Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 10 – Regelungsgehalt des Art. 88 DSGVO
3.4 Regelungsgehalt des Art. 88 DSGVO
Art. 88 DSGVO beinhaltet eine Öffnungsklausel, die ausschließlich für Datenverarbeitung im Beschäftigungskontext gilt. Dieser Klausel zufolge können auch nationale Rechtsvorschriften unter bestimmten Voraussetzungen die Verarbeitung personenbezogener Daten rechtfertigen. Zum anderen kommen gemäß Art. 88 DSGVO auch Kollektivvereinbarungen als Erlaubnistatbestand für die Verarbeitung personenbezogener Daten in Betracht.
3.4.1 Nationale Rechtsvorschriften als Erlaubnis
Art. 88 I DSGVO erlaubt es den Mitgliedsstaaten, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten“ bei der Verarbeitung personenbezogener Daten im Beschäftigungskontext zu erlassen.[1] Art. 88 II DSGVO stellt materielle Anforderungen auf, die nationale Rechtsvorschriften erfüllen müssen, um der Öffnungsklausel des Art. 88 I DSGVO zu genügen. In formeller Hinsicht müssen die Mitgliedsstaaten der Kommission nationale Vorschriften zum Beschäftigtendatenschutz gemäß Art. 88 III DSGVO mitteilen.
Vor diesem Hintergrund kommt in Deutschland einzig § 32 BDSG als nationale Sonderregelung in Frage. Ob diese Norm die Anforderungen des Art. 88 DSGVO erfüllt oder nicht, ist für das künftige Beschäftigtendatenschutzrecht in Deutschland entscheidend. Wenn § 32 BDSG den Vorgaben der Öffnungsklausel nicht genügt, würden künftig allein die allgemeinen Vorschriften gemäß Art. 6 ff. DSGVO den Beschäftigtendatenschutz regeln.[2] Sollte § 32 BDSG hingegen aufgrund der Öffnungsklausel fortgelten, hätten die bisherigen bereichsspezifischen Regelungen des Beschäftigtendatenschutzes in Deutschland weiter Bestand.
3.4.1.1 Spezifischere Vorschrift, Art. 88 I DSGVO
Gemäß Art. 88 I DSGVO können die Mitgliedsstaaten „spezifischere“ Vorschriften zum Schutz personenbezogener Daten im Beschäftigungskontext erlassen.
Das Adjektiv „spezifisch“ ist vom lateinischen „specificus“ entlehnt, das in der deutschen Übersetzung „eigentümlich“ bedeutet.[3] Es beschreibt arteigene Charakteristika von Sachen, Personen und Tieren als für diese bezeichnend. Der in Art. 88 I DSGVO verwandte Komparativ „spezifischere“ ist deshalb logisch nicht zulässig.[4] Die Fassungen in englischer („more specific“) und französischer Sprache („plus spécifiques“) enthalten jedoch auch Komparative und belegen somit, dass Art. 88 I DSGVO jedenfalls auf einen Vergleich abzielt. Fraglich ist, welche Vergleichsgruppen die Norm betrifft.
Man könnte den Wortlaut des Art. 88 I DSGVO so interpretieren, dass ein Vergleich zwischen dem Grad der Spezifität der Vorschriften zum Beschäftigtendatenschutz in nationalem Recht und in der DSGVO angestrengt werden soll. Dann wären einzelstaatliche Vorschriften zum Beschäftigtendatenschutz nur „spezifischer“ i.S.d. Art. 88 I DSGVO, wenn ihr Regelungsgehalt differenzierter ausgestaltet wäre als der des Art. 88 DSGVO.
Die Teleologie der Vorschrift deutet jedoch darauf hin, dass der Komparativ auf einen Vergleich zwischen allgemeinen datenschutzrechtlichen Vorschriften[5] und bereichsspezifischen[6] Vorschriften zum Beschäftigtendatenschutz abzielt. Also müssen einzelstaatliche Vorschriften – im Gegensatz zu Art. 6 I S. 1 lit. b DSGVO – ganz eigentümlich das Beschäftigtendatenschutzrecht betreffen, damit sie unter die Öffnungsklausel fallen. Sie müssen hingegen nicht inhaltlich differenzierter ausgestaltet sein als Art. 88 DSGVO.
