Datenschutz in der Betriebsratsarbeit

Mitbestimmung des Betriebsrats beim Mitarbeiterdatenschutz

Der Betriebsrat hat die Aufgabe, die Interessen der Beschäftigten eines Betriebs im Sinne des § 5 BetrVG zu vertreten. Somit liegt auch der Schutz vor Missbrauch bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Arbeitnehmerdaten in seinem Zuständigkeitsbereich. Hierbei gilt Hierbei gilt das Verbotsprinzip mit Erlaubnisvorbehalt gemäß § Art. 6 DSGVO. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO normierten Bedingungen erfüllt ist. Hierzu zählen die Einwilligung des Betroffenen, die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung.

Durch das Mitbestimmungsrecht des Betriebsrats sollen die Beschäftigten des Betriebs vor Leistungs- und Kontrolleinrichtungen geschützt werden, die in ihren Persönlichkeitsbereich eingreifen. Zwar dürfen personenbezogene Daten eines Beschäftigten nach § 26 BDSG im Zuge des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden. Hierbei gilt jedoch der Zweckbindungs- und Erforderlichkeitsgrundsatz:

Nach dem Zweckbindungsgrundsatz dürfen personenbezogene Daten nicht ohne Zweckbestimmung – auf Vorrat – erhoben oder gespeichert werden, sondern der Zweck des Datenumgangs muss noch vor der Erhebung festgelegt werden. Hierdurch soll der Beschäftigte den Umgang mit seinen Daten überschauen und kontrollieren können. Nach dem Erforderlichkeitsgrundsatz darf nur die mildeste, also die das Recht des Beschäftigten am wenigsten einschränkende Maßnahme ergriffen werden.

Die Erforderlichkeit wird auf der Grundlage einer am Verhältnismäßigkeitsgrundsatz orientierten Interessenabwägung bestimmt. Die Verarbeitung der personenbezogenen Daten im Sinne von § 26 Abs. 1 BDSG ist erforderlich, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interessen des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

Die Verhältnismäßigkeit der Erhebung und Verarbeitung personenbezogener Daten lässt sich also in drei Schritten prüfen:

Die ergriffene Maßnahme muss stets geeignet sein, um den verfolgten Zweck zumindest zu fördern.

Die Maßnahme muss angemessen sein. Dies trifft dann zu, wenn kein milderes, weniger belastendes Mittel, das in geringerem Ausmaß in die Persönlichkeitsrechte des Beschäftigten eingreift, den gleichen Erfolg erzielen kann.

Der Nachteil für den Beschäftigten und der erstrebte Erfolg müssen in einem vernünftigen Verhältnis zueinander stehen (Fitting BetrVG § 87 Rn 216).

Phasen der Mitbestimmung

Das Bundesdatenschutzgesetz sieht dabei drei Phasen vor, in welchen der Betriebsrat sein Mitbestimmungsrecht einsetzen kann:

1. Die Erhebungsphase: In dieser werden Daten über das Verhalten oder die Leistungen der Arbeitnehmer ermittelt. Dies kann entweder direkt, beispielsweise durch die Installation einer Videokamera oder indirekt durch Aufzeichnungen in EDV-Anlagen, erfasst werden.
2. Die Verarbeitungsphase: Hier werden vorhandene Daten über das Verhalten oder die Leistung der Beschäftigten gesichert, geordnet und zueinander in Beziehung gesetzt, damit diese ausgewertet können.
3. Die Nutzungsphase: In dieser wird eine Bewertung der erhaltenen Ergebnisse vorgenommen. Hierzu wird häufig ein Soll/Ist-Vergleich der Leistungs- und Verhaltensdaten der Arbeitnehmer durchgeführt.

Das Mitbestimmungsrecht des Betriebsrats besteht dabei keineswegs nur dann, wenn eine technische Einrichtung zur Leistungs- und Verhaltenskontrolle aktiv genutzt wird. Es kommt gemäß § 87 Abs. 1 Nr. 6 BetrVG bereits zur Geltung, wenn eine technische Einrichtung hierfür lediglich geeignet ist. Dabei handelt es sich stets um ein aktives Mitbestimmungsrecht, wonach eine Umsetzung von Maßnahmen durch den Arbeitgeber ohne die Zustimmung des Betriebsrats unzulässig ist.

Kontrolle durch den Betriebsrat

Die allgemeinen Aufgaben des Betriebsrats sind in § 80 BetrVG normiert. Der Betriebsrat kann seine Beteiligungsrechte gemäß § 80 Abs. 2 BetrVG zu Kontrollzwecken, aber auch zum Zweck der Informationsbeschaffung bezüglich der Verarbeitung personenbezogener Arbeitnehmerdaten geltend machen.

