JurPC Web-Dok. 75/2016 - DOI 10.7328/jurpcb201631576

Michael Wächter *

Datenschutz-Grundverordnung und Personalarbeit

JurPC Web-Dok. 75/2016, Abs. 1 - 92


Übersicht:Abs. 1
I. Neubeginn mit EU-Datenschutz-GrundverordnungAbs. 2
II. Privacy Protection durch Organisation und TechnikAbs. 3
III. Prinzipien für datenschutzkonforme PersonalarbeitAbs. 4
I. Neubeginn mit EU-Datenschutz-GrundverordnungAbs. 5
Die neue Datenschutz-Grundverordnung (DS-GVO) wird das Datenschutzrecht nachhaltig verändern. Viele Fragestellungen der Rechtsanwendung sowie der Schaffung spezieller Regelungen müssen nun Schritt für Schritt überdacht werden. Für den Datenschutz wird damit ein neues Koordinatensystem des Datenschutzrechts geschaffen. Ein Teilbereich der Anwendung der DS-GVO – die Personalarbeit – soll in diesem Beitrag in den Blick genommen werden, um die Bedeutung der neuen Regelungen und Prinzipien auch vor dem Hintergrund der technischen Entwicklungen zu betrachten.Abs. 6
Für den Datenschutz als zentralem Rechtsbaustein einer modernen digitalen Gesellschaft muss in den Unternehmen Akzeptanz für die neuen Regelungen und Auflagen der DS-GVO geschaffen werden. Der für den Datenschutz Verantwortliche ist nach Art. 4 Nr. 7 i.V.m. Art. 24 DS-GVO die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.Abs. 7
Der Verantwortliche muss die Rechtmäßigkeit von personenbezogenen Datenverarbeitungsvorgängen nach Art. 6 ff. DS-GVO gewährleisten und geeignete Maßnahmen – im Besonderen zur Umsetzung und Implementierung der Regelungsvorgaben der Art. 12 ff. (Transparenz), 21 (Widerspruchsrecht), 22 (Automatisierte Entscheidung, Profiling) und 32 ff. (Maßnahmen zur Datensicherheit), 37 bis 39 (Benennung eines Datenschutzbeauftragten) und 44 ff. (Datenübermittlung an Drittländer) DS-GVO –treffen.Abs. 8
Für die personenbezogene Verarbeitung ist grundsätzlich die Hauptniederlassung des Unternehmens verantwortlich. Dies ist der Ort, an welchem nach Erwägungsgrund (ErwGr.) 36 DS-GVO Grundsatzentscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Datenverarbeitung getroffen werden. Das bedeutet, dass Unternehmen nach der DS-GVO eine hohe Organisationsverantwortung übertragen wird. Denn in den verschiedenen Bereichen des Unternehmens erfolgt durch Fachbereiche und Mitarbeiter heute gerade in Dienstleistungsunternehmen und arbeitsteiligen Organisationen eine breit angelegte Datenverarbeitung im Rahmen der Technologie-, Markt- und Organisationsdynamik.[1]Abs. 9
Angesichts der großen Transparenz- und Dokumentationsanforderungen wird nunmehr ein präzises Datenschutz-Management erforderlich sein. Dies betrifft in besonderer Weise die Büroorganisation.[2] Der von der DS-GVO vorgegebene Grundsatz der Transparenz wird dazu führen, dass nach der DS-GVO dateschutzrelevante Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache zugänglich sein müssen. Insofern wird es in Unternehmen vermehrt darum gehen, personenbezogene Daten in einer klaren Struktur zu verarbeiten und dies entsprechend zu dokumentieren. Ferner wird es darum gehen, Zweckbindung und Fairness als wesentliche Datenschutzgrundsätze noch stärker zu etablieren (ErwGr. 39 DS-GVO). Auf der operativen Ebene bedeutet dies, dass personenbezogene Daten für den Verarbeitungszweck angemessen und erheblich sein müssen.Abs. 10
Nun wurde der Arbeitnehmerdatenschutz, der in der Personalarbeit zu berücksichtigen ist, in der DS-GVO nicht ausdrücklich geregelt. Es gelten damit für den Arbeitnehmerdatenschutz die allgemeinen Regelungen der DS-GVO als bindende Vorschriften zum Datenschutz. Art. 88 DS-GVO sieht allerdings vor, dass die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zum Arbeitnehmerdatenschutz schaffen können.[3] Nach wie vor wird für den Datenschutz damit der Abschluss von Betriebsvereinbarungen von elementarer Bedeutung zu sein (ErwGr. 155 DS-GVO). Dies um eine spezifische betriebliche Rechtsgrundlage zu schaffen und damit die Einwilligungen der Arbeitnehmer, sofern erforderlich, zu ersetzen.[4]Abs. 11
Im Moment wird sich die Personalarbeit in der Praxis weiterhin auf Grundlagen des § 32 BDSG stützen, aber bereits schon die neue gesetzliche Auflagen der DS-GVO berücksichtigen müssen. Insofern ist es von Vorteil, wesentliche Datenschutz-Prinzipien der DS-GVO für den Schutz natürlicher Personen in ihren Freiheitsrechten, gerade auch im betrieblichen Bereich, zu betrachten. Denn diese Prinzipien werden die künftigen Kerntatbestände des Datenschutzrechts bestimmen. Das bedeutet, dass in Unternehmen bestehende Geschäftsmodelle und Beschäftigungsbedingungen auf ihre Konformität zur DS-GVO zu überprüfen sind.Abs. 12
Die neue Grundverordnung hat nach Art. 6 I DS-GVO für den nicht-öffentlichen Bereich das Regelungsziel, den digitalen Binnenmarkt zu harmonisieren und eine einheitliche, unmittelbar geltende und auch prinzipiell abschließende Regelung für ein gleichmäßiges Datenschutzniveau bei einem freien Datenverkehr in Europa zu schaffen. Künftige nationale gesetzliche Anpassungsschritte werden sich an diesem Konzept orientieren müssen. Nicht möglich wird es deshalb sein, künftig von den Grundaussagen der DS-GVO abweichende gesetzliche Regelungen zu schaffen, die weder durch einen Regelungsauftrag für die Mitgliedstaaten oder eine Öffnungsklausel der DS-GVO vorgegeben sind. Das allgemeine Regelungskonzept für einen neuen Datenschutz und seine nach Art. 12 ff. DS-GVO definierten Betroffenenrechte ist damit sehr weitgehend festgelegt.Abs. 13
Dies hat zur Konsequenz, dass bereichsspezifische Anpassungsschritte nach dem Konzept der europäischen Harmonisierung eher auf eine Ausdifferenzierung und Fortschreibung auf europäischer Ebene abzielen werden. Dies verdeutlicht auch der Umstand, dass die Verordnung - anders als § 1 III S. 1 BDSG[5] – nicht vorsieht, dass andere Rechtsvorschriften zur personenbezogenen Datenverarbeitung den Vorschriften der Verordnung vorgehen. Insofern wurde das Subsidiaritätsprinzip für das BDSG als Grundgesetz des Datenschutzrechts für die neue Datenschutzordnung richtigerweise aufgegeben. Die Mitgliedstaaten haben aber nach ErwGr. 10 DS-GVO den Spielraum für die Spezifizierung bestimmter Vorschriften. Für die Anwendung dieser Vorschriften gilt nach dem Grundsatz der Spezialität dann, sofern sie der DS-GVO nicht widersprechen, als speziellere Regelungen ihr Vorrang im Rahmen ihres spezifischen Regelungsinhalts vor der DS-GVO.Abs. 14
Betrachtet man den Datenschutz als europäisches Projekt, ist die Quantität der durch die DS-GVO in Europa geregelten personenbezogenen Datenverarbeitungen eine qualitative Verbesserung des Datenschutzes. Dies im Hinblick auf eine Konsistenz der europäischen Regelungen und die damit geschaffene Rechtssicherheit. Insofern beinhaltet die DS-GVO eine strukturelle Verbesserung des Datenschutzes. Und dies unabhängig von der Fragestellung wie man das durch die neue DS-GVO geschaffene Datenschutzrecht im Hinblick auf seine Regelungsinhalte und Regelungstiefe bewertet.Abs. 15
Durch weitere Anpassungsschritte werden im Datenschutzrecht künftig – als Reaktion auf technische Entwicklungen – weitere Regelungen geschaffen. Und dies in einem Prozeß von trial and error zur Festlegung neuer Verhaltensmuster Schritt für Schritt.[6] Auf der anderen Seite ist damit aber auch der nationale Spielraum zu Regelungen im Arbeitnehmerdatenschutz faktisch eingeschränkt. Dies betrifft im wesentlichen die Definitionen und Grundaussagen der DS-GVO. So fallen z. B. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nach ErwGr.15 DS-GVO – anders als noch nach § 32 II BDSG[7] - nicht in den Anwendungsbereich der Verordnung.Abs. 16
Politische, ökonomische und juristische Entscheidungen werden sich künftig in einem zunehmend europäischen Rahmen bewegen. Dies betrifft auch die Frage der staatlichen Souveränität, die entsprechend modifiziert bzw. eingeschränkt wird. Auf der anderen Seite wird die Problemlösungsfähigkeit der Demokratie bei Fragen der Digitalisierung erhöht. Denn diese Fragen sind allein nationalstaatlich nicht mehr effizient lösbar. Das normative Steuerungssystem mit verbindlichen Regelungen des Datenschutzes liegt bei der DS-GVO. Die Verordnung ist dazu ein modernes Werkzeug, welches Verantwortung im Rahmen der neuen Verhältnisse auch neu zuschreibt.[8]Abs. 17