§ 32 I BDSG statuiert ein Erforderlichkeitsgebot für personenbezogene Datenvorgänge im Beschäftigungskontext. In der allgemeinen datenschutzrechtlichen Vorschrift des Art. 6 I S. 1 lit. b DSGVO ist ebenso ein Erforderlichkeitsgebot für die Verarbeitung personenbezogener Daten verankert. Dieser Vergleich erweckt den Anschein, als handele es sich bei § 32 I BDSG um eine überflüssige Doppelung, wenn die Norm Bestand hätte.[7] Dann wäre die Vorschrift nicht „spezifischer“ i.S.d. Art. 88 I DSGVO.
Dieser Eindruck täuscht. Die allgemeine Regelung des Art. 6 I S. 1 lit. b DSGVO erfasst gemäß Art. 2 I DSGVO nur Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Demgegenüber reicht der Anwendungsbereich des § 32 I BDSG gemäß § 32 II BDSG weiter: Er umfasst auch nicht unter den Dateibegriff fallende Datenvorgänge.[8] Praktisch relevant wird dieser Unterschied zum Beispiel, wenn Arbeitgeber Personalakten unstrukturiert in Papierform führen.[9] Auch wenn sie bei einem Vorstellungsgespräch handschriftliche Notizen anfertigen und diese telefonisch an Dritte übermitteln, hat der unterschiedliche Anwendungsbereich praktische Konsequenzen[10]. Der deutsche Gesetzgeber hat mit dem weiten Anwendungsbereich des § 32 BDSG bewusst der Eigenart von Beschäftigungsverhältnissen Rechnung getragen.[11] In diesem Bereich kann die Verarbeitung personenbezogener Daten nämlich auch schutzwürdig sein, wenn sie nicht in Dateiform geschieht.[12] Arbeitgeber können nicht auf bestimmte Verarbeitungsformen ausweichen, um den Beschäftigtendatenschutz zu umgehen. Insofern ist § 32 BDSG differenzierter ausgestaltet als Art. 6 I S. 1 lit. b DSGVO und deshalb „spezifischer“ i.S.d. Art. 88 I DSGVO.
[1] Wybitul/Pötters, RDV 2016, 10, 14.
[2] Gola/Pötters/Thüsing, RDV 2016, 57, 60
[3] Düwell/Brink, NZA 2016, 665, 666.
[4] Düwell/Brink, NZA 2016, 665, 666.
[5] Z.B. §§ 1-11 BDSG.
[6] Z.B. bereichsspezifisch für Forschungseinrichtungen § 40 BDSG.
[7] Düwell/Brink, NZA 2016, 665, 667.
[8] BeckOKDatenSR-Riesenhuber, § 32 BDSG, Rn. 53.
[9] Vgl. BAG, Urt. v. 16.11.2010 = NZA 2011, 453 ff.
[10] Vgl. NK/GA-Brink, § 32 BDSG, Rn. 28.
[11] BT-Drucks. 16/13657, S. 20.
[12] Düwell/Brink, NZA 2016, 665, 667.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Über die Autoren:
Tilo Schindele, Rechtsanwalt
Rechtsanwalt Schindele ist seit vielen Jahren im IT-Recht für einen weltbekannten IT-Konzern tätig.
Er berät seit vielen Jahren Unternehmen auf dem Gebiet des Datenschutzrecht.
Er prüft und erstellt Datenschutzhinweise, Datenverarbeitungsvereinbarungen und Einwilligungserklärungen zwischen Unternehmen und Kunden. Er schult Datenschutzbeauftragte und Geschäftsleitungen in allen Fragen des Datenschutzrechtes. Er berät und prüft Datenschutzrechtsfragen in Bezug auf Auslagerungen und Austausch von Daten im internationalen Verkehr (safe harbour u.a.).
Rechtsanwalt Schindele ist Dozent für Arbeitsrecht an der Dualen Hochschule Stuttgart und Dozent für Datenschutzrecht und Arbeitsrecht an der DMA Deutsche Mittelstandsakademie.
Er bietet Schulungen, Vorträge und Seminare unter anderem zu den Themen:
- Telematik – Rechtliche Probleme des Datenschutzes
- Datenverarbeitungsverträge
- Datenschutz in Arbeitsverhältnissen: Arbeitnehmerüberwachung, Arbeitnehmerdatenspeicherung etc.
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: schindele@brennecke-rechtsanwaelte.de
Telefon: 0711-896601-24