Datenschutz in der Betriebsratsarbeit

Was muss der Betriebsrat zum Thema Datenschutz wissen? Dieser Artikel klärt die wichtigsten Fragen.

Mitbestimmung des Betriebsrats beim Datenschutz

Der Betriebsrat hat die Aufgabe, die Interessen der Beschäftigten eines Betriebs im Sinne des § 5 BetrVG zu vertreten. Somit liegt auch der Schutz vor Missbrauch bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Arbeitnehmerdaten in seinem Zuständigkeitsbereich. Hierbei gilt stets der sog. „Erlaubnisvorbehalt“. Danach dürfen Beschäftigtendaten nur erhoben, verarbeitet und genutzt werden, soweit dies nach § 26 BDSG zulässig ist oder zwischen Arbeitgeber und Arbeitnehmer bzw. dem Betriebsrat individuell vereinbart wurde.

Durch das Mitbestimmungsrecht des Betriebsrats sollen die Beschäftigten des Betriebs vor Leistungs- und Kontrolleinrichtungen geschützt werden, die in ihren Persönlichkeitsbereich eingreifen. Zwar dürfen personenbezogene Daten eines Beschäftigten nach § 26 BDSG im Zuge des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, die Voraussetzung hierfür ist allerdings, dass dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder für dessen Beendigung erforderlich ist.

Verhältnismäßigkeit

Die Verhältnismäßigkeit der Erhebung und Verarbeitung personenbezogener Daten lässt sich in drei Schritten prüfen:

  1. Die ergriffene Maßnahme muss stets geeignet sein, um den verfolgten Zweck zumindest zu fördern. 
  2. Die Maßnahme muss angemessen sein. Dies trifft dann zu, wenn kein milderes, weniger belastendes Mittel, das in geringerem Ausmaß in die Persönlichkeitsrechte des Beschäftigten eingreift, den gleichen Erfolg erzielen kann. 
  3. Der Nachteil für den Beschäftigten und der erstrebte Erfolg müssen in einem vernünftigen Verhältnis zueinander stehen (Fitting BetrVG § 87 Rn 216).

Phasen

Das Bundesdatenschutzgesetz sieht dabei drei Phasen vor, in welchen der Betriebsrat sein Mitbestimmungsrecht einsetzen kann:

  1. Die Erhebungsphase: In dieser werden Daten über das Verhalten oder die Leistungen der Arbeitnehmer ermittelt. Dies kann entweder direkt, beispielsweise durch die Installation einer Videokamera oder indirekt durch Aufzeichnungen in EDV-Anlagen, erfasst werden. 
  2. Die Verarbeitungsphase: Hier werden vorhandene Daten über das Verhalten oder die Leistung der Beschäftigten gesichert, geordnet und zueinander in Beziehung gesetzt, damit diese ausgewertet können.
  3. Die Nutzungsphase: In dieser wird eine Bewertung der erhaltenen Ergebnisse vorgenommen. Hierzu wird häufig ein Soll/Ist-Vergleich der Leistungs- und Verhaltensdaten der Arbeitnehmer durchgeführt. 

Das Mitbestimmungsrecht des Betriebsrats besteht dabei keineswegs nur dann, wenn eine technische Einrichtung zur Leistungs- und Verhaltenskontrolle aktiv genutzt wird. Es kommt gemäß § 87 Abs. 1 Nr. 6 BetrVG bereits zur Geltung, wenn eine technische Einrichtung hierfür lediglich geeignet ist. Dabei handelt es sich stets um ein aktives Mitbestimmungsrecht, wonach eine Umsetzung von Maßnahmen durch den Arbeitgeber ohne die Zustimmung des Betriebsrats unzulässig ist. 

DSGVO: Die 5 wichtigsten Anwenderfragen zur Datenschutz Grundverordnung

Kontrolle durch den Betriebsrat 

Der Betriebsrat kann seine Beteiligungsrechte gemäß § 80 Abs. 2 BetrVG zu Kontrollzwecken, aber auch zum Zweck der Informationsbeschaffung bezüglich der Verarbeitung personenbezogener Arbeitnehmerdaten geltend machen.

Der Arbeitgeber ist dabei verpflichtet nach § 80 Abs. 2 BetrVG den Betriebsrat rechtzeitig und umfassend über den Einsatz technischer Systeme zu unterrichten. 
Ferner kommt dem Betriebsrat nach § 37 Abs. 6 BetrVG bei der Einführung von technischen Einrichtungen iSv § 87 Abs. 1 Nr. 6 BetrVG ein Schulungsanspruch zu.

