30.01.2018

Betriebsvereinbarungen müssen Datenschutz berücksichtigen

In vielen Betriebsvereinbarungen geht es um die Verarbeitung von Beschäftigtendaten. Im Mai dieses Jahres tritt die neue Grundverordnung der EU zum Datenschutz in Kraft. Höchste Zeit für Betriebsräte, sich mit Datenschutz zu befassen.

Betriebsvereinbarung zum Datenschutz

Alles neu macht der Mai: EU-DSGVO und BDSG

Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) zeitgleich mit dem neu überarbeiteten Bundesdatenschutzgesetz (BDSG) in Kraft. Durch dieses Gesetz sind Unternehmen gefordert – aber der Betriebsrat auch. Es führt Betriebsvereinbarungen ausdrücklich als Kollektivvereinbarung auf. Art. 88 Abs. 2 EU-DSGVO und § 26 Abs. 4 Satz 2 BDSG bestimmen, dass Betriebsvereinbarungen:

  • „(…) angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz (umfassen).“

Keine Beschäftigtendaten ohne Grundlage

Wenn ein Unternehmen personenbezogene Daten von Beschäftigten verarbeiten möchte, benötigt es dafür eine rechtliche Grundlage. Grundsatz bei IT-Verarbeitung personenbezogener Daten ist: Keine Beschäftigtendaten ohne gesetzliche Ermächtigung. Grundsätzlich bieten sich dem Unternehmen hier drei Möglichkeiten:

  • Es beruft sich auf eine gesetzliche Vorschrift,
  • es holt die Einwilligung des jeweiligen Mitarbeiters ein,
  • es handelt mit dem Betriebsrat eine entsprechende Betriebsvereinbarung aus.

Allein der Blick in das BDSG reicht nicht mehr. Jede Verarbeitung personenbezogener Daten muss künftig den Standards der DSGVO genügen.

Betriebsvereinbarungen überprüfen

Betriebsräte sollten jetzt prüfen, ob Einwilligungen „freiwillig“ erteilt werden, rät „anwalt.de“. Dabei ist nach der Neuregelung des § 26 Abs.2 BDSG das Abhängigkeitsverhältnis des Beschäftigten ebenso zu prüfen wie die Frage, welchen Vorteil die Einwilligung für die Kollegin oder den Kollegen hat. Bestehen Zweifel an der Freiwilligkeit, dürfen die Daten der betroffenen Beschäftigten nicht verarbeitet werden. Hier trifft den Betriebsrat eine Überwachungspflicht nach § 80 BetrVG.

Nach Art. 88 DSGVO können Betriebsvereinbarungen Rechtsgrundlage für eine Datenverarbeitung sein, sie dürfen jedoch den Datenschutzstandard der DSGVO nicht unterschreiten. Wichtig ist Transparenz. Die Betriebsvereinbarung muss darüber aufklären, welche Beschäftigtendaten zu welchen Zwecken verwandt werden.

Betroffene Betriebsvereinbarungen

Dreh- und Angelpunkt sind Betriebsvereinbarungen wie:

  • die Rahmenbetriebsvereinbarung IT,
  • BV zur Videoüberwachung,
  • BV zur Internet- und E-Mail-Nutzung und
  • BV zu Personalinformationssystemen.

Formal müssen in diesen Vereinbarungen zunächst die Paragraphen ersetzt werden. Was früher § 32 BDSG war, ist jetzt § 26 BDSG. In Art. 4 DSGVO wird eine Vielzahl von Begriffen definiert. Betriebsvereinbarungen müssen das wiedergeben, was im Gesetz gemeint ist. Ferner tauchen als Anlage zu Betriebsvereinbarungen gelegentlich Einwilligungen der Beschäftigten auf. Hier muss deren Wirksamkeit geprüft werden. Schließlich hat eine inhaltliche Prüfung zu erfolgen: Sind in der Betriebsvereinbarung Datenverarbeitungen erlaubt, die nach den neuen Regelungen gar nicht mehr zulässig sind?

Hohe Bußgelder

Die Anwalts-Plattform warnt bei Nichtbeachtung der neuen Vorschriften vor teilweise exorbitanten Bußgeldern. So sehen die Haftungsregelungen in Art. 82, 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist. Auch Betriebsräte sollten sich dieser Gefahren bewusst sein und sich zum Wohle der Firma und der Beschäftigten mit der anstehenden Thematik auseinandersetzen. Betriebsräte sollten sich hierbei durchaus Rat beim betrieblichen Datenschutzbeauftragten oder sogar externen Beratern einholen.

Autor: Friedrich Oehlerking (Friedrich Oehlerking ist erfahrener Journalist und berät Betriebsräte bei ihrer Pressearbeit.)