Technology and Sourcing (DE)

Referentenentwurf zum Beschäftigtendatenschutz

Am 28. Mai 2010 hat das Bundesministerium des Innern (BMI) den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes veröffentlicht. Der Entwurf sieht die Einfügung eines neues Abschnitts in das Bundesdatenschutzgesetz (BDSG) vor, der spezielle Regelungen zur Erhebung und Verwendung von Daten für Zwecke des Beschäftigungsverhältnisses beinhaltet.

Der Entwurf (im Folgenden: BDSG-E) befindet sich derzeit in der Ressortabstimmung. Ein offizieller Gesetzentwurf soll dem Bundeskabinett noch vor der parlamentarischen Sommerpause vorgelegt werden. Ob diese Planung aber eingehalten werden kann, erscheint fraglich. Der Entwurf erscheint an vielen Stellen noch recht unausgegoren und hat dementsprechend auch schon öffentliche Kritik erfahren - unter anderem vom Bundesdatenschutzbeauftragten, der noch "erheblichen Verbesserungsbedarf" konstatiert hat.

Besonders bemerkenswert am Gesetzesentwurf ist, dass

das BMI in einigen Bereichen einen sehr strengen Maßstab anlegt und die Erhebung und Verwendung von Beschäftigtendaten nur mit einer ausdrücklichen Einwilligung zulassen will,
in manchen Bereichen künftig offenbar weitergehende Datenverarbeitungen ermöglicht werden sollen als sie bisher zugelassen sind, und
teilweise weitreichende Nebenpflichten für Arbeitgeber vorgesehen werden - etwa eine sehr breit angelegte Verpflichtung, Beschäftigte bei Datenpannen zu informieren.

Beachtenswert erscheinen insbesondere die folgenden Regelungen des Gesetzesentwurfs:

Gesundheitliche Untersuchungen und Eignungstests: § 32a Abs. 3 und 4 BDSG-E verlangen, dass der Beschäftigte ausdrücklich in die Durchführung von gesundheitlichen Untersuchungen und Eignungstests einwilligen müssen - unabhängig davon, ob diese Tests im Bewerbungsverfahren oder während der Beschäftigung erfolgen sollen. Der Arbeitgeber soll in diesem Zuge verpflichtet werden, die Beschäftigten vorher über Art und Umfang der Tests sowie etwaige Weitergaben der Testergebnisse zu informieren.
Direkterhebung: Gemäß § 32a Abs. 8 BDSG-E dürfen Beschäftigtendaten (mit Ausnahme allgemein zugänglicher Daten) nur bei dem Beschäftigten selbst erhoben werden. Jede Datenerhebung bei Dritten soll eine Einwilligung des Beschäftigten voraussetzen; das gilt auch für eine weitergehende Datenspeicherung in dem Fall, dass ein Beschäftigungsverhältnis nicht zu Stande kommt. Nach der Gesetzesbegründung soll es die Ausnahme für allgemein zugängliche Daten insbesondere ermöglichen, auch Daten aus dem Internet einschließlich sozialer Netzwerke abzurufen und für Beschäftigungszwecke zu verwenden.
Datenübermittlungen: für den Fall, dass der Arbeitgeber die Beschäftigtendaten an einen Dritten übermittelt (was in der Praxis häufig der Fall ist, etwa bei Übermittlungen an Kunden, Behörden etc.), muss der Arbeitgeber den Datenempfänger künftig explizit darauf hinweisen, dass die Daten nur für Zwecke verwendet werden dürfen, zu denen sie übermittelt worden sind (§ 32d Abs. 4 BDSG-E).
Mitarbeiterfotos: Fotos von Beschäftigten sollen grundsätzlich nur noch zu Autorisierungs- und Authentifikationszwecken verwendet werden dürfen (§ 32h Abs. 1 BDSG-E), also etwa auf Dienstausweisen, die der Zugangskontrolle dienen. Für jegliche anderweitige Nutzung (etwa auch die Verwendung in internen Mitarbeiterverzeichnissen) soll wiederum eine Einwilligung des Beschäftigten erforderlich sein.
Internet- und E-mail-Nutzung: Der Entwurf adressiert auch Datenverwendungen im Zusammenhang mit der Nutzung von Internet und E-Mailsystemen (§ 32i BDSG-E). Es werden Erlaubnisvorschriften eingeführt, die eine Verwendung von Verkehrs- und Inhaltsdaten zu bestimmten Zwecken gestatten. Interessanterweise umfasst der Entwurf auch eine Regelung zum Umgang mit Daten aus einer privaten Nutzung von Internet und E-Mail durch die Beschäftigten (§ 32i Abs. 4 BDSG). Hier stellt sich die Frage, in welchem Verhältnis diese Regelung zu den Vorschriften des TKG und auch dem TMG steht, die nach herrschender Meinung im Falle der erlaubten Privatnutzung anwendbar sind. Der Gesetzwentwurf und auch die Begründung schweigen dazu. Problematisch erscheint in diesem Zusammenhang auch, ob auf Basis einer Einwilligung der Beschäftigten insoweit abweichende Regelungen zur Datenverarbeitung bei Privatnutzung getroffen werden können - wie es derzeit übliche Praxis in den Unternehmen ist. Gemäß § 32l BDSG-E soll eine Einwilligungslösung nur zulässig sein, soweit dies ausdrücklich in dem neuen Abschnitt vorgesehen ist - eine solche Regelung fehlt aber in § 32i BDSG. An dieser Vorschrift dürfte erheblicher Nachbesserungsbedarf bestehen.
Informationspflicht bei Datenpannen: eine sehr weitreichende Verpflichtung, Beschöftigte über Datenpannen zu unterrichten, findet sich in § 32j BDSG-E. Nach dieser Vorschrift soll jede unrechtmäßige Übermittlung und jeder sonstige Fall einer unrechtmäßigen Kenntniserlangung von Beschäftigtendaten unverzüglich dem Betroffenen mitzuteilen sein - und zwar unabhängig von der Art der Beschäftigtendaten und der Schwere des Verstoßes. Die Regelung geht somit signifikant über die Verpflichtung nach § 42a BDSG hinaus.
Einwilligungen: Eine äußerst fragwürdige Neuregulung beinhaltet auch der bereits angesprochene § 32l BDSG. Danach solle die Einwilligung eines Beschäftigten nur noch dann eine wirksame Rechtsgrundlage für Datenerhebungen und -verwendungen sein können, wenn die Möglichkeit einer Einwilligung in dem neuen Abschnitt des BDSG explizit verankert ist. Auch wenn bereits heute die Aufsichtsbehörden das Instrument der Einwilligung durch Beschäftigte mangels Freiwilligkeit der Erklärung kritisch betrachten, würde dieser gesetzliche Ausschluss der Einwilligungsmöglichkeit eine radikale Abkehr des in § 4 BDSG verankerten Prinzips darstellen, wonach eine Einwuilligung immer eine gleichwertige Alternative zu einem gesetzlichen Erlauibnistatbestand ist.

