Die meisten wissen mittlerweile: Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Die meisten wissen auch: So einiges ändert sich dadurch beim Datenschutz – auch beim Beschäftigtendatenschutz. Aber wenn’s konkret wird, werden viele unsicher. Wir geben einen Überblick darüber, welche Auswirkungen die EU-Datenschutz-Grundverordnung auf Betriebsvereinbarungen hat – auf bereits bestehende und auf neue – und warum das Thema oben auf der Agenda angekommen ist.
Warum reden alle auf einmal nur noch von der EU-Datenschutz-Grundverordnung?
„Wir haben doch unser ‚schönes‘ Bundesdatenschutzgesetz, wozu soll ich jetzt auch noch die EU-Datenschutz-Grundverordnung beachten?“, fragt sich so mancher Arbeitgeber. Stimmt, wir haben das BDSG. Das ist und bleibt auch in Kraft. Aber die Vorgaben der EU-Datenschutz-Grundverordnung dürften aus drei Gründen für Arbeitgeber zukünftig den entscheidenden Maßstab im Datenschutzrecht darstellen:
- Die EU-Datenschutz-Grundverordnung hat als Verordnung der EU im Sinne des Artikels 288 AEUV sog. unmittelbare Wirkung. Das heißt, sie gilt auch für Arbeitgeber „wie ein Gesetz“, ohne dass es eines Umsetzungsaktes durch den Mitgliedstaat bedarf.
- Zwar plant die Bundesregierung derzeit eine Novelle des BDSG, in der sich die Vorgaben der EU-Datenschutz-Grundverordnung wiederfinden sollen (siehe dazu den Beitrag von Dr. Till Hoffmann-Remy „DSAnpUG-EU: Beschäftigtendatenschutz oder nur Buchstabensalat?“ vom 8. Februar 2017). Mehr als unsicher ist jedoch, ob diese Novelle überhaupt noch vor dem 25. Mai 2018 beschlossen wird und in Kraft tritt.
- Die geplante BDSG-Novelle bleibt teilweise hinter den Standards der EU-Datenschutz-Grundverordnung zurück. So sind im aktuellen Entwurf etwa niedrigere Anforderungen an die Informationspflichten vorgesehen. In diesen Punkten könnte die BDSG-Novelle gegen die EU-Datenschutz-Grundverordnung verstoßen, die dann Anwendungsvorrang genießt. Das heißt: Der höhere Schutzstandard der EU-Datenschutz-Grundverordnung gilt in diesem Fall als verbindlich, unabhängig davon, was im neuen BDSG geregelt sein wird.
An der EU-Datenschutz-Grundverordnung führt also kein Weg vorbei. Das gilt auch für Betriebsvereinbarungen…
Welche Rolle spielen Betriebsvereinbarungen zukünftig?
Fangen wir mit dem an, was sich nicht ändert: Betriebsvereinbarungen können auch nach der EU-Datenschutz-Grundverordnung eine Erlaubnis für Datenverarbeitungen darstellen. Das folgt aus Artikel 88 Absatz 1 der EU-Datenschutz-Grundverordnung, nach dem „durch Kollektivvereinbarungen spezifischere Vorschriften“ im Beschäftigungskontext vorgesehen werden können. Zu diesen Kollektivvereinbarungen zählen laut Erwägungsgrund 155 der EU-Datenschutz-Grundverordnung ausdrücklich Betriebsvereinbarungen.
Arbeitgeber können also nach wie vor „typische“ Datenverarbeitungsthemen wie E-Mail-Kotrollen, Videoüberwachung oder Datentransfer im Konzern in Betriebsvereinbarungen regeln, ohne dass hierfür von jedem betroffenen Mitarbeiter einzeln eine Einwilligung einzuholen wäre.
… soweit die gute Nachricht
Das heißt aus Sicht des Arbeitgebers aber nicht, dass er für die Datenverarbeitung einfach eine Betriebsvereinbarung abschließen könnte und alles wäre „im grünen Bereich“. Denn dass Betriebsvereinbarungen grundsätzlich einen Erlaubnistatbestand darstellen, ist nur ein Aspekt. Daneben müssen die „übrigen“ Vorgaben der EU-Datenschutz-Grundverordnung beachtet werden – üblicherweise bereits in der Betriebsvereinbarung. Ansonsten würde es sich bei der Betriebsvereinbarung nämlich nicht um eine „spezifischere Vorschrift“ im Sinne des Artikels 88 Absatz 1 der EU-Datenschutz-Grundverordnung handeln.
