Der Einfluss des neuen Datenschutzgesetzes der VAE auf das Arbeitsrecht

PrintMailRate-it

veröffentlicht am 29. Juni 2022 | Lesedauer ca. 4 Minuten

 

Am 2. Januar 2022 ist in den VAE das neue Federal Decree-Law No. 45/2021 „On The Protection of Personal Data“ (PPDL) in Kraft getreten. Mit dem Gesetz wird die erste umfassende Datenschutzregelung des Landes eingeführt, die grundsätzlich der Da­ten­schutzgrundverordnung der EU ähnelt. Das Gesetz sieht eine Reihe neuer Verpflich­tungen auch für Arbeitgeber in ihrer Funktion als für die Datenverarbeitung Verant­wort­liche vor, wenn sie die personenbezogenen Daten ihrer Mitarbeiter verarbeiten.

   

 

 

Das PPDL hat extraterritoriale Wirkung und gilt sowohl für Verantwortliche, als auch für Auftragsverarbeiter innerhalb und außerhalb der VAE, die personenbezogenen Daten von Personen verarbeiten, die in den VAE ansässig sind oder dort einen Geschäftssitz haben. Jedoch erstreckt sich der Anwendungsbereich nicht auf Unternehmen, die in Freihandelszonen mit besonderen Gesetzen zum Schutz personenbezogener Daten ansäs­sig sind. Für diese Unternehmen gelten weiterhin die entsprechenden Regelungen der jeweiligen Frei­han­dels­zone.
 
Für den Verantwortlichen der Datenverarbeitung sind jede Einrichtung oder natürliche Person, der über per­so­nen­be­zogene Daten verfügt und die aufgrund der Art ihrer Tätigkeit die Methode, die Kriterien und den Zweck der Verarbeitung festlegt, während ein Auftragsverarbeiter jeder ist, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Datenverarbeitung ist dabei jeder Vorgang, der mit personenbezogenen Daten unter Verwendung elektronischer Mittel durchgeführt wird, wie das Erheben, Speichern oder Übermitteln.
 
Personenbezogene Daten hingegen sind alle Daten oder Informationen, die sich auf eine identifizierte na­tür­li­che Person beziehen oder durch die eine solche identifiziert kann, wie Name, Bild, oder Adresse, aber auch an­de­re Merkmale, die Ausdruck der physischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Indem der Arbeitgeber beispielsweise personenbezogene Daten von Arbeitnehmern mit Hilfe elek­tro­ni­scher Mittel erhebt und speichert, verarbeitet er insofern diese Daten und wird zu einem Verantwortlichen im Sinne der PPDL. Somit ist er verpflichtet, die einschlägigen Vorschriften einzuhalten. 
 
Während Verantwortliche im Allgemeinen verpflichtet sind, die Einwilligung der betroffenen Person für die Ver­arbeitung personenbezogener Daten einzuholen, enthält Art. 4 Nr. 8 PPDL einen Ausnahmetatbestand für den Fall, dass die Verarbeitung für den Verantwortlichen oder die betroffene Person zur Erfüllung ihrer Pflichten und Ausübung ihrer Rechte im Zusammenhang mit dem Arbeitsverhältnis erforderlich ist, soweit dies nach dem Arbeitsgesetz zulässig ist. Daraus folgt, dass die Verarbeitung personenbezogener Daten von Arbeitnehmern durch den Arbeitgeber beispielsweise zum Zweck der Führung von Aufzeichnungen und Registern von Arbeit­neh­mern gem. Art. 13 Nr. 1 des Arbeitsgesetzes keine Einwilligung erfordert. Das Gleiche gilt gem. Art. 4 Nr. 4 PPDL, wenn die Verarbeitung für arbeitsmedizinische Zwecke und zur Beurteilung der Arbeitsfähigkeit eines Arbeitnehmers erforderlich ist. Allerdings liefert der Gesetzgeber keine Legaldefinition für das Tat­be­stands­merkmal „Erforderlichkeit“ i.S.d. Art. 4 PPDL, sodass bisher – auch mangels gefestigter Rechtsprechung und Erlass der Durchführungsverordnung – unklar bleibt, wie dieses auszulegen ist und insofern in Grenzfällen eine Einwilligungsklausel in neue Arbeitsverträge aufgenommen werden sollte. Für jede weitergehende Verarbeitung personenbezogener Daten von Arbeitnehmern, die nicht unter diese Ausnahmen fällt, muss der Arbeitgeber zwingend deren Einwilligung gemäß Art. 6 PPDL einholen. Die Einwilligung muss in klarer, einfacher, un­miss­ver­ständlicher und leicht zugänglicher Form (schriftlich oder elektronisch) erteilt werden und auf das Wider­rufs­recht der betroffenen Person hinweisen.
 
