open search
close
Betriebsrat Datenschutz

Betriebsvereinbarungen und EU-Datenschutz-Grundverordnung: Arbeit im Anmarsch …

Print Friendly, PDF & Email
Datenschutz Betriebsvereinbarungen

Die meisten wissen mittlerweile: Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Die meisten wissen auch: So einiges ändert sich dadurch beim Datenschutz – auch beim Beschäftigtendatenschutz. Aber wenn’s konkret wird, werden viele unsicher. Wir geben einen Überblick darüber, welche Auswirkungen die EU-Datenschutz-Grundverordnung auf Betriebsvereinbarungen hat – auf bereits bestehende und auf neue – und warum das Thema oben auf der Agenda angekommen ist.

Warum reden alle auf einmal nur noch von der EU-Datenschutz-Grundverordnung?

„Wir haben doch unser ‚schönes‘ Bundesdatenschutzgesetz, wozu soll ich jetzt auch noch die EU-Datenschutz-Grundverordnung beachten?“, fragt sich so mancher Arbeitgeber. Stimmt, wir haben das BDSG. Das ist und bleibt auch in Kraft. Aber die Vorgaben der EU-Datenschutz-Grundverordnung dürften aus drei Gründen für Arbeitgeber zukünftig den entscheidenden Maßstab im Datenschutzrecht darstellen:

  • Die EU-Datenschutz-Grundverordnung hat als Verordnung der EU im Sinne des Artikels 288 AEUV sog. unmittelbare Wirkung. Das heißt, sie gilt auch für Arbeitgeber „wie ein Gesetz“, ohne dass es eines Umsetzungsaktes durch den Mitgliedstaat bedarf.
  • Die geplante BDSG-Novelle bleibt teilweise hinter den Standards der EU-Datenschutz-Grundverordnung zurück. So sind im aktuellen Entwurf etwa niedrigere Anforderungen an die Informationspflichten vorgesehen. In diesen Punkten könnte die BDSG-Novelle gegen die EU-Datenschutz-Grundverordnung verstoßen, die dann Anwendungsvorrang genießt. Das heißt: Der höhere Schutzstandard der EU-Datenschutz-Grundverordnung gilt in diesem Fall als verbindlich, unabhängig davon, was im neuen BDSG geregelt sein wird.

An der EU-Datenschutz-Grundverordnung führt also kein Weg vorbei. Das gilt auch für Betriebsvereinbarungen…


Welche Rolle spielen Betriebsvereinbarungen zukünftig?

Fangen wir mit dem an, was sich nicht ändert: Betriebsvereinbarungen können auch nach der EU-Datenschutz-Grundverordnung eine Erlaubnis für Datenverarbeitungen darstellen. Das folgt aus Artikel 88 Absatz 1 der EU-Datenschutz-Grundverordnung, nach dem „durch Kollektivvereinbarungen spezifischere Vorschriften“ im Beschäftigungskontext vorgesehen werden können. Zu diesen Kollektivvereinbarungen zählen laut Erwägungsgrund 155 der EU-Datenschutz-Grundverordnung ausdrücklich Betriebsvereinbarungen.

Arbeitgeber können also nach wie vor „typische“ Datenverarbeitungsthemen wie E-Mail-Kotrollen, Videoüberwachung oder Datentransfer im Konzern in Betriebsvereinbarungen regeln, ohne dass hierfür von jedem betroffenen Mitarbeiter einzeln eine Einwilligung einzuholen wäre.

… soweit die gute Nachricht

Das heißt aus Sicht des Arbeitgebers aber nicht, dass er für die Datenverarbeitung einfach eine Betriebsvereinbarung abschließen könnte und alles wäre „im grünen Bereich“. Denn dass Betriebsvereinbarungen grundsätzlich einen Erlaubnistatbestand darstellen, ist nur ein Aspekt. Daneben müssen die „übrigen“ Vorgaben der EU-Datenschutz-Grundverordnung beachtet werden – üblicherweise bereits in der Betriebsvereinbarung. Ansonsten würde es sich bei der Betriebsvereinbarung nämlich nicht um eine „spezifischere Vorschrift“ im Sinne des Artikels 88 Absatz 1 der EU-Datenschutz-Grundverordnung handeln.

Welche „übrigen“ Vorgaben macht die EU-Datenschutz-Grundverordnung?