Der Arbeitgeber ist dabei verpflichtet nach § 80 Abs. 2 BetrVG den Betriebsrat rechtzeitig und umfassend über den Einsatz technischer Systeme zu unterrichten.
Ferner kommt dem Betriebsrat nach § 37 Abs. 6 BetrVG bei der Einführung von technischen Einrichtungen iSv § 87 Abs. 1 Nr. 6 BetrVG ein Schulungsanspruch zu.

Darüber hinaus kann der Betriebsrat bei den Beratungen über die Einführung, Nutzung oder Veränderung technischer Systeme zur Erfassung von Arbeitnehmerdaten einen Sachverständigen hinzuziehen. Dies ist dann erforderlich, wenn dem Betriebsrat das notwendige Wissen fehlt, um die Planung des Arbeitgebers hinreichend beurteilen zu können.

Fälle, in welchen dem Betriebsrat ein Mitbestimmungsrecht in Bezug auf den Schutz der Mitarbeiterdaten zukommt, sind unter anderem:

• Die Nutzung der betriebseigenen Telefonanalage (insbesondere dann, wenn die Beschäftigen diese auch zu privaten Zwecken nutzen dürfen)
• Die Einführung einer Software für Zielvereinbarungen
• Der Gesundheitsschutz bei der Einführung von EDV-Anlagen
• Die Einführung eines Entgeltsystems
• Die Urlaubsplanung (soweit diese EDV verwaltet wird)
• Die Personalplanung
• Qualifizierungsmaßnahmen der Mitarbeiter

Datenschutz im Betriebsratsbüro

Auch der Betriebsrat verarbeitet in seiner täglichen Arbeit die Daten von Arbeitnehmern. Nach § 75 Abs. 2 BetrVG hat er die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Dabei kontrolliert er die Einhaltung der Arbeitnehmerschutzvorschriften gemäß § 80 Abs. 1 BetrVG. Hierzu zählen unter anderem auch die Regelungen des BDSG sowie die bestehenden Betriebsvereinbarungen. Um diese Aufgabe erfüllen zu können, stellt der Arbeitgeber dem Arbeitnehmer personenbezogene Arbeitnehmerdaten zur Verfügung. Bei der Verarbeitung und Nutzung dieser Daten gelten auch für den Betriebsrat stets die Grundsätze der Datensparsamkeit und Zweckbindung. Darüber hinaus muss die Verarbeitung und Nutzung grundsätzlich mit einer konkreten Aufgabe des Betriebsrats im Zusammenhang stehen.

Verantwortliche Stelle für den Datenschutz im Betriebsratsbüro

Im Hinblick auf den Arbeitnehmerdatenschutz darf sich der Betriebsrat selbst organisieren. Allerdings empfiehlt sich in der Praxis eine vertrauensvolle Zusammenarbeit des Betriebsrats mit dem Arbeitgeber und dem Datenschutzbeauftragten.

Übernimmt ein Arbeitnehmer die Position des betrieblichen Datenschutzbeauftragten kommt dem Betriebsrat nach § 99 BetrVG auch ein Beteiligungsrecht zu. Zwar kann er die Bestellung dessen nicht kontrollieren, er kann allerdings seine Zustimmung zur Bestellung des Datenschutzbeauftragten verweigern. Dies kann beispielsweise der Fall sein, wenn der Betriebsrat die Auffassung vertritt, dass der Arbeitnehmer nicht über die fachlichen Qualifikationen verfügt, die für die Tätigkeit als Datenschutzbeauftragter erforderlich sind.

Beschäftigungsdatenschutz

In der betrieblichen Praxis werden häufig mit dem Einsatz neuester Informations- und Kommunikationsmittel Daten erhoben. Allerdings ist keineswegs jede Sammlung von Daten durch den Arbeitgeber auch zulässig. Daten dürfen nur dann durch den Arbeitgeber erhoben werden, wenn sie nach § 26 Abs. 1 BDSG Zwecken des Beschäftigungsverhältnisses dienen. Wann dies der Fall ist, muss stets individuell entschieden werden.

Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat hierbei ein Mitbestimmungsrecht. Des Weiteren muss der Betriebsrat nach § 80 Abs. 1 BetrVG sicherstellen, dass die Regelungen der DSGVO sowie des BDSG stets berücksichtigt werden.

Die privaten Lebensverhältnisse von Arbeitnehmers müssen dabei grundsätzlich unberührt bleiben. Erforderlich ist allerdings die Datenerhebung zur Konfession des Arbeitnehmers, da diese zur Erhebung der Kirchensteuer und somit zur korrekten Entgeltabrechnung notwendig ist sowie die Frage nach der Gewerkschaftszugehörigkeit, soweit ein Betrieb im Sinne von § 3 Abs. 1 TVG tarifgebunden ist. Darüber hinaus ist auch die Erfassung von Arbeitszeitdaten für die Durchführung des Arbeitsverhältnisses nach § 26 BDSG erforderlich. Auch Abwesenheitszeiten sowie die Gründe für diese dürfen in diesem Zug erfasst werden. Hierzu darf auch eine elektronische Personalakte geführt werden. Auch hier hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Er muss stets sicherstellen, dass die neuen Möglichkeiten der Auswertung der Daten aus der Personalakte datenschutzkonform in einer Betriebsvereinbarung geregelt werden.

Wichtige Fragen zum Arbeitnehmerdatenschutz

Oft wiederkehrende Fragen zum Datenschutz haben wir für Sie beantwortet. Die Videos haben wir zu einer Playlist zusammengefasst:

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO)

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten. Sie ersetzt die aus dem Jahr 1995 stammende EU Datenschutzrichtlinie (Richtlinie 95/46/EG).

Das Ziel der DSGVO ist die EU-weite Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten und die Stärkung der Rechte und Kontrollmöglichkeiten der Betroffenen.

Als Teil des Unionsrechts genießt die DSGVO Anwendungsvorrang vor Bundesrecht, d.h. im Falle einer Normenkollision zwischen der DSGVO und dem BDSG hat die DSGVO als ranghöheres Recht Anwendungsvorrang. Jedoch eröffnet die DSGVO durch Öffnungs- bzw. Konkretisierungsvorschriften den Mitgliedstaaten einen eigenen Gestaltungsspielraum, damit diese in einigen datenschutzrechtlich relevanten Bereichen eigene Vorschriften erlassen können. Somit ergänzt und konkretisiert das neue BDSG, welches zeitgleich mit der DSGVO in Kraft getreten ist, die Regelungen der DSGVO.

Was sind die wesentlichen Neuerungen?

Speziell geregelt werden in der neuen Verordnung vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Dabei werden durch die neuen Transparenz- und Dokumentationspflichten der datenverarbeitenden Unternehmen die Rechte der Nutzer gestärkt - ihnen soll der Zugang zu ihren Daten und den Informationen über deren Nutzung erleichtert werden. Auch der Anspruch auf die Löschung personenbezogener Daten wird von der neuen Verordnung ausdrücklich bestätigt.

Darüber hinaus stellt die DSGVO auch höhere Anforderungen an den Datenschutz in Unternehmen. So sind diese nun verpflichtet, elektronische Geräte und Anwendungen datenschutzfreundlich einzustellen. Des Weiteren sieht die Verordnung Datenschutz-Folgeabschätzungen vor, wenn neue Technologien besonders hohe Risiken für die erhobenen Daten mit sich bringen.

Für wen gilt die Datenschutzgrundverordnung (DSGVO)?

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind. Jedoch müssen auch außereuropäische Unternehmen die Regelungen beachten, wenn sie:

• eine Niederlassung in der EU haben oder
• personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden.

Der wichtigste Anknüpfungspunkt beim Anwendungsbereich der DSGVO sind personenbezogene Daten. Darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als „identifizierbar“ wird eine Person dann angesehen, wenn sie direkt oder indirekt, mittels der Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann.

Achtung: Bereits die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind zum Beispiel:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtstag
• Kontodaten
• Kfz-Kennzeichen
• Standortdaten
• IP-Adressen

Wann ist die Verarbeitung von Daten zulässig?

Die Verarbeitung von Daten ist nur dann zulässig, wenn es laut der DSGVO oder einem anderen Gesetz ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt).

Gemäß Art. 6 DSGVO sind die praktisch relevantesten Erlaubnistatbestände:

• Es liegt eine Einwilligung des Betroffenen vor. Art. 7 und Art. 8 DSGVO definieren die Anforderungen, die an diese Einwilligung zu stellen sind. So soll etwa das Mindestalter bei 16 Jahren liegen – es sei denn, die einzelnen Staaten senken die Altersgrenze auf maximal 13 Jahre ab.
• Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
• Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
• Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Zwar hat der Betroffene hiergegen ein Widerspruchsrecht, auf welches er auch hingewiesen werden muss. Unklar ist jedoch, aus welchen Gründen ein solcher Widerspruch Erfolg haben könnte. Daher dürfte dieses Recht ins Leere laufen.

Gemäß Art. 6 Abs. 4 DSGVO dürfen Daten auch später zu weiteren Zwecken verarbeitet werden. Dies ist jedoch nur dann der Fall, wenn sie damit immer noch dem ursprünglichen Zweck der Erhebung entsprechen. Hierbei muss der Betroffene jedoch stets über die Nutzung seiner Daten informiert werden. Ein Beispiel hierfür ist die Nutzung der Daten zu statistischen Zwecken.

Welche Daten dürfen nicht verarbeitet werden?

Angelehnt an die Regelungen des BDSG, werden in Art. 9 DSGVO weiterhin besondere Kategorien von Daten aufgeführt, die grundsätzlich nicht verarbeitet werden dürfen. Zu diesen Daten zählen solche, aus denen

• die rassische und ethnische Herkunft
• die politische Meinung
• die religiösen oder weltanschaulichen Überzeugungen
• die Gewerkschaftszugehörigkeit
• die sexuelle Orientierung oder das Sexualleben
• Informationen zur Genetik und Gesundheit

einer Person hervorgehen.

Die Kategorien wurden dabei im Vergleich zum BDSG erweitert. Insbesondere fallen nun auch biometrische Daten, wie zum Beispiel der Fingerabdruck oder die Stimmerkennung einer Person, darunter.

Allerdings gibt es auch hierbei Ausnahmen. So dürfen diese Daten dann verarbeitet werden, wenn ein Ausnahmetatbestand einschlägig ist. Neu ist dabei, dass dieser Tatbestand nicht mehr ausschließlich auf die gerichtliche Geltendmachung beschränkt ist. Nach der neuen Richtlinie dürfen diese Daten zukünftig auch verarbeitet werden, wenn eine Einwilligung der betroffenen Person vorliegt oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist.

Pflichten für Unternehmen

Technischer und organisatorischer Datenschutz

Gemäß Art. 24 und 25 der DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zur Gewährleistung des Datenschutzes und der Datensicherheit treffen. Die zu ergreifenden Maßnahmen sind dabei unter anderem abhängig vom jeweiligen Stand der Technik und der Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten der Beschäftigten. So sollen beispielsweise nur so wenige Daten wie möglich erhoben werden, die so schnell wie möglich pseudonymisiert werden sollen. Aus diesem Grund sollen auch die Geräte und IT-Anwendungen, die für die Datenerhebung und –verarbeitung genutzt werden, in Zukunft so voreingestellt werden, dass nur Daten, die für den Zweck der Verarbeitung notwendig sind, erhoben werden.

Auftragsdatenverarbeitung

Gemäß Art. 28 und 29 der DSGVO ist auch die Auftragsdatenverarbeitung erlaubt. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gemäß den Weisungen des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter auf der Grundlage eines schriftlichen Vertrags zulässig ist. Hierzu zählen beispielsweise Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung von Rechnungen beauftragen.

Neu ist hierbei, dass die Auftragsverarbeitung vor diesem Hintergrund nur dann zulässig ist, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Eine umfangreiche Aufzählung von Regelungsinhalten sowie von Rechten und Pflichten, die die Verträge diesbezüglich beinhalten müssen, ist in Art. 28 DSGVO aufgeführt. Diese gleichen auch den in § 62 BDSG aufgeführten Inhalten. Hinzu kommt hierbei, dass der Auftragsverarbeiter nun ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss.

Die Daten- und Auftragsverarbeitung in Drittstaaten ist nur dann zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Somit entfällt durch die DSGVO die deutsche Restriktion, dass auch bei angemessenem Datenschutzniveau keine besonderen Daten in Drittstaaten verarbeitet werden dürfen.

Verzeichnis der Verarbeitungstätigkeiten

Angelehnt an das bisherige Verfahrensverzeichnis gemäß § 4 lit. g Abs. 2 i.V.m. in Verbindung mit § 4 lit. e BDSG a.F. sieht der Art. 30 der DSGVO ein „Verzeichnis der Verarbeitungstätigkeiten“ vor, das von jedem Auftragsverarbeiter zu führen ist. Dabei handelt es sich um eine Dokumentation und Übersicht über alle Verfahren, bei denen personenbezogene Daten verarbeiten werden.

Eine Ausnahme hiervon bilden nach Art. 30 Abs. 5 DSGVO Unternehmen mit weniger als 250 Arbeitnehmern. Diese können unter bestimmten Voraussetzungen von der Pflicht ausgenommen werden.

Im Vergleich zur bisherigen Rechtslage sieht die neue Verordnung dabei zusätzliche Angaben vor. Dazu zählen unter anderem

• Der Name und die Kontaktdaten des Datenschutzbeauftragten
• Löschfristen
• Technische und organisatorische Maßnahmen.

Das Verzeichnis muss anschließend auch auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden. Die im BDSG aufgeführte Pflicht, das Verzeichnis jedermann zur Verfügung zu stellen, entfällt jedoch mit der neuen Verordnung.

Gemeinsame Datenverarbeitung

Die neue DSGVO sieht vor, dass es zukünftig zulässig ist, dass die erlaubte Datenverarbeitung von mehreren verantwortlichen Stellen gemeinsam durchgeführt werden darf. Allerdings ist hierbei eine transparente Verarbeitung erforderlich, die die jeweiligen Zwecke und Verantwortlichkeiten und die Handhabung in Bezug auf die Rechte der Betroffenen regelt. Ferner können Betroffene auch weiterhin ihre Rechte gegenüber jedem einzelnen Verantwortlichen geltend machen.

