datenschutz-10 Fragen zum neuen EU-Datenschutz

veröffentlicht am 19.07.2016von

Gesetzgebung. Die EU-Datenschutzgrundverordnung wirft bereit ihren langen Schatten voraus. Wir haben beim Datenschutzexperten Marc-Oliver Schulze nachgefragt, was jetzt für betriebliche Interessenvertreter zu tun ist. 
von CUA-Redaktion


mos

Die Fragen beantwortete Marc-Oliver Schulze von AfA Anwalt

Lutz_Olaf

Die Fragen stellte Olaf J. Lutz aus der CuA-Redaktion

 

Besteht aufgrund des einheitlichen europäischen Datenschutzes ab Mai 2018 aktuell bereits Handlungsbedarf für Betriebs- und Personalräte?
Durch die gerade verabschiedete EU-Datenschutzgrundverordnung (EU-DSGVO) werden sich für Arbeitgeber, Arbeitnehmer und vor allem Betriebsräte, eine Vielzahl von Änderungen ergeben. Dem muss auf betrieblicher Ebene Rechnung getragen werden. Dies wird vor allem bei den Betroffenenrechten und der Datensicherheit deutlich.
Auch wenn das deutsche Ausführungsgesetz voraussichtlich erst Ende 2016 vorliegt, sollte man sich bereits zeitnah auf die neue Situation einstellen. Zudem gilt es, auch weiterhin die einschlägige Rechtsprechung im Blick zu behalten und durch Betriebsvereinbarungen die Persönlichkeitsrechte der Mitarbeiter zu wahren. Denn ein Beschäftigtendatenschutzgesetz wird es in absehbarer Zeit nicht geben.

Müssen bestehende Betriebsvereinbarungen angepasst werden?
Viele betriebliche Vereinbarungen entsprechen den neuen Anforderungen nicht, so dass es einen erheblichen Anpassungsbedarf gibt. Das in der EU-DSGVO enthaltene Grundrecht auf Datenschutz ist Regelungsmaßstab auch für alle Kollektivvereinbarungen. Eine Betriebsvereinbarung muss deshalb in datenschutzrechtlicher Hinsicht einen Mindeststandard beinhalten. Die Vorgaben entsprechen zwar weitgehend den Regelungen unseres Bundesdatenschutzgesetzes (BDSG). Die Folgen von Verstößen werden sich aber drastisch verschärfen. Art. 83 Abs. 4 bis 6 der EU-DSGVO sieht einen Bußgeldrahmen von bis zu 20.000.000 Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor. Insoweit sollte es auch im Interesse der Arbeitgeber sein, die Umsetzungsfrist von zwei Jahren zu nutzen.

Sind Abweichungen im Datenschutzniveau nach unten durch betriebliche Vereinbarungen möglich?
Nein, eine Unterschreitung des durch die EUVerordnung vorgegebenen Datenschutzniveaus wird in Betriebsvereinbarungen nicht möglich sein. Derartige Regelungen würden dem Sinn und Zweck der europäischen DSGVO, die ein europaweit einheitliches Datenschutzniveau zum Ziel hat, zuwiderlaufen. Betriebsräte sollten sich auch nicht nach unten, sondern nach oben orientieren. Die Datenschutzskandale der letzten Jahre haben gezeigt wie wichtig es ist, dass die Arbeitnehmerrechte in Kollektivvereinbarungen geschützt werden. Ein wirksamer Datenschutz ist ein nicht zu unterschätzender Wettbewerbsvorteil für jedes Unternehmen.

Kommen weitere oder neue Aufgaben auf Betriebsräte zu?
Der grenzüberschreitende Datenverkehr wird vermehrt in den Fokus der betrieblichen Interessenvertretung rücken. Bisher hat dieses Thema nur in internationalen Konzernen eine Rolle gespielt. Zukünftig werden sich aber auch immer mehr kleinere Unternehmen in der Cloud wiederfinden. Programme wie Office 365 sind mit herkömmlichen Betriebsvereinbarungen nicht in den Griff zu bekommen. Hier sind neue Denkansätze von Betriebsräten und ihren Beratern gefragt. Die Entwicklung kann nicht aufgehalten werden. Entscheidend ist aber, dass Betriebsräte aktiv die Bedingungen mitgestalten. Die Maßstäbe, nach denen Mitwirkungsrechte aus dem Betriebsverfassungsgesetz im datenschutzrechtlichen Kontext bestehen, müssen sich dabei zukünftig an den Vorgaben der EU-DSGVO messen lassen. Da die Verordnung nicht so konkret ist wie das  Bundesdatenschutzgesetz, wird der Interpretationsspielraum – was der Arbeitgeber darf oder nicht darf – größer werden. Betriebsräten wird es daher künftig schwerer fallen, Vorstöße des Arbeitgebers einzufangen und auf ein vertretbares Maß einzugrenzen. Hier kann – und sollte – der Betriebsrat dann anwaltliche, gewerkschaftliche oder andere sachverständige Hilfe hinzuziehen.

Ändert sich das Verhältnis zum Datenschutzbeauftragten?
Die Rolle des betrieblichen Datenschutzbeauftragten wird durch die EU-Verordnung geschwächt. Abhängig von der nationalen Ausgestaltung im Ausführungsgesetz wird eine Verschiebung der Bestellgrenze nach oben stattfinden. Die §§ 4 f und 4 g BDSG werden daher nicht eins zu eins übernommen werden. Neben Wettbewerbserwägungen im europäischen
Vergleich werden hierbei vor allem Kostengründe eine entscheidende Rolle spielen. Die Veränderungen werden sich auf das Verhältnis zwischen Betriebsrat und Datenschutzbeauftragtem auswirken. Der Betriebsrat wird durch die geschwächte Position des betrieblichen Datenschützers einen einflussreichen und starken Ansprechpartner für Fragen zum Beschäftigtendatenschutz verlieren. Dieses Vakuum muss der Betriebsrat auffangen. Er kann sich an die Aufsichtsbehörden wenden und / oder sachverständige Hilfe hinzuziehen.

 

Tagung zum Thema

Arbeitnehmerschutz aktuell

Mit zunehmender Digitalisierung rückt auch der Beschäftigtendatenschutz immer weiter in den Fokus. Zahlreiche Gerichtsurteile haben das Datenschutzrecht präzisiert, die EU-Datenschutzgrundverordnung ist verabschiedet. Der BR-Datenschutztag 2016 informiert am 15. November in einer außergewöhnlichen Location – dem »Aircraft« – in Dreieich bei Frankfurt am Main über die aktuellen Entwicklungen. Neben der Bundesdatenschutzbeauftragten Andrea Voßhoff und dem aus Stern-TV bekannten Tobias Schrödel haben Prof. Dr. Wolfgang Däubler und Tim Wybitul zugesagt. Maximilian Schrems, der das EuGH-Urteil gegen Facebook zu Safe Harbor erstritten hat, wird über seinen Kampf gegen die Institutionen und die weiteren Rechtsentwicklungen – etwa zum Privacy Shield – berichten. Weitere Informationen (Frühbucherrabatt bis zum 31. August) unter:
www.afa-seminare.de/datenschutztag

Was müssen Betriebsräte beachten, nachdem Safe Harbor gekippt wurde?
Ist der Privacy Shield ein akzeptabler Ersatz? Der EU-US-Privacy Shield wird – jedenfalls in seiner jetzigen Form – kein vertrauenswürdiger Nachfolger des Safe Harbor-Abkommens werden. Allerdings gibt es aktuell keine wirklichen Alternativen. Auch Binding Corporate Rules (BCR) und Standardvertragsklauseln stehen auf dem Prüfstand und werden über kurz oder lang als Rechtsgrundlage für eine rechtmäßige Übermittlung personenbezogener Daten in Drittstaaten ausscheiden. Arbeitgeber werden daher künftig auf den Privacy Shield bauen müssen. Belegschaftsvertretungen ist zu raten, noch mehr als bisher im Blick zu behalten, auf welche Rechtsgrundlage der Arbeitgeber die Übermittlung von Beschäftigtendaten in die USA stützt. Es muss kritisch hinterfragt werden, ob ein unzulässiger Datentransfer vorliegt. Soweit dies der Fall ist, müssen Betriebsrat, Datenschutzbeauftragter und Arbeitgeber gemeinsam nach Lösungen suchen.

Können Arbeitnehmerdaten überhaupt noch legal in die USA transferiert werden?
Im Grunde nicht. Natürlich können wie auch bisher personenbezogene Daten über § 4 c BDSG in Drittländer transferiert werden. Dies kommt gemäß § 4 c Abs. 1 Nr. 2 BDSG beispielsweise dann in Betracht, wenn die Übermittlung zur Erfüllung des Arbeitsvertrags zwischen dem Betroffenen und der verantwortlichen Stelle erfolgt. Soweit also ein Mitarbeiter in die USA geschickt wird, so müssen auch bestimmte Daten übermittelt werden, um etwa eine Kontoeröffnung zu ermöglichen. Eine Auslagerung der Personaldatenverarbeitung  ist in diesem Rahmen jedoch nicht möglich. Auch ein internationaler Konzern mit Sitz der Konzernmutter in den USA kann die europabezogenen Beschäftigtendaten nicht in den Vereinigten Staaten speichern, sondern muss seine europäische Niederlassung als verantwortliche Stelle einsetzen. In Anbetracht der momentanen Entwicklung und des erhöhten Bußgeldrahmens der EU-DSGVO ist es daher durchaus denkbar, dass zukünftig vermehrt Server in der Europäischen Union genutzt werden. So kann sichergestellt werden, dass personenbezogene Daten rechtskonform gespeichert werden.

Wie wird der Arbeitnehmerdatenschutz künftig umgesetzt werden? Wird es in absehbarer Zeit ein extra Gesetz geben? 
Wie der Arbeitnehmerdatenschutz künftig umgesetzt wird, kann heute nicht gesagt werden. Fest steht: In der laufenden Legislaturperiode wird es – obwohl im Koalitionsvertrag festgelegt – keine Umsetzung eines Arbeitnehmerdatenschutzes, in welcher Form auch immer, geben. Es bleibt abzuwarten, wie die Bundesregierung nach der nächsten Bundestagswahl vorgehen wird und welchen Stellenwert sie dem Beschäftigtendatenschutz einräumen wird.

Wird zumindest § 32 BDSG erhalten bleiben?
Das Bundesinnenministerium will die Öffnungsklausel der EU-Datenschutzverordnung dazu nutzen, den § 32 BDSG im Begleitgesetz zur EU-DSGVO zu erhalten. Der § 32 BDSG würde damit in seiner jetzigen Form unverändert fortgelten. Das Bundeswirtschaftsministerium strebt jedoch Änderungen an und setzt sich für eine Streichung von § 32 Abs. 1 Satz 2 und § 32 Abs. 2 BDSG ein. Warten wir ab, wer sich schlussendlich durchsetzen wird.

Hilft die neue EU-DSGVO künftig auch den Betriebsräten bei ihrer Arbeit oder wird es noch schwieriger?
Die Rechte der Betriebsräte werden durch die neue EU-Verordnung nicht unmittelbar betroffen. Diese regelt letztlich »nur«, was im Rahmen der Datenerhebung, -verarbeitung und -nutzung möglich ist. Dies zu ermitteln ist aber noch schwieriger als unter dem Bundesdatenschutzgesetz. Denn der Verordnungstext ist sehr bürokratisch formuliert. Das Zusammenwirken mit dem nationalen Ausführungsgesetz erschwert diesen Zustand zudem. Hinzu kommt, dass die EU-DSGVO in ihren zweiundzwanzig Sprachversionen verbindlich gilt. Auf den darin enthaltenen Art. 88 DS-GVO angewandt, der von »spezifischeren Regelungen im Beschäftigungskontext« spricht, stellt sich die Frage, was damit im Vergleich mit anderssprachigen Ausgaben konkret gemeint ist. Das bedeutet im Ergebnis einen stark erhöhten Schulungs- und Beratungsbedarf für Betriebsräte.