Das Betriebsrätemodernisierungsgesetz, welches die Betriebsratswahlen und die Betriebsratsarbeit in der digitalen Arbeitswelt fördern möchte, ist am 18. Juni 2021 in Kraft getreten.
Das Gesetz sieht neben einigen anderen Regelungen vor, dass der Arbeitgeber für die Verarbeitung von Beschäftigtendaten durch den Betriebsrat datenschutzrechtlich verantwortlich ist, wenn er die Beschäftigtendaten zur Erfüllung der in seiner Zuständigkeit als Betriebsrat liegenden Aufgaben verarbeitet.
Folglich ist der Datenschutzbeauftragte des Arbeitgebers nun auch für die Datenverarbeitung des Betriebsrats zuständig. Dies war in der Vergangenheit heftig umstritten und eine Zuständigkeit des Datenschutzbeauftragten des Arbeitgebers wurde vor allem seitens der Betriebsräte häufig verneint. Mit dem Betriebsrätemodernisierungsgesetz wurde die Zuständigkeit nun gesetzlich geklärt.
Sensibilisieren Sie dahingehend Ihren Betriebsrat. Der Datenschutzbeauftragte wird dessen Arbeit in Zukunft intensiv kontrollieren müssen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Wie wir bereits in unserem Blogbeitrag Update zum Umgang mit personenbezogenen Daten beim internationalen Datentransfer berichtet haben, hat die Europäische Kommission bereits im November letzten Jahres auf das Schrems II-Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, reagiert und neue EU-Standardvertragsklauseln (SCC) zur öffentlichen Konsultation gegeben.
Am Freitag, den 04.06.2021, hat die Europäische Kommission die neuen EU-Standardvertragsklauseln (SCC) als Garantie im internationalen Datentransfer gemäß Art. 46 Abs. 1 DSGVO nun verabschiedet. Auch die Veröffentlichung im Amtsblatt ist mittlerweile bereits erfolgt.
Doch was bedeutet das nun für Unternehmen, welche mit den bisherigen SCC gearbeitet haben?
Einführung der neuen SCC im Unternehmen
Dem Artikel 4 des Durchführungsbeschlusses der Europäischen Kommission können die nun geltenden Übergangsfristen entnommen werden. Die bisherigen SCC können noch für 3 Monate wie bisher für den Datentransfer in Drittstaaten abgeschlossen werden. Nach dieser ersten genannten Frist müssen bei neuen Verträgen die neuen SCC abgeschlossen werden. Innerhalb einer weiteren Frist von 15 Monate müssen Verträge mit den bisherigen SCC auf die neuen SCC angepasst werden. Bis zum Ablauf dieser zweiten Frist können sich Unternehmen jedoch noch auf die bisherigen SCC in ihren Verträgen als Garantie für den Drittstaattransfer personenbezogener Daten berufen.
Die neuen SCC weisen einen modularen Aufbau vor, um verschiedene Szenarien abzudecken. Auch die Kritik aus dem Schrems II-Urteil des EuGH, dass Behörden auf personenbezogene Daten in den USA zugreifen können, ohne dass betroffene Personen einen adäquaten Rechtsbehelf gegen dieses Vorgehen haben, wurde berücksichtigt. Der Zugriff auf die personenbezogenen Daten durch die örtlichen Behörden wird nun unter Abschnitt III geregelt. Dabei geht man zwar grundsätzlich vertrauensvoll von der Wahrung von Betroffenenrechten aus, vereinbart jedoch zusätzliche Benachrichtigungs- und Überprüfungspflichten für den Fall staatlicher Zugriffsversuche.
Fazit
Unternehmen sollten sich klar machen, welche Verträge von den neuen SCC und der damit verbundenen Übergangsfristen betroffen sind und einen Prozess für die Aktualisierung ausarbeiten. Darüber hinaus ist ein Prozess zu entwickeln, um künftig die neuen SCC bei zukünftigen Verträgen zu nutzen. Zudem sind Mitarbeiter, welche mit den neuen SCC arbeiten, entsprechend auf die neuen Anforderungen zu sensibilisieren.
Laura Piater
Consultant für Datenschutz
Volljuristin
Dem Europäischen Gerichtshof (EuGH) wurde durch das Bundesarbeitsgericht (BAG) die Frage zur Entscheidung vorgelegt, ob der deutsche Sonderkündigungsschutz im Arbeitsrecht für Datenschutzbeauftragte mit der DSGVO vereinbar ist und ob Betriebsratsvorsitzende die Position des betrieblichen Datenschutzbeauftragten bekleiden können, ohne dass hierbei ein Interessenkonflikt besteht.
Im zugrunde liegenden Fall, welchen das BAG zu entscheiden hat, wurde ein zum betrieblichen Datenschutzbeauftragter ernannter Betriebsratsvorsitzender mit dem Hinweis abberufen, beide Ämter gleichzeitig in Personalunion zu betreiben. Dies würde zwingend zu einem mit den Amtspflichten unvereinbaren Interessenkonflikt führen und stelle somit einen wichtigen Grund iSd § 626 BGB zur Kündigung der Tätigkeit als Datenschutzbeauftragter dar.
Das BAG hingegen ist der Auffassung, ein wichtiger Grund für eine Abberufung würde nicht vorliegen. Für die Frage, ob der Datenschutzbeauftragte abberufen werden kann, kommt es jedoch auf die Auslegung der DSGVO als Unionsrecht an, welches durch den EuGH geklärt werden muss.
Im Rahmen eines Vorabentscheidungsverfahrens hat sich der 9. Senat des BAG daher an den EuGH gewandt. Dabei soll zunächst die Frage geklärt werden, ob neben Art. 38 Abs. 3 Satz 2 DSGVO nationale Regelungen wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG anwendbar sind, wenn die Voraussetzungen für eine Abberufung durch das nationale Recht wesentlich verschärft werden.
Entscheidet sich der EuGH für die Anwendbarkeit der nationalen Regelungen gemäß BDSG, so soll weiterhin die Frage geklärt werden, ob die Ausübung der Tätigkeit des betrieblichen Datenschutzbeauftragten neben der Tätigkeit als Betriebsratsvorsitzender zu einem Interessenkonflikt gemäß Art. 38 Abs. 6 Satz 2 DSGVO führt.
Es bleibt abzuwarten, wie der EuGH in dieser Sache entscheidet, da dies auch Auswirkungen auf weitere streitige Themen hat, wie beispielsweise, ob der Betriebsrat ein eigener Verantwortlicher iSd DSGVO darstellt.
Laura Piater
Consultant für Datenschutz
Volljuristin
Werden personenbezogene Daten übermittelt, müssen Verantwortliche geeignete Maßnahmen treffen, um unter anderem die Vertraulichkeit und Integrität dieser Daten sicherzustellen. Im Rahmen der sog. „Transportkontrolle“ ist zu prüfen, ob die eingesetzte Technik einen angemessenen Schutz für die transportierten personenbezogenen Daten bietet. Dabei sind unter anderem die Implementierungskosten von Maßnahmen, Art und Umfang der Datenverarbeitung und die Eintrittswahrscheinlichkeit von Risiken für die betroffenen Personen abzuwägen.
Die Bremer Landesdatenschutzbeauftragte Frau Sommer erklärte Anfang Mai 2021 das Telefax für zu unsicher, um damit personenbezogene Daten zu übermitteln. Das liege am Internet.
Telefaxe werden heute nicht mehr zwingend von Gerät zu Gerät über Telefonleitungen geschickt. Vielmehr erfolge die Übertragung häufig über das Internet.
Es werden in der Regel Systeme genutzt, die Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Adressen innerhalb des Verantwortlichen weiterleiten. Damit hat das Fax nach Aussage von Frau Sommer nur noch das Sicherheitsniveau einer unverschlüsselten E-Mail.
Das bringt weitreichende Konsequenzen mit sich. Telefaxe sind folglich auf keinen Fall mehr für die Übermittlung von besonderen personenbezogenen Daten im Sinne des Art. 9, Abs. 1 DSGVO geeignet.
Schulen Sie dahingehend vor allem auch Ihre HR-Mitarbeiter.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Einleitung
Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2016 gab es einige bemerkenswerte Versuche, den Datenschutz für unvorhergesehene Zwecke zu instrumentalisieren. Wenn auch bereichsübergreifendes Denken grundsätzlich begrüßenswert ist und Synergieeffekte fördert, so besteht glücklicherweise weitgehend Einigkeit darüber, dass die sogenannte „Datenschutz-Keule“ nicht dazu gedacht ist, Sonderkündigungsrechte in bestehende Vertragsbeziehungen einzuführen oder einander durch missbräuchliche Nutzung von Betroffenenrechten das Leben schwer zu machen.
Datenschutz im Arbeitsverhältnis
Findige Arbeitsrechtler mit Vorliebe für Prozesstaktik haben sich dieser Vorgehensweise ebenfalls bedient und zunehmend die Betroffenenrechte Ihrer Mandanten in arbeitsgerichtliche Auseinandersetzungen eingeführt.
Ohne Frage sind Beschäftigte durch die allgemeinen Vorgaben und Betroffenenrechte der DSGVO geschützt und genießen darüber hinaus auch durch den § 26 Bundesdatenschutzgesetz (BDSG) eine Sonderstellung.
Wenn sich Beschäftigte aber erst im Rahmen einer Auseinandersetzung mit dem Arbeitgeber oder anlässlich der Beendigung ihres Arbeitsverhältnisses einer vermeintlich unzureichenden Datenschutzorganisation des Verantwortlichen oder der eigenen Grundrechtsbeeinträchtigung bewusst werden, ist das zumindest ein angemessen zu würdigender Umstand.
Urteil des BAG vom 27.04.2021 - 2 AZR 342/20
Im vom BAG entschiedenen Fall ging es um eine Kündigung, die bereits nach einmonatiger Probezeit und mit Zustimmung des Betriebsrates ausgesprochen wurde. Der Kläger verlangte Auskunft über die vom Unternehmen zu seiner Person gespeicherten Daten und begehrte zudem eine Kopie des gesamten E-Mail-Verkehrs von ihm sowie aller E-Mails anderer Personen, in denen er erwähnt wird.
Die Revisionsinstanz hatte sich nur noch mit der Frage zu beschäftigten, ob dem Kläger diese Mailkopien zustehen, da die übrigen Klageforderungen bereits vom Arbeitsgericht Hameln und dem LAG Niedersachen abgewiesen wurden.
Hinsichtlich der Mailkopien, bei denen es sich direkt um personenbezogene Daten handelte, haben die Richter den Anspruch des Klägers bestätigt, der sich aus Art. 15 DSGVO herleitet.
Bezüglich der eigenen elektronischen Korrespondenz mit der Firma wurde der Anspruch jedoch abgelehnt, da dieser Schriftwechsel dem Kläger bereits bekannt war. Das deckt sich insoweit auch mit dem Grundgedanken der Art. 13 Abs. 4 und Art 14 Abs. 5 DSGVO, die den Verantwortlichen von seinen Informationspflichten befreien, sofern die betroffene Person bereits über die zutreffenden Informationen verfügt. Will ein Verantwortlicher die Auskunft verweigern, muss er zudem die Ausnahmetatbestände und Dokumentationspflichten des § 34 BDSG berücksichtigen.
Wenn der Kläger darüber hinaus seinen Anspruch auf E-Mails erstrecken möchte, in denen er lediglich in irgendeiner Weise genannt wird, so müsse er diese zumindest insoweit konkretisieren, als dass in einem Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich das Auskunftsverlangen bezieht.
Fazit
In der Sache blieben die Vorgaben der DSGVO und ihre inhaltlichen Grenzen unberührt. Letztlich stützte das Gericht die Entscheidung auf die Unbestimmtheit des Klageantrags und die fehlende Vollstreckungsmöglichkeit nach den Regeln der ZPO.
Dies kann man sowohl als Entwarnung als auch als Herausforderung betrachten. Mit Sicherheit werden in kommenden Verfahren die Klageanträge sorgfältiger und konkreter formuliert, bis dann eines Tages doch der Umfang des Auskunftsanspruches selbst geklärt werden muss.
Stefan Effmert
Volljurist
Berater für Datenschutz