Unabhängig davon, ob eine Einwilligung erforderlich ist oder nicht, verpflichtet das PPDL die Verantwortlichen, die betroffenen Personen vor der Verarbeitung ihrer personenbezogenen Daten über den Zweck der Verar­bei­tung, alle Sektoren oder Einrichtungen, mit denen die personenbezogenen Daten geteilt werden sollen, zu informieren und etwaige Maßnahmen zum Schutz personenbezogener Daten bei einer etwaigen Übermittlung ins Ausland zu informieren. Auch dahingehend ist eine individuelle Regelung in den Arbeitsvertrag aufzu­neh­men in den Arbeitsvertrag.
 
Die Übermittlung personenbezogener Daten ins Ausland ist jedoch – mit Ausnahme der in Art. 23 des PPDL festgelegten Tatbestände – nur dann zulässig, wenn auch im Land des Empfängers ein angemessenes Daten­schutzniveau durch vergleichbare Gesetze (wie z. B. die DSGVO im Falle von EU-Staaten) oder internationale Abkommen gewährleistet ist, oder wenn sich der ausländische Empfänger solcher Daten vertraglich zur Um­set­zung eines hinreichenden Datenschutzniveaus verpflichtet. Insofern sollte innerhalb des Arbeitsvertrags be­reits vorsorglich eine Klausel zur Einwilligung des Arbeitnehmers eines etwaigen Datentransfers aufgenommen werden.
 
Darüber hinaus wird Arbeitgeber durch die gesetzlichen Regelungen verpflichtet, geeignete technische und organisatorische Maßnahmen – beispielsweise in Form von Verschlüsselung oder Pseudonymisierung – zu ergreifen, um die Vertraulichkeit und Sicherheit der Arbeitnehmerdaten sicherzustellen. Bei der Verarbeitung solcher Daten muss der Arbeitgeber die in Art. 5 PPDL genannten Grundsätze, einschließlich der Fairness, Transparenz und Rechtmäßigkeit der Verarbeitung oder der Beschränkung der Daten auf den eigentlichen Zweck der Datenverarbeitung einhalten und gewährleisten.
 
In gewissen Fällen, beispielsweise bei der Verarbeitung großer Mengen von sensiblen, personenbezogener Da­ten, muss zudem ein hinreichend qualifizierter Datenschutzbeauftragter ernannt werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Zu den sensiblen personenbezogenen Daten gehören dabei insbesondere Daten, die sich auf die Familie, religiösen Überzeugungen, das Strafregister oder die Gesundheit einer Person beziehen.
 
Weiterhin gewährt das Gesetz den Arbeitnehmern in Art. 13 einen Auskunftsanspruch hinsichtlich der per­so­nenbezogenen Daten, welche vom Arbeitgeber verarbeitet werden, als auch einen Anspruch und auf deren Übermittlung Art. 14 PPDL. Zudem kann der Arbeitnehmer die Berichtigung oder Vervollständigung im Falle der Unrichtigkeit sowie die Löschung der personenbezogenen Daten verlangen, wenn sie für den Zweck, für den sie verarbeitet werden, nicht mehr erforderlich sind. Dies berührt jedoch voraussichtlich nicht die Verpflichtung des Arbeitgebers gem. Art. 13 Nr. 1 des Arbeitsgesetzes, Aufzeichnungen über die Arbeitnehmer für einen Zeit­raum von mindestens zwei Jahren nach Beendigung des Arbeitsverhältnisses aufzubewahren.
 
Das PPDL sieht in Art. 29 PPDL eine Umsetzungsfrist von sechs Monaten für Verantwortliche und Auftrags­ver­arbeiter vor, um ihren Status anzupassen und sämtliche Verpflichtungen zu gewährleisten. Diese Frist beginnt jedoch erst mit dem Datum der Veröffentlichung der Durchführungsverordnung, die zum hiesigen Zeitpunkt noch nicht besteht. Dabei ist zu erwarten, dass die Durchführungsverordnung die gesetzlichen Regelungen und insofern die Rechte und Pflichten, als auch deren Umsetzung weiter konkretisieren wird. 
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu