open search
close
Betriebsrat Datenschutz

Betriebsvereinbarungen und EU-Datenschutz-Grundverordnung: Arbeit im Anmarsch …

Print Friendly, PDF & Email
Datenschutz Betriebsvereinbarungen

Die meisten wissen mittlerweile: Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Die meisten wissen auch: So einiges ändert sich dadurch beim Datenschutz – auch beim Beschäftigtendatenschutz. Aber wenn’s konkret wird, werden viele unsicher. Wir geben einen Überblick darüber, welche Auswirkungen die EU-Datenschutz-Grundverordnung auf Betriebsvereinbarungen hat – auf bereits bestehende und auf neue – und warum das Thema oben auf der Agenda angekommen ist.

Warum reden alle auf einmal nur noch von der EU-Datenschutz-Grundverordnung?

„Wir haben doch unser ‚schönes‘ Bundesdatenschutzgesetz, wozu soll ich jetzt auch noch die EU-Datenschutz-Grundverordnung beachten?“, fragt sich so mancher Arbeitgeber. Stimmt, wir haben das BDSG. Das ist und bleibt auch in Kraft. Aber die Vorgaben der EU-Datenschutz-Grundverordnung dürften aus drei Gründen für Arbeitgeber zukünftig den entscheidenden Maßstab im Datenschutzrecht darstellen:

  • Die EU-Datenschutz-Grundverordnung hat als Verordnung der EU im Sinne des Artikels 288 AEUV sog. unmittelbare Wirkung. Das heißt, sie gilt auch für Arbeitgeber „wie ein Gesetz“, ohne dass es eines Umsetzungsaktes durch den Mitgliedstaat bedarf.
  • Die geplante BDSG-Novelle bleibt teilweise hinter den Standards der EU-Datenschutz-Grundverordnung zurück. So sind im aktuellen Entwurf etwa niedrigere Anforderungen an die Informationspflichten vorgesehen. In diesen Punkten könnte die BDSG-Novelle gegen die EU-Datenschutz-Grundverordnung verstoßen, die dann Anwendungsvorrang genießt. Das heißt: Der höhere Schutzstandard der EU-Datenschutz-Grundverordnung gilt in diesem Fall als verbindlich, unabhängig davon, was im neuen BDSG geregelt sein wird.

An der EU-Datenschutz-Grundverordnung führt also kein Weg vorbei. Das gilt auch für Betriebsvereinbarungen…


Welche Rolle spielen Betriebsvereinbarungen zukünftig?

Fangen wir mit dem an, was sich nicht ändert: Betriebsvereinbarungen können auch nach der EU-Datenschutz-Grundverordnung eine Erlaubnis für Datenverarbeitungen darstellen. Das folgt aus Artikel 88 Absatz 1 der EU-Datenschutz-Grundverordnung, nach dem „durch Kollektivvereinbarungen spezifischere Vorschriften“ im Beschäftigungskontext vorgesehen werden können. Zu diesen Kollektivvereinbarungen zählen laut Erwägungsgrund 155 der EU-Datenschutz-Grundverordnung ausdrücklich Betriebsvereinbarungen.

Arbeitgeber können also nach wie vor „typische“ Datenverarbeitungsthemen wie E-Mail-Kotrollen, Videoüberwachung oder Datentransfer im Konzern in Betriebsvereinbarungen regeln, ohne dass hierfür von jedem betroffenen Mitarbeiter einzeln eine Einwilligung einzuholen wäre.

… soweit die gute Nachricht

Das heißt aus Sicht des Arbeitgebers aber nicht, dass er für die Datenverarbeitung einfach eine Betriebsvereinbarung abschließen könnte und alles wäre „im grünen Bereich“. Denn dass Betriebsvereinbarungen grundsätzlich einen Erlaubnistatbestand darstellen, ist nur ein Aspekt. Daneben müssen die „übrigen“ Vorgaben der EU-Datenschutz-Grundverordnung beachtet werden – üblicherweise bereits in der Betriebsvereinbarung. Ansonsten würde es sich bei der Betriebsvereinbarung nämlich nicht um eine „spezifischere Vorschrift“ im Sinne des Artikels 88 Absatz 1 der EU-Datenschutz-Grundverordnung handeln.

