BDSG 2018 – § 26 – online-Kommentar

§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

(3) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.

(4) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.

(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.

(6) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(8) Beschäftigte im Sinne dieses Gesetzes sind:

  1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
  2. zu ihrer Berufsbildung Beschäftigte,
  3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  5. Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
  6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  7. Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.

Kommentar

§ 26 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.

Die EU-rechtlichen Regelungen enthalten eine Öffnungsklausel für nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext (Artikel 88 DSGVO). § 26 dient der Ausfüllung dieser Öffnungsklausel. Allerdings ist der „große Wurf“ ausgeblieben, denn von der Gelegenheit, eine umfassende Regelung für den Arbeitnehmerdatenschutz zu schaffen, hat der Gesetzgeber nicht Gebrauch gemacht. Stattdessen hat er sich darauf beschränkt, mit § 26 die Regelung des § 32 BDSG a. F. fortzuschreiben. Das ist bedauerlich, denn es gibt zahlreiche Themen des Beschäftigtendatenschutzes, die eine spezifische Regelung verdienen würden, z. B.:

  • zum Fragerecht bei der Begründung eines Beschäftigungsverhältnisses,
  • zu der Verwendung von biometrischen Daten zu Authentifizierungs- und Autorisierungszwecken,
  • zu heimlichen Kontrollen im Beschäftigungsverhältnis,
  • zur Lokalisierung von Arbeitnehmern (etwa mittels GPS in Fahrzeugen),
  • zur Erstellung von Bewegungsprofilen,
  • zu Anforderungen an die Zulässigkeit von Dauerüberwachungen.

Immerhin behält sich der Gesetzgeber vor, Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb von § 26 oder im Rahmen eines speziellen Gesetzes konkretisierend zu regeln (BT Drs. 18/11325, S. 97). Bis das geschieht, müssen sowohl Rechtsanwender als auch Arbeitnehmer mit einer gewissen Rechtsunsicherheit leben. Orientierung bieten bis auf weiteres nur Gerichtsentscheidungen, bei denen sich oft die Frage stellt, ob sie auf andere Sachverhalte übertragbar sind. Angesichts des von Technisierung geprägten Arbeitsumfelds vieler Beschäftigter, das zahlreiche datenschutzrechtliche Fragen aufwirft, ist die faktische Funktion der Rechtsprechung als „Ersatzgesetzgeber“ kein guter Zustand.

Der Wortlaut von § 26 ist an die Terminologie der DSGVO angepasst. Da der deutsche Gesetzgeber von der Regelungsbefugnis nach Art. 88 DSGVO nicht umfassend Gebrauch gemacht hat, schließt § 26 die Anwendbarkeit der DSGVO auf die Datenverarbeitung im Zusammenhang mit Beschäftigungsverhältnissen nicht aus. Vielmehr findet die DSGVO trotz der nationalen Regelung Anwendung, soweit sich in § 26 BDSG nicht abschließende spezielle Regelungen finden. Eine die Anwendung der DSGVO ausschließende nationale Regelung im Sinne von Art. 88 DSGVO setzt eine nationale Regelung voraus, die unmissverständlich zum Ausdruck bringt, dass es sich um eine abschließende Spezialregelung handelt. § 26 erfüllt diese Voraussetzung nicht. Im Zweifel bleibt die DSGVO daher neben § 26 anwendbar.

Die nach alter Rechtslage umstrittene Abgrenzung zwischen dem Beschäftigtendatenschutz (§ 32 BDSG a. F.) zur Datenerhebung und -speicherung für eigene Geschäftszwecke (§ 28 BDSG a. F.) ist nun obsolet, denn nach der geltenden Rechtslage ist regelmäßig ein Rückgriff auf die Erlaubnistatbestände der DSGVO gestattet.

Absatz 1 regelt, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, sofern das zum Zweck des Beschäftigungsverhältnisses erforderlich ist. Die Regelung entspricht dem bisherigen § 32 Absatz 1 BDSG a. F. und stellt eine Rechtsgrundlage für die Datenverarbeitung mit Bezug zu Beschäftigungsverhältnissen dar. Zu der Frage, ob eine Verarbeitung “erforderlich” ist, kann auf die Literatur und Rechtsprechung zu § 32 BGSG a. F. zurückgegriffen werden sowie auf das Working-Paper 249 der Art. 29-Gruppe (Hinweise zum Beschäftigtendatenschutz nach der DSGVO).

Im Rahmen der Erforderlichkeitsprüfung nach Absatz 1 Satz 1 ist eine Abwägung der betroffenen Grundrechtspositionen vorzunehmen mit dem Ziel der Herstellung praktischer Konkordanz. Darunter versteht man die Herbeiführung eines Ausgleichs, welcher die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten bestmöglich berücksichtigt. Absatz 1 Satz 1 in Verbindung mit Absatz 5 dient zugleich der Umsetzung von Artikel 10 DSGVO, wonach es den Mitgliedsstaaten ermöglicht wird, die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln im Beschäftigungskontext zuzulassen. Der Arbeitgeber kann auf diese Weise beispielsweise sicherstellen, dass die Beschäftigten keinem Verbot nach § 25 Jugendarbeitsschutzgesetz unterliegen und mit der Beaufsichtigung, Anweisung oder Ausbildung von Jugendlichen beauftragt werden dürfen (BT Drs. 18/11325, S. 97).

Absatz 1 Satz 1 stellt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses dar, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Kollektivvereinbarungen sind Tarifverträge, Betriebsvereinbarungen und Dienstvereinbarungen (Erwägungsgrund 155 DSGVO).

Absatz 1 Satz 2 regelt die Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind, zulässig ist. Erforderlich sind tatsächliche Anhaltspunkte, die den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat,

  • die Verarbeitung muss zur Aufdeckung erforderlich sein,
  • das schutzwürdige Interesse des Beschäftigten darf nicht überwiegen und es darf keine Unverhältnismäßigkeit im Hinblick auf die Datenverarbeitung und den Anlass vorliegen.

Die Regelung sieht ferner eine Dokumentationspflicht vor für die tatsächlichen Anhaltspunkte. Dem Wortlaut nach handelt es sich dabei aber nicht um eine Tatbestandsvoraussetzung, sondern die Auferlegung einer Pflicht, wobei Verstöße gegen die Dokumentationspflicht die Datenverarbeitung nicht per se rechtswidrig machen. Der Arbeitgeber hat in solchen Fällen aber regelmäßig ein Beweisproblem. Praktisch wird die Dokumentationspflicht wohl kaum Probleme bereiten, da Arbeitgeber, die Straftaten aufdecken ohnehin großen Wert darauf legen, die Verdachtsmomente zu dokumentieren.

Ob die Datenverarbeitung anlässlich schwerer Verfehlungen unterhalb der Schwelle der Strafbarkeit auf Absatz 1 Satz 2 gestützt werden kann, ist strittig. Dafür wird vorgebracht, dass der Gesetzgeber ausweislich der Gesetzesbegründung die alte Rechtslage (§ 32 BDSG a. F.) fortführen wollte, unter der anerkannt war, dass z. B. schwerwiegende arbeitsvertragliche Verfehlungen, die nicht strafbar waren, eine Datenverarbeitung rechtfertigen (so z. B. BAG, Urteil vom 21.06.2012 – 2 AZR 153/11). Dass der Gesetzgeber anlässlich der Neufassung des BDSG nun – wie auch in § 32 Absatz 1 BDSG a. F. – nur auf die Datenerhebung für die Aufdeckung von Straftaten abstellt, dürfe daher nicht als Argument dafür herangezogen werden, dass Verfehlungen unterhalb der Strafbarkeitsschwelle nicht auf § 26 gestützt werden können. Diese Argumentation überzeugt nicht. Richtig ist zwar, dass das BAG in der genannten Entscheidung auch die Aufdeckung von nicht strafbaren Verfehlungen auf § 32 BDSG a. F. gestützt hat. Damit hat sich das BAG aber über den klaren Gesetzeswortlaut von § 32 Absatz 1 Satz 2 BDSG a. F. hinweggesetzt, der die Datenerhebung zur “Aufdeckung von Straftaten” vorsah. Dass nun § 26 sich ebenfalls nicht auf Verfehlungen unterhalb der Strafbarkeitsschwelle bezieht, spricht nicht für einen darüber hinaus gehenden Anwendungsbereich der Vorschrift. Nach der hier vertretenen Auffassung kann die Datenverarbeitung für Verfehlungen unterhalb der Schwelle der Strafbarkeit nicht auf § 26 Absatz 1 Satz 2 gestützt werden.

Angesichts der nichtabschließenden Regelung des § 26 ist indessen ein Rückgriff auf die allgemeinen Regelungen der DSGVO für eine Datenverarbeitung zur Aufdeckung von Verfehlungen unterhalb der Schwelle der Strafbarkeit nicht ausgeschlossen.

