Die Justizminister der EU-Staaten haben sich auf ein einheitliches Datenschutzgesetz, die Datenschutz-Grundverordnung (Datenschutz-GrundVO) geeinigt. Rechtsanwalt Dr. Philipp Byers erklärt, was ab 2016 im Beschäftigtendatenschutz gilt.
Haufe Online-Redaktion: EU-Kommission, EU-Parlament und Ministerrat befinden sich bereits in der Feinabstimmung des Entwurfs einer Datenschutz-Grundverordnung, der 2016 in Kraft treten soll. Was wird sich für Unternehmen hinsichtlich des Beschäftigtendatenschutzes ändern?
Philipp Byers: Die Datenschutz-Grundverordnung soll europaweit einen einheitlichen datenschutzrechtlichen Mindeststandard schaffen. Als EU-Verordnung wirkt sie unmittelbar als nationales Recht. Die Grundverordnung ist der Systematik des Bundesdatenschutzgesetzes ähnlich. So ist der Umgang mit personenbezogenen Daten grundsätzlich untersagt, es sei denn die Grundverordnung oder ein anderes Gesetz erlauben dies. Nach Artikel 6 Grundverordnung ist die Nutzung persönlicher Daten zulässig, soweit dies für die Durchführung des Arbeitsverhältnisses erforderlich ist. Weiter erfolgt die Datenverarbeitung rechtmäßig, wenn dies für den legitimen Zweck des Arbeitgebers oder eines Dritten notwendig ist. Der Zweck ist mit dem Persönlichkeitsrecht des Mitarbeiters abzuwägen.
Haufe Online-Redaktion: Das klingt alles ähnlich wie die Regelungen, die bisher schon im deutschen Datenschutzgesetz galten.
Byers: Ja, das stimmt. Die Regelungen ähneln den bekannten Erlaubnistatbeständen der §§ 32, 28 Bundesdatenschutzgesetz. Erfreulich ist aus Arbeitgebersicht, dass Betriebsvereinbarungen den Umgang mit Arbeitnehmerdaten regeln können. Auf diese Weise lassen sich flexible betriebliche Lösungen mit dem Betriebsrat schaffen. Ebenfalls ist es unter strengen Voraussetzungen möglich, die Datenverarbeitung durch eine Einwilligung des Arbeitnehmers zu rechtfertigen. Dabei ist nach dem sogenannten „Grundsatz der informierten Einwilligung“ erforderlich, dass die Einwilligungserklärung freiwillig abgegeben wird und die Datenlegitimierung genau beschreibt. Gegenwärtig stellt § 4a Bundesdatenschutzgesetz bereits ähnliche Voraussetzungen an eine wirksame Einwilligung.
Haufe Online-Redaktion: Ein Streitpunkt in der Praxis sind bisher heimliche Video- oder Filmaufnahmen von Mitarbeitern gewesen. Das Bundesarbeitsgericht hatte diese unter ganz strengen Voraussetzungen erlaubt. Wird das weiter möglich sein?
Byers: Gegenwärtig sieht die Grundverordnung das Verbot heimlicher Mitarbeiterkontrollen vor. Es bleibt abzuwarten, ob das weitere Gesetzgebungsverfahren heimliche Kontrollen in engen Ausnahmefällen – zum Beispiel zur Aufklärung von Arbeitnehmerstraftaten – doch noch erlaubt. Insgesamt ermächtigt Artikel 82 Grundverordnung die Mitgliedsstaaten, Sonderregeln zum Arbeitnehmerdatenschutz erlassen zu können. Eine umfassende Neuregelung des Beschäftigtendatenschutzes bleibt für den deutschen Gesetzgeber also möglich. Die Spezialregeln dürfen allerdings nicht hinter dem Schutzniveau der Grundverordnung zurückbleiben und müssen verhältnismäßig sein.
Haufe Online-Redaktion: Worauf müssen sich Arbeitgeber noch einstellen?
Byers: Eine gravierende Änderung für Unternehmen stellt der Strafkatalog der Grundverordnung dar. Der Entwurf sieht bei Datenschutzverstößen Bußgelder von bis zu eine Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Das Europaparlament fordert gar Geldbußen bis zu 100 Millionen Euro beziehungsweise fünf Prozent des weltweiten Umsatzes. Nach unserem Bundesdatenschutzgesetz kann bisher ein Datenschutzverstoß nur mit einer Geldbuße von maximal 300.000 Euro sanktioniert werden. Nachlässigkeiten im Datenschutz können also nach der Grundverordnung in Zukunft richtig teuer werden. Arbeitgeber sollten den Arbeitnehmerdatenschutz daher zukünftig noch ernster nehmen als bisher. Spätestens nach Inkrafttreten der Grundverordnung hat der Datenschutz im Unternehmen auf der Prioritätenliste weit oben zu stehen.
Haufe Online-Redaktion: Wie sieht der Zeitplan aus? Raten Sie den Unternehmen, jetzt schon Vorbereitungen treffen?
Byers: Nach dem aktuellen Zeitplan soll die Grundverordnung bis Ende 2015 verabschiedet werden und bereits im Laufe des Jahres 2016 in Kraft treten. Unternehmen sind daher gut beraten, sich zeitnah auf die sich abzeichnenden Gesetzesänderungen vorzubereiten. So sind notwendige Anpassungen bisheriger Betriebsvereinbarungen an die gesetzlichen Neuregelungen unmittelbar nach Inkrafttreten der Grundverordnung vorzunehmen. Aufgrund des hohen Schadensrisikos sind die bestehenden Datenschutzstrukturen im Unternehmen insgesamt auf den Prüfstand zu stellen. Bei der Budgetplanung für 2016 sollte geprüft werden, ob die bisherigen Mittel für Fachabteilungen wie Compliance, Recht oder HR ausreichen. Die Grundverordnung schafft neue datenschutzrechtliche Anforderungen, auf die sich die Unternehmen auch finanziell einstellen müssen.
Dr. Philipp Byers ist Fachanwalt für Arbeitsrecht und Partner bei der Lutz Abel Rechtsanwalts GmbH.
Das Interview führte Katharina Schmitt, Redaktion Personal.