AKTUELL: Besonderheiten im Umgang mit Beschäftigten- / Arbeitnehmerdaten gem. DSGVO und BDSG-neu (Teil II)

(Berlin)

15. Februar 2018

Im zweiten Teil unseres Spezialbeitrags zum Umgang mit Beschäftigten- / Arbeitnehmerdaten im Rahmen der anstehenden Neuerung beim Datenschutz, geht es diesbezüglich um den Umgang mit bestehenden Betriebs- oder Dienstvereinbarungen, Informationspflichten des Arbeitgebers aber auch Auskunftsrechte des Arbeitnehmers.

 

4. Können meine bisherigen Betriebs- oder Dienstvereinbarungen (kollektivrechtliche Regelungen) als Rechtsgrundlage zur Verarbeitung von Beschäftigtendaten dienen?

Auch bislang ist schon angenommen worden, dass kollektivrechtliche Regelungen eine Rechtsgrundlage für die Verarbeitung von Beschäftigten/Arbeitnehmerdaten darstellen können. Dies ist nun auch ausdrücklich in § 26 Abs. 4 BDSG-neu geregelt, wonach die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten, für Zwecke des Beschäftigungs-verhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist. Ein Problem stellt allerdings Art. 88 Abs. 2 DSGVO dar, wonach kollektivrechtliche Regelungen angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben sowie die Überwachungssysteme am Arbeitsplatz umfassen müssen.

Unserer Erfahrung entspricht die ganz überwiegende Mehrheit der bisherigen kollektivrechtlichen Regelungen (Betriebsvereinbarung/Dienstvereinbarung/ mitarbeitervertretungsrechtliche Vereinbarungen) nicht dem ab dem 25. Mai 2018 geltenden Maßstab des Art. 88 Abs. 2 DSGVO. Es ist nicht davon auszugehen, dass es hier einen „Bestandsschutz“ nach bisherigem Recht geben wird.

Dies stellt ein Problem dar, welches im Zuge der Vorbereitungen auf die Umsetzung der DSGVO und des neuen Bundesdatenschutzrechts häufig von den Compliance-Abteilungen der Unternehmen übersehen wird. Denn dies stellt eine kollektivrechtliche Schnittstelle dar, die im Wesentlichen in den Verantwortungsbereich der Personalabteilungen/HR- Departments fällt.

Hier gilt es also, die Zeit bis zum 25. Mai 2018 zu nutzen, um unter Umständen bestehende Compliance-Lücken zeitnah gemeinsam mit den Arbeitnehmervertretungen zu schließen und eventuelle Bußgeldverfahren zu vermeiden. Es ist daher dringend zu empfehlen, bestehende Betriebsvereinbarungen/Dienstvereinbarungen oder mitarbeitervertretungsrechtliche Vereinbarungen am Maßstab des Art. 88 Abs. 2 DSGVO zu überprüfen und zugleich gerade im Hinblick auf die Anwendung von im Betrieb genutzten Informations- und Telekommunikationssystemen auch möglicherweise existierende mitbestimmungspflichtige Lücken zu schließen.

 

5. Treffen mich gegenüber Beschäftigten/ Arbeitnehmern eigentlich Informationspflichten im Hinblick auf die Verarbeitung von Beschäftigtendaten?

Allerdings. So normiert beispielsweise Art. 13 DSGVO, dass im Falle der Erhebung personenbezogener Daten, der Verantwortliche (hier der Arbeitgeber) der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten einige Informationen mitzuteilen hat. Hierzu gehören u.a. der Name und die Kontaktdaten des Verantwortlichen, ggf. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung, die Dauer der Datenspeicherung und auch Hinweise zu Betroffenenrechten. Hierbei gilt es, die Informationen in einfacher und verständlicher Weise bereit zu halten und die Übermittlung der gesetzlich geforderten Informationen auch ausreichend zu dokumentieren. Es empfiehlt sich also dringend, im Zuge der Eingehung und Durchführung von Arbeitsverhältnissen entsprechende Informationsblätter bereit zu halten, die inhaltlich den Anforderungen des Art. 13 DSGVO entsprechen.

 

6. Stehen Beschäftigten/Arbeitnehmern Auskunftsrechte im Hinblick auf die in unserem Unternehmen verarbeiteten Beschäftigtendaten zu?

Auch dies ist der Fall. Art. 15 DSGVO schreibt vor, dass der Beschäftigte das Recht hat, von dem Verantwortlichen (hier vom Arbeitgeber) eine Bestätigung darüber zu erlangen, ob über ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat die Person ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 a) bis h) DSGVO aufgezählten Informationen. Der Beschäftigte/ Arbeitnehmer hat die Möglichkeit, zu verlangen, dass ihm die über ihn gespeicherten Daten in einem gängigen elektronischen Format zur Verfügung gestellt oder einem neuen Arbeitgeber übermittelt werden. Sie sollten in der Lage sein, dem Beschäftigten die notwendigen Informationen innerhalb von 2 Wochen zu übermitteln.

Zu den Rechten der Beschäftigten gehört es darüber hinaus auch, dass sie in Bezug auf Daten über ihre Person, deren Verarbeitungszweck nicht mehr vorliegt, verlangen können, dass diese Daten unverzüglich gelöscht werden. Arbeitgeber sind daher gut beraten, im Zusammenhang mit der Umsetzung der Geltendmachung von Betroffenenrechten gem. Art. 15 DSGVO bis spätestens 25. Mai 2018 ein geeignetes und leicht handhabbares Konzept zu erstellen, um die sich aus dem Gesetz ergebenden Betroffenenrechte ohne Verzug erfüllen zu können. Nur so kann eine sehr intensive Einzelevaluierung von etwaigen datenschutzrechtlichen Anträgen Betroffener vermieden werden

 

(Teil 3 erscheint am 19. Februar 2018)

Hendrik Muschal  (Berlin)

Hendrik Muschal ist Fachanwalt für Arbeitsrecht und Managing Partner des Berliner Büros von Ogletree Deakins. Als anerkannter und erfahrener Experte berät er bundesweit zahlreiche deutsche und internationale Mandanten verschiedenster Industrien in den Bereichen des Individualarbeitsrechts, des Betriebsverfassungsrechts, des Personalvertretungsrechts-sowie im arbeitsrechtsbezogenen Strafrecht.

Ein Schwerpunkt seiner Beratungstätigkeit liegt zum einen im Bereich der innovativen  Personalkostenoptimierung. Zum anderen begleitet Hendrik Muschal Mandanten in der öffentlichen Verwaltung, insbesondere  bei der Stellenanpassung (Behandlung von Überhangdienstposten),  der Reorganisation, Tarifwechselmodellen (insbes. Beteiligungsgesellschaften) sowie bei der tariflichen Eingruppierung etc.

Als Experte für Datenschutzrecht ist Hendrik Muschal Co-Chair der Ogletree Deakins Data Privacy Praxisgruppe und unterstützt Unternehmen bei nationalen und internationalen datenschutzrechtlichen Problemstellungen.

Als Fachanwalt widmet sich Hendrik Muschal auch der arbeitsrechtlichen Beratung im Rahmen internationaler Investitionsaktivitäten und grenzüberschreitender Transaktionen sowie im Bereich des globalen HR Management.

Vor seiner Tätigkeit bei Ogletree Deakins war Hendrik Muschal Partner bei der internationalen Wirtschaftskanzlei Beiten Burkhardt und Partner sowie Co-Chair der globalen Praxisgruppe Arbeitsrecht bei Dentons (vormals Salans LLP).

Hendrik Muschal spricht verhandlungssicher Englisch.