Anforderungen an eine Betriebsvereinbarung nach der EU-DSGVO

Fachbeitrag

Betriebsvereinbarungen spielen in der Praxis eine große Rolle als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Unternehmen. Dies wird sich auch durch die Einführung der Datenschutz-Grundverordnung nicht ändern. Der folgende Artikel beschäftigt sich mit den Anforderungen an eine Betriebsvereinbarung nach der EU-DSGVO und der Frage, ob bereits bestehende Betriebsvereinbarungen im Unternehmen weiter genutzt werden können.

Gesetzliche Grundlage

Bisher galten Betriebsvereinbarungen nach ständiger Rechtsprechung des Bundesarbeitsgerichts als „andere Rechtsvorschriften“ im Sinne des § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) und konnten daher als Erlaubnisgrundlage für die Verarbeitung von Beschäftigtendaten herangezogen werden. Nach der Datenschutz-Grundverordnung können die Mitgliedsstaaten gem. Art. 88 Abs. 1 EU-DSGVO durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. Passend dazu führt Erwägungsgrund 155 der Verordnung Betriebsvereinbarungen ausdrücklich als Kollektivvereinbarung i.S.d. Art. 88 Abs. 1 EU-DSGVO auf. Dementsprechend regelt auch das neue BDSG in § 26 Abs. 4, dass die Verarbeitung von (besonderen Kategorien) personenbezogener Daten aufgrund Kollektivvereinbarungen zulässig ist.

Inhaltliche Anforderungen

Direkter Anknüpfungspunkt für die inhaltlichen Anforderungen ist zunächst Art. 88 Abs. 2 EU-DSGVO (so auch ausdrücklich § 26 Abs. 4 Satz 2 BDSG) Dieser bestimmt, dass Betriebsvereinbarungen

„(…) angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz (umfassen).“

Fraglich ist also an der Stelle, was unter solchen Maßnahmen zu verstehen ist. Wie in Art. 88 Abs. 2 EU-DSGVO bestimmt, vor allem im Hinblick auf:

Transparenz

Der Grundsatz der Transparenz erfordert, dass Beschäftigte durch Betriebsvereinbarungen in für sie leicht zugänglicher Weise, sowie in einfacher und verständlicher Sprache über alle wesentlichen Informationen im Zusammenhang mit der Datenverarbeitung aufgeklärt werden müssen. Dies umfasst in jedem Fall die Information, welche Daten zu welchem Zweck jetzt oder künftig verarbeitet werden sollen. Darüber hinaus muss für den Beschäftigten stets klar sein, wer verantwortliche Stelle für die Datenverarbeitung ist, welche Rechte ihm als Betroffener zustehen und wie er diese Rechte geltend machen kann. Insbesondere ist hier das Recht auf Bestätigung und Auskunft über die Datenverarbeitung aufzuführen. Darüber hinaus soll über mögliche Risiken, Vorschriften und Garantien im Zusammenhang mit der Datenverarbeitung aufgeklärt werden, sowie sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die Beschäftigten gewährleisten zur Verfügung gestellt werden, vgl. Erwägungsgrund 39 EU-DSGVO. Konkretes Beispiel für mögliche Risiken und damit verbundene Garantien wäre z.B. die Information der Beschäftigten über ein geringeres Datenschutzniveau in einem Drittstaat wenn Daten in einen solchen übermittelt werden und dem Vorliegen von z.B. EU-Standardvertragsklauseln mit der empfangenden Stelle als datenschutzrechtliche Garantie in diesem Zusammenhang.

Datenübermittlungen innerhalb einer Unternehmensgruppe

Aufgrund des fehlenden Konzernprivilegs im Datenschutzrecht werden auch Unternehmen innerhalb eines Unternehmensverbundes als Dritte angesehen, eine Übermittlung von Beschäftigtendaten bedarf also stets einer Rechtsgrundlage, z.B. in Form einer Betriebsvereinbarung. Die im Rahmen der Datenschutz-Grundverordnung als sog. „kleines Konzernprivileg“ bezeichnete Formulierung in Erwägungsgrund 48 kann darüber nicht grundsätzlich hinweghelfen. Sie stellt lediglich klar, dass eine Datenübermittlung im Unternehmensverbund im berechtigten Interesse der verantwortlichen Stelle liegen kann. Dieses gilt es aber trotzdem im Einzelfall (dokumentiert) festzustellen und zu begründen. Darüber hinaus wird in vielen Fällen ein Mitbestimmungsrecht des Betriebsrats vorliegen, wenn Daten innerhalb eines Konzerns ausgetauscht werden sollen.

In einer Betriebsvereinbarung ist dabei insbesondere ein Berechtigungskonzept zu regeln, also  wer zu welchem Zweck Zugriffe auf die Daten innerhalb des Unternehmensverbundes erhält. Der Zweck der Datenübermittlung spielt dabei eine entscheidende Rolle, da ein bloßes Informationsinteresse z.B. der Konzernmutter an dieser Stelle nicht ausreicht. Es müssen vielmehr klare Aufgaben definiert und  übernommen werden, wie etwa eine gebündelte Personal- oder Kundendatenverwaltung durch z.B. die Konzernmutter. Darüber hinaus muss es eine Regelung geben, gegenüber wem die Beschäftigten innerhalb des Unternehmensverbundes ihre Rechte geltend machen können.

Überwachungssysteme am Arbeitsplatz

Besondere Bedeutung kommt der Betriebsvereinbarung regelmäßig hinsichtlich einer möglichen Überwachung der Beschäftigten am Arbeitsplatz zu. Allein die objektive Möglichkeit, Beschäftigte mit Hilfe einer technischen Einrichtung am Arbeitsplatz zu überwachen, löst nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht des Betriebsrats aus. Hier ist entscheidend, dass die Betriebsvereinbarung Maßnahmen enthält, die diese Möglichkeit der Überwachung der Beschäftigten soweit wie möglich ausschließt. Daher sollten die technischen Systeme verbindlich so konfiguriert werden, dass eine Identifikation der Beschäftigten, soweit es der Zweck zulässt, ausgeschlossen wird (z.B. teilweise Schwärzung von Kamerabildern). Daneben spielen hier Regelungen zu Zugriffsberechtigungen und Löschfristen eine große Rolle. Auch wenn dies eher deklaratorischen Charakter hat, sollte in der Betriebsvereinbarung außerdem eine Verhaltens- und Leistungskontrolle der Beschäftigten ausdrücklich ausgeschlossen werden.

Grundsätze der Datenverarbeitung nach EU-DSGVO

Da die EU-DSGVO in Art. 88 Abs. 1 von „spezifischeren Vorschriften“ spricht, dürfen die Regelungen einer Betriebsvereinbarung grundsätzlich nicht dazu führen, dass das Schutzniveau der Datenschutz-Grundverordnung durch diese unterlaufen wird. Daher sollten auch stets die in Art. 5 EU-DSGVO festgelegten Grundsätze für die Verarbeitung von personenbezogenen Daten beachtet und in der Betriebsvereinbarung abgebildet werden und sichergestellt sein, dass alle Betroffenenrechte nach Art. 12 bis 23 EU-DSGVO im Hinblick auf die konkrete Verarbeitungssituation gewahrt werden können. Soweit Betriebsvereinbarungen die Verarbeitung von besonderen personenbezogenen Daten regeln (z.B. biometrische Daten bei der Zutrittskontrolle) sind darüber hinaus die besonderen Anforderungen des Art. 9 EU-DSGVO zu beachten.

Was ist mit alten Betriebsvereinbarungen?

Vor allem in Hinblick auf die umfangreichen Informationspflichten und Betroffenenrechte, die in Zukunft zu beachten sind, werden viele alte Betriebsvereinbarungen nicht den Anforderungen der EU-DSGVO gerecht werden. Dementsprechend wird man nicht umhinkommen, diese an die neuen Erfordernisse anzupassen. Dabei empfiehlt es sich zu prüfen, inwieweit man ggf. mit Rahmenbetriebsvereinbarungen arbeiten kann, damit der Aufwand überschaubar bleibt.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Datenübermittlungen innerhalb einer Unternehmensgruppe:
    Würde denn eine BV einen ADV Vertrag ersetzen? Was machen Konzerne, wenn nicht alle Tochterunternehmen „organisiert“ sind? MIt den organisierten eine BV, mit den anderen einen ADV Vertrag?

    Zitat:
    „Aufgrund des fehlenden Konzernprivilegs im Datenschutzrecht werden auch Unternehmen innerhalb eines Unternehmensverbundes als Dritte angesehen, eine Übermittlung von Beschäftigtendaten bedarf also stets einer Rechtsgrundlage, z.B. in Form einer Betriebsvereinbarung.“
    Würde dies bedeuten, dass eine (Konzern-)Betriebsvereinbarung in diesem Fall einen Vertrag zur Auftragsverarbeitung ersetzen kann?

    • Dies bedeutet nicht, dass eine Betriebsvereinbarung stets einen Vertrag zur Auftragsverarbeitung ersetzen kann. Entscheidend ist wie das Verhältnis zwischen der übermittelnden Stelle und dem Empfänger ausgestaltet ist. Liegen die Merkmale einer Auftragsverarbeitung (z.B. Weisungsabhängigkeit beim Auftragnehmer) vor, so ist ein Vertrag zur Auftragsverarbeitung auch weiter erforderlich.

  2. Sie schreiben richtigerweise: „Dementsprechend regelt auch das neue BDSG in § 26 Abs. 4, dass die Verarbeitung von (besonderen Kategorien) personenbezogener Daten aufgrund Kollektivvereinbarungen zulässig ist.“ Um Missverständnisse zu vermeiden (vielfach gibt es diese), sei nochmal deutlich auf eines hingewiesen:
    EU-Recht hat Anwendungsvorrang vor nationalem Recht!
    Das bedeutet: Die Erlaubnis in § 26 Abs. 4 BDSG neu, Datenverarbeitungen durch Kollektivvereinbarungen regeln zu dürfen, gilt ausschließlich in dem durch Art. 88 Abs. 1 gesetzten Rahmen. Dem Satz 1 in § 26 Abs. 4 ist also gedanklich stets die zentrale Bestimmung in Art. 88 Abs. 1 Satz 1 voranzustellen: Sofern Kollektivvereinbarungen „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorsehen, ist „die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, […] auf der Grundlage von Kollektivvereinbarungen zulässig.“
    Und nochmal in aller Deutlichkeit zu den Erlaubnistatbeständen: In Kollektivvereinbarungen festgelegte Erlaubnistatbestände sind (ab 25.05.2018) ausschließlich gültig, wenn sie einem der in Art. 6 oder Art. 9 DSGVO aufgeführten Erlaubnistatbestände entsprechen (vgl. § 26 Abs. 1 BDSG neu; die darin genannten Erlaubnistatbestände erfüllen sämtlich diese Bedingung). Kollektivvereinbarungen dürfen, genau wie auch nationale Rechtsvorschriften, die Reglungen der DSGVO konkretisieren, aber weder aufweichen noch verschärfen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.