10.05.2017 Experten geben Tipps zum neuen Beschäftigtendatenschutz

Wichtige Änderungen des neuen Datenschutzrechts

Von: Robert Schindler

Das neue Datenschutzrecht betrifft auch das Verhältnis von Arbeitnehmern und Arbeitgebern. Das müssen Beschäftigte und Unternehmen jetzt beachten >>>

  • Der Bundestag hat das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU) verabschiedet, das unter anderem das Bundesdatenschutzgesetz (BDSG) neu regelt.

  • Dr. Hans-Christian Woger ist Rechtsanwalt bei CMS in Deutschland.

    Andreas Josupeit ist Fachanwalt für Arbeitsrecht bei CMS in Deutschland.

  • Dr. Hans-Christian Woger ist Rechtsanwalt bei CMS in Deutschland.

    Dr. Hans-Christian Woger ist Rechtsanwalt bei CMS in Deutschland.

Die ab dem 25. Mai 2018 anzuwendende europäische Datenschutzgrundverordnung (DSGVO) vereinheitlicht europaweit das Datenschutzrecht. Dabei wurden jedoch, um Besonderheiten der jeweiligen Mitgliedsstaaten Rechnung zu tragen, zu verschiedenen Themenbereichen Öffnungsklauseln in die Verordnung integriert. Innerhalb eines gewissen Rahmens dürfen die Mitgliedsstaaten daher zum Beispiel spezielle Regelungen zum Arbeitnehmerschutz vorsehen. Von dieser Befugnis wird der deutsche Gesetzgeber Gebrauch machen. Am 27.04.2017 hat der Bundestag das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU) verabschiedet, das unter anderem das Bundesdatenschutzgesetz (BDSG) neu regelt. Mit der Zustimmung des Bundesrats wird am 12.05.2017 gerechnet.

Wir sprachen daher mit den Rechtsanwälten Andreas Josupeit und Dr. Hans-Christian Woger von CMS Hasche Sigle in Deutschland über die wichtigsten Aspekte:

ITM: Welche Änderungen sieht das Gesetz beim Arbeitnehmerdatenschutz vor?

Andreas Josupeit: Grundsätzlich ist – wie bisher – alles verboten, es sei denn, es ist ausdrücklich erlaubt. Die zentrale Erlaubnisnorm im Zusammenhang mit dem Beschäftigungsverhältnis ist der neue § 26 BDSG. Er wird etwa Maßstab sein für das Fragerecht des Arbeitgebers im Bewerbungsverfahren, die Personaldatenerhebung, die Videoüberwachung usw.

Hans-Christian Woger: Nach der Gesetzesbegründung soll der neue § 26 BDSG die bisherige Regelung des § 32 BDSG fortführen und auf der bisher ergangenen Rechtsprechung aufbauen. Tatsächlich scheint dies auf den ersten Blick auch der Fall zu sein. Im Detail und insbesondere im Zusammenspiel mit der am 25.05.2018 geltenden europäischen Datenschutzgrundverordnung (DSGVO) ergeben sich jedoch Neuerungen im Detail.

ITM: Was sind die weiteren Rechtsgrundlagen für eine Datenverarbeitung?

Woger: Eine weitere Möglichkeit ist z.B. die Einwilligung. Allerdings wird sich weiterhin die Frage stellen, unter welchen Voraussetzungen eine im Rahmen des Arbeitsverhältnisses erteilte Einwilligung „freiwillig“ erfolgt. Im neuen § 26 BDSG finden sich Indizien für die Beurteilung. Freiwilligkeit soll etwa vorliegen, wenn der Arbeitnehmer dadurch Vorteile erhält, wie zum Beispiel die Privatnutzung des betrieblichen IT-Systems. Allerdings wird gerade eine solche Verknüpfung von Kritikern als unzulässig angesehen. Neu ist auch, dass der Arbeitgeber über den Zweck der Datenverarbeitung und das Widerrufsrecht, unabhängig von der Rechtsgrundlage, aufklären muss.

Josupeit: Das neue BDSG erwähnt erstmals ausdrücklich, dass auch Betriebsvereinbarungen und Tarifverträge Rechtsgrundlage für eine Datenverarbeitung sein können. Dies entspricht der derzeitigen Praxis. Das Bundesarbeitsgericht sieht Betriebsvereinbarungen in ständiger Rechtsprechung schon lange als taugliche Rechtsgrundlage an. Aufgrund einer Betriebsvereinbarung zur IT-Nutzung können also rechtmäßig Daten erhoben werden. Nur müssen diese Betriebsvereinbarungen, worauf auch das neue BDSG hinweist, den Anforderungen der DSGVO gerecht werden und insbesondere das Transparenzgebot erfüllen. Daran könnte es derzeit vielfach fehlen, sodass möglicherweise mit dem Betriebsrat Anpassungen zu verhandeln sind. Das Gesetz nimmt nämlich ältere Betriebsvereinbarungen nicht aus.

ITM: Wie verhält es sich bei den Bußgeldern für Verstöße?

Josupeit: Es drohen bei Verstößen gegen die DSGVO empfindliche Bußgelder von bis zu 20 Millionen Euro oder – sofern dieser Betrag höher ist – vier Prozent des weltweiten Jahresumsatzes. Die deutschen Aufsichtsbehörden gehen sogar davon aus, dass auf den Jahresumsatz der gesamten Unternehmensgruppe bzw. des Konzerns abzustellen ist.

