Zusammengefasst soll die Verarbeitung künftig für Zwecke des Beschäftigtenverhältnisses, der Aufdeckung von Straftaten, des Betriebsverfassungsrechts oder auch mit Einwilligung des Arbeitnehmers zulässig sein. Daneben wird eine Regelung für den Umgang mit besonderen personenbezogenen Daten eingeführt, und Betriebsvereinbarungen werden ausdrücklich als Grundlagen für den Umgang mit Beschäftigtendaten anerkannt.
Die Einwilligung wird jetzt als Rechtsgrund anerkannt – sofern sie freiwillig erteilt wird. Das Gesetz sieht vor, dass eine Freiwilligkeit ua. dann gegeben ist, wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder wenn beide Parteien gleichgelagerte Interessen verfolgen. Als Beispiele werden die Einführung eines betrieblichen Gesundheitsmanagements, die Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen, die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder auch die Nutzung von Fotos für das Intranet angeführt. In jedem Fall ist die konkrete Situation bei Prüfung der „Freiwilligkeit“ zu berücksichtigen. Bewerber werden z.B. anders zu beurteilen sein als Arbeitnehmer, da sie sich in einer schlechteren Position gegenüber einem künftigen Arbeitgeber befinden als bereits fest angestellte Arbeitnehmer.
Besondere personenbezogene Daten sollen künftig ohne Einwilligung verarbeitet werden können, wenn es für Zwecke der Ausübung von Rechten und Pflichten aus dem Arbeitsrecht, des Rechts der sozialen Sicherheit oder auch des Sozialschutzes erforderlich ist und wenn keine schutzwürdigen Interessen der Beschäftigen entgegenstehen.
Entdecken Sie weitere Programminhalte der IDACON
Hinsichtlich der Beauskunftung von Mitarbeitern wird wohl die DSGVO Anwendung finden. Arbeitgeber müssen jedenfalls auch im Umgang mit den Mitarbeiterdaten die in Art. 5 DSGVO normierten Grundsätze umsetzen und nachweisen. Danach muss der Arbeitgeber z.B. nachweisen, dass er die Grundsätze der Transparenz, Zweckbindung und Datensparsamkeit sowie angemessene technisch-organisatorische Maßnahmen umsetzt oder auch die Daten rechtmäßig verarbeitet. Das umfasst u.a. eine umfangreiche Information der Beschäftigten über den Umgang mit ihren Daten.
Das DSAnpUG ist erheblicher Kritik ausgesetzt, da es nach vielfacher Ansicht den Standard der DSGVO senkt. Es empfiehlt sich daher, den Gesetzgebungsprozess weiter zu verfolgen. Es bleibt abzuwarten, welchen Inhalt das DSAnpUG letztlich haben wird und welcher konkrete Handlungsbedarf für Arbeitgeber im Bereich des Beschäftigtendatenschutzes entstehen wird. Da Unternehmen aber ohnehin die Anforderungen der DSGVO bis Mai 2018 umsetzen müssen, sollte bereits jetzt geprüft werden, welcher Handlungsbedarf neben dem Beschäftigtendatenschutz besteht und mit der Umsetzung der weiteren Anforderungen der DSGVO begonnen werden. Der Beschäftigtendatenschutz ist letztlich nur ein kleiner Teil aus einem großen Anforderungskatalog.