Читать книгу Compliance Management im Unternehmen - Martin R. Schulz - Страница 133

60

Der Datenschutz hat seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) einen deutlich größeren Stellenwert als in der Vergangenheit.29 Dies gilt auch für die Einführung eines „Code of Conduct“, wo dieses Thema bislang kaum eine Rolle spielte. Enthält der „Code of Conduct“ beispielsweise Regelungen zur Meldung von Verstößen gegen Verhaltensregeln oder möchte der Arbeitgeber die Einhaltung der Vorgaben überprüfen, werden regelmäßig personenbezogene Daten erhoben, verarbeitet und genutzt. In der Folge sind die Voraussetzungen der DSGVO zu beachten. Besonderer Aufmerksamkeit gebühren dabei den gesetzlichen Aufklärungs- und Informationspflichten gegenüber den „Betroffenen“ (Art. 13ff. DSGVO).

61

Die Erhebung, Verarbeitung und Nutzung – hierzu zählt auch die Übermittlung – personenbezogener Daten im Arbeitsverhältnis richtet sich regelmäßig nach Art. 88 DSGVO i.V.m. § 26 BDSG und bedarf daher stets eines Erlaubnistatbestands. Erlaubnistatbestände können eine gesetzliche Grundlage, die Einwilligung des Arbeitnehmers (§ 26 Abs. 2 BDSG) oder eine Betriebsvereinbarung (§ 26 Abs. 4 Satz 1 BDSG) sein.30 Wird der „Code of Conduct“ mittels einer Betriebsvereinbarung eingeführt, bietet es sich an, hier gleichzeitig die erforderliche Datenverarbeitung rechtlich abzusichern.

62

Die DSGVO spart insoweit nicht an regelungsbedürftigen Inhalten und Vorgaben. Bei manchen Datenschutzregelungen genügt es, wenn sie in einer sog. Rahmenbetriebsvereinbarungen abgebildet werden. Diese Inhalte müssen nicht in jeder Einzelbetriebsvereinbarung wiederholt werden.31

63

Andere Regelungsinhalte müssen dagegen in jeder Einzelbetriebsvereinbarung aufgenommen werden. Dies betrifft solche Regelungen, die auf die jeweilige Betriebsvereinbarung zugeschnitten sind. Hierzu gehören mindestens der Zweck der Verarbeitung i.S.v. § 26 Abs. 5 BDSG i.V.m. Art. 5 DSGVO, die Dauer der Verarbeitung, Löschungsregeln und die Zugriffsrechte.32 Entsprechende Bestimmungen sollten – je nach konkreter Ausgestaltung – auch in den „Code of Conduct“ aufgenommen werden.

64

Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, ohne dass hierfür ein Erlaubnistatbestand gegeben ist, hat dieser Datenschutzverstoß u.U. weitreichende Folgen. Die forsche Bußgeldpraxis der Aufsichtsbehörden hat für heftige Diskussionen gesorgt und wird noch die Gerichte beschäftigen. Aus einem Datenschutzverstoß kann aber – je nach Einzelfall – für den Arbeitgeber auch ein sog. Sachvortragsverwertungsverbot folgen. Bietet der Arbeitgeber beispielsweise in einem Kündigungsschutzprozess Beweise an, die unter Verstoß gegen die DSGVO erlangt wurden, darf das Gericht in diesem Fall nicht nur die angebotenen Beweise des Arbeitgebers nicht erheben (bloßes Beweisverwertungsverbot), sondern muss u.U. den gesamten arbeitgeberseitigen Vortrag bei seiner Entscheidung unberücksichtigt lassen.33