Arbeitnehmerdatenschutz und die DS-GVO
Das Thema „Beschäftigtendatenschutz“ spielt in der Praxis eine wichtige Rolle. Gesetzliche Anläufe in Deutschland, einen umfassenden Regulierungsrahmen zu etablieren, sind bislang gescheitert. Art. 82 DS-GVO aller drei Entwürfe befasst sich in der Datenschutz-Grundverordnung mit der Verarbeitung personenbezogener Daten im Kontext eines Arbeitsverhältnisses.
Nach dem Entwurf der Kommission können Mitgliedstaaten in den Grenzen der DS-GVO per nationalem Gesetz die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext regeln, wobei beispielhaft einige Zwecke der möglichen Datenverarbeitung aufgelistet sind (Einstellung, Erfüllung des Arbeitsvertrages, Planung und Organisation der Arbeit oder auch Gesundheit und Sicherheit am Arbeitsplatz). Das Parlament wandelt in seinem Entwurf diese Vorgaben nur leicht ab, indem es etwa verlangt, dass nationale Vorschriften im Einklang mit den Regelungen der DS-GVO stehen und stets den Grundsatz der Verhältnismäßigkeit berücksichtigen müssen. Interessant ist jedoch die weitergehende Konkretisierungsanforderung an nationale Regelungen (Art. 82 Abs. 1a DS-GVO), wonach der Zweck der Verarbeitung mit dem Grund, wegen dem die Daten erhoben wurden, in Zusammenhang stehen muss und auch nur auf den Beschäftigungskontext beschränkt bleiben darf. Ausdrücklich ist eine Profilerstellung oder auch nur eine Verwendung der im Beschäftigungskontext erhobenen Daten für sekundäre Zwecke nicht gestattet. Nicht ganz klar ist, was mit den „sekundären“ Zwecken gemeint ist. Man wird wohl davon ausgehen können, dass davon alle anderen Zwecke außer jene mit Bezug auf den Beschäftigungskontext umfasst sind.
Nach dem Entwurf des Rates können die Mitgliedstaaten sowohl durch Rechtsvorschriften als auch durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Datenverarbeitung im Beschäftigungskontext vorsehen.
Eine „heiße“ Thematik im Arbeitnehmerdatenschutz ist oft die Frage nach der Wirksamkeit von Einwilligungen der Arbeitnehmer. Diesbezüglich sieht der Ratsentwurf vor (Art. 82 Abs. 3 DS-GVO), dass die Mitgliedstaaten durch nationale Rechtsvorschriften die Bedingungen festlegen können unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage einer Einwilligung verarbeitet werden dürfen. In der Folge könnten sich also in den verschiedenen Mitgliedstaaten der Europäischen Union ganz differenzierte Anforderungen an eine datenschutzrechtliche Einwilligung im Beschäftigungskontext ergeben. Multinationale Unternehmen, mit Arbeitnehmern in vielen verschiedenen Staaten, müssten diese verschiedenen nationalen Vorgaben dann beachten.
Interessant ist zudem der Vorschlag des Parlaments (Art. 82 Abs. 1d DS-GVO), ein „eingeschränktes“ Konzernprivileg für die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe zu etablieren. Eingeschränkt deshalb, weil sich dieses Konzernprivileg nur auf personenbezogene Beschäftigtendaten bezieht und die Übermittlung für den Geschäftsbetrieb relevant und der Abwicklung von zweckgebundenen Arbeits- oder Verwaltungsvorgängen dienen muss. Daneben möchte das Parlament klarstellen, dass Regelungen zur Nutzung bzw. zum Umfang der Nutzung von Telefon, E-Mail und Internet auch zu privaten Zwecken durch Kollektivvereinbarungen geschaffen werden können (Art. 82 Abs. 1c d) DS-GVO). Auch wenn eine private Nutzung erlaubt ist, darf der Arbeitgeber Verkehrsdaten insbesondere zur Gewährleistung der Datensicherheit und zur Sicherstellung des ordnungsgemäßen Betriebs verarbeiten.