Datenschutz-Experte Peter Wedde rät zur Ruhe

1. Ab dem 25. Mai 2018 gilt europaweit ein neues Datenschutzrecht. Was bedeutet das für Betriebsvereinbarungen zu Datenschutzthemen?

Peter Wedde:

Der Beschäftigtendatenschutz kann nach Art. 88 Abs. 1 Datenschutz-Grundverordnung (DSGVO) künftig auch durch Kollektivvereinbarungen ausgestaltet werden. § 26 Abs. 4 BDSG-neu präzisiert hierzu, dass eine Verarbeitung dieser Daten auf der Grundlage von Betriebsvereinbarungen selbst dann zulässig ist, wenn es sich um besonders geschützte Informationen handelt, etwa um Gesundheitsdaten.

Allerdings müssen entsprechende Regelungen in Betriebsvereinbarungen künftig uneingeschränkt den neuen und teilweise strengeren Datenschutzvorgaben der DSGVO und des BDSG-neu entsprechen. Dies gilt auch für bereits abgeschlossene Vereinbarungen.

2. Welchen Handlungsbedarf gibt es für Arbeitgeber und Betriebsräte?

Peter Wedde:

Keinen Handlungsbedarf gibt es für die Arbeitgeber, die die ab dem 25. Mai 2016 laufende Übergangszeit genutzt haben, um notwendige Anpassungen zu verhandeln.

Problematisch wird es für Arbeitgeber, die erst jetzt feststellen, dass in Betriebsvereinbarungen verankerte Erlaubnisnormen für Verarbeitungen nicht mehr mit dem neuen Datenschutzrecht zu vereinbaren sind. Dies kann beispielsweise für Regelungen der Fall sein, die zulässige Verarbeitungszwecke nicht in eindeutiger und legitimer Form festlegen, die für bestimmte Fälle heimliche Kontrollmöglichkeiten zulassen oder die eine konzernweite Verarbeitung pauschal für zulässig erklären.

Hier ist der Handlungsbedarf schon deshalb groß, weil Arbeitgebern für die Verarbeitung von Beschäftigtendaten ohne eindeutige datenschutzrechtliche Grundlage künftig nach Art. 83 DSGVO wirksame und abschreckende Geldbußen drohen.

Für Betriebsräte ist die Situation deutlich entspannter. Aus ihrer Sicht besteht nur dann akuter Handlungsbedarf, wenn Regelungen unwirksam würden, durch die Beschäftigtendaten über das gesetzliche Maß hinaus geschützt sind. Das ist in der Praxis leider nur sehr selten der Fall. Deshalb können sie entspannt auf das neuen Recht warten. Der Ball liegt damit im Feld der Arbeitgeber.

3. Welche Fehler sollten Betriebsräte in der Übergangsphase zum neuen Recht vermeiden?

Peter Wedde:

Es gibt Hinweise darauf, dass Arbeitgeber, die eine rechtzeitige Anpassung von einschlägigen Betriebsvereinbarungen versäumt haben, nun den Abschluss von »Rahmenvereinbarungen« zur DSGVO verlangen, durch die Mängel in bestehenden Betriebsvereinbarungen »geheilt« werden sollen.

Betroffenen Betriebsräte ist anzuraten, derartige Vereinbarungen nur dann abzuschließen, wenn sie deren Wirkungsweisen in Bezug auf das neue Datenschutzrecht vollständig überblicken. Ist dies nicht der Fall, besteht die Gefahr, dass hier neue Handlungs- und Gestaltungsmöglichkeiten, die das neue Datenschutzrecht beinhaltet, durch vorschnelle Vereinbarungen verschenkt werden.

Hierfür nur ein Beispiel:

Verbindet sich eine Verarbeitung mit einem hohen Risiko für Beschäftigte, müssen Arbeitgeber künftig nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen. Hierzu müssen sie den Standpunkt der betroffenen Personen oder ihrer Vertreter einholen. Damit gibt es hier ein neues Informations- und Beratungsrecht für Betriebsräte, dessen Durchführung und Wirkung umfassend geregelt werden muss.

Mit Blick auf derartige neue Möglichkeiten gilt es deshalb, Ruhe zu bewahren und abzuwägen, was gut für die Beschäftigten und ihre Vertretungen ist.

© bund-verlag.de (ls)