Der neue Beschäftigtendatenschutz

23. Mai 2017

Arbeitsrecht, IT- und Datenschutzrecht,

Wie wir in unserem Blogbeitrag im April 2017 berichtet haben, müssen sich Unternehmen bereits jetzt auf die durch die EU-Datenschutz-Grundverordnung (DSGVO) implizierten Änderungen bei der Verarbeitung personenbezogener Daten einstellen, um hohe Bußgelder und Schadensersatzansprüche von Betroffenen zu vermeiden.

Im Zuge der Umsetzung der sog. „Öffnungsklauseln“ der DSGVO hat der Bundesrat am 12.05.2017 ein neues Bundesdatenschutzgesetz (BDSG) beschlossen. Besonders relevant für Unternehmen ist die Neuregelung des Beschäftigtendatenschutzes in § 26 BDSG.

Eckdaten zu der Neuregelung des Datenschutzes am Arbeitsplatz

Mit der Regelung des § 26 BDSG greift der deutsche Gesetzgeber zunächst auf wesentliche Strukturen und Grundsätze des aktuell noch geltenden Beschäftigtendatenschutzes zurück. So bleibt die Verarbeitung personenbezogener Daten von Beschäftigten weiterhin erlaubt, wenn dies für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses „erforderlich“ ist. Im Rahmen der Erforderlichkeitsprüfung ist eine umfassende Interessenabwägung zwischen den Interessen des Arbeitgebers an der Datenverarbeitung und den Persönlichkeitsrechten der Beschäftigten vorzunehmen. Weiterhin möglich bleibt auch die Datenverarbeitung für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis. Auch Einwilligungen von Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten bleiben zulässig. Voraussetzung dafür ist jedoch, dass die Einwilligung „freiwillig“ erteilt wurde. Dies ist grundsätzlich zu bejahen, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Schließlich bilden auch Betriebsvereinbarungen weiterhin eine Ermächtigungsgrundlage für die Verarbeitung von Beschäftigtendaten.

Was müssen Arbeitgeber jetzt tun?

Auch wenn der deutsche Gesetzgeber mit der Neuregelung des § 26 BDSG große Teile des bisherigen Beschäftigtendatenschutzes übernommen hat, müssen Arbeitgeber daneben die teilweise erheblich modifizierten Vorgaben der DSGVO umsetzen. Hierzu gehören zum Beispiel die umfangreichen Informationspflichten des Arbeitgebers. Die Beschäftigten müssen in Zukunft viel umfassender und in transparenter Form über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Die mit der DSGVO eingeführten Rechenschafts- und Nachweispflichten erfordern es zudem, dass Arbeitgeber zukünftig die Einhaltung der neuen Vorgaben beweisen müssen. Diesen Beweis werden Arbeitgeber grundsätzlich nur führen können, wenn die Verarbeitung von Beschäftigtendaten im Unternehmen umfassend dokumentiert wird. Neben der Dokumentation der relevanten Verfahren und Prozesse müssen auch bestehende Betriebsvereinbarungen an die modifizierten Vorgaben der DSGVO und des BDSG angepasst werden.