Die DSGVO zwingt Betriebsräte zur Überarbeitung ihrer Betriebsvereinbarungen Bild: MEV-Verlag, Germany

Kollektivvereinbarungen, in denen es um die Verarbeitung persönlicher Daten der Mitarbeiter geht, werden ab Ende Mai 2018 an den strengen europarechtlichen Datenschutzvorgaben gemessen. Betriebsräte müssen sich schnellstmöglich mit dem Arbeitgeber zusammensetzen, um ihre Betriebsvereinbarungen anzupassen.

Am 25.5.2018 tritt in allen europäischen Mitgliedsstaaten die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Gleichzeitig gilt in Deutschland das neue Bundesdatenschutzgesetz (BDSG), das Spezifizierungen zur DSGVO enthält.

Neu ist, dass die Datenschutzvorgaben auch bei Kollektivvereinbarungen

zu beachten sind.

Betriebsvereinbarungen und Tarifverträge an DSGVO anpassen

Damit geraten neben Arbeitgebern Betriebsräte und Gewerkschaften in Zugzwang, ihre Betriebsvereinbarungen und Tarifverträge an das neue Datenschutzrecht anzupassen. Die Praxisrelevanz für Betriebsräte ist erheblich, denn die Regelung der Verarbeitung von Mitarbeiter-Daten in Betriebsvereinbarungen ist wegen der Mitbestimmungsrechte (§ 87 Abs.1 Nr.1,6 BetrVG) der Normalfall.

Umsetzungsschwierigkeiten vorprogrammiert  

Die zwei Hauptnormen, um die sich künftig alles rankt, sind Art. 88 DSGVO und § 26 BDSG n.F.. Vor allem nach deren Inhalten hat sich alles auszurichten. Beide Vorschriften sind komplex und abstrakt gefasst. Das eröffnet

  • einen weiten Regelungs- und Ermessensspielraum für Betriebsräte,
  • bringt aber auch erhebliche Unsicherheiten mit sich und gestaltet die Umsetzung in die Praxis äußerst schwierig. Hinzu kommt der Zeitdruck.

Unverzüglicher DSGVO-Handlungsbedarf für Betriebsräte

Bis zum 25.5.2018 müssen nicht nur neue, sondern auch bestehende Betriebsvereinbarungen überprüft und angepasst sein.

Vor allem für Unternehmen mit vielen Betriebsvereinbarungen wird es ein Wettlauf gegen die Zeit werden. Gelingt dies nicht und werden Datenschutzverstöße aufgedeckt, drohen hohe Bußgelder bis in den Millionen-Bereich.

Wesentliche Vorgaben des neuen Datenschutzes

Tarifverträge, Betriebsvereinbarungen und andere Kollektivvereinbarungen, die die Verarbeitung personenbezogener Daten von Beschäftigten oder Überwachungssysteme zum Inhalt haben, müssen

  • angemessene und besondere Maßnahmen
  • zur Wahrung der menschlichen Würde,
  • der berechtigten Interessen und
  • der Grundrechte der betroffenen Person umfassen.

Wer persönliche Daten verarbeitet, muss mit offenen Karten spielen

Von höchster Wichtigkeit ist, dass die Verarbeitung transparent gemacht wird. Die Person, deren Daten verarbeitet werden, muss jederzeit wissen, 

  • warum,
  • zu welchem Zweck,
  • wie lange genau welche Informationen verarbeitet werden,
  • welche Wege sie gehen,
  • wie sie gespeichert und geschützt werden. 

Art. 5 DSGVO zählt die Datenschutzprinzipien auf, die Niederschlag in der Betriebsvereinbarung finden sollten, am besten mit einfachen, verständlichen Erklärungen und mit den dazu passenden Maßnahmen, die deren Einhaltung gewährleisten: Daten müssen auf

  • rechtmäßige Weise, nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Weise verarbeitet,
  • nur für vorher festgelegte, eindeutige, legitime Zwecke im Beschäftigtenkontext erhoben,
  • nur so wenig wie nötig verarbeitet werden und müssen immer richtig und auf dem aktuellen Stand sein.
  • Die Daten dürfen nur so lange wie nötig gespeichert und müssen so schnell wie möglich anonymisiert oder gelöscht werden.
  • Sie müssen vor Verlust und unberechtigtem Zugriff geschützt werden.

Derjenige, der für die Datenverarbeitung verantwortlich ist, muss kontrollieren, dass die vorstehenden Grundsätze eingehalten werden und jederzeit bereit sein, hierüber Rechenschaft abzulegen.

Ende pauschaler Kontrollverbote ohne Interessenabwägung

Jede Datenverarbeitung setzt Verhältnismäßigkeitsprüfung voraus. Damit sind ein für alle Mal pauschale Kontrollverbote in Betriebsvereinbarungen ausgeschlossen. Regelungen, die eine konkrete Datenverarbeitung erlauben oder verbieten, müssen also entweder eine Interessenabwägung erlauben oder auf einer klar beschriebenen Interessenabwägung beruhen.

Praxistipp: Mit Rahmenbetriebsvereinbarung beginnen

Empfehlenswert ist es, als erstes eine Rahmenbetriebsvereinbarung auszuhandeln, die die Leitlinien für den Umgang mit Mitarbeiterdaten schafft und an der sich sukzessive alle Betriebsvereinbarungen ausrichten. Im Sinne einer Schadensbegrenzung sollte in einer solchen Rahmenbetriebsvereinbarung ausdrücklich geregelt sein,

  • dass die Datenschutzgrundsätze der DSGVO und anderer zwingender Anforderungen des neuen Datenschutzrechts auch bei der Auslegung und Anwendung bestehender Betriebsvereinbarungen gelten und
  • Vorrang vor ggf. abweichenden Regelungen in älteren Betriebsvereinbarungen haben.

Weitere News zum Thema:

Verschärfter Datenschutz am Arbeitsplatz ab Mai 2018

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DS-GVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DS-GVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management.

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Schlagworte zum Thema:  Betriebsrat, Datenschutz-Grundverordnung, Datenschutz, Compliance, Datenschutzbeauftragter, Arbeitnehmerdatenschutz

Aktuell
Meistgelesen