Eine erste große Überraschung hat das neue Jahr schon inne – laut FAZ sollen sich die Regierungsfraktionen schnell und mehr als überraschend auf verbindliche Regelungen des Beschäftigtendatenschutzes/ Arbeitnehmerdatenschutzes geeinigt haben.
In der Tat – vor kurzem habe ich in einem Datenschutzseminar noch fest behauptet, gesetzliche Regelungen zum Beschäftigtendatenschutz, welche direkt nach dem § 32 BDSG eingefügt werden sollen, seien „auf Eis gelegt“ und „in der Versenkung verschwunden.“ und würden in dieser Legislaturperiode auch nicht mehr kommen.
Und zwar – meines Erachtens – vollkommen zu Recht: So begrüßenswert es ist, dass der Gesetzgeber nun auch endlich die Mehrzahl der Spezialfälle des Datenschutzes im Beschäftigungsverhältnis, welche im Moment noch durch die Anwendung der allgemeinen datenschutzrechtlichen Grundsätze und der Rechtsprechung (insbesondere) der Arbeitsgerichte gelöst werden, in eigene Gesetzesnormen gießt. Angekündigt wurde dieses Ansinnen ja bereits seit mehreren Legislaturperioden. Und sinnvoll ist dies allemal – da dieser Bereich in höchstem Grade praxisrelevant ist.
So bedauernswert ist es allerdings, dass der bisher bekannte Gesetzesentwurf in vielen Teilen schlichtweg mangelhaft umgesetzt wurde. Wie bei den vielen in den letzten Jahren ergangenen Neuregelungen zum Datenschutzrecht (man denke nur an den § 28 Abs. 3 BDSG!) ist auch dieser Gesetzestext an der ein und anderen Stelle redaktionell einfach schlecht. Und ich spreche noch garnicht vom Sinn mancher Regelung. Und das schlimme: Das ist nicht nur meine Ansicht, denn den bisher bekannten Gesetzesentwurf diskutieren wir Juristen und Datenschutzrechtsinteressierte ja bereits seit einer geraumen Zeit. Es ist auch kein Zufall, dass der Gesetzesentwurf von allen Seiten – hier meine ich wirklich ALLE Seiten – harsche Kritik erfahren hat (bei gleichzeitiger Bekräftigung, dass Regelungen zum Arbeitnehmerdatenschutzrecht sinnvoll seien).
Ein Beispiel gefällig? Da ist diese Sache mit der Einwilligung im Beschäftigungsverhältnis und der Freiwilligkeit. Richtig – bei einer Einwilligung nach § 4a BDSG ist immer genau zu prüfen, ob ein Arbeitnehmer eine erteilte Einwilligung zur Verarbeitung „seiner“ personenbezogenen Daten auch freiwillig erteilt – oder ob diese nur aus Angst vor Sanktionen durch den Arbeitgeber erteilt wird (dann keine Freiwilligkeit, ergo ist die Einwilligung unwirksam). Der bisherige Entwurf zum Beschäftigtendatenschutzgesetz meinte es damit quasi schon wieder zu gut: Im Arbeitsverhältnis könne grundsätzlich keine Einwilligung mehr erteilt werden (da generell nicht freiwillig), außer in den gesetzlich geregelten Einzelfällen.
Nun bedarf es keiner ausschweifenden Praxiserfahrung, um nachvollziehen zu können, dass das Leben und auch das Leben im Beschäftigungsverhältnis etwas komplexer ist als enumerativ aufgeführte Einzelfälle: Im Beschäftigungsverhältnis spielt die datenschutzrechtliche Einwilligung gem. § 4a BDSG eine erhebliche Rolle, ohne dass die Frage nach der Freiwilligkeit der Erteilung der Einwilligung relevant wäre. Beispielsweise wenn dem Arbeitnehmer auch die Privatnutzung des betrieblichen E-Mail-Accounts erlaubt wird (gegen Einwilligung in Spam-Filtering/Virenschutz). Oder ich frage mich, wie ein Arbeitgeber zukünftig ohne die Möglichkeit (einer freiwilligen) Einwilligung Daten über bestimmte Mitarbeiter auf seiner Website veröffentlichen kann (z.B. den Ansprechpartner für den Vertrieb) – eine Rechtfertigung über die gesetzliche Erforderlichkeit zur Durchführung des Beschäftigungsverhältnisses (§ 32 Abs. 1 BDSG) wird hier etwas dünn sein.
Angeblich soll der Bundestag dem Gesetzesvorhaben bereits Ende Januar zustimmen (wie schnell so etwas gehen kann, hat man ja hier gesehen), vom Bundesrat zustimmungsbedürftig sei das Vorhaben nicht.
Über dieses ehrgeizige Vorhaben und die darauf beruhende zukünftige Rechtsprechung wird noch viel zu berichten sein…
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe