DSGVO: Was ändert sich für den Beschäftigtendatenschutz

Beitrag vom

Dr. Michael Witteler, Rechtsanwalt, Fachanwalt für Arbeitsrecht, Berlin

Am 25.05.2018 beginnt im Datenschutz ein neues Zeitalter. Die DSGVO und das neue BDSG lösen die Richtlinie 95/46 EG und das bisherige BDSG ab. Welche Änderungen kommen auf Arbeitgeber zu?

Der Grundsatz, wonach jede Verarbeitung personenbezogener Daten (pbD) einer Rechtfertigung bedarf, bleibt unverändert. Eine Verarbeitung (z. B. Erhebung, Speicherung, Verwendung, Löschung) darf nur erfolgen, wenn die DSGVO, ein Gesetz, eine Betriebsvereinbarung oder ein Tarifvertrag sie gestattet bzw. der Beschäftigte wirksam eingewilligt hat. Bestanden bislang Zweifel daran, ob ein Beschäftigter wirksam einwilligen kann, ist dies nunmehr geregelt. § 26 BDSG und Art. 7 DSGVO schaffen den Rahmen für eine Einwilligung im Beschäftigungsverhältnis. Angesichts der Möglichkeit des jederzeitigen Widerrufs sollten Arbeitgeber für die Abläufe wichtige Verarbeitungsprozesse nach Möglichkeit nicht auf eine Einwilligung stützen, sondern prüfen, ob nicht eine andere Erlaubnisnorm einschlägig ist.

Die DSGVO enthält für den Bereich des Beschäftigtendatenschutzes eine Öffnungsklausel. Der deutsche Gesetzgeber hat hiervon Gebrauch gemacht und mit § 26 BDSG eine Regelung für den Beschäftigtendatenschutz geschaffen. Soweit § 26 BDSG als Erlaubnisnorm für die Verarbeitung herangezogen wird, so wird sich im Vergleich zum bisherigen § 32 Abs. 1 BDSG alt kaum etwas ändern. Im Übrigen gilt die DSGVO.
Ein zentrales Anliegen der DSGVO ist die Transparenz der Verarbeitung. Der Betroffene, also der Inhaber der Daten, soll eigenverantwortlich über seine Daten entscheiden können. Um die Verarbeitung seiner Daten jederzeit überwachen zu können, enthalten die Art. 12 ff. DSGVO Regelungen zu Informationspflichten, Auskunftsrechten, Berichtigung, Löschung und Datenübertragbarkeit. Hieraus ergeben sich teils ganz neue Anforderungen für Arbeitgeber. Angesichts des dramatisch gestiegenen Bußgeldrahmens (derzeit max. 300.000 €, in der DSGVO bis zu 20.000.000 € oder 4% des weltweiten Umsatzes) ist es wichtig, dass Arbeitgeber sich hierauf einstellen und entsprechende Prozesse in ihrem Unternehmen etablieren. Auch sollten die Mitarbeiter für den Datenschutz sensibilisiert werden.

Wird die Verarbeitung derzeit auf eine Betriebsvereinbarung oder eine Einwilligung gestützt, ist zu untersuchen, ob diese Rechtsgrundlage DSGVO konform ist. Ist dies nicht der Fall, fehlt ab 25.05.2018 eine wirksame Rechtsgrundlage für die Verarbeitung der Daten, sofern die Verarbeitung nicht auch auf eine gesetzliche Grundlage gestützt werden kann. Hier besteht dann dringender Handlungsbedarf.

Im Arbeitsverhältnis ist es üblich, pbD durch Dritte verarbeiten zu lassen, etwa die Lohnabrechnung durch ein Lohnbüro oder eine Servicegesellschaft im Konzern. Das geschieht regelmäßig im Rahmen einer sog. Auftragsdatenverarbeitung. Diese Möglichkeit wird es auch weiterhin geben, wenn auch zu etwas geänderten Bedin-gungen. Die hierzu geschlossenen Verträge müssen ab 25.05.2018 den Anforderungen der DSGVO entsprechen.

Für die Übertragung von pbD ins Ausland gelten besondere Regelungen, die vom Grundsatz her aber dem bisherigen Recht ähneln. Bei der Übertragung in ein Land der EU oder des EWR sind keine Besonderheiten zu beachten. Anders sieht es hingegen bei der Übertragung in sog. Drittstaaten aus. Handelt es sich um ein Land, für das die EU Kommission ein Angemessenheitstestat erlassen hat, braucht der Verantwortliche nichts weiter zu beachten. Es gibt aber nur wenige Länder, für die es ein Angemessenheitstestat gibt. In allen anderen Fällen muss der Verantwortliche ausreichende Garantien beim Empfänger der pbD nachweisen. Das kann durch Verwendung von Standarddatenschutzklauseln, Binding Corporate Rules oder einer anderen in Art. 46 Abs. 2 DSGVO aufgeführten geeigneten Garantie erfolgen.

 

Dieser Text wurde veröffentlicht im BRAK Magazin, Ausgabe 2/2018. Das gesamte Heft kann hier abgerufen werden: www.brak-mitteilungen.de

 

Veranstaltungen zum Thema im DAI:

DSGVO und neues BDSG: Worauf Arbeitgeber achten müssen

  • 3. Mai 2018 · Berlin
  • 20. Juni 2018 · Bochum


DSGVO und neues BDSG – was ändert sich für den Beschäftigtendatenschutz

  • 7. September 2018 · Bochum
  • 21. September 2018 · Kiel
  • 28. November 2018 · Berlin

 

 

Zurück