Die „übrigen“ Vorgaben lassen sich im Wesentlichen in drei Kategorien einteilen:

  • Einhaltung der allgemeinen Datenschutzgrundsätze
  • Einhaltung der Informationspflichten gegenüber den Arbeitnehmern
  • Abbildung von Arbeitnehmerrechten bei der Datenverarbeitung

Nachfolgend werden beispielhaft und nicht abschließend einige der Vorgaben in den jeweiligen Kategorien aufgelistet.

 

 

Wie gehe ich als Arbeitgeber die Geschichte jetzt an?

Wir empfehlen Arbeitgebern zunächst eine Vorgehensweise in drei Schritten:

  • Check 1: Welche bestehenden Betriebsvereinbarungen regeln überhaupt Datenverarbeitungsvorgänge?
  • Check 2: Werden in diesen Betriebsvereinbarungen die Vorgaben der EU-Datenschutz-Grundverordnung eingehalten?
  • Check 3: Ist es sinnvoll, eine Rahmen-Betriebsvereinbarung abzuschließen, z. B. hinsichtlich allgemeiner Informationspflichten des Arbeitgebers?

Warum eigentlich jetzt schon?

Mai 2018? Bis dahin ist ja noch zwei Mal Karneval und einmal Weihnachten. Richtig. Trotzdem sollten Arbeitgeber bereits jetzt das Thema EU-Datenschutz-Grundverordnung und Betriebsvereinbarungen angehen. Denn…

  • … erfahrungsgemäß besteht bis 25. Mai 2018 Anpassungsbedarf bei einem Großteil der Betriebsvereinbarungen zu Datenschutzverarbeitungen.
  • … die Vorgaben der EU-Datenschutz-Grundverordnung sollten bereits bei neuen Betriebsvereinbarungen beachtet werden.
  • … teilweise besteht Schulungsbedarf bei Mitarbeitern hinsichtlich der Vorgaben der EU-Datenschutz-Grundverordnung, der jetzt “abgearbeitet” werden sollte.

So weit, so gut. Aber warum wird das Thema überhaupt so hochgehängt?

Bislang lief das Thema Datenschutz so nebenher. Man hatte es auf dem Schirm, aber negative Auswirkungen gab es meist nur in krassen, öffentlichkeitswirksamen Datenschutzskandalen. Das dürfte sich mit Inkrafttreten der EU-Datenschutz-Grundverordnung ändern. Denn ab dann trägt die EU-Kommission dafür Sorge, dass die Vorgaben der EU-Datenschutz-Grundverordnung in den Mitgliedstaaten auch tatsächlich beachtet werden – bei Arbeitgebern, Datenschutzbehörden oder Gerichten.

Konkret sprechen aus Arbeitgebersicht drei Gründe für die Compliance mit der EU-Datenschutz-Grundverordnung:

  • Hohe Bußgelder möglich: Nach der EU-Datenschutz-Grundverordnung können Unternehmen im Worst Case Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs auferlegt werden – je nachdem, was höher ist, vgl. Artikel 83 Absatz 5 EU-Datenschutz-Grundverordnung. Dieser Bußgeldrahmen gilt auch für die Verletzung der allgemeinen Datenschutzgrundsätze wie Transparenz, Zweckbindung, Speicherbegrenzung etc. oder etwa bei der Verletzung von Informationspflichten.
  • Beweisverwertungsverbote drohen: Datenerhebungen, die nicht im Einklang mit der EU-Datenschutz-Grundverordnung stehen, können in Kündigungsschutzverfahren möglicherweise nicht zur Rechtfertigung von Kündigungen angeführt werden.
  • Image-Verluste denkbar: Die Sensibilität für Datenschutz nimmt zu. Wenn Vorgänge im Unternehmen gegen die EU-Datenschutz-Grundverordnung verstoßen, leidet das Image nach innen und nach außen. Diese Image-Verluste schlagen sich nicht selten wirtschaftlich negativ nieder.

 

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht).
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Datenschutz ESG Neueste Beiträge Video

Beschäftigtendaten – darf man sie zum Beispiel für ESG-Befragungen einfach nutzen? (Video)

Im Laufe eines Arbeitslebens sammeln Arbeitgeber von ihren Mitarbeitenden viele Daten, beginnend bei der Bewerbung über die Einstellung und auch während des Beschäftigungsverhältnisses. Teilweise werden diese Informationen auch durch Umfragen aktiv gesammelt – derzeit sehr aktuell etwa beim Thema ESG. Dabei stellt sich die Frage, ob diese einmalig für einen bestimmten Zweck gesammelten Daten auch für andere Zwecke als den ursprünglichen genutzt werden können, etwa…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert