Deutscher Bundestag – 17. Wahlperiode
25 ––
–– 25
die Ergebnisse obligatorisch einem regelmäßigen Monitoring unterzogen werden.
Angesichts der zunehmenden Bedeutung der Anonymisierung und Pseudonymisierung als Mittel zur datenschutzfreundlichen Gestaltung von IT-Systemen und ITProzessen sowie zum Schutz der Privatsphäre bei der
Nutzung von Internetdiensten sollten diese Mechanismen
explizit an zentraler Stelle in den Rechtsakten verankert
werden.
Europaweiter Mindeststandard im Datenschutz
für Beschäftigte
Auch im Beschäftigtendatenschutz verfolgt die Europäische Kommission das Ziel eines hohen gemeinsamen Datenschutzniveaus in der EU. Das ist erfreulich. Ebenso
wie in der nationalen Debatte (vgl. Nr. 13.1) findet der
Beschäftigtendatenschutz aber auch in der DatenschutzGrundverordnung nur wenig Platz, sodass weitreichender
Verbesserungsbedarf besteht, um den großen Herausforderungen hinreichend Rechnung zu tragen.
So soll insbesondere zwar Artikel 82 der DatenschutzGrundverordnung den Mitgliedstaaten die Befugnis eröffnen, eigene Regelungen im Bereich des Beschäftigtendatenschutzes zu treffen – daher auch die in diesem Bereich
geringe Regelungstiefe des Verordnungsentwurfs – dies
allerdings nur „in den Grenzen dieser Verordnung“.
Diese Einschränkung wirft einige Fragen auf, denn jede
spezifische Regelung des nationalen Rechts stellt für sich
genommen eine Abweichung von den Vorgaben der Verordnung dar. Insofern kann die Bezugnahme auf die
„Grenzen dieser Verordnung“ sinnvoll nur so interpretiert
werden, dass das nationale Recht der Terminologie und
den Grundsätzen der Verordnung entsprechen muss und
insgesamt nicht vom Schutzniveau der Verordnung abweichen darf.
Um tatsächlich einen qualifizierten Mindeststandard zu
setzen und somit einen veritablen Mehrwert für den Datenschutz im Beschäftigungsverhältnis zu bringen, sollten
die elementaren Anforderungen des Beschäftigtendatenschutzes eine Regelung in der Verordnung selbst erfahren. Hierbei ist angesichts der Bedeutung und Sensibilität
der Beschäftigtendaten ein hohes Schutzniveau zu gewährleisten. Allerdings ist nicht zu übersehen, dass eine
vollständige europaweite Harmonisierung der spezifischen Anforderungen an den Beschäftigtendatenschutz
auf hohem Niveau nur schwer durchsetzbar sein wird. So
hat die Europäische Kommission ein vor mehr als zehn
Jahren begonnenes Vorhaben zu einem spezifischen
Rechtsakt für den Beschäftigtendatenschutz bereits vor
längerer Zeit mangels Erfolgsaussichten aufgegeben.
Erforderlich ist daher eine ausdrückliche Klarstellung im
Verordnungstext, dass die Verordnung im Bereich Beschäftigtendatenschutz nur einen Mindeststandard setzt,
es den Mitgliedstaaten aber unbenommen bleibt, im Interesse des Datenschutzes weitergehende Anforderungen
zu normieren, damit es jedenfalls nicht zu einer Absenkung des in den Mitgliedstaaten bereits erreichten Schutz-
Drucksache 17/13000
niveaus kommt. Diese Forderung findet sich auch in der
Stellungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 11. Juni 2012 zur
Datenschutz-Grundverordnung und wurde erneut bekräftigt in der Entschließung der 84. Konferenz am 7./8. November 2012 (vgl. Kasten b zu Nr. 2.1).
Erfreulich ist, dass die Datenschutz-Grundverordnung die
Einwilligung als Rechtsgrundlage bei Vorliegen eines wesentlichen Ungleichgewichts zwischen dem Betroffenen
und der verantwortlichen Stelle ausschließt. Damit konkretisiert der Verordnungsentwurf die bereits in der
RL 95/46/EG und im BDSG enthaltene Anforderung der
Freiwilligkeit als Voraussetzung für die Wirksamkeit datenschutzrechtlicher Einwilligungen.
Große praktische Auswirkungen würden sich daraus ergeben, dass eine mitgliedstaatliche Regelung der Verarbeitung personenbezogener Arbeitnehmerdaten nur durch
Gesetz vorgesehen ist. Kollektivvereinbarungen (Betriebsvereinbarungen, Dienstvereinbarungen und Tarifverträge)
werden dort nicht genannt. Ob man den Verordnungsentwurf dennoch so auslegen kann, dass die Mitgliedstaaten
die Ermächtigung auf die Betriebs- und Tarifparteien delegieren dürfen, ist unsicher. Deshalb sollte in der Grundverordnung klargestellt werden, dass auch Kollektivvereinbarungen ausdrücklich als Ermächtigungsgrundlage
für die Datenverarbeitung vorgesehen werden, um das
mithilfe dieses Regelungsinstruments erreichte Datenschutzniveau für die Beschäftigten abzusichern.
Problematisch ist, dass die Europäische Kommission
nach dem Verordnungsentwurf auch für den Beschäftigtendatenschutz ermächtigt werden soll, delegierte Rechtsakte zu erlassen. Der Kommission werden damit ähnliche
Kompetenzen wie den Mitgliedstaaten zur Konkretisierung der Verordnung eingeräumt, so dass das Risiko einer
unübersichtlichen Rechtslage besteht, wenn nationales
Recht und delegierte Rechtsakte widersprüchliche Vorgaben enthalten sollten.
Betriebliche und behördliche Datenschutzbeauftragte –
ein Erfolgsmodell des deutschen Datenschutzrechts
wird europäisch
Zwiespältig ist die in der Grundverordnung vorgesehene
Regelung zum behördlichen Datenschutzbeauftragten. Zu
begrüßen ist zwar, dass Artikel 35 des Verordnungsentwurfs die obligatorische Benennung betrieblicher bzw.
behördlicher Datenschutzbeauftragter vorsieht. Das ist
aus europäischer Sicht ein Fortschritt, denn die geltende
Datenschutzrichtlinie sieht die Benennung interner Datenschutzbeauftragter nur als Option für den nationalen
Gesetzgeber (als Alternative zu umfassenden Meldepflichten gegenüber den Datenschutzaufsichtsbehörden)
vor.
Mit der europaweiten Einführung betrieblicher und behördlicher Datenschutzbeauftragter sollen die bestehenden Meldepflichten für automatisierte Datenverarbeitungen an die Aufsichtsbehörden entfallen. Zu Recht – denn
sie haben sich in der Praxis häufig als bürokratischer Aufwand ohne datenschutzrechtlichen Mehrwert erwiesen.
BfDI 24. Tätigkeitsbericht 2011-2012