Datenschutz
Das gilt ab Mai 2018 im Beschäftigtendatenschutz

Beschäftigtendatenschutz

Darf der Chef E-Mails seiner Mitarbeiter lesen? Und den Browserverlauf kontrollieren? Was ist mit Videoüberwachung? Es sind immer die persönlichen Daten der Mitarbeiter, die den kritischen Blick rechtfertigen. Daher gibt es einige neue Regeln im Beschäftigtendatenschutz, die Sie kennen sollten. Wir geben einen Einblick in die neue Rechtslage ab Mai 2018.

Was gilt nach dem EU-Datenschutzrecht?

Seit langem gilt als wichtigster Grundsatz im Beschäftigtendatenschutz das „Verbot mit Erlaubnisvorbehalt“. Das heißt: das Erheben von Daten ist verboten, es sei denn der Arbeitgeber hat eine Erlaubnis. Dieser wichtige Grundsatz wird auch nach dem neuen Datenschutzrecht gelten.

Ab 18.5.2018 gilt nämlich die EU-Datenschutzgrundverordnung (EU-DGSVO), die das Datenschutzrecht auf europäischer Ebene vereinheitlicht. Zeitgleich tritt auch ein neues deutsches Datenschutzgesetz in Kraft, das vor allem für den Beschäftigtendatenschutz von großer Bedeutung ist. Dieses neue Bundesdatenschutzgesetz (genannt: BDSG-neu) löst das alte BDSG ab.

Dass es überhaupt neben der EU-DGSVO noch ein nationales Gesetz geben kann, verdankt sich dem Art. 88 der EU-DGSVO, der eine sog. Öffnungsklausel enthält und für einige Bereiche – vor allem die Beschäftigtendaten – nationale Regelungen zulässt.

Welches ist die wichtigste Erlaubnisnorm für den Beschäftigtendatenschutz?

Die wichtigste Erlaubnisnorm, die dem Arbeitgeber das Speichern und Verarbeiten von Beschäftigtendaten in begrenztem Umfang erlaubt, ist derzeit noch § 32  BDSG-neu. Ab Mai 2018 ist es der dem alten § 32 BDSG relativ gleichlautende § 26 BDSG-neu.

Nach beiden Vorschriften gilt: Der Arbeitgeber darf auf solche Daten zugreifen, die für die Durchführung des jeweiligen Arbeitsverhältnisses „erforderlich“ sind. Was genau „erforderlich“ ist, sagt der kurze Gesetzestext allerdings nicht.

Eine Menge Fälle sind durch die Gerichte geklärt. Es ist davon auszugehen, dass diese Rechtsprechung auch nach dem neuen Recht ab 2018 gültig bleibt. So ist beispielsweise unbestritten, dass der Arbeitgeber alle Stammdaten der Mitarbeiter erheben darf. Dazu gehören:

  • Name, Adresse
  • Kontoverbindung
  • Ausbildung, Qualifikationen
  • Arbeitszeiterfassung
  • Speichern bestimmter PC-Vorgänge

Probleme entstehen, wenn noch deutlich sensiblere Daten erhoben werden, beispielsweise zur Gesundheit. Nahezu jedes Software-System sammelt Daten. Hier kommt es darauf an, ob die Datenerhebung für die Durchführung des Arbeitsverhältnisses „erforderlich“ ist.

Das Bundesarbeitsgericht hat daher in vielen Urteilen bekräftigt, dass der Einsatz technischer Geräte nur „erforderlich“ ist, wenn kein anderes milderes Mittel zur Verfügung steht. Außerdem ist darauf zu achten, dass der Einsatz der Geräte datenschonend zu erfolgen hat.

Was ist mit der Einwilligung und Betriebsvereinbarung als Erlaubnisnorm?

Es gibt neben der allgemeinen Vorschrift des § 26 BDSG-neu (bzw. § 32 BDSG-alt) noch weitere Erlaubnistatbestände, die dem Arbeitgeber die Erlaubnis geben, Daten der Mitarbeiter zu erheben. Von großer praktischer Bedeutung sind die Einwilligung und die Betriebsvereinbarung als sog. Erlaubnisnorm.

Für die Einwilligung im Beschäftigtendatenschutz gilt: der Arbeitgeber kann im Grundsatz Beschäftigtendaten erheben, wenn der Beschäftigte selbst damit einverstanden ist – also einwilligt. Etwa im Arbeitsvertrag oder in einer extra Vereinbarung. Allerdings ist darauf zu achten, dass die Einwilligung tatsächlich freiwillig erteilt wird. Sie muss nach dem neuen Recht außerdem schriftlich erfolgen.

Neuerdings ist in der EU-DGSVO auch ausdrücklich geregelt, dass Betriebsvereinbarungen die Datenverarbeitung regeln und den Arbeitgeber legitimieren können, Beschäftigtendaten zu erheben und zu verarbeiten. Schon jetzt gibt es in den meisten Betrieben zur digitalen Nutzung Betriebsvereinbarungen. Etwa zur Nutzung des Internet, E-Mail und Mobiler Endgeräte, die den Umgang mit Mitarbeiterdaten regeln, denn in nahezu allen Fällen werden Mitarbeiterdaten verarbeitet.

Für Betriebsvereinbarungen sieht die EU-DGSVO relativ strenge Maßstäbe vor, was insbesondere die Transparenz, Zweckbindung, aber auch Informations- und Löschungsrechte der Beschäftigten betrifft. Ab Mai 2018 müssen alle Betriebsvereinbarungen (auch die alten) diesen strengen Vorgaben der EU-DGSVO entsprechen.

 Was gilt beim Verdacht auf Straftaten?

Um Straftaten im Unternehmen zu verhindern oder aufzuklären, stehen dem Arbeitgeber besondere Rechte zu. Dabei geht es vor allem um Straftaten im eigenen Unternehmen wie Diebstahl, Korruption und Bestechung. Um den Beschäftigstendatenschutz zu gewärleisten, muss sich der Verdacht allerdings auf Tatsachen stützen, die zu dokumentieren sind. Außerdem müssen die Maßnahmen verhältnismäßig sein. Die Details sind in Betriebsvereinbarungen zu regeln.

(6) Kommentare

  1. Pingback: insPirat » Unser kleines 1×1 rund um Beschäftigtendatenschutz

  2. Pingback: Wie wichtig sind IT-System-Kenntnisse auf dem Arbeitsmarkt? | bildungsdoc-Blog | BildungsNEWS

  3. Guten Tag!
    aus meiner Sicht sollte (nicht nur) bei den Folgen für den Beschäftigten-Datenschutz immer die neue „Rechenschaftspflicht“ nach Art. 5 Abs. 1 DSGVO genannt werden: Der Arbeitgeber bzw. der Verantwortliche für die Datenverarbeitung muss nachweisen (können), dass angemessene und wirksame Maßnahmen getroffen wurden, um die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umzusetzen. Dieser Nachweis muss jederzeit(!) möglich sein, auch ohne einen Anlass. Dazu enthält die DSGVO einige Regelungen zur Dokumentation der Datenverarbeitung, die für den Nachweis erforderlich ist. Schon das Fehlen der Dokumentation stellt die Rechtmäßigkeit der Verarbeitung in Frage und ist mit Bußgeld bedroht.
    Diese neue Situation sollte es Betriebs- und Personalräten erleichtern ihre Informationsrechte durchzusetzen und die Umsetzung von Betriebs- und DIenstvereinbarungen zu kontrollieren: auch hier wirkt die Nachweispflicht!
    VIele Grüße
    Peter Herholtz
    http://www.klaerungen.de

    • Fachredaktion Bund-Verlag - Antworten

      Hallo Herr Herholtz,

      der Hinweis auf die Dokumentationspflicht ist völlig berechtigt. Gut informierte Arbeitgeber wissen das und richten sich danach. Den anderen könnte der Betriebsrat einen Hinweis geben. Weshalb? Verfahren, die in einer „Grauzone“ angesiedelt sind, werden im Zweifel nicht dokumentiert; ein Hinweis des Betriebsrats bringt sie über kurz oder lang zum Verschwinden. Insoweit nützt die Dokumentationspflicht den Beschäftigten.

      Mit den besten Grüßen
      Wolfgang Däubler

  4. Hallo zusammen,
    da kommt ja einiges auf die Betriebsräte zu.
    Gibt es gute Beispiele betrieblicher Regelungen die auch der Betrachtung nach dem neuen BDSG-neu entsprechen?
    Wir sind haben Japaner als Eigentümer, die wie bekloppt alles analysieren wollen.
    Datenschutz geht Ihnen da am A…. vorbei.
    Ich würde mich freuen etwas Konstruktives zu dem Thema zurück zu erhalten!
    Viele Grüße
    Klaus Hehr

    • Fachredaktion Bund-Verlag - Antworten

      Hallo Herr Hehr,

      Ihre Aufforderung, gute Erfahrungen zu sammeln, ist völlig berechtigt, aber wir stehen halt mit der DSGVO und den BDSG-neu noch ganz am Anfang. Man muss sich also selbst was einfallen lassen.

      Wenn dem Arbeitgeber der Datenschutz überhaupt nicht wichtig ist, muss man ihn auf das große Risiko hinweisen, das er eingeht: Bei Verstößen haftet er nach Art. 82 DSGVO auch ohne nachgewiesenes Verschulden auf vollen Schadensersatz; anders als bisher muss er auch den immateriellen Schaden ersetzen. Und noch wichtiger: Nach Art. 83 DSGVO kann die Aufsichtsbehörde ein Bußgeld verhängen, das bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Umsatzes reicht. Da ist es schon besser, man nimmt den Datenschutz richtig ernst.

      Im Bund-Verlag erscheint im Übrigen im September 2017 mein Buch mit dem Titel „Gläserne Belegschaften“; dort stehen auch einige Überlegungen, wie man Betriebsvereinbarungen gestalten könnte.

      Mit den besten Grüßen
      Wolfgang Däubler

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.