Allgemein herumgesprochen hat sich, dass die EU-Datenschutz-Grundverordnung (EU-DSGVO) eine Vielzahl von Anpassungen sowohl Frontend gegenüber den Kunden als auch intern hinsichtlich der Datenschutzprozesse erfordert, da die EU-DSGVO ausschließlich an die Grundrechte und Grundfreiheiten natürlicher Personen anknüpft, wodurch auch Arbeitnehmer als Betroffene erfasst werden.
Prüfung von Betriebsvereinbarungen erforderlich
Aus der Praxiserfahrung heraus weitgehend bislang unbeachtet scheint indes, dass Unternehmen sich auch intensiver mit dem Beschäftigtendatenschutz beschäftigen sollten, da die EU-DSGVO in Artikel 88 nunmehr Regelungen über Datenverarbeitung im Beschäftigungskontext vorsieht. Der deutsche Gesetzgeber hat hierzu in § 26 BDSG -neu- diverse Regelungen getroffen, insbesondere in
Absatz 4 klargestellt, dass die Verarbeitung personenbezogener Daten auch auf Grundlage von Kollektivvereinbarungen zulässig ist. Hierbei haben allerdings gemäß Satz 2 die Verhandlungspartner Artikel 88 Absatz 2 der EU-DSGVO zu beachten, wonach angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen, insbesondere im Hinblick auf die Transparenz der Verarbeitung (…) erfordern. Ob die Regelungen des BDSG – neu – nach der EU-DSGVO ausreichenden Schutz bieten, wird angezweifelt und unter Umständen noch gerichtlich überprüft weden.
Wenngleich der Gesetzgeber erneut die Chance verpasste, den Beschäftigtendatenschutz umfassend zu regeln, folgt aus diesem Normenzusammenhang doch, dass die meisten Betriebsvereinbarungen nicht den Anforderungen an die
EU-DSGVO entsprechen dürften.
Umfang und Konzept der Datenverarbeitung zu prüfen
In der Praxis zeigt sich insbesondere, dass Betriebsvereinbarungen, speziell wenn Sie älterer Natur sind, sowohl hinsichtlich Art und Weise sowie Umfang der verarbeiteten personenbezogenen Daten Defizite aufweisen, als auch Themen wie Datensparsamkeit, Datenlöschung und die entsprechend dahinter stehenden Konzepte überhaupt nicht beinhalten. Da die neuen Regelungen keinen Bestandsschutz für alte Betriebsvereinbarungen vorsehen, werden diese mit Eintritt der EU-DSGVO rechtswidrig.
Sowohl Betriebsrat als auch Arbeitgeber sind daher gut beraten, sich sehr bald mit den gesetzlichen Anforderungen zu beschäftigen, da bekanntlich bei Datenschutzverstößen Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Unternehmensumsatzes drohen.
Zivilansprüche auf immaterielle Schäden
Darüber hinaus gilt unabhängig von den Bußgeldern, dass gemäß Artikel 82 Absatz 1 EU-DSGVO nicht nur die im deutschen Recht bekannten materiellen, sondern vor allem auch die immateriellen Schäden nunmehr positiv kodifiziert als Anspruch im Falle von Verstößen normiert sind. Es steht zu erwarten, dass die Gerichte in Europa hier eine einheitliche Linie vertreten werden, die diesen immateriellen Schäden auch vor dem Hintergrund des Abschreckungseffekts hier ansetzen werden, so dass voraussichtlich auch natürliche Personen, die als Betroffene in ihren Rechten verletzt wurden, hier zur Zivilklage greifen werden.
Vorgehen für Arbeitgeber und Betriebsräte
Speziell im Unternehmenskontext mit einer Vielzahl von Betriebsvereinbarungen ist daher das ohnehin als Königsweg empfohlene Vorgehen zu empfehlen, wonach kollektivrechtliche Vertragsparteien sich über eine IT-Rahmenbetriebsvereinbarung einigen, die diesem Standard genügt. Hierbei müssen die Betroffenenrechte, Informationspflichten und Löschkonzepte ausreichend berücksichtigt werden.
Wer die erforderlichen Zeiträume zur Verhandlung solcher Vereinbarungen kennt, sollte daher kurzfristig sich mit dem Thema beschäftigen und entsprechend in Verhandlungen gehen, um bis zum 25. Mai 2018 eine datenschutzkonforme Regelung im Betrieb einsetzen zu können.
Beiträge zur EU-DSGVO
- Weihnachten kommt bald – die EU-Datenschutz-Grundverordnung (EU-DSGVO) auch
- EU-DSGVO im Mandantenprojekt
- EU-DSGVO – Die nächsten Schritte zur Umsetzung
- EU-DSGVO – Fragen und Anworten (FAQ)
- Praxistipps zur EU-Datenschutz-Grundverordnung – EU-DSGVO
- Video-Blog IT-Recht zur EU-DSGVO
-
Datenschutz-Grundverordnung im Volltext