Betriebsvereinbarung Datenschutz

Unternehmensvereinbarung über den Datenschutz

Unternehmensvereinbarungen und Datenschutz am Arbeitsplatz. Aus der Musterbetriebsvereinbarung sind die grau unterlegten Passagen wie folgt zu entnehmen. Zu diesem Zweck werden Maßnahmen im Sinne der Modelle "Datenschutz" durchgeführt.

Aktionsempfehlungen und Kontrollliste für praktische Vorschriften - Expertenforum für Arbeitsrecht (#EFAR)

Das EU-Datenschutzgesetz (DSGVO) hat signifikante Folgen für den Datenschutz am Arbeitplatz. Sollten Firmen mit Fehlern bei der Implementierung der DSGVO konfrontiert sein, bedrohen sowohl höhere Geldbußen als auch Schadenersatzansprüche der betroffenen Mitarbeiter - der Verfasser hat dies bereits in der EFAR erläutert, um Schadenersatzansprüche und Verbote der Beweisführung zu vermeiden. Darüber hinaus werden die gesetzlichen Vorgaben wesentlich komplizierter als nach dem bisher gültigen Datenschutzgesetz.

Neue Forderungen werden durch die DSGVO auch an Unternehmensverträge gestellt, die die Datenverarbeitung von Mitarbeitern regelt oder vorschreibt. Diese Übersicht verdeutlicht, welche Voraussetzungen Unternehmensverträge in Zukunft zu erfüllen haben und wie die entsprechenden Vorschriften ausgestaltet werden können. Darüber hinaus enthält sie Empfehlungen für Maßnahmen zur Erfüllung der Forderungen der DSGVO im Rahmen des Betriebes. Unternehmensvereinbarungen haben lange Zeit eine große Bedeutung für den Datenschutz am Arbeitplatz gehabt.

Verwendet der Auftraggeber IT-Systeme oder andere automatische Anlagen, die für das Betreuungsverhalten der Arbeitnehmerinnen und Arbeitnehmer in Frage kommen oder gar nur in der Größenordnung liegen, so hat der Konzernbetriebsrat ein statutarisches Mitspracherecht gemäß § 87 Abs. 1 Nr. 6 BetrVG. Darüber hinaus hat der Konzernbetriebsrat die Beachtung der datenschutzrechtlichen und sonstigen Bestimmungen zum Schutze der Mitarbeiter zu überprüfen, § 80 Abs. 1 Nr. 1 Nr. 1 BetrVG.

Bei vielen Betrieben machen Arbeitnehmervertretungen, Konzernbetriebsräte oder Generalbetriebsräte von ihrem Recht auf Mitbestimmung in Anspruch und verlangen den Abschluß von entsprechenden Werksvereinbarungen. Es hat sich gezeigt, dass solche Vereinbarungen oft einen geeigneten Zusammenhang für die Vereinbarung geeigneter und angemessener Vorkehrungen zur Festlegung der zulässigen und unter welchen Bedingungen durchzuführenden Inspektionen darstellen. Gegenüber den allgemeinen - und sehr unklaren - Rechtsvorschriften zum Datenschutz hat der große Nutzen, dass sich Unternehmer und Arbeitnehmer auf die konkreten Rahmenbedingungen für den individuellen Bewerbungsablauf verständigen können.

Damit wird für die Unternehmen, d.h. für Unternehmer und Arbeitnehmer, rechtliche Sicherheit geschaffen und für die Arbeitnehmer ein Höchstmaß an Offenheit in der Datenverarbeitung erreicht. Grundvoraussetzung ist jedoch, dass sich beide Parteien darauf einlassen, durch gegenseitige Rücksichtnahme und den Wegfall extremer Verhandlungssituationen balancierte und angemessene Vereinbarungen zu vereinbaren. Gemäß dem Konzept der DSGVO ist die Datenverarbeitung generell verboten, sofern die Bedingungen für eine Zulassung nach der DSGVO oder einer anderen geltenden Datenschutzbestimmung nicht erfüllt sind.

Der so genannte Legalitätsgrundsatz nach 5 Abs. 1 S. 1 Buchst. a DSGVO bewirkt somit ein bewilligungspflichtiges Datenverarbeitungsverbot. Werksvereinbarungen und andere Tarifverträge können eine solche gesetzliche Regelung nach 88 DSGVO bilden. Das heißt, eine richtig konzipierte Betriebsvereinbarung kann den Betrieb personenbezogener Mitarbeiterdaten gestatten.

