Update: Reform des Beschäftigtendatenschutzes

Seit den sogenannten „Datenskandalen“ bei der Bahn, Aldi, Lidl und anderen in den Jahren 2009 und danach hat der Beschäftigtendatenschutz in der Theorie und in der Praxis einen erheblichen Bedeutungszuwachs erfahren. Eine erste Reaktion des Gesetzgebers bestand darin, mit § 32 BDSG auf die Schnelle eine Vorschrift in das BDSG einzufügen, die die Gemüter beruhigen sollte, ohne jedoch an der Rechtslage selbst etwas zu ändern. Bei der Norm handelt es sich also – wie der Berliner Beauftragte für den Datenschutz, Alexander Dix,  es ausdrückte – um ein „Baustellenschild“. Wie zu erwarten war, verstummten die Forderungen nach einer umfassenden Neuregelung denn auch nicht. Seit gut zwei Jahren befasst sich nun die Politik mit dem Thema. Neuerdings mischt sich hier auch die EU-Kommission ein, so dass es Zeit für ein kleines Update in Sachen Beschäftigtendatenschutz  ist, damit unsere Leser nicht den Überblick verlieren:
I. Entwurf der Bundesregierung vom 25.8.2010
Nachdem seit dem Frühjahr 2010 mehrere nicht veröffentlichte Referentenentwürfe diskutiert worden waren, legte die Bundesregierung am 25.8.2010 einen Entwurf zur Neuregelung des Beschäftigtendatenschutzes vor. Dieser soll nicht in einem eigenen Gesetz geregelt sein, sondern es sollen 13 neue Paragraphen in das BDSG eingefügt werden (§§ 32 bis 32l BDSG). Nicht alles kann hier im Detail besprochen werden. Eine der wichtigsten Neuregelungen besteht darin, dass eine Einwilligung (§§ 4, 4a BDSG) nach § 32l Abs. 1 BDSG nur noch ausnahmsweise eine Grundlage für die Verarbeitung von Beschäftigtendaten soll bilden können. Dagegen wurde in der Literatur unter anderem eingewandt, dass dies mit der Richtlinie 95/45/EG unvereinbar sei. Auch hinsichtlich anderer Detailregelungen wurde Kritik geäußert. Beispielweise wurde bemängelt, dass es kein „Konzernprivileg“ gebe. Auch soll die heimliche Videoüberwachung künftig ganz verboten sein. Das BAG hat sie bislang in bestimmten Konstellationen ausnahmsweise zugelassen.
Der Vorschlag der Bundesregierung kann hier heruntergeladen werden.
II. Vorschlag des Innenministeriums vom September 2011
Im September 2011 hat das Innenministerium auf die Kritik reagiert und eine Reihe von Änderungen an dem Vorschlag der Bundesregierung vorgeschlagen. Dieser Vorschlag ist nicht amtlich freigegeben und wird deshalb hier nicht veröffentlicht. Er sieht aber unter anderem in einem § 32m BDSG ein  „Konzernprivileg“ vor. Die Verarbeitung von Beschäftigtendaten innerhalb eines Konzern soll dadurch erleichtert werden.  Auch wurde § 32l Abs. 1 BDSG entschärft. Weiterhin verboten sein soll allerdings die heimliche Videoüberwachung. Derzeit ringt man in Berlin um eine politische Einigung auf der Grundlage dieses Vorschlags.
III. Entwurf einer EU-Datenschutzverordnung
Im Januar 2011 hat schließlich die EU-Kommission den Entwurf einer EU-Datenschutzverordnung vorgelegt. Bislang war der Datenschutz in der EU durch eine Richtlinie (Art. 288 Abs. 3 AEUV) geregelt. Diese muss durch die Mitgliedstaaten umgesetzt werden, das heißt, es müssen mitgliedstaatliche Gesetzeerlassen werden. Die Verordnung wirkt hingegen nach Art. 288 Abs. 2 AEUV unmittelbar verbindlich. Der Wechsel des Rechtsinstruments hängt mit dem neuen Kompetenztitel in Art. 16 AEUV zusammen.
Hinsichtlich des Beschäftigtendatenschtzes enthält der Verordnungsvorschlag nur wenige Regelungen. Er erlaubt den Mitgliedstaaten ausdrücklich, hier selber regelnd tätig zu werden. Vorgegeben ist allerdings, dass eine Einwilligung grundsätzzlich auch im Beschäftigungsverhältnis möglich ist. Damit weicht der Entwurf von einer Arbeitsfassung („Version 56“) der EU-Kommission ab, die noch einen Ausschluss der Einwilligung im Beschäftigungsverhältnis vorsah. Schwächen weist der Entwurf wiederum bei dem „Konzenrprivileg“ auf. Die EU-Kommission wird lediglich ermächtigt, hierzu Durchführungsverordnungen zu erlassen.
Den Verordnungsvorschlag kann man hier, die „Version 56“ hier herunterladen.
IV. Ausblick
Voraussichtlich wird sich noch im Februar 2012 entscheiden, ob der deutsche Gesetzgeber den Beschäftigtendatenschutz einer umfassenden Neuregelung zuführen wird oder nicht. Die EU-Datenschutzverordnung soll hingegen erst zwei Jahre nach ihrer Veröffentlichung im Amtsblatt in Kraft treten. Rechnet man zwei bis drei Jahre für das Gesetzgebeungsverfahren hinzu, wird sie nicht vor 2017/2018 den Beschäftigtendatenschutz prägen.