Rahmenbetriebsvereinbarungen als beschäftigtendatenschutzrechtliche Hilfe nach dem In-Kraft-Treten der DSGVO am 25.5.2018
Betriebsvereinbarungen sind eine wichtige datenschutzrechtliche Rechtfertigung gemäß § 4 BDSG. Dies gilt glücklicherweise ab dem 25.5.2018 auch unter Geltung der EU-Datenschutzgrundverordnung (DSGVO) bzw. der ab diesem Tag ebenfalls geltenden Neufassung des § 26 BDSG, die den 2009 eingeführten § 32 BDSG ersetzt, fort. Ein massives Problem wird ab dem 25.5.2018 bestehen: Die meisten „alten“, also aktuell in Kraft befindlichen IT-Betriebsvereinbarungen genügen den Anforderungen der DSGVO sowohl in formeller als auch materieller Hinsicht nicht. Zudem sind ab dem 25.5.2018 die gesetzlichen Vorgaben des (neuen) § 26 Abs. 4 BDSG zu beachten. Der Umsetzungszeitraum ist nun so knapp, dass die Vielzahl alter IT-Betriebsvereinbarungen nicht mehr „nachverhandelt“ werden kann, zumal auch gerade jetzt die Betriebsratswahlen stattfinden und deshalb die Handlungsfähigkeit der Betriebsräte sehr oft eingeschränkt ist. Arbeitgeber müssen nun handeln, um Bußgeldern nach der DSGVO auszuweichen.
1. Anpassungsbedarf bei bestehenden datenschutzrechtlichen IT-Betriebsvereinbarungen besteht schon in Hinblick auf § 88 Abs. 2 DSGVO. Betriebsvereinbarungen „umfassen“ angemessene „besondere Maßnahmen zur Wahrung der menschlichen Würde“ und der dazu geregelten Vorgaben. Solche datenschutzrechtlichen Maßnahmen müssen nun ausdrücklich in der IT-Betriebsvereinbarung geregelt werden. Teilweise ist dies geregelt, wenn beispielsweise eine Videoüberwachung nicht in Sanitäreinrichtungen oder Umkleiden erfolgen darf. Oftmals sind auch die Persönlichkeitsgrundrechte der Arbeitnehmer angemessen geschützt. Gleichwohl empfiehlt sich hier in jedem Fall eine Prüfung der „Alt-Betriebsvereinbarung“ oder die Schaffung einer allgemein gehaltenen Regelung, eben durch eine „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“.
IT-Betriebsvereinbarungen müssen nun die Transparenz der Datenverarbeitung beachten und ausdrückliche Regelungen dazu treffen. Die Bedeutung der Transparenz hat der Europäische Gerichtshof für Menschenrechte im vergangenen Herbst in seinem aufsehenerregenden Urteil im Fall Barbulescu (Urteil vom 5.9.2017 – 61496/08 NZA 2017, 1443) zur Art. 8 EGMR ausdrücklich noch einmal herausgestellt.
Transparenz muss einmal im Hinblick auf die Bezeichnung als datenschutzrechtlicher Rechtfertigungsgrundlage bestehen.
Zum anderen müssen die Transparenzvorgaben des Artikel 5 Abs. 1a, Artikel 12 ff DSGVO als „Kernstück“ der DSGVO eingehalten werden.
Das führt bei neu abzuschließenden IT-Betriebsvereinbarungen zu einem ganz umfangreichen Katalog zu treffender Regelungen. Bei „Alt-IT-Betriebsvereinbarungen“ wird dies nicht mehr ohne weiteres nachzuarbeiten sein. Daher unsere Empfehlung: Schaffen Sie eine abstrakte Regelung zur Datenverarbeitung in einer „Rahmenbetriebsvereinbarung-Beschäftigtendatendatenschutz“. Damit ist im Hinblick auf Kontrollen der Datenschutzbehörden, die sich zukünftig intensivieren werden, ganz beträchtlicher Argumentationsspielraum geschaffen.
2. Schwieriger darzustellen wird in einer „Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz“ die ebenfalls unabdingbare Darstellung der konkreten Zweckbindung, die jede Datenverarbeitung gesondert betrifft und daher „an sich“ vielfältig wiederkehrend erfolgen muss. Die Zwecke der Beschäftigtendatenverarbeitung können durchaus unterschiedlich sein.
Nach dem datenschutzrechtlichen Grundsatz der Zweckbindung, der in Artikel 5 Abs. 1b DSGVO als fundamentaler Grundsatz für die Verarbeitung personenbezogener Daten benannt ist, sind die Zwecke immer anzugeben.
In der Rahmenbetriebsvereinbarung-Beschäftigtendatenschutz sollte unbedingt eine Zweckbindung auf die in Artikel 88 Abs. 1 DSGVO ausdrücklich genannten Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages einschließlich der Erfüllung gesetzlicher Pflichten, der Zwecke des Managements und der Organisation der Arbeit, der Gesundheit, Sicherheit, Gleichheit und Sicherheit am Arbeitsplatz sowie des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie der Beendigung des Beschäftigungsverhältnisses sowie die Inanspruchnahme der Rechte der Arbeitnehmer aufgenommen werden.
Diese Zwecke ergänzt der neue § 26 Abs. 1 Satz 1 BDSG darum, dass Beschäftigtendaten auch für die Rechte und Pflichten eines Tarifvertrages und – hier wird es besonders interessant – einer Betriebsvereinbarung verarbeitet werden dürfen. Schafft man eine allgemeine Regelung zur Zweckbindung, kann versucht werden, die zukünftig unbedingt notwendige strenge Zweckbindung auch für Alt-Betriebsvereinbarungen zum Datenschutz zu heilen, wenn eine solche klare (=strikte) Zweckbindung dort nicht enthalten ist.
3. Ein weiterer wichtiger Regelungsaspekt ist die Darstellung der in Artikel 12 ff DSGVO genannten betroffenen Rechte. Auf diese hat der Arbeitgeber den Arbeitnehmer im Sinne eines „arbeitsrechtlichen Beipackzettels“ schon bei der Begründung des Arbeitsverhältnisses (in Bewerbungsprozessen also schon bei deren Beginn) hinzuweisen.
Sinnvoll ist es daher, in der Rahmenbetriebsvereinbarung die Auskunftsrechte der Arbeitnehmer (Artikel 15 DSGVO), das Recht auf Berichtigung (Artikel 16 DSGVO), das Recht auf Löschung („vergessen werden“, Artikel 17 DSGVO, § 35 Abs. 1, 3 BDSG in der ab dem 25.5.2018 geltenden Fassung) und das Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, die Mitteilungspflichten bei der Informationsweitergabe an Dritte gemäß Artikel 19 DSGVO, das Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO sowie das Recht auf Widerspruch gemäß Artikel 21 DSGVO und § 36 BDSG in der ab dem 25.05.2018 geltenden Fassung sowie den Hinweis auf das Widerrufsrecht bei Einwilligung sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde zu regeln.
4. Mit diesen Gestaltungen kann bei etwaigen Untersuchungen der datenschutzrechtlichen Aufsichtsbehörden, mit denen in Zukunft stärker als bisher zu rechnen ist, glaubhaft gemacht werden, dass das Unternehmen schon jetzt den ernsthaften Versuch zur Einhaltung der datenschutzrechtlichen Vorgaben nach den ab dem 25.5.2018 geltenden Normen unternommen hat.
Eine Bemerkung noch zu Verhandlungen von Beschäftigtendatenschutz-Betriebsvereinbarungen: Beachten Sie, dass die Betriebsräte zukünftig stärker als bisher die vom verantwortlichen Arbeitgeber durchzuführende Datenschutz-Folgenabschätzung gemäß Artikel 35 Abs. 1 Satz 1 DSGVO vor Verhandlungen verlangen können. Diese sollten Arbeitgeber daher grundsätzlich zukünftig vor Aufnahme der Verhandlungen mit Betriebsräten vorbereitet haben, um Verzögerungen bzw. Unterbrechungen der Verhandlungen zu vermeiden.
Das Thema wird in Heft 3 des ArbRB von mir vertieft werden. Herr RiArbG Korinth wird in Heft 2/2018 des ArbRB darstellen, was sich durch die DSGVO insgesamt für den Betriebsrat ändert.