Es sind dynamische Zeiten im Datenschutzrecht. Neben der europaweit geltenden Datenschutzgrundverordnung (DSGVO) erlassen die Mitgliedsstaaten eigene Gesetze, um die Öffnungsklauseln der DSGVO mit Leben füllen. Das betrifft auch den sensiblen Bereich des Beschäftigtendatenschutzes. Diese Möglichkeit wurde vom deutschen Gesetzgeber im kürzlich verabschiedeten neuen Bundesdatenschutzgesetz (BDSG-neu) in Paragraf 26 BDSG-neu genutzt.
Ab wann greifen die Neuregelungen?
Sowohl die DSGVO also auch das BDSG-neu sind ab dem 25. Mai 2018 geltendes Recht.
Wer ist betroffen?
Jeder Arbeitgeber. Erfasst sind alle Beschäftigten, also unter anderem Arbeitnehmer, Leiharbeitnehmer, Auszubildende, Bewerber. Die Vorschriften sind bereits beim ersten Bewerbungsgespräch zu beachten – unabhängig davon, ob die Daten digital oder in Papierform erfasst werden.
Welche Risiken bestehen?
Aktuell kann bei Verstößen ein Bußgeld von bis zu 300.000 Euro verhängt werden. Ab dem 25. Mai 2018 erhöht sich der Rahmen auf bis zu 20 Mio. Euro bzw. – je nachdem, welcher Betrag höher ist – 4 Prozent des weltweiten Jahresumsatzes – gerechnet auf den Gesamtkonzern.
Eine Neuerung gibt es beim Schadensersatz. Künftig können auch Schmerzensgelder verlangt werden. Besonders praxisrelevant bei der Haftung ist die neue Beweislastumkehr: Das Unternehmen muss nachweisen, dass es sich an die neuen Vorschriften gehalten hat.
Wann dürfen Daten verarbeitet werden?
Daten von Beschäftigten dürfen verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Im Kern sind hierbei die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten gegeneinander abzuwägen. Weitere Rechtsgrundlagen sind die Einwilligung und Kollektivvereinbarungen wie Tarifverträge und Betriebsvereinbarungen.
Bleiben die bisherigen arbeitsgerichtlichen Entscheidungen relevant?
Davon ist auszugehen. Paragraf 26 BDSG-neu soll den derzeit geltenden Paragraf 32 BDSG fortführen, einschließlich der dazu ergangenen Rechtsprechung. In der Gesetzesbegründung findet sich zwar der Vorbehalt, Teilbereiche durch weitere Gesetze zu regeln. Genannt werden unter anderem der Ausschluss heimlicher Kontrollen sowie die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken. Neuregelungen sollen aber nur Grundsätze betreffen, die bereits im Rahmen der Rechtsprechung zum geltenden Recht angelegt sind.
Gibt es Neuerungen bei Einwilligungen?
Es ist nunmehr klargestellt, dass auch im Arbeitsverhältnis „freiwillige“ Einwilligungen möglich sind. Exakte Vorgaben fehlen dazu, es kommt auf die Umstände des Einzelfalls an. Das Gesetz nennt Indizien für eine Freiwilligkeit, etwa wenn dem Arbeitnehmer ein wirtschaftlicher Vorteil gewährt wird, wie es zum Beispiel bei Gestattung der privaten Nutzung der IT der Fall ist. Neu ist, dass umfassende Hinweispflichten in Textform erteilt werden müssen.
Gelten Einwilligungen fort?
Bisher wirksam erteilte Einwilligungen gelten nach Ansicht der Aufsichtsbehörden fort, wenn diese unter der bestehenden Rechtslage wirksam erteilt wurden. Für viele Unternehmen ist das kein Grund zum Aufatmen: Häufig sind Einwilligungserklärungen bereits nach derzeitigem Recht unwirksam, zum Beispiel allumfassende Regelungen im Arbeitsvertrag.
