Group of business people and software developers working as a team in office

Schon wieder Datenschutz, heute aber mit dem Fokus auf die Mitbestimmung

Betriebsräten bringt die DS-GVO einen Mitbestimmungsvorsprung. Denn Verantwortlicher für die Datenverarbeitung im Beschäftigungsverhältnis ist der Arbeitgeber und der muss den Grundsatz:

„Keine Datenverarbeitung ohne Rechtsgrundlage“

beachten. Rechtsgrundlage für die Datenverarbeitung ganz grundsätzlich kann neben der Generalklausel des Art. 6 DS-GVO zunächst einmal die Einwilligung des Betroffenen sein. Im Arbeitsverhältnis kommt dann noch § 26 Absatz 1 BDSG oder wiederum die Einwilligung der Beschäftigten – mit besonderen Anforderungen (Freiwilligkeit) – und schließlich auch eine Kollektivvereinbarung in Betracht. Der Gesetzgeber benennt hier ganz ausdrücklich Betriebsvereinbarungen als mögliche Rechtsgrundlage.

Die Thematik des Datenschutzes wird aber nicht im Katalog des § 87 Absatz I BetrVG benannt. Die Betriebsvereinbarung kommt als Rechtsgrundlage aber immer dann ins Spiel, wenn Zuständigkeiten des Betriebsrates nach § 87 BetrVG berührt sind. Der Datenschutz kommt hier quasi als Anhängsel der Mitbestimmung einher.

Beispiel für Betriebsvereinbarungen mit Datenschutzbezug (nicht abschließend):

  • digitalisierte Personalarbeit (z. B. Workday, SAP Successfactors)
  • Rahmenvereinbarungen zu IT-Systemen
  • Vereinbarungen zu IT-Systemen aller Art
  • Auswahlrichtlinien (Bewerberauswahl)
  • Einstellungs- und Eignungsuntersuchungen
  • arbeitsmedizinische Vorsorge
  • betriebliches Eingliederungsmanagement (BEM)
  • Datenschutzrahmenvereinbarungen
  • Konzerndatenübermittlung
  • Datensicherheitsregelungen
  • Ethikrichtlinien (bspw. Regelung Verhalten in sozialen Netzwerken)
  • GPS

Anforderungen an Betriebsvereinbarungen

Die Datenschutzgrundverordnung hat mit Art. 88 Abs. 2 DS-GVO ein Schema für die Datenverarbeitung vorgegeben. Ziel ist die Wahrung der menschlichen Würde. Dazu wägt die DS-GVO die berechtigten Interessen des Verarbeiters gegen die Grundrechtsposition der betroffenen Person ab. Am Ende sollte dann immer eine transparente Datenverarbeitung stehen. Transparenz kann durch entsprechende Anpassung oder Neugestaltung von Betriebsvereinbarungen geschaffen werden. Zu formulieren ist, wie personenbezogene Daten des Arbeitnehmers im Einzelnen verarbeitet werden, also:

  • in einfacher und verständlicher Sprache
  • über alle wesentlichen Informationen im Zusammenhang mit der Datenverarbeitung: Welche Daten zu welchem Zweck jetzt oder künftig verarbeitet werden sollen?
  • für Beschäftigte in leicht zugänglicher Art und Weise
  • wer ist verantwortliche Stelle?
  • welche Rechte ihm als Betroffener zustehen
  • wie er die Rechte geltend machen kann
  • bei Einwilligungen: über die Widerrufsmöglichkeit.

Fazit

Für die Arbeitgeber dürfte es unmöglich sein das Thema Datenschutz nur mittels Einwilligungen der Beschäftigten effektiv und umfänglich abzuarbeiten. Die Bußgelder, die bei Datenschutzverstößen drohen, sind empfindlich und können eine enorme Belastung des Unternehmens darstellen. Die beste Möglichkeit datenschutzkonform zu werden, sind Betriebsvereinbarung. Hier kann der Betriebsrat mitgestalten.

Nicolas BallerstaedtNicolas Ballerstaedt
Abteilung Mitbestimmung