Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 15 – Für die Praxis, Betriebsvereinbarung
4.2 Für die Praxis
4.2.1 Aktuelle Situation
Unternehmen und Anwälte müssen künftig Systematik und allgemeine Vorschriften der DSGVO berücksichtigen. Für bereichsspezifische Regelungen gilt allerdings weiterhin § 32 BDSG. Dieses Nebeneinander unterschiedlicher Regelungskomplexe auf nationaler und europäischer Ebene wird künftig eine zentrale Herausforderung bei der Entwicklung von individuellen Datenschutzlösungen sein.(Fußnote)
Sämtliche Datenverarbeitungsvorgänge im Beschäftigungskontext sollten vor dem 25.5.2018 darauf überprüft werden, ob sie die Mindestvorgaben der DSGVO einhalten.(Fußnote) Insbesondere vor dem Hintergrund des erhöhten Bußgeldrahmens ist es datenverarbeitenden Unternehmen dringend zu empfehlen, eine Art „Due Dilligence-Prüfung“ ihrer Datenvorgänge durchzuführen. Im Zuge einer Risikoanalyse sollte der Umsatz des Unternehmens den potentiellen Bußgeldern gegenübergestellt werden. So können die Unternehmen Anpassungsbedarf ermitteln und Änderungen umsetzen.(Fußnote)
Daran gemessen, dass die DSGVO erst am 25.5.2016 in Kraft getreten ist, spielt sie in der Beratungspraxis zum Beschäftigtendatenschutz schon eine große Rolle:
Der Beratungsbedarf im Beschäftigtendatenschutz wird aufgrund der DSGVO in den nächsten Monaten weiter steigen.(Fußnote)
Insgesamt geht die DSGVO in ihrem allgemeinen Teil kaum auf die Besonderheiten des Arbeitsverhältnisses ein. Deshalb bietet es sich an, Fragen des Beschäftigtendatenschutzes kollektiv in Form von Betriebsvereinbarungen zu regeln. Dabei müssen die Vertragsparteien gemäß Art. 88 II DSGVO insbesondere die Transparenz von Datenverarbeitungen, die Ãœberwachung am Arbeitsplatz und die Datenübermittlung im Konzern berücksichtigen. Vor dem Hintergrund des Wortlauts von Art. 88 II DSGVO und der Konzeption der Art. 12 ff. DSGVO sollten Kollektivvereinbarungen künftig entsprechende Regelungen zur Transparenz der Datenverarbeitung umfassen.(Fußnote) Vorgaben zur Datenübermittlung im Konzern und zu Ãœberwachungssystemen müssen Kollektivvereinbarungen hingegen nur enthalten, wenn der sachliche Geltungsbereich der jeweiligen Vereinbarung diese Regelungsbereiche umfasst.(Fußnote) Als „Minimallösung“ werden Arbeitsgerichte und Aufsichtsbehörden deshalb wohl fordern, dass Betriebsvereinbarungen auf Art. 12-22 DSGVO Bezug nehmen oder sie wiedergeben.(Fußnote)
In Anbetracht dieses Regelungsbedarfs ist die zweijährige Frist gemäß Art. 99 II DSGVO knapp bemessen. Auf Arbeitgeber und Betriebsräte kommt im Zuge der Neuverhandlungen von Betriebsvereinbarungen einige Arbeit zu.
4.2.2 Checkliste für Betriebsvereinbarungen
4.2.2.1 Präambel
Damit eine Betriebsvereinbarung für die Beschäftigten verständlich und leicht zugänglich ist, empfiehlt es sich, die wichtigsten Definitionen des Art. 4 DSGVO in die Präambel aufzunehmen. Jedenfalls sollten Betriebsvereinbarungen in ihrer Präambel aus Transparenzgründen einen Hinweis auf Art. 4 DSGVO enthalten. Darüber hinaus könnte die Präambel einer Betriebsvereinbarung wie folgt lauten:
Diese Betriebsvereinbarung informiert Beschäftigte über die Verarbeitung personenbezogener Daten im Beschäftigungskontext nach den Anforderungen der DSGVO. Insbesondere werden die Beschäftigten über ihre Rechte gemäß Art. 15-22 DSGVO aufgeklärt und auf die Informationspflichten des Arbeitgebers gemäß Art. 12-14 DSGVO hingewiesen. Der vollständige Text der DSGVO ist unter http://bit.ly/2aEeBhi abrufbar.
Die Betriebsparteien sind sich darüber einig, dass diese Betriebsvereinbarung als datenschutzrechtliche Erlaubnis zur Verarbeitung personenbezogener Daten i.S.d. Art. 6 DSGVO wirkt.
Diese Betriebsvereinbarung regelt die Verarbeitung personenbezogener Daten nicht abschließend. Dem Arbeitgeber bleibt vorbehalten, diese auch auf der Grundlage weiterer Betriebsvereinbarungen oder gesetzlicher Regelungen zu verarbeiten. Insbesondere § 32 I BDSG i.V.m. Art. 88 I DSGVO, Art. 6 I DSGVO und Art. 9 II DSGVO können die Verarbeitung personenbezogener Daten erlauben.
4.2.2.2 Hauptteil
Der Regelungsgehalt der Betriebsvereinbarungen muss im Einklang mit der DSGVO stehen. Folgende Maßgaben sind dabei insbesondere zu berücksichtigen:
- Differenzieren nach der Art der Daten und Einhalten der Anforderungen an besondere Kategorien (z.B. Art. 9 DSGVO);
- Präzise, transparente und verständliche Informationen zur Datenverarbeitung in leicht zugänglicher Form und einer klaren, einfachen Sprache (Art. 12 I DSGVO);
- Erfüllen der Informationspflichten (Art. 12-14 DSGVO);
- Hinweis auf die Betroffenenrechte und deren Ausübung (Art. 15-22 DSGVO);
- Soweit relevant: Erfüllen der Anforderungen an Auftragsdatenverarbeitung (Art. 26-29 DSGVO);
- Einhalten der Anforderungen an Datensicherheit (Art. 32 ff. DSGVO).
Um den Anforderungen an eine klare und einfache Sprache gerecht zu werden, sollten die Betriebsparteien die komplexen Regelungen jeweils mit Hilfe von Beispielen veranschaulichen. Exemplarische Darstellungen erhöhen zwar den Umfang einer Betriebsvereinbarung, tragen aber nachhaltig zum Regelungsziel des Art. 12 I DSGVO bei: Sie erhöhen das Datenschutzbewusstsein der Betroffenen.
4.2.2.3 Zwischenergebnis
Wenn Arbeitgeber und Betriebsrat sich über diese Regelungsgegenstände in einer Betriebsvereinbarung einigen, können sie die allgemeinen Vorschriften der DSGVO sinnvoll für den Beschäftigungskontext konkretisieren. Zum Beispiel können die Betriebsparteien für konkrete Fälle von Spind-, Tor-, E-Mail- oder Videokontrollen passgenaue Regelungen vereinbaren. So vermeiden sie Rechtsunsicherheit und werden den Besonderheiten des jeweiligen Betriebs gerecht.
5 Ergebnis
Die Datenschutzgrundverordnung wirkt sich in Detailfragen auf das deutsche Beschäftigtendatenschutzrecht aus, etabliert aber keine vom BDSG grundverschiedene Systematik. Die allgemeinen Vorschriften der DSGVO ähneln den Vorschriften des BDSG und sind den Rechtsanwendern in Deutschland deshalb vertraut. Aufgrund der Öffnungsklausel des Art. 88 DSGVO bleibt eine Revolution des Beschäftigtendatenschutzrechts vorerst aus. Die bereichsspezifische Norm § 32 BDSG ist weiterhin anwendbar. Lediglich die Durchsetzung des Beschäftigtendatenschutzrechts verändert sich durch die DSGVO. Datenverarbeitende Unternehmen werden künftig neue Informationspflichten und Betroffenenrechte berücksichtigen müssen. Diese Anpassungen werden mit einem hohen administrativen Aufwand verbunden sein, bewahren die Unternehmen aber vor den drastisch erhöhten Bußgeldern. Wenn die DSGVO ab dem 25.5.2018 angewendet wird, beginnt in Deutschland kein neues Zeitalter des Datenschutzes. Vielmehr serviert die Verordnung im Beschäftigungskontext größtenteils alten Wein in neuen Schläuchen.
Dem Gesetzgeber ist zu empfehlen, mit einem Anpassungsgesetz des BDSG auf die DSGVO zu reagieren. Dieses Anpassungsgesetz sollte auch § 32 BDSG beinhalten. Langfristig öffnet Art. 88 DSGVO dem nationalen Gesetzgeber Tür und Tor für ein umfassendes Beschäftigtendatenschutzgesetz.
Dass die Privatsphäre im Zeitalter rasanter technischer Entwicklungen umfassend geschützt werden muss, wussten Warren und Brandeis schon im Jahr 1890: „Recent inventions and business methods call attention to the next step which must be taken […] for securing to the individual what Judge Cooley calls the right ‚to be let alone’. […] For years there has been a feeling that the law must afford some remedy for the unauthorized circulation of portraits of private persons.”(Fußnote)
Dieses Zitat stammt aus einer Zeit, in der Telefone noch Wählscheiben hatten und Schallplatten noch in den Kinderschuhen steckten. Im Zeitalter von Videoüberwachung und Dienstwagenortung per GPS ist Warrens und Brandeis‘ Botschaft aktueller denn je. Die Persönlichkeitsrechte der Beschäftigten und das Informationsinteresse des Arbeitgebers in Einklang zu bringen, ist ein schwieriger Spagat. Eine umfassende gesetzliche Regelung würde diesen Balanceakt erleichtern. Ein Beschäftigtendatenschutzgesetz wäre Machtkontrolle, es wäre Schutz der Freiheit.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Herausgeber / Autor(-en):
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28