DGB fordert nationales Datenschutzgesetz
Nachdem sich das EP am 12.03.2014 und der JI-Rat am 15.06.2015 jeweils auf eine – gegenüber dem Vorschlag der KOM vom 25.01.2012 geänderte – eigene Fassung für eine Datenschutzgrundverordnung (DSGVO) verständigt hatten, begannen zwischen diesen drei Institutionen am 24.06.2015 die „Trilog-Verhandlungen“ über eine Einigung über die endgültige Fassung dieses EU-Reformvorhabens zum Datenschutz, die die geltende Datenschutz-Richtlinie aus dem Jahre 1995 aktualisieren und ablösen soll. Diese Verhandlungen wurden mit der letzten Trilog-Sitzung am 15.12.2015 planmäßig bis zum Ende des Jahres abgeschlossen. Die ständigen Vertreter der Mitgliedsstaaten („Coreper“) und der Bürgerrechts-, Innen- und Justizausschuss des EP haben dieses Verhandlungsergebnis in derselben Woche noch „im Paket“ gebilligt, so dass in den kommenden Monaten auch die formelle Zustimmung von EP und Rat für ein Inkrafttreten der DSGVO erwartet wird.
Ralf-Peter Hayen:
Speziell für den Arbeitnehmerdatenschutz wird erst die Zukunft zeigen, welche dieser Bewertungsalternativen aus Sicht der Beschäftigten und ihrer Interessenvertretungen letztendlich zutrifft. Zur „Datenverarbeitung im Beschäftigungskontext“, wie die Überschrift zu Art. 82 im Kapitel IX (Vorschriften für besondere Datenverarbeitungssituationen“) lautet, sind als Einigungsergebnis im Trilog (zwischen den Gesetzgebungsakteuren Rat, Parlament und Kommission) nur wenige und grundsätzliche Rahmenregelungen getroffen worden. Diese lassen trotz des für alle Mitgliedsstaaten unmittelbar bindenden Rechtscharakters einer EU-Verordnung Raum für Konkretisierungen, d.h. für die Möglichkeit, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Arbeitnehmerdaten“ (Art. 82 Abs. 1) im – gesamten - Beschäftigungskontext zu setzen. Die Grenzen dieses Ausgestaltungsspielraums innerhalb der DSGVO sind einerseits (konkret) gesetzt durch zu beachtende einschlägige konkrete Regelungen in ihrem allgemeinen Teil, die nicht den Besonderheiten des Beschäftigungsverhältnisses entgegenstehen, und andererseits (abstrakt) durch die Zielbestimmungen in Art. 1 der DSGVO. Darüber hinaus sind die grundsätzlichen Wertungen des EU-Primärrechts (etwa des Art. 8 der EU-Grundrechtecharta und des Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union) bei der nationalen Anpassung zu beachten. Letztendlich wird sich auch der Europäische Gerichtshof in Streitfällen daran orientieren und Unklarheiten abschließend entscheiden.
Ralf-Peter Hayen:
Systematisch (und ohne nationale Ausgestaltung auch inhaltlich) ist gegenüber dem BDSG zunächst einmal wenig neu. Auch das BDSG sieht mit § 32 lediglich eine „allgemeine Regelung“ zum Schutz personenbezogener Daten von Beschäftigten vor, die sich für die Datenverarbeitung im Beschäftigungsverhältnis am „Grundsatz der Erforderlichkeit“ orientiert und hierzu ergangene Rechtsprechung zusammenfasst. Sie ist insoweit (auch) eine Sondervorschrift für alle Arbeitsverträge i.w.S. und Anbahnungsverhältnisse, deren Verhältnis zu Vorschriften des allgemeinen Teils des BDSG (aber auch zu datenschutzrechtlichen Sonderregelungen in anderen Gesetzen) nach dem „Grundsatz der Spezialität“ für jede Vorschrift einzeln bestimmt werden muss. So ist die Datenverarbeitung für Zwecke des Beschäftigungsverhältnis mustergültig (speziell) in Art. 82 Abs. 1 ausformuliert worden.
