Datenschutzgrundverordnung betrifft auch Betriebsvereinbarungen | Compliance

Kathleen Kunst
Fachanwältin für Arbeitsrecht, Partnerin der Kanzlei Dr. Jula & Partner mbB

Datenschutzgrundverordnung betrifft auch Betriebsvereinbarungen — Bild: MEV-Verlag, Germany Die DSGVO zwingt Betriebsräte zur Überarbeitung ihrer Betriebsvereinbarungen

Kollektivvereinbarungen, in denen es um die Verarbeitung persönlicher Daten der Mitarbeiter geht, werden ab Ende Mai 2018 an den strengen europarechtlichen Datenschutzvorgaben gemessen. Betriebsräte müssen sich schnellstmöglich mit dem Arbeitgeber zusammensetzen, um ihre Betriebsvereinbarungen anzupassen.

Am 25.5.2018 trat in allen europäischen Mitgliedsstaaten die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Gleichzeitig gilt in Deutschland das neue Bundesdatenschutzgesetz (BDSG), das Spezifizierungen zur DSGVO enthält.

Neu ist, dass die Datenschutzvorgaben auch bei Kollektivvereinbarungen zu beachten sind.

Betriebsvereinbarungen und Tarifverträge an DSGVO anpassen

Damit geraten neben Arbeitgebern Betriebsräte und Gewerkschaften in Zugzwang, ihre Betriebsvereinbarungen und Tarifverträge an das neue Datenschutzrecht anzupassen. Die Praxisrelevanz für Betriebsräte ist erheblich, denn die Regelung der Verarbeitung von Mitarbeiter-Daten in Betriebsvereinbarungen ist wegen der Mitbestimmungsrechte (§ 87 Abs.1 Nr.1,6 BetrVG) der Normalfall.

Umsetzungsschwierigkeiten vorprogrammiert

Die zwei Hauptnormen, um die sich künftig alles rankt, sind Art. 88 DSGVO und § 26 BDSG n.F.. Vor allem nach deren Inhalten hat sich alles auszurichten. Beide Vorschriften sind komplex und abstrakt gefasst. Das eröffnet

einen weiten Regelungs- und Ermessensspielraum für Betriebsräte,
bringt aber auch erhebliche Unsicherheiten mit sich und gestaltet die Umsetzung in die Praxis äußerst schwierig. Hinzu kommt der Zeitdruck.

Unverzüglicher DSGVO-Handlungsbedarf für Betriebsräte

Bis zum 25.5.2018 müssen nicht nur neue, sondern auch bestehende Betriebsvereinbarungen überprüft und angepasst sein.

Vor allem für Unternehmen mit vielen Betriebsvereinbarungen wird es ein Wettlauf gegen die Zeit werden. Gelingt dies nicht und werden Datenschutzverstöße aufgedeckt, drohen hohe Bußgelder bis in den Millionen-Bereich.

Wesentliche Vorgaben des neuen Datenschutzes

Tarifverträge, Betriebsvereinbarungen und andere Kollektivvereinbarungen, die die Verarbeitung personenbezogener Daten von Beschäftigten oder Überwachungssysteme zum Inhalt haben, müssen

angemessene und besondere Maßnahmen
zur Wahrung der menschlichen Würde,
der berechtigten Interessen und
der Grundrechte der betroffenen Person umfassen.

Wer persönliche Daten verarbeitet, muss mit offenen Karten spielen

Von höchster Wichtigkeit ist, dass die Verarbeitung transparent gemacht wird. Die Person, deren Daten verarbeitet werden, muss jederzeit wissen,

warum,
zu welchem Zweck,
wie lange genau welche Informationen verarbeitet werden,
welche Wege sie gehen,
wie sie gespeichert und geschützt werden.

Art. 5 DSGVO zählt die Datenschutzprinzipien auf, die Niederschlag in der Betriebsvereinbarung finden sollten, am besten mit einfachen, verständlichen Erklärungen und mit den dazu passenden Maßnahmen, die deren Einhaltung gewährleisten: Daten müssen auf

rechtmäßige Weise, nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Weise verarbeitet,
nur für vorher festgelegte, eindeutige, legitime Zwecke im Beschäftigtenkontext erhoben,
nur so wenig wie nötig verarbeitet werden und müssen immer richtig und auf dem aktuellen Stand sein.
Die Daten dürfen nur so lange wie nötig gespeichert und müssen so schnell wie möglich anonymisiert oder gelöscht werden.
Sie müssen vor Verlust und unberechtigtem Zugriff geschützt werden.

Derjenige, der für die Datenverarbeitung verantwortlich ist, muss kontrollieren, dass die vorstehenden Grundsätze eingehalten werden und jederzeit bereit sein, hierüber Rechenschaft abzulegen.

Ende pauschaler Kontrollverbote ohne Interessenabwägung

Jede Datenverarbeitung setzt Verhältnismäßigkeitsprüfung voraus. Damit sind ein für alle Mal pauschale Kontrollverbote in Betriebsvereinbarungen ausgeschlossen. Regelungen, die eine konkrete Datenverarbeitung erlauben oder verbieten, müssen also entweder eine Interessenabwägung erlauben oder auf einer klar beschriebenen Interessenabwägung beruhen.

Praxistipp: Mit Rahmenbetriebsvereinbarung beginnen

Empfehlenswert ist es, als erstes eine Rahmenbetriebsvereinbarung auszuhandeln, die die Leitlinien für den Umgang mit Mitarbeiterdaten schafft und an der sich sukzessive alle Betriebsvereinbarungen ausrichten. Im Sinne einer Schadensbegrenzung sollte in einer solchen Rahmenbetriebsvereinbarung ausdrücklich geregelt sein,

dass die Datenschutzgrundsätze der DSGVO und anderer zwingender Anforderungen des neuen Datenschutzrechts auch bei der Auslegung und Anwendung bestehender Betriebsvereinbarungen gelten und
Vorrang vor ggf. abweichenden Regelungen in älteren Betriebsvereinbarungen haben.

Weitere News zum Thema:

Arbeitnehmerdatenschutz: Verarbeitung von personenbezogenen Daten

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

DSGVO zwingt Betriebsräte viele Betriebsvereinbarungen anzupassen