Am 5. Juli 2017 wurde das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) im Bundesgesetzblatt verkündet und passt das Bundesdatenschutzgesetz (BDSG) an die Datenschutzgrundverordnung (DSGVO) an, welche anderenfalls aufgrund eines Anwendungsvorrangs nationale Datenschutzgesetze der EU-Mitgliedstaaten ab dem 25. Mai 2018 verdrängen würde. Die DSGVO eröffnet den Mitgliedstaaten jedoch die Möglichkeit, die Datenverarbeitung - etwa im Beschäftigungskontext - zu spezifizieren. Hiervon hat die Bundesregierung Gebrauch gemacht.

Auswirkungen der DSGVO für Arbeitgeber

Für den Arbeitgeber ist insbesondere der § 26 BDSG von Interesse, der folgende wichtige Neuerungen vorsieht:

Das Aufklären von Straftaten und Pflichtverstößen im Betrieb ist weiterhin möglich, unterliegt jedoch hohen Anforderungen

Der neue § 26 Abs. 1 S. 2 BDSG entspricht dem bisherigen § 32 Abs. 1 S. 2 BDSG und ermöglicht die Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis. Die Abwägung beiderseitigen Interesses ist weiterhin zu beachten. Daneben regelt die Norm allerdings nicht, ob eine Aufklärung konkreter Anhaltspunkte auf Pflichtverletzungen, die keine Straftaten darstellen, der Durchführung des Beschäftigungsverhältnisses dient. Das BAG hat in seiner Entscheidung vom 22. September 2016, Az.: 2 AZR 848/15 zur Auslegung des § 32 Abs. 1 S. 2 BDSG entschieden, dass eine übermäßig enge Auslegung nicht angebracht sei. Diese Wertung lässt sich auch auf den neuen § 26 Abs. 1 S. 2 BDSG übertragen.

Betriebsverfassungsorgane wie Betriebsräte müssen die DSGVO und das BDSG beachten

§ 26 Abs. 1 S. 1 BDSG erlaubt einerseits Betriebsverfassungsorganen personenbezogene Daten, soweit erforderlich, zu verarbeiten sowie andererseits dem Arbeitgeber diese Daten an die Betriebsverfassungsorange weiterzugeben, sofern dies gesetzlich vorgesehen ist. Dabei ist wiederum zu berücksichtigen, dass auch hier eine Erforderlichkeitsprüfung zu erfolgen hat.

Die Einwilligung des Beschäftigten wurde umfangreicher geregelt

Die Verarbeitung personenbezogener Daten ist nach § 26 Abs. 2 BDSG auch weiterhin aufgrund einer Einwilligung des Beschäftigten zulässig. Dabei muss die Einwilligung freiwillig gemäß § 26 Abs. 2 S. 2 BDSG erfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Darüber hinaus muss der Beschäftigte über den Zweck der Datenverarbeitung und über sein Widerrufsrecht nach Art. 7 Abs. 3 DSGVO aufgeklärt werden. Sollen besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden, muss hierauf im Rahmen der Einwilligung gesondert hingewiesen werden.

Betriebsvereinbarungen müssen der DSGVO und dem BDSG entsprechen

§ 26 Abs. 4 BDSG regelt die Verarbeitung personenbezogener Daten auf der Grundlage von Kollektivvereinbarungen. Neu ist nunmehr, dass beim Abschluss solcher Vereinbarungen die Vorgaben des Art. 88 Abs. 2 DSGVO beachtet werden müssen. Danach sind nur solche Vorschriften erlaubt, die angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen umfassen. Da es keine Ausnahmeregel für Kollektivvereinbarungen gibt, die vor der DSGVO abgeschlossen wurden, sind diese bis Mai 2018 an die Anforderungen der DSGVO anzupassen.

Der Begriff des Beschäftigten wurde definiert

Im Gegensatz zur DSGVO, welche den Begriff des Beschäftigten nicht näher erläutert, legt § 26 Abs. 8 BDSG fest, dass Beschäftigte im Sinne des Beschäftigtendatenschutzes insbesondere Arbeitnehmer, Leiharbeitnehmer, Auszubildende, Heimarbeiter, Beamte, Richter und Soldaten sind.

Neben diesen Neurungen sollten künftig auch folgende Punkte beachtet werden:

• Die Benennung eines Datenschutzbeauftragten ist in allen Unternehmen zwingend erforderlich, bei denen mehr als zehn Beschäftigte personenbezogene Daten verarbeiten. Dabei ist die Ernennung von externen Datenschutzbeauftragten weiterhin möglich;
• § 22 BDSG erleichtert unter bestimmten Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten, beispielsweise zum Zwecke der Gesundheitsvorsorge;
• der Arbeitnehmer kann im Rahmen eines Schadenersatzanspruches auch Nichtvermögensschäden geltend machen, die aus einer Verletzung des Persönlichkeitsrechts resultieren können; sie liegen beispielsweise dann vor, wenn ein Datenschutzverstoß psychische Auswirkungen auf die betroffene Person hat;
• das Bußgeld bei Verstößen gegen Pflichten aus der DSGVO und dem BDSG steigt auf bis zu 20 Millionen Euro bzw. 4 % des weltweiten Vorjahresumsatzes, aber auch strafrechtliche Sanktionen gemäß § 42 BDSG, können die Folgen eines Verstoßes sein.