Für andere Zwecke ist eine Datenverarbeitung unter den Voraussetzungen und Bedingungen der „allgemeinen Vorschriften“ des BDSG zulässig, deren Geltung innerhalb der kommenden zwei Jahre nach dem Inkrafttreten der DSGVO (also voraussichtlich bis Frühjahr 2018) überprüft und deren Vorschriften an die Vorgaben in der DSGVO angepasst werden müssen, da diese danach unionsweit Anwendung findet. Innerhalb dieses Anpassungsprozesses werden die Zweckbindungsregelungen der DSGVO zum Tragen kommen. Ansonsten ist gegenüber dem BDSG natürlich neu, dass mit der DSGVO ein einheitliches (hohes) Datenschutzniveau in der EU („Vollharmonisierung“) – über die Verbindlichkeit der Umsetzung der EU-Richtlinie von 1995 hinaus – geschaffen werden soll. Insoweit ist interessanter die Frage, wozu die Mitgliedsstaaten bei der Umsetzung der Regelungen zur Datenverarbeitung im Beschäftigungsverhältnis ermächtigt sind, wenn es insoweit keine konkreten Regelungen und Vorgaben im allgemeinen Teil der DSGVO gibt, etwa zu dem „berühmten“ „Nacktscanner am Werkstor“ (mit dem der Arbeitgeber – aus berechtigtem Interesse? - sein Eigentum schützen will) oder zur Überwachung von Arbeitnehmer/innen, Betriebsratsmitgliedern oder Gewerkschaftsvertretern, wie diese in zahlreichen Datenskandalen in Deutschland (beispielsweise bei Lidl, Deutscher Bahn, Deutscher Bank und Telekom) öffentlich geworden sind.
Aus der „Spezialität“ der Sondervorschrift des Art. 82 mit der mitgliedstaatlichen Ermächtigung zur Rechtssetzung „spezifischerer“ Regelungen lässt sich folgern, dass die Mitgliedsstaaten die Regelungen im Beschäftigungsbereich konkreter – und damit regelmäßig auch unter Aufrechterhaltung eines (bestehenden) strengen nationalen Schutzniveaus - ausgestalten können. Dies „erst recht“ unter Berücksichtigung des Art. 153 i.V.m. Art. 114 Abs. 2 AEUV, der die Kompetenz für die Regelung von Arbeitsrecht bzw. den Arbeitnehmerrechten und –interessen, zu denen der Beschäftigtendatenschutz gehört, den Mitgliedsstaaten überlässt.
Daher wird der DGB die unionsrechtliche Verpflichtung der Mitgliedsstaaten nach Maßgabe des Art. 82, ihr nationales Datenschutzrecht innerhalb von zwei Jahren nach Inkrafttreten an die Regelungen dieser VO anzupassen, zum Anlass nehmen, von der Bundesregierung ein nationales Beschäftigtendatenschutzgesetz zu fordern.
Ralf-Peter Hayen:
Nach dem BDSG ist eine Einwilligung des Beschäftigten in die Datenverarbeitung nach § 4a (der auch auf Beschäftigungsverhältnisse Anwendung findet) möglich und zulässig, wenn sie „freiwillig“ erfolgt ist. Von einer „Freiwilligkeit“ der Einwilligung zur Datenverarbeitung gegenüber dem Arbeitgeber als Datenverarbeitendem kann im abhängigen Beschäftigungsverhältnis jedoch grundsätzlich ebenso wenig ausgegangen werden, wie hinsichtlich jeder anderen zustimmenden Willenserklärung ihm gegenüber in besonderen Situationen, etwa bei einem Einverständnis zur Vertragsaufhebung (Stichwort: Zustimmung zum Aufhebungsvertrag im Zusammenhang mit vorgeworfenen Vertragsverfehlungen). Zu groß sind die Druck- und Einflussmöglichkeiten des Arbeitgebers sowie das „Machtgefälle“ zwischen ihm und dem in seiner Existenz von ihm abhängigen Beschäftigten.
Daher hatte die Kommission in den allgemeinen Vorschriften (Grundsätzen) ursprünglich vorgesehen, dass in „Verhältnissen von Ungleichgewicht“ (dem das Arbeitsverhältnis nach der Erläuterung in einem „Erwägungsgrund“ des Kommissionsvorschlags unterfiel) eine Einwilligung keine Rechtsgrundlage für die Datenverarbeitung darstellt. Diese „Imbalance-Vorschrift“ wurde im Laufe von „Kompromissverhandlungen“ aber sowohl durch das Parlament, als auch durch den Rat gestrichen, so dass es nun für die Beurteilung der „Freiwilligkeit“ auf die Notwendigkeit einer solchen Einwilligung für die Durchführung des (Arbeits-)Vertrags ankommen soll. Auch dieses Kriterium ist für das Beschäftigungsverhältnis jedoch zu ungenau und daher unzureichend. Der besondere Charakter des Beschäftigungsverhältnisses nach Kapitel IX / Art. 82 DSGVO verlangt daher (auch ohne ausdrückliche Anordnung oder inhaltlicher Vorgabe in dieser DSGVO-Vorschrift) nach einer gesonderten Regelung für die Einwilligung in die Verarbeitung von Beschäftigtendaten durch den Gesetzgeber, der ihre konkreten Bedingungen unter Berücksichtigung des genannten Abhängigkeitsmomentes festlegt (wie sich eine solche Auslegung dem Erwägungsgrund 124 der DSGVO entnehmen lässt).
