von Walter / Walter Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit

1   Einleitung
Am 25.05.2018 begann für den Datenschutz in Europa ein neues Zeitalter. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)1 bildet seitdem den Europäischen Rechtsrahmen und den Maßstab für den Datenschutz in Europa. Auch wenn es weiterhin zahlreiche nationale oder europarechtliche Spezialvorschriften zum Schutz personenbezogener Daten geben wird, ist jetzt die Datenschutz-Grundverordnung (DS-GVO) der Fixstern und stellt für die Grundprinzipien des Datenschutzes einen einheitlichen Standard auf. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, das sich aus Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (EU-Grundrechtecharta)2 sowie Art. 16 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV)3 ergibt. Auch wenn die grundrechtliche Verankerung auf europäischer Ebene noch sehr jung ist, kennen wir das Grundrecht auf informationelle Selbstbestimmung in Deutschland spätestens seit der wichtigen Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1983, die als sogenanntes Volkszählungsurteil bekannt wurde.4 Darin erkennt das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung an. Es soll die Befugnis des Einzelnen gewährleisten, grundsätzlich selbst über die Preisgabe und die Verwendung seiner persönlichen Daten zu bestimmen. In diesem Urteil, das fern des heutigen Digitalzeitalters gefällt wurde, hat das Bundesverfassungsgericht bereits den sich aus dem technischen Fortschritt ergebenden Schutzbedarf für die Persönlichkeit des Einzelnen erkannt und deswegen die informationelle Selbstbestimmung als Abwehrrecht des Einzelnen gegen den Daten sammelnden Staat etabliert. Es hat ausdrücklich darauf hingewiesen, dass die Befugnis, selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, unter den Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes bedürfe. Diese Selbstbestimmung sei vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden müsse, sondern vielmehr mithilfe der automatischen Datenverarbeitung personenbezogene Daten technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar seien.5 Diese Daten können darüber hinaus - vor allem beim Aufbau integrierter Informationssysteme - mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne dass der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren könne.6 Die wesentliche Passage in dem Volkszählungsurteil bringt das Ziel und den Zweck des Datenschutzes als Freiheitsschutz auf den Punkt:7 „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ Die in dem Volkszählungsurteil zum Ausdruck gebrachten Grundsätze helfen auch heute noch, die Leitlinien des Datenschutzrechts zu verstehen und zu interpretieren. Für die Freiheitsrechte des Einzelnen sind die uns aus dem Datenschutzrecht vertrauten Grundsätze, beispielsweise Transparenz, Richtigkeit, Zweckbindung, essenziell. Auch in der betrieblichen Praxis hilft es immer wieder, sich diese Grundsätze zu vergegenwärtigen. Es wird dann klar, dass es beim Datenschutzrecht nicht um Kontrollrechte im Sinne eines erweiterten Eigentumsrechts geht. Vielmehr schützt die informationelle Selbstbestimmung die Freiheit des Einzelnen. Diese Freiheit des Einzelnen ist nicht unbeschränkt und steht selbstverständlich im Spannungsverhältnis zu den Freiheitsrechten anderer, z. B. des Arbeitgebers. Der Einzelne ist eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit und hat deswegen kein Recht im Sinne einer absoluten Herrschaft über „seine“ Daten. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.8 Das Recht auf Schutz der personenbezogenen Daten muss im Hinblick auf diese gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden9. Die DS-GVO baut auf dem Ansatz der von ihr abgelösten Datenschutzrichtlinie 95/46/EG auf. Sie hat den Anspruch, diesen Ansatz aus den Erfahrungen und der einschlägigen Rechtsprechung der letzten 20 Jahre heraus zu modernisieren. Die DS-GVO enthält eine Reihe neuer Elemente, die einerseits den Schutz der Rechte des Einzelnen stärken sollen, andererseits Unternehmen den Datentransfer im digitalen Binnenmarkt erleichtern werden. Durch die DS-GVO werden die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen („Privacy by Design“ und „Privacy by Default“) eingeführt, um Datenschutzinteressen von Anfang an in Geschäftsprozessen und Produkten, wie z. B. bei datenschützenden Voreinstellungen bei Smartphones, zu berücksichtigen. Die Rechte des Einzelnen werden gestärkt, indem neue Transparenzanforderungen eingeführt werden. Außerdem werden die Rechte auf Information, Zugang und Löschung ausgebaut. Einzelpersonen erhalten auch deswegen mehr Kontrolle über die sie betreffenden Daten. Zusätzlich wird das Recht auf Datenübertragbarkeit eingeführt, welches es den Betroffenen ermöglichen soll, von einem Unternehmen die Rück- oder Weiterübertragung personenbezogener Daten zu verlangen, die der Betroffene dem Unternehmen auf Grundlage einer Einwilligung oder eines Vertrages zur Verfügung gestellt hat. Mit der Verordnung erhalten alle Datenschutzaufsichtsbehörden die Befugnis, Geldbußen gegen Verantwortliche und Auftragsverarbeiter zu verhängen, wobei die Geldbußen bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können. Zusätzlich können Betroffene bei Datenschutzverletzungen Schadenersatz auch für immateriellen Schaden einklagen. Die bislang bestehenden Vorabkontrollpflichten und Meldepflichten werden abgeschafft. Stattdessen gibt es ein für uns in Deutschland neues Instrument, das Risiko vor dem Beginn der Datenverarbeitung zu bewerten. Die Verordnung schreibt eine Datenschutz-Folgenabschätzung vor, wenn die Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen kann. Unternehmen müssen in diesem Fall vorab die Risiken identifizieren und Abhilfemaßnahmen zur Vermeidung der Risiken implementieren. Die Verordnung gilt unmittelbar in allen Mitgliedsstaaten, die jedoch die Grundsätze und Bestimmungen der Verordnung in bestimmten Bereichen konkretisieren können. Für die betriebliche Datenschutzpraxis sind insbesondere die Fragen des Datenschutzes bei Beschäftigung und soziale Sicherheit praktisch relevant. Deutschland hat von diesen Konkretisierungsmöglichkeiten bereits Gebrauch gemacht und mit dem ebenfalls am 25.05.2018 in Kraft getretenen BDSG n. F. nationale Regelungen u. a. im Bereich des Beschäftigten-Datenschutzes geschaffen.10 Auch wenn deutschen Unternehmen viele Prinzipien und Regelungen aus der Datenschutz-Grundverordnung bereits aus der alten Rechtslage - basierend auf der Datenschutzrichtlinie - bekannt sein dürften, begann mit dem 25.05.2018 ein neues Zeitalter. Die bisherige Rechtsprechung der nationalen Gerichte sowie die Verwaltungspraxis der Aufsichtsbehörden der Länder in Deutschland können nicht einfach auf die Datenschutz-Grundverordnung angewendet werden. Da die Verordnung unmittelbar geltendes Europarecht ist, kann es nicht mit rangniederem nationalem Recht ausgelegt werden. Nach der Übergangsphase, die am 25.05.2018 endete, beginnt nun eine Phase der praktischen und europaweiten Findung im europäischen Datenschutzrecht. Denn mit dem Bestreben, europaweit ein möglichst einheitliches Datenschutzregime zu schaffen, ist die Herausforderung verbunden, auch europaweit einheitliche Anwendungs- und Verwaltungspraktiken der Aufsichtsbehörden sicherzustellen. Die Verordnung sieht dazu förmliche Abstimmungsprozesse vor. Das wird seine Zeit benötigen. Deswegen kommen den Leitlinien und Arbeitsunterlagen der bisherigen...