Neufassung Bundesdatenschutzgesetz BDSG

Neues vom Bundesdatenschutzgesetz: Es wurde durch das “Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)” neu gefasst. Die Änderung tritt zum 25. Mai  2018 in Kraft. Bis dahin gilt noch die jetzige Fassung.

Grund für die Neufassung des Bundesdatenschutzgesetzes (BDSG) sind die Vorgaben der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L EU L 119 vom 4.5.2016,S. 1). Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Diese EU-Verordnung ist direkt anwendbar und bedarf prinzipiell keiner Umsetzung. Dennoch enthält die EU-Verordnung darüber hinaus Regelungsaufträge an die Mitgliedstaaten, die in nationales Recht umzusetzen sind. Dies geschieht durch die Neufassung des Bundesdatenschutzgesetzes.

Bundesdatenschutzgesetz betrifft auch Unternehmen

Das BDSG gilt auch für nichtöffentliche Stellen wie natürliche und juristische Personen, Gesellschaften und andere Personenvereinigung des privaten Rechts (§ 3 Abs. 4 Satz 1). Dabei geht es um die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zu Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Auf nichtöffentliche Stellen findet das Gesetz auf Datenverarbeitung im Inland Anwendung (§ 1 Abs. 4 Satz 1 Nr. 1). § 1 Abs. 4 Satz 1 Nr. 2 bestimmt, dass die Vorschriften des BDSG nur dann zur Anwendung kommen, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt.

• §22 Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) ausnahmsweise zulässig ist. Danach ist die Verarbeitung bei nicht nichtöffentlichen Stellen zulässig, wenn sie
• erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen,
• zum Zweck der Gesundheitsvorsorge,
• für die Beurteildung der Arbeitsfähigkeit des Beschäftigten,
• für die medizinische Diagnostik
• die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
• für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrages (Behandlungsvertrag) der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oderdurch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.

Der Begriff der Gesundheitsvorsorge beinhaltet dabei auch die arbeitsmedizinische Vorsorge.

Zur Wahrung der Grundrechte und Interessen der betroffenen Person enthält § 22 Abs. 2 eine Auflistung von angemessene und spezifische Maßnahmen wie beispielsweise die Pseudonymisierung personenbezogener Daten, die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten und die Verschlüsselung.

• §26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) Abs. 1 regelt – wie bisher § 32 Abs. 1 BDSG als Fassung –, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn dies zum Zweck des Beschäftigungsverhältnisses erforderlich ist. Von § 26 Abs. 1 Satz 1 wird auch die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses umfasst, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
• §26 Abs. 1 Satz 2 benennt die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
• 26 Abs. 2 trägt der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung und regelt die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung. Als formelle Voraussetzung einer Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung schriftlich aufzuklären.

Nach § 26 Abs. 3 ist eine Verarbeitung besonderer Kategorien personenbezogener Daten zu Beschäftigungszwecken zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann auch die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit einschließen. Die Einwilligung des betroffenen Beschäftigten muss sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten beziehen.

• §26 Abs. 4 bestimmt, dass die Verarbeitung personenbezogener Beschäftigtendaten aufgrund von Kollektivvereinbarungen zulässig ist. Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen können weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden. Dabei haben die Verhandlungspartner Artikel 88 Abs. 2 der Verordnung (EU) 2016/679 zu beachten.

Nach § 26 Abs. 5 muss der Verantwortliche geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen des Beschäftigten vorsehen. Beispielsweise muss bei der Datenverarbeitung sichergestellt sein, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die Daten werden in einer Form gespeichert, die die Identifizierung des Beschäftigten nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche stellt sicher, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche unternimmt Schritte um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet.

• §26 Abs. 6 entspricht dem § 32 Absatz 3 BDSG a. F. und stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Nach § 26 Abs. 7 sind zuvor aufgeführten Kriterien (§ 26 Abs. 1 bis 6) gelten im Beschäftigungsverhältnis auch, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeite werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

• §26 Abs. 8 definiert den Begriff „Beschäftigte“ i.S.d. BDSG und entspricht weitestgehend § 3 Abs. 11 BDSG alte Fassung.
• §31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften) regelt die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) und enthält die Zulässigkeitsvoraussetzungen. Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, bleiben prinzipiell weiter zulässig.

Die §§ 32 bis 39 regeln die Rechte der betroffenen Person.

Wie bisher auch besteht für nichtöffentliche Stellen die Pflicht zu Bestellung eines Datenschutzbeauftragten (§ 38), wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.

SAT-Handlungsempfehlung: Betriebsvereinbarungen überprüfen

Neben dem neuen Bundesdatenschutzgesetz ist auch die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/6479) zu beachten und anzuwenden. Die Umsetzung der Forderungen muss bis zum 25. Mai 2018 erfolgen.

Bestehende Betriebsvereinbarungen sollten überprüft werden, ob sie mit dem neuen Datenschutzrecht kompatibel sind. Gegebenenfalls ist eine Überarbeitung und Anpassung an das neue Recht erforderlich. Tarifverträge, Betriebsvereinbarungen und sonstige Kollektivvereinbarungen in Bezug auf Mitarbeiterdatenverarbeitung haben dabei den Anforderungen von Art. 88 Abs. 2 der EU-Datenschutz-Grundverordnung zu genügen. Betriebsvereinbarungen bleiben ebenso wie Einwilligungen Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten. Einwilligungen sollten dabei die Vorgaben des § 26 Abs. 2 BDSG einhalten, bestehende Einwilligungen überprüft werden, ob sie den Anforderungen genügen.

Für die Verarbeitung sensibler Daten wie Krankheits- oder Religionsdaten von Mitarbeitern müssen gesonderte Schutzmaßnahmen (z.B. Pseudonymisierung oder Verschlüsselung) ergriffen werden.