30.12.2015 | Serie Jahreswechsel 2015/2016

EU-Datenschutz-Grundverordnung: Was Arbeitgeber beachten müssen

Serienelemente
Zum Jahreswechsel kam eine Einigung auf die EU-Datenschutz-Grundverordnung zustande.
Bild: Haufe Online Redaktion

Der Rat der Europäischen Union, die Kommission und das Parlament haben sich zuletzt auf eine EU-Datenschutz-Grundverordnung ab dem Jahr 2018 verständigt. Wichtige Änderungen für Arbeitgeber, etwa hinsichtlich des Beschäftigtendatenschutzes nennt unser Autor, Rechtsanwalt Dr. Philipp Byers.

Die langjährigen Verhandlungen über die EU-Datenschutz-Grundverordnung (Datenschutz-GrundVO) sind nun zu einem vorläufigen Abschluss gekommen. Der Rat der Europäischen Union, die Kommission und das Parlament haben sich über die Regelungen einer Datenschutz-GrundVO geeinigt, die im Jahr 2018 in Kraft treten soll. Die Datenschutz-GrundVO bezweckt, europaweit einen verbindlichen einheitlichen Datenschutzstandard zu schaffen. Die Verordnung wird nach Inkrafttreten unmittelbares und zwingendes Recht in ganz Europa.

Nationaler Beschäftigtendatenschutz möglich

Sie enthält eine Öffnungsklausel, wonach spezielle nationale Regelungen zum Beschäftigtendatenschutz grundsätzlich möglich sind. In Art. 82 der Datenschutz-GrundVO ist vorgesehen, dass die EU-Mitgliedstaaten nationale Sonderregelungen zum Beschäftigtendatenschutz erlassen können. Der deutsche Gesetzgeber bleibt damit grundsätzlich weiter ermächtigt, den Arbeitnehmerdatenschutz umfassend zu regeln. Allerdings dürfen die nationalen Spezialregeln nicht hinter dem Schutzniveau der Datenschutz-GrundVO zurückbleiben und müssen insgesamt den Verhältnismäßigkeitsgrundsatz beachten.

Weiter ist zu berücksichtigen, dass die bisherigen Entwürfe der Datenschutz-GrundVO eine Reihe von Detailregelungen enthalten, die sich unmittelbar auf den Beschäftigtendatenschutz auswirken und damit zwingend in deutschen Arbeitsverhältnissen Anwendung finden werden. Die Datenschutz-GrundVO setzt dem deutschen Gesetzgeber damit Schranken, was die Regelung des Arbeitnehmerdatenschutzes angeht. Aus diesen Gründen wird die Datenschutz-GrundVO unmittelbare Folgen für die Unternehmenspraxis haben.

Grundsätzliches Verbot ohne Erlaubnis

Die Datenschutz-GrundVO wird der Systematik des Bundesdatenschutzgesetzes (BDSG) ähnlich sein. Die Datenschutz-GrundVO ist als „Verbotsgesetz mit Erlaubnisvorbehalt“ ausgestaltet. Dies bedeutet, dass der Umgang mit personenbezogenen Daten untersagt ist, außer die Verordnung, eine andere gesetzliche Grundlage oder eine Einwilligung des Betroffenen erlauben dies. Art. 6 der Datenschutz-GrundVO sieht vor, dass die Nutzung personenbezogener Daten für die Durchführung eines Arbeitsverhältnisses zulässig ist. Weiter ist die Datenverarbeitung erlaubt, wenn dies für den legitimen Zweck des Unternehmens oder eines Dritten notwendig ist. Dabei ist der Zweck mit dem Persönlichkeitsrecht des Arbeitnehmers abzuwägen.

Aus dieser Neuregelung ergibt sich für den Arbeitgeber grundsätzlich nichts Neues. Auch nach dem derzeit maßgeblichen § 32 BDSG ist die Datennutzung für die Durchführung des Arbeitsverhältnisses erlaubt. Dies bedeutet, dass Unternehmen weiterhin Daten der Mitarbeiter speichern dürfen, die zum Beispiel für die Lohnabrechnung, Führung einer elektronischen Personalakte oder für die Abwicklung des Arbeitsverhältnisses erforderlich sind.

Einführung eines Konzernprivilegs

Neu wird das Konzernprivileg sein, das bislang nach deutschem Datenschutzrecht nicht existiert. Aus diesen Gründen ist für die Übermittlung von Arbeitnehmerdaten an eine andere Konzerngesellschaft eine besondere Rechtfertigungsgrundlage nötig. Das BDSG selbst erlaubt die Datenübermittlung innerhalb des Konzerns nicht. Die Datenschutz-GrundVO will die Datenübermittlung an andere Konzernunternehmen erleichtern. Danach soll es möglich sein, personenbezogene Daten innerhalb einer Unternehmensgruppe für interne administrative Zwecke zu übermitteln. Ebenfalls soll die Übermittlung von Arbeitnehmerdaten zugunsten einer zentralen Personalverwaltung möglich sein. Auf diese Weise wäre eine konzernweite Personaldatenverwaltung erlaubt, was für viele Arbeitgeber in Konzernstrukturen eine deutliche Erleichterung darstellen würde.

Unternehmen sollten sich zeitnah mit den Gesetzesänderungen auseinandersetzen. Insbesondere sind die bisherigen arbeitsvertraglichen Regelungen sowie Betriebsvereinbarungen an die neue Datenschutz-GrundVO anzupassen. Der Strafkatalog der Datenschutz-GrundVO sieht bei Verstößen erhebliche Sanktionen vor. Aufgrund des steigenden Schadensrisikos sollten sich viele Unternehmen die betrieblichen Datenschutzstrukturen auszubauen, um sich auf die erhöhten Anforderungen der neuen datenschutzrechtlichen Regelungen einzustellen.

 

Hinweis: Den gesamten Beitrag des Autors, also beispielsweise auch Antworten darauf, wie Unternehmen künftig mittels Betriebsvereinbarungen den Umgang mit Mitarbeiterdaten regeln können, welche Rolle die Einwilligung des Mitarbeiters spielt und welche empfindlichen Sanktionen bei Verstößen drohen, lesen Sie in der aktuellen Ausgabe des Personalmagazins 01/2016.

 

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Beschäftigtendatenschutz, EU, Jahreswechsel, Sozialversicherung, Entgeltabrechnung, Lohnsteuer, Arbeitsrecht

Aktuell

Meistgelesen