Art. 24 Abs. 1 Satz 2 DSGVO zudem verpflichtet, „erforderlichenfalls“ die von ihnen getroffenen TOM zu überprüfen und zu aktualisieren. Damit will der Verordnungsgeber die oft als lästige Pflichtübung missverstandene einmalige Auseinandersetzung mit der DSGVO verhindern und einen fortlaufenden Prozess in Gang bringen. Die Eigenverantwortlichkeit wird so aber nur auf den ersten Blick gestärkt. Ohne konkrete Anhaltspunkte aus der Vorschrift, welche Prüfungsintensität und Aktualisierungsdichte vom Verantwortlichen erwartet wird, läuft dieses Ansinnen leer.
Leider führt dann konsequenterweise selbst die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 oder eine Zertifizierung gem. Art. 42 DSGVO nicht weiter. Beide sollen nur als jeweils einer unter mehreren Gesichtspunkten herangezogen werden können, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Absicht des Verordnungsgebers, Unternehmen zur ständigen Auseinandersetzung mit dem Datenschutz geradezu zu provozieren, ist zu begrüßen. Ob die Umsetzung immer geglückt ist, darf bezweifelt werden.
Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext
In dem für die Personalpraxis eminent wichtigen Art. 88 DSGVO ist eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext enthalten. Die Bedeutung dieser Vorschrift ist enorm.
Demnach können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten {Beschäftigtendaten} im Beschäftigungskontext festlegen. Dies gilt insbesondere für folgende Zwecke:
| • | Einstellung und Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten |
| • | Managementzwecke |
| • | Planung und Organisation der Arbeit |
| • | Gleichheit und Diversität am Arbeitsplatz |
| • | Gesundheit und Sicherheit am Arbeitsplatz |
| • | Schutz des Eigentums der Arbeitgeber oder Kunden |
| • | Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen |
| • | Beendigung des Beschäftigungsverhältnisses |
Diese müssen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Besonderes Gewicht legt die DSGVO hierbei auf die Transparenz der Verarbeitung und auf die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Ausdrücklich angesprochen sind außerdem die Überwachungssysteme am Arbeitsplatz.
Mit ihrem gegenüber der Vorgängernorm zugunsten der Betroffenen weiter gefassten Schutzkonzept und v. a. erheblich verschärften Sanktionen hat die DSGVO Handlungsbedarf im nationalen Recht ausgelöst. Die Reaktion des nationalen Gesetzgebers erfolgte in Deutschland mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz (DSAnpUG-EU) vom 30.06.2017. Auch im BDSG findet keine umfassende Neuregelung statt. Das mag aufgrund konzeptioneller Unklarheiten und Widersprüche zu bedauern sein, hat aber den Vorteil, dass zumindest teilweise auf bekanntes Praxiswissen zurückgegriffen werden kann.
Unverändert geblieben ist der subsidiäre Charakter, wie sich aus § 1 Abs. 2 Satz 1 BDSG ergibt. Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften des BDSG vor. Nur wenn sie einen vom BDSG erfassten Sachverhalt nicht oder nicht abschließend regeln, findet das BDSG Anwendung.
Die praxisrelevanten Begriffsbestimmungen und Grundlagen aus § 3 Abs. 11 und § 32 BDSG a. F. finden sich nun mit geringfügigen Änderungen im Abschnitt 2 unter den „Besonderen Verarbeitungssituationen“ in § 26 BDSG zusammengefasst.
Neu
Mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU), das am 26.11.2019 in Kraft getreten ist, beginnt die Pflicht zur Benennung eines betrieblichen oder externen Datenschutzbeauftragten erst bei 20 (bislang zehn) Angestellten. Was nach Entlastung klingt, ist vielleicht ein Danaergeschenk. Denn die datenschutzrechtlichen Pflichten müssen natürlich nach wie vor erfüllt werden. Klein- und Kleinstunternehmen sind jetzt lediglich nicht verpflichtet, sich dabei professioneller Unterstützung zu bedienen. Die Gefahr des „Weiterwurstelns“ ist deshalb beträchtlich.
Freiwilligkeit der datenschutzrechtlichen Einwilligung
In § 26 Abs. 2 BDSG ist erstmals die Freiwilligkeit der datenschutzrechtlichen Einwilligung geregelt. Hier wird es in Zukunft v. a. darauf ankommen, Freiwilligkeit durch Abschluss geeigneter Tauschgeschäfte herzustellen und nachweisen zu können. Der in die Datenverarbeitung einwilligende Mitarbeiter muss also einen attraktiven Gegenwert erhalten, auf den ein Rechtsanspruch sonst nicht bestünde.
So könnte es zulässig sein, private Internetnutzung an die Einräumung von Kontrollrechten zu binden. Denn der Arbeitgeber könnte bei erlaubter privater E-Mail-Nutzung wohl nicht an das Fernmeldegeheimnis gebunden sein (vgl. z. B. ArbG Weiden, Urteil vom 17.05.2017, Az. 3 Ga 6/17, RDV 2017, 318). Zu beachten sind die grundsätzlich geltenden Formvorschriften für die Einwilligung {Einwilligungserklärung} und die Aufklärung des Arbeitnehmers zumindest in Textform (§ 26 Abs. 2 Satz 3–4 BDSG).
Neu
Das bisherige Schriftformerfordernis für die Einwilligung von Beschäftigten in Datenverarbeitungen des Arbeitgebers ist aufgrund der Änderungen des 2. DSAnpUG-EU weggefallen, Einwilligungen können nun sowohl schriftlich als auch elektronisch – z. B. per E-Mail – erteilt werden.
Bei der Incentivierung ist auch auf einen gehörigen zeitlichen Abstand zur Begründung des Beschäftigten zu achten, um das Gewicht der Abhängigkeit des Beschäftigten zu reduzieren. Bei Minderjährigen und Auszubildenden sind die Anforderungen an eine freiwillig erteilte Einwilligung besonders hoch und bergen für eine gerichtliche Auseinandersetzung entsprechende Risiken.
Der Begriff des Beschäftigten {Beschäftigtenbegriff} war in § 3 Abs. 11 BDSG a. F. geregelt und umfasste
§ 3 Abs. 11 BDSG a. F.
| 1. | Arbeitnehmerinnen und Arbeitnehmer, |
| 2. | zu ihrer Berufsbildung Beschäftigte, |
| 3. | Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), |
| 4. | in anerkannten Werkstätten für behinderte Menschen Beschäftigte, |
| 5. | nach dem Jugendfreiwilligendienstegesetz Beschäftigte, |
| 6. | Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, |
| 7. | Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, |
| 8. | Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende. |