Tim Wybitul: Die EU-Datenschutz-Grundverordnung – hohe Bußgeldrisiken für Unternehmen
Im Juni 2015 verständigte sich der EU-Ministerrat auf eine Fassung der geplanten EU-Datenschutz-Grundverordnung (GVO). Die GVO soll europaweit ein einheitliches hohes Datenschutzniveau schaffen. Die Verordnung zur Neuregelung des Datenschutzes wirkt unmittelbar als nationales Recht. Der genaue Wortlaut steht noch nicht fest, aber bis Ende 2015 wollen sich die Beteiligten auf eine Endfassung verständigen, die Anfang 2016 verabschiedet werden soll. Die GVO hat für Compliance-Abteilungen und die interne Sachverhaltsaufklärung durch Unternehmen gravierende Folgen, etwa bei den Bußgeldern. Fehler beim Datenschutz werden künftig deutlich teurer. Die GVO sieht bei Verstößen gegen den Datenschutz Bußgelder von bis zu 100 Mio. Euro vor. Großen Unternehmen drohen noch empfindlichere Strafen. Denn Bußgelder können über die genannten 100 Mio. Euro hinaus sogar bis zu 2 % des gruppenweiten Umsatzes erreichen. Teilweise werden auch andere Bußgeldhöhen gefordert, etwa bis zu 5 % des Umsatzes einer Unternehmensgruppe. Dabei kommt der jeweils höhere Betrag als Bußgeldrahmen zur Anwendung.
Aus Compliance-Sicht kommt dem Datenschutz bereits wegen des künftig deutlich höheren Schadenspotenzials eine wichtige Rolle zu. Damit dringt das Datenschutzrecht weiter in das Tagesgeschäft der Compliance-Verantwortlichen vor. Das Compliance Management System ist entsprechend um neue Prozesse und Kontrollen zu ergänzen. Einerseits müssen Unternehmen bei Compliance-Kontrollen und internen Ermittlungen zwingend personenbezogene Daten sammeln und auswerten. Andererseits werden Arbeitnehmer auch am Arbeitsplatz durch das Recht auf informationelle Selbstbestimmung geschützt. Das Bundesarbeitsgericht hatte in der Vergangenheit bereits oft über Fälle zu urteilen, in denen dieser Zielkonflikt zwischen Compliance-Interessen und Arbeitnehmerdatenschutz eine entscheidende Rolle spielte. So nehmen Richter bei Verstößen gegen den Datenschutz immer häufiger Beweisverwertungsverbote an. Dadurch können sogar Kündigungen wegen nachgewiesener schwerer Compliance-Verstöße vor Gericht scheitern.
Die wesentlichen Mechanismen der Neuregelung sind ähnlich wie die des BDSG. Der Umgang mit personenbezogenen Daten ist verboten, wenn die GVO oder ein anderes Gesetz ihn nicht ausdrücklich erlaubt. Die aus Sicht der Compliance-Funktion wichtigsten Vorschriften sind Art. 6 und Art. 82 GVO. Art. 6 GVO erlaubt die Nutzung persönlicher Daten, soweit dies für die Umsetzung des Arbeitsverhältnisses erforderlich ist. Die Verarbeitung personenbezogener Daten soll auch erlaubt sein, soweit sie für den Zweck eines legitimen Interesses des Unternehmens oder einer dritten Partei notwendig ist. Dieser Zweck ist dann gegen die Interessen, Grundrechte und Freiheiten des Arbeitnehmers abzuwägen. Nach jetzigem Stand sollen auch Einwilligungen von Arbeitnehmern den Umgang mit deren persönlichen Daten erlauben können. Solche Einwilligungserklärungen müssen stets auf freiwilliger Grundlage erfolgen. Zudem müssen sie genau beschreiben, welche Datenverarbeitungen sie später legitimieren sollen. Damit sind Einwilligungen auch nach neuem Recht nur selten die geeignete Rechtfertigung für Compliance-Kontrollen oder interne Ermittlungen.
Art. 82 GVO enthält eine Reihe von Spezialregelungen zum Arbeitnehmerdatenschutz. Unter anderem dürften Mitgliedstaaten Sonderregelungen zum Arbeitnehmerdatenschutz verabschieden. Solche nationalen Spezialvorschriften dürfen nicht hinter dem Schutzniveau der GVO zurückbleiben und müssen den Grundsatz der Verhältnismäßigkeit beachten. Nach derzeitigem Stand sollen heimliche Datenverarbeitungen ohne Kenntnis des Arbeitnehmers unzulässig sein. Betriebsvereinbarungen sollen nach Art. 82 GVO weiterhin den Umgang mit Arbeitnehmerdaten erlauben können. Allerdings werden die neuen Regelungen der GVO bei bestehenden Betriebsvereinbarungen teilweise erhebliche Anpassungen nötig machen.
Fazit: Die Neuregelung des Datenschutzes wirkt sich massiv auf die Compliance-Arbeit aus. Zwar steht eine Endfassung der GVO noch nicht fest – gerade bei den Bußgeldern und beim Beschäftigtendatenschutz werden mögliche Änderungen noch intensiv verhandelt. Andererseits werden die sich abzeichnenden Veränderungen voraussichtlich so gravierend sein, dass man sich gut auf sie vorbereiten sollte. Dies betrifft nicht nur die frühzeitige interne Abstimmung mit anderen Fachfunktionen wie etwa Datenschutz, Recht und Personal, sondern auch die Budgetplanung für 2016, Prozesse, Compliance-Kontrollen und das Vorgehen bei internen Ermittlungen.
Tim Wybitul, RA/FAArbR, ist Partner im Frankfurter Büro von Hogan Lovells. Er berät Unternehmen bei Fragen zu Compliance, Arbeitsrecht, Datenschutz und internen Ermittlungen. Unter anderem leitete er ein Team von Anwälten, das ein global tätiges Finanzinstitut bei einer der größten US-Ermittlungen in Europa begleitete.