Die Datenschutz-Grundverordnung (DSGVO) ist ab 2018 in Deutschland anwendbar. Rechtsanwalt Dr. Philipp Byers gibt einen Überblick über die Herausforderungen, die sich in der Praxis durch die Umsetzung der DSGVO für Unternehmen stellen werden.
Haufe Online-Redaktion: Herr Byers, wie ist der aktuelle Stand zur EU-DSGVO beziehungsweise ihrer Umsetzung?
Philipp Byers: Die EU-Mitgliedsstaaten erhalten mit der DSGVO ein einheitliches Datenschutzrecht, welches ab dem 25.5.2018 in Deutschland anwendbar ist. Als EU-Recht hat sie Vorrang vor nationalem Recht und löst damit das bisherige Bundesdatenschutzgesetz (BDSG) ab. Es bestehen dann nur noch eng begrenzte Möglichkeiten, den Datenschutz national zu regeln.
Haufe Online-Redaktion: Können Sie hierfür Beispiele nennen?
Byers: Als wichtiges Beispiel lässt sich hier der Beschäftigtendatenschutz anführen. Nach Art. 88 DSGVO können nationale Regelungen geschaffen werden, um die Grundsätze der DSGVO für den Umgang mit Arbeitnehmerdaten zu präzisieren. Von dem Schutzniveau der DSGVO dürfen nationale Regelungen dagegen nicht abweichen. Die Bundesregierung hat einen Gesetzesentwurf mit dem sperrigen Titel „Datenschutz Anpassungs- und –Umsetzungsgesetz-EU“, abgekürzt „DSAnpUG-EU“, vorgelegt. Das DSAnpUG-EU soll mit § 26 BDSG-E eine Norm erhalten, die den Beschäftigtendatenschutz regelt. § 26 BDSG-E greift weitgehend auf den Regelungsinhalt des bisherigen § 32 BDSG zurück. Es ist derzeit noch nicht absehbar, ob die Bundesregierung das „DSAnpUG-EU“ in der verbleibenden Legislaturperiode tatsächlich verabschieden lassen wird.
Haufe Online-Redaktion: Was kommt auf Arbeitgeber durch die neuen Regeln zu? Welche neuen Hürden und Herausforderungen gibt es?
Die praktische Umsetzung der DSGVO stellt eine gewaltige Herausforderung für Unternehmen dar. Es gelten zukünftig nach Art. 12 ff. DSGVO umfassende Informationspflichten, so dass Arbeitgeber ihre Mitarbeiter genau darüber unterrichten müssen, was mit den erhobenen Arbeitnehmerdaten geschieht. Zudem greifen weitgehende Dokumentationspflichten. Nach Art. 5 Abs. 2 DSGVO müssen Unternehmen zukünftig nachweisen, dass sie die Vorgaben der DSGVO einhalten. In Streitfällen besteht dabei nach Art. 24 Abs. 1 DSGVO sogar eine Beweispflicht.
"Die praktische Umsetzung der #DSGVO stellt eine gewaltige Herausforderung für Unternehmen dar."
Click to tweet
Haufe Online-Redaktion: Welche Folgen können Verstöße gegen diese Pflichten haben?
Byers: Kommen Arbeitgeber ihren Dokumentationspflichten nicht nach, besteht in arbeitsgerichtlichen Auseinandersetzungen das Risiko, dass bei Datenschutzverstößen ein Beweisverwertungsverbot angenommen wird. Dies kann sich beispielsweise in Kündigungsschutzprozessen gravierend auswirken, wenn eine verhaltensbedingte Kündigung durch die Erkenntnisse aus einer Mitarbeiterkontrolle begründet werden soll. Ein Beweisverwertungsverbot führt dann regelmäßig zur Unwirksamkeit der Kündigung.
Haufe Online-Redaktion: Ein Streitpunkt in der Praxis ist oftmals die Mitarbeiterüberwachung. Was ist hier zu beachten?
Byers: Eine Videoüberwachung am Arbeitsplatz kann grundsätzlich auch weiterhin zulässig erfolgen. Wegen der hohen Eingriffsintensität in die Persönlichkeitsrechte wird der Arbeitgeber zumindest bei einem Kameraeinsatz an öffentlichen Arbeitsplätzen eine Datenschutz-Folgenabschätzung durchführen müssen. Im Vorfeld müssen dabei die möglichen datenschutzrechtlichen Risiken bewertet werden. Insgesamt können Verstöße gegen die DSGVO richtig teuer werden. Künftig drohen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes an Bußgeldern.
Haufe Online-Redaktion: Wie können Arbeitgeber darauf reagieren?
Byers: Wegen der Vielzahl an Neuerungen verbleibt Unternehmen nicht mehr viel Zeit, die Vorgaben der DSGVO umzusetzen. Es werden vor allem umfangreiche Anpassungen von Arbeitsabläufen an die DSGVO und die Schaffung eines betrieblichen Datenschutzmanagements notwendig sein. Bei vielen Fragen des Beschäftigtendatenschutzes sind Verhandlungen mit dem Betriebsrat erforderlich. Betriebsvereinbarungen bleiben zwar als Rechtfertigungsmittel nach Art. 88 DSGVO möglich. Eine Betriebsvereinbarung darf dabei das Schutzniveau der DSGVO nicht unterschreiten. Bereits bestehende Betriebsvereinbarung müssen an die Vorgaben der DSGVO angepasst werden. Insbesondere sind die Informations- und Auskunftsrechte der Betroffenen zu wahren.
"Bei vielen Fragen des Beschäftigtendatenschutzes sind Verhandlungen mit dem Betriebsrat erforderlich."
Click to tweet
Haufe Online-Redaktion: Warten auch Vereinfachungen durch ein neues Gesetz?
Byers: Die DSGVO bringt für Unternehmen aber auch Vorteile. So erleichtert die DSGVO den Datenaustausch innerhalb einer Unternehmensgruppe. Voraussetzung dafür ist, dass zwischen den Unternehmen ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann durch gruppeninterne vertragliche Regelungen festgelegt werden. Die DSGVO schafft damit ein „Konzernprivileg Light“, das es in dieser Form noch nicht gab. Zukünftig lässt sich ein Austausch von Arbeitnehmerdaten leichter umsetzen, als dies nach dem BDSG der Fall ist.
Dr. Philipp Byers ist Fachanwalt für Arbeitsrecht und Partner bei der Lutz Abel Rechtsanwalts GmbH am Standort München.
Das Interview führte Michael Miller, Redaktion Personalmagazin.