Bei der Gestaltung von (Rahmen-)Betriebsvereinbarungen zur Umsetzung der Anforderungen des Datenschutzrechts kommt eine nicht unerhebliche Anzahl von Regelungskomplexen in Betracht. Welche Punkte die Betriebsparteien im Rahmen entsprechender Betriebsvereinbarungen regeln werden, hängt von einer Vielzahl von Faktoren ab. Gerade die Beziehungen zwischen Arbeitgeber und Betriebsrat und ein gemeinsames Verständnis von den Anforderungen der DSGVO sind hier in der Praxis oftmals die entscheidenden Kriterien.
7.1 Zwingende Regelungen nach Art. 88 Abs. 2 DSGVO
Nach Art. 88 Abs. 2 DSGVO müssen alle nationalen Vorschriften zum Beschäftigungskontext – also insbesondere auch Betriebsvereinbarungen – so ausgestaltet werden, dass die Grundrechte und Interessen der Betroffenen hinreichend geschützt sind. Damit sind in erster Linie die oben aufgezeigten Grundsätze nach Art. 5 DSGVO in der Betriebsvereinbarung abzubilden.
Darüber hinaus verpflichtet Art. 88 Abs. 2 DSGVO die Betriebsparteien dazu, angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu vereinbaren. Dies gilt insbesondere im Hinblick auf die Transparenz der Verarbeitung von Arbeitnehmerdaten. Sofern Arbeitnehmerdaten im Konzern ausgetauscht werden, müssen auch entsprechende Maßnahmen zur Übermittlung personenbezogener Daten innerhalb dieser Unternehmensgruppe bzw. einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, geregelt sein. Auch der Einsatz von Überwachungssystemen am Arbeitsplatz ist nach Art. 88 Abs. 2 DSGVO im Rahmen von Betriebsvereinbarungen so zu regeln, dass die menschliche Würde, die berechtigten Interessen und die Grundrechte der hiervon betroffenen Personen geschützt werden.
Betriebsvereinbarungen, die diesen Standards nicht gerecht werden, sind nichtig, denn sie verstoßen zugleich gegen materielle Schutzvorschriften der DSGVO, wie insbesondere die Erlaubnistatbestände des Art. 6 DSGVO bzw. Art. 9 DSGVO oder die Rechte der Betroffenen.
Sofern das deutsche Recht – und damit auch Kollektivvereinbarungen als untergesetzliche Rechtsakte – diesen Standards nicht entsprechende gesetzliche Rechtsvorschriften enthalten sollte, wären diese jedenfalls zur Klarstellung aufzuheben.
7.2 Geltung von Art. 88 DSGVO für alle Betriebsvereinbarungen?
Eine weitere für die Praxis wichtige Frage ist, ob die Anforderungen von Art. 88 DSGVO für sämtliche Betriebsvereinbarungen gelten, die die Verarbeitung personenbezogener Daten von Arbeitnehmern regeln oder voraussetzen, oder nur für solche Betriebsvereinbarungen, die solche Verarbeitungen datenschutzrechtlich legitimieren sollen, also als eigenständiger datenschutzrechtlicher Erlaubnistatbestand wirken.
Der Wortlaut von Art. 88 Abs. 1 DSGVO legt nahe, dass diese Vorschrift auf sämtliche Kollektivvereinbarungen Anwendung finden könnte. Die Norm nimmt nicht ausdrücklich darauf Bezug, ob eine Betriebsvereinbarung (oder sonstige Kollektivvereinbarungen) die Verarbeitung personenbezogener Daten erlauben soll oder nicht. Vielmehr soll die Norm gelten, sofern "spezifischere Vorschriften" zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten vorgesehen werden. In Gesprächen mit einigen Vertretern von Datenschutzaufsichtsbehörden zeigt sich, dass diese wohl überwiegend der Auffassung sind, dass Art. 88 DSGVO für alle Betriebsvereinbarungen verbindlich gelten soll. Eine Differenzierung zwischen 2 "Arten" von Betriebsvereinbarungen ist in Art. 88 Abs. 1 DSGVO nicht angelegt.