Rz. 83
Der Gesetzgeber hat in § 26 Abs. 3 BDSG zudem eine weitere Unklarheit beseitigt, die im BDSG a.F. im Hinblick auf die Verarbeitung besonderer Datenkategorien im Sinne des § 3 Abs. 9 BDSG a.F. bestand. § 32 Abs. 1 S. 1 BDSG a.F. regelte nur den Umgang mit "einfachen" personenbezogenen Daten. Für die Erhebung, Verarbeitung und Nutzung der nach § 3 Abs. 9 BDSG a.F. besonders geschützten Datenkategorien musste auf die für alle Schuldverhältnisse geltende Vorschrift des § 28 Abs. 6 Nr. 3 BDSG a.F. zurückgegriffen werden (BAG v. 7.2.2012 – 1 ABR 46/10, Rn 29 f).
§ 26 Abs. 3 S. 1 BDSG stellt demgegenüber nunmehr klar, dass abweichend von Art. 9 Abs. 1 der DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 der DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig ist, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“
Rz. 84
Besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 der DSGVO sind
| ▪ | Daten, aus denen
|
hervorgehen,
| ▪ | genetische Daten, |
| ▪ | biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, |
| ▪ | Gesundheitsdaten, |
| ▪ | Daten zum Sexualleben sowie zur sexuellen Orientierung. |
Rz. 85
Gem. § 26 Abs. 3 S. 3 BDSG gilt § 22 Abs. 2 BDSG entsprechend. Nach § 22 Abs. 2 S. 1 BDSG sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Gem. § 22 Abs. 2 S. 2 Nrn. 1–10 BDSG können unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen dazu insbesondere gehören:
| ▪ | technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt, |
| ▪ | Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind, |
| ▪ | Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, |
| ▪ | Benennung einer oder eines Datenschutzbeauftragten, |
| ▪ | Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern, |
| ▪ | Pseudonymisierung personenbezogener Daten, |
| ▪ | Verschlüsselung personenbezogener Daten, |
| ▪ | Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, |
| ▪ | zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder |
| ▪ | spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der DSGVO sicherstellen. |
Rz. 86
Anders als bei § 26 Abs. 1 S. 1 BDSG ist im Rahmen des § 26 Abs. 3 BDSG neben der Erforderlichkeitsprüfung zudem eine Interessenabwägung vorzunehmen.
Das BAG hat im Hinblick auf Auskunftsansprüche des Betriebsrats hierzu ausgeführt, dass mit dem Kriterium der Erforderlichkeit der Datenverarbeitung nach § 26 Abs. 3 S. 1 BDSG – ebenso wie bei § 26 Abs. 1 S. 1 BDSG – sichergestellt sei, dass ein an sich legitimes Datenverarbeitungsziel nicht zum Anlass genommen werde, überschießend personenbezogene (sensitive) Daten zu verarbeiten (BAG v. 9.4.2019 – 1 ABR 51/17, Rn 39). Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers bedinge dies entsprechend der Bekundung des Gesetzgebers – welcher hierbei an die bis 24.5.2018 geltenden datenschutzrechtlichen Bestimmungen und die hierzu ergangene höchstrichterliche Rechtsprechung angeknüpft habe (vgl. BT-Drucks 18/11325, 97) – eine Abwägung widerstreitender Grundrechtspositionen im Wege praktischer Konkordanz sowie eine Verhältnismäßigkeitsprüfung (BAG v. 9.4.2019 – 1 ABR 51/17, Rn 39; vgl. zur praktischen Konkordanz bereits oben Rdn 11 f.). Diesen Anforderungen sei genügt, wenn die Verarbeitung personenbezogener Daten zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten – und damit einer "aus dem Arbeitsrecht i.S. v § 26 Abs. 3 S. 1 BDSG resultierenden Pflicht" des Arbeitgebers – erforderlich sei (BAG v. 9.4.2019 – 1 ABR 51/17, Rn 39). Dies habe der Ges...
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen