Artikel 88 EU-DSGVO: Datenverarbeitung im Beschäftigungskontext

  1. Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.

  2. Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

  3. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.

Kommentar zu Artikel 88 DSGVO

Was sagt Art. 88 DSGVO aus?
 

Art. 88 DSGVO überlässt den Mitgliedstaaten die Option, eigene, spezifischere Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten im Beschäftigungskontext zu treffen.

Nach Art. 88 Abs. 1 DSGVO muss es sich um personenbezogene Beschäftigtendaten im Beschäftigungskontext handeln. Neben Arbeitnehmern im privaten Beschäftigungsbereich umfasst der Begriff auch Bewerber und Beamte, nicht aber freie Mitarbeiter oder Selbstständige (vgl. auch § 26 Abs. 8 BDSG). In Art. 88 Abs. 1 DSGVO findet sich eine nicht abschließende Aufzählung von  Verarbeitungszwecken, die dem Beschäftigungskontext zuzuordnen sind. Hierzu zählen unter anderem Verarbeitungstätigkeiten zum Zwecke der Einstellung und zur Durchführung des Arbeitsverhältnisses. Aus Erwägungsgrund 155 ergibt sich zudem, dass die spezifischeren Regelungen unter anderem auch die Bedingungen, unter denen eine Verarbeitung personenbezogener Daten im Beschäftigungskontext auf der Rechtsgrundlage der Einwilligung erfolgt,  betreffen können.

Die Mitgliedstaaten können nach Art. 88 Abs. 1 DSGVO neue, spezifischere Vorschriften für den Beschäftigtendatenschutz erlassen oder an bereits bestehenden spezifischeren nationalen Regelungen festhalten, die sodann den allgemeinen, unspezifischeren Regelungen der DSGVO vorgehen. Die spezifischen Vorschriften müssen den besonderen Anforderungen des Beschäftigtendatenschutzes Rechnung tragen und den Beschäftigungskontext konkretisieren. Dabei dürfen die Regelungen über den Standard der DSGVO hinausgehen. Unklar ist hingegen, ob die DSGVO gegenüber den spezifischen Vorschriften einen Mindeststandard darstellen soll und somit ein Absenkungsverbot für das Datenschutzniveau begründet. Für ein solches Verbot würden zumindest die Präzisierungen des Abs. 2 sprechen. Dagegen spricht, dass spezifische Vorschriften nicht unbedingt stärkeren Schutz bieten müssen, sondern einen andersartigen und ggf. auch schwächeren. Zudem wären auch die Bestimmungen der Absätze 1 und 2 weitgehend überflüssig, wenn die DSGVO den Mindeststandard darstellen würde.

Den Mitgliedstaaten ist bei der Umsetzung auch überlassen, welche Bereiche spezifischer geregelt werden sollen. Die Regelungen können durch Rechtsvorschriften sowie Kollektivvereinbarungen getroffen werden. Rechtsvorschriften sind für jeden verbindlich (z. B. Gesetze, Rechtsverordnungen, Satzungen), Kollektivvereinbarungen hingegen nur für ein bestimmtes Kollektiv (z. B. Tarifvertrag, Betriebsvereinbarung, Dienstvereinbarung). Somit sind neben den Mitgliedstaaten auch Parteien von Kollektivvereinbarungen (z. B. Tarifvertragsparteien, Arbeitgeber, Betriebsräte) Normadressaten dieses Artikels.
Nach Art. 88 Abs. 2 DSGVO müssen die spezifischen mitgliedstaatlichen Vorschriften geeignete und besondere (spezifische) Maßnahmen zur Wahrung der Menschenwürde, der berechtigten Interessen sowie der Grundrechte der betroffenen Person umfassen. Die Maßnahmen sollen sich nach Abs. 2 dabei insbesondere auf

  • die Transparenz der Datenverarbeitung (vgl. Art. 5 Abs. 1 lit. a, Art. 12 ff. DSGVO)

  • die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder Gruppe von Unternehmen mit Ausübung einer gemeinsamen Wirtschaftstätigkeit

  • und auf Überwachungssysteme am Arbeitsplatz

beziehen, soweit die mitgliedsstaatlichen Vorschriften Aussagen zu diesen Bereichen treffen. Dem Wortlaut „insbesondere“ nach könnten Maßnahmen in den genannten Einzelbereichen als Mindestanforderungen für die nach Abs. 1 zu erlassenden Vorschriften verstanden werden. Dies würde jedoch einerseits dem Optionscharakter dieses Artikels widersprechen und andererseits kann es sein, dass in den verschiedenen Mitgliedstaaten gar kein Bedarf für eine spezifischere Regelung in einem dieser Einzelbereiche besteht. Wenn also z. B. keine Unternehmensgruppe besteht, wäre es verfehlt, spezifische Regelungen für Unternehmensgruppen in der Betriebsvereinbarung zu treffen. Die von Abs. 2 geforderten Maßnahmen sind daher auf ihre Erforderlichkeit einzuschränken. Erforderlich ist eine solche Schutzmaßnahme dort, wo ein entsprechendes Gefährdungspotential besteht.

Die in Abs. 3 enthaltene Pflicht zur Mitteilung der Rechtsvorschriften an die Kommission umfasst ebenfalls spätere Abänderungen der Vorschriften sowie, nach ganz herrschender Meinung, auch Rechtsvorschriften, die bereits vor dem Inkrafttreten der DSGVO bestanden. Obwohl auch Parteien von Kollektivvereinbarungen die Regelungen nach Abs. 1 erlassen dürfen, sind diese nicht von der Mitteilungspflicht des Abs. 3 betroffen. Entgegen dem Wortlaut des Abs. 3 können nach ganz herrschender Meinung auch nach dem 25. Mai 2018 erlassene Rechtsvorschriften mitgeteilt werden. Das Versäumnis der Mitteilungsfrist stellt lediglich einen Rechtsverstoß dar.

Wie wurde Art. 88 DSGVO in Deutschland umgesetzt?
 

Die alte Fassung des § 32 BDSG enthielt schon vor dem Inkrafttreten der DSGVO Datenschutzbestimmungen für Zwecke des Beschäftigungsverhältnisses. Ob diese Bestimmungen gegenüber der DSGVO jedoch spezifischer sind, ist rechtlich umstritten. Vorbestehende, spezifischere Regelungen stellen auch die personalaktenrechtlichen Regeln der Beamtengesetze (z. B. §§ 106 ff. BBG als bundesrechtliche Regelung und § 83 BetrVG) dar. Mit der Neuregelung des § 26 BDSG hat der deutsche Gesetzgeber die bisherige Vorschrift des § 32 BDSG (alte Fassung) sprachlich korrigiert und sie um Regelungen zur Einwilligung im Beschäftigungsverhältnis (Abs. 2), zur Verarbeitung sensibler Daten i. S. v. Art. 9 Abs. 1 DSGVO (Abs. 3), zur Regelungskompetenz der Kollektivparteien (Abs. 4) sowie um einen Verweis auf die Grundsätze des Art. 5 DSGVO (Abs. 5) und den Begriff des Beschäftigten (Abs. 8) ergänzt. Ob § 26 BDSG letztendlich verordnungskonform ist, ist ebenfalls umstritten.

Was ist neu?
 

Eine spezifischere Regelung für Beschäftigte war in der alten Datenschutzrichtlinie nicht enthalten, daher wurden die allgemeinen Regelungen angewandt. Diese Regelungen konnten die Mitgliedstaaten lediglich in ihrer Umsetzung spezifisch ausdifferenzieren. Auch das deutsche Recht kannte bis zur Einführung des § 32 BDSG (alte Fassung) 2009 keine Regelung über den Beschäftigtendatenschutz. Jedoch stellte auch diese Norm eine sehr allgemein gehaltene Regelung dar. Art. 88 DSGVO sieht somit erstmals spezifischere Regelungen zum Beschäftigtendatenschutz für die einzelnen Mitgliedstaaten vor.

Welche Folgen ergeben sich aus Art. 88 DSGVO?
 

Durch die Umsetzung der Regelungsoption durch die einzelnen Mitgliedstaaten könnte das Vereinheitlichungsziel des Datenschutzrechts verfehlt sein. Da spezifische datenschutzrechtliche Regelungen aber im Bereich der Beschäftigung gerade wegen der vielfältigen Verarbeitungserfordernisse von besonderer Bedeutung sind und die arbeitsrechtlichen Schutzinstrumente in den einzelnen Mitgliedstaaten unterschiedlich ausgeprägt sind, stellt die Regelungsoption eine zweckgerechte Selbstbeschränkung des Unionsgesetzgebers dar. In der Praxis ergeben sich mit den in Deutschland eingeführten spezifischen Regelungen Folgen für Arbeitgeber sowie für Beschäftigte i. S. v. § 26 BDSG. Insbesondere Arbeitgeber müssen sich vorrangig an die spezifischen Regelungen zum Beschäftigtendatenschutz halten.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr