Kein Ausruhen für Personalräte
1. Wann spielt im Arbeitsverhältnis der Datenschutz für Beschäftigte eine Rolle? In welchen Momenten müssen Beschäftigte geschützt werden?
Datenschutz spielt in allen Phasen eines Arbeitsverhältnisses eine Rolle, auch wenn Beschäftigte dies zumeist gar nicht wahrnehmen. Im Bewerbungsverfahren wird durch datenschutzrechtliche Vorgaben beispielsweise das Recht potentieller Arbeitgeber begrenzt, über das Internet oder durch Anfrage bei vorherigen Arbeitgebern ohne Zustimmung von Bewerbern Zusatzinformationen einzuholen. Während der Dauer eines Arbeitsverhältnisses begrenzen datenschutzrechtliche Regelungen die Verarbeitungsbefugnisse von Arbeitgebern auf solche Informationen, die aus objektiver Sicht erforderlich sind. Nach dem Ende von Arbeitsverhältnissen leiten sich aus Datenschutzvorschriften Löschungsverpflichtungen ab.
2. Was sind die für den Beschäftigtendatenschutz wichtigsten Regelungen?
Herausragend wichtig ist die Ausgestaltung des Bundesdatenschutzgesetzes als „Verbotsgesetz mit Erlaubnisnormen“: Gibt es keine gesetzliche Erlaubnisnorm, ist die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten unzulässig. Die notwendige Rechtsgrundlage kann auch durch Dienstvereinbarungen begründet werden oder durch eine individuelle Einwilligung. Die grundlegende datenschutzrechtliche Erlaubnisnorm findet sich in § 32 BDSG. Hiernach dürfen Arbeitgeber nur die personenbezogenen Daten verarbeiten, die für die Durchführung eines Arbeitsverhältnisses erforderlich sind.
3. Ist das Bundesdatenschutzgesetz noch relevant – trotz Europäischer Datenschutzgrundverordnung?
Die Europäische Datenschutzgrundverordnung – kurz „DSGVO“ - tritt erst am 25. Mai 2018 in Kraft. Bis dahin gilt aber das Bundesdatenschutzgesetz uneingeschränkt weiter. Für die Klärung datenschutzrechtlicher Fragen jetzt schon von den im Detail andersartigen Regelungen der DSGVO auszugehen, zieht möglicherweise Regelungslücken oder Rechtsverlusten zu Lasten der Beschäftigten nach sich. Hinzu kommt, dass derzeit nicht bekannt ist, wie der deutsche Gesetzgeber den insbesondere für den Beschäftigtendatenschutz bestehenden Gestaltungsspielraum der neuen DSGVO nutzen wird. Personalräten kann ich deshalb nur raten, in den nächsten zwei Jahren alle aufkommenden datenschutzrechtlichen Fragen und Themen auf der Grundlage des geltenden Bundesdatenschutzgesetzes zu bewertet und zu regeln. Notwendige Anpassungen an das neue Datenschutzrecht können dann ggf. im Jahr 2018 erfolgen. Diese sollten kein Problem darstellen, weil die DSGVO strukturell dem BDSG entspricht. Dieser Rat, sich weiter am geltenden BDSG zu orientieren, gilt gerade auch mit Blick auf Versuche einzelner Arbeitgeber, für sie attraktive Vorschriften der DSGVO heute schon in Dienstvereinbarungen zu verankern.
4. Welche Mitbestimmungsrechte hat der Personalrat, um auf die Einhaltung des Beschäftigtendatenschutzes zu achten?
Personal- und Betriebsräte haben kein direktes „Mitbestimmungsrecht zum Datenschutz“. Im Anwendungsbereich des BPersVG ist es beispielsweise nach § 68 Abs. 1 Nr. 2 BPersVG eine gesetzliche Aufgabe der Personalräte, auf die Einhaltung der zum Schutz von Arbeitnehmern bestehenden Gesetze zu achten. Hierzu gehört auch das BDSG bzw. in den Ländern das jeweilige Landesdatenschutzgesetz. Darüber hinaus können Personalräte bei der Ausübung ihres Mitbestimmungsrechts nach § 75 Abs. 3 Nr. 17 BPersVG verlangen, dass beim Betrieb technischer Einrichtungen alle einschlägigen datenschutzrechtlichen Vorgaben beachtet werden wie beispielsweise eine enge Zweckbindung, die Datenminimierung oder die Einhaltung von Löschungsfristen. Aufgrund der den Betriebsparteien nach § 67 Abs. 1 BPersVG obliegenden Verpflichtung zum Schutz der Persönlichkeitsrechte der Beschäftigten müssen diese Vorgaben bei der Gestaltung von Dienstvereinbarungen ihren Niederschlag finden. Im Ergebnis können Personalräte damit Arbeitnehmer-Datenschutz einfordern und regeln. Gleiches gilt auf Grundlage des BetrVG auch für Betriebsräte.
5. Was sind wichtige datenschutzrechtliche Eckpunkte für eine sinnvolle Dienstvereinbarung?
Personalräte sollten bei Verhandlungen über einschlägige Dienstvereinbarungen darauf achten, dass der gesetzliche Datenschutzstandard durch kollektivrechtliche Regelungen garantiert wird und nicht verschlechtert oder ausgehöhlt. Ausgehend von diesem Grundsatz sollten sie darauf achten, dass Vereinbarungen möglichst abschließende Festlegungen zu den Zwecken der Datenverarbeitung, zu zulässigen Übermittlungen und zu Zweckänderungen enthalten. Wichtig sind beispielsweise auch feste und möglichst kurze Löschungsfristen, die Berücksichtigung des Grundsatzes der Datenminimierung, wirksame Datensicherungsmaßnahmen wie etwa die Möglichkeit der Pseudonymisierung oder Festlegungen zur Auftragsdatenverarbeitung.
Der Interviewpartner:
Dr. Peter Wedde,
Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences, wissenschaftlicher Leiter des Instituts für Datenschutz, Arbeitsrecht und Technologieberatung in Eppstein und wissenschaftlicher Berater der Rechtsanwaltskanzlei steiner, mittländer und fischer in Frankfurt a.M. Unser Lesetipp:
Peter Wedde (Hrsg.)
Handbuch Datenschutz und Mitbestimmung 2016, 417 Seiten, gebunden, 1. Aufl.
ISBN: 978-3-7663-6442-5
Ladenpreis: € 49,90
© bund-verlag.de (ls)
