DSGVO - Umsetzung durch Betriebsvereinbarungen

Kurzbeschreibung

Betriebsvereinbarungen gelten nach der DSGVO als datenschutzrechtlicher Erlaubnistatbestand und können damit eine unternehmensindividuelle Rechtsgrundlage für die Verarbeitungsvorgänge im Unternehmen sein. Die Übersicht zeigt auf, welchen Anforderungen Betriebsvereinbarungen genügen müssen, um diesen Zweck zu erfüllen.

Vorbemerkung

Die EU-Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz im kollektiven Arbeitsrecht

Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) und der zeitgleichen Neufassung des Bundesdatenschutzgesetzes (BDSG) gelten klare Vorgaben für die Verarbeitung personenbezogener Daten im Unternehmen unter zugleich drastisch erhöhten Bußgeldandrohungen. Dabei gilt für Datenverarbeitungen der Grundsatz des Verbots mit Erlaubnisvorbehalt. Eine Datenverarbeitung ist demnach grundsätzlich verboten, es sei denn, sie kann auf eine wirksame Rechtsgrundlage gestützt werden.

Betriebsvereinbarungen können eine solche Rechtsgrundlage sein. Sie bieten nicht nur eine rechtssichere Gestaltungsmöglichkeit, durch Betriebsvereinbarungen kann daneben auch dem Erfordernis der Transparenz Rechnung getragen werden.

Die nachfolgende Checkliste zeigt auf, welche Aspekte bei der Vorbereitung von Gesprächen über eine Betriebsvereinbarung (BV) zu Datenverarbeitungsvorgängen beachtet werden sollen. Die genannten Aspekte gelten auch für den Fall, dass eine Rahmen-Betriebsvereinbarung abgeschlossen werden soll.

In einem ggf. ersten Schritt können in einer Rahmen-BV, die u. U. in einem kürzeren Zeitrahmen verhandelt und abgeschlossen werden kann, die wesentlichen Regelungsinhalte, sowie Informationspflichten und Auskunftsersuchen der Beschäftigten geregelt werden.

Checkliste

DSGVO: Anforderungen an Betriebsvereinbarungen

Betriebsvereinbarungen müssen den geltenden datenschutzrechtlichen Anforderungen genügen. Die wesentlichen Grundsätze für die Verarbeitung personenbezogener Daten nennt Art. 5 Abs. 1 DSGVO. Bei der Verhandlung neuer und der Anpassung bereits bestehender Betriebsvereinbarungen sind daher insbesondere die folgenden Aspekte zu beachten:

Anforderung Art. 5 Abs. 1 ... DSGVO Regelungsbedarf in einer Betriebsvereinbarung
Transparenz a Die Betriebsvereinbarung regelt konkret, transparent und in einer verständlichen Form, wie personenbezogene Daten von Beschäftigten verarbeitet werden.
Zweckbindung b Die Betriebsvereinbarung definiert eindeutige und legitime Zwecke für konkrete Einsatzbereiche bei der Verarbeitung personenbezogener Daten.
Datenminimierung c Die Betriebsvereinbarung macht das Maß der Verarbeitung von personenbezogenen Daten an konkreten Zwecken fest und beschränkt die Verarbeitung auf den erforderlichen Umfang, ggf. auf pseudonymisierte Daten.
Richtigkeit d Die Betriebsvereinbarung legt fest, dass sachlich richtige und aktuelle Daten verwendet werden und definiert dazu ggf. Korrekturvorgänge.
Speicherbegrenzung e Die Betriebsvereinbarung regelt, dass Daten nur so lange verwendet werden, wie dies für die definierten Zwecke erforderlich ist.
Vertraulichkeit f Die Betriebsvereinbarung enthält eine Regelung zur Sicherstellung der Vertraulichkeit, sie legt z. B. in einem auf das erforderliche Maß beschränkten Rahmen fest, welcher Personenkreis auf welche Beschäftigtendaten zugreifen darf.

Die nachstehende Tabelle enthält Regelungstatbestände, welche die Betriebsparteien bei Verhandlungen über Betriebsvereinbarungen zur DSGVO in Betracht ziehen sollten.

  Empfohlene Regelungstatbestände in einer BV Begründung/Anmerkungen
  Betriebsvereinbarung als Rechtsgrundlage der Datenverarbeitung Betriebsvereinbarungen können als datenschutzrechtlicher Erlaubnistatbestand wirken (vgl. Art. 88 Abs. 1 DSGVO, § 26 Abs. 1, 4 BDSG). Dazu müssen Betriebsvereinbarungen die in Art. 88 DSGVO geregelten Anforderungen umsetzen. Aus Gründen der Transparenz sollte auf die Erlaubniswirkung in der Betriebsvereinbarung ausdrücklich hingewiesen werden.
  Regelungen zur Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder innerhalb einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben Im Datenschutzrecht existiert gerade kein Konzernprivileg. Demnach bedürfen Datentransfers zwischen Konzernunternehmen einer wirksamen Rechtsgrundlage. Betriebsvereinbarungen können die Betriebsparteien dabei unterstützen, konzerninterne Datenübermittlungen rechtssicher und belastbar abzusichern. Dazu müssen Betriebsvereinbarungen konkrete Maßnahmen zum Schutz der betroffenen Beschäftigten vorsehen (vgl. Art. 88 Abs. 2 DSGVO). Unternehmen sollten dabei auch beachten, dass datenschutzrechtliche Betriebsvereinbarungen einen Erlaubnistatbestand für Datentransfers zwischen Konzernunternehmen darstellen können, der entsprechende Übermittlungen personenbezogener Daten im Konzern absichern kann.
  Regelungen zur Einhaltung der Vorgaben der DSGVO beim Einsatz von Überwachungssystemen am Arbeitsplatz Eine Überwachung von Beschäftigten ist in nur sehr engen Grenzen statthaft. Einwilligung...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge