Euroforum

Euroforum GmbH-Geschäftsführer-Seminare
Info-Hotline: +49 2 11/88743-3340

Was ein Geschäftsführer über das neue Recht zum Beschäftigtendatenschutz wissen sollte

Dr. Charlotte Beck, Rechtsanwältin, Fachanwältin für Arbeitsrecht, Partner, und
Jan Peters, Rechtsanwalt, Altenburg Fachanwälte für Arbeitsrecht

Zum 25. Mai 2018 treten umfangreiche gesetzliche Neuerungen des Datenschutzrechts in Form der EU-Datenschutz-Grundverordnung 2016/679 („DS-GVO“) und des novellierten Bundesdatenschutzgesetzes („BDSG 2018“) in Kraft. Die neuen Regelungen betreffen insbesondere auch den Beschäftigtendatenschutz. Die DS-GVO gilt als Verordnung in jedem Mitgliedstaat unmittelbar und in allen Teilen verbindlich. Sie gilt für jeden Betrieb; also nicht erst ab einer bestimmten Mindestgröße. Für den Bereich der Beschäftigtendaten enthält sie eine Öffnungsklausel (Art. 88 DS-GVO). Sie erlaubt es den Mitgliedstaaten unter Beachtung bestimmter Voraussetzungen, „spezifischere Vorschriften“ zur Verarbeitung personenbezogener Beschäftigtendaten zu erlassen. Der deutsche Gesetzgeber hat davon Gebrauch gemacht und mit der zentralen Vorschrift des § 26 BDSG 2018 nähere Regelungen zum Beschäftigtendatenschutz getroffen. Es gehört zu den Anforderungen der Unternehmens-Compliance, diese umzusetzen. Zudem drohen im Falle von Verstößen dramatisch erhöhte Bußgelder. Das komplexe neue Datenschutzrecht kann hier nur komprimiert und im Überblick dargestellt werden. Wir beschränken uns daher auf die wichtigsten Aspekte des Beschäftigtendatenschutzes.

Wichtig: Zu den Beschäftigten im Sinne des Datenschutzrechts gehören nicht nur klassische Arbeitnehmer, sondern insbesondere auch bereits Bewerber.

I. Rechtsgrundlagen für die Verarbeitung von Daten im Beschäftigungsverhältnis

Wie bisher bedarf jede Datenverarbeitung grundsätzlich der Rechtfertigung durch einen Erlaubnistatbestand. Für die Verarbeitung von Beschäftigtendaten kommen als Rechtsgrundlagen vor allem § 26 BDSG 2018, eine Einwilligung des Beschäftigten oder eine Betriebsvereinbarung in Betracht. Diese Systematik stimmt mit der bisherigen Rechtslage überein. § 26 BDSG 2018 entspricht im Wesentlichen dem bisherigen § 32 BDSG. Demnach ist die Verarbeitung personenbezogener Beschäftigtendaten insbesondere erlaubt, wenn sie zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Aufdeckung von Straftaten erforderlich ist. Dies deckt bereits einen Großteil der Verarbeitung von Beschäftigtendaten ab. Für einige Bereiche ist jedoch eine Betriebsvereinbarung oder Einwilligung zweckmäßig. Im Einzelnen:

1. Betriebsvereinbarungen

Besonders praxisrelevant ist die Verarbeitung von Beschäftigtendaten auf der Grundlage von Betriebsvereinbarungen. Als Beispiel seien hier die üblichen Betriebsvereinbarungen zur Einführung von IT-Systemen, zu E-Mail-Kontrollen, Videoüberwachung oder auch zur „klassischen“ Zugangskontrolle am Werkstor genannt. Die inhaltlichen Anforderungen an solche Betriebsvereinbarungen werden mit dem neuen Recht deutlich komplexer. Betriebsvereinbarungen, die unter Geltung des bisherigen Datenschutzrechts geschlossen wurden, sollten daher auf ihre Vereinbarkeit mit der neuen Rechtslage geprüft und ggf. überarbeitet werden. Es besteht keine besondere Übergangs- oder Stichtagsregelung für schon bestehende Betriebsvereinbarungen, es gibt also keine „Schonfrist“. Zu beachten sind insbesondere die unter Ziffer II. näher dargestellten Informations- und Transparenzpflichten, wonach die Zwecke der Datenverarbeitung transparent dargestellt und die Datenschutzgrundsätze (Art. 5 DS-GVO) angegeben werden müssen.

Es wird nicht jedem Betrieb gelingen, seinen gesamten Bestand an Betriebsvereinbarungen bis zum Stichtag im Mai 2018 zu aktualisieren. Zu empfehlen ist dann zumindest der Abschluss einer Rahmenbetriebsvereinbarung, welche die Vorgaben des neuen Datenschutzrechts umsetzt.

2. Einwilligung

Einer Einwilligung des Beschäftigten bedarf es vornehmlich dann, wenn die Datenverarbeitung nicht auf andere Rechtsgrundlagen gestützt werden kann.

Ein Beispiel: Ein Dienstleistungsunternehmen veröffentlicht auf seiner Webseite die Kontaktdaten (1) der bei ihm angestellten Kundenberater und (2) des gesamten Teams, also z. B. auch der Assistenten und Sachbearbeiter.

Die Variante (1) ist bereits durch § 26 Abs. 1 S. 1 BDSG 2018 gedeckt, da die Veröffentlichung der Kontaktdaten des Kundenberaters zur Erfüllung der Arbeitspflicht dient – die Kundenberater müssen für den Kunden erreichbar sein.

Die Variante (2) bedarf der Einwilligung der Mitarbeiter, da die Verbreitung ihrer Kontaktdaten für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich ist.

Essentiell ist, dass der Betroffene die Einwilligung freiwillig erteilt (Art. 7 Abs. 4 DS-GVO, § 26 Abs. 2 BDSG 2018). Das kann gemäß § 26 Abs. 2 S. 2 BDSG 2018 insbesondere dann gegeben sein, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. Ein Vorteil für den Arbeitnehmer ist mit der Einwilligung z. B. dann verbunden, wenn der Arbeitgeber die Privatnutzung des Internets von einer Einwilligung in die Verarbeitung der dabei generierten Daten abhängig macht. Gleichgelagerte Interessen können bestehen, wenn die Daten im Rahmen des sozialen Miteinanders im Betrieb verwendet werden sollen, z. B. bei Fotoaufnahmen auf Betriebsfeiern oder dem Führen von Geburtstagslisten.

Die Verweigerung der Einwilligung darf nicht mit Sanktionen verbunden sein; es darf keinerlei Zwang ausgeübt werden. Dies kann etwa dadurch abgebildet werden, dass dem Beschäftigten eine Überlegungszeit vor Erteilung der Einwilligung eingeräumt wird. Zudem sollte die Einwilligung erst im Laufe des Arbeitsverhältnisses eingeholt werden. Vor Abschluss des Arbeitsvertrages wird ein faktischer Druck auf den Beschäftigten bestehen, da er vermuten wird, dass der Abschluss des Arbeitsvertrages von der Erteilung der Einwilligung abhängt. Die in Arbeitsverträgen häufig zu findende generelle Einwilligungserklärung wird daher nicht ausreichend sein.

Zudem ist der Beschäftigte vor Abgabe der Einwilligung in Textform darauf hinzuweisen, dass er diese jederzeit widerrufen kann. Der Widerruf wirkt zwar nur für die Zukunft, nicht für die vergangene Datenverarbeitung. Dennoch ist gerade die stets bestehende Widerrufsmöglichkeit der Hauptnachteil der Einwilligung aus Arbeitgebersicht.

II. Informations-, Transparenz- und Löschungspflichten des Unternehmens

Arbeitgeber haben künftig umfassende Informationspflichten zu erfüllen, wenn sie personenbezogene Beschäftigtendaten verarbeiten. Die Beschäftigten sind präzise, transparent, klar verständlich und in leicht zugänglicher Form zu unterrichten. Es bietet sich an, diese Informationen in einem Schriftstück zusammenzufassen, dieses jedem Beschäftigten auszuhändigen und den Erhalt quittieren lassen. Mitzuteilen sind z. B. folgende Informationen:

  • Name und Kontaktdaten des für die Datenverarbeitung Verantwortlichen und ggf. des Datenschutzbeauftragten,
  • Kategorien personenbezogener Daten, die  verarbeitet werden,
  • Quelle der personenbezogenen Daten,
  • Zwecke und Rechtsgrundlage der Datenverarbeitung,
  • mögliche Empfänger der personenbezogenen Daten,
  • die geplante Datenverarbeitung im Ausland,
  • Speicherdauer,
  • Betroffenenrechte, wie Recht auf Auskunft, Beschwerderechte bei einer Aufsichtsbehörde usw.

Neu ist auch das Recht auf Löschung („Recht auf Vergessenwerden“). Danach darf der Betroffene u.a. dann eine unverzügliche Löschung seiner personenbezogenen Daten verlangen, wenn sie für den Zweck nicht mehr benötigt werden, für den sie erhoben worden sind, oder wenn er die Einwilligung für ihre Verarbeitung widerrufen hat (falls keine andere Rechtsgrundlage besteht).

III. Rechtsstreitigkeiten mit Beschäftigten

Nach dem bisherigen Recht sind Schadensersatzansprüche von Mitarbeitern wegen Verstößen gegen Datenschutzvorschriften im Arbeitsverhältnis die Ausnahme. Dies hängt vor allem damit zusammen, dass der Arbeitgeber lediglich finanzielle Nachteile auszugleichen hat, nicht aber Ersatz für immaterielle Schäden wie z. B. Persönlichkeitsrechtsverletzungen leisten muss. Diese Einschränkung gilt künftig nicht mehr. Nach Art. 82 DS-GVO muss der Arbeitgeber auch immaterielle Schäden ersetzen, wenn er die Beschäftigtendaten nicht datenschutzkonform verarbeitet. Wie oben dargestellt sind die gesetzlichen Vorgaben hier anspruchsvoll und detailliert und damit fehlerträchtig. Es ist daher zu erwarten, dass sich künftig die Fälle von Schadensersatzansprüchen aufgrund einer nicht ordnungsgemäßen Datenverarbeitung mehren werden. Die Position des Arbeitgebers wird in einem Rechtsstreit über einen solchen Schadensersatzanspruch dadurch verschlechtert, dass dem Arbeitnehmer zunächst einmal ein Auskunftsanspruch nach Art. 15 DS-GVO zusteht. Der Arbeitgeber hat ihm dann insbesondere eine Kopie der personenbezogenen Daten, die er verarbeitet hat, zur Verfügung zu stellen.

Noch schwerwiegender wirkt sich das neu geschaffene Prinzip der Rechenschaftspflicht im Prozess aus (Art. 5 Abs. 2, Art. 24 Abs. 1 DS-GVO): Das Unternehmen muss jederzeit den Nachweis darüber erbringen können, dass es die Anforderungen des neuen Datenschutzrechts erfüllt hat. In der gerichtlichen Auseinandersetzung kann dies dazu führen, dass allein aus der fehlenden oder unvollständigen Dokumentation der Schluss gezogen wird, dass die Regeln nicht eingehalten worden sind. Im Ergebnis entspricht dies einer Beweislastumkehr zu Lasten des Arbeitgebers. Andererseits kann sich der Arbeitgeber nicht durch Einhaltung der Rechenschaftspflicht exkulpieren. Er muss vielmehr nachweisen, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DS-GVO).

Eine größere Rolle werden künftig auch Beweisverwertungsverbote im Arbeitsgerichtsprozess spielen. Wenn der Arbeitgeber im Prozess über eine verhaltensbedingte Kündigung Beweismittel vorlegt, die er unter Verstoß gegen Datenschutzrecht erlangt hat, können schon nach derzeitigem Recht Beweisverwertungsverbote bestehen. Aufgrund der nun erheblich gestiegenen Anforderungen an die Datenverarbeitung und der Rechenschaftspflicht dürfte dies künftig deutlich häufiger eintreten. Insofern ist dringend zu raten, die Datenverarbeitungsvorgänge und ihre Dokumentation immer auch schon im Hinblick auf spätere Gerichtsprozesse zu gestalten.

Einen weiteren Anreiz für Schadensersatzklagen von Arbeitnehmern bietet die neu eingeführte Verbandsklage (Art. 80 DS-GVO). Danach können Beschäftigte einen entsprechenden Verbraucher- oder Datenschutzverband beauftragen, ihren Arbeitgeber auf Schadensersatz in Anspruch zu nehmen.

Insgesamt bleibt abzuwarten, wie die deutsche Rechtsprechung mit den neuen Regeln umgehen und in welcher Höhe sich der Schadenersatz bewegen wird.

IV. Bußgelder

„Chefsache“ ist das neue Datenschutzrecht nicht zuletzt wegen der erheblichen Verschärfung der Sanktionen und damit des finanziellen Risikos von Datenschutzrechtsverstößen. Die Aufsichtsbehörde kann bei Verstößen gegen die DS-GVO empfindliche Bußgelder verhängen. Bei der Bemessung der Geldbuße sind Art, Schwere und Dauer des Verstoßes, Art, Umfang und Zweck der Datenverarbeitung sowie die Zahl der betroffenen Beschäftigten und das Ausmaß des Schadens zu berücksichtigen. Auch das Verschulden des Arbeitgebers sowie eventuelle frühere Verstöße werden berücksichtigt. Die Höhe des Bußgeldes ist gestaffelt nach den Vorschriften, gegen die verstoßen wird. Handelt es sich z. B. um einen Verstoß gegen die Grundsätze der Datenverarbeitung nach Art. 5, 6, 7 und 9 DS-GVO, die Rechte der Betroffenen nach Art. 12 bis 22 DS-GVO und die Vorschriften über die Datenübermittlung ins Ausland nach Art. 44 bis 49 DS-GVO, gilt ein Bußgeldrahmen von bis zu zwanzig Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes (Art. 83 Abs. 5 DS-GVO). Dies liegt weit jenseits dessen, was unter Geltung des bisherigen Datenschutzrechts theoretisch möglich gewesen wäre. Die Aufsichtsbehörden sind ausdrücklich dazu angehalten, „wirksame, verhältnismäßige und abschreckende“ Geldbußen zu verhängen (Art. 83 Abs. 9 Satz 2 DS-GVO). Wie die deutschen Aufsichtsbehörden dies praktisch gestalten werden, ist noch nicht absehbar.

V. Ausblick

Der Stichtag für das Inkrafttreten des neuen Beschäftigtendatenschutzrechts steht bevor. Jedes Unternehmen tut gut daran, seinen Umgang mit Beschäftigtendaten und die vorhandenen Betriebsvereinbarungen zu analysieren und eventuell an die neue Rechtslage anzupassen. Dabei sollte stets im Auge behalten werden, dass die internen Verfahren auch zu einer möglichen Verteidigung in einem Rechtsstreit tauglich sein müssen. Dies erfordert ein Konzept der Dokumentation der Datenverarbeitungsvorgänge und Standards.