Fünf Jahre Datenschutzgrundverordnung
Fünf Jahre Datenschutzgrundverordnung
Entwicklung und Tätigkeit von Unternehmen. Die europäische Datenschutzgrundverordnung (nachfolgend: DSGVO) feierte im Mai dieses Jahres ihren fünften Geburtstag. Das bietet Gelegenheit für eine Übersicht aktueller Entwicklungen im Beschäftigtendatenschutz.
Überblick
Seit dem 25. Mai 2018 ist die DSGVO in Kraft und gilt unmittelbar in den Mitgliedstaaten der Europäischen Union. Sie gewährleistet unter anderem einheitliche Regelungen und Standards für den Schutz personenbezogener Daten in Unternehmen. Die DSGVO legt eigenständig Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten im Arbeitsverhältnis fest, insbesondere in der zentralen Bestimmung des Artikels 6 DSGVO. Darüber hinaus besteht Raum für nationale Rechtsvorschriften der Mitgliedstaaten oder kollektive Vereinbarungen im Beschäftigtenkontext, sofern diese einen spezifischeren Schutz sicherstellen.
Im Gegensatz zu der EU-Verordnung ist das Bundesdatenschutzgesetz (nachfolgend: BDSG) nur in Deutschland anzuwenden. Die dort festgehaltenen Regelungen umfassen die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten. Dies gilt für öffentliche und nicht öffentliche Stellen. Zudem umfasst das BDSG auch Regelungen des Datenschutzes für Arbeitsverträge.
Arbeitgeber haben verschiedene Pflichten zu beachten. Dies betrifft Vorgänge der Datenverarbeitung direkt. Außerdem muss unter Umständen gemäß § 38 BDSG ein Datenschutzbeauftragter bestellt werden. Das ist etwa der Fall, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind.
Auch die Informationspflicht gegenüber Beschäftigten ist wichtig. Zu den Informationen gehören die Kundgabe der Rechtsgrundlage, Zweck und Dauer der Datenverarbeitung sowie Aufklärung über den Datenempfänger, Datenschutzbeauftragten, die Beschwerderechte und die Möglichkeit des Widerrufs der Einwilligung (Artikel 13 DSGVO). Um der Rechenschaftspflicht nachzukommen, muss der Arbeitgeber die Verarbeitungstätigkeiten in einem Verzeichnis festhalten (Artikel 30 DSGVO). Zudem besteht eine Meldepflicht bei der Aufsichtsbehörde, sofern eine Verletzung der Datenverarbeitung auftritt, wobei auch unverzüglich die betroffene Person benachrichtigt werden muss (Artikel 33, 34 DSGVO).
Aktuelle Entwicklungen
Sowohl die Richter in Luxemburg als auch in Erfurt haben in diesem Jahr wichtige Entscheidungen getroffen. Drei Urteile sind besonders interessant.
EuGH-Urteil vom 30. März 2023 – C-34/21
Der EuGH hat im Frühjahr zunächst festgestellt, dass § 26 Abs. 1 Satz 1 BDSG als wesentliche Rechtsgrundlage des Beschäftigtendatenschutzes nicht mehr anwendbar ist. Die Mitgliedstaaten können zwar gemäß Artikel 88 Abs. 1 DSGVO spezifischere und angemessene Vorschriften im Verhältnis zur DSGVO durch Gesetz oder Kollektivvereinbarung zulassen. Allerdings ist eine bloße Wiederholung der Regelungen der DSGVO nicht möglich. Es gilt das unionsrechtliche Verbot wiederholender Regelungen, damit die Kompetenz des EuGH bzgl. der Auslegung des Unionsrechts nicht untergraben wird. Das bedeutet, § 26 Abs. 1 Satz 1 BDSG als nur wiederholende Regelung bezüglich der Datenverarbeitung von Beschäftigtendaten ist nicht mehr anwendbar.
Für die Praxis ist zu beachten, dass interne Dokumente, die auf die Rechtsgrundlage des § 26 Abs. 1 Satz 1 BDSG verweisen, anzupassen sind. Hier sind die Normen der DSGVO anzuführen, andernfalls läuft der Verweis ins Leere. Auch die Rechtsprechung des BAG zu § 26 Abs. 1 Satz 1 BDSG kann nicht ohne Weiteres in etwaigen Streitfällen übertragen, sondern muss auf Übereinstimmung mit der europäischen Perspektive hin überprüft werden.
Selbstverständlich unterstützen wir Sie in diesem Zusammenhang.
EuGH-Urteil vom 4. Mai 2023 – C-300/21
Die Luxemburger Richter setzten mit einem für Arbeitgeber erfreulichen Urteil nach. Es wurde klargestellt, dass die Geltendmachung eines Schadensersatzanspruches gemäß Artikel 82 DSGVO wegen Verletzung der DSGVO-Vorgaben auch immer einen eingetretenen Schaden voraussetzt. Ein bloßer Verstoß gegen die DSGVO reiche nicht aus, denn Artikel 82 DSGVO sei nicht als Sanktionsnorm ausgestaltet. Allerdings müsse ein geltend gemachter Schaden nicht erheblich sein, um einen Ersatzanspruch zu begründen.
Diese Klarstellung wirkt sich auf den Umgang mit Auskunftsverlangen gemäß Artikel 15 DSGVO aus. Diese werden beschäftigtenseits häufig eingesetzt, um etwaige Abfindungszahlungen in die Höhe zu treiben. Arbeitgeber sollen insoweit lieber mehr zahlen, als sich mit der Geltendmachung eines Schadensersatzanspruches aufgrund der Verletzung des Auskunftsanspruchs der beschäftigten Person auseinandersetzen zu müssen – so die Vorstellung der Beschäftigten.
Insoweit müssen künftig nicht (mehr) gleich alle Alarmglocken angehen, denn es ist nun höchstrichterlich entschieden, dass ein kausaler Schaden bewiesen werden muss. Wer nur pauschale Ausführungen macht, wird diese Voraussetzungen nicht erfüllen und daher keine Drohkulisse mehr aufrechterhalten können.
BAG-Urteil vom 6. Juni 2023 – 9 AZR 382/19
Im Sommer hat das BAG schließlich eine Entscheidung zur Position des Datenschutzbeauftragten getroffen, die insbesondere für Betriebe mit Betriebsrat bedeutsam ist.
Danach kann die Bestellung zum Datenschutzbeauftragten widerrufen werden, wenn unter anderem die erforderliche Zuverlässigkeit nicht (mehr) besteht. Das kann der Fall bei einer möglichen Interessenkollision sein. Diese besteht, wenn die Betriebsratsvorsitz- und die Datenschutzbeauftragung durch dieselbe Person bekleidet werden.
Fazit
Der Beschäftigtendatenschutz bleibt lebendig. Interessant, aber auch herausfordernd ist, dass hier sowohl nationale als auch europäische Regelungen zu beachten sind. Die Anwendungsvorgaben sind mitunter auslegungsbedürftig.
Es lohnt sich, hier immer auf dem aktuellen Stand zu sein. Dies nicht nur, um sich compliant zu verhalten, sondern auch, um nach innen zu signalisieren, dass der Datenschutz im Unternehmen und damit auch die Rechte der Beschäftigten ernst genommen werden. Das kann zur Stärkung der Vertrauensbasis zwischen Geschäftsleitung und Mitarbeitenden führen – ein nicht zu unterschätzender Vorteil im „war for talents“.
Wir behalten für Sie den Überblick und beraten Sie dazu sehr gerne.
Haben Sie Fragen oder weiteren Informationsbedarf?
Autorin
Corina Gräßer, LL. M.
Tel: +49 30 208 88 1410
Dies ist ein Beitrag aus unserem Newsletter „Menschen im Unternehmen“ 2-2023. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.