Nach zähen Verhandlungen erfolgte Ende 2015 die europaweite Einigung auf eine EU-Datenschutz-Grundverordnung (DSGVO). Das Ziel: Eine weitgehende Vereinheitlichung des europäischen Datenschutzrechts. Inkrafttreten werden die Neuregelungen am 25. Mai 2018 – zeitgleich mit dem ebenfalls neugefassten Bundesdatenschutzgesetz (BDSG).
DSGVO oder BDSG?
Die DSGVO gibt den gesetzlichen Rahmen für ein harmonisiertes Datenschutzrecht innerhalb der EU vor. Gleichzeitig überlässt sie das gesetzliche „Feintuning“ in vielen Regelungspunkten den jeweiligen Mitgliedsstaaten (oftmals als „Öffnungsklausel“ bezeichnet). Dies hat zur Folge, dass in Deutschland zeitgleich mit der DSGVO am 25. Mai 2018 ein neues Bundesdatenschutzgesetz (BDSG) in Kraft tritt.
Wichtig zu wissen: Die DSGVO gilt in der gesamten EU und damit auch in Deutschland direkt und unmittelbar. Die Regelungen des neuen BDSG sind somit nur als Ergänzung bzw. Konkretisierung der DSGVO zu verstehen.
Verarbeitung von Beschäftigtendaten
Die wichtigste Norm, die dem Arbeitgeber das Speichern und Verarbeiten von Beschäftigtendaten in begrenztem Umfang erlaubt, stellt zurzeit § 32 BDSG-alt dar. Da die DSGVO keine vergleichbaren Regelungen enthält, hat der Gesetzgeber von der oben genannten Öffnungsklausel Gebrauch gemacht. Die bislang in § 32 BDSG-alt enthaltenen Bestimmungen finden sich künftig relativ gleichlautend im § 26 BDSG-neu.
Danach dürfen personenbezogene Daten von Beschäftigten (sinngemäß) für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Insoweit gibt es keinen Unterschied zwischen der alten und der neuen Rechtslage.
Zu den Arbeitnehmer-Daten, die Arbeitgeber laut aktueller Rechtsprechung speichern dürfen, gehören:
- Name und Adresse,
- Bankverbindung,
- Ausbildung und Qualifikationen,
- Arbeitszeiterfassung,
- bestimmte PC-Vorgänge.
Schwierig wird es, wenn – darüber hinausgehend – noch deutlich sensiblere Daten erhoben werden, beispielsweise zur Gesundheit. Hier kommt es darauf an, ob die Datenerhebung für die Durchführung des Arbeitsverhältnisses „erforderlich“ ist. Das Bundesarbeitsgericht hat hierzu in diversen Urteilen festgestellt, dass der Einsatz technischer Geräte nur dann „erforderlich“ ist, wenn kein anderes, milderes Mittel zur Verfügung steht.
In das neue BDSG wurden auch die Datenschutzregelungen im Zusammenhang mit der Aufdeckung von Straftaten übernommen. Danach dürfen personenbezogene Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn der Verdacht besteht, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt.
Zu beachten ist außerdem, dass sich der Verdacht auf dokumentierte Tatsachen stützt und die vom Arbeitgeber ergriffenen Maßnahmen verhältnismäßig sind.