Absatz 2 trägt dem Umstand Rechnung, dass das Beschäftigungsverhältnis ein Abhängigkeitsverhältnis ist und dass die Erteilung der Einwilligung dieser besonderen Situation entsprechend anderen Umständen unterliegt, weshalb die Freiwilligkeit der Erklärung einer besonderen Würdigung bedarf. Die Regelung beinhaltet eine Spezifizierung im Sinne von Artikel 88 Absatz 1 DSGVO. Erwägungsgrund 155 der DSGVO gestattet den Erlass von Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage einer Einwilligung der Beschäftigten verarbeitet werden dürfen.

Ob eine Einwilligung freiwillig erteilt wurde, ist unter Berücksichtigung der im Beschäftigungsverhältnis regelmäßig bestehenden Abhängigkeit der Beschäftigten vom Arbeitgeber und anhand der Umstände des Einzelfalls zu ermitteln. Dabei können die Art der verarbeiteten Daten und die Eingriffstiefe ebenso eine Rolle spielen wie der Zeitpunkt der Erteilung der Einwilligung. Vor Abschluss eines Arbeitsvertrages dürfte regelmäßig eine größere Drucksituation bestehen.

Absatz 2 Satz 2 beinhaltet eine Regelvermutung dahingehend, dass eine freiwillige Einwilligung insbesondere dann vorliegt, wenn Beschäftigte im Kontext mit der Datenverarbeitung einen rechtlichen oder wirtschaftlichen Vorteil erlangen oder Arbeitgeber und Beschäftigte gleichgerichtete Interessen verfolgen. Ein Vorteil kann z. B. in der Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder der Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen bestehen. Auch die Verfolgung gleichgerichteter Interessen spricht für die Freiwilligkeit einer Einwilligung, Beispiel: Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste / Nutzung von Fotos für das Intranet, bei der Arbeitgeber und Beschäftigter im Sinne eines betrieblichen Miteinanders zusammenwirken.

Anders als bei der Einwilligung sonst ist bei der Datenverarbeitung für Beschäftigungszwecke eine Einwilligung in Schriftform vorgesehen, sofern nicht besondere Umstände eine andere Form „angemessen“ erscheinen lassen. Als andere Form kommt nur die Textform (d.h. z. B. E-Mail, sms-Textnachricht) in Betracht; die mündliche Erklärung ist keine „Form“, sondern wird gemeinhin als formlos bezeichnet. Das im Grundsatz bestehende Schriftformerfordernis dient dem Schutz der Beschäftigten (informationelle Selbstbestimmung, Art. 2 Absatz 1 i.V.m. Art 1 Absatz 1 GG). Zugleich wird durch das Schriftformerfordernis die Nachweispflicht des Arbeitgebers konkretisiert im Sinne von Artikel 7 Absatz 1 DSGVO. Ergänzend hat der Arbeitgeber die Beschäftigten in Textform über den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf durch den Beschäftigten sowie dessen Folgen aufzuklären (Artikel 7 Absatz 3 DSGVO).

Absatz 3 ist im Kontext mit § 22 Absatz 1 Nummer 1 Buchstabe a) zu lesen – beide Vorschriften dienen der Umsetzung von Artikel 9 Absatz 2 Buchstabe b DSGVO. Besondere Kategorien personenbezogener Daten dürfen im Beschäftigungsverhältnis verarbeitet werden, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann relevant für die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit erforderlich sein. Soweit besonderer Kategorien personenbezogener Daten für andere Zwecke verarbeitet werden sollen, wird dies durch die Vorschrift nicht eingeschränkt. Für Zwecke der Gesundheitsvorsorge nach § 22 Absatz 1 Nummer 1 Buchstabe b kann die Verarbeitung daher – unter den dort angegebenen Voraussetzungen erfolgen. Für den Fall, dass eine Verarbeitung mehreren Zwecken dient, hat die Datenverarbeitung dem jeweiligen Zweck und den daran anknüpfenden Anforderungen zu entsprechen. Die Datenverarbeitung setzt voraus, dass sie verhältnismäßig ist; im Rahmen der Erforderlichkeitsprüfung ist zu prüfen, ob kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der Betroffenen die Interessen der Verantwortlichen an der Verarbeitung überwiegen. Dies entspricht der Regelung nach § 28 Absatz 6 BDSG a. F. Absatz 3 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten, wie beispielsweise von Gesundheitsdaten, wobei sich die muss sich ausdrücklich auf diese Daten beziehen muss. An die Freiwilligkeit einer Einwilligung in die Datenverarbeitung sind bei besonderen Kategorien personenbezogener Daten besonders strenge Anforderungen zu stellen. Die in Absatz 3 Satz 3 enthaltene Verweisung auf § 22 Absatz 2 dient der Erfüllung der Vorgabe von Artikel 9 Absatz 2 Buchstabe b DSGVO, wonach die nationale Regelung geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsehen muss.

Absatz 4 beinhaltete Regelungen zur Datenverarbeitung im Zusammenhang mit Kollektivvereinbarungen. Die Verarbeitung personenbezogener Beschäftigtendaten einschließlich besonderer Kategorien personenbezogener Daten darf auf Kollektivvereinbarungen gestützt werden. Diese Ermächtigung zur spezifischen Regelung ist in Artikel 88 Absatz 1 DSGVO vorgesehen, bzgl. besonderer Kategorien personenbezogener Daten beruht die Regelung auf Artikel 9 Absatz 2 Buchstabe b DSGVO. Absatz 4 wird dem Umstand gerecht, dass Betriebs- und Dienstvereinbarungen nach bisherigem Recht und nach bisheriger Rechtspraxis wichtige Regelungsinstrumente im Bereich des Beschäftigtendatenschutzes sind. In Umsetzung von Artikel 88 Absatz 1 DSGVO stellt die Regelung klar, dass Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden können. Sie sollen den Verhandlungsparteien der Kollektivvereinbarungen die Ausgestaltung eines auf die betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutzes ermöglichen. Dabei steht ihnen ein Ermessensspielraum im Rahmen des geltenden Rechts einschließlich der DSGVO zu. Absatz 4 bestimmt, dass die Verhandlungspartner Artikel 88 Absatz 2 DSGVO zu beachten haben (vgl. auch Artikel 9 Absatz 2 Buchstabe b der DSGVO bzgl. der Verarbeitung besonderer Kategorien personenbezogener Daten ).

Absatz 5 verpflichtet Verantwortliche dazu, geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen der Beschäftigten zu ergreifen. So muss bei der Datenverarbeitung sichergestellt werden, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die Daten sind in einer Form zu speichern, die die Identifizierung der Beschäftigten nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche hat sicherzustellen, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet wird, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche hat ferner sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet. Damit wird zugleich das Erfordernis aus Artikel 10 DSGVO umgesetzt, geeignete Garantien für die Rechte und Freiheiten der Beschäftigten vorzusehen.

Absatz 6 entspricht § 32 Absatz 3 BDSG a. F. Die Regelung beinhaltet eine Klarstellung, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Absatz 7 regelt die Anwendbarkeit von Absätzen 1 bis 6 auch dann, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das entspricht dem Anwendungsbereich nach Artikel 2 Absatz 1 DSGVO (vgl. zur Vorgängerregelung: § 32 Absatz 2 BDSG a. F.).

Absatz 8 beinhaltet eine Aufzählung, welche Personen als Beschäftigte im Sinne des Gesetzes gelten. Die Regelung übernimmt im Wesentlichen die alten Regelungen aus § 3 Absatz 11 BDSG a. F. Nummer 1 regelt, dass Arbeitnehmer Beschäftigte sind und stellt klar, dass Leiharbeitnehmer nicht nur im Verhältnis zum Verleiher, sondern auch im Verhältnis zum Entleiher als Beschäftigte gelten. Nummer 2 sieht vor, dass auch Auszubildende Beschäftigte sind. Als Beschäftigte gelten auch Personen, die im Wege der Widereingliederung beschäftigt sind, Nummer 3. Auch Personen, die in Behindertenwerkstätten beschäftigt sind, sind Beschäftigte, Nummer 4. In Nummer 5 wurden die Ausführungen zum Jugendfreiwilligendienstegesetz redaktionell überarbeitet und um das Bundesfreiwilligendienstgesetz ergänzt. Nummer 6 bestimmt, dass auch Personen, die aufgrund ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind, Beschäftigte im Sinne des Gesetzes sind. Beschäftigte sind nach Nummer 7 schließlich auch Beamte, Richter des Bundes, Soldaten und Zivildienstleistende. Die Beschränkung auf Richter des Bundes ist auf die beschränkte Gesetzgebungskompetenz zurückzuführen. Beschäftigtendatenschutz für Richter im Landesdienst richtet sich nach Landesrecht.

zurück zum BDSG 2018


Datenschutz
Impressum