Artikel erschienen am 14.03.2018
E-Paper

Das Ende der Halbherzigkeit

Beschäftigtendatenschutz 2018

Von Kathrin Schulze Zumkley, Gütersloh

Während moderne Technologien eine nahezu unbegrenzte Verarbeitung von Daten ermöglichen, wird der Datenschutz in vielen Unternehmen bisher nur selten großgeschrieben. Dies ist auch dem Gesetzgeber bewusst und Anlass zur Stärkung der Rechte der Betroffenen. Am 25.05.2018 treten mit der Datenschutzgrundverordnung (DSGVO) und der Neufassung des Bundesdatenschutzgesetzes (BDSG n. F.) Änderungen in Kraft, die die Praxis stark beeinflussen werden.

Zwar bleiben die Grundzüge der Verarbeitung von Mitarbeiterdaten gleich, doch u. a. umfassende Informationspflichten sowie empfindliche Sanktionen verpflichten die Arbeitgeber, sich in datenschutzrechtlicher Hinsicht neu aufzustellen.

Verbot mit Erlaubnisvorbehalt – Erlaubnistatbestände

Dem Datenschutz liegt das sog. Verbotsprinzip mit Erlaubnisvorbehalt zugrunde. Dies bedeutet, dass die Datenverarbeitung grundsätzlich verboten ist, wenn nicht ausnahmsweise die Voraussetzungen eines Erlaubnistatbestands erfüllt sind. Dieses Prinzip gilt bereits heute und bleibt unverändert. Die erforderliche Rechtfertigung der Datenverarbeitung kann sich dabei – in eher seltenen Fällen – aus spezialgesetzlichen Vorschriften (z. B. Vorgaben zum Einsatz von Fahrtenschreibern in Lkw) ergeben. Weiter kommen Tarifverträge und Betriebsvereinbarungen sowie Einwilligungen des Betroffenen in Betracht.

In den meisten Fällen jedoch wird der allgemeine Erlaubnistatbestand des § 26 Abs. 1 S. 1 BDSG n.F. einschlägig sein. Dieser gestattet die Verarbeitung personenbezogener Daten, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, dessen Durchführung oder dessen Beendigung erforderlich ist. Der Prüfungsmaßstab der Erforderlichkeit ist dabei eine altbekannte Größe: Auch § 32 der aktuellen Fassung des BDSG erlaubt die Datenverarbeitung im Beschäftigungsverhältnis nur bei Erforderlichkeit.

Änderungen

Es wäre jedoch trügerisch zu glauben, dass sich die DSGVO und das BDSG n. F. nicht auf die praktische Handhabung des Beschäftigtenverhältnisses auswirkten. Dies liegt zum einen daran, dass neben den materiellen Voraussetzungen der Datenverarbeitung als solcher eine Vielzahl flankierender Pflichten normiert wurde, und zum andern daran, dass die Folgen eines Verstoßes gegen Datenschutzvorgaben massiv werden.

Flankierende Pflichten

Die flankierenden Pflichten der Arbeitgeber betreffen in der Praxis vor allem Transparenz und Zweckbindung. Beide Aspekte sind als datenschutzrechtliche Grundsätze in Art. 5 DSGVO normiert und in Art. 12 ff. DSGVO näher ausgestaltet. Der gesamte Prozess der Datenverarbeitung von der Erhebung über die Nutzung bis zur Löschung
ist für den Betroffenen nachvollziehbar zu machen.

Ein wesentlicher Aspekt dabei ist die Information über die Datenerhebung. Egal, ob die Daten beim Betroffenen selbst (Art. 13 DSGVO) oder bei einem Dritten (Art. 14 DSGVO) erhoben werden, der Verantwortliche muss umfassend informieren. Hierbei ist insbesondere über

  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
  • die Rechtsgrundlage der Verarbeitung,
  • die Empfänger oder Kategorien von Empfängern der Daten,
  • die Speicherdauer bzw. die Kriterien für die Fest­legung dieser Dauer,
  • das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Beschwerde bei einer Aufsichtsbehörde
    zu unterrichten.

Nach Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO ist der Betroffene – soweit ihm diese Informationen nicht bereits vorliegen – im Fall einer Zweckänderung erneut zu informieren; über den neuen Zweck ist in jedem Fall zu unterrichten.

Dabei ordnet Art. 12 Abs. 1 DSGVO an, dass alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind. Hiermit soll, um dem Transparenzgebot Genüge zu tun, ausgeschlossen werden, dass sich Arbeitgeber mit zu allgemeinen und abstrakten Angaben aus der Affäre ziehen können. Natürlich werden erst die weitere Entwicklung und die diesbezüglich zu erwartende Rechtsprechung zeigen, welche konkreten Anforderungen an die klare Sprache zu stellen sind. Festgehalten werden kann jedoch bereits jetzt, dass ein allgemeiner Hinweis auf die „Verarbeitung aller für die Durchführung des Arbeitsverhältnisses erforderlichen Daten für alle erforderlichen Zwecke und für die Dauer der Erforderlichkeit“ den Informationspflichten wohl nicht genügen wird. Präzisierung ist gefragt.

Sanktionen

Die Nichtbeachtung der datenschutzrechtlichen Änderungen kann erhebliche Folgen haben: In dem Bewusstsein, dass Datenschutz in der Vergangenheit nicht immer übermäßig ernst genommen und die gesetzlichen Vorgaben nicht überall beachtet wurden, hat der europäische Verordnungsgeber nach Möglichkeiten gesucht, den Datenschutz in der Praxis durchzusetzen. Die Lösung hat er (nach erstem Anschein in wirksamer Weise) in einer massiven Verschärfung der Sanktionen kombiniert mit erheblichen Haftungsrisiken gefunden.

Geldbußen

Dies betrifft zunächst die in Art. 83 DSGVO festgeschriebenen Geldbußen. Bei der Verletzung von Grundprinzipien (und hierzu zählen u. a. die soeben vorgestellten Informationspflichten sowie die Grundsätze der Transparenz und Zweckbindung) können Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Konzernumsatzes verhängt werden (Art. 83 Abs. 5 DSGVO); bei sonstigen Verletzungen reichen die Geldbußen bis zu 10 Mio. Euro oder 2 % des Konzernumsatzes. Im Vergleich zur bisherigen maximalen Bußgeldhöhe von 300 000 Euro eine neue Dimension.

Bei der Festsetzung der konkreten Höhe ist der Einzelfall zu berücksichtigen, sodass sowohl Art, Schwere und Dauer des Verstoßes als auch Vorsatz oder Fahrlässigkeit, einschlägige frühere Verstöße (Wiederholungsfälle) und sonstige Besonderheiten Berücksichtigung finden werden. Es ist daher nicht zu erwarten, dass die genannten horrenden Beträge bereits bei einer einzelnen unvollständigen Information und einem Erstvergehen festgesetzt werden. Gleichzeitig ist aber auch nicht mit allzu viel Milde zu rechnen, denn Art. 83 Abs. 1 DSGVO ordnet ausdrücklich an, dass die verhängte Geldbuße wirksam, verhältnismäßig und abschreckend sein muss. Auch ist von verschiedenen Aufsichtsbehörden „unter der Hand“ zu vernehmen, dass man sich auf die neuen Sanktionen freue.

Hinsichtlich der Geldbußen ist überdies eine äußerst bedeutsame systematische Änderung beim Nachweis von Datenschutzverstößen zu berücksichtigen: Ab Mai 2018 muss der Arbeitgeber als Verantwortlicher die in Art. 5 Abs. 1 DSGVO normierten datenschutzrechtlichen Grundsätze nicht mehr nur einhalten, sondern darüber hinaus diese Einhaltung auch nachweisen können („Rechenschaftspflicht“, Art. 5 Abs. 2 DSGVO). Weiter muss er u. a. gemäß Art. 24 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen umsetzen, um den Nachweis erbringen zu können, dass die Datenverarbeitung gemäß der DSGVO verläuft. Damit obliegt es dem Arbeitgeber, zu seiner Entlastung und zur Vermeidung von Bußgeldern eine Organisation und Dokumentation vorzuhalten, die ihm den jederzeitigen Nachweis ermöglicht, sich datenschutzkonform verhalten zu haben. Bezogen auf die vorstehend behandelten Informationspflichten werden Arbeitgeber daher umfassende, schriftliche oder in Textform gehaltene Unterrichtungen verfassen und in nachweisbarer Form dem Arbeitnehmer zukommen lassen müssen.

Schadensersatz

Neben den Geldbuße-Regelungen normiert die DSGVO in Art. 82 einen Schadensersatzanspruch für Betroffene. Dieser ist auf materielle, aber auch immaterielle Schäden, z. B. die Verletzung des Persönlichkeitsrechts, gerichtet. Ist ein solcher Schaden durch einen Verstoß gegen die Verordnung entstanden, entkommt der Verantwortliche/Arbeitgeber der Haftung nur, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Persönliche Haftung

Sowohl die Geldbußen- als auch die Schadensersatzregelungen richten sich an den „Verantwortlichen“. Auch wenn Details zum dahinterstehenden Unternehmensbegriff noch ungeklärt sind, spricht doch vieles dafür, dass zumindest innerhalb juristischer Personen nicht die handelnde natürliche Person oder der Geschäftsführer/Vorstand persönlich Adressaten der Regelungen sind, sie also nicht unmittelbar haften. Doch auch wenn dem so ist und „Täter“ die juristische Person ist, müssen die unternehmensinternen Entscheidungsträger ihrerseits mit einer Haftung gegenüber dem Unternehmen wegen entsprechender Pflichtverletzungen rechnen. Insoweit ist für die geschäftsleitenden Organe zu bedenken, dass ein Ignorieren von Gesetzesänderungen fast immer mit (zumindest bedingtem) Vorsatz verbunden sein wird. Bei der auch deshalb zu empfehlenden Berücksichtigung der datenschutzrechtlichen Änderungen sollte die entsprechende Sensibilisierung und Schulung der Mitarbeiter nicht übersehen werden, da ansonsten ein Organisationsverschulden des Geschäftsführers/Vorstands im Raum steht.

Bild: Fotolia/Robert Kneschke

Ähnliche Artikel

Finanzen Steuern Recht

Fehler können teuer werden

Vorsicht bei Befristung von Arbeitsverträgen

Vorteile des Teilzeitbefristungsgesetzes (TzBfG) sind schnell dahin und werden ins Gegenteil umgekehrt, wenn die durch Rechtsprechung und Gesetzgebung vorgegebenen Parameter übersehen werden. Hier sollen einige von ihnen skizziert werden.

Ostwestfalen/Lippe 2012 | Matthias Lehmann, Bückeburg

Finanzen Steuern Recht

Von lackierten Bremszylindern und Fluggastkontrollen

Zur Abgrenzung von Arbeitnehmerüberlassung und Werkvertrag

Was haben lackierte Bremszylinder und die Fluggastkontrolle auf Flughäfen miteinander zu tun? Beide Schlagworte verweisen auf Entscheidungen des Bundesarbeitsgerichtes (BAG) zur schwierigen Abgrenzung von Arbeitnehmerüberlassung und Werkvertrag. Sie markieren damit einen Problemkreis, der zunehmend in das Bewusstsein der Unternehmer dringt.

Ostwestfalen/Lippe 2013 | Dr. iur. Sören Kramer, Detmold