Datenschutzbeauftragte

Gemäß Art. 37 DSGVO müssen Unternehmen einen betrieblichen Datenschutzbeauftragten dann ernennen, wenn ihre Kerntätigkeit:

• aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
• die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft.

Deutschland hat von der Öffnungsklausel in Art. 37 Abs. 4 S. 1 2. Hs. DSGVO Gebrauch gemacht und die Anforderungen, ab wann ein Datenschutzbeauftragter zu benennen ist, in § 38 BDSG präzisiert. Hiernach muss ein Datenschutzbeauftragter ernannt werden, wenn entweder:

• in der Regel mindestens 20 Personen ständig mit der Datenverarbeitung beschäftigt sind

oder unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen

• Verarbeitungen vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

Zum Datenschutzbeauftragten kann nur ernannt werden, wer auch über die berufliche und fachliche Qualifikation verfügt. So kommen zum Beispiel qualifizierte Mitarbeiter des datenverarbeitenden Unternehmens oder auch Externe in Frage. Für Konzerne, die über mehrere Gesellschaften verfügen ist ein gemeinsamer Konzerndatenschutzbeauftragter ausreichend. Des Weiteren können Datenschutzbeauftragte ohne wichtigen Grund weder abberufen noch gekündigt werden (§ 626 BGB).

Gemäß Art. 38 DSGVO ist der Datenschutzbeauftrage frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Er unterliegt bei der Erfüllung seiner Aufgaben keinen Weisungen und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

Seine Aufgaben umfassen nach Art. 39 DSGVO die:

• Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
• Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
• Zusammenarbeit mit der Aufsichtsbehörde
• Tätigkeit als Anlaufstelle der Aufsichtsbehörde

Dem Datenschutzbeauftragten ist es darüber hinaus nicht verwehrt auch zusätzlich andere Aufgaben zu übernehmen. Wichtig ist hierbei jedoch, dass durch die Übernahme von anderen Aufgaben keine Interessenskonflikte mit seiner Tätigkeit als Datenschutzbeauftragter entstehen.

Datenschutzfolgen-Abschätzung

Neu für Unternehmen ist die Notwendigkeit einer Datenschutz-Folgenabschätzung. Diese ist in Art. 35 DSGVO geregelt. Durchzuführen ist sie immer dann, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt.

Die Datenschutz-Folgenabschätzung erfolgt dabei in drei Stufen:

1. In einer ersten Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
2. Wenn ein solches Risiko besteht, ist in einer zweiten Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehrungen ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer dritten Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von acht Wochen Empfehlungen aussprechen - diese Frist kann je nach Komplexität von der Aufsichtsbehörde verlängert werden - zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU.

Die Datenschutz-Folgeabschätzung ist stets schriftlich zu dokumentieren und kann mit dem Verzeichnis der Verarbeitungstätigkeiten verknüpft werden.

Melde- und Informationspflicht bei Datenpannen

Art. 33 DSGVO sieht vor, dass der Verantwortliche im Falle einerVerletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss. Eine Ausnahme hiervon bilden lediglich Fälle, bei denen die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Person führt.

Die Mitteilung an die Aufsichtsberhörde muss folgende Informationen enthalten:

• Beschreibung des Vorfalls, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
• Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
• Beschreibung der Folgen der Datenschutzverletzung,
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Darüber hinaus müssen auch die von der Datenschutzverletzung Betroffenen eine Mitteilung über den Vorfall erhalten. In einigen Ausnahmefällen kann die Benachrichtigungspflicht jedoch auch entfallen. Dies ist gemäß § 34 Abs. 3 DSGVO der Fall, wenn:

• der Verantwortliche Vorkehrungen getroffen hat, durch die die Daten Unbefugten unzugänglich gemacht werden, etwa durch Verschlüsselung,
• der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht,
• sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

Rechte der Betroffenen

Recht auf Datenübertragbarkeit

Art. 20 DSGVO sieht für die Betroffenen der Datenverarbeitung ein Recht auf Datenübertragbarkeit vor. Hiernach können die Betroffenen an Unternehmen die Forderung stellen, gewisse Daten von einer automatisierten Anwendung, wie zum Beispiel einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. So soll ihnen ermöglicht werden, den Anbieter ohne Verlust der Daten wechseln zu können. Dies betrifft allerdings nur solche Daten, die der Nutzer dem Anbieter selbst zur Verfügung gestellt hat und keine sonstigen vom Anbieter erhobenen Daten. Übermittelt werden müssen die Daten in einem strukturierten, maschinenlesbaren Format.

