Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat: welche Änderungen erwarten sie nach der DSGVO?

Die Datenschutz-Grundverordnung ist am 25.05.2016 in Kraft getreten und wird ab dem 25.05.2018 EU-weit gelten. Dabei ensteht die Frage, was für einen Einfluss sie auf die bisher anwendbaren Gesetzen der Mitgliedstaaten haben wird. In Deutschland richtet sich dies besonders an den Datenschutzbeauftragten, die Aufsichtsbehörden und den Betriebsrat und ihre Rolle für den Schutz von Beschäftigtendaten.

Der betriebliche Datenschutzbeauftragte

Die Kriterien zur Einsetzung eines betrieblichen Datenschutzbeauftragten sind bis jetzt von § 4f BDSG bestimmt. Gemäß dieser Vorsschrift ist es obligatorisch, einen betrieblichen Datenschutzbeauftragten einzusetzen, wenn mehr als neun Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind oder Verarbeitungen vorliegen, die einer Vorabkontrolle unterliegen. Diese Situation ändert sich maßgeblich mit der Einführung der DSGVO, die mit Art. 37 Abs. 1 lit. b den Einsatz eines betrieblichen Datenschutzbeauftragten dann verlangt, wenn das Unternehmen im Hinblick auf die Datenverarbeitung solche Kernaktivitäten verfolgt, die „eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ erfordern.

Nach den bisherigen Regelungen im deutschen Recht genießt der betriebliche Datenschutzbeauftragte eine erhebliche Unabhängigkeit und erfüllt eine Compliance-Funktion im Interesse des Unternehmens. Durch die DSGVO wird der betriebliche Datenschutzbeauftrage ein wichtiger Ansprechpartenr für die Fragen und Probleme der Arbeitnehmer, eine Rolle, die ihm deutlich schon unter dem BDSG zugewiesen wurde. Von hohem Stellenwert bei der Erfüllung der Unternehmensinteressen ist es, dass der betriebliche Datenschutzbeauftragte sowohl die Unternehmensleitung als auch die Arbeitnehmer in einer nicht konfliktauslösenden Weise berät. Dazu gilt aber auch die Tatsache, dass die Verstöße des Unternehmens gegen die Verordnung nicht als Teil der Unternehmensinteresse betrachtet werden.

Auch die DSGVO sieht für die Bewahrung der Unabhängigkeit des betrieblichen Datenschutzbeauftragten einen Schutzmechanismus gemäß Art. 38 Abs. 3 vor – er darf keine Anweisungen in Bezug auf seine Aufgaben bekommen und er darf nicht wegen der Erfüllung dieser Aufgaben abberufen oder benachteiligt werden. Im Vergleich zum BDSG aber existieren keine ausführlichen Regelungen zum Schutz der Unabhängigkeit des betrieblichen Datenschutzbeauftragten.

Art. 39 Abs. 1 lit. b DSGVO schreibt vor, dass der betriebliche Datenschutzbeauftragte nun eine Überwachungsfunktion erfüllen muss, was als eine Ausweitung seiner Zuständigkeiten wahrgenommen werden kann. Diese bezieht sich jetzt auch auf die Strategien des Unternehmens, die Einhaltung der Datenschutzvorschriften und die Durchführung der Datenschutz-Folgenabschätzung. Die Pflicht zur Folgenabschätzung liegt aber nicht bei dem betreiblichen Datenschutzbeauftragten, sondern bei dem Verantwortlichen. Unter der DSGVO entfallen die in § 4d Abs. 6 BDSG bestehenden Verantwortungen in Bezug auf die Vorabkontrolle und die Pflicht zur Konsultation der Aufsichtsbehörden in Zweifelsfällen.

Die DSGVO bietet Mitgliedstaaten die Möglichkeit, die Pflicht zur Einsetzung und die Aufgaben, Rechten und Pflichten des betrieblichen Datenschutzbeauftragten auf nationaler Ebene zu gestalten. Gemäß Art. 37 Abs. 4 DSGVO ist es möglich, die Bestellpflicht in Folge von existierenden nationalen Regelungen zu erweitern, besonders in Bezug auf die Kriterien im § 4f Abs. 1 BDSG. Zusätzlich kann unter deutschem Recht der Schutz der Unabhängigkeit des betrieblichen Datenschutzbeauftragten ausgeweitet werden, sodass er über den Standard der DSGVO hinaus geht. Solche Erwiterungen müssen aber im Einklang mit der Vorschriften der DSGVO sein, insbesondere mit Art. 37 und 39.

Die Aufsichtsbehörden

Für den Beschäftigtendatenschutz spielen die Aufsichtsbehörden auch eine wichtige Rolle, weil sie das Unternehmen überwachen können und die Befugnis haben, bei Rechtsverstöße einzugreifen. Diese Aufgaben und Rechte der Aufsichtsbehörden sind in Art. 57 und 58 DSGVO ausführlich geregelt, aber sie entbehren einer ausreichenden Klarheit und Genauigkeit. Im Vergleich zu den Möglichkeiten für das nationale Recht bei dem betrieblichen Datenschutzbeauftragten gibt es nicht viel Spielraum für Aufsichtsbehörden unter der DSGVO. Infolgedessen kann der Inhalt des § 38 BDSG nur teilweise im neuen Datenschutzsystem behalten werden. Was viel mehr nötig ist, ist eine Konkretisierung der in der Verordnung schon aufgezählten Befugnissen der Aufsichtsbehörden, um eine bessere und effektivere Anwendung der Vorschriften der Verordnung zu sichern.

Der Betriebsrat

Obwohl die Rolle des Betriebsrats beim Beschäftigtendatenschutz nicht in der BDSG enthalten ist, ist er neben dem betrieblichen Datenschutzbeauftragten aktiv in der Lösung von Problemen und Belangen der Beschäftigten involviert. Dieses betrifft sowohl Arbeitnehmer als auch Bewerber und so ist der Betriebsrat fähig, solche Betriebsvereinbarungen abzuschließen, die sich auf datenschutzrechtliche Fragen in der Bewerbungsphase beziehen.

Der Betriebsrat ist nicht nur gem. Datenschutzrecht, sondern auch Betriebsverfassungsrecht verpflichtet, die Einhaltung der Datenschutzvorschriften im Betrieb und im Unternehmen zu gewährleisten (§ 80 Abs. 1 Nr. 1 BetrVG). Weiterhin muss der Betriebsrat die Beschäftigten in ihren Belangen unterstützen, eine Rolle, die schon bei dem betrieblichen Datenschutzbeuaftragten beobachtet wurde. Der Betriebsrat ist nicht ausdrücklich in der DSGVO erwähnt, aber als Folge der Regelung in § 80 Abs. 1 Nr. 1 BetrVG ist schließen, dass er die Einhaltung der Vorschriften der DSGVO überwachen muss. Dies liegt daran, dass das Betriebsverfassungsrech keinen Vorrang vor dem Datenschutztrecht und insbesondere der DSGVO hat.

Die Regeln zum Beschäftigtendatenschutz in Bezug auf den betrieblichen Datenschutzbeauftragten, die Aufsichtsbehörden und den Betriebsrat werden durch die DSGVO ausgeweitet, aber nicht komplett geklärt. Besonders bezieht sich diese Unsicherheit bezüglich auf den Betriebsrat und seine datenschutzrechtliche Sonderstellung. Es besteht noch Bedarf, diese Unklarheiten im Datenschutzrecht durch ein Ausführungsgesetz zur DSGVO oder durch andere Rechtsakte zu konkretisieren.

 
1 Star2 Stars3 Stars4 Stars5 Stars 7 Bewertung(en), durchschnittlich: 4,43 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen