Einheitliche Datenschutzregeln in der EU

Haufe Online-Redaktion: EU-Kommission, EU-Parlament und Ministerrat befinden sich bereits in der Feinabstimmung des Entwurfs einer Datenschutz-Grundverordnung, der 2016 in Kraft treten soll. Was wird sich für Unternehmen hinsichtlich des Beschäftigtendatenschutzes ändern? 

Philipp Byers: Die Datenschutz-Grundverordnung  soll europaweit einen einheitlichen datenschutzrechtlichen Mindeststandard schaffen. Als EU-Verordnung wirkt sie unmittelbar als nationales Recht. Die Grundverordnung  ist der Systematik des Bundesdatenschutzgesetzes ähnlich. So ist der Umgang mit personenbezogenen Daten grundsätzlich untersagt, es sei denn die Grundverordnung  oder ein anderes Gesetz erlauben dies. Nach Artikel 6 Grundverordnung  ist die Nutzung persönlicher Daten zulässig, soweit dies für die Durchführung des Arbeitsverhältnisses erforderlich ist. Weiter erfolgt die Datenverarbeitung rechtmäßig, wenn dies für den legitimen Zweck des Arbeitgebers oder eines Dritten notwendig ist. Der Zweck ist mit dem Persönlichkeitsrecht des Mitarbeiters abzuwägen.

Haufe Online-Redaktion: Das klingt alles ähnlich wie die Regelungen, die bisher schon im deutschen Datenschutzgesetz galten.

Byers: Ja, das stimmt. Die Regelungen ähneln den bekannten Erlaubnistatbeständen der §§ 32, 28 Bundesdatenschutzgesetz. Erfreulich ist aus Arbeitgebersicht, dass Betriebsvereinbarungen den Umgang mit Arbeitnehmerdaten regeln können. Auf diese Weise lassen sich flexible betriebliche Lösungen mit dem Betriebsrat schaffen. Ebenfalls ist es unter strengen Voraussetzungen möglich, die Datenverarbeitung durch eine Einwilligung des Arbeitnehmers zu rechtfertigen. Dabei ist nach dem sogenannten „Grundsatz der informierten Einwilligung“ erforderlich, dass die Einwilligungserklärung freiwillig abgegeben wird und die Datenlegitimierung genau beschreibt. Gegenwärtig stellt § 4a Bundesdatenschutzgesetz bereits ähnliche Voraussetzungen an eine wirksame Einwilligung.

Haufe Online-Redaktion: Ein Streitpunkt in der Praxis sind bisher heimliche Video- oder Filmaufnahmen von Mitarbeitern gewesen. Das Bundesarbeitsgericht hatte diese unter ganz strengen Voraussetzungen erlaubt. Wird das weiter möglich sein?

Byers: Gegenwärtig sieht die Grundverordnung  das Verbot heimlicher Mitarbeiterkontrollen vor. Es bleibt abzuwarten, ob das weitere Gesetzgebungsverfahren heimliche Kontrollen in engen Ausnahmefällen – zum Beispiel zur Aufklärung von Arbeitnehmerstraftaten – doch noch erlaubt. Insgesamt ermächtigt Artikel 82 Grundverordnung  die Mitgliedsstaaten, Sonderregeln zum Arbeitnehmerdatenschutz erlassen zu können. Eine umfassende Neuregelung des Beschäftigtendatenschutzes bleibt für den deutschen Gesetzgeber also möglich. Die Spezialregeln dürfen allerdings nicht hinter dem Schutzniveau der Grundverordnung  zurückbleiben und müssen verhältnismäßig sein.

Haufe Online-Redaktion: Worauf müssen sich Arbeitgeber noch einstellen? 

Byers: Eine gravierende Änderung für Unternehmen stellt der Strafkatalog der Grundverordnung  dar. Der Entwurf sieht bei Datenschutzverstößen Bußgelder von bis zu eine Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes eines  Unternehmens vor. Das Europaparlament fordert gar Geldbußen bis zu 100 Millionen Euro beziehungsweise fünf Prozent des weltweiten Umsatzes. Nach unserem Bundesdatenschutzgesetz kann bisher ein Datenschutzverstoß nur mit einer Geldbuße von maximal 300.000 Euro sanktioniert werden. Nachlässigkeiten im Datenschutz können also nach der Grundverordnung in Zukunft richtig teuer werden. Arbeitgeber sollten den Arbeitnehmerdatenschutz daher zukünftig noch ernster nehmen als bisher. Spätestens nach Inkrafttreten der Grundverordnung  hat der Datenschutz im Unternehmen auf der Prioritätenliste weit oben zu stehen.

Haufe Online-Redaktion: Wie sieht der Zeitplan aus? Raten Sie den Unternehmen, jetzt schon Vorbereitungen treffen? 
Byers: Nach dem aktuellen Zeitplan soll die Grundverordnung  bis Ende 2015 verabschiedet werden und bereits im Laufe des Jahres 2016 in Kraft treten. Unternehmen sind daher gut beraten, sich zeitnah auf die sich abzeichnenden Gesetzesänderungen vorzubereiten. So sind notwendige Anpassungen bisheriger Betriebsvereinbarungen an die gesetzlichen Neuregelungen unmittelbar nach Inkrafttreten der Grundverordnung  vorzunehmen. Aufgrund des hohen Schadensrisikos sind die bestehenden Datenschutzstrukturen im Unternehmen insgesamt auf den Prüfstand zu stellen. Bei der Budgetplanung für 2016 sollte geprüft werden, ob die bisherigen Mittel für Fachabteilungen wie Compliance, Recht oder HR ausreichen. Die Grundverordnung  schafft neue datenschutzrechtliche Anforderungen, auf die sich die Unternehmen auch finanziell einstellen müssen.    

Dr. Philipp Byers ist Fachanwalt für Arbeitsrecht und Partner bei der Lutz Abel Rechtsanwalts GmbH.

Das Interview führte Katharina Schmitt, Redaktion Personal.