open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Datenschutz Internationales Arbeitsrecht

    Ein Jahr EU-Datenschutzgrundverordnung – viel Lärm um nichts?

    Print Friendly, PDF & Email

    Seit nunmehr fast einem Jahr sind die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Seit dem klaren sich die bestehende Unsicherheiten langsam aber sicher auf und anfänglich panischer Aktionismus oder stoische Ignoranz ob der neuen datenschutzrechtlichen Regelungen pendeln sich nach und nach auf das von den Rechtsnormen und Aufsichtsbehörden geforderte Maß an Datenschutzkonformität ein. Befürchtete Abmahnwellen sind ausgeblieben und auch das Schreckgespenst „Bußgeld“ ist bisher nicht so häufig erschienen, wie erwartet. Dennoch ist auch noch heute Vieles ungeklärt, unbekannt, wird falsch verstanden oder wurde schlicht noch nicht entdeckt – dies gilt insbesondere auch bei dem Umgang mit Arbeitnehmerdaten. Eine Auswahl:

    Bußgelder: Ende der Schonzeit?

    Die Sanktionierungsmöglichkeit datenschutzrechtlicher Verstöße wurde aufgrund des enormen Bußgeldrahmens schon vor Inkrafttreten der DSGVO zum Teil gefürchtet und war daher einer der Haupttreiber, dass Unternehmen die rechtliche Überprüfung ihrer Datenverarbeitungsprozesse angestoßen haben. Bis heute bahnen sich regelmäßig Meldungen über die Verhängung von Bußgeldern wegen Verstößen gegen die DSGVO ihren Weg bis in die Tagespresse. Für diejenigen, die die Höhe der Bußgelder als einen Wettbewerb unter den europäischen Aufsichtsbehörden verstehen: aktueller Spitzenreiter ist derzeit die französische Datenschutzbehörde CNIL mit 50 Millionen Euro, mit einem gegen Google verhängten Bußgeld.

    Die deutschen Datenschutzbehörden sind bis dato noch deutlich zurückhaltender und honorieren bei der Bemessung des Bußgeldes u.a. die Kooperationsbereitschaft der „Datenschutzsünder“. Diese bisherige Zurückhaltung sollte von den datenverarbeitenden Arbeitgebern jedoch nicht als Aufforderung verstanden werden, es mit dem Datenschutz nicht so genau zu nehmen. Nach einer Ankündigung der deutschen Datenschutzbehörden wird es aufgrund der gestiegenen Anzahl an Beschwerden auch zu vermehrten Kontrollen und Bußgeldverfahren kommen – auch die Bußgelder werden in der Regel deutlich höher ausfallen. Die Schonzeit dürfte also vorbei sein!

    Compliance als Mittel der Bußgeldvermeidung

    Bußgelder lassen sich am besten durch Einhaltung aller datenschutzrechtlichen Normen vermeiden. Freilich eine wenig überraschende Erkenntnis. Wie gut die geforderte Datenschutzkonformität gelingt, hängt im Wesentlichen davon ab, ob und inwieweit unternehmensinterne Prozesse den Anforderungen des neuen Datenschutzrechts entsprechen. Auch die Verarbeitung von Arbeitnehmerdaten ist wie jede andere Datenverarbeitung auch nur dann rechtmäßig, wenn sie durch einen Erlaubnistatbestand gestattet ist. Glücklicherweise hält der deutsche Gesetzgeber mit § 26 BDSG einen sehr weitgehenden Erlaubnistatbestand bereit. Hiernach gilt grundsätzlich: soweit für die Durchführung des Arbeitsverhältnisses erforderlich, ist die Verarbeitung von Arbeitnehmerdaten auch zulässig. Wo genau die Grenze der Erforderlichkeit endet ist – wie so oft – eine Frage des Einzelfalls. Die übliche Datenverarbeitung im Rahmen eines Arbeitsverhältnisses fällt jedoch regelmäßig darunter. Doch Vorsicht ist in diesem Zusammenhang u. a. bei der einfach anmutenden Übung der Arbeitsvertragsgestaltung geboten.

    Gestaltung von Arbeitsverträgen

    In den von Arbeitgebern verwendeten Musterarbeitsverträgen finden sich immer wieder Klauseln, die den Wortlaut von § 26 BDSG mehr oder weniger wiederholen und diesen mit einer Einwilligungserklärung des Arbeitnehmers verknüpfen (Beispiel: „Der Arbeitnehmer ist mit der Verarbeitung seiner personenbezogenen Daten einverstanden, soweit dies für die Durchführung des Arbeitsverhältnisses erforderlich ist“). Diese Einwilligungen genügen regelmäßig nicht den formellen Anforderungen, die die DSGVO für wirksame Einwilligungserklärungen vorsieht. Der findige Gestalter des Musterarbeitsvertrags mag sich bei der Verwendung vorgenannter Klauseln zwar denken: viel hilft viel und bei unwirksamer Einwilligung besteht immer noch die Rückgriffsmöglichkeit auf den gesetzlichen Erlaubnistatbestand.

    So einfach ist es aber leider nicht. Seit der Veröffentlichung des Kurzpapiers Nr. 20 der Datenschutzkommission (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, sollte diese weit verbreitete Praxis kritisch hinterfragt werden. Nach den Ausführungen der DSK kann eine unwirksame Einwilligung nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. So weit, so gut – aber die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, ist nach Auffassung der DSK grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a DSGVO) beachten. Jedenfalls sei ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich.

    Einwilligungen sollten daher nur in den Fällen bei den Arbeitnehmern eingeholt werden, in denen dies unbedingt mangels einer gesetzlichen Rechtfertigungsgrundlage notwendig ist, selbstverständlich unter Einhaltung der formellen Kriterien. An dieser Stelle sei noch angemerkt, dass eine erteilte Einwilligung jederzeit widerrufen werden kann, sodass sich – sofern ein Betriebsrat vorhanden – ohnehin über die Alternative einer Betriebsvereinbarung Gedanken gemacht werden sollte, die dann die Rechtsgrundlage der Datenverarbeitung bildet.

    Datenübertragung innerhalb eines Konzerns

    Gerade von US-amerikanischen Konzernmüttern immer wieder mit Unverständnis quittiert: Die kompliziert anmutenden Gestaltungszwänge im Zusammenhang mit der Übertragung von Arbeitnehmerdaten zwischen verschiedenen Konzerngesellschaften innerhalb der EU, aber auch insbesondere in das nichteuropäische Ausland. Zwar kennen die Erwägungsgründe der DSGVO das sog. kleine Konzernprivileg, welches jedoch ausschließlich als Auslegungshilfe taugt und im Rahmen von bestehenden Erlaubnistatbeständen die Begründung der Erforderlichkeit der Datenübertragung zwischen Konzerngesellschaften erleichtert.

    Unabhängig davon sind regelmäßig Auftragsdatenverarbeitungen oder die Datenübertragung in das nichteuropäische Ausland rechtlich korrekt und unter Verwendung insbesondere formal hinreichender Verträge zwischen einzelnen Konzernunternehmen abzubilden. Auch ein Jahr nach Inkrafttreten der DSGVO treten immer noch erstaunlich viele Verträge und auch Vertragsmuster zutage, die diese Anforderungen nicht erfüllen. Auch werden im täglichen Business etablierte „Datenströme“ zwischen Konzernunternehmen entdeckt, die gänzlich ohne Rechtfertigungsgrundlage und damit unter Verstoß gegen das geltende Datenschutzrecht fließen.

    Dies alles sind Fehler, die zur Verhängung eins Bußgelds führen können, allerdings auch leicht zu vermeidende Fehler. Gerade deshalb empfiehlt sich ein stetiges konzerninternes Screening von Datenübertragungen zwischen den verschiedenen Unternehmen und die damit einhergehenden Prüfung der diese rechtfertigenden Grundlagen.

    Transparenz als Grundpfeiler der DSGVO

    Auch wenn zu viel Information gerade auch das Gegenteil von Transparenz zur Folge haben kann, hat die DSGVO neben dem enormen Bußgeldrahmen insbesondere die Transparenz als einen ihrer Grundpfeiler für sich entdeckt. Die Verantwortlichen haben entsprechend eines von der DSGVO vorgegebenen Katalogs die Betroffenen in Bezug auf die Datenverarbeitung umfangreich zu informieren. Die arbeitsrechtliche Praxis hat hierauf vielfach mit einem „Beipackzettel“ zum Arbeitsvertrag reagiert, der – so hat sich gezeigt – mal mehr und mal weniger den Vorgaben der DSGVO entspricht.

    Selbst richtige „Beipackzettel“ sind laufend zu aktualisieren, wenn sich aufgrund von Reorganisationen oder die Einführung von neuen Arbeitsmethoden oder schlicht dem Wechsel des Datenschutzbeauftragten entsprechend zu erteilende Informationen ändern. Im Ergebnis eine Fleißarbeit, die von Arbeitgebern zu leisten ist und auch geleistet werden sollte, denn der DSGVO ist die Transparenz so wichtig, dass auch ein Verstoß gegen die Transparenzvorschriften bußgeldbewährt ist, wenn auch mit einem kleineren Bußgeldrahmen.

    Ausblick: Es gibt immer was zu tun!

    Seit Inkrafttreten der DSGVO haben Arbeitgeber vieles im Hinblick auf den Arbeitnehmerdatenschutz getan. Es wurden Prozesse angepasst, Vertragsmuster neu gestaltet, Betriebsvereinbarungen neu vereinbart und „Beipackzettel“ verfasst. Zeit zum Ausruhen besteht jedoch immer noch nicht. Damit das Schreckgespenst „Bußgeld“ möglichst wenig Schaden anrichtet, sollten sämtliche Datenverarbeitungen laufend im Auge behalten und neue oder geänderte Prozesse stets kritisch auf datenschutzrechtliche Relevanz untersucht werden. Gerade die Fehler bei der Gestaltung von Verträgen oder die fehlerhafte Information der von der Datenverarbeitung betroffenen Arbeitnehmer lassen sich hierdurch vermeiden und sind – sollte sich die Ankündigung höherer Bußgelder bewahrheiten – eine einfache Möglichkeit die Unternehmensbilanz nicht unnötig zu belasten.

    KLIEMT.Arbeitsrecht



    Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
    Verwandte Beiträge
    Arbeitsrecht 4.0Bewerbung Neueste Beiträge

    Möglichkeiten und Grenzen – vom Fragerecht bis hin zum Pre-Employment-Screening

    Arbeitgeber verwenden oft viel Zeit auf Bewerbungsverfahren, um bei einer Einstellung eine informierte Entscheidung zu treffen und es zu vermeiden, ungeeignete Kandidaten einzustellen, die nach kurzer Zeit kündigen bzw. gekündigt werden. Neben dem klassischen Bewerbungsgespräch nutzen Arbeitgeber oft noch auch modernere Tools und Möglichkeiten der Informationsgewinnung wie E-Recruiting und Backgroundchecks. Dem Interesse des Unternehmens an möglichst umfassenden Informationen über Kandidaten steht das Recht der Bewerber…
    Internationales Arbeitsrecht Neueste Beiträge

    Crossborder dispute rules

    The EU ‘Brussels I-bis’ regulation designates which country’s court has jurisdiction in international situations. It contains specific procedural rules for employment disputes. These are fixed procedural rules, from which employer and employee may deviate only by mutual agreement. An employer may not deliberately circumvent the procedural rules to the detriment of the employee; if it does so, the consequences can be severe. This is demonstrated by a recent ruling by the…
    ESG Internationales Arbeitsrecht Neueste Beiträge

    Update CSDDD: Die europäische Lieferkettenrichtlinie kommt

    Die EU-Mitgliedstaaten haben am 15.03.2024 der Corporate Sustainability Due Diligence Directive (CSDDD) zugestimmt, die Unternehmen verpflichtet, ihre Lieferketten auf nachhaltige Umwelt- und Arbeitspraktiken zu überprüfen. Nachdem die Abstimmung zuletzt mehrfach verschoben wurde, kam doch noch eine Einigung auf den Kompromissvorschlag der belgischen Ratspräsidentschaft zustande, welcher einen reduzierten Anwendungsbereich und eine gestaffelte Umsetzung vorsieht. Um die Richtlinie in nationales Recht umzusetzen, wird Deutschland vermutlich Anpassungen beim…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.