Darüber hinaus kann der Betriebsrat bei den Beratungen über die Einführung, Nutzung oder Veränderung technischer Systeme zur Erfassung von Arbeitnehmerdaten einen Sachverständigen hinzuziehen. Dies ist dann erforderlich, wenn dem Betriebsrat das notwendige Wissen fehlt, um die Planung des Arbeitgebers hinreichend beurteilen zu können. 

Fälle, in welchen dem Betriebsrat ein Mitbestimmungsrecht in Bezug auf den Schutz der Mitarbeiterdaten zukommt, sind unter anderem:

  • Die Nutzung der betriebseigenen Telefonanalage (insbesondere dann, wenn die Beschäftigen diese auch zu privaten Zwecken nutzen dürfen)
  • Die Einführung einer Software für Zielvereinbarungen 
  • Der Gesundheitsschutz bei der Einführung von EDV-Anlagen 
  • Die Einführung eines Entgeltsystems 
  • Die Urlaubsplanung (soweit diese EDV verwaltet wird)
  • Die Personalplanung 
  • Qualifizierungsmaßnahmen der Mitarbeiter 

Datenverarbeitung durch den Betriebsrat 

Auch der Betriebsrat verarbeitet in seiner täglichen Arbeit die Daten von Arbeitnehmern. Nach § 75 Abs. 2 BetrVG hat er die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Dabei kontrolliert er die Einhaltung der Arbeitnehmerschutzvorschriften gemäß § 80 Abs. 1 BetrVG. Hierzu zählen unter anderem auch die Regelungen des BDSG sowie die bestehenden Betriebsvereinbarungen. Um diese Aufgabe erfüllen zu können, stellt der Arbeitgeber dem Arbeitnehmer personenbezogene Arbeitnehmerdaten zur Verfügung. Bei der Verarbeitung und Nutzung dieser Daten gelten auch für den Betriebsrat stets die Grundsätze der Datensparsamkeit und Zweckbindung. Darüber hinaus muss die Verarbeitung und Nutzung grundsätzlich mit einer konkreten Aufgabe des Betriebsrats im Zusammenhang stehen. 

Im Hinblick auf den Arbeitnehmerdatenschutz darf sich der Betriebsrat selbst organisieren. Allerdings empfiehlt sich in der Praxis eine vertrauensvolle Zusammenarbeit des Betriebsrats mit dem Arbeitgeber und dem Datenschutzbeauftragten. Übernimmt ein Arbeitnehmer die Position des betrieblichen Datenschutzbeauftragten kommt dem Betriebsrat nach § 99 BetrVG auch ein Beteiligungsrecht zu. So kann er die Bestellung dessen zwar nicht kontrollieren, er kann allerdings seine Zustimmung zur Bestellung des Datenschutzbeauftragten verweigern. Dies kann beispielsweise der Fall sein, wenn der Betriebsrat die Auffassung vertritt, der Arbeitnehmer nicht über die fachlichen Qualifikationen verfügt, die für die Tätigkeit als Datenschutzbeauftragter erforderlich sind. 

Beschäftigungsdatenschutz 

In der betrieblichen Praxis werden häufig mit dem Einsatz neuester Informations- und Kommunikationsmittel Daten erhoben. Allerdings ist keineswegs jede Sammlung von Daten durch den Arbeitgeber auch zulässig. Daten dürfen nur dann durch den Arbeitgeber erhoben werden, wenn sie nach § 26 Abs. 1 BDSG Zwecken des Beschäftigungsverhältnisses dienen. Wann dies der Fall ist, muss stets individuell entschieden werden. 

Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat hierbei ein Mitbestimmungsrecht. Des Weiteren muss der Betriebsrat nach § 80 Abs. 1 BetrVG sicherstellen, dass die Regelungen der DSGVO sowie des BDSG stets berücksichtigt werden. Die Erhebung, Verarbeitung und Nutzung der Arbeitnehmerdaten ist in § 26 BDSG geregelt.

Die privaten Lebensverhältnisse von Arbeitnehmers müssen dabei grundsätzlich unberührt bleiben. Erforderlich ist allerdings die Datenerhebung zur Konfession des Arbeitnehmers, da diese zur Erhebung der Kirchensteuer und somit zur korrekten Entgeltabrechnung notwendig ist sowie die Frage nach der Gewerkschaftszugehörigkeit, soweit ein Betrieb im Sinne von § 3 Abs. 1 TVG tarifgebunden ist. Darüber hinaus ist auch die Erfassung von Arbeitszeitdaten für die Durchführung des Arbeitsverhältnisses nach § 26 BDSG erforderlich. Auch Abwesenheitszeiten sowie die Gründe für diese dürfen in diesem Zug erfasst werden. Hierzu darf auch eine elektronische Personalakte geführt werden. Hierbei hat der Betriebsrat auch ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Er muss stets sicherstellen, dass die neuen Möglichkeiten der Auswertung der Daten aus der Personalakte datenschutzkonform in einer Betriebsvereinbarung geregelt werden.

Wichtige Fragen zum Arbeitnehmerdatenschutz

Oft wiederkehrende Fragen zum Datenschutz haben wir für Sie beantwortet. Die Videos haben wir zu einer Playlist zusammengefasst:

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO)

Ab dem 25. Mai 2018 gilt auch in Deutschland die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Zeitgleich tritt ein dazugehöriges deutsches Ergänzungsgesetz (Datenschutz-Anpassungs- und Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert. Die DSGVO wird außerdem ergänzt durch die sich noch in Abstimmung befindliche EU-e-Privacy-Verordnung. Diese soll ebenfalls am 25. Mai 2018 in Kraft treten und betrifft Internet- und Telemediendienste.

Das Ziel der neuen DSGVO ist ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Dabei sollen vor allem die Rechte und Kontrollmöglichkeiten der Betroffenen gestärkt werden, deren personenbezogene Daten verarbeitet werden.

Zwar bleiben wesentliche Elemente des bisherigen BDSG erhalten. So gleichen die in Art. 5 DSGVO festgelegten Grundsätze der Datenverarbeitung, an denen sich die Verordnung orientiert, im Kern denen des BDSG. Dennoch wird es in Zukunft sowohl für Unternehmen als auch für Privatpersonen einige Änderungen geben, die es zu beachten gilt. Vor allem für Unternehmen ist es wichtig bereits jetzt in der Übergangsphase die Umsetzung der neuen Regelungen in die Wege zu leiten und neue datenschutzrechtliche Prozesse zu etablieren. Ansonsten drohen Bußgelder für die verspätete Einführung der neuen Vorgaben.

EU-DSGVO 2018 einfach erklärt: Die neue EU-Datenschutzgrundverordnung for Absolute Beginners

Was sind die wesentlichen Neuerungen?

Speziell geregelt werden in der neuen Verordnung vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Dabei werden durch die neuen Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen die Rechte der Nutzer gestärkt. Ihnen soll der Zugang zu ihren Daten und den Informationen über deren Nutzung erleichtert werden. Auch der Anspruch auf die Löschung personenbezogener Daten wird von der neuen Verordnung ausdrücklich bestätigt.

Darüber hinaus stellt die neue DSGVO auch höhere Anforderungen an den Datenschutz in Unternehmen. So sind diese nun verpflichtet elektronische Geräte und Anwendungen datenschutzfreundlich einzustellen. Desweiteren sieht die Verordnung Datenschutz-Folgeabschätzungen vor, wenn neue Technologien besonders hohe Risiken für die erhobenen Daten mit sich bringen.

Für wen gilt die Datenschutzgrundverordnung (DSGVO)?

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind. Jedoch müssen auch außereuropäische Unternehmen die Regelungen beachten, wenn sie:

  • eine Niederlassung in der EU haben oder
  • personenbezogene Daten von EU-Bürgern verarbeiten.

Der wichtigste Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung sind personenbezogene Daten. Darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als „identifizierbar“ wird eine Person dann angesehen, wenn sie direkt oder indirekt, mittels der Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann.

Achtung: Bereits die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind zum Beispiel:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

Wann ist die Verarbeitung von Daten zulässig?

Die Verarbeitung von Daten ist nur dann zulässig, wenn es laut der DSGVO oder einem anderen Gesetz ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt).

Gemäß Art. 6 DSGVO sind die praktisch relevantesten Erlaubnistatbestände:

  • es liegt eine Einwilligung des Betroffenen vor. Art. 7 und Art. 8 DSGVO definieren die Anforderungen, die an diese Einwilligung zu stellen sind. So soll etwa das Mindestalter bei 16 Jahren liegen – es sei denn, die einzelnen Staaten senken die Altersgrenze auf maximal 13 Jahren ab.
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Zwar hat man als Betroffener hiergegen ein Widerspruchsrecht, auf das er auch hingewiesen werden muss – doch es ist unklar, aus welchen Gründen ein solcher Widerspruch Erfolg haben könnte. Daher dürfte dieses Recht ins Leere laufen.

Der Artikel sieht in Abs. 4 auch vor, dass Daten auch später zu weiteren Zwecken verarbeitet werden dürfen. Dies ist jedoch nur dann der Fall, wenn sie damit immer noch dem ursprünglichen Zweck der Erhebung entsprechen. Hierbei muss der Betroffene jedoch stets über die Nutzung seiner Daten informiert werden. Ein Beispiel hierfür ist die Nutzung der Daten zu statistischen Zwecken.

Welche Daten dürfen nicht verarbeitet werden?

