Was bringt die DSGVO für Betriebe und Betriebsräte?

Aus alt wird ... DSGVO

Nach einer zweijährigen Übergangsphase ist seit dem 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie gilt, das ist das Besondere, in ganz Europa. Eine einheitliche europäische Regelung für den Umgang mit personenbezogenen Daten, das gab es noch nie!

Unser deutscher Standard beim Thema Datenschutz war schon immer recht hoch, so dass wir uns an ein paar Neuerungen und neue Begriffe gewöhnen müssen. Verschrecken muss das aber niemanden.

Geschützt: Die personenbezogenen Daten

Kern des Ganzen sind die „personenbezogenen Daten". Und das ist mehr, als man denkt. Denn letztlich gehören dazu alle Informationen, mit denen man Rückschlüsse auf Personen ziehen kann! Neben Name, Adresse und Geburtsdatum sind z.B. auch E-Mail-Adressen und Kontoverbindungen personenbezogene Daten. Und Aufzeichnungen über Arbeitszeiten gehören ebenso dazu wie IP-Adressen.

„Verbotene“ Daten

Die DSGVO führt Daten auf, die grundsätzlich nicht verarbeitet werden dürfen. Hierzu gehören z.B. die Gewerkschaftszugehörigkeit, eine religiöse Überzeugung und politische Meinungen. Neu dazugekommen sind biometrische Daten, wie zum Beispiel der Fingerabdruck einer Person.

Aber: Liegt eine Einwilligung vor, dürfen auch diese Daten verarbeitet werden. Bei uns war dafür früher eine gerichtliche Geltendmachung notwendig.

Umgang mit Daten

Allein die Existenz der DSGVO hat für den Datenschutz schon einen großen Erfolg gebracht. Denn geht es um persönliche Daten, sind Unternehmen, Mitarbeiter und Privatpersonen inzwischen deutlich sensibler – oder sollten es zumindest sein …

Nutzung

Eine Datennutzung ist grundsätzlich nur zulässig, wenn

• der Betroffene in die Nutzung einwilligt
• oder eine gesetzliche Vorschrift dies erlaubt (z.B., wenn dies zur Erfüllung eines Vertrags erforderlich ist).

 Information

Vereinfacht ausgedrückt ist es so: Personenbezogene Daten gehören demjenigen, von dem sie stammen. Und deshalb hat auch jeder, von dem Daten genutzt oder gespeichert werden das Recht, davon zu wissen. Und das unverzüglich und ohne Nachfrage!

 Löschung

Hinzu kommt das „Recht auf Vergessen werden“. Es bedeutet, dass man seine Daten auch löschen lassen kann.

Achtung, Millionenstrafen drohen!

Datenschutzbehörden können bei einem Verstoß gegen die neuen Regeln hohe Geldbußen verhängen. Vorgesehen sind Bußgelder bis zu 20 Mio. € bzw. bis 4 % des weltweiten Jahresumsatzes eines Unternehmens – je nachdem, welcher Betrag höher ist! Spätestens diese Summen sollten jedes Unternehmen und jede Interessenvertretung wachrütteln.

Spezialfall Mitarbeiterdaten

Nicht nur die europäische DSGVO ist vor kurzem in Kraft getreten, zeitgleich wurde auch das deutsche Bundesdatenschutzgesetz (BDSG) neu aufgelegt. Aber warum zwei Gesetze zu einem Thema? Ganz einfach, die DSGVO lässt den Mitgliedsstaaten an einzelnen Stellen Gestaltungsspielraum, wie auch beim Beschäftigtendatenschutz. Davon hat die Bundesregierung Gebrauch gemacht und neben dem Beschäftigtendatenschutz weitere Regelungen im neuen BDSG ergänzt bzw. spezifiziert.

Bekannt & bewährt

Daten von Beschäftigten dürfen verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist. Auch die Voraussetzungen der Verarbeitung von personenbezogenen Daten zur Aufdeckung von Straftaten von Beschäftigten gab es schon.

Für Betriebsräte besonders interessant: Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben weiterhin unberührt (§ 26 Abs. 6 BDSG).

Ein paar Klarstellungen

Die Verarbeitung personenbezogener Daten von Beschäftigten ist am Maßstab der Erforderlichkeit zu messen. Grundsätzlich dürfen diese Daten verarbeitet werden, wenn es zur Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung erforderlich ist (§ 26 Abs. Satz 1 BDSG).

Auch zum Thema Freiwilligkeit der Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigtenverhältnis gibt das neue Bundesdatenschutzgesetz eine Beurteilungshilfe: Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen (§ 26 Abs. 2 BDSG).

Wenn aber das Geburtsdatum in einem von Kollegen einsehbaren Geburtstagskalender veröffentlicht werden soll, bedarf es einer ausdrücklichen Einwilligung.

Eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen (§ 26 Abs. 4 BDSG).

Was müssen Betriebsräte beachten?

Neben ihren allgemeinen Überwachungsaufgaben kommt auf Betriebsräte angesichts der Klarstellungen und Neuregelungen eine besonders wichtige Aufgabe zu: Die Prüfung bestehender Betriebsvereinbarungen. Denn sie gelten weiter, aber auch sie müssen den Anforderungen der Datenschutz-Grundverordnung entsprechen. Konkret bedeutet dies beispielsweise, die Kollegen über eine mögliche Datenverarbeitung zu informieren.

Ein gangbarer Weg könnte der Abschluss einer Rahmenbetriebsvereinbarung zur Anpassung nach DSGVO-Anforderungen sein. Alternativ und rechtssicher ist die Überprüfung bestehender Betriebsvereinbarungen unter Einbeziehung eines Sachverständigen.

Fazit: Am Ball bleiben!

Ist die DSGVO der große Wurf? Ja und nein, kann man sagen. Denn mit der Digitalisierung steigt die Masse an Daten, die Unternehmen erfassen, verarbeiten und speichern. Es war also an der Zeit, dass etwas in Sachen Datenschutz passiert.

Spannend wird in Zukunft sein, wie große und kleine Unternehmen die Herausforderungen meistern, denn für die Anpassung fehlt häufig qualifiziertes Personal. Betriebsräte müssen dringend am Ball bleiben und sich mit dem neuen Datenschutz befassen, um ihren Aufgaben gerecht zu werden.