Auch wenn der Bußgeldrahmen Extremfällen vorbehalten bleiben wird, ist zu beachten, dass der Abschreckungseffekt einen wichtigen Stellenwert einnehmen wird. Es ist damit zu rechnen, dass es europaweit zu einer Angleichung kommen wird.

"Es kann schnell zu hohen Bußgeldern kommen."

Woger: Aufsehen erregt eine Äußerung der irischen Datenschutzbehörde, die aufgrund der Unternehmenssitze von großen Internetkonzernen in Irland eine erhebliche Relevanz hat. So ist die Behörde wohl gewillt, den Bußgeldrahmen vollständig auszuschöpfen und sie will auch keine „Übergangsfrist“ einräumen. Es kann also schnell zu hohen Bußgeldern kommen.

ITM: Haften Unternehmen bei Verstößen auch gegenüber ihren Arbeitnehmern?

Josupeit: Ja, wobei sich das Haftungsrisiko verschärft. Neben „echten“ Schäden sind nach den Neuregelungen auch sogenannte Nichtvermögensschäden zu ersetzen, es werden also Schmerzensgeldansprüche bei Datenschutzverstößen ermöglicht.

Eine weitere Neuerung ist die Beweislastumkehr: Das datenverarbeitende Unternehmen muss nachweisen, dass es keine Verantwortlichkeit trifft. Das erhöht sowohl den Aufwand als auch das Risiko einer Datenverarbeitung.

"Eine weitere Neuerung ist die Beweislastumkehr."

ITM: Wie ist die Rolle von betrieblichen Datenschutzbeauftragten zu bewerten?

Woger: Diese werden eine noch wichtigere Rolle spielen. An der derzeit in Deutschland geltenden erweiterten Bestellpflicht wird sich nichts ändern. Unter anderem ist ein Datenschutzbeauftragter zu bestellen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wird ein Arbeitnehmer bestellt, genießt er nach der deutschen Sonderregelung nach wie vor Sonderkündigungsschutz.

Josupeit: Erweitert haben sich die Pflichten des Datenschutzbeauftragten. Neben der Beratung und Information ist die Überwachung eine seiner zentralen Aufgaben. Daraus wird zum Teil gefolgert, dass ihm auch eine haftungsträchtige Compliance-Verantwortlichkeit zukommen wird. Darüber hinaus dürfte sich – was nach der derzeitigen Rechtsprechung des Bundesarbeitsgerichts nicht der Fall ist – die Überwachung zukünftig auch auf den Betriebsrat erstrecken.

ITM: Wie bewerten Sie die Änderungen im Beschäftigtendatenschutz?

Josupeit: Der Beschäftigtendatenschutz wird zukünftig für die Anwender, insbesondere die Arbeitgeber, noch schwieriger zu handhaben. Es sind zwei ineinander greifende Regelungswerke – begleitet von den Entschlüssen der jeweiligen Aufsichtsbehörden – sowie zusätzlich die Grundsätze der Rechtsprechung des Bundesarbeitsgerichts zu beachten.

"Der Gesetzgeber hat die Chance verpasst, den Beschäftigtendatenschutz jedenfalls in Nuancen verständlicher und transparenter zu regeln."

Nicht mit der Materie vertraute Personen dürfte es etwa überraschen, dass auch die heimliche Videoüberwachung im Rahmen eines Arbeitsverhältnisses unter den neuen § 26 BDSG fällt. Der Gesetzgeber hat die Chance verpasst, den Beschäftigtendatenschutz jedenfalls in Nuancen verständlicher und transparenter zu regeln.

Woger: Zu ergänzen ist, dass der Gesetzgeber sich in der Gesetzesbegründung jedoch vorbehalten hat, die Fragen des Beschäftigtendatenschutzes in einem eigenen Gesetz zu regeln. Es ist also nicht ausgeschlossen, dass in diesem Bereich noch nicht das letzte Wort gesprochen ist und tatsächlich noch die seit Jahren von vielen Seiten geforderte umfassende Regelung erfolgt.

ITM: Was müssen Unternehmen also künftig beachten?

Josupeit: Bestehende Betriebsvereinbarungen, die Grundlage für eine Datenverarbeitung sein sollen, sind auf ihre Vereinbarkeit mit dem neuen Datenschutzrecht zu überprüfen. Neue Betriebsvereinbarungen sind mit Blick auf die Neuregelungen auszugestalten. Eine Übergangsregelung gibt es nicht, die Vorgaben sind ab dem 25.05.2018 anzuwenden und es ist ab diesem Zeitpunkt mit einer Verfolgung von Verstößen zu rechnen. Auch dehnt die DSGOV die Informationspflichten aus und sieht erweiterte Dokumentations- und Nachweispflichten vor. Die Unternehmen müssen daher ihre Prozesse insgesamt an die Vorgaben der DSGVO und des BDSG anpassen.

Woger: Auch Mitarbeiter müssen auf die Neuregelungen vorbereitet, geschult und sensibilisiert werden. Es müssen klare Verantwortlichkeiten festgelegt werden, um Verstöße und mögliche Bußgelder zu vermeiden.

Bildquelle: CMS / Thinkstock/iStock

Weiterführende Informationen zum Thema finden Sie auch auf dem CMS-Blog

 

 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH