Was Betriebsräte zur neuen EU-Datenschutzverordnung wissen müssen

Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) zeitgleich mit dem neu überarbeiteten Bundesdatenschutzgesetz (BDSG) in Kraft. Dadurch werden sowohl der Betriebsrat als auch Unternehmen gefordert sich auf die neue Ordnung einzustellen und schon unbedingt vor der endgültigen Änderung Vorkehrungen zu ergreifen.

Ohne rechtliche Grundlage darf ein Unternehmen keine personenbezogenen Daten seiner Mitarbeiter verarbeiten. Beschäftigtendaten dürfen also nur durch gesetzliche Ermächtigung gesammelt werden. Daran wird sich in Zukunft auch erst einmal nicht viel ändern.Das Unternehmen kann sich nur unter Berufung auf eine Gesetzesklausel oder durch die Einwilligung des Beschäftigten Rechte an der Verarbeitung seiner Daten sichern. Denkbar wäre allerdings auch eine etwaige Betriebsvereinbarung mit dem Betriebsrat, die eine Verarbeitung erlaubt.

Meistens versuchen Unternehmen es über die Einwilligung der Angestellten. Diese fühlen sich häufig unter Druck gesetzt oder wissen überhaupt nicht was eine Überwachung zur Folge haben kann. Leider war dies in der Vergangenheit tatsächlich leicht möglich. Erst mit dem neuen DSGVO erhält der Betriebsrat den Anspruch, prüfen zu dürfen, ob eine solche Einwilligung freiwillig und im besten Wissen gegeben wurde. Dabei ist nach der Neuregelung des § 26 Abs.2 BDSG sowohl das Abhängigkeitsverhältnis des Beschäftigten zuprüfen, als auch die Frage, welchen Vorteil die Einwilligung für die Kollegen hat. Der Betriebsrat muss seiner Überwachungsfunktion aus § 80 BetrVG hier unbedingt nachkommen und jeden Zweifel an der Freiwilligkeit zur Einwilligung der persönlichen Daten ernst nehmen. Dabei sollte er immer auf die Transparenz verweisen: eine Betriebsvereinbarung muss in verständlicher Weise darüber aufklären können, welche Beschäftigtendaten zu welchen Zwecken verwendet werden, damit ein solches Sammeln der Daten überhaupt genehmigt werden kann.

Beim Aufsetzen der Betriebsvereinbarung muss darauf geachtet werden, alle Möglichkeiten, die die Informationstechnologie bietet zu berücksichtigen. In Art. 4 DSGVO wird dazu eine Vielzahl von Begriffen definiert, die für eine Betriebsvereinbarung relevant sein können. In vielen Fällen dürfte die jetzige Datenverarbeitung schon bald nicht mehr rechtlich legitimiert werden können.

Bisher haben Arbeitgeber ihre Pflichten gerne unter den Tisch gekehrt, doch in Zukunft müssen sie mit hohen Busgeldern rechnen, falls sie keine wirksamen Vereinbarungen für die Datenverarbeitung vorlegen können. Die Haftungsregelungen in Art. 82, 83 DSGVO sehen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist. Sich mit diesem Thema zu befassen dürfte von nun an also sowohl im Interesse des Betriebsrates als auch des Arbeitgebers sein.

Rechtsanwalt Dr. Maubach steht nach telefonischer Kontaktaufnahme für eine Erstberatung als kompetenter Ansprechpartner gerne zur Verfügung.