§ 11 Datenschutz / V. Auswirkungen des neuen Rechts auf Betriebsvereinbarungen

Rz. 51

Betriebsvereinbarungen können Bestimmungen zur Verarbeitung personenbezogener Daten enthalten und so die Datenverarbeitung im Betrieb bei einzelnen Datenverarbeitungsverfahren beschreiben.^[85] Art. 88 Abs. 1 DSGVO bestimmt in der weitreichenden Spezifizierungsklausel, dass der nationale Gesetzgeber entsprechende Möglichkeiten vorsehen kann. Das ist durch § 26 Abs. 1 BDSG geschehen, laut dem Betriebsvereinbarungen die Ausgestaltung von Datenverarbeitungsvorgängen regeln können. Dennoch können Betriebsvereinbarungen keinen eigenständigen Erlaubnistatbestand mit eigenständigem Handlungsrahmen darstellen, da die Vorgaben des Art. 6 Abs. 1 S. 1 DSGVO abschließend sind (und Art. 6 Abs. 3 DSGVO keine Spezifizierung vorsieht), siehe Rdn 21 ff. Die Betriebsvereinbarungen können jedoch rechtlich bindende Verpflichtungen für den Verantwortlichen i.S.v. Art. 6 Abs. 1 S. 1 lit. c DSGVO darstellen und so mittelbar verbindliche Regelungen zum Datenschutz aufstellen.^[86]

Rz. 52

Soweit bereits bestehende Betriebsvereinbarungen aus der Zeit vor Geltung der DSGVO genutzt werden, empfiehlt sich die Bewertung und Anpassung an das neue Recht der DSGVO: Zwar muss nicht jede Betriebsvereinbarung die neuen gesetzlichen Vorgaben weitreichend abbilden, vielmehr ist hinsichtlich des Anpassungsbedarfs nach dem Regelungsgehalt zu unterscheiden. Bildeten Betriebsvereinbarungen einen Erlaubnistatbestand und stellten sie konkrete Vorgaben an die Zulässigkeit der Verarbeitung von Beschäftigtendaten, müssen die Grundlagen des Schutzes der Betroffenen nach Art. 88 Abs. 2 DSGVO abgebildet und die Grundsätze der Datenverarbeitung nach Art. 5 Abs. 1 DSGVO umgesetzt werden. Nicht erforderlich ist es, sämtliche Informationspflichten oder Betroffenenrechte nach Art. 12 ff. DSGVO in der Betriebsvereinbarung wiederzugeben, da es sich dabei bereits um gesetzliche Vorgaben handelt. Eine Dopplung gesetzlicher Pflichten ist nicht erforderlich.^[87] Da Betriebsvereinbarungen "nur" eine rechtliche Verpflichtung nach Art. 6 Abs. 1 S. 1 Buchst. c DSGVO darstellen können, der der Verantwortliche unterliegt, muss in den Betriebsvereinbarungen sichergestellt werden, dass die Vorgaben des Erlaubnistatbestands der DSGVO eingehalten werden. Betriebsvereinbarungen können in der Regel die Zulässigkeit einer Datenverarbeitung unterstützen, wenn sie sich an der Interessenabwägung der DSGVO orientieren.^[88] Anders, im Sinne keines konkreten Anpassungsbedarfs, ist es bei Betriebsvereinbarungen, die keine Regelungen zur Verarbeitung von personenbezogenen Daten enthalten (z.B. Rauchen am Arbeitsplatz) oder die nur mittelbar die Datenverarbeitung ansprechen müssen (z.B. zur Verhütung von Mobbing und Diskriminierung).

Rz. 53

Datenschutzrechtliche Anforderungen an Betriebsvereinbarungen

Folgende inhaltliche Regelungen sollte eine Betriebsvereinbarung mit datenschutzrechtlichem Bezug vorsehen:

▪	Verdeutlichung der Zweckbindung
▪	Vorgaben an die Rechtmäßigkeit und Transparenz der Datenverarbeitung
▪	Kontrolle der Datenminimierung und Datensparsamkeit
▪	Datenrichtigkeit und Aktualität
▪	Beschränkung der Speicherdauer
▪	Vorgaben an die Daten-/IT-Sicherheit

[85] Ausführlich zur Rechtslage nach dem BDSG a.F., nach der Betriebsvereinbarungen einen Erlaubnistatbestand darstellen konnten und so Datenverarbeitungen gestatten konnten, die nach dem DBSG nicht vorgesehen war: Lachenmann, S. 203 ff.; eine entsprechende Fortführung wird heute noch oft vertreten, vgl. z.B. Schulze/Simon, ArbRAktuell 2021, 182; Puschky, ZD-Aktuell 2021, 05193.

[86] Piltz, § 26 Rn 26; Ratsdokument 15108/14 v. 5.11.2014, S. 2.

[87] Haußmann/Brauneisen, BB 2017, 3065, 3066.

[88] So zum BDSG a.F. BAG 15.4.2014 – 1 ABR 2/13, ZD 2014, 256.