Präambel
Die Betriebspartner sind sich einig, dass elektronische Datenverarbeitungs- und Kommunikationssysteme für die Erfüllung dienstlicher und betrieblicher Aufgaben unerlässlich sind. Beim Einsatz solcher Systeme können aber Persönlichkeitsrechte der Mitarbeiter betroffen sein. Ziel dieser Betriebsvereinbarung ist es daher, die Persönlichkeitsrechte der Mitarbeiter unter Beachtung aller maßgeblichen gesetzlichen Bestimmungen zu sichern und dennoch den Einsatz technischer Einrichtungen zu ermöglichen. Es werden deshalb folgende Rahmenbedingungen zum Datenschutz beim Einsatz von Datenverarbeitungs- und IT-Systemen (DV-/IT-Systemen) im Betrieb festgelegt. Soweit erforderlich, werden die Betriebsparteien bei der Einführung neuer Systeme eine auf das jeweilige System angepasste, diese Rahmenvereinbarung ergänzende Einzelbetriebsvereinbarung abschließen.
§ 1 Anwendungsbereich
(1) Diese Rahmenbetriebsvereinbarung gilt sachlich für die Verarbeitung von personenbezogenen und/oder personenbeziehbaren Daten unabhängig davon, in welchen Systemen diese Daten gespeichert sind und ob die Verarbeitung in standardisierter oder individueller Form erfolgt.
(2) Sie findet in persönlicher Hinsicht auf Mitarbeiter und Mitarbeiterinnen der Firma Anwendung, mit Ausnahme der leitenden Angestellten iSd § 5 Abs. 3 BetrVG. Soweit im Folgenden nur auf "Mitarbeiter" oder "Arbeitnehmer" abgestellt wird, erfolgt dies aus Vereinfachungsgründen und bezieht sich sowohl auf Mitarbeiter als auch Mitarbeiterinnen.
§ 2 Definitionen
(1) Personenbezogene und/oder personenbeziehbare Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.
(2) Das Verarbeiten von Daten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener und/oder personenbeziehbarer Daten.
(3) Informations- und Techniksysteme (IT-Systeme) bezeichnet Hard- und Software, einschließlich sämtlicher Peripheriegeräte, digitale Nebenstellenanlagen, Netze oder webbasierter Systeme.
(4) Im Übrigen gelten die Begriffsbestimmungen des BDSG und der Europäischen Datenschutzgrundverordnung (DS-GVO).
§ 3 Grundsätze
(1) Die Betriebsparteien sind sich einig, dass beim Einsatz datenverarbeitender Techniken, insbesondere beim Einsatz von DV-/IT-Systeme, die Persönlichkeits- und Datenschutzrechte der Mitarbeiter zu beachten sind. Datenverarbeitungen dürfen daher nur unter Berücksichtigung der gesetzlichen Bestimmungen, insbesondere des BDSG und der DS-GVO in der jeweils gültigen Fassung, erfolgen.
(2) Das Erheben, Verarbeiten und Auswerten (Nutzen) personenbezogener Daten durch DV-/IT-Systeme erfolgen nur, soweit dies zur Begründung, Durchführung, Abwicklung und Dokumentation von Arbeitsverhältnissen sowie zur Erfüllung von durch Rechtsvorschriften begründeten Verpflichtungen oder zum Erstellen von anonymisierten Auswertungen erforderlich ist. Unzulässig gespeicherte Daten dürfen ohne Zustimmung des Betriebsrates weder weiterverarbeitet noch ausgewertet werden und sind sofort zu löschen.
(3) Die automatisierte Verarbeitung personenbezogener Daten ist nur im Rahmen der jeweiligen Zweckbestimmung zulässig. Die Verarbeitung persönlicher Arbeitnehmerdaten ist auf ein sparsames Ausmaß zu begrenzen und darf nur hinsichtlich solcher Daten erfolgen, die zum Erreichen der jeweiligen Verarbeitungszwecke zwingend erforderlich sind. Systeme, die Personaldaten verarbeiten, dürfen nicht zu dem Zweck eingesetzt werden, personenbezogene Daten auf Vorrat, demnach für einen noch nicht bestimmten oder bestimmbaren Zweck zu erheben oder zu verarbeiten.
(4) Eine automatisierte Verarbeitung von Daten zur Leistungs- und/oder Verhaltenskontrolle von Mitarbeiterinnen und Mitarbeitern ist generell unzulässig. Sie kann nur im Ausnahmefall mit Zustimmung des Betriebsrates zulässig sein. DV-/IT-Systeme dürfen daher nicht als ausschließliches Mittel für die Kontrolle von Mitarbeitern und als Grundlage für disziplinarische Maßnahmen (wie zB Abmahnungen, Kündigungen, Versetzungen, Abgruppierungen) genutzt werden. Verstößt eine Datenverarbeitung gegen dieses Verbot, dürfen die mit ihr gewonnenen Erkenntnisse nicht zum Nachteil der Mitarbeiter verwendet werden. Dies schließt auch eine mittelbare Verwendung, zB über Zeugen, aus.
§ 4 Betriebliche Datenschutzregeln
(1) Beim Einsatz von DV-/IT-System ist der Zweck der jeweiligen Datenverarbeitung zu dokumentieren. Den mit der Datenverarbeitung betrauten Mitarbeitern ist es untersagt, personenbezogene Daten zu einem anderen als dem zur jeweiligen Aufgabenerfüllung erforderlichen und dokumentierten Zweck zu verarbeiten, bekannt zu geben oder in sonstiger Weise zu nutzen.
(2) Jede Verarbeitung von schutzwürdigen personenbezogenen oder personenbeziehbaren Daten, auch der unberechtigte Zugriff, wird revisionssicher protokolliert. Personenbezogene Daten, für ...