Welche „übrigen“ Vorgaben macht die EU-Datenschutz-Grundverordnung?

Die „übrigen“ Vorgaben lassen sich im Wesentlichen in drei Kategorien einteilen:

  • Einhaltung der allgemeinen Datenschutzgrundsätze
  • Einhaltung der Informationspflichten gegenüber den Arbeitnehmern
  • Abbildung von Arbeitnehmerrechten bei der Datenverarbeitung

Nachfolgend werden beispielhaft und nicht abschließend einige der Vorgaben in den jeweiligen Kategorien aufgelistet.

 

 

Wie gehe ich als Arbeitgeber die Geschichte jetzt an?

Wir empfehlen Arbeitgebern zunächst eine Vorgehensweise in drei Schritten:

  • Check 1: Welche bestehenden Betriebsvereinbarungen regeln überhaupt Datenverarbeitungsvorgänge?
  • Check 2: Werden in diesen Betriebsvereinbarungen die Vorgaben der EU-Datenschutz-Grundverordnung eingehalten?
  • Check 3: Ist es sinnvoll, eine Rahmen-Betriebsvereinbarung abzuschließen, z. B. hinsichtlich allgemeiner Informationspflichten des Arbeitgebers?

Warum eigentlich jetzt schon?

Mai 2018? Bis dahin ist ja noch zwei Mal Karneval und einmal Weihnachten. Richtig. Trotzdem sollten Arbeitgeber bereits jetzt das Thema EU-Datenschutz-Grundverordnung und Betriebsvereinbarungen angehen. Denn…

  • … erfahrungsgemäß besteht bis 25. Mai 2018 Anpassungsbedarf bei einem Großteil der Betriebsvereinbarungen zu Datenschutzverarbeitungen.
  • … die Vorgaben der EU-Datenschutz-Grundverordnung sollten bereits bei neuen Betriebsvereinbarungen beachtet werden.
  • … teilweise besteht Schulungsbedarf bei Mitarbeitern hinsichtlich der Vorgaben der EU-Datenschutz-Grundverordnung, der jetzt “abgearbeitet” werden sollte.

So weit, so gut. Aber warum wird das Thema überhaupt so hochgehängt?

Bislang lief das Thema Datenschutz so nebenher. Man hatte es auf dem Schirm, aber negative Auswirkungen gab es meist nur in krassen, öffentlichkeitswirksamen Datenschutzskandalen. Das dürfte sich mit Inkrafttreten der EU-Datenschutz-Grundverordnung ändern. Denn ab dann trägt die EU-Kommission dafür Sorge, dass die Vorgaben der EU-Datenschutz-Grundverordnung in den Mitgliedstaaten auch tatsächlich beachtet werden – bei Arbeitgebern, Datenschutzbehörden oder Gerichten.

Konkret sprechen aus Arbeitgebersicht drei Gründe für die Compliance mit der EU-Datenschutz-Grundverordnung:

  • Hohe Bußgelder möglich: Nach der EU-Datenschutz-Grundverordnung können Unternehmen im Worst Case Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs auferlegt werden – je nachdem, was höher ist, vgl. Artikel 83 Absatz 5 EU-Datenschutz-Grundverordnung. Dieser Bußgeldrahmen gilt auch für die Verletzung der allgemeinen Datenschutzgrundsätze wie Transparenz, Zweckbindung, Speicherbegrenzung etc. oder etwa bei der Verletzung von Informationspflichten.
  • Beweisverwertungsverbote drohen: Datenerhebungen, die nicht im Einklang mit der EU-Datenschutz-Grundverordnung stehen, können in Kündigungsschutzverfahren möglicherweise nicht zur Rechtfertigung von Kündigungen angeführt werden.
  • Image-Verluste denkbar: Die Sensibilität für Datenschutz nimmt zu. Wenn Vorgänge im Unternehmen gegen die EU-Datenschutz-Grundverordnung verstoßen, leidet das Image nach innen und nach außen. Diese Image-Verluste schlagen sich nicht selten wirtschaftlich negativ nieder.

 

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
BEM Individualarbeitsrecht

BEM-Einladungsschreiben – keine reine Formalität!

Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
Datenschutz Neueste Beiträge

Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert