Kurzbeschreibung
Betriebsvereinbarungen gelten nach der DSGVO als datenschutzrechtlicher Erlaubnistatbestand und können damit eine unternehmensindividuelle Rechtsgrundlage für die Verarbeitungsvorgänge im Unternehmen sein. Die Übersicht zeigt auf, welchen Anforderungen Betriebsvereinbarungen genügen müssen, um diesen Zweck zu erfüllen und welche Regelungsgegenstände die Betriebsparteien bei der Verhandlung in Betracht ziehen sollten.
Vorbemerkung
Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) und der zeitgleichen Neufassung des Bundesdatenschutzgesetzes (BDSG) gelten klare Vorgaben für die Verarbeitung personenbezogener Daten im Unternehmen unter zugleich drastisch erhöhten Bußgeldandrohungen. Dabei gilt für Datenverarbeitungen der Grundsatz des Verbots mit Erlaubnisvorbehalt. Eine Datenverarbeitung ist demnach grundsätzlich verboten, es sei denn, sie kann auf eine wirksame Rechtsgrundlage gestützt werden.
Betriebsvereinbarungen können eine solche Rechtsgrundlage sein. Sie bieten nicht nur eine rechtssichere Gestaltungsmöglichkeit, durch Betriebsvereinbarungen kann daneben auch dem Erfordernis der Transparenz Rechnung getragen werden.
Die nachfolgende Checkliste zeigt auf, welche Aspekte bei der Vorbereitung von Gesprächen über eine Betriebsvereinbarung (BV) zu Datenverarbeitungsvorgängen beachtet werden sollen. Die genannten Aspekte gelten auch für den Fall, dass eine Rahmen-Betriebsvereinbarung abgeschlossen werden soll.
In einem ggf. ersten Schritt können in einer Rahmen-BV, die u. U. in einem kürzeren Zeitrahmen verhandelt und abgeschlossen werden kann, die wesentlichen Regelungsinhalte, sowie Informationspflichten und Auskunftsersuchen der Beschäftigten geregelt werden.
Checkliste zur Umsetzung der DSGVO durch Betriebsvereinbarungen
DSGVO: Anforderungen an Betriebsvereinbarungen
Betriebsvereinbarungen müssen den geltenden datenschutzrechtlichen Anforderungen genügen. Die wesentlichen Grundsätze für die Verarbeitung personenbezogener Daten nennt Art. 5 Abs. 1 DSGVO. Bei der Verhandlung neuer und der Anpassung bereits bestehender Betriebsvereinbarungen sind daher insbesondere die folgenden Aspekte zu beachten:
Anforderung |
Art. 5 Abs. 1 ... DSGVO |
Regelungsbedarf in einer Betriebsvereinbarung |
Transparenz |
a |
Die Betriebsvereinbarung regelt konkret, transparent und in einer verständlichen Form, wie personenbezogene Daten von Beschäftigten verarbeitet werden. |
Zweckbindung |
b |
Die Betriebsvereinbarung definiert eindeutige und legitime Zwecke für konkrete Einsatzbereiche bei der Verarbeitung personenbezogener Daten. |
Datenminimierung |
c |
Die Betriebsvereinbarung macht das Maß der Verarbeitung von personenbezogenen Daten an konkreten Zwecken fest und beschränkt die Verarbeitung auf den erforderlichen Umfang, ggf. auf pseudonymisierte Daten. |
Richtigkeit |
d |
Die Betriebsvereinbarung legt fest, dass sachlich richtige und aktuelle Daten verwendet werden und definiert dazu ggf. Korrekturvorgänge. |
Speicherbegrenzung |
e |
Die Betriebsvereinbarung regelt, dass Daten nur so lange verwendet werden, wie dies für die definierten Zwecke erforderlich ist. |
Vertraulichkeit |
f |
Die Betriebsvereinbarung enthält eine Regelung zur Sicherstellung der Vertraulichkeit, sie legt z. B. in einem auf das erforderliche Maß beschränkten Rahmen fest, welcher Personenkreis auf welche Beschäftigtendaten zugreifen darf. |
Die nachstehende Tabelle enthält Regelungstatbestände, welche die Betriebsparteien bei Verhandlungen über Betriebsvereinbarungen zur DSGVO in Betracht ziehen sollten.
|
Empfohlene/Mögliche Regelungstatbestände in einer Betriebsvereinbarung |
Begründung/Anmerkungen |
|
Betriebsvereinbarung als Rechtsgrundlage der Datenverarbeitung |
Betriebsvereinbarungen können als datenschutzrechtlicher Erlaubnistatbestand wirken (vgl. Art. 88 Abs. 1 DSGVO, § 26 Abs. 1, 4 BDSG). Dazu müssen Betriebsvereinbarungen die in Art. 88 DSGVO geregelten Anforderungen umsetzen. Aus Gründen der Transparenz sollte auf die Erlaubniswirkung in der Betriebsvereinbarung ausdrücklich hingewiesen werden. Hinweis: Aufgrund eines aktuellen Vorlagebeschlusses des BAG an den EuGH, in welchem die Eignung von Betriebsvereinbarungen zur Schaffung datenschutzrechtlicher Erlaubnistatbestände infrage gestellt wurde, sollten die Betriebsparteien die aktuelle Rechtsentwicklung im Blick behalten. |
|
Regelungen zur Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder innerhalb einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben |
Im Datenschutzrecht existiert kein Konzernprivileg. Demnach bedürfen Datentransfers zwischen Konzernunternehmen einer wirksamen Rechtsgrundlage. Betriebsvereinbarungen können die Betriebsparteien dabei unterstützen, konzerninterne Datenübermittlungen rechtssicher und belastbar abzusichern. Dazu müssen Betriebsvereinbarungen konkrete Maßnahmen zum Schutz der betroffenen Beschäftigten vorsehen (vgl. Art. 88 Abs. 2 DSGVO). Unternehmen sollten dabei auch beachten, dass datenschutzrec... |