Fachanwalt für Arbeitsrecht Stephan Kersten: EU-Datenschutzgrundverordnung und Auswirkungen für die Arbeitgeberseite
Die EU-Datenschutzgrundverordnung und ihre Auswirkungen im Bereich des Arbeitsrechts
Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO) verbindlich und unmittelbar in allen Mitgliedstaaten der Europäischen Union. Der deutsche Gesetzgeber hat sie zum Anlass genommen, auch das bislang geltende Bundesdatenschutzgesetz – unter Berücksichtigung der europarechtlichen Vorgaben – durch ein neues zu ersetzen (BDSG-neu).
Mit der EU-Datenschutzgrundverordnung werden die bestehenden europäischen Datenschutzbestimmungen um grundlegende Verpflichtungen erweitert und insbesondere ein erhöhtes Haftungsrisiko für Unternehmen begründet. Künftig drohen bei Verstößen neben zivilrechtlichen Schadensersatz- und Schmerzensgeldansprüchen auch Bußgelder in Höhe von bis zu EUR 20 Mio. oder 4 % des Jahresumsatzes der Unternehmensgruppe (Art. 82 f. DSGVO); es gilt der jeweils höhere Betrag. Nur wenn ein Unternehmen nachweist, dass es in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, wird es von der Haftung befreit (Art. 82 Abs. 3 DSGVO).
Betroffen sind sämtliche Unternehmen, die auf dem europäischen Markt tätig sind.
Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis
Auch nach der Einführung der neuen Regelungen bedarf grundsätzlich jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage. Das BDSG-neu sieht vor, dass dies auch für Daten gilt, die nur in Papierform vorliegen. Nicht umfasst sind anonyme Informationen und so anonymisierte Informationen, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Die DSGVO selbst sieht keine ausdrückliche Regelung über die Verarbeitung von Daten im Beschäftigungsverhältnis vor. In ihrem Artikel 88 enthält sie aber eine Öffnungsklausel, die es den nationalen Gesetzgebern überlässt, spezifischere Vorschriften zu erlassen. Dem ist der deutsche Gesetzgeber nachgekommen: Mit § 26 BDSG-neu sollen der noch geltende § 32 BDSG und die dazu ergangene Rechtsprechung fortgeführt werden.
- 26 Abs. 1 BDSG enthält die Grundregel, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses oder zur Ausübung oder Erfüllung gesetzlicher Rechte und Pflichten erforderlich ist. Im Grunde ist eine Abwägung zwischen den Interessen des Arbeitgebers an der Datenverarbeitung und dem Persönlichkeitsrecht des Beschäftigten vorzunehmen (Verhältnismäßigkeitsprinzip).
- 26 Abs. 4 BDSG-neu regelt nun ausdrücklich, dass als Rechtsgrundlage auch Kollektivvereinbarungen wie Tarifverträge und Betriebsvereinbarungen infrage kommen. Sie haben dabei den Anforderungen des Art. 88 Abs. 2 DSGVO – insbesondere Transparenz und Verhältnismäßigkeit – zu entsprechen. Zu beachten ist, dass diese Regelung sowohl für neue als auch alte Betriebsvereinbarungen gilt.
Auch eine freiwillige, für einen bestimmten Fall und in informierter Weise erfolgte Einwilligung kann gemäß § 26 Abs. 2 BDSG-neu Rechtsgrundlage für eine Datenverarbeitung sein. Sie muss dabei grundsätzlich schriftlich erfolgen und ihre Wirksamkeit muss nachgewiesen werden können. Der Arbeitnehmer muss in Textform über den Zweck der Datenverarbeitung und sein Widerrufsrecht aufgeklärt werden. Auch in der Vergangenheit wirksam erteilte Einwilligungen sollen grundsätzlich fortgelten können. Eine Pauschaleinwilligung für alle denkbaren Sachverhalte bleibt nach wie vor unzulässig.
Schließlich bleibt als mögliche Rechtsgrundlage die allgemeine Regelung des Art. 6 Abs. 1 DSGVO zu nennen. Danach kann eine Datenverarbeitung, zum Beispiel zur Erfüllung einer rechtlichen Pflicht oder wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich ist und diese die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, gerechtfertigt sein.
Besonderheiten ergeben sich bei der Übermittlung außerhalb der Unternehmensgrenzen. So ist eine Weitergabe von Arbeitnehmerdaten der Tochtergesellschaft an die Muttergesellschaft trotz gesellschaftsrechtlicher und wirtschaftlicher Verbundenheit nicht ohne Weiteres möglich. Konzerngesellschaften werden datenschutzrechtlich wie Externe behandelt. Es bedarf einer der genannten Rechtsgrundlagen oder einer vertraglich vereinbarten Auftragsverarbeitung, für die Art. 28 DSGVO strenge Anforderungen stellt. Eine Erleichterung sieht die Verordnung für die Verarbeitung „für interne Verwaltungszwecke“ vor, die nach Erwägungsgrund 48 als berechtigtes Interesse anerkannt sind. Eine Interessenabwägung bei entsprechendem Zweck dürfte damit regelmäßig zugunsten des Unternehmens ausgehen.
Erfolgt die Übermittlung in ein EU-Drittland, sind neben der grundsätzlichen Verarbeitungserlaubnis die weiteren Voraussetzungen der Art. 44 ff. DSGVO zu beachten. Kaum Probleme dürften sich bei der Übermittlung in ein Drittland ergeben, dem die EU-Kommission ein angemessenes Schutzniveau bescheinigt hat. Eine Übermittlung kann aber auch aufgrund verbindlicher Vereinbarung der EU-Standardklauseln oder aufgrund verbindlicher interner Datenschutzvorschriften, Verhaltensregelungen, Zertifizierungen und einzeln ausgehandelter Vertragsklauseln erfolgen. Hierbei ist jedoch teilweise vorab die Genehmigung der Aufsichtsbehörde einzuholen. Auch eine wirksame Einwilligung oder das Vorliegen eines Sonderfalls kann eine Übermittlung legitimieren.
Schließlich bleibt zu beachten, dass es bei einer Änderung des Zwecks der Datenverarbeitung gegebenenfalls auch einer anderen Rechtsgrundlage bedarf. Eine mit dem ursprünglichen Zweck unvereinbare Verarbeitung ist unzulässig (Art. 5 Abs. 1 b) DSGVO).
Verpflichtungen des Arbeitgebers
Benennung eines Datenschutzbeauftragten
Nach der DSGVO bedarf es eines Datenschutzbeauftragten insbesondere dann, wenn ein Unternehmen mit seiner Kerntätigkeit entweder durch die von ihm durchgeführten Datenverarbeitungsvorgänge Personen regelmäßig überwacht oder wenn als Kerntätigkeit sensitive Daten verarbeitet werden. Für die Bundesrepublik Deutschland trifft das BDSG-neu eine weiterreichende Regelung: Hier ist ein Datenschutzbeauftragter bereits dann zu benennen, wenn ein Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Ist die Benennung gesetzlich vorgesehen, steht ein Arbeitnehmer als Datenschutzbeauftragter in Deutschland unter Sonderkündigungsschutz (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG-neu). Zum Aufgabenbereich eines Datenschutzbeauftragten gehört nunmehr – neben der Beratung und Unterrichtung über datenschutzrechtliche Pflichten und der Zusammenarbeit mit Aufsichtsbehörden – auch die Überwachung der Einhaltung der entsprechenden Vorschriften (Art. 39 Abs. 1 DSGVO). Von einer Garantenpflicht und einer eigenständigen Haftung des Datenschutzbeauftragten ist dabei nach (unverbindlicher) Ansicht einiger Aufsichtsbehörden jedoch nicht auszugehen.
Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten
Alle Verarbeitungstätigkeiten sind von dem Verantwortlichen in einem Verzeichnis zu erfassen. Die genauen Angaben, die das Verzeichnis enthalten muss, listet Art. 30 DSGVO.
Eine Ausnahme gilt für Unternehmen mit weniger als 250 Mitarbeitern: Für sie gilt diese Pflicht nicht, es sei denn, die Verarbeitung birgt ein Risiko für Rechte und Freiheiten der Betroffenen, erfolgt nicht nur gelegentlich oder betrifft sensitive Daten wie z. B. Gesundheit, Herkunft oder Gewerkschaftszugehörigkeit.
Auf Anfrage ist das Verzeichnis der Aufsichtsbehörde zur Verfügung zu stellen. Dies ist erforderlich, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu genügen.
Durchführung einer Datenschutz-Folgenabschätzung
Birgt eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche – also das Unternehmen – vorab eine sog. Datenschutz-Folgenabschätzung durchzuführen. Es holt hierzu den Rat eines Datenschutzbeauftragten ein. Wann von einem „hohen Risiko“ auszugehen ist, regelt die DSGVO zwar nicht ausdrücklich, in Artikel 35 nennt sie aber beispielhafte Fallgruppen wie die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche oder Profiling.
Positiv- und Negativlisten der Aufsichtsbehörden, denen zu entnehmen ist, wann eine Datenschutz-Folgenabschätzung erforderlich ist und wann sie unterbleiben kann, sind vorgesehen (Art. 30 Abs. 4, 5 DSGVO).
Werden bei einer Verarbeitung, die ein hohes Risiko birgt, keine Maßnahmen zu dessen Eindämmung getroffen, ist vorab die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO).
Informationspflicht gegenüber den Betroffenen
Das Unternehmen trifft weiterhin eine Informationspflicht gegenüber den Betroffenen. Diese müssen über die sie betreffenden Datenverarbeitungsvorgänge informiert werden. Umfasst sind im Wesentlichen die in das Verfahrensverzeichnis aufzunehmenden Angaben. Neben dem Zweck der Verarbeitung sind beispielsweise auch deren Rechtsgrundlage und die Dauer oder jedenfalls Kriterien für die Festlegung der Dauer der Datenspeicherung mitzuteilen. Besonderheiten ergeben sich wiederum bei der Übermittlung in ein EU-Drittland.
Darüber hinaus hat das Unternehmen den Betroffenen Informationen zu den Rechten auf Auskunft, Berichtigung, Löschung und Beschwerde bei den Aufsichtsbehörden sowie über die Widerruflichkeit einer erteilten Einwilligung zur Verfügung zu stellen. Sie müssen außerdem darüber informiert werden, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte.
Meldepflicht
Schließlich besteht eine Meldepflicht im Falle der Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO). Eine Mitteilung an die zuständige Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden der Verletzung ergehen. Eine Ausnahme von der Meldepflicht soll nur bestehen, wenn die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ein „erhebliches“ Risiko ist hierbei nicht erforderlich. Auch der Verlust verschlüsselter Daten begründet eine Meldepflicht.
Fazit
Die EU-Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz bringen für Unternehmen einen hohen Arbeitsaufwand mit sich. Insbesondere dort, wo Datenschutz bisher nicht besonders großgeschrieben wurde, ist die Einrichtung eines umfassenden Systems erforderlich. Es bedarf einer übergreifenden Organisationsstruktur, in der sich alle Entscheidungsträger der Auswirkungen der neuen datenschutzrechtlichen Regelungen bewusst sind: Geschäftsführer und Vorstände haften unter Umständen auch mit Privatvermögen für etwaige Verstöße. Die rechtliche Verantwortung liegt bei der Unternehmensleitung und nicht etwa bei dem Datenschutzbeauftragten.
Es ist Unternehmen dringend zu raten, Verfahrensverzeichnisse zu erstellen oder schon bestehende Verzeichnisse zu überarbeiten. Die Rechtmäßigkeit der Datenverarbeitung kann nur sicherstellen, wer die Verarbeitungsprozesse kennt. Auch bei Unternehmen mit weniger als 250 Mitarbeitern kann ein Verfahrensverzeichnis sinnvoll und – insbesondere im Hinblick auf die Informationspflicht gegenüber den Betroffenen – zweckmäßig sein.
Es sollten Prozesse geschaffen werden, die den Datenverlust möglichst verhindern. Für Unternehmen wird es regelmäßig zum Problem, dass Datenschutzverstöße unbemerkt bleiben und Mitteilungen dementsprechend unterbleiben. Mitarbeiter sollten geschult und sensibilisiert werden.