Beim Datenschutz geht es um Personendaten – unter anderem die Ihrer Mitarbeiter. Mit der neuen europäischen Datenschutz-Grundverordnung (EU-DS-GVO) und dem deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) regeln EU und Bundesregierung den Schutz personenbezogener Daten in Unternehmen neu und stellen zum Teil deutlich höhere Anforderungen gegenüber der bisherigen Rechtslage auf. Am 25. Mai 2018 wird es ernst. Sind Sie vorbereitet?
Als Arbeitgeber sollten Sie sich jetzt fragen: Was darf ich künftig über meine Mitarbeiter wissen und herausfinden? Und: Genügen unsere IT-Systeme noch den neuen Anforderungen an Datenschutz und Datensicherheit? Bleiben diese Fragen unbeantwortet, kann es richtig teuer werden: Bei Verstößen gegen die neuen Datenschutzauflagen drohen drastische Bußgelder.
Die neue EU-Datenschutz-Grundverordnung gibt Unternehmen doppelten Anlass, zügig zu handeln: Zum einen bringen die Neuregelungen zahlreiche neue Auflagen für den Umgang mit Ihren Mitarbeiterdaten. Zugleich steigt das Haftungsrisiko bei Verstößen deutlich mit Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des Konzernumsatzes – im deutschen Datenschutzrecht gilt bislang ein Bußgeldrahmen von maximal 300.000 Euro. Und damit keine Missverständnisse aufkommen, sollen im neuen Recht die Aufsichtsbehörden sicherstellen, dass die Geldbußen für Verstöße gegen die EU-DS-GVO „wirksam, verhältnismäßig und abschreckend" sind.
Daher empfiehlt sich eine Überprüfung und Anpassung betrieblicher Prozesse. Soweit ein Betriebsrat besteht, sollten auch bestehende Betriebsvereinbarungen auf Änderungsbedarf untersucht werden. Die verbleibende Zeit bis zum Inkrafttreten der Neuregelungen ist angesichts der weitreichenden Änderungen knapp bemessen. Wer bislang noch keine Maßnahmen ergriffen hat, sollte nun zügig handeln. In arbeitsrechtlicher Hinsicht sind dabei vor allem folgende Aspekte wichtig:
- Datenschutzfolgeabschätzung/ Privacy Impact Assessment (Art. 35 EU-DS-GVO)
Vor der Einführung von neuen datenverarbeitenden Systemen müssen Unternehmen künftig unter bestimmten Voraussetzungen eine Folgeabschätzung für den Datenschutz durchführen, verbunden mit umfangreichen Analysen der Auswirkungen der vorgesehenen Verarbeitungsvorgänge auf den Schutz personenbezogener Daten. Hierzu sollten rechtzeitig entsprechende betriebliche Prozesse eingerichtet und Verantwortlichkeiten festgelegt werden. - Einwilligungen zur Datenverarbeitung (Art. 7 EU-DS-GVO, § 26 DSAnpUG-EU)
Auch in der EU-DS-GVO ist weiterhin das rechtliche Instrument der Einwilligung in die Verarbeitung personenbezogener Daten vorgesehen. Für Einwilligungen im Rahmen von Arbeitsverhältnissen stellt das DSAnpUG jedoch besondere Kriterien auf. Bislang verwendete Einwilligungs-Formulare sollten entsprechend überprüft und angepasst werden. - Erweiterte Meldepflichten an Behörden (Art. 33 EU-DS-GVO)
Verletzungen des Schutzes personenbezogener Daten müssen künftig mit bestimmten Mindestinhalten an die Aufsichtsbehörden gemeldet werden. Meldewege und Kommunikationsprozesse sollten entsprechend angepasst werden. - Mitbestimmung des Betriebsrats (§ 87 Abs. 1 Nr. 6 BetrVG)
Soweit ein Betriebsrat besteht, verfügt dieser kraft Gesetzes über ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Systemen, die potenziell zur Überwachung von Verhalten und Leistung der Arbeitnehmer geeignet sind. Dies trifft auf eine Vielzahl von Soft- und Hardwarelösungen zu, mit denen personenbezogene Daten von Arbeitnehmern erfasst und verarbeitet werden. Vorhandene Betriebsvereinbarungen sollten daher insgesamt daraufhin überprüft werden, ob sie die neuen Anforderungen der EU-DS-GVO und des DSAnpUG-EU erfüllen. Falls erforderlich sollten rechtzeitig Neuverhandlungen mit dem Betriebsrat aufgenommen werden.
Küttner berät seit mehr als 40 Jahren zu allen Themen des Arbeitsrechts und hat bereits zahlreiche Unternehmen bei Verhandlung und Abschluss von Betriebsvereinbarungen zum Datenschutz begleitet.