Widerspruch bei automatisierten Einzelfallentscheidungen

Unter automatisierten Einzelfallentscheidungen versteht man alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Menschen getroffen wurden. Dazu zählen zum Beispiel die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei denen persönliche Aspekte lediglich elektronisch ausgewertet werden. Miteingeschlossen ist hierbei auch das Profiling, beispielsweise für werbliche Zwecke, bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale wie die wirtschaftliche Lage, das Verhalten oder die Arbeitsleistung verwendet werden.

Gemäß Art. 22 DSGVO erhalten die Betroffenen das Recht, Widerspruch gegen eine solche automatisierte Einzelfallentscheidung einzulegen. Hier wird ein erheblicher Unterschied zum früher geltenden § 6a BDSG a.F. deutlich, da dieser derartige Entscheidungen bis auf einige wenige Ausnahmen grundsätzlich, unabhängig von einem Widerspruch der Betroffenen, verboten hatte.

Recht auf Auskunft

Art. 15 DSGVO sieht für die Betroffenen ein umfassendes Auskunftsrecht vor. Dieses ist mit dem in § 34 BDSG verankerten Aufsichtsrecht weitestgehend vergleichbar. Eine Neuerung ist jedoch, dass den Betroffenen nun auch das Recht eingeräumt wird, die Auskunft und die Übermittlung der Daten in elektronischer Form und auch eine Kopie der Daten verlangen zu können.

Informationsanspruch

Gemäß Art. 13 und 14 DSGVO haben Betroffene einen umfassenden Informationsanspruch gegenüber den Unternehmen, die ihre Daten verarbeiten oder aber auch bei Dritten, wie zum Beispiel der Schufa. Dieser Anspruch stellt für die Unternehmen gleichzeitig auch eine Pflicht dar, die die aktuell geltenden Regelungen des BDSG stärken.

Informationen, die in diesem Zug mitgeteilt werden müssen, sind:

• Name und Kontaktdaten des Verantwortlichen,
• ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
• Zwecke und Rechtsgrundlage der Datenverarbeitung,
• Darstellung der berechtigten Interessen (wenn die Datenverarbeitung auf dem Tatbestand der Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO beruht),
• ggf. Empfänger oder Kategorien von Empfängern der Daten,
• ggf. Informationen zur Datenübermittlung in Drittländer,
• Dauer der Datenspeicherung,
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
• Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
• Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)

Die Unternehmen müssen die Betroffenen hierbei umgehend bei der Erhebung der Daten entsprechend benachrichtigen. Dies ist zum Beispiel bereits bei der Bestellung eines Newsletters der Fall.

Der Informationsanspruch entfällt allerdings, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar nicht möglich ist. Diese Ausnahme gilt nur, wenn die Daten bei Dritten verarbeitet werden. Ist dies der Fall bedarf es jedoch einer öffentlichen Bekanntmachung dieser Information. Diese Veröffentlichung kann zum Beispiel auf einer Website stattfinden.

Hat der Betroffene eine Mitteilung über seine gespeicherten und zur Verarbeitung verwendeten Daten erhalten, ergibt sich aus Art. 19 DSGVO ein weiterer Informationsanspruch. Dieser kommt dann zur Geltung, wenn die Daten des Betroffenen entweder berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wurde.

Recht auf Löschung

Das Recht auf Löschung der eigenen Daten steht gemäß Art. 17 DSGVO den Betroffenen zu, wenn:

• die Speicherung der Daten nicht mehr notwendig ist
• der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
• die Daten unrechtmäßig verarbeitet wurden
• eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht.

Keine Anwendung findet des Recht jedoch, wenn:

• die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
• die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
• das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
• Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
• die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Ergänzt wird dieses Recht durch Art. 16 DSGVO. Dieser sieht ein Recht auf Berichtigung vor. Dabei haben Betroffene die Möglichkeit zu verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.

In Art. 18 DSGVO ist darüber hinaus das Recht verankert, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder die Verarbeitung unrechtmäßig ist.

Auswirkungen der EU-Datenschutz-Grundverordnung für den Betriebsrat

Mit dem Inkrafttreten der DSGVO und des neuen BDSG müssen sich auch Betriebsräte mit neuen gesetzlichen Grundlagen des Datenschutzes befassen.

Änderungs- und Anpassungsbedarf aufgrund des neuen Datenschutzes besteht hierbei besonders dann, wenn Betriebsvereinbarungen die datenschutzrechtliche Erlaubnisnorm für das Verarbeiten von Beschäftigtendaten sind. Dies kann zum Beispiel im Zusammenhang mit der Nutzung eines bestimmten IT-Systems der Fall sein. Die Regelungsteile, die Verarbeitungen ermöglichen, müssen dementsprechend den neuen datenschutzrechtlichen Vorgaben entsprechen. Angepasst werden müssen zum Beispiel Vereinbarungen, die umfassende verdeckte Überwachungsmaßnahmen zulassen, keine oder sehr lange Löschungsfristen beinhalten, Datenverarbeitungsprozesse nicht transparent beschreiben oder weitgehend zweckfreie Vorratsdatenspeicherungen zulassen. Werden derartige Regelungen nicht überarbeitet, können gemäß Art. 88 DSGVO Geldbußen gegen das Unternehmen verhängt werden.

Welche Strafen drohen bei Verstößen gegen die DSGVO?

Im Hinblick auf Verstöße gegen die DSGVO wurde vor allem die Höhe der vorgesehenen Strafen und Bußgelder neu geregelt. Bisher lag der Rahmen für diese bei 50.000 bis maximal 300.000 Euro für sehr schwere Verstöße. Dies soll sich nun ändern. So sind zukünftig Bußgelder von bis zu 20 Millionen oder vier Prozent des weltweiten Umsatzes vorgesehen. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig ist hierbei, stets die Anfragen und Beschwerden von Nutzern und Datenschutzbehörden ernst zu nehmen!

Was gilt für die Datenerhebung im BEM?

Gemäß § 167 SGB IX ist der Arbeitgeber verpflichtet, Arbeitnehmern, die innerhalb eines Jahres länger als sechs Wochen durchgehend oder wiederholt arbeitsunfähig waren, ein Betriebliches Eingliederungsmanagement anzubieten. Hierbei muss der betroffene Mitarbeiter grundsätzlich auch über die Datenverarbeitung im Zuge des BEM aufgeklärt werden, da es sich dabei in der Regel um besonders schutzwürdige Daten handelt. So muss der Arbeitnehmer bereits im Vorfeld aufgeklärt werden, welche Daten erhoben werden sollen und wer Zugriff auf diese Daten hat. Die Anzahl der Personen, die auf die Gesundheitsdaten des Arbeitnehmers zugreifen können, muss auf ein Minimum beschränkt werden. Des Weiteren müssen die elektronisch verarbeiteten Daten getrennt von sonstigen Personaldaten sowie Personalakten aufbewahrt werden. Die Einwilligungserklärung, die der Mitarbeiter zu dem Verfahren und der Datenerhebung abgibt, muss sich demnach ausdrücklich auch auf die Erhebung der Gesundheitsdaten beziehen.

Datenauswertung durch den Arbeitgeber

In Betriebsvereinbarungen können mögliche Leistungs- und Verhaltenskontrollen durch technische Einrichtungen in der betrieblichen Praxis geregelt werden. Die Auswertungen der Daten betreffen dabei die Persönlichkeitsrechte der Beschäftigten und erzeugen somit auch einen hohen Überwachungsdruck. Aus diesem Grund sind hierbei transparente und verhältnismäßige Regelungen das A und O.

Eine Leistungs- und Verhaltenskontrolle ist in einem Beschäftigungsverhältnis zulässig, wenn der Arbeitgeber kontrollieren möchte, ob der Arbeitnehmer die vertraglich vereinbarten Arbeiten erledigt und seine Pflichten erfüllt. Den Rahmen hierfür bildet der § 26 BDSG. Das Mitbestimmungsrecht ergibt sich dabei aus § 87 Abs. 1 Nr. 6 BetrVG.

Geprüft werden muss vor diesem Hintergrund stets, ob die durchgeführte Kontrolle erforderlich ist. So sollen die Eingriffe in die Persönlichkeitsrechte der Arbeitnehmer so gering wie möglich gehalten werden. Stehen mehrere Kontrollvarianten zur Auswahl, muss grundsätzlich diejenige gewählt werden, bei der die Persönlichkeitseingriffe am geringsten sind. Plant der Arbeitgeber zum Beispiel die Arbeitsprozesse in einem Team von Mitarbeitern zu optimieren, stellt sich im Hinblick auf die Auswertungen unter anderem die Frage, ob nicht eine anonymisierte Auswertung ausreichend ist.
Heimliche oder verdeckte Datenerhebungen und Auswertungen sind jedoch grundsätzlich unzulässig. Ausnahmen bilden lediglich Fälle, die der Überführung von Diebstählen an der Arbeitsstätte dienen. Hier kann in Einzelfällen auch eine heimliche Überwachung zulässig sein.

Arten der Auswertung

Bei der Auswertung von Arbeitnehmerdaten kommen zwei Arten der Auswertung in Frage:

1. Standardauswertungen: Auswertungen, die ein IT-System grundsätzlich zur Verfügung stellt.
2. Dynamische Auswertungen: Generierung einer Vielzahl vorher nicht zu bestimmender Auswertungen durch die beliebige Kombination einzelner Datenfelder.

Die angefertigten Auswertungen unterliegen ferner stets der Mitbestimmung des Betriebsrats.

Externe Services und Auslandsbezug im Datenschutz

Eine Vielzahl an Unternehmen greift für die Verarbeitung personenbezogener Beschäftigtendaten auf externe Dienstleister oder weitere Konzerngesellschaften zurück. Im Hinblick auf die globalisierte Welt ist es immer häufiger der Fall, dass sich die Daten auf Servern im Ausland befinden. Allerdings sind hierbei auch vom Betriebsrat spezielle datenschutzrechtliche Aspekte zu beachten.

Geregelt ist die sog. Auftragsdatenverarbeitung in Art. 28 DSGVO. Demnach muss das Auftragsdatenverhältnis so gestaltet werden, dass die beauftrage Stelle lediglich eine Hilfs- und Unterstützungsfunktion hat. Darüber hinaus muss sie dabei stets in Abhängigkeit von den Weisungen des Arbeitgebers handeln. Dazu kann nach § 87 Abs. 1 Nr. 6 BetrVG auch eine Betriebsvereinbarung geschlossen werden, soweit durch die technische Einrichtung eine Leistungs- und Verhaltenskontrolle möglich ist. Im Hinblick auf die Datenerfassung, -verarbeitung und –nutzung der Arbeitnehmerdaten gilt § 26 BDSG.

Die Datenverarbeitung ist demnach zur dann zulässig, wenn sie für die Durchführung des Arbeitsverhältnisses erforderlich ist. Der Arbeitgeber muss den Betriebsrat in diesem Zug über die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Beschäftigtendaten informieren. Des Weiteren stellt auch der betriebliche Datenschutzbeauftragte eine Informationsquelle für den Betriebsrat dar. Entscheidend ist für den Betriebsrat stets, dass der Auftragsnehmer sich an die abgeschlossenen Betriebsvereinbarungen hält und hierzu dem Betriebsrat auch entsprechende Kontrollmöglichkeiten zur Verfügung stellt.

Die Übermittlung personenbezogener Beschäftigtendaten ins Ausland ist dann zulässig, wenn für sie eine gesetzliche Erlaubnis, eine Einwilligung oder eine Betriebsvereinbarung vorliegt. Hierbei kommt der Arbeitgeber in der Regel auf den Betriebsrat zu, um eine Betriebsvereinbarung auszuhandeln. Ferner muss geprüft werden, ob die Gewährleistung eines angemessenen Datenschutzniveaus gegeben ist. Dazu muss festgelegt werden, wohin die Daten übermittelt werden und wo sie gespeichert werden. Datenübermittlungen an Stellen, die sich innerhalb der Europäischen Union befinden, bereiten in diesem Zug grundsätzlich keine Probleme. Will der Arbeitgeber jedoch personenbezogene Beschäftigtendaten beispielsweise auf einem Server in den USA speichern, muss stets im Auge behalten werden, dass die USA datenschutzrechtlich als ein sog. unsicherer Drittstaat angesehen werden.

Im Hinblick auf die Übermittlung von Daten und die Gewährleistung eines angemessenen Datenschutzniveaus hat die Europäische Union Standardvertragsklauseln festgesetzt. Diese können auch für die Auftragsdatenverarbeitung im außereuropäischen Ausland genutzt werden. Allerdings können ebenso auch eigene Vertragswerke erstellt und von den zuständigen Landesdatenschutzbehörden genehmigt werden. Auch die Standardvertragsklauseln werden im Rahmen der Verhandlungen über eine Betriebsvereinbarung gemäß § 87 Abs. 1 Nr. 6 BetrVG mit dem Betriebsrat thematisiert. Hierbei kann der Betriebsrat Informationsansprüche nach § 80 Abs. 2 BetrVG geltend machen.

Hinsichtlich einer Arbeitnehmerüberlassung ist eine Datenübermittlung zwischen dem Verleiher und dem Entleiher grundsätzlich zulässig, da der Leiharbeitnehmer in den Betrieb des Entleihers eingegliedert wird und somit den Weisungen des dortigen Vorgesetzten unterliegt. Jedoch dürfen aufgrund der schutzwürdigen Interessen des Leiharbeitnehmers lediglich sehr begrenzte Daten übermittelt werden. Diese müssen stets konkret mit dem Auftrag und der Dienstleistung im Zusammenhang stehen.
Wird eine GmbH verkauft, überwiegt hinsichtlich der Übermittlung personenbezogener Beschäftigtendaten in der Regel das Interesse des Erwerbers, soweit sich die Daten auf zwingend notwendige Informationen beschränken. Zu prüfen ist hierbei jedoch immer, ob nicht auch die anonymisierte Datenübermittlung in Frage kommt.