Es ist zu hoffen, dass der Entwurf und die darin enthaltenen Regelungsvorschläge Gegenstand einer breiten Diskussion werden, in der vor allem auch die praktischen Bedürfnisse der Arbeitgeber und der Beschäftigten angemessenes Gehör finden; anderenfalls drohen Szenarien, die politisch nicht gewollt sein dürften. Bleibt es etwa, bei der strengen Regulierung bezüglich privater E-Mail (ohne die Zulassung von Einwilligungslösungen) wird dies dazu führen, dass Arbeitgeber eine Privatnutzung künftig schlichtweg untersagen werden.

Posted by Flemming Moos on Friday 09 Jul 2010

Everything Matters

In diesem Weblog veröffentlicht DLA Piper Wissenswertes aus dem Bereich des Technologie- und IT-Rechts und über die Arbeit der Rechtsanwälte von DLA Piper in diesem Bereich. DLA Piper ist mit mehr als 4.200 Anwälten eine der weltweit größten Anwaltssozietäten. DLA Piper ist in Deutschland mit über 150 Anwälten in fünf Büros vertreten.
Actions
Categories
Tags

access-provider agb auftragsdatenverarbeitung bdsg bgh cloud_computing compliance datenschutz dsri e-commerce einwilligung fernabsatz gebrauchtsoftware google haftung herbstakademie internet internetrecht ip-adresse novelle outsourcing persönlichkeitsrecht schadensersatz software störerhaftung tauschbörse vertragsrecht vortrag werbung werkvertrag
Search
Archive
- « February 2012
  Mon Tue Wed Thu Fri Sat Sun
  
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
  16
  17
  18
  19
  20
  21
  22
  23
  24
  25
  26
  27
  28
  29
  
  Today

Mon	Tue	Wed	Thu	Fri	Sat	Sun
« February 2012
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29

Today

Technology and Sourcing

Referentenentwurf zum Beschäftigtendatenschutz

Everything Matters

Actions

Categories

Tags

Search

Archive