Seit nunmehr fast einem Jahr sind die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Seit dem klaren sich die bestehende Unsicherheiten langsam aber sicher auf und anfänglich panischer Aktionismus oder stoische Ignoranz ob der neuen datenschutzrechtlichen Regelungen pendeln sich nach und nach auf das von den Rechtsnormen und Aufsichtsbehörden geforderte Maß an Datenschutzkonformität ein. Befürchtete Abmahnwellen sind ausgeblieben und auch das Schreckgespenst „Bußgeld“ ist bisher nicht so häufig erschienen, wie erwartet. Dennoch ist auch noch heute Vieles ungeklärt, unbekannt, wird falsch verstanden oder wurde schlicht noch nicht entdeckt – dies gilt insbesondere auch bei dem Umgang mit Arbeitnehmerdaten. Eine Auswahl:
Bußgelder: Ende der Schonzeit?
Die Sanktionierungsmöglichkeit datenschutzrechtlicher Verstöße wurde aufgrund des enormen Bußgeldrahmens schon vor Inkrafttreten der DSGVO zum Teil gefürchtet und war daher einer der Haupttreiber, dass Unternehmen die rechtliche Überprüfung ihrer Datenverarbeitungsprozesse angestoßen haben. Bis heute bahnen sich regelmäßig Meldungen über die Verhängung von Bußgeldern wegen Verstößen gegen die DSGVO ihren Weg bis in die Tagespresse. Für diejenigen, die die Höhe der Bußgelder als einen Wettbewerb unter den europäischen Aufsichtsbehörden verstehen: aktueller Spitzenreiter ist derzeit die französische Datenschutzbehörde CNIL mit 50 Millionen Euro, mit einem gegen Google verhängten Bußgeld.
Die deutschen Datenschutzbehörden sind bis dato noch deutlich zurückhaltender und honorieren bei der Bemessung des Bußgeldes u.a. die Kooperationsbereitschaft der „Datenschutzsünder“. Diese bisherige Zurückhaltung sollte von den datenverarbeitenden Arbeitgebern jedoch nicht als Aufforderung verstanden werden, es mit dem Datenschutz nicht so genau zu nehmen. Nach einer Ankündigung der deutschen Datenschutzbehörden wird es aufgrund der gestiegenen Anzahl an Beschwerden auch zu vermehrten Kontrollen und Bußgeldverfahren kommen – auch die Bußgelder werden in der Regel deutlich höher ausfallen. Die Schonzeit dürfte also vorbei sein!
Compliance als Mittel der Bußgeldvermeidung
Bußgelder lassen sich am besten durch Einhaltung aller datenschutzrechtlichen Normen vermeiden. Freilich eine wenig überraschende Erkenntnis. Wie gut die geforderte Datenschutzkonformität gelingt, hängt im Wesentlichen davon ab, ob und inwieweit unternehmensinterne Prozesse den Anforderungen des neuen Datenschutzrechts entsprechen. Auch die Verarbeitung von Arbeitnehmerdaten ist wie jede andere Datenverarbeitung auch nur dann rechtmäßig, wenn sie durch einen Erlaubnistatbestand gestattet ist. Glücklicherweise hält der deutsche Gesetzgeber mit § 26 BDSG einen sehr weitgehenden Erlaubnistatbestand bereit. Hiernach gilt grundsätzlich: soweit für die Durchführung des Arbeitsverhältnisses erforderlich, ist die Verarbeitung von Arbeitnehmerdaten auch zulässig. Wo genau die Grenze der Erforderlichkeit endet ist – wie so oft – eine Frage des Einzelfalls. Die übliche Datenverarbeitung im Rahmen eines Arbeitsverhältnisses fällt jedoch regelmäßig darunter. Doch Vorsicht ist in diesem Zusammenhang u. a. bei der einfach anmutenden Übung der Arbeitsvertragsgestaltung geboten.
Gestaltung von Arbeitsverträgen
In den von Arbeitgebern verwendeten Musterarbeitsverträgen finden sich immer wieder Klauseln, die den Wortlaut von § 26 BDSG mehr oder weniger wiederholen und diesen mit einer Einwilligungserklärung des Arbeitnehmers verknüpfen (Beispiel: „Der Arbeitnehmer ist mit der Verarbeitung seiner personenbezogenen Daten einverstanden, soweit dies für die Durchführung des Arbeitsverhältnisses erforderlich ist“). Diese Einwilligungen genügen regelmäßig nicht den formellen Anforderungen, die die DSGVO für wirksame Einwilligungserklärungen vorsieht. Der findige Gestalter des Musterarbeitsvertrags mag sich bei der Verwendung vorgenannter Klauseln zwar denken: viel hilft viel und bei unwirksamer Einwilligung besteht immer noch die Rückgriffsmöglichkeit auf den gesetzlichen Erlaubnistatbestand.
So einfach ist es aber leider nicht. Seit der Veröffentlichung des Kurzpapiers Nr. 20 der Datenschutzkommission (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, sollte diese weit verbreitete Praxis kritisch hinterfragt werden. Nach den Ausführungen der DSK kann eine unwirksame Einwilligung nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. So weit, so gut – aber die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, ist nach Auffassung der DSK grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a DSGVO) beachten. Jedenfalls sei ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich.
Einwilligungen sollten daher nur in den Fällen bei den Arbeitnehmern eingeholt werden, in denen dies unbedingt mangels einer gesetzlichen Rechtfertigungsgrundlage notwendig ist, selbstverständlich unter Einhaltung der formellen Kriterien. An dieser Stelle sei noch angemerkt, dass eine erteilte Einwilligung jederzeit widerrufen werden kann, sodass sich – sofern ein Betriebsrat vorhanden – ohnehin über die Alternative einer Betriebsvereinbarung Gedanken gemacht werden sollte, die dann die Rechtsgrundlage der Datenverarbeitung bildet.
Datenübertragung innerhalb eines Konzerns
Gerade von US-amerikanischen Konzernmüttern immer wieder mit Unverständnis quittiert: Die kompliziert anmutenden Gestaltungszwänge im Zusammenhang mit der Übertragung von Arbeitnehmerdaten zwischen verschiedenen Konzerngesellschaften innerhalb der EU, aber auch insbesondere in das nichteuropäische Ausland. Zwar kennen die Erwägungsgründe der DSGVO das sog. kleine Konzernprivileg, welches jedoch ausschließlich als Auslegungshilfe taugt und im Rahmen von bestehenden Erlaubnistatbeständen die Begründung der Erforderlichkeit der Datenübertragung zwischen Konzerngesellschaften erleichtert.
Unabhängig davon sind regelmäßig Auftragsdatenverarbeitungen oder die Datenübertragung in das nichteuropäische Ausland rechtlich korrekt und unter Verwendung insbesondere formal hinreichender Verträge zwischen einzelnen Konzernunternehmen abzubilden. Auch ein Jahr nach Inkrafttreten der DSGVO treten immer noch erstaunlich viele Verträge und auch Vertragsmuster zutage, die diese Anforderungen nicht erfüllen. Auch werden im täglichen Business etablierte „Datenströme“ zwischen Konzernunternehmen entdeckt, die gänzlich ohne Rechtfertigungsgrundlage und damit unter Verstoß gegen das geltende Datenschutzrecht fließen.
Dies alles sind Fehler, die zur Verhängung eins Bußgelds führen können, allerdings auch leicht zu vermeidende Fehler. Gerade deshalb empfiehlt sich ein stetiges konzerninternes Screening von Datenübertragungen zwischen den verschiedenen Unternehmen und die damit einhergehenden Prüfung der diese rechtfertigenden Grundlagen.
Transparenz als Grundpfeiler der DSGVO
Auch wenn zu viel Information gerade auch das Gegenteil von Transparenz zur Folge haben kann, hat die DSGVO neben dem enormen Bußgeldrahmen insbesondere die Transparenz als einen ihrer Grundpfeiler für sich entdeckt. Die Verantwortlichen haben entsprechend eines von der DSGVO vorgegebenen Katalogs die Betroffenen in Bezug auf die Datenverarbeitung umfangreich zu informieren. Die arbeitsrechtliche Praxis hat hierauf vielfach mit einem „Beipackzettel“ zum Arbeitsvertrag reagiert, der – so hat sich gezeigt – mal mehr und mal weniger den Vorgaben der DSGVO entspricht.
Selbst richtige „Beipackzettel“ sind laufend zu aktualisieren, wenn sich aufgrund von Reorganisationen oder die Einführung von neuen Arbeitsmethoden oder schlicht dem Wechsel des Datenschutzbeauftragten entsprechend zu erteilende Informationen ändern. Im Ergebnis eine Fleißarbeit, die von Arbeitgebern zu leisten ist und auch geleistet werden sollte, denn der DSGVO ist die Transparenz so wichtig, dass auch ein Verstoß gegen die Transparenzvorschriften bußgeldbewährt ist, wenn auch mit einem kleineren Bußgeldrahmen.
Ausblick: Es gibt immer was zu tun!
Seit Inkrafttreten der DSGVO haben Arbeitgeber vieles im Hinblick auf den Arbeitnehmerdatenschutz getan. Es wurden Prozesse angepasst, Vertragsmuster neu gestaltet, Betriebsvereinbarungen neu vereinbart und „Beipackzettel“ verfasst. Zeit zum Ausruhen besteht jedoch immer noch nicht. Damit das Schreckgespenst „Bußgeld“ möglichst wenig Schaden anrichtet, sollten sämtliche Datenverarbeitungen laufend im Auge behalten und neue oder geänderte Prozesse stets kritisch auf datenschutzrechtliche Relevanz untersucht werden. Gerade die Fehler bei der Gestaltung von Verträgen oder die fehlerhafte Information der von der Datenverarbeitung betroffenen Arbeitnehmer lassen sich hierdurch vermeiden und sind – sollte sich die Ankündigung höherer Bußgelder bewahrheiten – eine einfache Möglichkeit die Unternehmensbilanz nicht unnötig zu belasten.