Datenschutz neu gedacht und gemacht

Daten sind das „neue Öl“. Mit Daten lässt sich viel Geld verdienen. Es gab in jüngerer Zeit einige Skandale bei denen Daten von Menschen im großen Stil missbräuchlich genutzt wurden. Die Empörung ist groß. Aber gefühlt passiert nichts. Am 25. Mai bekommen wir nun eine neue EU-Datenschutzgrundverordnung (DSGVO). Wird dann alles besser?

Peter Wedde: Mir persönlich gefällt das Bild von „Daten als Öl der Informationsgesellschaft“ nicht. Es sind doch nicht die Daten, die die Informationsgesellschaft antreiben, sondern vielfältige, oft ungeregelte und zumeist intransparente Auswertungen und Verwendungen von Informationen durch Software und Algorithmen. Hinzu kommt, dass personenbezogene Daten, anders als Öl, durch die Benutzung nicht verbraucht werden. Im Gegenteil: Ihre Verwendung schafft für Betroffene viele neue Risiken. Damit sind leider auch neue Datenschutzskandale vorprogrammiert. Diese kann auch das neue europäische Datenschutzrecht DSGVO nicht verhindern. Die DSGVO verbessert zwar den Schutz personenbezogener Daten in vielen Details. Gleichzeitig – und das wird oft übersehen – schützt sie ausdrücklich auch den freien Datenverkehr innerhalb Europas und damit auch die großen Datenverarbeitungskonzerne.

Es ist eine umfangreiche Verordnung entstanden. Was sind die großen Neuerungen oder anders gefragt: Was ist ab 25. Mai aus Arbeitnehmersicht zulässig und was ist dann verboten?

Peter Wedde: Die DSGVO verpflichtet die für die Verarbeitung Verantwortlichen insbesondere zur Einhaltung der in ihrem Artikel 5 enthaltenen zentralen Grundsätze. Hierzu gehört etwa eine transparente Verarbeitung, eine strikte Zweckbindung, eine Begrenzung der Speicherdauer oder eine Beschränkung auf zwingend notwendige Informationen im Rahmen der Datenminimierung. Hinzu kommt ein individuelles „Recht auf Vergessenwerden“. Diese wichtigen Grundsätze und Rechte gelten auch für Beschäftigte. Zum Beschäftigtendatenschutz enthält Artikel 88 DSGVO nur eine allgemeine Regelung. Die Ausgestaltung dieses Themenfelds bleibt den EU-Mitgliedsstaaten überlassen. In Deutschland findet sich zu diesem Thema mit dem neuen § 26 BDSG ebenfalls nur eine Regelung. Welche Datenverarbeitung im Beschäftigungsverhältnis erlaubt ist oder nicht, bleibt damit weiterhin vielfach unklar.

In der betrieblichen Praxis ist das Thema Big Data und Datenschutz sehr wichtig geworden. Viele Betriebsvereinbarungen befassen sich mit Datenschutz, zugleich ist es ein Thema für Spezialisten. Der erste Gedanke, um schlauer zu werden lautet meist: „Lass uns eine Schulung besuchen." Reicht das aus? Was raten Sie Betriebsräten noch, um jetzt notwendige Handlungsschritte einzuleiten?

Peter Wedde: Die Erhöhung des individuellen Aus- und Weiterbildungsniveaus ist für Betriebsratsmitglieder immer wichtig. Zu Fragen des neuen Datenschutzrechts erst jetzt damit anzufangen, ist allerdings mit Blick auf den Stichtag 25. Mai 2018 ein wenig spät. Parallel zu weiterhin notwendigen Schulungen sollten Betriebsräte in geltenden Betriebsvereinbarungen die Abschnitte identifizieren, die Datenschutzfragen explizit regeln. Wenn sie hier nicht sicher sind, ob diese Abschnitte dem neuen Recht entsprechen, hilft kurzfristig nur die Nachfrage bei Gewerkschaften, bei Technologieberatungen oder bei einschlägig ausgewiesenen Experten und Rechtsanwälten. Die Finger sollten Betriebsräte aber vom Abschluss allgemeiner „Rahmenvereinbarungen zur DSGVO“ lassen, die von Arbeitgebervertretern oft eingefordert werden. Hier schlummern für Beschäftigte unkalkulierbare Risiken. Bei neu abzuschließenden Betriebsvereinbarungen müssen Datenschutzthemen von Anfang an beachtet werden.

Digitalisierung hat längst auch die Arbeit von Aufsichtsräten erreicht. In geschützten Bereichen werden Dokumente über die Cloud und auf dem Tablet bearbeitet, ausgetauscht, online verwaltet. Sind die Daten in digitalen AR-Informationssystemen wirklich sicher?

Peter Wedde: Sie könnten sicher sein, wenn notwendige technische und organisatorische Maßnahmen getroffen werden wie etwa durch eine durchgängige Verschlüsselung der Datenflüsse oder durch herausragend geschützte Ablageorte in der Cloud. Ein weiterer wichtiger Baustein ist das individuelle Bewusstsein jedes einzelnen Aufsichtsratsmitglieds für den sicheren Umgang mit den vorhandenen Informationen. Sensible Informationen sollten beispielsweise nicht an öffentlichen Orten wie Zügen, Flugzeugen oder Cafés gelesen werden, wo andere Menschen auf den Bildschirm schauen können.

Und was empfehlen Sie der Arbeitnehmerseite im Aufsichtsrat? Wie kann und wie sollte sie im Aufsichtsrat Datenschutz im Unternehmen zum Thema machen?

Peter Wedde: Aufsichtsräte müssen vor Augen haben, dass Berichte über einen Datenmissbrauch oder Datenschutzverstöße massive und negative Folgen für Unternehmen haben. Dies haben in der Vergangenheit große Konzerne schmerzlich erfahren müssen. In Zukunft kann ein datenschutzrechtliches Fehlverhalten von Unternehmensleitungen zudem hohe Geldbußen auslösen. Die in der Folge notwendigen unternehmensinternen Einsparungen wirken sich oft auch auf Arbeitsplätze aus. Schon deshalb müssen Arbeitnehmervertreter in Aufsichtsräten die Einhaltung datenschutzrechtlicher Vorgaben intensiv einfordern.

Ansprechpartner in der Hans-Böckler-Stiftung