07179 Datenschutz in Betriebsvereinbarungen
|
Viele Betriebsvereinbarungen enthalten Regelungen zum Umgang mit Beschäftigtendaten, etwa im Zusammenhang mit der Einführung einer technischen Einrichtung. Einer Betriebsvereinbarung kommt nach deutschem Recht normative Wirkung zu, sie entfaltet also innerhalb des Betriebs eine Art Gesetzeskraft. Wie aber verträgt sich dies mit der EU-DSGVO? Denn deren Gedanke ist, vorrangig vor allen nationalen Regelungen rein auf EU-Ebene den Datenschutz zu regeln. Mit wenigen Ausnahmen dürfen nicht einmal mehr die Mitgliedstaaten noch Regelungen schaffen, warum also die Betriebsparteien?
Der Beitrag erläutert die europarechtlichen Hintergründe und zeigt, dass es zumindest in engen Grenzen weiterhin zulässig ist, in Betriebsvereinbarungen Regelungen für Beschäftigtendaten zu schaffen. Diese Grenzen werden erklärt und praktische Tipps gegeben, wie man bei der Neufassung, aber auch bei Überarbeitung des Bestands eine DSGVO-konforme Betriebsvereinbarung schaffen kann. Arbeitshilfen: von: |
1 Überblick
Mitbestimmungsrechte und DSGVO
Viele bestehende Betriebsvereinbarungen (BVen) enthalten Regelungen zum Umgang mit Daten von Mitarbeitern, also den sog. Beschäftigtendaten. Dies insbesondere deshalb, weil man damit versucht hat, gewisse Verarbeitungspraktiken eines Unternehmens in Bezug auf die Daten der Mitarbeiter zu legitimieren bzw. zu regeln. Denn bei der Einführung und Anwendung von technischen Einrichtungen war und ist nach dem deutschen Betriebsverfassungsgesetz (BetrVG) der Betriebsrat über die Vorschrift des § 87 Abs. 1 Nr. 6 BetrVG zwingend zu beteiligen, sofern die technische Einrichtung zur Leistungs- und/oder Verhaltenskontrolle objektiv geeignet ist. Das dürfte heutzutage bei fast jeder IT-Anwendung der Fall sein. Bis zur Geltung der DSGVO richtete sich die Frage, was der Arbeitgeber und der Betriebsrat hinsichtlich der Verarbeitung von Mitarbeiter-/Betriebsmitgliederdaten in einer Betriebsvereinbarung (BV) regeln dürfen, in der Praxis nach deutschem Recht, vorrangig dem BetrVG.
Viele bestehende Betriebsvereinbarungen (BVen) enthalten Regelungen zum Umgang mit Daten von Mitarbeitern, also den sog. Beschäftigtendaten. Dies insbesondere deshalb, weil man damit versucht hat, gewisse Verarbeitungspraktiken eines Unternehmens in Bezug auf die Daten der Mitarbeiter zu legitimieren bzw. zu regeln. Denn bei der Einführung und Anwendung von technischen Einrichtungen war und ist nach dem deutschen Betriebsverfassungsgesetz (BetrVG) der Betriebsrat über die Vorschrift des § 87 Abs. 1 Nr. 6 BetrVG zwingend zu beteiligen, sofern die technische Einrichtung zur Leistungs- und/oder Verhaltenskontrolle objektiv geeignet ist. Das dürfte heutzutage bei fast jeder IT-Anwendung der Fall sein. Bis zur Geltung der DSGVO richtete sich die Frage, was der Arbeitgeber und der Betriebsrat hinsichtlich der Verarbeitung von Mitarbeiter-/Betriebsmitgliederdaten in einer Betriebsvereinbarung (BV) regeln dürfen, in der Praxis nach deutschem Recht, vorrangig dem BetrVG.
Vorrang der DSGVO
Mit Geltung der DSGVO seit Mai 2018 stellt sich aber die Frage, ob und inwieweit es überhaupt noch erlaubt ist, in BVen solche Regelungen aufzunehmen. Denn im Gegensatz zum alten Recht ist die DSGVO vorrangig vor jedem nationalen Recht, auch dem deutschen BetrVG, soweit es um die Verarbeitung personenbezogener Daten geht. Falls eine Aufnahme solcher Regelungen in BVen noch zulässig ist, stellt sich die Folgefrage, was bei der Formulierung solcher Regelungen gemäß DSGVO zu beachten ist.
Mit Geltung der DSGVO seit Mai 2018 stellt sich aber die Frage, ob und inwieweit es überhaupt noch erlaubt ist, in BVen solche Regelungen aufzunehmen. Denn im Gegensatz zum alten Recht ist die DSGVO vorrangig vor jedem nationalen Recht, auch dem deutschen BetrVG, soweit es um die Verarbeitung personenbezogener Daten geht. Falls eine Aufnahme solcher Regelungen in BVen noch zulässig ist, stellt sich die Folgefrage, was bei der Formulierung solcher Regelungen gemäß DSGVO zu beachten ist.
Besonders praxisrelevant ist das Thema im Hinblick auf bestehende BVen. Bei diesen gilt es sich daher immer zu fragen: Müssen sie an die DSGVO angepasst werden? Wenn ja: Wie nimmt man diese Anpassung am besten vor? Gibt es diesbezüglich klare Vorgaben aus der DSGVO oder der Rechtsprechung?
