Gesetzesänderung tritt zum 25.05.2018 in Kraft

Hintergrund

Ab dem 25.05.2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) in den Mitgliedstaaten unmittelbar geltendes Recht. Zur gleichen Zeit tritt auch das Datenschutz-Anpassungs- und – Umsetzungsgesetz EU (DSAnpUG-EU) in Kraft, mit welchem, um Widersprüche zur DSGVO zu vermeiden, auch das BDSG neu gefasst wurde.
Im Folgenden werden überblicksartig die wichtigsten Neuerungen durch die DSGVO dargestellt.
Die individuelle Einwilligung bleibt aus europäischer Sicht im Arbeitsverhältnis erhalten, muss aber durch eine eindeutige Handlung unmissverständlich bekundet werden („clear affirmative action“) und ist jederzeit widerruflich.
Des Weiteren bleibt die Einwilligung auf Grundlage einer Kollektivvereinbarung möglich, was den WEG für Betriebsvereinbarungen als Eingriffsgrundlage offenhält. Eine Betriebsvereinbarung muss aber um eine wirksame Rechtsgrundlage darzustellen die Grenzen des DSGVO beachten. Danach muss in der Betriebsvereinbarung deutlich werden, dass ein datenschutzrechtlicher Ausnahmetatbestand geschaffen werden soll, wobei eine Aufnahme in die Präambel empfohlen wird. Zudem muss sie genau und transparente Beschreibungen der Datenverarbeitung enthalten. Außerdem soll diese geeignete Maßnahme zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundrechte der betroffenen Personen beinhalten. Schließlich soll in der Betriebsvereinbarung die Rechte der Betroffenen sowie die Pflichten des für die Verarbeitung Verantwortlichen (Arbeitgeber/Auftragsdatenverarbeiter) benennen und mögliche Zweckänderungen der erhobenen Daten voraussehen und in der Betriebsvereinbarung selbst abbilden.
Das Datenschutzrecht soll in der Unternehmensorganisation durch Anweisungen, Dokumentation, Assessments, Prozessanpassungen u.V.m. verankert werden.
Hinsichtlich der Rechte der Betroffenen auf „Vergessenwerden“ und Datenübertragbarkeit drohen ebenfalls enorme administrative Herausforderungen.
Eine Neuregelung erfahren auch die Sanktionen. Bei Verstößen drohen gestaffelte Bußgelder von bis zu 20 Millionen Euro oder (falls höher) 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Selbst leichte Verstöße können schon mit Bußgeldern von bis zu 2 % des Jahresumsatzes geahndet werden.
Zentrale Neuregelung aus Sicht des Arbeitsrecht ist der § 26 BDSG, welcher die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“normiert, den § 32 Abs. 1 BDSG normiert und klarstellt, dass personenbezogene Daten auch „zum Zwecke des Beschäftigungsverhältnisses “ verarbeitet werden, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung (Tarif-, Betriebs- oder Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Schließlich regeln die §§ 5 ff. BSDG n.F. die Ernennung, Stellung und Aufgaben des Datenschutzbeauftragten.

Bewertung

Eine Neuregelung des Beschäftigtendatenschutz ist in Hinblick auf die sich rasend schnell technologisierende Arbeitswelt zu begrüßen. Ebenso erfreulich ist die direkte Umsetzung mit der DSAnpUG-EU, um etwaige Widersprüche direkt im Keim zu ersticken. Ob dies tatsächlich der Fall ist, bleibt abzuwarten. Kritisch zu sehen ist jedoch der hohe administrative Aufwand der den Unternehmen auferlegt wird, um den Standards der DGSVO gerecht zu werden, was nicht der Dynamik der heutigen Arbeitswelt entspricht.