Die Ausgestaltung durch den Gesetzgeber kann von der Anordnung der Unzulässigkeit einer – über die Vertragsabwicklung hinausgehenden – Einwilligung als Rechtsgrundlage im Beschäftigungsverhältnis bis zu der gesetzlichen Einschränkung reichen, dass die Einwilligung eines Beschäftigten zur Datenverarbeitung ausnahmsweise zulässig ist, wenn die entsprechende Datenverarbeitung auf überwiegend rechtlich oder wirtschaftlich vorteilhafte Folgen für den Beschäftigten gerichtet ist.
Ralf-Peter Hayen:
Die die DSGVO im Beschäftigungskontext „spezifisch“ ausgestaltenden Regelungen zur Gewährleistung des Persönlichkeitsschutzes bei der Verarbeitung von Beschäftigtendaten können nicht nur durch mietgliedstaatliche Gesetze, sondern auch durch „Kollektivvereinbarungen“ vorgesehen werden, zu denen nach Erwägungsgrund 124 ausdrücklich auch „works agreements“, also Betriebs- oder Dienstvereinbarungen zählen. Daher gelten auch ältere Betriebs- oder Dienstvereinbarungen im kommenden zweijährigen Anpassungszeitraum und danach weiter, soweit sie sich nicht in Widerspruch zu den Vorgaben der DSGVO und insbesondere zu dessen Sondervorschrift des Art. 82, wie ich diese Vorgaben zuvor skizziert habe, setzen.
Als „Richtschnur“ für „DSGVO-konforme“ Regelungen in Betriebs- oder Dienstvereinbarungen können die Vorgaben herangezogen werden, auf die sich die Trilog-Akteure nach Maßgabe des Art. 82 Abs. 2 für eine Ausgestaltung der Datenverarbeitung im Beschäftigungskontext durch die Mitgliedstaaten verständigt haben (Abs. 2 geht auf einen Vorschlag des Europäischen Datenschutzbeauftragten zurück): Danach müssen diese Regelungen (durch nationales Gesetz oder Kollektivvereinbarung) geeignete und spezifische, d.h. konkrete, Maßnahmen beinhalten, um die Menschenwürde der von Datenverarbeitung betroffenen Person, ihre legitimen Interessen und Grundrechte zu wahren, insbesondere im Hinblick auf die Transparenz der Datenverarbeitung, die Datenübertragung innerhalb einer Gruppe des Unternehmens oder Gruppen von Unternehmen und Überwachungseinrichtungen am Arbeitsplatz. Diese Vorschrift spricht damit zum einen die (allgemeinen) Grundsätze an, die Betriebs- bzw. Personalrat und Arbeitgeber ohnehin für die Behandlung der Betriebsangehörigen nach § 75 BetrVG (insbesondere seines Abs. 2) oder nach § 67 BPersVG (konkreter zur Persönlichkeitsentfaltung analog § 75 BetrVG: § 70 Abs. 4 SPersVG) zu beachten haben, als auch zum anderen (beispielhaft konkret) Maßnahmen, bei deren Einführung und Anwendung – wie in Bezug auf Überwachungseinrichtungen – der Betriebs- und Personalrat in Deutschland ein Mitbestimmungsrecht hat (§ 87 Abs. 1 Nr. 6 BetrVG bzw. § 75 Abs. 3 Nr. 17 BPersVG), das vollauf erhalten bleibt.
Neu ist allenfalls die beispielhafte Erwähnung einer Regelungsmöglichkeit der Konzerndatenverarbeitung, die dadurch allerdings nicht gleichsam „privilegiert“ ist (nach dem geltenden BDSG stellt sich die Verarbeitung von Daten im Konzern als Datenverarbeitung zwischen Dritten dar, die besonderen Anforderungen und Voraussetzungen unterliegt). In jedem Fall ist die Regelung einer Konzerndatenverarbeitung daher nur unter den einschränkenden Bedingungen möglich, dass die Grundrechte der Betroffenen nicht verletzt und insbesondere ihr Persönlichkeits- und Datenschutz gewahrt werden. Darauf haben Betriebs- und Personalräte beim Abschluss neuer oder der Überprüfung bestehender Betriebs- bzw. Dienstvereinbarungen zu datenschutzrechtlichen Angelegenheiten zu achten.
