Inhaltsverzeichnis
(Zur Übersicht: ThürDSG)
§ 27 Thüringer Datenschutzgesetz
Wortlaut
§ 27 Datenschutz im Beschäftigungskontext
(Artikel 88 der Verordnung (EU) 2016/679)
(1) Für das Verarbeiten von personenbezogenen Daten über Arbeitnehmer und Auszubildende, die in einem privatrechtlich ausgestalteten Arbeits- oder Ausbildungsverhältnis zu einer öffentlichen Stelle im Sinne dieses Gesetzes stehen, gelten die §§ 79 bis 87 ThürBG entsprechend, soweit besondere Rechtsvorschriften des Arbeitsrechts, tarifvertragliche Regelungen oder Dienstvereinbarungen nichts Abweichendes regeln.
(2) Erfolgt die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung, so bedarf diese der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die Arbeitnehmer und Auszubildenden über den Zweck der Datenverarbeitung und über ihr Widerspruchsrecht nach Artikel 7 Abs. 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
(3) Die Verarbeitung der bei medizinischen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Beschäftigungsverhältnisses im Sinne des Absatzes 1 erhobenen personenbezogenen Daten ist nur mit schriftlicher Einwilligung des Bewerbers zulässig. Der Arbeitgeber darf vom untersuchenden Arzt in der Regel nur die Übermittlung des Ergebnisses der Eignungsuntersuchung und dabei festgestellter Risikofaktoren verlangen, es sei denn, besondere Rechtsvorschriften des Arbeitsrechts oder tarifvertragliche Regelungen gehen vor.
(4) Personenbezogene Daten, die vor der Eingehung eines Beschäftigungsverhältnisses bei einer öffentlichen Stelle erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Beschäftigungsverhältnis nicht zustande kommt und die Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abgelaufen ist, es sei denn, dass die betroffene Person in die weitere Speicherung eingewilligt hat.
(5) Soweit personenbezogene Daten der Arbeitnehmer und Auszubildenden einer öffentlichen Stelle im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach Artikel 32 der Verordnung (EU) 2016/679 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- und Leistungskontrolle genutzt werden.
Gesetzesbegründung
Zu § 27
Datenschutz im Beschäftigungskontext (Artikel 88 der Verordnung (EU) 2016/679)
§ 27 regelt den Datenschutz im Beschäftigtenverhältnis. Artikel 88 der Verordnung (EU) 2016/679 enthält Bestimmungen zum Beschäftigtendatenschutz in nationalen Regelungen und eröffnet dem Gesetzgeber auf diesem Gebiet Handlungsmöglichkeiten. Die Mitgliedstaaten der Europäischen Union können nach Artikel 88 Abs. 1 der Verordnung (EU) 2016/679 spezifische Bestimmungen zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivverein-barungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der In-anspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
§ 27 übernimmt weitestgehend die bisherige Regelung des § 33 ThürDSG a.F. Die Regelungen der Absätze 2 bis 4 sind notwendig, da sie den Schutz der Daten von Bewerbern regeln, bei denen es zu keiner Einstellung gekommen ist und daher das Thüringer Beamtengesetz (ThürBG) keine Anwendung findet.
Zu Absatz 1:
Zunächst stellt Absatz 1 Arbeitnehmer und Auszubildende öffentlicher Stellen datenschutzrechtlich den Beamten gleich und erklärt für diese die Bestimmungen des Thüringer Beamtengesetzes über das Führen von Personalakten für anwendbar, es sei denn, besondere Bestimmungen finden Anwendung. Das Thüringer Beamtengesetz regelt den Umgang mit personenbezogenen Daten in personalrechtlichen Angelegenheiten für Landesbeamte abschließend. Es handelt sich dabei um eine spezialgesetzliche Ausprägung des in Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 2 Grundgesetz verankerten Schutzes des allgemeinen Persönlichkeitsrechts im Hinblick auf den Umgang mit personenbezogenen Daten im Personalrecht, also einen bereichsspezifischen Datenschutz. Bereits das Bundesverwaltungsgericht hat betont, dass es sich bei den beamtenrechtlichen Bestimmungen zum Datenschutz um abschließende Sonderregelungen handelt, die ein umfassendes Regelungssystem über den Umgang mit Personaldaten bilden (BVerwG, Urteil vom 27.02.2003 - 2 C 10.02). Gleichwohl wurden bestimmte Sachverhalte (Auftragsdatenverarbeitung) im Thüringer Beamtengesetz bisher nicht geregelt. Aufgrund der Bestimmung des § 2 Abs. 4 wird die Gefahr einer Regelungslücke geschlossen. Allgemeine Bestimmungen des Datenschutzgesetzes und der Verordnung (EU) 2016/679 finden stets Anwendung, soweit spezialgesetzlich keine Regelung getroffen wurde.
Eine datenschutzrechtliche Regelung, dass dies auch für Arbeitnehmer und Auszubildende gilt, ist erforderlich, da das Thüringer Beamtengesetz in diesen Formen des Beschäftigungsverhältnisses keine unmittelbare Anwendung findet.
Die Regelungsbefugnis folgt aus Artikel 88 Abs. 1 der Verordnung (EU) 2016/679, der eine genauere Definition des Beschäftigtenbegriffs zulässt.
Zu Absatz 2:
Absatz 2 stellt nach Erwägungsgrund 155 eine besondere Bestimmung über die formellen Bedingungen dar, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage einer Einwilligung der Beschäftigten verarbeitet werden dürfen. Das grundsätzliche Schriftformerfordernis kann im Einzelfall auch durch andere Form der Einwilligung ersetzt werden. Dies kommt etwa im Falle von elektronischen Bewerbungsverfahren in Betracht.
Darüber hinaus ist nach den Erwägungsgründen 42 und 43 zu beachten, dass Einwilligungen nur freiwillig erteilt werden können. Dies ist insbesondere im Beschäftigungskontext aufgrund des möglichen Ungleichgewichts zwischen den Parteien sorgfältig zu berücksichtigen. Bei dieser Beurteilung können insbesondere die im Beschäftigungsverhältnis grundsätzlich bestehende Abhängigkeit der oder des Arbeitnehmers vom Arbeitgeber und die Umstände des Einzelfalls zu berücksichtigen sein.
Zu Absatz 3:
Absatz 3 bestimmt, dass das Verarbeiten personenbezogener Daten, die bei medizinischen oder psychologischen Untersuchungen zum Zwecke der Eingehung des Beschäftigungsverhältnisses erhoben wurden, nur mit schriftlicher Einwilligung des Bewerbers zulässig ist. Satz 1 stellt dabei nicht ausdrücklich nur auf sensible Daten im Sinne des Artikels 9 der Verordnung (EU) 2016/679 ab. Gleichwohl werden typischerweise bei medizinischen und psychologischen Tests besonders sensible Kategorien personenbezogener Daten abgefragt.
Die Regelungsbefugnis ergibt sich aus Artikel 6 in Verbindung mit Artikel 88 Abs. 1 und 2 der Verordnung (EU) 2016/679. Demgegenüber be-stimmt Satz 2, welche Daten aus den Untersuchungen nach Satz 1 dem Arbeitgeber gegenüber stets übermittelt werden dürfen.
Zu Absatz 4:
Absatz 4 stellt klar, dass personenbezogene Daten in der Regel unverzüglich zu löschen sind, sobald feststeht, dass das Beschäftigungsverhältnis nicht zustande kommt und die Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abgelaufen ist (beispielsweise § 15 Abs. 4 Allgemeines Gleichbehandlungsgesetz). In dem Fall entfällt der Zweck, der mit der Datenerhebung verbunden war. Damit wird im Rahmen des Beschäftigungskontexts klargestellt, dass die Löschung unverzüglich und ohne ausdrückliches Verlangen der betroffenen Per-son zu erfolgen hat.
Zu Absatz 5:
Absatz 5 regelt die Zweckbindung von Daten, die zur Durchführung technischer und organisatorischer Maßnahmen nach Artikel 32 der Verord-nung (EU) 2016/679 gespeichert worden sind. Es handelt sich um Datenspeicherungen im Zusammenhang mit den durch den Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der Verarbeitungsmaßnahmen. Diese Daten dürfen nicht zu Zwecken der Verhaltens- und Leistungskontrolle genutzt werden. Es handelt sich um eine spezialgesetzliche Ausgestaltung der Zweckbindung auf Grundlage von Artikel 88 Abs. 1 der Verordnung (EU) 2016/679.
(Quelle: Thüringer Landtag Drucksache 6/4943, S. 113ff)
