Zur Navigation springen Zum Inhalt springen Zum Footer springen

Die neue EU-Datenschutzgrundverordnung: Worauf Betriebsräte jetzt achten müssen

(4)

Datenschutz in der Betriebsratsarbeit; das lief bis vor einigen Jahren noch unter der Rubrik: „Müssen wir uns mal drum kümmern.“ Aber diese Zeiten sind vorbei, moderne Softwareanwendungen am Arbeitsplatz ermöglichen eine beinahe lückenlose Überwachung von Leistung und Verhalten der Beschäftigten, sodass Betriebsräte sehr genau darauf achten müssen, was mit den Daten der Kollegen geschieht.

Doch damit nicht genug: Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) zeitgleich mit dem neu überarbeiteten Bundesdatenschutzgesetz (BDSG) in Kraft. Durch dieses Gesetz werden sowohl der Betriebsrat als auch Unternehmen gefordert. Es geht nicht lediglich darum, sich auf die neuen Regularien einzustellen. Vielmehr ist aktives Handeln gefragt – und das vor Inkrafttreten der Gesetze. Wer als Betriebsrat noch keine Maßnahmen ergriffen hat, sollte jetzt tätig werden.

Was wird sich ändern? Oder bleibt alles gleich?

Wenn ein Unternehmen personenbezogene Daten von Beschäftigten verarbeiten möchte, benötigt es dafür eine rechtliche Grundlage. So wie es in der Buchhaltung heißt „Keine Buchung ohne Beleg“, so heißt es bei der IT-gestützten Verarbeitung personenbezogener Daten: „Keine Beschäftigtendaten ohne gesetzliche Ermächtigung.“ Vordergründig hat sich nicht viel geändert: Entweder das Unternehmen beruft sich auf eine Gesetzesklausel oder es holt die Einwilligung des Beschäftigten in die Verarbeitung seiner Daten ein oder die Geschäftsführung holt den Betriebsrat ins Boot und verhandelt eine Betriebsvereinbarung. Doch wer näher hinschaut, dem kommen Zweifel, ob alles beim Alten bleibt. Es reicht nicht mehr aus, allein in das BDSG zu schauen, jede Verarbeitung personenbezogener Daten muss den Standards der DSGVO genügen.

Sorgenkind Einwilligung

Um ihre Datenverarbeitung rechtmäßig zu gestalten, holen Unternehmen sich von den Beschäftigten häufig eine Einwilligung ein. Viele Betriebsräte haben dies bislang nicht beanstandet, denn das Gesetz sieht eine solche Möglichkeit vor. Ab jetzt sollten Betriebsräte jedoch prüfen, ob Einwilligungen „freiwillig“ erteilt werden. Dabei ist nach der Neuregelung des § 26 Abs.2 BDSG das Abhängigkeitsverhältnis des Beschäftigten ebenso zu prüfen wie die Frage, welchen Vorteil die Einwilligung für die Kollegin oder den Kollegen hat. Bestehen danach Zweifel an der Freiwilligkeit, dürfen die Daten der betroffenen Beschäftigten nicht verarbeitet werden. Hier muss der Betriebsrat seiner Überwachungsfunktion aus § 80 BetrVG nachkommen.

Betriebsvereinbarungen müssen überprüft werden

Nach Art. 88 DSGVO können Betriebsvereinbarungen Rechtsgrundlage für eine Datenverarbeitung sein, sie dürfen jedoch den Datenschutzstandard der DSGVO nicht unterschreiten. Wichtig ist Transparenz, das heißt, die Betriebsvereinbarung muss in verständlicher Weise darüber aufklären, welche Beschäftigtendaten zu welchen Zwecken verwandt werden.

Dreh- und Angelpunkt sind dabei alle Betriebsvereinbarungen, die mit Informationstechnologie zu tun haben. Ein klassischer Fall ist die Rahmenbetriebsvereinbarung IT, aber auch viele spezielle Regelungen wie z. B. Betriebsvereinbarungen zur Videoüberwachung, zur Internet- und E-Mail-Nutzung und zu Personalinformationssystemen. Formal müssen in diesen Vereinbarungen erst einmal die Paragrafen ersetzt werden. Was früher § 32 BDSG war, ist heute § 26 BDSG. Das mag einfach sein, doch dann wird es schon schwieriger: In Art.4 DSGVO wird eine Vielzahl von Begriffen definiert; hier muss geprüft werden, ob die Betriebsvereinbarungen das wiedergeben, was im Gesetz gemeint ist. Ferner tauchen als Anlage zu Betriebsvereinbarungen gelegentlich Einwilligungen der Beschäftigten auf; hier muss deren Wirksamkeit geprüft werden. Schließlich hat eine inhaltliche Prüfung zu erfolgen: Sind in der Betriebsvereinbarung Datenverarbeitungen erlaubt, die nach den neuen Regelungen gar nicht mehr zulässig sind?

Hohe Bußgelder drohen!

Wenn es um den Abschluss oder die Überarbeitung von Betriebsvereinbarungen geht, sind in der Regel Betriebsräte die treibende Kraft, während die Unternehmen häufig die Ruhe weg haben. Bezüglich der DSGVO gilt das jedoch nicht, die Unternehmen benötigen wirksame Vereinbarungen für die Datenverarbeitung. Andernfalls drohen – im Vergleich zu den noch geltenden Regelungen – exorbitante Bußgelder. So sehen die Haftungsregelungen in Art. 82, 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist. Auch Betriebsräte sollten sich dieser Gefahren bewusst sein und sich zum Wohle der Firma und der Beschäftigten mit der anstehenden Thematik auseinandersetzen. Dabei sollte der betriebliche Datenschutzbeauftragte an Bord geholt werden; bei der komplexen Materie kommt zudem die Einschaltung externer Berater in Betracht. Sicher wird niemand geköpft werden, weil am 25.05.2018 sich noch irgendwo ein Fehler im System befindet; Unternehmen und Betriebsräte allerdings, die gar keine Anstalten machen, ihre Datenschutzstandards an den Vorgaben der DSGVO zu messen, könnten ernste Probleme bekommen.


Rechtstipp vom 22.01.2018
aus der Themenwelt Datenschutz und DSGVO und den Rechtsgebieten Arbeitsrecht, IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Christian Oberwetter (esb Rechtsanwälte EWIV)

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.