Eine personenbezogene Verarbeitung kann durch berechtigte Interessen eines Verantwortlichen oder eines Dritten begründet sein, sofern die Interessen oder Rechte der betroffenen Person nicht überwiegen (ErwGr. 44, 45, 47 DS-GVO). Allerdings ist immer auch zu bedenken, ob die betroffene Person vernünftigerweise mit der weiteren Verarbeitung ihrer Daten rechnen musste, weil z. B. wie bei einem Bewerber für einen Arbeitsplatz, im konkreten Fall die Daten für den geplanten Abschluss eines Vertrages erforderlich sind. Sollten die Daten für andere Zwecke verarbeitet werden, sind bei der Bewertung der Zulässigkeit der Kontext der Datenerhebung und die Folgen für den Betroffenen zu berücksichtigen (ErwGr. 50 DS-GVO). Jedenfalls ist dann aber die Person über den anderen Verarbeitungszweck und ihr Widerspruchrecht zu unterrichten.Abs. 18
II. Privacy Protection durch Organisation und TechnikAbs. 19
In ErwGr. 15 DS-GVO wird ausgeführt, dass der Schutz von natürlichen Personen technikneutral ist und nicht von den verwendeten Techniken abhängen soll. Erforderlich ist lediglich der Bezug zur automatisierten Datenverarbeitung. Diese Aussage bezieht sich auf den Schutzumfang der DS-GVO. Auf der anderen Seite ist es jedoch von Bedeutung die Technikentwicklung zu betrachten, um die Schutzanforderungen für den Datenschutz in seiner praktischen Umsetzung effizient gestalten zu können. Dies hat auch Voraussetzung dafür, Datenschutz durch Technik gewährleisten zu können.Abs. 20
Um die Herangehensweise Datenschutz durch Technik auch terminologisch gut zu fassen, bietet sich für den neuen Datenschutz des DS-GVO der Begriff Privacy Protection an. Denn es geht in der DS-GVO um Methoden zur operativen Umsetzung von Privacy Protection (Datenschutz) und deren technische Aspekte der Data Protection (Datensicherheit), also um den Schutz von Privatsphäre und Informationen bei Datenverarbeitungsvorgängen.Abs. 21
Bei dieser Sichtweise wird auch deutlich, dass es bei der von der DS-GVO vorgegebenen Datenminimierung darum geht, diese deshalb vorzunehmen, weil moderne Verarbeitungsverfahren wie Cognitive Computing die Zielsetzung haben, Daten in Wissen zu transformieren. Diese Transformation muss dann sowohl unter dem Aspekt der Grundrechte von Personen als auch zur Gewährleistung eines freien Datenverkehrs in einem vernünftigen Rahmen gesteuert werden. Das Konzept der Privacy Protection beschreibt das Freiheitsrecht auf Privatheit insofern auf Basis seiner weitreichenden technischen und gesellschaftlichen Implikationen.Abs. 22
Es geht damit um eine datenschutzkonforme Technikgestaltung. Personenbezogene Datenverarbeitung ist damit datensparsam zu implementieren. Hierbei sind die Prinzipien von Datenschutz by Design und Datenschutz by Default zu berücksichtigen (Art. 25, 32 DS-GVO). Der Betroffene soll darauf vertrauen können, dass die grundsätzlichen Datenschutzanforderungen bei einem informationstechnischen System bzw. auch vernetzter Datenverarbeitung erfüllt werden. Beinhaltet die Form einer Verarbeitung ein hohes Risiko für Rechte und Freiheiten von Personen, so ist vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DS-GVO).Abs. 23
Bei Privacy by Default geht es um eine datenschutzfreundliche Technikeinstellung. Beim Privacy by Design werden bereits in der Phase der Technikentwicklung proaktiv die mit der späteren Nutzung verbundenen datenschutzrechtlichen Anforderungen berücksichtigt. Dies umfasst Anonymisierungs- und Pseudonymisierungstechniken, integrierte Verschlüsselungsmethoden und die Begrenzung der Datenverarbeitung im Sinne einer Datenminimierung auf das notwendige Maß. Zielsetzung ist es hierbei, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die wirklich notwendig sind. Es geht damit um eine proaktive Datenschutzsteuerung durch digitale Systeme bzw. Systems Engineering im Sinne der Implementierung und organistaorischen Umsetzung einer datenschutzfreundlichen Technologie.[9]Abs. 24
Hinzu kommen muss eine soziale Stückwerktechnik im Rahmen eines experimentierenden Ansatzes, die das Datenschutzrecht - wie im ErwGr.4 DS-GVO beschrieben - auch im Hinblick auf seine gesellschaftliche Funktion unter Wahrung der Verhältnismäßigkeit betrachtet.[10] Sowohl Technik als auch Organisation müssen insofern die gesellschaftlichen Implikationen der IT betrachten. Insofern ist auch zu fragen, welche Folgen eine Verarbeitung für eine Person hat, z. B. bei einer beabsichtigten Weiterverarbeitung für einen anderen Zweck (Art. 5 I b) i.V.m. Art. 6 IV d) DS-GVO; vgl. auch ErwGr. 50 DS-GVO) und in besonderen Fällen, ob eine Verarbeitung auch im Interessse der Gesellschaft insgesamt ist (ErwGr. 53 DS-GVO).Abs. 25
Die Frage der verfügbaren Technologien sowie die technologischen Entwicklungen sind nach ErwGr. 26 DS-GVO auch für die Beantwortung der Frage zu berücksichtigen, ob eine identifizierbare natürliche Person vorliegt, auf welche die Grundsätze des Datenschutzrechts anwendbar sind. Die Einwilligung der betroffenen Person soll nach der DS-GVO durch eine eindeutige bestätigende Handlung erfolgen. Dies kann nach ErwGr. 32 DS-GVO durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft erfolgen. Auch an dieser Stelle kann Technik datenschutzkonform gestalten.Abs. 26
Die digitale Transformation in Staat, Wirtschaft und Gesellschaft wird in ein Feld führen, welches die kognitive Nutzung der Datenverarbeitung betrifft. Personenbezogene Datenverarbeitung und deren Anwendungsfelder werden sich in einer größeren Geschwindigkeit als bisher entwickeln. Es wird eine gegenseitige Orientierung von Technik und Recht erfolgen, die als Koevolution begriffen werden kann.Abs. 27
Lösungen werden kognitiv und die Cloud wird dazu als Plattform dienen, diese umzusetzen. Datenschutz ist damit eine Reaktion auf eine Technologie, die sich permanent verändert. Damit steht Datenschutz als Rechtsmaterie inmitten einer Koevolution von Technik und Recht. Dabei bestimmt die Entwicklung der Technologie die Erarbeitung und Fassung rechtlicher Standards. Grafisch kann dies wie folgt dargestellt werden.Abs. 28
I. Entwicklung von Unternehmens-OrganisationenAbs. 29
-------- 1. Stufe: zentral, hierarchisch ---------------------->Abs. 30
-------- 2. Stufe: dezentral, empowered -------------------->Abs. 31
-------- 3. Stufe: vernetzt, horizontal ------------------------->Abs. 32
-------- 4. Stufe: Matrix, virtuelle Teams ----------------------> Abs. 33
II. Entwicklung der Unternehmens-DatenverarbeitungAbs. 34
------- 1. Stufe: Rechenzentrum, zentral -------------------->Abs. 35
------- 2. Stufe: Unternehmensbereiche, verteilt ---------->Abs. 36
------- 3. Stufe: Individuen, ortsunabhängig ---------------->Abs. 37
------- 4. Stufe: Automation, Cloud, Cognitive ------------->Abs. 38
III. Entwicklung der Technologie in der WirtschaftAbs. 39
-------- 1. Stufe: Zentralrechner, Mainframe --------------->Abs. 40
-------- 2. Stufe: Einzelplatz PC, persönlich ---------------->Abs. 41
-------- 3. Stufe: Netzwerke, dynamisch, individuell ------>Abs. 42
-------- 4. Stufe: Robotik, Transhumane IT -----------------> Abs. 43
Diese Entwicklung von Organisation und Technik muss mit datenschutzrechtlichen Maßnahmen begleitet werden, um das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten. Dies wird besonders deutlich, wenn man verfolgt, dass die Granularität, d.h. das Maß der technischen Auflösung immer feinkörniger wird. Jeder Mensch hat danach eine spezifische Datensignatur.Abs. 44
Je mehr Daten es gibt, desto deutlicher und unverwechselbarer werden die individuellen Merkmale von Menschen. Desto mehr wird die Intransparenz der einzelnen Menschen aufgelöst. Der Filter der Zuordnung zu einer Gruppe fällt weitgehend weg. Die Gesellschaft insgesamt wird heterogener. Dadurch wird es schwieriger, gemeinsam soziale Probleme zu lösen.[11] Die Frage des Persönlichkeitsschutzes und der Gleichbehandlung wird neu gestellt.Abs. 45
Diese technisch-organisatorische Implementierung betrifft die Gewährleistung der rechtlichen Maßstäbe, die einen grundlegenden Schutz der Menschenwürde bei der personenbezogenen Datenverarbeitung vorsehen. Artikel 16 des Vertrages der Arbeitsweise der europäischen Union (AEUV) legt fest, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Hinzu kommt die Verschrift von Art. 8 der Charta der Grundrechte der Europäischen Union (GRC), welche zentrale Betroffenenrechte festlegt. Insofern kommt hier die Einsicht zum Tragen, dass die Selbstverwirklichung des Einzelnen, seine Menschenwürde und Privatsphäre als rechtliche Richtigkeitskriterien zu verstehen sind.[12]Abs. 46
Der Schutz der eine Person betreffenden personenbezogenen Daten und das Recht der Person, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken, wird ergänzt durch die Verpflichtung der verantwortlichen Stelle, Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage zu verarbeiten. Der Datenschutz wird darüber hinaus nach Art 7 GRC durch einen Persönlichkeits- und Privatsphäreschutz ergänzt, der die Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation schützt. Datenschutz wird nach der DS-GVO insofern sehr umfassend gedacht. Abs. 47
Die Entwicklung der Rechtsmaterie Datenschutz und dessen Regelungsgegenstand ist in einer Zeit schneller technischer und gesellschaftlicher Entwicklungen ein wichtiges Thema. Deshalb ist es immer auch wichtig, den Bereich der Rechtsinformatik als Teil dieses Rechtsgebiets zu betrachten. Dies auch basierend auf Bemühungen und Einsichten der Rechtstheorie, um den wissenschaftlichen Charakter des Datenschutzrechts fortzuentwickeln, dessen Rechtsanwendungsergebnisse weitgehend überprüfbare Theorien sind.[13]Abs. 48
Vor diesem Hintergrund ist Datenschutzrecht auch als ein Teilbereich des gesellschaftlichen Prozesses globaler Digitalisierung zu betrachten. Zentral sind hierbei die zu erarbeitenden Schutzkonzepte für Betroffene.[14] Hinzu kommt im Rahmen der Massendatenverarbeitung auch Fragen des gesellschaftlichen Informationsgleichgewichtes.[15]Abs. 49
Das Konzept der Privacy Protection - als Schutz von Privatheit - beinhaltet einen rechtlich begründeten Persönlichkeits- und Privatsphäreschutz unter Berücksichtigung technischer und betrieblich-organisatorischer Gegebenheiten. Es dient der Wahrung der Freiheiten in der Informationsgesellschaft. Die Fortentwicklung von Personalarbeit und Datenschutz findet hierbei – so vorliegende These – im Rahmen einer Koevolution statt. Koevolution bedeutet den durch die technische Entwicklung in Gang gesetzten Entwicklungs- und Veränderungsprozess der wechselseitigen Anpassung interagierender Geschäftsfelder und Gegenstandsbereiche, vorliegend von Datenverarbeitung und Personalarbeit.Abs. 50
Die Standardisierung von Managementprozessen in Unternehmen und einer gleichzeitigen Individualisierung der Personalarbeit, hat zu einer umfangreicheren Verarbeitung beschäftigtenbezogener Daten geführt. Deren Datenschutzkonformität nach § 32 BDSG muss sich nun an den Prinzipien der DS-GVO orientieren. Ein Verständnis der Datenverarbeitungsprozesse und deren datenschutzrechtliche Zulässigkeiten bedarf hierbei zu deren zutreffenden rechtlichen Bewertung eines Verständnisses der genutzten Technologie.Abs. 51
Betrachtet man die Entwicklungsschritte der Datenverarbeitung, des Einsatzes von Technologie und von Unternehmensorganisationen wird deutlich, dass Datenschutz eine Reaktion auf diese Entwicklungsschritte ist. Die Nutzung personenbezogener Datenverarbeitung wird hierbei immer mehr durch Technologie und den individuellen Einsatz bestimmt. Datenverarbeitung wird zum Werkzeug. Insofern muss auch die DS-GVO als Werkzeug begriffen werden, Privatsphäre- und Persönlichkeitsschutz in einem jeweils sich verändernden Umfeld zu gewährleisten.Abs. 52
Datenschutz wird heute in einem umfassenderen Sinn wichtiger. Und dies bei gleichzeitigem teilweisem Wegfall von Unternehmensgrenzen. Dies verstärkt durch die Nutzung nicht-proprietärer IT-Systeme im Rahmen von Cloud Computing. Denn über das Cloud-Computing lassen sich Anwendungen, Daten und IT-Ressourcen vereinen und werden dem Anwender über Netzwerke zur Verfügung gestellt. Die darunter liegende Implementierung der IT-Infrastruktur wird automatisiert.Abs. 53
Kognitives Computing ist eine neue Art der Interaktion von Mensch und Maschine. Kognitionsbasierte Systeme sind lernfähige IT-Systeme, die Informationen aus unstrukturierten Daten generieren, um relevante Antworten auf Fragestellungen zur Verfügung zu stellen. Diesen Bereich der Datenverarbeitung und seiner gesellschaftlichen Veränderungen muss das Datenschutzrecht aktiv und konstruktiv begleiten.Abs. 54
III. Prinzipien für datenschutzkonforme PersonalarbeitAbs. 55
Die Arbeitswelt verändert sich in zunehmend. Arbeitgeber müssen z. B. den Bewerbungsprozess und die Beschäftigungsbedingungen aufgrund der sich ständig verändernden Marktanforderungen deshalb flexibel und effizient gestalten. Dies bedeutet auf der einen Seite, den Erwartungen der Arbeitnehmer gerecht zu werden, auf der anderen Seite aber auch, entsprechende Datenanalysen und Personalmanagement-Systeme für die Personalarbeit einzusetzen.Abs. 56
Skill-Erfassung und Skill-Management von Arbeitnehmern wird hierbei für die Einsatzplanung der Mitarbeiter und die Planung der dazu erforderlichen Schulungen von immer größerer Bedeutung, damit die Unternehmen den sich verändernden Marktanforderungen im Rahmen ihres Geschäftsmodells anpassen können. Die Personalarbeit wird hierbei end-to-end durch Informationstechnologie unterstützt.Abs. 57
Insofern verändert sich nicht nur die Technik, sondern auch die Personalarbeit und die daran geküpften Anforderungen an den Daten- und Persönlichkeitsschutz. Denn nicht nur die Personlarbeit, sondern auch die Nutzung von Informationstechnologie durch die Mitarbeiter selbst nimmt zu. So findet deren Einarbeitung und auch Umsetzung ihrer Tätigkeit unter Nutzung von Tools und Datenbanken sowie von Collaboration Tools und Social-Tools zur unternehmensinternen Zusammenarbeit und Kommunikation statt. Hinzu kommt, dass die Fachbereiche vernetzt werden, um die Umsetzung arbeitsteiliger Tätigkeiten durch schnelle Abstimmungsprozesse und erforderliche Informationskaskaden schnell und unbürokratisch zu ermöglichen.Abs. 58
Viele Unternehmensprozesse sind in ihrer datenschutzrechtlichen Gestaltung noch auf geschlossene Prozesse angelegt und auch im Rahmen ihrer Compliance auf das BDSG abgestimmt. Beide Gesichtspunkte müssen nun an das neue Datenschutzkonzept der DS-GVO angepasst werden. Insofern ist auch für den betrieblichen Bereich die Einführung der DS-GVO ein Neubeginn. Die Fragestellungen der Datenschutzpraxis bleiben, sie sind aber zum Teil neu zu beantworten. Ein besonderer Punkt ist hierbei das Profiling, welches sich auf Verarbeitungen bezieht, die persönliche Aspekte eines Arbeitnehmers adressiert, um seine Arbeitsleistung zu analysieren oder vorherzusagen (Art 22 i.V.m. Art. 4 Nr. 4 DS-GVO).Abs. 59
Im Besonderen ist zu betrachten, ob nun Personalprozesse verändert werden müssen. Zusätzliche Pflichten aus der DS-GVO werden zu neuen organisatorischen Anforderungen führen, um die entsprechende Transparenz der personenbezogenen Datenverarbeitung herzustellen.Abs. 60
Die Datenschutzorganisation wird mit Einführung der DS-GVO einen noch höheren Stellenwert einnehmen, um die neuen Datenschutzvorgaben in den betrieblichen Abläufen fest zu etablieren. Datenschutz wird damit fest verankert, seine Vorgaben sollten aber auch pragmatisch und damit praxistauglich umgesetzt werden. Hierbei sind Datensparsamkeit und betriebliche Notwendigkeit in ein angemessenes Verhältnis zu geschäftlichen Notwendigkeiten zu setzen.Abs. 61
Für den Bereich besonderer Kategorien personenbezogener Daten sieht Art. 9 II DS-GVO eine Klausel vor, wonach bei besonders sensiblen Daten wie z. B. zur ethnischen Herkunft, weltanschaulichen Überzeugung oder Gewerkschaftszugehörigkeit eine Datenverarbeitungszulässigkeit gegeben sein kann, wenn eine ausdrückliche Einwilligung vorliegt oder die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person Pflichten oder Rechten aus dem Arbeitsrecht nachkommen kann (Art. 9 II a), b)). Dies verdeutlicht, dass die DS-GVO immer auch notwendige Abwägungserfordernisse im Blick hat.Abs. 62
Die Einheitlichkeit der DS-GVO als europäischer Integrationsschritt bringt mehr Rechtssicherheit. Insofern sollte die neue DS-GVO als Chance und europäischer Kulturwechsel begriffen werden. Dazu gehören im Besonderen die Ansatzpunkte, Datenschutz durch Technik sicher zu stellen und das Prinzip der Datensparsamkeit intensiver zu etbalieren. Abs. 63
Die informationelle Selbstbestimmung dient dem Schutz der Autonomie. Sie ist Grundbedingung der kommunikativen Kompenz des Einzelnen.[16] Diese Anforderung der nationalen Verfassungsordnung bleibt unberührt (ErwGr. 41 DS-GVO). Insofern ist nach wie vor im Arbeitnehmerdatenschutz auch das Recht auf informationelle Selbstbestimmung von Bedeutung. Von Bedeutung ist insgesamt auch der Schutz bei einem Ungleichgewicht von betroffener Person und Verantwortlichem (ErwGr. 43 DS-GVO). Dies betrifft Machtassymetrien zur Wahrung von Freiheit und Gleichheit als Ausprägung des Rechts auf freie Entfaltung.Abs. 64
