfasst u.a. eine umfangreiche Information der Beschäftigten über den Umgang mit ihren Daten.

Das DSAnpUG ist erheblicher Kritik ausgesetzt, da es nach vielfacher Ansicht den Standard der DSGVO senkt. Es empfiehlt sich daher, den Gesetzgebungsprozess weiter zu verfolgen. Es bleibt abzuwarten, welchen Inhalt das DSAnpUG letztlich haben wird und welcher konkrete Handlungsbedarf für Arbeitgeber im Bereich des Beschäftigtendatenschutzes entstehen wird. Da Unternehmen aber ohnehin die Anforderungen der DSGVO bis Mai 2018 umsetzen müssen, sollte bereits jetzt geprüft werden, welcher Handlungsbedarf neben dem Beschäftigtendatenschutz besteht und mit der Umsetzung der weiteren Anforderungen der DSGVO begonnen werden. Der Beschäftigtendatenschutz ist letztlich nur ein kleiner Teil aus einem großen Anforderungskatalog.

Der passende Vortrag auf der IDACON

DSGVO: Einwilligung im Arbeitsrecht und Auskunftsrecht der Arbeitnehmer

Silvia C. Bauer, Rechtsanwältin und Partnerin, Luther Rechtsanwaltsgesellschaft mbH
Heidi Schuster, Datenschutzbeauftragte, Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.

  • Was gilt: die DSGVO oder das neue nationale Recht?
  • Einwilligung: die Freiwilligkeit auf dem Prüfstand
  • Anspruch auf die eigenen Daten: Was können Arbeitnehmer fordern?
  • Praktische Lösungsansätze

Entdecken Sie weitere Programminhalte der IDACON

Das könnte Sie auch interessieren:

Allgemein

Risikomanagement und Datenschutz - eine rechtlich-organisatorische Liebesgeschichte

20.09.23, von Björn Möller

Datenschutz und Risikomanagement – das ist wahre Liebe! Tatsächlich können beide gar nicht mehr ohneeinander. Machen Sie die Beziehung deshalb auch in Ihrem Unternehmen offiziell: Dieser Beitrag greift den risikobasierten Ansatz der DSGVO auf und stellt Ihnen praktische Ansätze für die glückliche Vereinigung von Risikomanagement und Datenschutz im Unternehmen vor. Weiterlesen