Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 10 – Regelungsgehalt des Art. 88 DSGVO
3.4 Regelungsgehalt des Art. 88 DSGVO
Art. 88 DSGVO beinhaltet eine Öffnungsklausel, die ausschließlich für Datenverarbeitung im Beschäftigungskontext gilt. Dieser Klausel zufolge können auch nationale Rechtsvorschriften unter bestimmten Voraussetzungen die Verarbeitung personenbezogener Daten rechtfertigen. Zum anderen kommen gemäß Art. 88 DSGVO auch Kollektivvereinbarungen als Erlaubnistatbestand für die Verarbeitung personenbezogener Daten in Betracht.
3.4.1 Nationale Rechtsvorschriften als Erlaubnis
Art. 88 I DSGVO erlaubt es den Mitgliedsstaaten, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten“ bei der Verarbeitung personenbezogener Daten im Beschäftigungskontext zu erlassen.[1] Art. 88 II DSGVO stellt materielle Anforderungen auf, die nationale Rechtsvorschriften erfüllen müssen, um der Öffnungsklausel des Art. 88 I DSGVO zu genügen. In formeller Hinsicht müssen die Mitgliedsstaaten der Kommission nationale Vorschriften zum Beschäftigtendatenschutz gemäß Art. 88 III DSGVO mitteilen.
Vor diesem Hintergrund kommt in Deutschland einzig § 32 BDSG als nationale Sonderregelung in Frage. Ob diese Norm die Anforderungen des Art. 88 DSGVO erfüllt oder nicht, ist für das künftige Beschäftigtendatenschutzrecht in Deutschland entscheidend. Wenn § 32 BDSG den Vorgaben der Öffnungsklausel nicht genügt, würden künftig allein die allgemeinen Vorschriften gemäß Art. 6 ff. DSGVO den Beschäftigtendatenschutz regeln.[2] Sollte § 32 BDSG hingegen aufgrund der Öffnungsklausel fortgelten, hätten die bisherigen bereichsspezifischen Regelungen des Beschäftigtendatenschutzes in Deutschland weiter Bestand.
3.4.1.1 Spezifischere Vorschrift, Art. 88 I DSGVO
Gemäß Art. 88 I DSGVO können die Mitgliedsstaaten „spezifischere“ Vorschriften zum Schutz personenbezogener Daten im Beschäftigungskontext erlassen.
Das Adjektiv „spezifisch“ ist vom lateinischen „specificus“ entlehnt, das in der deutschen Übersetzung „eigentümlich“ bedeutet.[3] Es beschreibt arteigene Charakteristika von Sachen, Personen und Tieren als für diese bezeichnend. Der in Art. 88 I DSGVO verwandte Komparativ „spezifischere“ ist deshalb logisch nicht zulässig.[4] Die Fassungen in englischer („more specific“) und französischer Sprache („plus spécifiques“) enthalten jedoch auch Komparative und belegen somit, dass Art. 88 I DSGVO jedenfalls auf einen Vergleich abzielt. Fraglich ist, welche Vergleichsgruppen die Norm betrifft.
Man könnte den Wortlaut des Art. 88 I DSGVO so interpretieren, dass ein Vergleich zwischen dem Grad der Spezifität der Vorschriften zum Beschäftigtendatenschutz in nationalem Recht und in der DSGVO angestrengt werden soll. Dann wären einzelstaatliche Vorschriften zum Beschäftigtendatenschutz nur „spezifischer“ i.S.d. Art. 88 I DSGVO, wenn ihr Regelungsgehalt differenzierter ausgestaltet wäre als der des Art. 88 DSGVO.
Die Teleologie der Vorschrift deutet jedoch darauf hin, dass der Komparativ auf einen Vergleich zwischen allgemeinen datenschutzrechtlichen Vorschriften[5] und bereichsspezifischen[6] Vorschriften zum Beschäftigtendatenschutz abzielt. Also müssen einzelstaatliche Vorschriften – im Gegensatz zu Art. 6 I S. 1 lit. b DSGVO – ganz eigentümlich das Beschäftigtendatenschutzrecht betreffen, damit sie unter die Öffnungsklausel fallen. Sie müssen hingegen nicht inhaltlich differenzierter ausgestaltet sein als Art. 88 DSGVO.
§ 32 I BDSG statuiert ein Erforderlichkeitsgebot für personenbezogene Datenvorgänge im Beschäftigungskontext. In der allgemeinen datenschutzrechtlichen Vorschrift des Art. 6 I S. 1 lit. b DSGVO ist ebenso ein Erforderlichkeitsgebot für die Verarbeitung personenbezogener Daten verankert. Dieser Vergleich erweckt den Anschein, als handele es sich bei § 32 I BDSG um eine überflüssige Doppelung, wenn die Norm Bestand hätte.[7] Dann wäre die Vorschrift nicht „spezifischer“ i.S.d. Art. 88 I DSGVO.
Dieser Eindruck täuscht. Die allgemeine Regelung des Art. 6 I S. 1 lit. b DSGVO erfasst gemäß Art. 2 I DSGVO nur Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Demgegenüber reicht der Anwendungsbereich des § 32 I BDSG gemäß § 32 II BDSG weiter: Er umfasst auch nicht unter den Dateibegriff fallende Datenvorgänge.[8] Praktisch relevant wird dieser Unterschied zum Beispiel, wenn Arbeitgeber Personalakten unstrukturiert in Papierform führen.[9] Auch wenn sie bei einem Vorstellungsgespräch handschriftliche Notizen anfertigen und diese telefonisch an Dritte übermitteln, hat der unterschiedliche Anwendungsbereich praktische Konsequenzen[10]. Der deutsche Gesetzgeber hat mit dem weiten Anwendungsbereich des § 32 BDSG bewusst der Eigenart von Beschäftigungsverhältnissen Rechnung getragen.[11] In diesem Bereich kann die Verarbeitung personenbezogener Daten nämlich auch schutzwürdig sein, wenn sie nicht in Dateiform geschieht.[12] Arbeitgeber können nicht auf bestimmte Verarbeitungsformen ausweichen, um den Beschäftigtendatenschutz zu umgehen. Insofern ist § 32 BDSG differenzierter ausgestaltet als Art. 6 I S. 1 lit. b DSGVO und deshalb „spezifischer“ i.S.d. Art. 88 I DSGVO.
[1] Wybitul/Pötters, RDV 2016, 10, 14.
[2] Gola/Pötters/Thüsing, RDV 2016, 57, 60
[3] Düwell/Brink, NZA 2016, 665, 666.
[4] Düwell/Brink, NZA 2016, 665, 666.
[5] Z.B. §§ 1-11 BDSG.
[6] Z.B. bereichsspezifisch für Forschungseinrichtungen § 40 BDSG.
[7] Düwell/Brink, NZA 2016, 665, 667.
[8] BeckOKDatenSR-Riesenhuber, § 32 BDSG, Rn. 53.
[9] Vgl. BAG, Urt. v. 16.11.2010 = NZA 2011, 453 ff.
[10] Vgl. NK/GA-Brink, § 32 BDSG, Rn. 28.
[11] BT-Drucks. 16/13657, S. 20.
[12] Düwell/Brink, NZA 2016, 665, 667.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Herausgeber / Autor(-en):
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28