Dies gerade auch vor dem Hintergrund, dass bei der heute granularen Datenverarbeitung nicht nur die Gesamtheit der Arbeitnehmerschaft zu sehen ist, sondern immer genauer auch die individuelle Verarbeitung von Daten über den Einzelnen, z. B. über seine individuelle Arbeitsleistung. Hier stellt sich das Problem der rechtlichen Gleichheit, des Persönlichkeitsschutzes und der betrieblichen Gleichbehandlung auf neue Weise.Abs. 65
Der Filter über die Zuordnung zu einer Gruppe als Schutzmechanismus für den Einzelnen fällt weg. Dem muss das Datenschutzrecht durch Einhaltung seiner Kernprinzipien zu begegnen. Im Besonderen ist dafür zu sorgen, dass die betroffene Person Informationen präzise und leicht zugänglich erhält und sie damit ein Gegengewicht zur granularen IT eine Transparenz über die über sie verarbeiteten Informationen erhält (ErwGr. 58 bis 65 und Art. 12 ff. DS-GVO). Hinzu kommt das Recht auf Vergessen als Ausweitung des Rechts auf Löschung von Daten (ErwGr. 66 bis 68, Art. 16, 17 DS-GVO). Hinzu kommt schießlich noch das Recht auf Datenübertragbarkeit (ErwGr. 84, Art. 20 DS-GVO).Abs. 66
Damit nimmt das Schutzelement Datenschutz im Gesamtrechtssystem – nunmehr aufgrund der zu erbringenden weitgehenden neuen technischen und organisatorischen Maßnahmen zur Gewährleistung dieses Rechts – einen hohen Aufmerksamkeitsgrad ein. Dabei stehen im Zentrum der Anwendung der DS-GVO die Berücksichtigung der Art. 7 und 8 GRC (ErwGr.1 DS-GVO).Abs. 67
Es geht dabei auch um wichtige Güterabwägungen zwischen berechtigten Datenübermittlungen auf Basis des Art. 8 GRC. Der berechtigte Zweck muss in einem angemessenen Verhältnis zum Grundrechtsschutz stehen. Art. 7 und 8 GRC sind allerdings Werte, die nicht zur Disposition stehen. Insofern ist bei der Nutzung personenbezogener Daten immer nach einer das Persönlichkeitsrecht weniger einschneidenden Maßnahme zu suchen.Abs. 68
Bei der Personalarbeit geht es insofern vor dem Hintergrund von § 32 BDSG und der DS-GVO um die Einhaltung von Pflichten der verantwortlichen Stelle wie sie die Zulässigkeiten der Datenverarbeitung, der Umsetzung von Adminstrationsanforderungen und auch der Umsetzung von Datensicherheit darstellen. In besonderer Weise sind hier auch Transparenz- und Auskunftspflichten zu beachten.Abs. 69
Bei der Nutzung von Tools und Datenbanken durch Mitarbeiter geht es auf der anderen Seite auch die Herstellung einer Rechtmäßigkeit von Leistungs- und Verhaltenskontrolle. Es ist insgesamt eine Rechtmäßigkeit beschäftigtenbezogener Datenverarbeitung herzustellen. Grafisch kann dies wie folgt dargestellt werden.Abs. 70
I. Rechtmäßigkeit, Zweck, Sparsamkeit, FairnessAbs. 71
------- Stufe 1: Rechtsgrundlage, Einwilligung, Fairness -------------->Abs. 72
------- Stufe 2: Eindeutige Zweckbindung, Sparsamkeit --------------->Abs. 73
------- Stufe 3: Richtigkeit, Aktualität, Dokumentation ------------------>Abs. 74
------- Stufe 4: Anonymisierung,Pseudonymisierung ------------------->Abs. 75
II. Transparenz, Information, Auskunft, VergessenAbs. 76
-------- Stufe 1: Informationen leicht zugänglich, Auskunft ------------->Abs. 77
-------- Stufe 2: Transparenz der IT, Berichtigungsanspruch ---------->Abs. 78
-------- Stufe 3: Einschränkung, Widerspruch, Löschung --------------->Abs. 79
-------- Stufe 4: Datenübertragbarkeit, Recht auf Vergesssen ---------->Abs. 80
III. Compliance, Rechenschaft, Haftung, SanktionAbs. 81
-------- Stufe 1: Risiko, Datenumfang, Datensensibilität ------------------->Abs. 82
-------- Stufe 2: Privacy by Design/by Default, Zertifizierung ------------->Abs. 83
-------- Stufe 3: Sicherheit, Folgenabschätzung, Verzeichnis ------------>Abs. 84
-------- Stufe 4: Verletzungsmeldung, Haftung, Bußgeld, Sanktion ----->Abs. 85
