Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 14 – Handlungsempfehlungen
4 Handlungsempfehlungen
Die Datenschutzgrundverordnung (DSGVO) gilt ab dem 25.5.2018 allgemein, verbindlich und unmittelbar in allen Mitgliedsstaaten. Daher müssen sich der Gesetzgeber, datenverarbeitende Unternehmen und die anwaltliche Beratungspraxis in den kommenden knapp zwei Jahren auf die Auswirkungen der DSGVO vorbereiten.
4.1 Für den deutschen Gesetzgeber
Der deutsche Gesetzgeber hat sich eine umfassende Regelung des Beschäftigtendatenschutzes ausdrücklich zum Ziel gesetzt.(Fußnote) Da das Inkrafttreten der DSGVO seit einiger Zeit kurz bevor stand, hat die Bundesregierung das Gesetzesvorhaben zuletzt ruhen lassen. Nun ist die DSGVO in Kraft getreten und der Gesetzgeber hat bis zum 25.5.2018 drei Handlungsoptionen, um darauf zu reagieren.
4.1.1 Keine Reaktion
Zunächst könnte der Gesetzgeber nicht auf die DSGVO reagieren und der Kommission keine nationalen Vorschriften gemäß Art. 88 III DSGVO mitteilen. Dann bemäße sich der Beschäftigtendatenschutz in Deutschland ab dem 25.5.2018 insbesondere nach Art. 6 I S. 1 lit. b DSGVO. Fraglich ist, ob der deutsche Gesetzgeber dann seine Rechtsetzungskompetenz verlöre. Mit anderen Worten: Öffnet sich das Fenster des Art. 88 I DSGVO für einzelstaatliche Regelungen zum Beschäftigtendatenschutz nur für die Zeit der Meldefrist?
Der Wortlaut des Art. 88 III DSGVO liefert zunächst keine eindeutige Antwort auf diese Frage. Nichtsdestotrotz wird sie im Schrifttum bejaht: Wenn die Mitgliedsstaaten der Kommission ihre nationalen Vorschriften auch nach dem 25.5.2018 mitteilen könnten, würde die Meldefrist überhaupt keine Rechtsfolge nach sich ziehen und Art. 88 III DSGVO wäre lediglich eine höfliche Bitte.
Diese Ansicht lässt außer Acht, dass das Verstreichenlassen der Mitteilungsfrist sehr wohl mit einer Rechtsfolge behaftet ist. Die Rechtsfolge ist, dass sämtliche nationalen Vorschriften dann nicht mehr anwendbar sind und stattdessen Art. 6 I S. 1 lit. b DSGVO den Beschäftigtendatenschutz regelt.
Dem setzt das Schrifttum entgegen, dass dann auch eine Meldepflicht ohne Frist ausgereicht hätte, weil sich aus Art. 99 II der Datenschutzgrundverordnung ohnehin ergibt, dass die DSGVO ab dem 25.5.2018 gilt.
Allerdings drückt die Frist des Art. 88 III DSGVO trotzdem nicht aus, dass nach ihrem Ablauf keine nationalen Regelungen mehr mitgeteilt werden können. Vielmehr unterstreicht sie den Wunsch der EU, zeitnah über nationale Rechtsvorschriften informiert zu werden. Die Frist ist außerdem als Aufforderung an die Mitgliedsstaaten zu verstehen, sich dem Beschäftigtendatenschutz eingehend zu widmen und gesetzgeberisch tätig zu werden. Dass die Frist in Art. 88 III DSGVO gesondert aufgeführt ist, hat in diesem Kontext mithin lediglich deklaratorischen Charakter.
Dafür spricht auch, dass die Frist zu knapp bemessen ist, um in ihrem Rahmen ein umfassendes Beschäftigtendatenschutzgesetz zu verabschieden. Um der Frist nachzukommen, müssten die nationalen Gesetzgeber aus dem Stegreif weitgefasste Normen ohne Aussagekraft erlassen, um für eine umfassende spätere Regelung den „Fuß in der Tür zu haben“. Solche politischen Schnellschüsse ohne Regelungsgehalt können nicht im Interesse des Verordnungsgebers sein.
Insofern ist das Fenster für nationale Regelungen gemäß Art. 88 I der Datenschutzgrundverordnung nicht nur für die Zeit der Meldefrist i.S.d. Art. 88 III DSGVO geöffnet. Sollte der Gesetzgeber nicht reagieren, wäre ab dem 25.5.2018 zunächst nur die DSGVO maßgeblich. Langfristig wäre die Tür für ein umfassendes Beschäftigtendatenschutzgesetz aber nicht verschlossen.
4.1.2 Anpassungsgesetz
Ferner könnte der Gesetzgeber das BDSG mit einem Anpassungsgesetz zur DSGVO ersetzen. Dieses Anpassungsgesetz würde nur noch die Normen beinhalten, die von der DSGVO nicht verdrängt werden. In diesem Rahmen könnte der Gesetzgeber § 32 BDSG ausdrücklich als nationale Vorschrift i.S.d. Art. 88 I DSGVO bestätigen.
4.1.3 Beschäftigtendatenschutzgesetz
Außerdem könnte der deutsche Gesetzgeber bis zum 25.5.2018 eine ausführliche nationale Regelung zum Beschäftigtendatenschutz schaffen. Allerdings ist zweifelhaft, ob sich die am Gesetzgebungsverfahren Beteiligten innerhalb von knapp zwei Jahren auf ein umfassendes dahingehendes Gesetz einigen können. Die Erfahrungen mit bisherigen Gesetzesvorhaben zum Beschäftigtendatenschutz lassen einen so schnellen Kompromiss nicht vermuten.
Der letzte Entwurf eines Beschäftigtendatenschutzgesetzes wurde im Jahr 2010 vorgelegt. Damals sollte der Beschäftigtendatenschutz in Gestalt der §§ 32-32l BDSG normiert werden. Auf dieses Vorhaben prasselte Kritik von allen Seiten ein: Sowohl Bundesrat und Arbeitgeberseite als auch Gewerkschaften und die Wissenschaft lehnten den Entwurf mehrheitlich ab. In der Tat war er unübersichtlich strukturiert und wenig anwenderfreundlich formuliert. Ferner beinhaltete der Entwurf zahlreiche unbestimmte Rechtsbegriffe, was die bestehende Rechtsunsicherheit nicht beseitigte, sondern vielmehr erhöhte. Außerdem ließen neue Erlaubnistatbestände das Datenschutzniveau für Beschäftigte sinken. Sowohl präventive Videoüberwachung als auch Datenscreening mit anonymisierten Daten ohne konkreten Tatverdacht sollten erlaubt werden. Nach der ersten Lesung im Bundestag zog die Bundesregierung den Entwurf schließlich zurück. Insgesamt ist ein Rückgriff auf den Gesetzesentwurf aus dem Jahr 2010 nicht wünschenswert.
Jedenfalls sollte ein Beschäftigtendatenschutzgesetz die Rechtsunsicherheit beseitigen. Für Rechtsanwender hätte besonders ein normiertes Konzernprivileg klarstellende Wirkung. Wichtig ist außerdem, dass sich ein Beschäftigtendatenschutzgesetz an den tatsächlichen Bedürfnissen der Betroffenen orientiert. Es wäre empfehlenswert, wenn der Gesetzgeber zunächst die schmale empirische Basis zur Sicht der Beschäftigten auf den Datenschutz verbreiterte.
4.1.4 Stellungnahme
Wenn der deutsche Gesetzgeber nicht auf die Verordnung reagiert, regeln ab dem 25.5.2018 die allgemeinen Vorschriften der DSGVO den Beschäftigtendatenschutz. Langfristig ist die Tür für ein umfassendes nationales Beschäftigtendatenschutzgesetz dann zwar nicht zu, dieses Szenario ist aber trotzdem nicht wünschenswert.
Erstens berücksichtigen die allgemeinen Vorschriften der DSGVO nicht die Besonderheiten des Beschäftigtendatenschutzes. Deshalb sind sie zur Regelung dieses spezifischen Bereichs ungeeignet. Zweitens wäre für die Anwendung des Art. 6 I S. 1 lit. b DSGVO in letzter Instanz nicht das Bundesarbeitsgericht, sondern der Europäische Gerichtshof zuständig. Will man den Beschäftigtendatenschutz weiterhin in der Hand der nationalen Gerichte wissen, ist dem deutschen Gesetzgeber dringend davon abzuraten, nicht auf die Datenschutzgrundverordnung zu reagieren.
Es wäre hingegen sehr begrüßenswert, wenn der nationale Gesetzgeber mit einem Anpassungsgesetz reagiert, das § 32 BDSG beinhaltet. Dann könnte die Praxis auf die bisherige Rechtsprechung zum Beschäftigtendatenschutz weitestgehend vertrauen. § 32 BSDG lässt in seiner Ausgestaltung durch die Rechtsprechung zwar noch einige Regelungslücken, gewährleistet aber grundsätzlich ein hohes Schutzniveau. Dieses Szenario würde also zu einem gewissen Maß an Rechtssicherheit beitragen. Rechtsanwender würden sich ab dem 25.5.2018 nicht in einem Konglomerat gesetzlicher Vorschriften zurechtfinden müssen, sondern wüssten genau, welche Normen des BDSG weiter anwendbar sind. Ein weiterer Vorteil dieses Szenarios ist, dass der Gesetzgeber rasch handeln kann. Die Verabschiedung eines Ausführungsgesetzes würde keine politische Diskussion entfachen, weil sie – ähnlich wie der Erlass von § 32 BDSG im Jahr 2009 – lediglich deklaratorische Wirkung hätte. Um im Beschäftigtendatenschutzrecht ein Mindestmaß an Klarheit zu schaffen, ist dem Gesetzgeber zu raten, bald ein solches Anpassungsgesetz zu verabschieden. Es wäre zweckmäßig und angemessen.
Darüber hinaus haben die Beispiele problematischer Einzelfälle im Beschäftigtendatenschutzrecht gezeigt, dass auch nach dem 25.5.2018 einige offene Fragen für Rechtsunsicherheit sorgen werden. § 32 BDSG ist ein Aufsatzpunkt, der langfristig zu einem Beschäftigtendatenschutzgesetz weiterentwickelt werden sollte. Ein Gesetz muss zwar „kurz sein, damit es von Unkundigen desto leichter behalten werde.“ Es muss aber auch aussagekräftig genug sein, um die Unkundigen zu Kundigen zu machen. Deshalb sollte der Gesetzgeber bereichsspezifische Regelungen auf einem mittleren Abstraktionsniveau erlassen. CDU, CSU und SPD haben sich in ihrem Koalitionsvertrag dazu positioniert und wollen „Beschäftigtendatenschutz gesetzlich regeln“. Ein umfassendes nationales Beschäftigtendatenschutzgesetz ist das erklärte Wunschkind – es wird aber eine schwere Geburt.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Herausgeber / Autor(-en):
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28