Betriebsräte: Das ändert sich beim Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) sorgt derzeit in vielen Unternehmen für Sorgenfalten. Am 25. Mai 2018 sind in allen EU-Mitgliedsstaaten neue Datenschutzregelungen in Kraft getreten, die für ein gleichmäßiges, hohes Schutzniveau sorgen sollen. In Deutschland werden diese durch ein neues Bundesdatenschutzgesetz (BDSG) ergänzt. Nicht nur für die Arbeitgeber, sondern auch für Betriebsräte ist es zwingend notwendig, sich – falls noch nicht geschehen – schnell mit den Neuerungen vertraut zu machen und entsprechend zu handeln.

Rahmenbetriebsvereinbarung als Basis

Die DSGVO (Art. 88 Abs. 1) sieht vor, dass der Beschäftigtendatenschutz künftig auch durch Kollektivvereinbarungen – also Betriebsvereinbarungen und Tarifverträge – ausgestaltet werden kann. Aufgrund der knappen Zeit empfehlen Experten zunächst den Abschluss einer Rahmenbetriebsvereinbarung (Verfahrensvereinbarung) zur Umsetzung der Datenschutzgrundsätze von DSGVO und BDSG. Darin sollten die notwendigen Schritte präzisiert und Leitlinien für den Umgang mit Mitarbeiterdaten geschaffen werden.  Auf Basis dieser Grundlage können bestehende Betriebsvereinbarungen später deutlich einfacher überarbeitet werden.

Hohe Anforderungen an die Transparenz

Nach der neuen Gesetzeslage müssen in Betriebsvereinbarungen künftig diverse Punkte zum Datenschutz zwingend berücksichtigt werden. Vorgeschrieben sind „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“. Ausdrücklich genannt wird zudem die Transparenz der Datenverarbeitung. Beschäftigtendaten dürfen nur so wenig wie nötig verarbeitet und auch nur für vorher festgelegte Zwecke erhoben werden. Dass der vorgeschriebene Umgang mit personenbezogenen Daten eingehalten wird, müssen die Verantwortlichen im Rahmen der Rechenschaftspflicht nachweisen. Konkretisierende Regelungen zur Kontrolle der Rechenschaftspflicht durch den Betriebsrat sollten in einer Betriebsvereinbarung thematisiert werden.

Gefahr von unwirksamen Betriebsvereinbarungen

Grundsätzlich notwendig ist die Anpassung aller bisherigen Betriebsvereinbarungen, die sich mit dem Umgang von personenbezogenen Daten beschäftigen und somit eine Datenschutzrelevanz haben. Dazu gehören zum Beispiel Bereiche wie Videoüberwachung, Nutzung von E-Mails und Internet, die konzerninterne Übermittlung von Beschäftigtendaten im Konzern oder die elektronische Personalakte. Auch IT-Betriebsvereinbarungen sollten in der Regel entsprechend angepasst werden. Schnelles Handeln ist dabei alternativlos, denn alle bestehenden Betriebsvereinbarungen, die den Anforderungen der neuen Datenschutzregelungen nicht entsprechen, werden ab dem 25. Mai unwirksam beziehungsweise unanwendbar.

Betriebsrat sollte Sachverständige hinzuziehen

Aufgrund der Komplexität der Thematik und der Bedeutung für die Beschäftigten ist es für Betriebsräte grundsätzlich ratsam, nach § 80 Abs. 3 BetrVG Sachverständige hinzuzuziehen. Dadurch wird sichergestellt, dass die Gespräche mit dem Arbeitgeber auf Augenhöhe verlaufen können und das von der DSGVO verlangte Datenschutzniveau nicht unterschritten wird. Für Betriebsräte bieten die neuen Regelungen eine große Chance, das Thema Datenschutz im Unternehmen zu stärken und die Beschäftigten dafür zu sensibilisieren. Durch rechtzeitige Initiative kann zudem verhindert werden, dass der Arbeitgeber die Rechtslage, die einigen Ermessensspielraum zulässt, ausschließlich im Interesse des Unternehmens interpretiert.

Bei Nichtbeachtung drohen drastische Strafen

Auch die Arbeitgeber sollten großes Interesse an einer einvernehmlichen Umsetzung der neuen Regelungen haben, denn die DSGVO sieht deutlich schärfere Sanktionen bei Verstößen vor. Im Extremfall können künftig Bußgelder in Höhe von bis zu vier Prozent des weltweiten Vorjahresumsatzes verhängt werden. Bislang waren die Strafen durch das bisherige Bundesdatenschutzgesetz auf gerade einmal 300.000 Euro begrenzt. Auch die Bußgeldrisiken für verantwortliche Manager oder Datenschutzbeauftragte steigen deutlich an. Diese enormen Haftungsrisiken auf Arbeitgeberseite können Betriebsräte dazu nutzen, um ein möglichst hohes Datenschutzniveau im Sinne der Beschäftigten durchzusetzen.