Bundesdatenschutzgesetz

Von Prof. Dr. Spiros Simitis (Hrsg.), Nomos Verlagsgesellschaft, 8. Auflage, Baden-Baden 2014, 2.072 Seiten, gebunden, Preis: 198 Euro

Der Herausgeber reagiert nach eigener Aussage im Vorwort mit der neuen Auflage des Großkommentars zum BDSG auf die kommende EU-Datenschutzgrundverordnung und aktuelle technologische Entwicklungen. Sein Ziel ist es, den aktuellen Stand des Themas klarzustellen und sich abzeichnende oder zukünftige Konflikte um den Datenschutz darzustellen.

Die Bearbeiter kommen aus Wissenschaft, Aufsichtsbehörden, Verwaltung sowie Gerichtsbarkeit. Gegenüber der 7. Auflage ist keine Änderung bei den Kommentatoren eingetreten.

Im Folgenden können nur wenige Hinweise zu inhaltlichen Neuerungen im Bereich des Beschäftigtendatenschutzes gegeben werden. In der Tat gehen die Bearbeiter auf die Datenschutzgrundverordnung an vielen Stellen ihrer Kommentierung erhellend und zugleich kritisch ein. Simitis kommt in seiner Kritik der Reform (Einleitung Rdnr. 252 ff.) zu der Einschätzung, dass der Kommissionsentwurf allein wegen der für die Betroffenen wie für die verantwortlichen Stellen eigentlich nicht erkennbaren Folgen vieler seiner wichtigsten Vorschriften unhaltbar ist. Er steht auch der Wahl der Grundverordnung durch die Kommission kritisch gegenüber (Einleitung, Rdnr. 254). Zumindest Art. 13 zur Datenschutz-Folgenabschätzung und Art. 20 zum Profiling bewertet er als zwei überzeugende Vorschriften.

Seifert stellt die Neuerungen in der EU-Datenschutzgrundverordnung zum Beschäftigtendatenschutz ausführlich dar (§ 32 Rdnrn. 3a–3c). Er kommentiert Art. 82 Abs. 1 der DS-GVO in der Fassung des Europäischen Parlaments (EP). Der Arbeitnehmerbegriff der Verordnung scheint wohl deutlich enger als der Beschäftigtenbegriff in § 11 BDSG gefasst zu sein. In Art. 82 Abs. 1 DS-GVO wird festgehalten, dass Mitgliedstaaten Kollektivverträge im Beschäftigtendatenschutz vorsehen können. Das zielt auf andere Rechtsvorschriften, wie Tarifverträge und Betriebs-/Dienstvereinbarungen, ab.

Art. 82 erlaubt als Öffnungsklausel den Mitgliedstaaten, den Beschäftigtendatenschutz gesetzlich zu regeln. Art. 82 Abs. 1c legt dafür die Mindeststandards fest. Die zukünftige Datenschutzgrundverordnung geht wie bisher davon aus, dass nur eine freiwillige Einwilligung des Arbeitnehmers eine gültige Rechtsgrundlage sein kann (Rdnr. 3b). Die strikte Bindung an die Zwecke des Beschäftigungsverhältnisses bleibt wie in § 32 Abs. 1 Satz 1 BDSG erhalten (Art. 82 Abs. 1a). In Art. 82 Abs. 1d des Entwurfs (EP) wird ein „Konzernprivileg“ vorgesehen (§ 32 Rdnr. 3c).

In § 32 Rdnr. 67 geht Seifert ausführlich auf die Datenerhebung, -verarbeitung und –nutzung beim Betrieblichen Eingliederungsmanagement (BEM) nach § 84 Abs. 2 SGB IX ein. Er gibt zu Recht seine bisherige Einschätzung auf, dass § 84 Abs. 2 SGB IX als lex spezialis § 4a BDSG zur Einwilligung verdrängt. Die Erhebung und Verarbeitung von Daten des betroffenen Beschäftigten im BEM lässt sich richtigerweise nicht auf § 32 Abs.1 Satz 1 BDSG stützen und bedarf neben einer Zustimmung zur Einleitung des BEM immer auch der datenschutzrechtlichen Einwilligung nach § 4a BDSG. Die Einwilligung muss sich – soweit es sich um sensible Daten (Gesundheitsdaten) gem. § 3 Abs. 9 BDSG handelt – auf diese Daten beziehen.

Leider bleibt für Betriebsparteien nach wie vor unklar, weshalb Seifert (§ 32 Rdnr. 165) ohne ausführliche Begründung ablehnt, dass Betriebsvereinbarungen „andere vorrangige Rechtsvorschriften“ gem. § 4 Abs. 1 BDSG sind. Er wendet sich mit dieser Position gegen das BAG, die herrschende Meinung im Schrifttum, den Gesetzgeber beim gescheiterten Beschäftigtendatenschutzgesetz (Entwurf), Aufsichtsbehörden und m. E. auch gegen die Mitkommentatoren (siehe Scholz/Sokol, § 4 Rdnr. 11 und 17; Simitis § 1 Rdnr. 166). Natürlich müssen Betriebs- und Dienstvereinbarungen datenschutzrechtlichen Anforderungen materiell genügen und dürfen das BDSG, die Grundrechte und das EU-Datenschutzrecht nicht zu Ungunsten der Beschäftigten unterschreiten. Das ist jedoch inzwischen wieder Konsens im Schrifttum. Gerade die aktuelle Beratungspraxis zeigt, dass Betriebsvereinbarungen, z. B. zum BEM in vielen Unternehmen oder zu konzerninternen Datenflüssen wie bei der Deutschen Bahn, notwendige Erlaubnistatbestände für die Datenverwendung sein können. Deshalb sollten sich Betriebsparteien, die in der Praxis oftmals datenschutzkonforme Betriebsvereinbarungen abschließen, die auch von Aufsichtsbehörden gewürdigt werden, nicht entmutigen lassen. Das Mittel für datenschutzkonforme Betriebs- und Dienstvereinbarungen ist die Verhältnismäßigkeitsprüfung, wie die jüngste BAG-Rechtsprechung zum Beschäftigtendatenschutz, u. a. zu Torkontrollen, Signaturkarte und heimlicher Spindkontrolle, ausdrücklich gezeigt hat. Der Stellenwert der Verhältnismäßigkeitsprüfung hätte deshalb in der neuen Auflage stärker herausgestellt werden können.

Fazit: Der „Simitis“ in der 8. Auflage ist nach wie vor für Richter, Anwälte, Personalabteilungen und Interessenvertretungen unentbehrlich und wird bei der Auslegung der (wahrscheinlich) kommenden EU-Datengrundverordnung auch künftig seinen großen Nutzen beibehalten. Er darf in keiner Arbeitsrechts- und Datenschutzhandbibliothek fehlen.

Dr. Eberhard Kiesche, AoB Bremen