Welche „übrigen“ Vorgaben macht die EU-Datenschutz-Grundverordnung?
Die „übrigen“ Vorgaben lassen sich im Wesentlichen in drei Kategorien einteilen:
- Einhaltung der allgemeinen Datenschutzgrundsätze
- Einhaltung der Informationspflichten gegenüber den Arbeitnehmern
- Abbildung von Arbeitnehmerrechten bei der Datenverarbeitung
Nachfolgend werden beispielhaft und nicht abschließend einige der Vorgaben in den jeweiligen Kategorien aufgelistet.
Wie gehe ich als Arbeitgeber die Geschichte jetzt an?
Wir empfehlen Arbeitgebern zunächst eine Vorgehensweise in drei Schritten:
- Check 1: Welche bestehenden Betriebsvereinbarungen regeln überhaupt Datenverarbeitungsvorgänge?
- Check 2: Werden in diesen Betriebsvereinbarungen die Vorgaben der EU-Datenschutz-Grundverordnung eingehalten?
- Check 3: Ist es sinnvoll, eine Rahmen-Betriebsvereinbarung abzuschließen, z. B. hinsichtlich allgemeiner Informationspflichten des Arbeitgebers?
Warum eigentlich jetzt schon?
Mai 2018? Bis dahin ist ja noch zwei Mal Karneval und einmal Weihnachten. Richtig. Trotzdem sollten Arbeitgeber bereits jetzt das Thema EU-Datenschutz-Grundverordnung und Betriebsvereinbarungen angehen. Denn…
- … erfahrungsgemäß besteht bis 25. Mai 2018 Anpassungsbedarf bei einem Großteil der Betriebsvereinbarungen zu Datenschutzverarbeitungen.
- … die Vorgaben der EU-Datenschutz-Grundverordnung sollten bereits bei neuen Betriebsvereinbarungen beachtet werden.
- … teilweise besteht Schulungsbedarf bei Mitarbeitern hinsichtlich der Vorgaben der EU-Datenschutz-Grundverordnung, der jetzt “abgearbeitet” werden sollte.
So weit, so gut. Aber warum wird das Thema überhaupt so hochgehängt?
Bislang lief das Thema Datenschutz so nebenher. Man hatte es auf dem Schirm, aber negative Auswirkungen gab es meist nur in krassen, öffentlichkeitswirksamen Datenschutzskandalen. Das dürfte sich mit Inkrafttreten der EU-Datenschutz-Grundverordnung ändern. Denn ab dann trägt die EU-Kommission dafür Sorge, dass die Vorgaben der EU-Datenschutz-Grundverordnung in den Mitgliedstaaten auch tatsächlich beachtet werden – bei Arbeitgebern, Datenschutzbehörden oder Gerichten.
Konkret sprechen aus Arbeitgebersicht drei Gründe für die Compliance mit der EU-Datenschutz-Grundverordnung:
- Hohe Bußgelder möglich: Nach der EU-Datenschutz-Grundverordnung können Unternehmen im Worst Case Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs auferlegt werden – je nachdem, was höher ist, vgl. Artikel 83 Absatz 5 EU-Datenschutz-Grundverordnung. Dieser Bußgeldrahmen gilt auch für die Verletzung der allgemeinen Datenschutzgrundsätze wie Transparenz, Zweckbindung, Speicherbegrenzung etc. oder etwa bei der Verletzung von Informationspflichten.
- Beweisverwertungsverbote drohen: Datenerhebungen, die nicht im Einklang mit der EU-Datenschutz-Grundverordnung stehen, können in Kündigungsschutzverfahren möglicherweise nicht zur Rechtfertigung von Kündigungen angeführt werden.
- Image-Verluste denkbar: Die Sensibilität für Datenschutz nimmt zu. Wenn Vorgänge im Unternehmen gegen die EU-Datenschutz-Grundverordnung verstoßen, leidet das Image nach innen und nach außen. Diese Image-Verluste schlagen sich nicht selten wirtschaftlich negativ nieder.