Angelehnt an die Regelungen des BDSG, werden im Art. 9 DSGVO weiterhin besondere Kategorien von Daten aufgeführt, die grundsätzlich nicht verarbeitet werden dürfen. Zu diesen Daten zählen solche aus denen

  • die rassische und ethnische Herkunft
  • die politische Meinung
  • die religiösen oder weltanschaulichen Überzeugungen
  • die Gewerkschaftszugehörigkeit
  • die sexuelle Orientierung oder das Sexualleben
  • Informationen zur Genetik und Gesundheit

einer Person hervorgehen.

Die Kategorien wurden dabei im Vergleich zum BDSG erweitert. Insbesondere fallen nun auch biometrische Daten, wie zum Beispiel der Fingerabdruck einer Person oder die Stimmerkennung, darunter.

Allerdings gibt es auch hierbei Ausnahmen. So dürfen diese Daten dann verarbeitet werden, wenn ein Ausnahmetatbestand einschlägig ist. Neu ist dabei, dass dieser Tatbestand nicht mehr ausschließlich auf die gerichtliche Geltendmachung beschränkt ist. Nach der neuen Richtlinie dürfen diese Daten zukünftig auch verarbeitet werden, wenn eine Einwilligung der betroffenen Person vorliegt oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist.

DSGVO: Die Top 3 Vorteile für Arbeitgeber (wovon aber alle profitieren)

Pflichten für Unternehmen

Technischer und organisatorischer Datenschutz

Gemäß Art. 24 und 25 der neuen DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zur Gewährleistung des Datenschutzes und der Datensicherheit treffen. Die zu ergreifenden Maßnahmen sind dabei unter anderem abhängig vom jeweiligen Stand der Technik und der Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten. So sollen beispielsweise nur so wenige Daten wie möglich erhoben werden, die so schnell wie möglich pseudonymisiert werden sollen. Aus diesem Grund sollen auch die Geräte und IT-Anwendungen, die für die Datenerhebung und –verarbeitung genutzt werden in Zukunft so voreingestellt werden, dass nur Daten, die für den Zweck der Verarbeitung notwendig sind, erhoben werden.

Auftragsdatenverarbeitung

Die Auftragsdatenverarbeitung ist auch in Art. 28 und 29 der neuen DSGVO zukünftig erlaubt. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gemäß den Weisungen des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter auf der Grundlage eines schriftlichen Vertrags zulässig ist. Hierzu zählen beispielsweise Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung von Rechnungen beauftragen.

Neu ist hierbei, dass die Auftragsverarbeitung in diesem Zug nur dann zulässig ist, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Eine umfangreiche Aufzählung von Regelungsinhalten sowie von Rechten und Pflichten, die die Verträge diesbezüglich beinhalten müssen, sind in Art. 28 DSGVO aufgeführt. Diese gleichen auch den in § 11 BDSG aufgeführten Inhalten. Hinzu kommt hierbei, dass der Auftragsverarbeiter nun ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss.

Die Daten- und Auftragsverarbeitung in Drittstaaten ist nur dann zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Somit entfällt durch die DSGVO die deutsche Restriktion, dass auch bei angemessenem Datenschutzniveau keine besonderen Daten in Drittstaaten verarbeitet werden dürfen.

Verzeichnis der Verarbeitungstätigkeiten

Angelehnt an das bisherige Verfahrensverzeichnis gemäß § 4g Abs. 2 in Verbindung mit § 4e BDSG sieht der Art. 30 der DSGVO ein „Verzeichnis der Verarbeitungstätigkeiten“ vor, dass von jedem Auftragsverarbeiter zu führen ist. Dabei handelt es sich um eine Dokumentation und Übersicht über alle Verfahren, bei denen personenbezogene Daten verarbeiten werden.

Eine Ausnahme hiervon bilden nach Art. 30 Abs. 5 DSGVO Unternehmen mit weniger als 250 Arbeitnehmern. Diese können unter bestimmten Voraussetzungen von der Pflicht ausgenommen werden.

Im Vergleich zur bisherigen Rechtslage sieht die neue Verordnung dabei zusätzliche Angaben vor. Dazu zählen unter anderem

  • Der Name und die Kontaktdaten des Datenschutzbeauftragten
  • Löschfristen
  • Technische und organisatorische Maßnahmen.

Das Verzeichnis muss anschließend auch auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden. Die im BDSG aufgeführte Pflicht das Verzeichnis jedermann zur Verfügung zu stellen, entfällt jedoch mit der neuen Verordnung.

Gemeinsame Datenverarbeitung

Die neue DSGVO sieht vor, dass es zukünftig zulässig ist, dass die erlaubte Datenverarbeitung von mehreren verantwortlichen Stellen gemeinsam durchgeführt werden darf. Allerdings ist hierbei eine transparente Verarbeitung erforderlich, die die jeweiligen Zwecke und Verantwortlichkeiten und die Handhabung in Bezug auf die Rechte der Betroffenen regelt. Ferner können Betroffene auch weiterhin ihre Rechte gegenüber jedem einzelnen Verantwortlichen geltend machen.

Datenschutzbeauftragte

Gemäß Art. 37 DSGVO müssen Unternehmen einen betrieblichen Datenschutzbeauftragten dann ernennen, wenn ihre Kerntätigkeit:

  • aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
  • die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft.

Die Gründe für die Benennung eines Datenschutzbeauftragten werden allerdings durch § 38 DSAnpUG-EU erweitert. Demnach ist sie auch dann erforderlich, wenn der Auftragsverarbeiter:

  • in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
  • Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Zum Datenschutzbeauftragten kann nur ernannt werden, wer auch über die berufliche und fachliche Qualifikation verfügt. So kommen zum Beispiel qualifizierte Mitarbeiter des datenverarbeitenden Unternehmens oder auch Externe in Frage. Für Konzerne, die über mehrere Gesellschaften verfügen ist ein gemeinsamer Konzerndatenschutzbeauftragter ausreichend. Desweiteren können Datenschutzbeauftragte ohne wichtigen Grund weder abberufen noch gekündigt werden (§ 626 BGB).

Gemäß Art. 38 DSGVO ist der Datenschutzbeauftrage frühzeitig einzubinden, fachlich weisungsfrei und ist verpflichtet unmittelbar der höchsten Managementebene Bericht zu erstatten.

Seine Aufgaben umfassen nach Art. 39 DSGVO die:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
  • Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle der Aufsichtsbehörde

Dem Datenschutzbeauftragten ist es darüber hinaus nicht verwehrt auch zusätzlich andere Aufgaben zu übernehmen. Wichtig ist hierbei jedoch, dass durch die Übernahme von anderen Aufgaben keine Interessenskonflikte mit seiner Tätigkeit als Datenschutzbeauftragter entstehen.

Datenschutzfolgeabschätzung

Neu für Unternehmen ist in der DSGVO die Notwendigkeit einer Datenschutzfolgeabschätzung. Diese ist in Art. 35 der Verordnung geregelt. Durchzuführen ist sie immer dann, wenn ein Datenverarbeitungsverfahren mit hoher Wahrscheinlichkeit ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt.

Die Datenschutzfolgeabschätzung erfolgt dabei in drei Stufen:

  1. In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
  2. Wenn ein solches Risiko besteht, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
  3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. (Diese Frist kann je nach Komplexität von der Aufsichtsbehörde verlängert werden.) Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU.

Die Datenschutzfolgeabschätzung ist stets schriftlich zu dokumentieren und kann mit dem Verzeichnis der Verarbeitungstätigkeiten verknüpft werden.

Melde- und Informationspflicht bei Datenpannen

Art. 33 der DSGVO sieht vor, dass alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden müssen. Eine Ausnahme hiervon bilden lediglich Fälle, bei denen ein Risiko für persönliche Recht und Freiheiten unwahrscheinlich ist.

Fälle der Datenschutzverletzung, bei denen ein Risiko besteht, müssen der Aufsichtsbehörde innerhalb von 72 Stunden nach der Verletzung mitgeteilt werden.

Die Mitteilung muss folgende Informationen enthalten:

  • Beschreibung des Vorfalls, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
  • Beschreibung der Folgen der Datenschutzverletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Darüber hinaus müssen auch die von der Datenschutzverletzung Betroffenen eine Mitteilung über den Vorfall erhalten. In einigen Ausnahmefällen kann die Benachrichtigungspflicht jedoch auch entfallen. Diese Fällen treten ein, wenn:

  • der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zu machen, etwa durch Verschlüsselung,
  • der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen,
  • sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

Rechte der Betroffenen

Recht auf Datenübertragbarkeit

Art. 20 DSGVO sieht für die Betroffenen der Datenverarbeitung ein Recht auf Datenübertragbarkeit vor. Im Zuge dieses Rechts können diese an Unternehmen die Forderung stellen, gewisse Daten von einer automatisierten Anwendung, wie zum Beispiel einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. So soll ihnen ermöglicht werden, den Anbieter ohne Verlust der Daten wechseln zu können. Dies betrifft allerdings nur solche Daten, die der Nutzer dem Anbieter selbst zur Verfügung gestellt hat und keine sonstigen vom Anbieter erhobenen Daten. Übermittelt werden müssen die Daten in meinem strukturierten, maschinenlesbaren Format.

Widerspruch bei automatisierten Einzelfallentscheidungen

Unter automatisierten Einzelfallentscheidungen versteht man alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Mensch getroffen wurden. Dazu zählen zum Beispiel die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei denen persönliche Aspekte lediglich elektronisch ausgewertet werden. Miteingeschlossen ist hierbei auch das Profiling, beispielsweise für werbliche Zwecke, bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden wie die wirtschaftliche Lage, das Verhalten oder die Arbeitsleistung.

Gemäß Art. 22 DSGVO erhalten Betroffene nun das Recht Widerspruch gegen eine solche automatisierte Einfallentscheidung einzulegen. Hier wird ein erheblicher Unterschied zum bislang geltenden § 6a BDSG deutlich, da dieser derartige Entscheidungen bis auf einige wenige Ausnahmen grundsätzlich, unabhängig von einem Widerspruch der Betroffenen, verboten hatte.

Recht auf Auskunft

Art. 15 DSGVO sieht für die Betroffenen ein umfassendes Auskunftsrecht vor. Dieses ist mit dem in § 34 BDSG verankerten Aufsichtsrecht weitestgehend vergleichbar. Eine Neuerung ist jedoch, dass den Betroffenen nun auch das Recht eingeräumt wird, die Auskunft und die Übermittlung der Daten in elektronischer Form und auch eine Kopie der Daten verlangen kann.

Informationsanspruch

Gemäß Art. 13 und 14 der neuen DSGVO haben Betroffene einen umfassenden Informationsanspruch gegenüber den Unternehmen, die ihre Daten verarbeiten oder aber auch bei Dritten, wie zum Beispiel der Schufa. Dieser Anspruch stellt für die Unternehmen gleichzeitig auch eine Pflicht dar, die die aktuell geltenden Regelungen des BDSG stärken.

Informationen, die in diesem Zug mitgeteilt werden müssen, sind:

  • Name und Kontaktdaten des Verantwortlichen,
  • ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
  • Zwecke und Rechtsgrundlage der Datenverarbeitung,
  • Darstellung der berechtigten Interessen (wenn die Datenverarbeitung auf dem Tatbestand der Interessenabwägung gem. Art. 6 Abs. 1 f) BDSG beruht),
  • ggf. Empfänger oder Kategorien von Empfängern der Daten,
  • ggf. Informationen zur Datenübermittlung in Drittländer,
  • Dauer der Datenspeicherung,
  • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
  • Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
  • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)

Die Unternehmen müssen die Betroffenen hierbei umgehend bei der Erhebung der Daten entsprechend benachrichtigen. Dies ist zum Beispiel bereits bei der Bestellung eines Newsletters der Fall.

Der Informationsanspruch entfällt allerdings, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar nicht möglich ist. Diese Ausnahme gilt nur, wenn die Daten bei Dritten verarbeitet werden. Ist dies der Fall bedarf es jedoch einer öffentlichen Bekanntmachung dieser Information. Diese Veröffentlichung kann zum Beispiel auf einer Website stattfinden.

Hat der Betroffene eine Mitteilung über seine gespeicherten und zur Verarbeitung verwendeten Daten erhalten, ergibt sich aus Art. 19 DSGVO ein weiterer Informationsanspruch. Dieser kommt dann zur Geltung, wenn die Daten des Betroffenen entweder berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wurde.

Recht auf Löschung

Das Recht auf Löschung der eigenen Daten steht gemäß Art. 17 DSGVO den Betroffenen zu, wenn:

  • die Speicherung der Daten nicht mehr notwendig ist
  • der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • die Daten unrechtmäßig verarbeitet wurden
  • eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht.

Keine Anwendung findet des Recht jedoch, wenn:

  • die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
  • die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
  • Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
  • die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Ergänzt wird dieses Recht durch Art. 16 DSGVO. Dieser sieht ein Recht auf Berichtigung vor. Dabei haben Betroffene die Möglichkeit zu verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.

In Art. 18 DSGVO ist darüber hinaus das Recht verankert, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder die Verarbeitung unrechtmäßig ist.

Auswirkungen der EU-Datenschutz-Grundverordnung für den Betriebsrat

Mit dem Inkrafttreten der DSGVO und des neuen BDSG müssen sich auch Betriebsräte mit neuen gesetzlichen Grundlagen des Datenschutzes befassen.

Änderungs- und Anpassungsbedarf aufgrund des neuen Datenschutzes besteht hierbei besonders dann, wenn Betriebsvereinbarungen die datenschutzrechtliche Erlaubnisnorm für das Verarbeiten von Beschäftigtendaten sind. Dies kann zum Beispiel im Zusammenhang mit der Nutzung eines bestimmten IT-Systems der Fall sein. Die Regelungsteile, die Verarbeitungen ermöglichen, müssen dementsprechend den neuen datenschutzrechtlichen Vorgaben entsprechen. Angepasst werden müssen zum Beispiel Vereinbarungen, die umfassende verdeckte Überwachungsmaßnahmen zulassen, keine oder sehr lange Löschungsfristen beinhalten, Datenverarbeitungsprozesses nicht transparent beschreiben oder weitgehend zweckfreie Vorratsdatenspeicherungen zulassen. Werden derartige Regelungen nicht überarbeitet, können gemäß Art. 88 DSGVO Geldbuße gegen das Unternehmen verhängt werden.

Welche Strafen drohen bei Verstößen gegen die DSGVO?

Im Hinblick auf Verstöße gegen die neue DSGVO wurde vor allem die Höhe der vorgesehenen Strafen und Bußgelder neu geregelt. Bisher lag der Rahmen für diese bei 50.000 bis maximal 300.000 Euro für sehr schwere Verstöße. Dies soll sich nun ändern. So sind zukünftig Bußgelder von bis zu 20 Millionen oder vier Prozent des weltweiten Umsatzes vorgesehen. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig sind hierbei stets die Anfragen und Beschwerden von Nutzern und Datenschutzbehörden ernst zu nehmen!

DSGVO VERSTOß - Haftet der Arbeitnehmer bei Verstoß gegen die Datenschutzgrundverordnung?

Was gilt für die Datenerhebung im BEM?

Gemäß § 167 SGB IX ist der Arbeitgeber verpflichtet, Arbeitnehmern, die innerhalb eines Jahres länger als sechs Wochen durchgehend oder wiederholt arbeitsunfähig waren, ein Betriebliches Eingliederungsmanagement anzubieten. Hierbei muss der betroffene Mitarbeiter grundsätzlich auch über die Datenverarbeitung im Zuge des BEM aufgeklärt werden, da es sich dabei in der Regel um besonders schutzwürdige Daten handelt. So muss der Arbeitnehmer bereits im Vorfeld aufgeklärt werden, welche Daten erhoben werden sollen und wer Zugriff auf diese Daten hat. Die Anzahl der Personen, die auf die Gesundheitsdaten des Arbeitnehmers zugreifen können, muss auf ein Minimum beschränkt werden. Des Weiteren müssen die elektronisch verarbeiteten Daten getrennt von sonstigen Personaldaten sowie Personalakten aufbewahrt werden. Die Einwilligungserklärung, die der Mitarbeiter zu dem Verfahren und der Datenerhebung abgibt, muss sich demnach ausdrücklich auch auf die Erhebung der Gesundheitsdaten beziehen. 

Datenauswertung durch den Arbeitgeber

In Betriebsvereinbarungen können mögliche Leistungs- und Verhaltenskontrollen durch technische Einrichtungen in der betrieblichen Praxis geregelt werden. Die Auswertungen der Daten betreffen dabei die Persönlichkeitsrechte der Beschäftigten und erzeugen somit auch einen hohen Überwachungsdruck. Aus diesem Grund sind hierbei transparente und verhältnismäßige Regelungen das A und O. 

Eine Leistungs- und Verhaltenskontrolle ist in einem Beschäftigungsverhältnis zulässig, wenn der Arbeitgeber kontrollieren möchte, ob der Arbeitnehmer die vertraglich vereinbarten Arbeiten erledigt und seine Pflichten erfüllt. Den Rahmen hierfür bildet der § 26 des BDSG. Das Mitbestimmungsrecht ergibt sich dabei aus § 87 Abs. 1 Nr. 6 BetrVG.

Geprüft werden muss in diesem Zug stets, ob die durchgeführte Kontrolle erforderlich ist. So sollen die Eingriffe in die Persönlichkeitsrechte der Arbeitnehmer so gering wie möglich stattfinden. Stehen mehrere Kontrollvarianten zur Auswahl, muss grundsätzlich diejenige gewählt werden, bei der die Persönlichkeitseingriffe am geringsten sind. Plant der Arbeitgeber zum Beispiel die Arbeitsprozesse in einem Team von Mitarbeitern zu optimieren, stellt sich im Hinblick auf die Auswertungen unter anderem die Frage, ob nicht eine anonymisierte Auswertung ausreichend ist. 
Heimliche oder verdeckte Datenerhebungen und Auswertungen sind jedoch grundsätzlich unzulässig. Ausnahmen bilden lediglich Fälle, die der Überführung von Diebstählen an der Arbeitsstätte dienen. Hier kann in Einzelfällen auch eine heimliche Überwachung zulässig sein. 

Arten der Auswertung

Bei der Auswertung von Arbeitnehmerdaten kommen zwei Arten der Auswertung in Frage: 

  1. Standardauswertungen: Auswertungen, die ein IT-System grundsätzlich zur Verfügung stellt. 
  2. Dynamische Auswertungen: Generierung einer Vielzahl vorher nicht zu bestimmender Auswertungen durch die beliebige Kombination einzelner Datenfelder.

Die angefertigten Auswertungen unterliegen ferner stets der Mitbestimmung des Betriebsrats

Externe Services und Auslandsbezug im Datenschutz

Eine Vielzahl an Unternehmen greift für die Verarbeitung personenbezogener Beschäftigtendaten auf externe Dienstleister oder weitere Konzerngesellschaften zurück. Im Hinblick auf die globalisierte Welt ist es immer häufiger der Fall, dass sich die Daten auf Servern im Ausland befinden. Allerdings sind hierbei auch vom Betriebsrat spezielle datenschutzrechtliche Aspekte zu beachten. 

Geregelt ist die sog. Auftragsdatenverarbeitung in Art. 28 DSGVO. Demnach muss das Auftragsdatenverhältnis so gestaltet werden, dass die beauftrage Stelle lediglich eine Hilfs- und Unterstützungsfunktion hat. Darüber hinaus muss sie dabei stets in Abhängigkeit von den Weisungen des Arbeitgebers handeln. Dazu kann nach § 87 Abs. 1 Nr. 6 BetrVG auch eine Betriebsvereinbarung abgeschlossen werden, soweit durch die technische Einrichtung eine Leistungs- und Verhaltenskontrolle möglich ist. Im Hinblick auf die Datenerfassung, -verarbeitung und –nutzung der Arbeitnehmerdaten gilt § 26 BDSG.

Die Datenverarbeitung ist demnach zur dann zulässig, wenn sie für die Durchführung des Arbeitsverhältnisses erforderlich ist. Der Arbeitgeber muss den Betriebsrat in diesem Zug über die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Beschäftigtendaten informieren. Des Weiteren stellt auch der betriebliche Datenschutzbeauftragte eine Informationsquelle für den Betriebsrat dar. Entscheidend ist für den Betriebsrat stets, dass der Auftragsnehmer sich an die abgeschlossenen Betriebsvereinbarungen hält und hierzu dem Betriebsrat auch entsprechende Kontrollmöglichkeiten zur Verfügung stellt. 

Die Übermittlung personenbezogener Beschäftigtendaten ins Ausland ist dann zulässig, wenn für sie eine gesetzliche Erlaubnis, eine Einwilligung oder eine Betriebsvereinbarung vorliegt. Hierbei kommt der Arbeitgeber in der Regel auf den Betriebsrat zu, um eine Betriebsvereinbarung auszuhandeln. Ferner muss geprüft werden, ob die Gewährleistung eines angemessenen Datenschutzniveaus gegeben ist. Dazu muss festgelegt werden, wohin die Daten übermittelt werden und wo sie gespeichert werden. Datenübermittlungen an Stellen, die sich innerhalb des Europäischen Wirtschaftsraums befinden, bereiten in diesem Zug grundsätzlich keine Probleme. Will der Arbeitgeber jedoch personenbezogene Beschäftigtendaten beispielsweise auf einem Server in den USA speichern, muss stets im Auge behalten werden, dass die USA datenschutzrechtlich als ein sog. unsicherer Drittstaat angesehen werden.

Im Hinblick auf die Übermittlung von Daten und die Gewährleistung eines angemessenen Datenschutzniveaus hat die Europäische Union Standardvertragsklauseln festgesetzt. Diese können auch für die Auftragsdatenverarbeitung im außereuropäischen Ausland genutzt werden. Allerdings können ebenso auch eigene Vertragswerke erstellt und von den zuständigen Landesdatenschutzbehörden genehmigt werden. Auch die Standardvertragsklauseln werden im Rahmen der Verhandlungen über eine Betriebsvereinbarung gemäß § 87 Abs. 1 Nr. 6 BetrVG mit dem Betriebsrat thematisiert. Hierbei kann der Betriebsrat Informationsansprüche nach § 80 Abs. 2 BetrVG geltend machen. 

Hinsichtlich einer Arbeitnehmerüberlassung ist eine Datenübermittlung zwischen dem Verleiher und dem Entleiher grundsätzlich zulässig, da der Leiharbeitnehmer in den Betrieb des Entleihers eingegliedert wird und somit den Weisungen des dortigen Vorgesetzen unterliegt. Jedoch dürfen aufgrund der schutzwürdigen Interessen des Leiharbeitnehmers lediglich sehr begrenzte Daten übermittelt werden. Diese müssen stets konkret mit dem Auftrag und der Dienstleistung im Zusammenhang stehen. 
Wird eine GmbH verkauft, überwiegt hinsichtlich der Übermittlung personenbezogener Beschäftigtendaten in der Regel das Interesse des Erwerbers, soweit sich die Daten auf zwingend notwendige Informationen beschränken. Zu prüfen ist hierbei jedoch stets, ob nicht auch die anonymisierte Datenübermittlung in Frage kommt.