Personalarbeit muss den Anforderungen an Compliance und Accountability genügen. Dies auch vor dem Hintergrund der unverzüglich zu erfolgenden Meldungen und Benachrichtigungen bei Datenschutzverletzungen (Art. 33, 34 DS-GVO) und der in der DS-GVO vorgesehenen Haftung (Art. 82 DS-GVO) behördlichen Bußgeldern und strafrechtlichen Sanktionen (Art. 83, 84 DS-GVO).Abs. 86
Technik, Gesellschaft und Recht muss die heutige Kultur der Datenrecherche und des Reportings in einem gesetzlichen und angemessenen Rahmen halten.[17] Die DS-GVO ist dazu ein gutes Werkezeug. Insofern sollten heute die vielfältigen Rechtsquellen neben ihrer rechtsdogmatischen Behandlung in einem weit größeren Umfang als Problemlösungshilfen betrachtet werden.Abs. 87
Personalarbeit betrifft nicht nur Mitarbeitergruppen, sondern verstärkt auch den einzelnen Arbeitnehmer.Abs. 88
Die Steuerung von Mitarbeitergruppen wird ersetzt durch die Nutzung von Netzwerken und Kommunikationen zur Interaktionen mit einzelnen Arbeitnehmern. Insofern sind bei der Personalabreit sehr früh die in der DS-GVO geltenden Prinzipien zu berücksichtigen.Abs. 89
So entstehen Felder der Kooperation. Eines ist die Kooperation von Datenschutzrecht und Arbeitsrecht. Datenschutz hat damit nicht nur die Aufgabe, der Verarbeitung von Arbeitnehmerdaten Grenzen zu setzen, sondern das Arbeitgeber-Arbeitnehmer-Verhältnis in einem modernen Europa neu zu gestalten.Abs. 90
Die Datenverarbeitung als Regelungsgegenstand kann hierbei zur Lösung der von ihr selbst ausgelösten Problemen dienen.[18] Hierbei sind die Interessen der verantwortlicher Stellen wie auch Betroffener im Rahmen der neuen DS-GVO in einen fairen Ausgleich zu bringen. Dann wird Datenschutzrecht auch wirksam sein und dieser Teilbereich des Rechts impact haben.[19]Abs. 91
Insofern geht es um einen pragmatischen Weg, für die Chancen und Fragestellungen der neuen DS-GVO kreativ nach Lösungen zu suchen und diese im Sinne einer Privacy Protection für Betroffene umzusetzen. Die DS-GVO ist ein vernünftiger Kompromiss. Sie ist auch ein systematischer Schritt zur Regelung des Datenschutzes. Datenschutz ist damit Schritt für Schritt als Sozialtechnik zu implementieren. [20]Abs. 92

 
* Assessor Dr. iur. Michael Wächter, Jahrgang 1960, ist Personalleiter Süd eines internationalen Unternehmens der IT-Industrie. Seine Interessensschwerpunkte sind Rechtstheorie und Datenschutz.
 
[1] Christian Scholz, Personalmanagement: Informationsorientierte und verhaltenstheoretische Grundlagen, 6. A. 2014, S. 11 ff., 14 ff., 19 f.
[2] Yvonne Gutting/Katharina Sicking, in: Weth/Herberger/Wächter, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis: Praxishandbuch zum Arbeitnehmerdatenschutz, 2014, S. 581 ff.
[3] Karl-Georg Loritz, in: Zöllner/Loritz/Hergenröder, Arbeitsrecht, 7. A. 2015, S. 448 f.
[4] Michael Kort, DER BETRIEB, 2016, 711 ff. (714)
[5] Gola/Schomerus, Bundesdatenschutzgesetz, Kommentar, 12. A. 2015, § 1 Rn. 23 f.
[6] Reinhold Zippelius, Allgemeine Staatslehre: Politikwissenschaft, 16. A. 2010, S. 284 f.
[7] Isabell Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. A. 2016, § 34 Rn. 184
[8] Jan Henrik Klement, Verantwortung, 2006, S.8
[9] Martin Rost/Kirsten Bock, DuD 2011, 30 ff.
[10] Reinhold Zippelius, Recht und Gerechtigkeit in der offenen Gesellschaft, 1994, S. 106 ff.
[11] Christoph Kucklick, Die Granulare Gesellschaft: Wie das Digitale unsere Wirklichkeit auflöst, 2016, S. 44 f., 50 ff.
[12] Hans Ryffel, Rechts- und Staatsphilosphie: Philosophische Anthropologie des Politischen, 1969, S. 308 ff., 314 ff.
[13] Michael Potacs, Rechtstheorie, 2015, S. 143 ff.
[14] Kai von Lewinski, Die Matrix des Datenschutzes, 2014, S. 64 ff.
[15] Kai von Lewinski, Die Matrix des Datenschutzes, 2014, S. 55 ff.
[16] Spiros Simitis, in: Simitis, Bundesdatenschutzgesetz, 8. A. 2014, § 1 Rn. 36
[17] Michael Wächter, Datenschutz im Unternehmen, 4. A. 2014, Rn. 17
[18] Michael Wächter, JurPC Web-Dok. 85/2000, Abs. 1 ff. (139) = http://www.jurpc.de/jurpc/show?id=20000085
[19] Hans Ryffel, Rechtssoziologie: Eine systematische Orientierung, 1974, S. 245 ff.
[20] Karl Popper, Die offene Gesellschaft und ihre Feinde, Band 1: Der Zauber Platons, 8. A. 2003, S. 187 ff.
 

 
(online seit: 24.05.2016)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Wächter, Michael, Datenschutz-Grundverordnung und Personalarbeit - JurPC-Web-Dok. 0075/2016