In unserem Beitrag Was enthält das Bundesdatenschutzgesetz (BDSG) – Teil 1 in Verbindung mit der europäischen Datenschutzgrundverordnung (DSGVO) haben wir über allgemeine Änderungen und die neuen Maßgaben für einen Datenschutzbeauftragten (DSB) berichtet. In diesem zweiten Teil möchten wir die Neuerungen für Arbeitgeber und -nehmer sowie für Privatpersonen beleuchten.
Der Datenschutz am Arbeitsplatz
Die europäische Kommission hat mit der DSGVO die Regelung der „Datenverarbeitung im Beschäftigungskontext“ (Art. 88 DSGVO) den Mitgliedsstaaten überlassen. Dementsprechend regelt das BDSG mit § 23 die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ für Einwilligungen bei der Verwendung personenbezogener Daten.
Arbeitgeber dürfen die personenbezogenen Daten ihrer Beschäftigten verarbeiten, wenn dafür bestimmte Voraussetzungen erfüllt sind. Zum Beispiel dürfen solche Daten durch ein Unternehmen verarbeitet werden, wenn es um die Entscheidung über den Beginn eines Beschäftigungsverhältnisses geht, ob eines beibehalten oder beendet werden soll oder wenn eine Kollektivvereinbarung (eine Betriebsvereinbarung oder ein Tarifvertrag) vorliegt, die die Rechte und Pflichten der Interessensvertretung des Beschäftigten (etwa Betriebsrat oder Gewerkschaft) berührt.
Als Beschäftigter im Sinne des BDSG gelten Arbeitnehmerinnen und Arbeitnehmer, sowie Azubis, Beamte oder Freiwilligendienstleistende. Auch Bewerberinnen und Bewerber und ehemalige Beschäftigte gelten als Arbeitnehmende im Sinne des BDSG.
Können abhängig Beschäftigte überhaupt eine Einwilligung aussprechen?
Im Zusammenhang mit dem alten deutschen Datenschutzgesetz wurde darüber gestritten, ob ein abhängig Beschäftigter tatsächlich freiwillig einer Verarbeitung seiner Daten einwilligen konnte. Schließlich konnte er befürchten, die Anstellung zu verlieren, wenn er die Einwilligung verweigerte.
Mit dem neuen BDSG wurde diese Frage nun geklärt. Eine Freiwilligkeit soll jetzt daran beurteilt werden, ob sich ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten ergibt, oder ob beide Parteien gleiche Interessen verfolgen. Daher ist im Streitfall eine Einzelfallprüfung nötig. Darüber hinaus muss eine Einwilligung der Beschäftigten immer schriftlich vorliegen und der Arbeitgeber muss nachweisen können, seine Beschäftigte über das Widerrufsrecht informiert zu haben.
Datenschutzneuerungen für Privatpersonen
Besonders sensible Daten werden erhoben, wenn es um die Kreditwürdigkeit von Menschen geht. Solche Scoring-Verfahren und Bonitätsauskünfte, wie sie bei Kreditkartenanträgen oder Schufaauskünften eingeholt werden, werden neu geregelt und sollen nicht nur die Daten der Verbraucher schützen, sondern für ein gerechteres Verfahren sorgen.
Bonitätsauskünfte dürfen von nun an nur noch dann verwendet werden, wenn alle Anforderungen, die der Gesetzgeber nun stellt, eingehalten wurden. So werden die Dienstleister selbst in die Pflicht genommen, auf den Datenschutz zu achten.
Bei der Errechnung eines Wahrscheinlichkeitswertes, wie kreditwürdig zum Beispiel ein Bankkunde sein wird, dürfen nicht mehr – wie zuvor üblich – Adressdaten herangezogen werden, sondern Entscheidungen müssen nun anhand eines wissenschaftlich anerkannten, mathematischen Verfahren getroffen werden.
Für die Bonitätsauskünfte dürfen nun auch nur die Forderungen an einen Schuldner herangezogen werden, die der Schuldner auch tatsächlich anerkannt hat oder die unzweifelhaft diesem Schuldner zuzuordnen sind.
Wenn heute ein Kreditinstitut einem Verbraucher ein Darlehen aufgrund von Bonitätsauskünften verwehrt hat, muss es von selbst dem Kunden nicht nur über die Entscheidung informieren, sondern darüber wie diese Entscheidung zustande gekommen ist und über Bonitätsauskunft, auf deren Basis die Entscheidung getroffen worden ist.
Bußgelder und Strafen im BDSG
Zusätzlich zu den Bußgeldern die entsprechend der DSGVO erhoben werden können, enthält auch das BDSG Sanktionen. Da die europäische Kommission keine Strafen erheben kann, obliegt diese Regelung den europäischen Nationalstaaten. Im BDSG regelt die Strafen für Verstöße in § 42.
Jemand, der personenbezogene Daten ohne Berechtigung erworben oder verarbeitet hat, durch falsche Vorgaben erschlichen hat oder die Absicht hatte sich mit diesen Daten zu bereichern oder jemanden zu schädigen, kann mit einem Bußgeld oder einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden. Wenn jemand die Daten einer großen Anzahl von Personen unrechtmäßig verarbeitet, weitergegeben oder veröffentlicht hat, kann mit einem Bußgeld oder sogar mit einer Freiheitsstrafe von bis zu drei Jahren rechnen.
Mit der DSGVO und dem BDSG wurde der Datenschutz in vielen Fällen neu und umfassend geregelt. Es gibt dennoch Aspekte, die das Gesetz noch nicht ganz klar definiert. Daher ist auch jetzt noch mit weiteren Änderungen zu rechnen. Außerdem werden Gerichte in den nächsten Jahren über Fälle entscheiden müssen, in denen das BDSG noch ausgelegt werden muss.