Zwischen
...................................................................
[Name und Adresse des Arbeitgebers],
diese vertreten durch
...................................................................
[Name des Vertretungsberechtigten],
- nachfolgend "Arbeitgeber" genannt -
und
...................................................................
[Name und Adresse des Betriebsrats]
dieser vertreten durch den Betriebsratsvorsitzenden,
...................................................................
[Name]
- nachfolgend "Betriebsrat "genannt -
wird folgende Betriebsvereinbarung zur Einführung von Microsoft 365 getroffen:
Präambel
Mit dieser Betriebsvereinbarung verfolgen die Betriebsparteien das Ziel, eine datenschutzkonforme Implementierung von Microsoft 365 Exchange E3 (im Folgenden Microsoft 365) in die betrieblichen Strukturen zu vereinbaren. Ziel ist es dabei, von der Software bereitgestellte Prozessoptimierungen mit berechtigten Schutzinteressen der Mitarbeiter an ihrem allgemeinen Persönlichkeitsrecht und vor einem ständigem Überwachungsdruck zu vereinbaren.
§ 1 Geltungsbereich
Alternativ
Variante 1: Geltung für alle Mitarbeiter
Diese Betriebsvereinbarung gilt für alle im Betrieb... tätigen Mitarbeiter.
Alternativ
Variante 2: Geltung für einzelne Bereiche
Diese Betriebsvereinbarung gilt nur für die Mitarbeiter in den Abteilungen …............
2. |
Diese Betriebsvereinbarung gilt nicht für die leitenden Angestellten im Sinne des § 5 Abs. 3 BetrVG. |
Zwischen den Parteien besteht Einvernehmen, dass die Umsetzung dieser Betriebsvereinbarung es unabdingbar macht, dass der Arbeitgeber leitende Angestellte und Mitarbeiter im Konzern, sofern diese mit der Verarbeitung personenbezogener Daten nach dieser Betriebsvereinbarung betraut werden, verbindlich und lückenlos an die Einhaltung des in dieser Betriebsvereinbarung Vereinbarten rechtlich bindet.
Der Arbeitgeber trägt weiterhin dafür Sorge, dass die Regelungen dieser Betriebsvereinbarung auch im Rahmen von Dienstleistungen eines Dritten für den Arbeitgeber eingehalten werden.
Diese Betriebsvereinbarung regelt nur die Verwendung der vereinbarten Komponenten auf dienstlichen Geräten. Die Installation und Verwendung auf dienstlich genutzten privaten Geräten (Bring your own Device – BYOD), bedarf stets einer eigenen (BYOD)-Vereinbarung.
§ 2 Grundsätze der Datenverarbeitung
1. |
Die Betriebsparteien sind sich darüber einig, dass die Einführung von Microsoft 365 grundsätzlich zur Durchführung der Arbeitsverhältnisse erforderlich ist. Rechtsgrundlage der Datenverarbeitungen im Rahmen von Microsoft 365 ist deswegen Art. 6 Abs. 1 Unterabsatz 1 Buchst. b DSGVO i. V. m. § 26 Abs. 1 Satz 1 BDSG und nicht diese Betriebsvereinbarung. |
2. |
Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Daten dürfen ausnahmsweise dann zu einem anderen Zweck verarbeitet werden, als sie ursprünglich erhoben wurden, wenn dies zur Aufdeckung von Straftaten im Rahmen dieser Betriebsvereinbarung oder aufgrund einer gesetzlichen Verpflichtung erforderlich ist. |
3. |
Stets gilt dabei, dass jede Datenverarbeitung im Rahmen von Microsoft 365 nur dann erfolgen darf, wenn die Grundsätze der Datenverarbeitung nach Art. 5 Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Dies setzt die Einhaltung der Zweckbindung, der Datenminimierung, der Datenrichtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit, der Rechenschaftspflicht, den Schutz personenbezogener Daten, Überwachungsmöglichkeiten, die Einhaltung von Auswertungsgrundsätzen und die Einbindung des Datenschutzbeauftragten voraus. |
Alternativ
Variante 1: DSFA mittels DSK
4. |
Die Parteien sind sich darüber einig, dass die Einführung von Microsoft 365 aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Mitarbeiter zur Folge hat. Der Arbeitgeber hat deswegen eine datenschutzrechtliche Folgenabschätzung (DSFA) im Sinne des Art. 35 DSGVO mittels des Standard-Schutzmodells der DSK durchgeführt. Diese ist als Anlage 1 Bestandteil dieser Betriebsvereinbarung. |
Alternativ
Variante 2: Nachträgliche Durchführung einer DSFA
4. |
Die Parteien sind sich darüber einig, dass die Einführung von Microsoft 365 aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Mitarbeiter zur Folge hat. Der Arbeitgeber wird deswegen eine datenschutzrechtliche Folgenabschätzung nach Art. 35 DSGVO durchführen. |
5. |
Die von dem Arbeitgeber im Rahmen der datenschutzrechtlichen Folgenabschätzung verwandten Module, abgeschlossene Lizenzvereinbarungen und getroffene Einstellungen im Programm begrenzen verbindlich die Reichweite und die Form der Nutzung von Microsoft 365 im Rahmen dieser Betriebsvereinbarung. |
6. |
Das in der Anlage 2 befindliche Verarbeitungsverzeichnis ist hinsichtlich der verarbeiteten Daten in den unterschiedlichen Modu... |