ZAP 10/2018, Datenschutzgrundverordnung: Beschäftigtendatenschutz in einer Arbeitswelt 4.0

I. Einleitung

"Wer nicht für seine Privatsphäre kämpft, wird sie verlieren" und "Technologie bedarf der leitenden Hand des Menschen, um Positives zu bewirken" sind zwei Kernaussagen von Ex-Google-Chairman Eric Schmidt und des Politikberaters und Managers Jared Cohen in ihrem Buch "Die Vernetzung der Welt". Weite Teile der digitalen Arbeitswelt (Arbeit 4.0) sind bislang kaum reguliert und bieten wenig Schutz vor Überwachung und Datenmissbrauch. Die bereits im Mai 2016 in Kraft getretene Datenschutz-Grundverordnung (kurz: DSGVO) findet ab dem 25.5.2018 Anwendung. Sie stellt eine bedeutende Zäsur im Datenschutzrecht dar. Mit ihr legt der europäische Gesetzgeber einen neuen Rechtsrahmen fest, der das Datenschutzrecht der EU-Mitgliedstaaten vereinheitlichen soll. Gleichfalls soll das modernisierte Datenschutzrecht der DSGVO im Zusammenspiel mit dem reformierten deutschen Bundesdatenschutzgesetz (kurz: BDSG n.F.) zeitgemäße Antworten – u.a. auf die Herausforderungen der Digitalisierung in einer Arbeitswelt 4.0 – geben.

II. Rechtscharakter DSGVO/Inkrafttreten

Die DSGVO, eine Verordnung der Europäischen Union, Verordnung (EU) 2016/679 (kurz: Verordnung EU), ist ein Rechtsakt der Europäischen Union mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in den Mitgliedstaaten (Art. 288 AEUV, Art. 249 EGV a.F.). Die Verordnung 2016/679 ist Teil des Sekundärrechts der Union und genießt als Unionsrecht Anwendungsvorrang vor dem nationalen Recht und somit auch vor dem BDSG n.F. Die DSGVO ist bereits am 24.5.2016 in Kraft getreten, gilt allerdings erst ab dem 25.5.2018 und löst zu diesem Zeitpunkt die EU-Datenschutzrichtlinie (95/46/EG) ab, auf der das bisherige Bundesdatenschutzgesetz (BDSG a.F.) beruht.

III. Datenschutzrechtliche Grundbegriffe

1. Personenbezogene Daten, besondere Kategorien

Nach Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Besondere Kategorien personenbezogener Daten (u.a. die Gewerkschaftszugehörigkeit, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, wie z.B. Arbeitsunfähigkeitsbescheinigungen, ärztliche Atteste und Gutachten, Bescheide über einen Grad der Behinderung [GdB] etc.), die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, sind bei der Verarbeitung besonders geschützt. Ihre Verarbeitung ist nach Art. 9 Abs. 1 DSGVO untersagt, wobei Art. 9 Abs. 2 DSGVO die Ausnahmen zu diesem Verbot regelt. Der Grund für den besonderen Schutz ist, dass im Zusammenhang mit der Verarbeitung besonderer Kategorien personenbezogener (sensibler) Daten erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (vgl. die Erwägungsgründe 46, 51–56 zur DSGVO und §§ 22, 24, 26–28 BDSG n.F.).

Auch die Verarbeitung besonderer Kategorien personenbezogener Daten kann grundsätzlich für einen oder mehrere festgelegte Zwecke (Datenzweckbindung) durch eine ausdrückliche Einwilligung der betroffenen Person gedeckt sein (Verbot mit Erlaubnisvorbehalt), es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Art. 9 Abs. 1 DSGVO durch die Einwilligung der betroffenen Person nicht aufgehoben werden (Art. 9 Abs. 2 lit. a DSGVO).

Nach § 26 Abs. 3 BDSG n.F. ist abweichend von Art. 9 Abs. 1 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Praxishinweis:

§ 26 Abs. 2 BDSG n.F. (Freiwilligkeit der Einwilligung) gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Abs. 2 BDSG n.F. (zulässige Verarbeitung durch öffentliche Stellen aus Gründen eines erheblichen öffentlichen Interesses, zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit etc.) gilt entsprechend.

2. Verarbeitung von Daten

Der Begriff der Verarbeitung von Daten ist nach der DSGVO denkbar weit gefasst. Nach Art. 4 Nr. 2 DSGVO bezeichnet "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verw...