Das Bundesministerium des Inneren hat im Sommer den Referentenentwurf des Ausführungsgesetzes zur EU-Datenschutz Grundverordnung (DSGVO) vorgelegt, den Entwurf eines „Allgemeines Bundesdatenschutzgesetz-ABDSG“. Der Name mutet seltsam an, nachdem die EU durch Verordnung geregelt hat. Man muss akzeptieren, dass der nationale Gesetzgeber auch im Datenschutz nur noch die zweite Geige spielt.
Möglicherweise geht der Gesetzgeber auch inhaltlich zu weit und widerspricht den Vorgaben des DSGVO. Die DSGVO gilt als EU-Verordnung unmittelbar und zwingend auch in der Bundesrepublik (Art. 288 Abs. 2 AEUV). Sie enthält ein differenziertes und übersichtlich strukturiertes Regelwerk und nur an einigen Stellen Öffnungsklauseln für nationale Regelungen, wie beispielsweise in Art. 88 DSGVO für nationale Regelungen der Datenverarbeitung im Beschäftigungskontext.
Öffnungsklauseln sind nach der Rechtsprechung des EuGH eng auszulegen und restriktiv zu handhabende Ausnahmevorschriften. Nach dem sog. Wiederholungsverbot, das die allgemeine Geltung der Verordnungen nach Art. 288 Abs. 2 AEUV umsetzt, dürfen Mitgliedsstaaten Gesetze, die die Verordnung berühren oder die unmittelbare Geltung der Verordnung verbergen können, nicht erlassen. Selbst inhaltsgleiche Regelungen sind nur im Ausnahmefall zulässig. Das dürfte dagegen sprechen, in einem „ABDSG“ in Deutschland Wiederholungen oder Doppelungen der DSGVO durchzuführen.
Inhaltlich kann der bisherige § 32 BDSG aufgrund der für Arbeitsverhältnisse geltenden Öffnungsklausel wohl weiter Geltung behalten. Die Mitgliedsstaaten können nach Art. 88 Abs. 1 DSGVO bestimmte spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigungsdaten insbesondere für die Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit sowie des Schutzes der Gleichheit, Gesundheit und Sicherheit am Arbeitsplatz sowie des Schutzes des Eigentums der Arbeitgeber oder Kunden vorsehen.
Das gilt auch für bereits bestehende Regelungen (wie § 32 BDSG), weil diese nach Art. 6 Abs. 2 DSGVO aufrechterhalten werden können. Neues Recht muss also nicht geschaffen werden, das alte Recht des § 32 BDSG kann genutzt werden.
Es entspricht recht allgemeiner Auffassung, dass § 32 BDSG den Standards des Art. 88 DSGVO genügt (Düwell/Brink, NZA 2016, 665, 666; Wybitul/Pötters, RDV 2016, 10, 14; Plath-Stamer/Kuhnke, BDSG/DSGVO, 2. Auflage 2016, Art. 88 DSGVO, Rn. 7 m.w.N.).
Auch die Rechtfertigung der Datenverarbeitung durch Tarifverträge und Betriebs– und Dienstvereinbarungen, die nach jetziger Rechtsprechung Rechtsvorschriften im Sinne des § 4 BDSG sind (Plath-Stamer/Kuhnke, a.a.O., Rz. 8; Tschöpe/Grimm, ArbeitsrechtsHandbuch, 9. Auflage 2015, Teil 6F, Rz. 52 ff) dürfte weiter zulässig bleiben. Art. 88 Abs. 1 DSGVO gestattet spezifische Vorschriften auch durch Kollektivvereinbarungen, wie ganz eindeutig aus dem Wortlaut zu entnehmen ist. Im Erwägungsgrund 155 DSGVO sind Betriebsvereinbarungen als Ermächtigungsgrundlage ausdrücklich erwähnt, was dafür spricht, dass Kollektivvereinbarungen, also auch Betriebsvereinbarungen und nicht nur Tarifverträge, Ermächtigungsgrundlage zur Verarbeitung personenbezogener Daten i.S.d. Art. 6 DSGVO sein können (so auch Plath-Stamer/Kuhnke, a.a.O., Rz. 9).
In jedem Fall sollte aber der Bestand an Datenschutz-Betriebsvereinbarungen dahingehend geprüft werden, ob die materiellen Kriterien des Art. 88 DSGVO eingehalten werden. Dies bis zum In‑Kraft‑Treten der Datenschutzgrundverordnung, also bis zum 25.05.2018.
Die Arbeit ruft.