Teil 4 der Serie: Datenschutz-Betriebsvereinbarungen

Erste Erfahrungen mit dem neuen Beschäftigten-Datenschutz

In unserer neuen Serie zum Beschäftigten-Datenschutz erfahren Sie in den kommenden Wochen, welche ersten Erfahrungen und Fragen es aus der Praxis seit Inkrafttreten des neuen Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO) gibt.

Es geht weiter mit der Frage, was Arbeitgeber und Betriebsrat bei Betriebsvereinbarungen beachten müssen.

Betriebsvereinbarungen können eine Rechtsgrundlage für die Verarbeitung von Arbeitnehmerdaten sein. Allerdings müssen sie einige Anforderungen erfüllen, um wirksam zu sein. Das gilt auch für Vereinbarungen aus der Zeit vor der DSGVO, sodass die Betriebspartner sie möglicherweise überarbeiten müssen.

Nach überwiegender Ansicht müssen Datenschutz-Betriebsvereinbarungen alle Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO ausdrücklich regeln:

Sie müssen den Grundsatz der Transparenz der Verarbeitung einhalten. Die Daten müssen also in einer für den Arbeitnehmer nachvollziehbaren Weise verarbeitet werden. Erlaubt eine Betriebsvereinbarung die Überwachung von Leistung und Verhalten der Arbeitnehmer, reicht es also nicht aus, dies so pauschal zu vereinbaren. Vielmehr muss sie den Umfang der Überwachung und die Intensität des Eingriffs transparent regeln. Regelt sie nur, dass die private Nutzung dienstlicher Systeme verboten ist, aber nicht auch ausdrücklich, dass der Arbeitgeber zur Kontrolle dieses Verbots etwa auch die E-Mails auf den Systemen mitliest, ist dies wohl nicht transparent genug.

Ein weiterer Grundsatz ist die Zweckbindung. Der Zweck der Datenverarbeitung muss präzise definiert sein. Schließen Arbeitgeber und Betriebsrat eine Betriebsvereinbarung zur Einführung einer Personaldatenbank, ist der Zweck „Personalverwaltung“ eventuell nicht präzise genug. Andererseits müssen Arbeitgeber jedoch aufpassen, dass sie den Zweck nicht zu eng definieren, denn Zweckänderungen sind nur eingeschränkt zulässig.

Zu beachten ist auch Grundsatz der Datenminimierung. Erlaubt eine Betriebsvereinbarung etwa für das Personalreporting die Verarbeitung von Echtdaten, obwohl dafür auch pseudonymisierte Daten ausreichen würden, besteht ebenfalls Anpassungsbedarf.

Auch der Grundsatz der Speicherbegrenzung kann zu einem Anpassungsbedarf der Betriebsvereinbarung führen. Regelt sie etwa, dass bestimmte Beschäftigtendaten gelöscht werden, wenn der Arbeitgeber sie nicht mehr benötigt, ist die hierfür festgelegte Frist jedoch zu lang, müssen die Betriebspartner das ebenfalls ändern und kürzere Fristen regeln.

Ferner müssen sie den Grundsatz der Integrität und Vertraulichkeit beachten. Dies gilt vor allem bei Betriebsvereinbarungen zur Videoüberwachung. Sie regeln üblicherweise auch, wie die Videoaufzeichnung ausgewertet werden. Häufig vereinbaren die Betriebspartner, dass nur ein eng begrenzter Personenkreis berechtigt ist, die Aufzeichnungen anzusehen. Fasst die Betriebsvereinbarung den Kreis der berechtigten Personen jedoch zu weit, muss dies geändert werden.

Die Betriebspartner sind also gut beraten, wenn sie proaktiv ihre (alten) Betriebsvereinbarungen sichten und prüfen, ob sie etwaige Regelungen im Zuge des neuen Datenschutzrechts anpassen müssen.