Was ist bei Betriebsvereinbarungen zu beachten?
Betriebsvereinbarungen, zum Beispiel über die Einführung einer Personalsoftware oder eines Warenwirtschaftssystems, können wie bisher Rechtsgrundlage für die Verarbeitung personenbezogener Daten der Beschäftigten sein. Dies ist jetzt auch gesetzlich normiert. Konkrete Voraussetzungen hat der deutsche Gesetzgeber nicht festgelegt, sondern insoweit auf die DSGVO zurückverwiesen. Betriebsvereinbarungen müssen den – insoweit unscharfen – Vorgaben der DSGVO gerecht werden, wozu insbesondere die Transparenz (einschließlich der Informationspflichten) und die Verhältnismäßigkeit zählen.
Gelten bisherige Betriebsvereinbarungen fort?
Ab dem 25. Mai 2018 gelten die Anforderungen sowohl für neue als auch für alte Betriebsvereinbarungen gleichermaßen. Es gibt keine Übergangsfristen. Ob Ausnahmen gemacht werden können für Betriebsvereinbarungen, die nach derzeitigem Recht wirksam sind und die „nur“ die neuen Informationspflichten nicht erfüllen, ist sehr zweifelhaft – und wird derzeit wohl ausnahmslos verneint. Unternehmen sind daher gut beraten, bestehende Betriebsvereinbarungen zu prüfen und bei Neuabschlüssen bereits jetzt die neuen Anforderungen zu berücksichtigen.
Gibt es Änderungen bei Datenverarbeitungen im Konzern?
Trotz gesellschaftsrechtlicher und wirtschaftlicher Verbundenheit werden Konzerngesellschaften datenschutzrechtlich auch unter dem Regime der DSGVO wie Externe behandelt. Die Tochtergesellschaft, bei der der Arbeitnehmer angestellt ist, darf die Daten also nicht ohne weiteres an die Muttergesellschaft weitergeben. Es bedarf einer Erlaubnis (in der Regel Art. 6 DSGVO/Betriebsvereinbarung) oder Einwilligung. Immerhin gibt es eine als „kleines Konzernprivileg“ bezeichnete Erleichterung: Die Verarbeitung „für interne Verwaltungszwecke“ ist als berechtigtes Interesse anerkannt, sodass die Interessenabwägung häufig zu Gunsten des Unternehmens ausfallen dürfte. Für die Übermittlung in das EU-Ausland gelten – wie bisher – weitergehende Beschränkungen.
Wie verhält es sich mit dem betrieblichen Datenschutzbeauftragten?
In Deutschland wird ein betrieblicher Datenschutzbeauftragter wie bisher erforderlich sein. Wird ein Arbeitnehmer ernannt, hat er vergleichbar einem Betriebsratsmitglied Sonderkündigungsschutz. Neu sind bestimmte Überwachungspflichten. Daraus wird gefolgert, dass der Datenschutzbeauftragte einer straf- bzw. ordnungswidrigkeitsrechtlichen Verantwortlichkeit und damit einem hohen eigenen Risiko unterliegt. Ferner wird vertreten, dass er – anders als es das Bundesarbeitsgericht derzeit sieht – künftig auch den Betriebsrat kontrollieren darf.
Fazit
Der Beschäftigtendatenschutz ist komplexer geworden. Zu berücksichtigen sind die Regelungen des DSGVO, des BDSG-neu, die Grundsätze der Rechtsprechung sowie die Beschlüsse der Aufsichtsbehörden. Das dadurch ohnehin gestiegene Risiko wird durch massive Bußgelder und die erweiterte Haftung zusätzlich erhöht.
Angesichts der näher rückenden Frist kann nur dringend angeraten werden, bestehende Prozesse und interne Regelungen unverzüglich zu überprüfen. Erste Aufsichtsbehörden haben bereits erklärt, keine Umsetzungsfristen zu gewähren.