Datenschutz

Der Begriff Datenschutz lässt sich nicht einheitlich definieren und wird je nach Kontext in unterschiedlichen Bedeutungen verwendet. Für die Arbeitgeber Baden-Württemberg ist in erster Linie der Beschäftigtendatenschutz sowie das Spezialthema Datenschutz 4.0 relevant.

Bislang wurde der Beschäftigtendatenschutz in Deutschland durch eine eigens eingeführte Norm im Bundesdatenschutzgesetz (BDSG) geregelt. Darüber hinaus finden sich Vorschriften in anderen Gesetzen wie z.B. im  Betriebsverfassungsgesetz (BetrVG).

Ab dem 25.05.2018 gilt  die EU-Datenschutzgrundverordnung (EU-DSGVO), wodurch eine einheitliche Grundlage in der EU für den Datenschutz geschaffen wird.  Über diese Rechtsgrundlage hinaus ergänzen nationale Gesetze den Datenschutz an Stellen, wo die EU-DSGVO Öffnungsklauseln vorsieht. Daher tritt am 25.05.2018 ebenfalls ein neues Bundesdatenschutzgesetz in Kraft, welches das geltende Bundesdatenschutzgesetz (BDSG) ersetzt und der Anpassung der nationalen Vorschriften an die EU-DSGVO dient.

Neben der EU-DSGVO ist für die Arbeitgeber Baden-Württemberg Datenschutz 4.0 von zentraler Bedeutung. Dieser Kunstbegriff bezieht sich auf spezielle Anforderungen an den Beschäftigtendatenschutz, die sich aus der zunehmenden Vernetzung der Arbeitswelt ergeben. Zum einen muss das allgemeine Persönlichkeitsrecht der Beschäftigten auch in neuen digitalen Arbeitsumgebungen bestmöglich gewahrt bleiben. Die Arbeitgeber Baden-Württemberg bekennen sich als sozialpolitische Spitzenorganisation uneingeschränkt dazu, dass ein angemessenes Datenschutzniveau auch im Arbeitsleben sichergestellt sein muss. Zeitgleich muss es den Arbeitgebern möglich sein, mit Beschäftigtendaten praxisgerecht, unbürokratisch und rechtssicher umzugehen.

 

 EU-Datenschutzgrundverordnung | BDSG-neu | Datenschutz 4.0

 

EU-Datenschutzgrundverordnung

In globalen Märkten entscheiden viele Faktoren wie z.B. die Verfügbarkeit von Fachkräften, das Lohnniveau oder eine qualitativ hochwertige Bildung über die Wettbewerbsfähigkeit von Unternehmen. Auch Datenschutzmaßnahmen sind ein Wettbewerbsfaktor, da sie immer auch mit finanziellen Aufwänden verbunden sind. Bislang waren Unternehmen aus Ländern mit hohen Datenschutzniveaus wie Deutschland benachteiligt gegenüber Unternehmen aus Ländern mit weniger starken Datenschutzniveaus, wie z.B. Irland. Durch die Neuregelung der EU-DSGVO, sollen diese bislang bestehenden nationalen Unterschiede durch ein für alle Mitgliedsstaaten geltendes Gesetz harmonisiert werden.

Die Arbeitgeber Baden-Württemberg begrüßen diese Harmonisierung grundsätzlich. Jedoch schafft die EU-DSGVO durch Öffnungsklauseln z.B. beim Beschäftigtendatenschutz wieder Spielräume für nationale Gesetzgeber, was auch weiterhin nationale Unterschiede in der Ausgestaltung des Schutzniveaus erwarten lässt. Dies stellt aus Sicht der Arbeitgeber Baden-Württemberg insbesondere für EU-weit agierende Unternehmen eine verpasste Chance dar. Diese müssen auch zukünftig in jedem Land, in dem sie tätig sind, eigene Datenschutzregelungen erarbeiten.

Wichtigste Regelungen der EU-Datenschutzgrundverordnung sind:

1.    Kollektivvereinbarungen bleiben als Ermächtigungsgrundlage erhalten

Die europäischen Gremien haben erkannt, dass Kollektivvereinbarungen grundsätzlich als Ermächtigungsgrundlage für passgenaue Lösungen z.B. auf Tarif- oder Betriebsebene relevant sind. Daher ermöglicht die EU-DSGVO, dass Arbeitgeber Kollektivvereinbarungen als Grundlage heranziehen können, um personenbezogene Daten zu verarbeiten. Eine solche, in Deutschland weitverbreitete Kollektivvereinbarung ist die Betriebsvereinbarung. Durch sie können maßgeschneiderte betriebliche Regeln für den Umgang mit personenbezogenen Daten im Betrieb aufgestellt werden. Diese gelten dann für das Kollektiv der Beschäftigten eines Betriebes. Für die Arbeitgeber Baden-Württemberg sind Kollektivvereinbarungen unverzichtbar – die Anerkennung dessen durch die EU-DSGVO begrüßen die Arbeitgeber daher ausdrücklich.

2. Einwilligung bleibt Ermächtigungsgrundlage im Beschäftigungsverhältnis

Bereits das noch geltende BDSG ermöglicht Betrieben, personenbezogene Daten von Angestellten nach deren schriftlicher  und freiwilliger Einwilligung zu verarbeiten. Diese Möglichkeit bleibt auch in der EU-DSGVO erhalten, wenngleich die Einwilligung nicht zwingend schriftlich erfolgen muss.

Der nationale Gesetzgeber kann bezüglich der Einwilligung darüber hinaus gehende, spezifische Vorgaben aufstellen. Hierbei fordern die Arbeitgeber den deutschen Gesetzgeber auf, die in der EU-DSGVO gebotenen Freiräume zu nutzen und auch die mündliche Einwilligung eines Arbeitnehmers anzuerkennen.

Darüber hinaus ist in einigen wenigen Bereichen im Beschäftigungsverhältnis eine Einwilligung durch den Mitarbeiter die einzig mögliche Ermächtigungsgrundlage (z.B. bei der Veröffentlichung eines Mitarbeiter-Bildes auf der Unternehmens-Website). Dies ist für Arbeitgeber insofern relevant, als dass im (Beschäftigten-)Datenschutz personenbezogene Daten grundsätzlich nur nach vorheriger Erlaubnis der betroffenen Person oder durch ein Gesetz verarbeitet werden dürfen (Verbotsprinzip mit Erlaubnisvorbehalt).
Die Arbeitgeber Baden-Württemberg begrüßen daher, dass die EU-DSGVO diese Möglichkeit weiterhin vorsieht.

3.    Leichtere Datenübermittlung in Konzernen, aber Begriffsschärfung notwendig

Die Datenübermittlung in Konzernen ist aufgrund des technischen Fortschreitens z.B. von Personalverwaltungssystemen ein wichtiges Thema. So kommt es immer wieder vor, dass ein Unternehmen innerhalb eines Konzerns mit Beschäftigtendaten anderer Unternehmen desselben Konzerns in Berührung kommt. Dies ist z.B. dann der Fall, wenn eine als eigene Rechtsform organisierte IT-Service Gesellschaft IT-Dienstleistungen für den Gesamtkonzern erbringt. Bislang gab es keine ausdrückliche Rechtsgrundlage, die eine Datenweitergabe von Unternehmen zu Unternehmen innerhalb des Konzerns ermöglicht hätte. Es ist daher dringend notwendig, diesbezüglich eine gesetzliche Ermächtigungsgrundlage zu schaffen.

Die EU-DSGVO erkennt nun an, dass Konzerne ein berechtigtes Interesse daran haben, personenbezogene Daten ihrer Angestellten innerhalb des Konzerns weiterzugeben. Berechtigte Interessen des Verarbeitenden können z.B. interne Verwaltungszwecke sein. Weiterhin gilt jedoch der Grundsatz, dass eine Datenverarbeitung die Grundrechte und Grundfreiheiten einer Person nicht beschädigen/umgehen/verwässern darf. Daher muss also vor jeder Verarbeitung ein Interessensausgleich zwischen Interessen des Arbeitgebers (der die Daten verarbeiten will) und des Arbeitnehmers (dessen Daten verarbeitet werden sollen) erfolgen.

Die Regelung, dass Konzerne ein berechtigtes Interesse an einer Datenweitergabe haben, ist ein Schritt ist ein Schritt in die richtige Richtung. Jedoch ist der Geltungsbereich der Regelung in der EU-DSGVO unscharf formuliert („Unternehmensgruppen“), sodass unklar bleibt, für welche Arten von Unternehmenszusammenschlüssen die Regelung gilt und für welche nicht.

4.    Regelungen zu betrieblichen Datenschutzbeauftragten bleiben hinter deutschem Recht zurück

Die EU-DSGVO sieht vor, dass ein Datenschutzbeauftragter verpflichtend bestellt werden muss, wenn Unternehmen besonders risikoreiche personenbezogene Daten erheben. Zu diesen zählen z.B. Gesundheitsdaten, genetische und biometrische Informationen oder Auskünfte über politische oder sexuelle Orientierung. Diese werden  z.B. von Detekteien oder Krankenhäusern erhoben und verarbeitet.

Darüber hinaus ermöglicht eine Öffnungsklausel nationale Regelungen. Die bestehenden deutschen Regelungen zum betrieblichen Datenschutzbeauftragten gehen bislang weit über die verpflichtenden Vorgaben der EU-DSGVO hinaus. Da sie sich in der Praxis jedoch bewährt haben, fordern die Arbeitgeber Baden-Württemberg an den bestehenden Bestellungsregelungen für Datenschutzbeauftragte im BDSG weiterhin festzuhalten.

BDSG-neu

Am 05.07.2017 wurde das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) amtlich im Bundesgesetzblatt verkündet worden. Damit steht fest, dass ab dem 25.05.2018 auch ein neues nationales Bundesdatenschutzgesetz gelten wird (BDSG-neu). Hinsichtlich des Beschäftigtendatenschutzes greift das beschlossene Gesetz zwar die bekannten und bewährten Strukturen der bisherigen Regelung im BDSG auf (§ 32 BDSG), verpasst dabei jedoch die Gelegenheit, Unsicherheiten zu beseitigen und den Beschäftigtendatenschutz zu modernisieren. Schon die alte Regelung war ergänzungs- und überarbeitungsbedürftig. So kam es z.B. immer wieder zu unterschiedlichen Auffassungen der Gerichte darüber, inwieweit die Erhebung und Verwertung von personenbezogenen Daten zur Aufdeckung von Vertragsverstößen unterhalb der Schwelle zur Strafbarkeit möglich ist. Die dadurch entstehende Unsicherheit macht es schwer, solche Fälle im Betrieb zu handhaben. Außerdem  führt diese Unsicherheit zu einem Widerspruch mit der Verpflichtung vieler Unternehmen, eine funktionierende Compliance-Struktur aufzubauen und deren Einhaltung auch zu überwachen.    

Auch die EU-DSGVO stellt konkrete Anforderungen an die Gestaltung des Beschäftigtendatenschutzes, die allein durch die Übernahme der alten Regelung nicht ausreichend erfüllt sind. Daneben kritisieren die Arbeitgeber Baden-Württemberg, dass das Gesetz zu ausufernd von den Öffnungsklauseln der EU-DSGVO Gebrauch macht. Dadurch entstehen nationale Sonderregeln, die die durch die EU-DSGVO geschaffenen Vorteile einer einheitlichen Rechtsgrundlage in allen EU-Mitgliedsstaaten konterkarieren.

Dies wird am Beispiel der Einwilligung deutlich: Das Gesetz enthält über die Vorgaben der EU-DSGVO hinausgehende Regelungen zur Einwilligung im Beschäftigungsverhältnis, was überflüssig ist. So sieht das Gesetz vor, dass eine Einwilligung im Beschäftigungsverhältnis entgegen der Regelung in der EU-DSGVO schriftlich erteilt werden muss. Die EU-DSGVO führt hier bereits zu einem angemessenen Schutzniveau. Eine weitergehende nationale Regelung ist abzulehnen und schafft sogar Rechtsunsicherheit, da die Unternehmen vor Anwendung der Regelung darüber entscheiden müssen, ob sie die nationale Regelung angesichts der Diskrepanz zur europäischen Regelung überhaupt anwenden können. Außerdem schafft das Gesetz zusätzliche Bürokratie: Die im Gesetz enthaltene Aufrechterhaltung des Schriftformerfordernisses für die Einwilligung ist verfehlt. Eine solche Regelung ist "aus der Zeit gefallen", sind die Unternehmen doch bereits damit befasst, im Zuge der fortschreitenden Digitalisierung auf das "papierlose Büro" umzustellen.

Die Arbeitgeber Baden-Württemberg bedauern, dass der Gesetzgeber die aus Fachkreisen umfassend geübte Kritik am Gesetzesentwurf um den Preis einer schnellen Erledigung vor Ablauf der Legislaturperiode nicht aufgenommen hat. Es steht zu befürchten, dass das Gesetz einer Überprüfung durch den EuGH nicht standhalten wird und sich dieser „Schnellschuss“ damit rächen könnte. Eine verlässliche Grundlage für den Umgang mit personenbezogenen Daten im Unternehmen stellt das Gesetz vor diesem Hintergrund somit nicht dar.

Datenschutz 4.0

Die zunehmende Digitalisierung der Arbeit stellt Arbeitgeber auch hinsichtlich des Beschäftigtendatenschutzes vor neue Herausforderungen. Personenbezogene Daten von Arbeitnehmern fließen, bedingt durch den Einsatz moderner Technologien, an bedeutend mehr Stellen und zwischen mehr Empfängern als bisher. Im Alltag ergeben sich daraus zahlreiche Spannungsfelder, die in erster Linie ein umfassendes Datenschutzmanagement auf betrieblicher Ebene erfordern.

Dessen grundlegende Aufgabe ist es, innerhalb der Interessensabwägungen zwischen dem Beschäftigtendatenschutz auf der einen Seite und den Chancen für die Betriebe durch Digitalisierung auf der anderen Seite zu einem Ausgleich zu gelangen. So müssen die Arbeitnehmerdaten umfänglich geschützt werden, wobei es gleichzeitig möglich sein muss, den Spielraum technischer Weiterentwicklungen zu nutzen. Darauf basierend müssen für den einzelnen Betrieb Entscheidungen getroffen und passende Maßnahmen gefunden werden. Der nationale Gesetzgeber ist in diesem Kontext aufgefordert, einen Rahmen zu schaffen, der Rechtssicherheit gewährt.