Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie gilt dann unmittelbar für alle Unternehmen in Deutschland. Das unterscheidet sie vom sogenannten Unionsprimärrecht. Denn im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) findet sich zwar in Art. 16 Abs. 1 AEUV der Schutz personenbezogener Daten als unbeschränktes Grundrecht. Grundrechte sind aber vor allem Abwehrrechte des Bürgers gegen den Staat. Nach der Rechtsprechungspraxis des EuGH spielt deshalb auch Art. 8 der Europäischen Menschenrechtskonvention (EMRK) mit der zugehörigen Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) für die Anwendung von Art. 16 AEUV eine wichtige Rolle. An Art. 16 AEUV knüpft Art. 39 des Vertrags über die Europäische Union (EUV) für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union unmittelbar an. Zum Unionsprimärrecht gehört auch die Grundrechtscharta der Europäischen Union (GRCh). Sie gilt ebenfalls für die Organe, Einrichtungen und Mitgliedsstatten der Union, Art. 51 Abs. 1 GRCh. Sie schützt in Titel II die Freiheit der Kommunikation (Art. 7 GRCh) und die Freiheit der personenbezogenen Daten (Art. 8 GRCh). Anders als Art. 16 AEUV ist das Datenschutzgrundrecht aber gemäß Art. 52 Abs. 2 GRCh beschränkt. Die GRCh steht zwar außerhalb, aber auf derselben Hierarchieebene wie AEUV und EUV. Sie ist mit den beiden Gründungsverträgen rechtlich gleichrangig, Art. 6 Abs. 1 EUV, bildet also ihrerseits Primärrecht. Der Einfluss der GRCh auf das Arbeitsrecht und den Datenschutz bei der Durchführung von Unionsrecht hat sich bei den Vorabentscheidungsgesuchen über die Gültigkeit der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates über die Vorratsspeicherung von Daten und im Urlaubsrecht deutlich gezeigt. Das Verhältnis zwischen Art. 8 GRCh und Art. 16 AEUV ist im Übrigen aber noch ungeklärt. Der im deutschen Verfassungsrecht als praktische Konkordanz bekannte Ausgleich kollidierender Grundrechte findet hier nicht statt.
Die DSGVO bildet Sekundärrecht. Das hört sich zunächst so an, als sei sie weniger bedeutsam. Das stimmt aber so nicht. Die DSGVO hat vielmehr allgemeine Gültigkeit und wirkt unmittelbar in den Mitgliedstaaten. Eigenständige Regelungen zum Beschäftigtendatenschutz enthält die DSGVO jedoch nicht. Sie stellt lediglich die in Art. 5 Abs. 1 DSGVO enthaltenen Datenverarbeitungsgrundsätze auf, die stets zu beachten sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Der Verantwortliche muss zudem den Nachweis der Einhaltung dieser Grundsätze nach Art. 5 Abs. 2 DSGVO führen (Rechenschaftspflicht) und die von ihm getroffenen technisch-organisatorischen Maßnahmen dokumentieren können, Art. 24 Abs. 1 DSGVO.
In Art. 88 DSGVO ist sodann eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext enthalten. Demnach können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext erlassen. Das gilt vor allem für Zwecke der Einstellung und der Erfüllung des Arbeitsvertrags für Managementzwecke einschließlich der Planung und der Organisation der Arbeit. Zu den weiteren europarechtlich anerkannten Zwecken gehören die der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden. Natürlich sind auch Zwecke der Beendigung des Beschäftigungsverhältnisses zulässige Zwecke.
Mit ihrem gegenüber der Vorgängernorm zu Gunsten der Betroffenen weiter gefassten Schutzkonzept und vor allem erheblich verschärften Sanktionen hat die DSGVO Handlungsbedarf im nationalen Recht ausgelöst.
Die Reaktion des nationalen Gesetzgebers erfolgte in Deutschland mit dem Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU). Darin enthalten ist eine neue Fassung des Bundesdatenschutzgesetzes (BDSG n.F.) Auch im BDSG n.F. findet jedoch keine umfassende Neuregelung des Beschäftigtendatenschutzes statt. Das mag aufgrund konzeptioneller Unklarheiten und Widersprüche zu bedauern sein, hat aber den Vorteil, dass zumindest teilweise auf bekanntes Praxiswissen zurückgegriffen werden kann. Die praxisrelevanten Begriffsbestimmungen und Grundlagen aus § 3 Abs. 11 und § 32 BDSG a.F. finden sich beispielsweise nur mit geringfügigen Änderungen im Abschnitt 2 unter den „Besonderen Verarbeitungssituationen“ in § 26 BDSG n.F. zusammengefasst.
In § 26 Abs. 2 BDSG n.F. ist zudem erstmals die Freiwilligkeit der datenschutzrechtlichen Einwilligung geregelt. Hier wird es in Zukunft vor allem darauf ankommen, Freiwilligkeit durch Abschluss geeigneter Tauschgeschäfte herzustellen und nachweisen zu können. Der in die Datenverarbeitung einwilligende Mitarbeiter muss also einen attraktiven Gegenwert erhalten. So könnte es zulässig sein die private Internetnutzung an die Einräumung von Kontrollrechten zu binden. Zu beachten ist das grundsätzlich geltende Schriftformgebot für die Einwilligung und die Aufklärung des Arbeitnehmers zumindest in Textform, § 26 Abs. 2 S. 3, 4 BDSG n.F. Bei der Incentivierung ist auch auf zeitlichen Abstand zur Begründung des Beschäftigten zu achten, um das Gewicht der Abhängigkeit des Beschäftigten zu reduzieren.
Das Datenschutzrecht ist in Bewegung gekommen und wird sich in den nächsten Jahren als zunehmend wichtig erweisen. Unternehmen aller Branchen sind durch die weitgefasste Neukonzeption gezwungen, sich mit dem neuen Datenschutzrecht auseinanderzusetzen . Ohne vertiefte arbeitsrechtliche, aber auch steuer- und sozialversicherungsrechtliche Kenntnisse ist das kaum möglich. Fachliche Unterstützung ist daher wichtiger denn je. Sprechen Sie uns dazu einfach an!