Startklar für die Datenschutz-Grundverordnung
16 January 2018
Am 25.05.2018 tritt die neue Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, kurz: DS-GVO) in Kraft – europaweit und damit gleichzeitig für alle EU-Mitgliedsstaaten. Mit der DS-GVO werden die europäischen Datenschutzvorschriften harmonisiert und auch die Rechtslage nach den bisher in Deutschland geltenden Vorschriften, insbesondere dem Bundesdatenschutzgesetz (BDSG), wird einige Änderungen erfahren. Warum durch europarechtliche Vorgaben und bevorstehende Änderungen im BDSG das Rad bei der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis nicht neu erfunden, Arbeitgeber aber dennoch die für ihr Unternehmen geltenden Regelungen auf den Prüfstand stellen sollten, erfahren Sie im folgenden Beitrag.
Da heutzutage praktisch jedes Unternehmen personenbezogene Daten seiner Beschäftigten in EDV verarbeitet, sollten sich Arbeitgeber rechtzeitig um die Umsetzung der neuen Spielregeln im Datenschutz kümmern. Kern des neuen Beschäftigtendatenschutzes wird der reformierte § 26 BDSG n.F. (Art. 88 DS-GVO) sein. Dieser wird die bisherige allgemeine, aber durch die arbeitsgerichtliche Rechtsprechung ausdifferenzierte Grundnorm § 32 BDSG a.F. ab dem 25.05.2018 ablösen. An wesentlichen datenschutzrechtlichen Prinzipien wird sich – trotz deutlich gewachsenen Umfangs von § 26 BDSG n.F. – nichts ändern. Allerdings sieht die DS-GVO eine Reihe strengerer Vorgaben beim Datenschutz vor, von denen weder die nationalen Gesetzgeber, noch die Tarifvertragsparteien, noch die Betriebspartner abweichen dürfen.
Nach der Definition umfassen „personenbezogenen Daten“ sehr weitreichend „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art.4 Nr.1 DS-GVO). Das können nicht nur Namen oder Adressen sein, sondern beispielsweise auch Telefon- oder Personalnummern, Email-Adressen, Anwesenheits-/Kalenderzeiten oder IP-Adressen. Dies jedenfalls dann, wenn sich – ggf. nur mit entsprechendem Zusatzwissen – ein Bezug zur jeweiligen Person herstellen lässt.
Die Verarbeitung personenbezogener Daten ist nur bei Eingreifen einer Erlaubnisnorm rechtmäßig. Ein Verstoß gegen die Bestimmungen der DS-GVO kann ab dem 25.05.2018 mit Bußgeldern in erheblicher Höhe geahndet werden (20 Mio. € oder 4 % des gesamten weltweit erzielten Jahresumsatzes) – Unternehmen sind daher gut beraten, die neuen Spielregeln zu beachten. Außerdem drohen Beweisverwertungsverbote bei rechtswidrigen Datenerhebungen, die etwa arbeitsrechtliche Maßnahmen deutlich erschweren können (z.B. im Rahmen von Kündigungsschutzverfahren). Die Reichweite rechtswidriger Datenverarbeitung zeigen etwa das Keylogger-Urteil des Bundesarbeitsgerichts (BAG, Urteil vom 27.7.2017 – 2 AZR 681/16) oder die Barbulescu-Entscheidung des EGMR (Urteil vom 12.01.2016 - 61496/08) auf.
Wie bislang auch dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs.1 S.1 BDSG n.F.). Bei der Annahme dieser Norm ist Vorsicht geboten, denn nach der strengen Sicht der DS-GVO wird ein Großteil der häufig umfassend in EDV vorgehaltenen Daten den strengen Maßstab der Erforderlichkeit nicht erfüllen; die vermeintlich offene Erlaubnisnorm in § 26 Abs.1 S.1 BDSG n.F. greift nicht. Die Verarbeitung erfolgt dann ohne rechtliche Grundlage, also rechtswidrig.
An der Erlaubnisgrundlage in § 26 Abs.1 S.2 BDSG bei der Aufdeckung von Straftaten haben sich keine maßgeblichen Änderungen ergeben. Hier reicht üblicherweise ein einfacher Anfangsverdacht, wenn die Verarbeitung personenbezogener Daten zur Aufdeckung der Straftat erforderlich ist und das Interesse des Arbeitnehmers am Schutz personenbezogener Daten nicht überwiegt.
Die Verarbeitung personenbezogener Daten kann – wie im bisherigen Recht grundsätzlich auch – auf die Erteilung einer Einwilligung durch den Arbeitnehmer gestützt werden (§ 26 Abs.2 BDSG n.F.). Eine zuverlässige Erlaubnisnorm für die Verarbeitung stellt die Einwilligung aufgrund der hohen rechtlichen Anforderungen an ihre Wirksamkeit allerdings nicht dar. Insbesondere fordert die DS-GVO, dass der Beschäftigte „freiwillig“ in die Datenverarbeitung einwilligt (Art. 6 (1) a), 7 DS-GVO), z.B. weil er einen rechtlichen oder wirtschaftlichen Vorteil erlangt. Angesichts der besonderen Abhängigkeit im Beschäftigungsverhältnis wird dies aber nicht immer der Fall sein. Zudem ist die Einwilligung jederzeit widerruflich.
Weitere Kompetenzen räumt die DS-GVO den Tarifvertragsparteien und Betriebspartnern ein (§ 26 Abs.4 BDSG n.F.; Art. 88 DS-GVO). Die Verarbeitung personenbezogener Daten kann demnach auch aufgrund von Tarifverträgen und Betriebsvereinbarungen erfolgen, wenn diese DS-GVO-konform ausgestaltet sind und gegenüber der DS-GVO „spezifischere Vorschriften“ darstellen. Hierzu müssen kollektivvertragliche Erlaubnisnormen insbesondere Datenschutzgrundsätze (z.B. Zweckbindung und „Datensparsamkeit“) und Informationspflichten gegenüber Beschäftigten einhalten sowie die Rechte der betroffenen Beschäftigten (z.B. Widerspruchs- oder Löschrechte) ausgestalten. Kollektivrechtliche Regelungen stellen dann selbst eine taugliche Erlaubnisnorm dar.
Die DS-GVO überlässt Unternehmen letztlich die Wahl zwischen mehreren, in Betracht kommenden Erlaubnisnormen. Aufgrund der beachtlichen finanziellen und rechtlichen Konsequenzen sollten die momentan angewendeten arbeitsvertraglichen und betrieblichen Regelungen aber kritisch hinterfragt werden.
For further information, contact:
David Meyer, Rechtsanwalt
ebl esch & kramer, Düsseldorf
t: +49 211-60 22 400