Beschäftigtendatenschutz unter der Europäischen Datenschutz-Grundverordnung

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Entwicklung des (Beschäftigten-) Datenschutzes mit dem BDSG
2.1 Novellierung von 1991
2.2 Europäische Vereinheitlichung von 2001
2.3 Entbürokratisierung von 2006
2.4 Kunden- und Beschäftigtendatenschutz von 2009
2.5 Entwurf zum Beschäftigtendatenschutzgesetz von 2010

3 Datenschutz - Grundverordnung (DS-GVO) und Beschäftigtendatenschutz?
3.1 Entstehung der DS-GVO
3.2 Kritik zum Beschäftigtendatenschutz Art. 88 DS-GVO

4 Beschäftigtendatenschutz unter der DS-GVO in Deutschland
4.1 Vorgaben für den Beschäftigtendatenschutz von der DS-GVO
4.2 Erste Entwürfe vom neuen BDSG nach der DS-GVO

5 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Ein Leben ohne die Herausgabe von Daten und deren Verarbeitung scheint im 21. Jahrhundert nicht mehr weg zu denken. Dabei sind die dafür benötigten gesetzlichen Regelungen erst knapp 50 Jahre alt. Das erste Datenschutzgesetz der Welt, ist aus Hessen (HDSG) von 1970.¹ Dem folgte das Landesdatenschutzgesetz von der Rheinland - Pfalz von 1974 bis schließlich das Bundesdatenschutzgesetz (BDSG) 1977 verkündet wurde und 1979 in Kraft getreten ist², was zunächst inhaltlich hinter dem HDSG zurückblieb.³

Nach weiteren Reformen des BDSG und den ersten Versuchen einer europäischen Ver- einheitlichung, die kurz im Kapitel 2 beschrieben werden, soll es im Kapital 3 um die DS-GVO der Europäische Union (EU) gehen. Daran anschließend beschäftigt sich das Kapitel 4 mit dem Beschäftigtendatenschutz unter der EU-DS-GVO und endet mit einem kleinen Fazit.

2 Entwicklung des (Beschäftigten-) Datenschutzes mit dem BDSG

2.1 Novellierung von 1991

Für eine erste Reform sorgte, dass durch das Bundesverfassungsgericht (BVerfG) ge- sprochene Volkszählungsurteil aus 1983. Dadurch wurde das verfassungsrechtlich ver- ankerte Recht auf informationelle Selbstbestimmung⁴ abgeleitet, was zudem in den Verfassungen der Bundesländer einfließen musste.⁵ Gleichzeitig mussten die Landesda- tendatenschutzgesetze und das BDSG angepasst werden. Der Bundesgesetzgeber ver- öffentlichte das BDSG am 20.12.1990⁶ - sieben Jahre nach dem Urteil - und trat am 1.6.1991 in Kraft. Es wurde am Grundkonzept nichts verändert, denn die Wirtschaft hatte eine Zweitteilung gefordert. Die nunmehr dritte Fassung des BDSG, ein sog. Auffanggesetz, schrieb den Datenschutz für die öffentliche Verwaltung und der Privatwirtschaft nach grundsätzlichen gleichen Kriterien fest.⁷

2.2 Europäische Vereinheitlichung von 2001

Einen weiteren äußeren Anstoß zur Novellierung gab es durch europäischen Verordnun- gen. Denn seit 1991 gab es andauernde Beratungen, die im Jahr 1995 zur Richtlinie 95/46/EG führten.⁸ Diese Richtlinie gilt dann bis zum 25.5.2018 als die EU-DS-GVO in Kraft tritt⁹ und ist bis dahin eine der ausschlaggebenden europäischen Richtlinien. Den Umsetzungstermin, 24.10.1998, haben die meisten Bundesländer und der Bund nicht gewahrt.¹⁰ Das novellierte Gesetz trat am 23.5.2001 in Kraft.¹¹ Die Verspätung wird damit gegründet, weil gewichtige Stimmen (der Gesetzgebung) nicht nur eine Anpassung an die EU forderten, sondern auch eine grundlegende Mo- dernisierung wollten. Davon sah die Gesetzgebung dann wegen Zeitdrucks ab, wobei die Modernisierung in einer "zweiten" Stufe des Novellierungsprozesses folgen sollte. Das neue Gesetz enthält neben den zwingenden EU-Vorgaben auch bereits einige Grundsätze vom "modernen Datenschutzrecht", sog. Systemdatenschutz zuzuordnen- des Prinzip der Datenvermeidung und Datensparsamkeit, Datenschutz durch Technik und Datenschutz-Audits. Dazu gab es erste Ansätze zu der Selbstregulierung des Da- tenschutzes durch die Anwender, ggf. durch die Einsegnung durch Aufsichtsbehörden.¹²

2.3 Entbürokratisierung von 2006

Da der Umfang und die Regelungsdichte erheblich zugenommen hat, war das haupt- sächliche Ziel dieser Überarbeitung, ein moderner Datenschutz der zugleich lesbar für die Betroffenen und der Praxis ist und gleichzeitig noch überschaubar bleibt. Im Nach- hinein stellt sich heraus, dass die Ziele konterkarieren.¹³ Das Problem hierbei ist, dass die Datenschutzgesetzgebung auf unterschiedliche Rechtsetzungsgrundsätze beruht und unterschiedliche Regelungskompetenzen, z.B. Gesetze (Bund/Länder), Verordnungen, Tarifverträge, Betriebs- bzw. Dienstvereinbarungen, vorhanden sind - hinzukommt auch noch der vermehrte internationale Einfluss.¹⁴ Die Korrekturen bzw. Regelungen zum Klarstellen einiger Anwendungsfragen folgten dem Aspekt der Entlastung der Wirt- schaft vor "zu viel" Datenschutzbürokratie durch die Bestimmungen zur Bestellung von Datenschutzbeauftragten¹⁵ und zu seiner Kooperation mit der Aufsichtsbehörde.¹⁶

2.4 Kunden- und Beschäftigtendatenschutz von 2009

Vorrangig widmete sich die Überarbeitung 2009 der Verbesserung des Kundendaten- schutzes im Hinblick auf Bonitäts- und Werbedaten.¹⁷ Die Neuaufnahme des §32 BDSG wurde durch die Skandale 2007/2008 im Zusammenhang mit Beschäftigtendaten¹⁸ ausgelöst. Der §32 BDSG stand im Vordergrund und sollte einen in die bereichsspezifischen Regelungen des Arbeitnehmer- bzw. Beschäftigtendatenschutz durch den §32 BDSG ermöglichen¹⁹ - obwohl die Norm die bestehende Rechtslage nicht ändert.²⁰

2.5 Entwurf zum Beschäftigtendatenschutzgesetz von 2010

Nachdem nun schon eine "kleine" Regelung §32 BDSG vorhanden war, sollten um- fassende Regelungen zum Arbeitnehmerdatenschutz folgen. Vorgesehen war ein neuer Unterabschnitt im BDSG vorgesehen. Ein Entwurf²¹ wurde dem Bundesrat vorgelegt. Ohne die zahlreichen Änderungen des Bundesrates²² nachzukommen, brachte die Bun- desregierung am 25.2.2011 den Entwurf in den Bundestag ein.²³ Das Artikelgesetz soll- te den Arbeitnehmerdatenschutz unter Festschreibung der bisherigen Rechtsprechung präzisieren und verbessern. Unter anderem sollte es einen wirksamen Schutz vor Be- spitzelung am Arbeitsplatz geben, verlässliche Grundlagen für die Durchführung von Compliance-Anforderungen und für den Kampf gegen Korruption an die Hand gege- ben werden.²⁴ Obwohl es eigentlich einen größeren Schutz für die Arbeitnehmer geben sollte, wurden die Befugnisse der Arbeitgeber erheblich erweitert bzw. den Schutz vor von dauerhafter Überwachung und Kontrolle ins Gegenteil verkehrt.²⁵,²⁶

Dieser Gesetzesentwurf wurde vom DGB²⁷, Deutsche Vereinigung für Datenschutz²⁸ und vielen weiteren gerügt bzw. abgelehnt. Nach der Entscheidung der CDU Fraktion im Januar 2013 wurde der Gesetzesentwurf von der Tagesordnung genommen wohl mit dem Ziel bis zur Bundestagswahl am 22.9.2013 nicht wiederaufzunehmen.²⁹,³⁰ Ob noch mal ein Beschäftigtendatenschutzgesetz eingebracht wird bleibt abzuwarten. Die EU-DS-GVO sieht im Art. 88 Abs. 1 DS-GVO eine Öffnungsklausel für nationale Vorschriften zum Beschäftigtendatenschutz vor.³¹

3 DS-GVO und Beschäftigtendatenschutz?

3.1 Entstehung der DS-GVO

Die Europäische Kommission (EK) hat vor geraumer Zeit verkündet,³² dass es zu einer weiteren Vereinheitlichung und Modernisierung des Datenschutzes in der EU in einer Verordnung kommen wird. Das hauptsächliche Ziel der Novellierung der Richtlinie 95/46/EG war die "Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedsstaaten"³³ sowie dem nationalen Gesetzgeber zahlreiche Regelungsbestände zur Konkretisierung bzw., wie es beim Beschäftigtendatenschutz im Art. 88 DS-GVO geschehen ist, umfassend den Einzelstaaten zur Ausgestaltung überlassen wurden.³⁴

Am 25.1.2012 veröffentliche die EK ihren Vorschlag.³⁵ Jedoch brachte das Europäische Parlament (EP) am 12.3.2014³⁶ eine eigene geänderte Fassung für eine EU-DS-GVO heraus. Durch den Beschluss vom Rat für Justiz und Inneres (JI-Rat) am 15.6.2015³⁷ wurden allgemeine Grundsätze festgelegt, sodass die Institutionen der EU schon am 24.6.2015 mit den "Trilog-Verhandlungen" begonnen konnten.³⁸ Nach zähen Ringen um den Reformvorschlag gelang Anfang 2016 der Durchbruch. Am 4.5.2016 erschien die Verordnung³⁹,⁴⁰ und trat am 25.5.2016 in Kraft. Nach der zweijährigen Übergangszeit wird sie gemäß Art. 99 Abs. 2 DS-GVO am 25.5.2018 für staatliche Stellen und Unternehmen verbindlich. Mit ihren 99 Art. und 173 ErwGr. ist sie viel umfangreicher als das BDSG. Davon abgesehen, ist die DS-GVO eine EU-Verordnung, die gemäß Art. 288 AEUV unmittelbar anwendbar ist.⁴¹

Die Arbeit mit der DS-GVO wurde z.T. wegen der Neunummerierung der Artikel von den Vorversionen zur endgültigen Fassung erschwert, was sich im Beschäftigtendatenschutz zeigt. In der Trilog-Version war es noch der Art. 82 DS-GVO⁴² und in der verabschiedeten Verordnung nun im Art. 88 DS-GVO zu finden.

[...]

¹ GVBl. I 1970 S. 625

² vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 74.

³ vgl. Körner: Digitalisierung und Datenschutz im EU-Mehrebenensystem, S. 100.

⁴ BVerfGE 65, S. 1

⁵ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 75.

⁶ BGBl. I 1990, S. 2954

⁷ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 76f..

⁸ zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ABl. EG 1995 Nr. L281, S. 31 vom 23.11.1995

⁹ vgl. Art. 94 Abs. 1 DS-GVO

¹⁰ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 78.

¹¹ BGBl. I 2001, S. 904

¹² vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 79.

¹³ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 80.

¹⁴ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 68.

¹⁵ §§ 4d,4f & 4g BDSG

¹⁶ BGBl. I 2006, S. 1970

¹⁷ BGBl. I 2009, S. 2814

¹⁸ vgl. Körner: Regierungsentwurf zum Arbeitnehmerdatenschutz, S. 416, 417.

¹⁹ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 82f..

²⁰ vgl. BT-Drs. 16/13657 S. 20ff.

²¹ Bundesministerium des Innern: Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes.

²² BR-Drs. 535/10

²³ BT-Drs. 17/4230

²⁴ Bundesministerium des Innern: Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, Vorwort des Gesetzesentwurfes sowie Begründung Allgemeiner Teil, Ziff. I (S.19).

²⁵ vgl. LT-Drs. 17/1220,S. 75

²⁶ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 84-86.

²⁷ DGB: Stellungnahme zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes.

²⁸ Deutsche Vereinigung für Datenschutz: Presseerklärung: Harsche Kritik am Gesetzentwurf für Arbeitnehmerdatenschutzgesetz.

²⁹ vgl. Wybitul: Wie geht es weiter mit dem Beschäftigtendatenschutz, S. 99.

³⁰ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 90.

³¹ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 91.

³² KOM (2010) 609 endgültig

³³ ErwGr. 3 DS-GVO in der Fassung vom 27.4.2016

³⁴ vgl. Körner: Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung (DS-GVO), S. 13.

³⁵ KOM (2012) 11 endgültig

³⁶ A7-0402/2013

³⁷ Rat der Europäischen Union: Datenschutz: Rat legt allgemeine Ausrichtung fest.

³⁸ vgl. Bund-Verlag: Beschäftigtendatenschutz: DGB fordert nationales Datenschutzgesetz.

³⁹ ABl. L 119/1, S. 1-88

⁴⁰ vgl. Gola/Pötters/Wronka: Handbuch Arbeitnehmerdatenschutz, Rn. 93.

⁴¹ vgl. Körner: Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung (DS-GVO), S. 13.

⁴² in der Fassung vom 28.1.2016, ABl. 5455/16