EU-Datenschutz-Grundverordnung

Erstellt von Uwe Lingner | |  Arbeitsrecht

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Zum selben Zeitpunkt soll auch das bisherige Bundesdatenschutzgesetz durch eine neue Fassung (BDSG-neu) ersetzt werden. Vor diesem Hintergrund möchten wir Sie auf einige wichtige Punkte hinweisen, die im Hinblick auf die DSGVO aus Arbeitgebersicht (arbeitsrechtlich) berücksichtigt werden sollten.

Im Rahmen der DSGVO trifft künftig den Arbeitgeber die Nachweispflicht dafür, dass er personenbezogene Daten seiner Arbeitnehmer unter Beachtung der Vorschriften der DSGVO verarbeitet (Art. 24 DSGVO). Dabei muss er die zweckgebundene Verarbeitung nachweisen und die Rechtsgrundlage der Verarbeitung benennen. Daher ist zunächst eine sorgfältige Bestandsaufnahme aller Fälle der Verarbeitung von personenbezogenen Arbeitnehmerdaten unumgänglich. Neben der anschließenden Ermittlung und Zuordnung von z. B. Löschfristen einzelner Daten, ist die Identifizierung der jeweils einschlägigen Rechtsgrundlagen (Art. 6 DSGVO) für die jeweilige Datenerhebung, -verarbeitung und -speicherung von hoher Wichtigkeit.

Rechtsgrundlage wird oftmals „die Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen“ (Art. 6 Abs. 1 lit c) DSGVO) sein. Falls eine gesetzliche Rechtsgrundlage fehlt, kann auch im Arbeitsverhältnis eine Einwilligung der Betroffenen (Art. 6 Abs. 1, lit a) DSGVO) erforderlich sein. Insbesondere an die vorherige Information über Art und Umfang der Verarbeitung, über die Möglichkeit zum jederzeitigen Widerruf gemäß Art. 7 Abs. 3 DSGVO (die gemäß § 26 Abs. 2 BDSG-neu in Textform erfolgen und nachgewiesen werden muss) sowie an das Kriterium der Freiwilligkeit werden durch die DSGVO in diesem Zusammenhang aber weit höhere Anforderungen als bisher gestellt (vgl. Art. 4 Nr. 11, Art 7 DSGVO i. V. m. § 26 Abs. 2 BDSG-neu). Scheidet eine (bisher zulässige) erteilte Einwilligung als Rechtsgrundlage künftig aus, sollte der Arbeitgeber darüber nachweisbar informieren und, sofern gegeben, die künftige (gesetzliche) Rechtsgrundlage benennen – oder die Verarbeitung aufgeben.

Betriebsvereinbarungen sind taugliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten (vgl. Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG-neu). Allerdings nur, wenn sie alle nach Art. 88 Abs. 2 DSGVO einzuhaltenden Vorgaben erfüllen. Tun sie das nicht, sind sie keine „spezifischen Vorschriften“ im Sinne der Vorschrift und damit nicht ausreichend. Die in Art. 5 DSGVO festgelegten Grundsätze (wie z. B. Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Datenverarbeitung) müssen auch in Betriebsvereinbarungen berücksichtigt werden und es muss sichergestellt sein, dass alle Betroffenenrechte nach Art. 12 bis 23 DSGVO gewahrt bleiben. Eine Überprüfung und Anpassung bestehender Betriebsvereinbarungen wird daher kaum vermeidbar sein. Hierzu kann die Prüfung sinnvoll erscheinen, ob die Anforderungen nicht über begleitende Rahmenbetriebsvereinbarungen erfüllt werden können.

Auch arbeitsrechtlich ergibt sich also dringender Handlungsbedarf, will man das Risiko empfindlicher Strafen aus Arbeitgebersicht vermeiden.

Es empfiehlt sich, die gründliche Überprüfung aller bereits vorliegenden Einwilligungen und in Anspruch genommener gesetzlicher Rechtsgrundlagen. Als unwirksam gelten im Zweifel z. B. Einwilligungen, die bereits in Arbeitsverträgen enthalten sind. Sie müssen entweder durch neue, separate Einwilligungen nach DSGVO-Standard ersetzt oder die zugehörige Datenverarbeitung auf eine andere (gesetzliche) Rechtsgrundlage gestützt werden. Teilweise umstritten aber wohl zulässig ist es, als Erlaubnistatbestand parallel sowohl eine gesetzliche Rechtsgrundlage als auch eine Einwilligung heranzuziehen. Arbeitgeber sollten daher bei Zweifeln über das Vorliegen einer gesetzlichen Rechtsgrundlage zusätzlich Einwilligungserklärungen anstreben. Darin sollten sie sich aber ausdrücklich vorbehalten, die betreffende Datenverarbeitung auch auf etwaige gesetzliche Rechtsgrundlagen zu stützen.

Mein Praxistipp:

Personalabteilungen sollten baldmöglich eine Bestandaufnahme der erhobenen personenbezogenen Arbeitnehmerdaten und der bisherigen Rechtsgrundlagen dafür durchführen. Anschließend sollte der so ermittelte Stand anhand der Vorschriften der DSGVO und des BDSG-neu überprüft und der Anpassungsbedarf ermittelt werden. Die Umsetzung kann je nach Mitarbeiterzahl und Verarbeitungsvorgängen sehr zeitaufwendig sein. Daher und weil die neuen Regelungen am 25. Mai 2018 ohne Übergangsregelungen in Kraft treten, sollte dieses Thema hoch priorisiert werden.

Zurück