Auf einen Blick: Neufassung des Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz (BDSG) wurde durch das “Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-, Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)” neu gefasst.
Die Neufassung des BDSG tritt erst zum 25. Mai 2018 in Kraft. Bis dahin gilt noch das Bundesdatenschutzgesetz in der jetzigen Fassung.
Gleicher Schutz in allen EU-Mitgliedsstaaten
Grund für die Neufassung des Bundesdatenschutzgesetz sind die Vorgaben der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L EU L 119 vom 4.5.2016,S. 1). Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Die EU-Verordnung enthält jedoch Regelungsaufträge an die Mitgliedstaaten, die in nationales Recht umzusetzen sind. Dies geschieht durch die Neufassung des BDSG.
Mit der Neufassung wurden für die öffentlichen Stellen umfangreiche Änderungen vorgenommen. Da diese Änderungen jedoch für das Unternehmen nicht relevant sind, beschränken sich die nachfolgenden Ausführungen auf die Änderungen, die für nichtöffentliche Stellen gelten. Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigung des privaten Rechts (§ 3 Abs. 4 Satz 1).
Bundesdatenschutzgesetz auch für nichtöffentliche Stellen
Das Bundesdatenschutzgesetz gilt auch für nichtöffentliche Stellen für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zu Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Auf nichtöffentliche Stellen findet das Gesetz auf Datenverarbeitung im Inland Anwendung (§ 1 Abs. 4 Satz 1 Nr. 1). § 1 Abs. 4 Satz 1 Nr. 2 bestimmt, dass die Vorschriften des Bundesdatenschutzgesetz nur dann zur Anwendung kommen, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt.
Wann ist die Verarbeitung personenbezogener Daten zulässig?
§ 22 Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) ausnahmsweise zulässig ist. Danach ist die Verarbeitung bei nicht nichtöffentlichen Stellen zulässig, wenn sie
- erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen
- zum Zweck der Gesundheitsvorsorge,
– für die Beurteildung der Arbeitsfähigkeit des Beschäftigten,
– für die medizinische Diagnostik
- die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
- für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrages (Behandlungsvertrag) der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oderdurch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.
Der Begriff der Gesundheitsvorsorge beinhaltet dabei auch die arbeitsmedizinische Vorsorge.
Zur Wahrung der Interessen der betroffenen Person enthält § 22 Abs. 2 eine Auflistung von angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person (z.B. Pseudonymisierung personenbezogener Daten, Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, Verschlüsselung).
§ 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) Abs. 1 regelt –wie bisher § 32 Abs. 1 BDSG als Fassung-, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn dies zum Zweck des Beschäftigungsverhältnisses erforderlich ist. Von § 26 Abs. 1 Satz 1 wird auch die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses umfasst, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
§ 26 Abs. 1 Satz 2 benennt die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
§ 26 Abs. 2 trägt der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung und regelt die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung. Als formelle Voraussetzung einer Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung schriftlich aufzuklären.
Nach § 26 Abs. 3 ist eine Verarbeitung besonderer Kategorien personenbezogener Daten zu Beschäftigungszwecken zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann auch die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit einschließen. Die Einwilligung des betroffenen Beschäftigten muss sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten beziehen.
§ 26 Abs. 4 bestimmt, dass die Verarbeitung personenbezogener Beschäftigtendaten aufgrund von Kollektivvereinbarungen zulässig ist. Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen können weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden. Dabei haben die Verhandlungspartner Artikel 88 Abs. 2 der Verordnung (EU) 2016/679 zu beachten.
Nach § 26 Abs. 5 muss der Verantwortliche geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen des Beschäftigten vorsehen. Beispielsweise muss bei der Datenverarbeitung sichergestellt sein, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die Daten werden in einer Form gespeichert, die die Identifizierung des Beschäftigten nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche stellt sicher, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche unternimmt Schritte um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet.
§ 26 Abs. 6 entspricht dem § 32 Absatz 3 BDSG a. F. und stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.
Nach § 26 Abs. 7 sind zuvor aufgeführten Kriterien (§ 26 Abs. 1 bis 6) gelten im Beschäftigungsverhältnis auch, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeite werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
§ 26 Abs. 8 definiert den Begriff „Beschäftigte“ i.S.d. BDSG und entspricht weitestgehend § 3 Abs. 11 BDSG alte Fassung.
§ 31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften) regelt die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) und enthält die Zulässigkeitsvoraussetzungen. Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, bleiben prinzipiell weiter zulässig.
Die §§ 32 bis 39 regeln die Rechte der betroffenen Person.
Wie bisher auch, besteht für nichtöffentliche Stellen die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38), wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.
Handlungsempfehlung
Neben dem neuen Bundesdatenschutzgesetz ist auch die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/6479) zu beachten und anzuwenden. Die Umsetzung der Forderungen hat bis zum 25.05.2018 zu erfolgen. Bestehende Betriebsvereinbarungen sollten überprüft werden, ob sie mit dem neuen Datenschutzrecht kompatibel sind. Ggf. ist eine Überarbeitung und Anpassung an das neue Recht erforderlich. Tarifverträge, Betriebsvereinbarungen und sonstige Kollektivvereinbarungen in Bezug auf Mitarbeiterdatenverarbeitung haben dabei den Anforderungen von Art. 88 Abs. 2 der EU-Datenschutz-Grundverordnung zu genügen. Betriebsvereinbarungen bleiben ebenso wie Einwilligungen Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten. Einwilligungen sollten dabei den Vorgaben des § 26 Abs. 2 BDSG einhalten. Bestehende Einwilligungen sollten daher ebenfalls überprüft werden, ob diese den Anforderungen genügen.
Für die Verarbeitung sensibler Daten (Krankheitsdaten, Religionsdaten von Mitarbeitern) müssen gesonderte Schutzmaßnahmen (z.B. Pseudonymisierung oder Verschlüsselung) ergriffen werden.