Änderungen bei der Überwachung von Arbeitnehmern auf dem Arbeitsplatz

Das nationale Gesetz bezüglich der Organisation der nationalen Datenschutzkommission (CNPD) und der Umsetzung der Datenschutzgrundverordnung (DSGVO) in Luxemburg, das am 26. Juli gestimmt wurde, hat mehrere Veränderungen mit sich gebracht die die Überwachung von Arbeitnehmern auf dem Arbeitsplatz betreffen.

Aufgrund des Paradigmenwechsels, der durch diese neue europäische Verordnung entstand, ist der Arbeitgeber nicht mehr dazu verpflichtet eine Genehmigung bei der nationalen Datenschutzkommission (CNPD) zu beantragen um eine Überwachung auf dem Arbeitsplatz durchführen zu können wie es noch unter der europäischen Datenschutzrichtlinie vom 24. Oktober 1995 der Fall war, welche durch das Gesetz vom 2. August 2002 ins luxemburgische Recht integriert wurde.

Artikel 71 des nationalen Gesetzes bezüglich der Organisation der nationalen Datenschutzkommission und der Umsetzung der Datenschutzgrundverordnung in Luxemburg sieht Veränderungen von Artikel L. 261-1. des Arbeitsgesetzbuches vor, der die Überwachung von Mitarbeitern auf dem Arbeitsplatz regelt. Luxemburg hat somit Gebrauch von Artikel 88 der Datenschutzgrundverordnung gemacht um spezifische Modalitäten festzulegen, wenn es zur Überwachung von Mitarbeitern auf dem Arbeitsplatz und somit zur Verarbeitung von personenbezogenen Daten kommt.

Die Hauptänderungen sind folgende:

  • Keine Autorisation mehr nötig

Die Texte der europäischen Datenschutzrichtlinie vom 24. Oktober 1995 und des luxemburgischen Gesetzes vom 2. August 2002 wurden von der Datenschutzgrundverordnung abgeschafft und alle von der CNPD ausgehändigten Genehmigungen sind aufgehoben worden.

Die Verarbeitung personenbezogener Daten zur Überwachung von Arbeitnehmern kann fortan vom Arbeitgeber als Verantwortlicher durchgeführt werden, wenn diese im Einklang mit Artikel 6 Paragraph 1 Buchstaben a) bis f) der Datenschutzgrundverordnung und konform zum neuen Artikel L. 261-1. des Arbeitsgesetzbuches durchgeführt wird. Der Arbeitgeber ist somit nicht mehr durch die 5 Bedingungen des ehemaligen Artikels L. 261-1. des Arbeitsgesetzbuches limitiert.

In der Tat war die Verarbeitung personenbezogener Daten zur Überwachung von Arbeitnehmern nur möglich, wenn es notwendig war:

  1. für die Sicherheit und Gesundheit der Arbeitnehmer, oder
  2. zum Schutz des Eigentums des Unternehmens, oder
  3. für die Kontrolle des Produktionsprozesses, an dem nur Maschinen beteiligt sind, oder
  4. für die vorübergehende Kontrolle der Produktion oder der Leistungen des Arbeitnehmers, wenn eine solche Maßnahme der einzige Weg ist, das genaue Gehalt zu bestimmen, oder
  5. im Rahmen einer Arbeitsorganisation gemäß dem Mobilplan gemäß dem Arbeitsgesetzbuch.

Ab jetzt genügt es, wenn sich der Arbeitgeber auf eine der 6 Bedingungen der Rechtmäßigkeit von Artikel 6 der Datenschutzgrundverordnung stützt. Die Verarbeitung personenbezogener Daten zur Überwachung von Arbeitnehmern ist somit möglich in folgenden Fällen:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;                                          
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Die Verarbeitung personenbezogener Daten zur Überwachung von Arbeitnehmern kann in den meisten Fällen durch das berechtigte Interesse des Arbeitgebers gerechtfertigt werden. Die FEDIL rät somit an, sich auf das berechtigte Interesse des Arbeitgebers zu basieren.

Die Zustimmung eines Arbeitnehmers im Arbeitsverhältnis wird nicht immer als frei angesehen, eine Bedingung, die es jedoch zu erfüllen gilt um eine gültige Zustimmung im Sinne der Datenschutzgrundverordnung zu haben. Im Streitfall wird die freie Natur der Zustimmung der betroffenen Person in das Ermessen des Richters fallen.

  • Das Auskunftsrecht

Neben dem persönlichen Auskunftsrecht der Arbeitnehmer, das von den Artikeln 13 und 14 der Datenschutzgrundverordnung vorgesehen wird, besteht ebenfalls wieder eine kollektive Informationspflicht des Arbeitgebers gegenüber den Arbeitnehmern. Ohne Beeinträchtigung des persönlichen Auskunftsrechts der Arbeitnehmer sind ebenfalls zu informieren: der Betriebsrat, oder, falls nicht vorhanden, die Personalvertreter, oder wenn wieder nicht vorhanden, die Gewerbeinspektion.

Jedoch ist jetzt vorgesehen, dass diese Informationspflicht eine detaillierte Beschreibung der Finalität der Datenverarbeitung beinhaltet, sowie die Modalitäten der verwendeten Mittel, die zur Überwachung genutzt werden als auch eine Dauer oder die Kriterien der Datenspeicherung. Der Arbeitgeber muss sich zudem dazu verpflichten die Daten für keinen anderen Zweck zu nutzen als diesen der explizit vorgesehen war.

