Der Arbeitnehmerdatenschutz war bei vielen Unternehmen nicht selten jahrelang nicht mit der höchsten Prioritätsstufe versehen, obgleich 2018 die Datenschutz-Grundverordnung (DS-GVO) in Kraft trat, die in Art. 83 Bußgelder für Unternehmen in empfindlicher Höhe vorsieht.
Wichtig ist zu beachten, dass nicht nur Verstöße im Umgang mit Kundendaten, sondern auch im Zusammenhang mit Daten von Beschäftigten sanktioniert werden. In letzter Zeit gelangt das Thema Arbeitnehmerdatenschutz vermehrt auf die Agenda der Geschäftsleitung, da Belegschaftsvertretungen ihre Mitbestimmungsrechte verstärkt geltend machen.
Datenschutz und HR-IT-Systeme
Ein weiterer Treiber ist z.B. das Bedürfnis nach der Einführung und Anwendung von zeitgemäßen HR-IT-Systemen. Schon vor der technischen Einführung von HR-IT-Systemen werden regelmäßig Beschäftigtendaten genutzt, um die Software mit Echtdaten zu testen. Bereits in diesem frühen Stadium, das meist in mehrere Teststufen unterteilt ist, muss sich die Geschäftsleitung mit der DS-GVO-Konformität sowie den Rechten des Betriebsrates auseinandersetzen.
Erfahrene Berater von Betriebsräten können an dieser Stelle maximalen Druck auf die Geschäftsführung auslösen: Möchte letztere nämlich komplexe IT-Strukturen anwenden, kann der Betriebsrat seine Zustimmung so lange verweigern, bis ihm ein schlüssiges Datenschutzkonzept vorgelegt wird, aus dem sich die effektive Sicherung der Persönlichkeitsrechte der Mitarbeitenden ergibt. Ohne Zustimmung des Betriebsrats kann dieser die Unterlassung der Anwendung entsprechender IT-Systeme verlangen und dies gerichtlich durchsetzen.
Rechte gelten auch für Zukäufe
Damit müssen Organe handeln. Besondere Vorsicht ist dabei bei Unternehmenskäufen und -beteiligungen geboten, da Geschäftsführer:innen und Vorstände z.B. mit dem Erwerb von Betrieben/Betriebsteilen, die nicht über hinreichende Datenschutzkonzepte verfügen, ihre persönliche Haftungspotenziale ausweiten können.
Die Grundlage zur Problemlösung liegt im Aufbau einer Data-Governance, die Prozesse, Verantwortlichkeiten und Rollenkonzepte nachvollziehbar festschreibt und Compliance-Vorgaben und ihre Strukturen verbindlich festlegt.
Was ist zu tun?
Persönliche Risiken der Organhaftung können minimiert werden, indem Strukturen zur Pflichtendelegation und damit Haftungsexkulpationen geschaffen werden. Bei Unternehmenstransaktionen ist eine Beschäftigtendatenschutz-Due-Diligence unerlässlich. Datenschutzkonzepte müssen zudem laufend überarbeitet werden.
Mitbestimmungsrechte erfordern den Abschluss von Rahmen- und Modulbetriebsvereinbarungen, die mit dem Datenschutzkonzept abgestimmt sein müssen. Daher sollten Organe Expertenteams beauftragen, die ganzheitlich und interdisziplinär besetzt sind und neben dem komplexen Datenschutzrecht auch kollektiv-arbeitsrechtliche Themen und Fragen der Organhaftung beherrschen. (hp)
