DSGVO – Besteht Anpassungsbedarf bei Betriebsvereinbarungen?

Am 25. Mai 2018 ändert sich im Datenschutz vieles. An diesem Tag tritt das bisherige BDSG außer Kraft. Ab dann gilt die DSGVO sowie das neue BDSG. Das bringt zahlreiche Veränderungen mit sich, auf die sich Arbeitgeber vorbereiten müssen.

Dieser Beitrag befasst sich mit der Frage, ob Handlungsbedarf bei Betriebsvereinbarungen besteht, die – zumindest auch – die Verarbeitung personenbezogener Daten durch EDV regeln.

Betriebsvereinbarungen spielen im betrieblichen Datenschutz eine große Rolle und das in zweierlei Hinsicht: zum einen dienen sie der Wahrung des Mitbestimmungsrechts des Betriebsrats bei der Einführung und Anwendung technischer Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG) und zum anderen sind sie häufig Grundlage für die Verarbeitung personenbezogener Daten von Beschäftigten. Betriebsvereinbarungen stellen eine Rechtfertigungsgrundlage für die Verarbeitung personenbezogener Daten dar und stehen damit gleichwertig neben den gesetzlichen Rechtfertigungsgrundlagen (Art. 6 und 9 DSGVO sowie § 26 BDSG) und der Einwilligung des Betroffenen.

Während das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG unverändert fortbesteht, ergeben sich bei Betriebsvereinbarungen, die Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind, erhebliche Änderungen. Die DSGVO und das neue BDSG regeln erstmals ausdrücklich, dass Betriebsvereinbarungen Grundlage für die Verarbeitung sein können. Ferner werden Voraussetzungen normiert, die zur Wirksamkeit von Betriebsvereinbarungen zukünftig zu beachten sein werden.

Was bedeutet das für bestehende Betriebsvereinbarungen und was ist zukünftig beim Abschluss von Betriebsvereinbarungen zu beachten?

Klar ist, dass bestehende Betriebsvereinbarungen nach dem 24. Mai 2018 nur dann wirksam bleiben, sofern sie den Anforderungen der DSGVO und des neuen BDSG entsprechen. Arbeitgeber sollten dies sorgfältig prüfen, da eine unwirksame Betriebsvereinbarung keine Rechtfertigung für die Verarbeitung von Beschäftigtendaten sein kann. Die Verarbeitung wäre rechtswidrig und der Arbeitgeber müsste mit einem Bußgeld rechnen. Angesichts des erheblich angestiegenen Bußgeldrahmens ist dies eine nicht zu unterschätzende Gefahr für Arbeitgeber.

Auch wenn Art. 88 Abs. 1 DSGVO die Betriebsvereinbarung als Rechtfertigungsgrundlage anerkennt, setzt die Vorschrift gleichzeitig Grenzen. Danach können Betriebsvereinbarungen „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages, einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.“

Hält sich der Zweck der Datenverarbeitung innerhalb dieser Grenzen ist ferner Art. 88 Abs. 2 DSGVO zu beachten. Danach muss die Betriebsvereinbarung „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe (…) und die Überwachungssysteme am Arbeitsplatz“ umfassen.

§ 26 Abs. 4 BDSG nimmt ausdrücklich Bezug auf Art. 88 Abs. 2 DSGVO, indem in S. 2 festgelegt wird, dass Art. 88 Abs. 2 DSGVO „zu beachten“ ist. Bei der Prüfung bestehender Betriebsvereinbarungen ist daher ein besonderes Augenmerk darauf zu richten, ob diese den besonderen Anforderungen des Art. 88 Abs. 2 DSGVO i.V.m. § 26 Abs. 4 BDSG gerecht werden.

Weiterer Anpassungsbedarf bei bestehenden Betriebsvereinbarungen kann sich u.a. aus Art. 5 DSGVO, den Grundsätzen für die Verarbeitung personenbezogener Daten, sowie aus Art. 12 DSGVO, dem Transparenzgebot, ergeben. Das gilt nicht nur für Betriebsvereinbarungen, die Rechtfertigungsgrundlage für die Verarbeitung personenbezogener Daten sind, sondern auch für Betriebsvereinbarungen nach § 87 Abs. 1 Nr. 6 BetrVG. Unverändert gilt, dass Betriebsvereinbarungen nicht alle Beschäftigten im Sinne des Art. 88 DSGVO erfassen. Sie gelten nicht für leitende Angestellte, auch wenn diese Beschäftigte im Sinne der DSGVO sind. Bei der Verarbeitung personenbezogener Daten von leitenden Angestellten benötigt der Arbeitgeber daher eine andere Rechtfertigungsgrundlage. Das können die gesetzlichen Grundlagen sein (§ 26 Abs. 1 BDSG oder Art. 6 und 9 DSGVO), eine Einwilligung oder ggf. auch eine Vereinbarung nach dem Sprecherausschussgesetz.