Die Informationspflicht der Arbeitgeber wurde somit stark verschärft.

Die Datenverarbeitung für Überwachungszwecke, die durch Gesundheits- und Sicherheitsbedürfnisse der Arbeitnehmer, durch die Kontrolle der Produktion oder der Leistungen der Arbeitnehmer, wenn diese Art die einzige Möglichkeit darstellt, den genauen Lohn zu fixieren oder durch die Organisation mobiler Arbeitszeiten motiviert ist, bleibt auch weiterhin vom Mitbestimmungsrecht des Betriebsrates betroffen, gemäß Artikel L. 211-8., L. 414-9. und L. 423-1. des Arbeitsgesetzbuches, es sei denn die Datenverarbeitung entspricht einer legalen Verpflichtung.

  • Die Ansichtsanfrage

Eine andere Neuerung betrifft die Ansichtsanfrage, die die Personalvertreter, oder die betroffenen Personen, 15 Tage nach der detaillierten Information des Projektes der Datenverarbeitung für Überwachungszwecke an die nationale Datenschutzkommission stellen können. Letztere verfügt über einen Monat um ihre Meinung über die Konformität des Projektes zu kommunizieren.

Die Ansichtsanfrage hat eine aufschiebende Wirkung während einem Monat. Wenn der fragliche Zeitraum abgelaufen ist, kann keine Ansichtsanfrage mehr über das Überwachungsprojekt an die CNPD gerichtet werden. Daher ist es für den Arbeitgeber sehr wichtig, den genauen Zeitpunkt zu kennen, ab wann diese Frist beginnt. Es ist somit sehr ratsam, eine geeignete Form zu benutzen um den Startpunkt der Frist nachweisen zu können (z. B. Brief, der per Einschreiben an die betroffenen Mitarbeiter geschickt wird, eventuell auch mit einer internen Klartextanzeige).

Der Arbeitgeber kann somit nicht mit dem Projekt der Datenverarbeitung für Überwachungszwecke beginnen und muss die Meinung der nationalen Datenschutzkommission abwarten, gegen welche keinen Einspruch erhoben werden kann. Der Arbeitgeber ist nicht dazu verpflichtet die Meinung der nationalen Datenschutzkommission zu befolgen, es wird ihm nur angeraten.

Es ist zudem vorgesehen, dass jede betroffene Person eine Klage bei der nationalen Datenschutzkommission einrichten kann, wenn sie der Meinung ist, eine Datenverarbeitung sei nicht konform zur Datenschutzgrundverordnung (wie bereits von Artikel 77 der Datenschutzgrundverordnung vorgesehen). Diese stellt zudem keinen gültigen Kündigungsgrund dar.                                                   

Wichtig sei noch hervorzuheben, dass sich der neue Artikel des Arbeitsgesetzbuches nur auf Projekte von Datenverarbeitung für Überwachungszwecke bezieht, die nach dem nationalen Gesetz in Kraft getreten sind. Es ist allerdings klar, dass jedes Projekt von Datenverarbeitung hinsichtlich einer Überwachung von Arbeitnehmern in allen Punkten konform zur neuen Datenschutzgrundverordnung sein muss, die am 25. Mai 2018 in Kraft getreten ist.

  • Datenschutz-Folgenabschätzung

Je nach gewähltem System muss eine Datenschutz-Folgenabschätzung zum Schutz personenbezogener Daten gemäß Artikel 35 der Datenschutzgrundverordnung durchgeführt werden.

Da eine Überwachung der Mitarbeiter auch eine Verarbeitung personenbezogener Daten mit sich bringt, ist der Arbeitgeber dazu verpflichtet, die Verarbeitung im Verarbeitungsverzeichnis einzutragen, wie von Artikel 30 der Datenschutzgrundverordnung vorgesehen.

Schließlich müssen ab Beginn der Überwachungsmaßnahmen angemessene Sicherheits- und Vertraulichkeitsmaßnahmen gemäß Artikel 32 der Datenschutzgrundverordnung festgelegt werden.

Da das Gesetz kein genaues Datum enthält wann es in Kraft tritt, wird es 3 Tage nach der Publikation im Mémorial in Kraft treten.

Die FEDIL wird Sie in ihrer Newsletter über das Datum des Inkrafttretens des Gesetzes informieren.

Hier ist der Link zum neuen Artikel L. 261-1. des Arbeitsgesetzbuches (Auszug aus dem Bericht der Kommission für höhere Bildung, Forschung, Medien, Kommunikation und Raumfahrt).

Die FEDIL möchte Sie schlussendlich noch darüber informieren, dass derzeit eine „Frequently Asked Questions (FAQ)“ Seite betreffend die Datenschutzgrundverordnung vorbereitet wird, um den Unternehmen einen Überblick über die am häufigsten gestellten Fragen zu geben. Diese Seite wird in Funktion der aufgetretenen Probleme konstant angepasst.

Für weitere Informationen wenden Sie sich bitte an Philippe Heck oder Marc Kieffer

Luxemburg, den 27. Juli 2018