Arbeitnehmerdatenschutz: Massive Auswirkungen für Unternehmen durch die DSGVO möglich

Die neue EU-Daten­schutz-Grund­ver­ordnung (DSGVO) tritt nach einer Über­gangs­frist im Mai 2018 endgültig in Kraft. Aufgrund der Öffnungs­klausel von Art. 88 DSGVO können allerdings für den Arbeit­nehmer­datenschutz spezifischere Rechts­vorschriften in den Mitglieds­staaten erlassen oder durch Kollektiv­verein­barungen Regelungen getroffen werden. Durch die rasante Entwicklung der Informations­technologie und die Möglichkeit der Erhebung, Verarbeitung und Nutzung von Daten in einem völlig neuen Umfang, gewinnt der Arbeitnehmer­datenschutz immer mehr an Bedeutung. Das neue Daten­schutz­recht kann erhebliche Ver­änderungen für Unter­nehmen mit sich bringen und wird viele zusätzliche Anforderungen stellen. Problematisch dabei ist weiter, dass sehr viele Vorgaben dann bußgeld­bewehrt sind oder Sanktionen für das Unternehmen bei Nicht­erfüllung nach sich ziehen.

Entwicklung des Datenschutzrechtes  

Seit 1977 entwickelt sich das deutsche Daten­schutz­gesetz unentwegt weiter. Das Bundes­daten­schutzgesetz (BDSG) trat im Jahr 2003 in Kraft und diente der Umsetzung einer Richtlinie der EU aus dem Jahr 1995. Als Folge der technischen Entwicklung in der Informationstechnologie und der geänderten politischen sowie gesellschaftlichen Ansichten, nicht zuletzt auch wegen der  Datenpannen in den letzten Jahren, entschloss sich der Gesetzgeber im Jahr 2009 für weitere Ergänzungen des Daten­schutzes. Die neuen Regelungen über den erlaubten Umgang mit Daten von Beschäftigten, hat der Gesetzgeber zuletzt durch die Vorschrift des § 32 BDSG eingeführt. Sie würde nach Art. 88 DSGVO weiter Gültigkeit haben, wenn keine neuen oder weiteren spezifischeren Regelungen durch den deutschen Gesetzgeber erlassen werden.

Aktueller Arbeitnehmerdatenschutz im Unternehmen

Grundsätzlich hat der Arbeit­geber das Recht, Infor­mationen über den Arbeitnehmer, also per­sonen­bezogene Daten,  in der Personalakte zu sammeln. Daten über die Gesundheit des Arbeitnehmers darf der Arbeitgeber jedoch nicht bzw. nur sehr eingeschränkt in der Personalakte aufnehmen. Insgesamt sind diese personen­bezogenen und persönlichen Daten besonders gesichert aufzubewahren und vor Zugriffen zu sichern.     

• die Thematik der umfassenden Beteiligung des Betriebsrates,
• die Stellung des Datenschutzbeauftragten,
• die Videoüberwachung des Arbeitsplatzes,
• die Kontrolle der Internetnutzung,
• die Kontrolle der (privaten sowie geschäftlichen) E-Mail-Nutzung,
• das „Whistleblowing", Compliance- und Verhaltens-Regelungen sowie
• viele andere in diesem Zusammenhang stehende Themenfelder.

Bei vielen dieser Punkte muss der Betriebsrat gem. § 87 BetrVG im Vorfeld einer Maßnahme zustimmen und hat oftmals weitergehende Beteiligungsrechte dabei.  Auch die Frage der Erhebung bzw. der Verwertung von Daten in einem (Kündigungsschutz-)Prozess ist nicht immer eindeutig und abschließend geklärt.

Weitreichende Änderungen durch die DSGVO

Vieles kann sich durch die Neu­regelung aufgrund der DSGVO ändern. Unternehmen müssen neue Datenschutz-Strukturen schaffen und interne Betriebs­abläufe daran anpassen. IT-Prozesse müssen neu gestaltet und gesteuert werden. Die zusätzlichen Anforderungen an den Daten­schutz sind von großen Haftungs­risiken für den Unternehmer und das Unternehmen sowie bei einem Verstoß dagegen von erheblichen Bußgeldern begleitet. In Folge der Einführung der DSGVO muss der Unter­nehmer beachten, dass es zunächst eine relativ große Rechts­un­sicherheit geben kann und eine genaue Umsetzung der Vorgaben sowie Kontrolle der Einhaltung dieser neuen Regelungen zur Haftungs­vermeidung notwendig sein wird.

Wichtige Änderungen aufgrund der DSGVO für den Arbeitnehmerdatenschutz im Überblick

• Art. 88 DSGVO stellt lediglich einen „Mindeststandard” für nationales Recht und den Arbeitnehmerdatenschutz dar.
• Der Gesetzgeber kann durch spezifischere Rechts­vorschriften weitergehende Regelungen treffen, die dann auch über § 32 BDSG und die bisherigen Regelungen hinausgehen können.
• Die rechtliche Stellung des Betriebsrat wird weiter gestärkt, da er durch kollektivrechtliche Maßnahmen (Betriebsvereinbarungen) weiteren Einfluss nehmen kann.
• Die Stellung des Daten­schutz­beauftragten im Unternehmen wird deutlich gestärkt, seine persönliche Haftung aber auch massiv erhöht.
• Die Überwachung der Beschäftigten nach der DSGVO im Rahmen der Kontrolle der Arbeitsweise und des Verhaltens, wird strenger reglementiert. Es wird weiter zu unterscheiden sein nach der Begründung, der Durchführung und der Beendigung des Beschäftigungs­verhältnisses.   
• Schließlich wird der räumliche Anwendungs­bereich erheblich erweitert. Das Niederlassungsprinzip wird nach Art. 3 DSGVO durch das neu definierte Markt­ortprinzip ergänzt. Somit können bei weltweit operierenden Unter­nehmen mit vernetzter IT-Infra­struktur aufgrund der neuen Regelungen die Grundsätze der DSGVO sowie des Arbeitnehmerdatenschutz, auch außerhalb der EU Anwendung finden oder darauf ausstrahlen.
• Endlich haben betroffene Personen, also auch Arbeitnehmer, nach Art. 12 DSGVO einen umfassenden Informations­anspruch. Zusätzlich kann aus Art. 33 und 34 DSGVO eine bußgeldbewehrte Verpflichtung für das Unternehmen bestehen, bei Daten­schutz­verletzungen die zuständigen Aufsichts­behörden zu informieren und die betroffenen Personen darüber zu benachrichtigen.         

Fazit

Wieder einmal verschärft die EU über die europäische Gesetz­gebung die Regelungen und ver­an­lasst dadurch Unternehmen zu einem anderen und insbesondere höherem Pflicht­bewusstsein bei der Erhebung, Verarbeitung und Nutzung von personen­bezogenen Daten. Ein frühzeitiges Auseinander­setzen mit diesem Thema, die Beratung dahingehend und das Umsetzen der zwingenden Vorschriften zur eigenen Haftungsvermeidung für das Unternehmen und den Unternehmer persönlich ist daher unerlässlich.