Die vorstehenden Beispiele haben deutlich gemacht, dass bei vielen Bausteinen eines Datenschutz-Compliance-Systems eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat hilfreich sein kann, um die Anforderungen des Datenschutzrechts umzusetzen. Bereits in der Vergangenheit waren Betriebsvereinbarungen dabei ein effektives Mittel, um die Zwecke sowie die Art und Weise von Datenverarbeitungen im Arbeitsverhältnis zu regeln, deren Zulässigkeit rechtlich und praktisch abzusichern und rechtstreues Verhalten zu dokumentieren. Auch in der Praxis unter Geltung der DSGVO werden Betriebsvereinbarungen regelmäßig genutzt, um Datenverarbeitungen im Beschäftigtenkontext zu legitimieren.[1]
3.1 Prinzip des Verbots mit Erlaubnisvorbehalt
In Art. 5 Abs. 1 Buchst. a DSGVO ist der Grundsatz der Rechtmäßigkeit niedergelegt. Dies bedeutet, dass für jeden Datenverarbeitungsvorgang eine Rechtsgrundlage erforderlich ist.[1] Im nationalen Recht wurde dieses Strukturprinzip des Datenschutzrechts bislang als Verbot mit Erlaubnisvorbehalt[2] bezeichnet.
Der Grundsatz der Rechtmäßigkeit kommt vor allem in den Generalklauseln der Art. 6, 9 DSGVO zum Ausdruck. Diese beiden Vorschriften machen deutlich, dass eine Verarbeitung personenbezogener Daten grundsätzlich nur zulässig ist, wenn sie auf einen der dort abschließend aufgelisteten Erlaubnistatbestände gestützt werden kann. Art. 6, 9 DSGVO konkretisieren so den in Art. 5 Abs. 1 Buchst. a DSGVO normierten Rechtmäßigkeitsgrundsatz. In Bezug auf die Verarbeitung personenbezogener Daten von Beschäftigten[3] dürfte – nachdem der EuGH den bislang herangezogenen § 26 Abs. 1 BDSG jüngst für europarechtswidrig erklärt hat[4] – in der Praxis regelmäßig Art. 6 Abs. 1 Satz 1 lit. b bzw. f DSGVO (Erfüllung eines Vertrags bzw. eines berechtigten Interesses des Verantwortlichen) der einschlägige Erlaubnistatbestand zur Legitimierung einer Verarbeitung im Beschäftigungsverhältnis sein.
3.2 Betriebsvereinbarungen als Erlaubnistatbestand
Eine solche Öffnungsklausel, die es den Mitgliedstaaten ermöglicht, Rechtsgrundlagen zur Verarbeitung personenbezogener Daten zu schaffen, sieht Art. 88 Abs. 1 DSGVO für den Beschäftigungskontext vor.[1]
Die Mitgliedstaaten können Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext nach Art. 88 Abs. 1 DSGVO entweder selbst durch entsprechende Gesetzgebung schaffen oder sie überlassen den Betriebs- bzw. Tarifparteien eine entsprechende Regelungsmacht durch "Kollektivvereinbarungen". Kollektivvereinbarungen i. S. v. Art. 88 DSGVO sind nicht nur die mit Gesetzeskraft ausgestatteten Tarifverträge, sondern auch Betriebsvereinbarungen.[2] Dies folgt zum einen klar aus der Entstehungsgeschichte der Vorschrift: Im Kommissionsvorschlag war noch die Rede davon, dass die Mitgliedstaaten lediglich per Gesetz die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext regeln können. Zum anderen erwähnt Erwägungsgrund 155 explizit auch Betriebsvereinbarungen als mögliche Handlungsform der Mitgliedstaaten.
Eine für die Praxis wichtige Frage ist, inwieweit den Betriebsparteien bei der Ausgestaltung von Betriebsvereinbarungen ein eigener Beurteilungsspielraum zukommt, insbesondere ob sie (selbstständige) Erlaubnistatbestände für die Datenverarbeitung schaffen können. Hiervon wird in der Praxis bislang ausgegangen. In einem aktuellen Vorlagebeschluss hat das BAG[3] zuletzt Zweifel daran geäußert, indem es die Auffassung vertritt, dass Kollektivvereinbarungen nicht nur den "besonderen" Anforderungen des Art. 88 Abs. 2 DSGVO gerecht werden müssen[4], sondern stets auch die "sonstigen Vorgaben der DSGVO" erfüllen müssen. Konkret bedeutet das, dass nach Auffassung des BAG ein kollektivvertraglicher Erlaubnistatbestand die Erforderlichkeitsprüfung nach Art. 6 Abs. 1 DSGVO nicht ersetzen kann. In letzter Konsequenz würde dies die Eignung von Betriebsvereinbarungen zur Schaffung datenschutzrechtlicher Erlaubnistatbestände infrage stellen.[5] Dies würde letztlich darauf hinauslaufen, dass "spezifischere" Vorschriften im Sinne des Art. 88 Abs. 1 DSGVO nur "strengere" sein können. Die Öffnungsklausel wäre auf dieser Grundlage praktisch weitgehend bedeutungslos. Auch im Hinblick auf die aktuelle Rechtsprechung des EUGH zu Art. 88 Abs. 1 DSGVO[6] bleibt abzuwarten, ob die Sichtweise des BAG, die letztlich auf ein Infragestellen der Eignung von Betriebsvereinbarungen zur Begründung (selbstständiger) Erlaubnistatbestände hinausläuft, Bestätigung in der Rechtsprechung des EuGH finden wird.
In Verhandlungen über Betriebsvereinbarungen zur Umsetzung der DSGVO können Arbeitgeber und Betriebsrat für die Frage nach einem Erlaubnistatbestand unter Zugrundelegung der bislang anerkannten Praxis auf den folgenden Formulierungsvorschlag zurückgreifen. Die weitere rechtliche Entwicklung sollte von den Betriebsparteien bei der Verhandlung von Betriebsvereinbarungen unbedingt im...
Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen