Die neue EU-Datenschutzgrundverordnung im Arbeitsrecht – spannende Aufgaben in der schönen neuen digitalen Welt!

Datenschutz wird immer mehr zum rechtlichen Megathema sowohl in der Arbeitswelt für Unternehmen und Arbeitnehmer, aber natürlich auch im Privatleben für jeden, der etwa auf Facebook aktiv ist, Whatsapp nutzt oder auch nur im Internet surft und E-Mails schreibt. Für viele ist der Begriff des „Datenschutzes“ oder auch der „europäischen Datenschutzgrundverordnung“ eine mehr oder weniger unangenehme Blackbox, deren Handhabung Unsicherheiten hervorruft. Insbesondere die Frage nach der Verwertung von Mitarbeiterdaten spielt einer immer größere Rolle. Hier gilt es für Arbeitgeber, die Grenzen des Datenschutzes zu beachten und für Arbeitnehmer, Ihre Rechtspositionen genau zu kennen um auch in der digitalen Arbeitswelt souverän mit ihrem Arbeitgeber umgehen zu können.

In der Tat ist es so, dass die europäische Datenschutzverordnung (DS-GVO) einige fundamentale Veränderungen gerade im Arbeitsrecht mit sich bringt, die ruhig als Paradigmenwechsel bezeichnet werden können. Die DS-GVO tritt ab dem 25. Mai 2018 in Kraft und wirkt dann unmittelbar in allen Mitgliedstaaten der EU.

Welche Paradigmen wechseln und welche Konsequenzen durch die DS-GVO auf Unternehmen und Arbeitnehmer zukommen werden, zeigt dieser Beitrag.

Das Wichtigste

 

Für Unternehmen kommt durch die neue DS-GVO ein neues europäisches Datenschutzsystem zu, dessen Nichtbeachtung deutlich härtere Sanktionen nach sich zieht als bisher. Für Arbeitnehmer bedeutet die neue DS-GVO eine deutliche Aufwertung ihrer Persönlichkeitsrechte. Zu berücksichtigen ist, dass inhaltlich die deutsche Rechtsprechung in den vergangenen Jahren verlässliche Grundsätze im Umgang mit Mitarbeiterdaten aufgestellt hat – dies gilt für das Bundesarbeitsgericht und für das Bundesverfassungsgericht. Probates Mittel zur Anpassung an die neue Situation ist für Arbeitgeber wie für Betriebsräte die Vereinbarung geeigneter Rahmenbetriebsvereinbarungen.

Die Ausgangslage

Mehr als 80 % der Arbeitnehmer arbeiten mit digitalen Mitteln, gerade im Dienstleistungssektor sind digitale Technologien nicht wegzudenken. Konkret sind das der PC, Notebook, aber auch das Dienst-Smartphone oder das Dienst-Tablet. Zunehmen wird sicherlich die Arbeit mittels „Wearables“, also smarten Uhren die Sender-Empfänger-Systeme oder auch GPS verwenden könnten.

Immer mehr Daten werden erhoben, immer mehr Vernetzungen erstellt. Es drängt sich neben der Frage nach einer „Entgrenzung“ der Arbeitszeit die Frage nach dem Umgang mit den erhobenen Daten auf.

Der Beschäftigtendatenschutz in Deutschland beruht derzeit auf zwei Quellen:

Zum einen auf dem Bundesdatenschutzgesetz, zum anderen auf der arbeitsgerichtlichen Rechtsprechung. Die Rechtsprechung fand bisher Antworten auf die Fragen des Datenschutzes im Einzelfall. Wichtig ist, dass erstens das Recht auf Datenschutz aus dem grundrechtlich angelegten allgemeinen Persönlichkeitsrecht, Art. 2 Abs. 1, 1 Abs. 1 Grundgesetz und dem Recht auf informationelle Selbstbestimmung hervorgeht, und dass daher zweitens Antworten immer mit Blick auf den konkreten Eingriffsumfang bzw. die Eingriffsintensität in diese geschützte Grundrechtsposition einerseits und die Begründung des Eingriffsinteresses andererseits gefunden werden.

Aus diesen Grundsätzen ist im Wechselspiel zwischen Rechtsprechung und Gesetzgebung auch das Bundesdatenschutzgesetz hervorgegangen. Die Überwachung von Arbeitnehmern bei der Erbringung ihrer Arbeitsleistung wird bisher vor allem nach § 32 Bundesdatenschutzgesetz beurteilt. Hiernach dürfen personenbezogene Daten in einem bestehenden Beschäftigungsverhältnis dann erhoben werden, wenn das zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Was „erforderlich“ ist, richtet sich nach dem Einzelfall unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes und einer Abwägung zwischen den Interessen des Arbeitgebers mit dem Recht des Arbeitnehmers auf informationelle Selbstbestimmung.

Zum Beispiel ist es ein eherner Grundsatz, dass eine Totalüberwachung des Arbeitnehmers verboten ist. So ist die Erhebung, Speicherung und Auswertung der Nutzung eines Dienstcomputers durch einen heimlich installierten „Keylogger“, der auch Screenshots erstellt, rechtswidrig, auch wenn der Verdacht besteht, dass der Arbeitnehmer einen Großteil seiner Arbeitszeit mit der Privatnutzung des Computers verbringt. Keylogger sind im Übrigen allgemein verboten, außer bei einem konkreten Verdacht einer Straftat oder schweren Pflichtverletzung,

vgl. BAG, Urteil vom 27.07.2017, 2 AZR 681/16.

Hingegen ist die elektronische Zugangskontrolle zu Räumlichkeiten sowie die Zeiterfassung als datenschutzrechtlich zulässig anzusehen. Allerdings dürfen solche Zugangskontrollen nur der Identifizierung und nicht der Erstellung von Bewegungsprofilen dienen. Die Zugangskontrolle mittels „biometrischer Daten“ ist als kritisch zu bewerten, da hier ein größerer Eingriff in das individuelle Persönlichkeitsrecht erfolgt.

Spannend ist auch, dass die Durchführung sogenannter „Background-Checks“, also die Erhebung von personenbezogenen Daten über einen (möglichen) Arbeitnehmer aus frei zugänglichen Quellen (Internet, Google) nicht immer erlaubt ist! So darf der Arbeitgeber nicht etwa ein Persönlichkeitsprofil erstellen, um zum Beispiel die Eignung für eine Position zu beurteilen. Solche Vorgehensweisen sind datenschutzrechtlich untersagt.

Besonders wichtig ist das Thema der Videoüberwachung am Arbeitsplatz. Für deren Zulässigkeit kommt es darauf an, wie intensiv der Eingriff in das Persönlichkeitsrecht des Arbeitnehmers ist, sprich wie viele Arbeitnehmer betroffen sind, ob die Überwachung offen oder verdeckt erfolgt, welcher Anlass für die Überwachung besteht und wie lange diese andauert.

Das BAG hat durch Urteil vom 22.09.2016, 2 AZR 848/15 festgestellt, dass die Videoüberwachung zur Aufklärung von Straftaten oder anderen, schwerwiegenden Pflichtverletzungen, zulässig sein kann, sofern kein milderes Mittel zur Aufklärung zur Verfügung steht. In diesem Zusammenhang kann auch die Verwertung, d.h. Kündigung aufgrund sogenannter „Zufallsfunde“ zulässig sein!

Es gibt noch weitere Grenzfragen, die interessant sind, etwa zur Ortung von Mitarbeitern, zu dem Mithören bzw. Aufzeichnen von Telefonaten, zur Erhebung großer Datenbanken („big data“), zur Erstellung und Nutzung von Persönlichkeitsprofilen aufgrund von Daten („profiling“), zur Mitarbeiterbeurteilung durch Kollegen und zum Umgang mit besonders sensitiven Daten („biometrie“).

Was ändert sich grundlegend durch die DS-GVO?

Die DS-GVO hat Anwendungsvorrang vor deutschem Recht, allerdings gibt es Öffnungsklauseln, die der deutsche Gesetzgeber etwa im neuen, ab dem 25.05.2018 geltenden § 26 BDSG hinsichtlich des neuen Beschäftigtendatenschutzes, genutzt hat und insofern ergänzende Regeln geschaffen hat.

Wichtig ist, dass die neue DS-GVO erhebliche Herausforderungen für Unternehmen mitbringt. So drohen bei Fehlern im Datenschutz nunmehr Bußgelder und – das ist ein neues Paradigma – individuelle Schadensersatzansprüche mit einer empfindlichen Höhe! Die Rede ist von Bußgeldern in Höhe von bis zu vier Prozent des globalen Umsatzes eines Unternehmens, sprich de facto des Gesamtjahresgewinns.

Daneben könnte es zu einer Erweiterung der sogenannten Verwertungsverbote kommen, sprich im Kündigungsschutzprozess kann es bei Verstößen gegen den neuen Datenschutzstandard sein, dass Beweismittel zu Kündigungsgründen nicht mehr zugelassen werden und insofern höhere Abfindungen zur Beendigung des Kündigungsschutzprozesses und des Arbeitsverhältnisses an den Arbeitnehmer zu zahlen sind!

Während in der Vergangenheit der Schadensersatzanspruch als Nichtvermögensschaden wegen § 253 BGB – wenn überhaupt – nur in geringer Höhe durchgesetzt werden konnte, sieht nunmehr Art. 82 der DS-GVO ausdrücklich eine weitgehende Haftung vor, die aufgrund des europarechtlichen Effektivitätsgrundsatzes auch zu empfindlichen Kompensationsleistungen durch den Arbeitgeber führen wird. In diesem Zusammenhang sind die Unternehmen durch Art. 82 Abs. 3, 24 Abs. 1 DS-GVO in der Pflicht, nachzuweisen, dass sie die Anforderungen der neuen Datenschutzverordnung erfüllen. Im Prozess wird dies eine enorme Aufgabe für den Anwalt des Arbeitgebers sein, den Entlastungsbeweis zu führen – eine umfassende Dokumentationspflicht!

Unternehmen sind insofern gefordert,

1. eine hinreichend klare Zweckbestimmung einzelner Datenverarbeitungen zu setzen und einzuhalten

2. die Erhebung und Nutzung personenbezogener Daten transparent zu machen und zu dokumentieren

3. Strukturen zu etablieren (Compliance-Systeme), die es ermöglichen, die Betroffenenrechte nach der DS-GVO zu sichern. Dies betrifft Auskunfts-, Berichtigungs-, Löschungs- oder Datenübertragungsrechte.

4. die Vorgaben der DSGVO und des BDSG, insbesondere § 26 BDSG, durch Betriebsvereinbarung zu konkretisieren

5. auf Gerichtsverfahren und Nachfragen der Aufsichtsbehörden vorbereitet zu sein

6. die Position eines Datenschutzbeauftragten zu schaffen

7. umfassend in der Lage sein, Rechenschaft über die Datennutzung der Mitarbeiter zu leisten

Positiv ist, dass der europäische Gesetzgeber nunmehr die Betriebsvereinbarung als Mittel der Umsetzung in Art. 88 DS-GVO anerkannt hat. Den Möglichkeiten an dieser Stelle sind kaum Grenzen gesetzt, insbesondere können Aufklärungs- und Sensibilisierungsmaßnahmen im Betrieb, Auskünfte über die Ergebnisse von Kontrollmaßnahmen oder Informationsveranstaltungen als Maßnahmen in Betriebsvereinbarungen ausgestaltet werden.

Wichtig ist, dass nicht unbedingt jede Betriebsvereinbarung angepasst werden muss, sondern der Abschluss einer Rahmenbetriebsvereinbarung völlig ausreicht, um den Anforderungen der DS-GVO nachzukommen!