Ganz besonders aufpassen müssen Betriebs- und Personalräte bei der Regelung des Beschäftigtendatenschutzes durch Betriebs- oder Dienstvereinbarung natürlich darauf, dass diese Kollektivregelungen den bestehenden gesetzlichen Schutz (nach den geltenden Datenschutzgesetzen, insbesondere des BDSG, bzw. die nach der Anpassung der DSGVO-Vorschriften geltende Rechtslage) und die durch die Rechtsprechung - insbesondere des BVerfG und des EuGH - fortentwickelten Schutzrechte nicht einschränken und das insoweit bestehende Schutzniveau „absenken“.
Ralf-Peter Hayen:
Betriebs- und Personalräte sollten sich auf keinem Fall durch den privaten oder öffentlichen Arbeitgeber irritieren lassen, die meinen, dass die „Janusköpfigkeit“ des Zwecks der DSGVO (einerseits die Wahrung des Grundrechts auf Persönlichkeits- und Datenschutz, andererseits des freien Datenverkehrs im Binnenmarkt) und ihr Ziel einer „Vollharmonisierung“ der Datenverarbeitungsregelungen auch eine Absenkung des Datenschutzniveaus in den Betrieben und Unternehmen zur Folge hätte. Die Gestaltungsspielräume der Mitgliedsstaaten beim Beschäftigtendatenschutz sind groß genug, um im Rahmen der Ausgestaltung und Anpassung der bestehenden nationalen datenschützenden Regelungen durch den Gesetzgeber das bestehende Schutzniveau nicht nur zu halten, sondern – was dringend nötig ist – zu konkretisieren (insbesondere im Hinblick auf Ge- und Verbote von Maßnahmen, etwa zur Beobachtung und Überwachung, in Bezug auf den Umfang des Fragerechts des Arbeitgebers, zur Auswertung angeordneter Untersuchungen oder biometrischer Abgleiche, zur Verankerung harter Sanktionen bei Verstößen gegen die DSGVO, wie sie diese mit bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens vorsieht, usw.).
Hierzu benötigen wir ein detailliertes und separates Beschäftigtendatenschutzgesetz, zu dem der DGB zuletzt 2013 einen Vorschlag unterbreitet hat. Die Durchsetzung eines solchen Beschäftigtendatenschutzgesetzes, das seinen Namen verdient, wird jedoch – das haben die Erfahrungen in den Jahren 2010 bis 2012 gelehrt, als die schwarz-gelbe Koalition mit einem solchen Vorhaben die Datenschutzstandards für die Beschäftigten und ihre Vertretungen verschlechtern wollte – nur gegen den Widerstand der Wirtschaft und ihnen nahestehende politische Kräfte möglich sein. Hierfür bedürfen die Gewerkschaften der Unterstützung durch die Betriebs- und Personalräte, so, wie sich Vorsitzende namhafter Betriebsrats-, Gesamtbetriebsrat- und Konzernbetriebsrats- sowie Personalrats- und Gesamtpersonalratsgremien durch die Bildung einer Betriebs- und Personalräteinitiative bereits mehrfach aktiv in den Prozess um die Wahrung des Persönlichkeitsschutzes von Beschäftigten und ein hohes Beschäftigtendatenschutzniveaus, zuletzt im Verordnungsverfahren um die DSGVO, eingeklinkt haben. Da klare und detaillierte gesetzliche Datenverarbeitungsregelungen mit hohem Schutzniveau für den Beschäftigungskontext die Grundlage für eine betriebliche Spezifizierung von Datenschutzregelungen in Betriebs- und Dienstvereinbarungen darstellen, wird sich der gemeinsame Kampf lohnen!
Der Interviewpartner:
Ralf-Peter Hayen
Referatsleiter beim DGB Bundesvorstand in der Abteilung Recht, zuständig für Betriebliches Mitbestimmungs- und EBR-Recht, Europäisches Primärrecht, Insolvenzrecht, Verfahrens-/Prozessrecht und weitere Rechtsgebiete. Ehrenamtlicher Richter im 1. Senat am Bundesarbeitsgericht. Autor zahlreicher Veröffentlichungen zu den Politikfeldern "Betriebliche Mitbestimmung/ Betriebsverfassung" sowie "Europäische Betriebsräte".
© bund-verlag.de (ls)
