Der neue Beschäftigtendatenschutz
Am 25. Mai 2018 treten die neue europäische Datenschutzgrundverordnung (DSGVO) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Viele altbekannte Vorgaben im Datenschutzrecht werden sich dadurch ändern. Ein besonderer Handlungsbedarf besteht insbesondere im Beschäftigtendatenschutz. Neben den Regelungen im neuen § 26 BDSG haben die Arbeitgeber künftig auch die zahlreichen Vorschriften der DSGVO zu beachten. An der Grundregel, dass ohne Rechtsgrundlage oder Einwilligung des Betroffenen jegliche Verarbeitung von personenbezogenen Daten verboten ist, ändert die neue Rechtslage jedoch nichts.
Rechtsgrundlage, Art. 88 DSGVO, § 26 BDSG-neu
Art. 88 DSGVO enthält als zentrale Rechtsgrundlage die wesentlichen Vorgaben für den Beschäftigtendatenschutz. Durch diese Öffnungsklausel werden konkretisierende mitgliedstaatliche Regelungen zum Beschäftigtendatenschutz ermöglicht. § 88 Abs. 1 DSGVO bestimmt, dass spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext auch durch Kollektivvereinbarungen (Betriebsvereinbarungen) vorgesehen werden können. Durch Kollektivvereinbarungen können nach Art. 88 DSGVO besondere Vorschriften
- über die Bedingungen vorgesehen werden, unter denen personenbezogenen Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen,
- über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses.
Der neue § 26 BDSG, der den bisherigen § 32 BDSG ersetzt, regelt den Beschäftigtendatenschutz auf nationale Ebene. Diese Rechtsnorm enthält zusätzlich zu der bisher enthaltenen Rechtfertigung für die Verarbeitung personenbezogener Daten zum Zwecke des Arbeitsverhältnisses, § 26 Abs. 1 BDSG-neu, die Möglichkeit der Verarbeitung personenbezogener Daten aufgrund einer Einwilligung, § 26 Abs. 2 BDSG-neu (§ 4a BDSG-alt), sowie aufgrund einer Kollektivvereinbarung, § 26 Abs. 4 BDSG-neu (§ 4 BDSG-alt).
Neu für das deutsche Datenschutzrecht sind die in Art. 12 ff. DSGVO enthaltenen umfassenden Informationspflichten, die unter anderem auch im Beschäftigungsverhältnis gegenüber Arbeitnehmern zu beachten sind. Gemäß Art. 13 DSGVO müssen Arbeitnehmer bei der Erhebung von personenbezogenen Daten über die dort katalogmäßig aufgezählten Aufgaben informiert werden. Gemäß Art. 15 DSGVO steht außerdem den Beschäftigten in größerem Umfang als bisher das Auskunftsrecht über ihre gespeicherten Daten zu. Auf diese Rechte hat übrigens der Arbeitgeber den Arbeitnehmer bereits bei der Begründung des Arbeitsverhältnisses (oftmals bereits im Bewerbungsprozess) hinzuweisen.
Datenschutzrechtliche Betriebsvereinbarungen
Im Hinblick auf die vorhandenen datenschutzrechtlichen Betriebsvereinbarungen (oftmals als IT-Betriebsvereinbarungen bekannt) besteht ein enormer Handlungsbedarf, denn die meisten datenschutzrechtlichen IT-Betriebsvereinbarungen entsprechen bei weitem nicht den Anforderungen der DSGVO und des neuen BDSG.
Anpassungsbedarf im Hinblick auf Art. 88 Abs. 2 DSGVO
Der primäre Anpassungsbedarf bei vorhandenen datenschutzrechtlichen IT-Betriebsvereinbarungen besteht schon im Hinblick auf die Regelung in § 26 Abs. 4 BDSG-neu, Art. 88 Abs. 2 DSGVO: Nach der neuen Rechtslage „umfassen“ Betriebsvereinbarungen angemessene „besondere Maßnahmen zur Wahrung der menschlichen Würde“. Daraus folgt, dass solche datenschutzrechtlichen Maßnahmen ab sofort ausdrücklich in der IT-Betriebsvereinbarung geregelt werden müssen.
Erfahrungsgemäß enthalten nur wenige IT-Betriebsvereinbarungen solche Maßnahmen (z.B. die Regelung, wonach eine Videoüberwachung nicht in Sanitäreinrichtungen oder Umkleiden erfolgen darf). Es gilt daher vorrangig zu prüfen, ob die vorhandenen IT-Betriebsvereinbarungen den Anforderungen des neuen Datenschutzrechtes im Beschäftigungskontext genügen. Alternativ empfiehlt es sich, eine allgemein geltende Regelung bezüglich der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis zu schaffen, z.B. durch eine „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“.
Da nicht auszuschließen ist, dass datenschutzrechtliche Bestimmungen im Unternehmen auf mehrere Betriebsvereinbarungen „verteilt“ sind, würde es zu einem unverhältnismäßig hohen Aufwand führen, jede dieser Betriebsvereinbarungen so „nachzubessern“, dass sie den Anforderungen des neuen Datenschutzrechtes genügen. Aus diesem Grund empfehlen wir die Schaffung einer abstrakten Regelung zur Datenverarbeitung in einer neuen „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“. Bei allen weiteren Betriebsvereinbarungen mit Bezug zur Datenverarbeitung kann anschließend auf die „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“ verwiesen werden.
Anforderungen an eine „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“
Die neu abzuschließenden IT-Betriebsvereinbarungen bzw. die nach zu verhandelnden „Alt-IT-Betriebsvereinbarungen“ müssen die in der DSGVO geregelten Grundsätze der Datenverarbeitung beachten und ausdrückliche Regelungen dazu treffen. Es empfiehlt sich daher, in die Rahmenbetriebsvereinbarung neben der Zweckbindung der Datenverarbeitung auch den Hinweis auf die den Beschäftigten zustehenden Rechte nach Art. 12 ff. DSGVO sowie die Verpflichtung zur Einhaltung des Transparenzgebots aufzunehmen, um den Anforderungen des neuen Datenschutzrechts zu genügen.
Die Transparenz der Datenverarbeitung muss übrigens bereits im Hinblick auf die Bezeichnung der Betriebsvereinbarung als datenschutzrechtliche Rechtfertigungsgrundlage bestehen. Die Betriebsvereinbarung muss die Transparenzvorgaben des Art. 5 Abs. 1a DSGVO (Verarbeitung personenbezogener Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise) einhalten.
Auch eine vollständige Aufzählung der Rechte der Beschäftigten nach Art. 12 ff. DSGVO ist in einer Rahmenbetriebsvereinbarung zum Beschäftigtendatenschutz sinnvoll. Dazu gehören u.a.: Auskunftsrechte der Beschäftigten (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung („vergessen werden“, Art. 17 DSGVO, § 35 Abs. 1, 3 BDSG-neu) und das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO, die Mitteilungspflichten bei der Informationsweitergabe an Dritte gemäß Art. 19 DSGVO, das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO sowie das Recht auf Widerspruch gemäß Art. 21 DSGVO und § 36 BDSG-neu und der Hinweis auf das Widerrufsrecht bei Einwilligung sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Die größere Schwierigkeit wird es jedoch sein, in einer „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“ die konkrete Zweckbindung der Datenverarbeitung gemäß Art. 5 Abs. 1b DSGVO darzustellen, die jede Datenverarbeitung gesondert betrifft und daher „an sich“ vielfältig wiederkehrend erfolgen muss, denn die Zwecke der Beschäftigtendatenverarbeitung können durchaus unterschiedlich ausfallen. Die Darstellung der konkreten Zweckbindung ist jedoch eine unabdingbare Voraussetzung einer rechtmäßigen Datenerhebung und -verarbeitung nach der DSGVO und daher immer anzugeben.
Um den Anforderungen des neuen Beschäftigtendatenschutzrechts zu entsprechen, empfiehlt es sich unbedingt, in die Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz zumindest eine Zweckbindung auf die in Art. 88 Abs. 1 DSG VO ausdrücklich genannten Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages einschließlich der Erfüllung gesetzlicher Pflichten, der Zwecke des Managements und der Organisation der Arbeit, der Gesundheit, Sicherheit, Gleichheit und Sicherheit am Arbeitsplatz sowie des Schutzes des Eigentums des Arbeitgebers oder der Kunden sowie der Beendigung des Beschäftigungsverhältnisses und der Inanspruchnahme der Rechte der Arbeitnehmer aufzunehmen.
Da § 26 Abs. 1 S. 1 BDSG-neu die obigen Zwecke darum ergänzt, dass Beschäftigtendaten auch für die Rechte und Pflichten eines Tarifvertrages und einer Betriebsvereinbarung verarbeitet werden dürfen, wäre es vorstellbar, dass aufgrund einer solchen allgemeinen Regelung zur Zweckbindung auch alte Betriebsvereinbarungen zum Datenschutz geheilt werden, die eine solche strikte Zweckbindung nicht enthalten.
Angesichts der anstehenden bzw. bereits laufenden Betriebsratswahlen verbleibt für Unternehmen bis zum Inkrafttreten der DSGVO und des BDSG nur wenig Zeit, um diese Vorgaben umzusetzen. Arbeitgeber müssen daher dringend handeln, um Bußgelder nach der DSGVO zu vermeiden.
Natalia Dinnebier Karoline Nutz
Rechtsanwältin für Arbeitsrecht Rechtsanwältin für IT-Recht
Tel. Stuttgart: 07 11 / 365 917 0
Tel. Heilbronn: 07 131 / 594 390 0
n.dinnebier@goertz-kanzlei.de
k.nutz@goertz-kanzlei.de