Auch nach der DSGVO können ordnungsgemäß ausgearbeitete Arbeitsvereinbarungen in der Realität ein äußerst nützliches Mittel sein, um ein angemessenes Gleichgewicht zwischen den Überwachungsinteressen des Unternehmers und den Datenschutzrechten der Beschäftigten zu erreichen und ein Höchstmaß an Sicherheit in der Informationsverarbeitung am Arbeitsort zu gewährleisten. In der Begründung 155 der DSGVO ist daher auch explizit vorgesehen, dass Arbeitsvereinbarungen vor allem Bestimmungen über die Verwendung von Mitarbeiterdaten für die Rekrutierung, die Durchführung des Arbeitsvertrages und die Kündigung des Arbeitsverhältnisses vorsehen können.

Die allgemeinen Vorgaben der DSGVO treffen prinzipiell auch auf den Datenschutz am Arbeitplatz zu. Beispielsweise dürfen Unternehmer persönliche Angaben von Arbeitnehmern nur dann bearbeiten, wenn sie den Verwendungszweck der Verarbeitung genau definiert, die betreffenden Arbeitnehmer vollständig über die geplante Verarbeitung unterrichtet und die Bedingungen für eine gesetzliche Bewilligung erfüllt sind. 6 Abs. 1 S. b) DSGVO beispielsweise regelt eine solche strafbare Handlung.

Demnach kann eine Verarbeitung der personenbezogenen Nutzungsdaten erfolgen, wenn sie für die Vertragserfüllung notwendig ist. Darüber hinaus müssen Datenverarbeitungsunternehmen umfangreiche Dokumentationsanforderungen übernehmen. So müssen sie zum Beispiel in Verzeichnissen geführt werden, in denen die Datenverarbeitungsvorgänge im Konzern verständlich dargestellt sind, Artikel 30 DSGVO. Vor der Inbetriebnahme von Datenverarbeitungsanlagen, die ein hohes Risiko für die Rechte und Pflichten der von der Verarbeitung erfassten Menschen mit sich bringen, müssen diese im Zuge so genannter Datenschutzfolgenabschätzungen bewertet und entsprechende Gegenmaßnahmen ergriffen werden.

Darüber hinaus erhebt die DSGVO eine große Anzahl weiterer verfahrenstechnischer und struktureller Forderungen an die Datenverarbeitungsunternehmen. Die Bestimmungen der DSGVO finden prinzipiell Anwendung auf den Datenschutz am Arbeitplatz sowie auf die Bearbeitung von personenbezogenen Merkmalen von Auftraggebern und anderen Dritten. Was sind die Vorzüge von Unternehmensverträgen bei der Implementierung der DSGVO? Unternehmensvereinbarungen können dazu beitragen, die neuen datenschutzrechtlichen Erfordernisse wirkungsvoll und rechtlich zu implementieren.

88 DSGVO besagt, dass die EU-Mitgliedstaaten besondere Datenschutzbestimmungen im Arbeitsbereich treffen können. Darüber hinaus ermöglichte die Bestimmung den Abschluß von Unternehmensverträgen über den Schutz des Arbeitsumfelds und die Datenverarbeitung der Mitarbeiter. Besonders kontrovers waren während des Gesetzgebungsverfahrens die Bestimmungen des § 88 DSGVO.

Dies hat die Nachvollziehbarkeit von 88 Abs. 1 DSGVO bedauerlicherweise nicht begünstigt: Hinsichtlich der Arbeitsvereinbarungen sehen die Tarifverträge in Artikel 88 Absatz 1 DSGVO "spezifischere Bestimmungen zum Schutz der Rechte und Grundfreiheiten bei der Datenverarbeitung persönlicher Arbeitnehmer im Zusammenhang mit der Beschäftigung" vor.

Die Formulierung des 88 deutet nicht darauf hin, dass die Betreiber wesentlich von dem durch die DSGVO vorgeschriebenen Schutzniveau abweicht. Dennoch können Unternehmer und Betriebsräte durchaus Vorkehrungen getroffen werden, die den allgemeinen Anforderungen der DSGVO genügen, aber den inhaltlichen Gegebenheiten des Beschäftigungsverhältnisses besser angepaßt sind. Statt der allgemeinen und schlecht zu verstehenden rechtlichen Vorschriften werden dann konkrete Spezifikationen in die Unternehmensverträge aufgenommen.

Für Unternehmensvereinbarungen ist dies die reale Möglichkeit, die Forderungen der DSGVO umzusetzen - die Betreiber können die abgehobenen und unverständlichen rechtlichen Bestimmungen des Datenschutzes in eindeutige und offene Vorschriften "übersetzen". Darüber hinaus können Auftraggeber und Arbeitnehmerräte eine der wesentlichen Forderungen des neuen Datenschutzgesetzes durch die Schaffung zusätzlicher Klarheit über die Ziele und Mittel, mit denen die Unternehmer die persönlichen Angaben ihrer Arbeitnehmer verarbeiten, erfüllen.

So können z. B. Unternehmensvereinbarungen bereits regelt, wie die Vertragsparteien die Mitarbeiter über die Art und Weise, wie sie ihre gesammelten Informationen weiterverarbeiten, informiert. Darüber hinaus können sich Auftraggeber und Betriebsräte bereits auf korrespondierende Muster einigen, die sie als Anhang in eine korrespondierende Betriebsvereinbarung einbinden. Ein weiterer wesentlicher Bestandteil der DSGVO ist die Protokollierung der Verarbeitung der Daten.

Es muss nachweislich nachvollziehbar sein, zu welchem Zweck und auf welche Form und mit welchen Informationen die Firma diese verarbeitet. Auch für die Unternehmer ist diese Sachlage eine besondere Aufgabe, denn sie müssen nach 24 DSGVO in Zukunft vor Gericht nachweisen, dass sie persönliche Angaben nur noch nach den hohen Anforderungen des neuen Bundesdatenschutzgesetzes verarbeitet werden.

So können sich Auftraggeber und Betriebsräte im Voraus auf geeignete Vorschriften einigen, mit denen sie die Dokumentationsanforderungen der DSGVO erfüllen können.

Daher sind Arbeitsvereinbarungen ein sehr gutes Instrument, um rechtliche Gewissheit zu erlangen und die wesentlichen Forderungen der DSGVO zu verwirklichen. Was sind die Voraussetzungen, die Unternehmensverträge nach der DSGVO mitbringen müssen? 88 Abs. 2 DSGVO legt die Voraussetzungen für Unternehmensverträge nach DSGVO fest: "Zu diesen Bestimmungen gehören geeignete und spezifische Massnahmen zum Schutz der Menschenwürde, der legitimen Belange und der grundlegenden Rechte der betroffene Personen, namentlich hinsichtlich der Datentransparenz bei der Datenverarbeitung, der Datenübermittlung innerhalb einer Unterneh msgruppe oder einer Unterneh mensgemeinschaft, die eine gemeinschaftliche wirtschaftliche Tätigkeit ausübt, sowie der Kontrollsysteme am Arbeitsort.

Die Betriebsvereinbarung muss daher "geeignete und spezifische Maßnahmen" zum Schutze der betroffenen Mitarbeiter vorsehen. Zu diesen besonderen Merkmalen sollten eindeutige Regeln für Unternehmensvereinbarungen gehören, vor allem in Hinblick auf die Offenheit der Informationsverarbeitung, den Datentransfer zwischen den Konzerngesellschaften und die Monitoringsysteme am Standort. Kernstück ist daher die Tatsache, dass Arbeitsvereinbarungen Bestimmungen beinhalten müssen, die einen ausreichenden Datenschutz am Arbeitsort gewährleisten.

Inwiefern konkrete und spezifische solche Vorschriften letztendlich notwendig sind, wird sich zeigen. 88 Abs. 2 DSGVO findet jedoch nicht nur auf Werkverträge und andere Tarifverträge zum Datenschutz, sondern auch auf die gesetzlichen Bestimmungen der Mitgliedstaaten zum Schutz der Arbeitnehmerdaten Anwendung. Wollte man davon ausgegangen werden, dass der Detaillierungsgrad von 26 BDSG n. F. den Erfordernissen des 88 Abs. 2 DSGVO genügt, dann müssten ohnehin keine überhöhten Ansprüche an die Betriebsvereinbarung gestellt werden.

Letztendlich gilt hier die Faustformel, dass die Betriebsvereinbarung der DSGVO um so rechtlicher abgesichert ist, je ausführlicher die einzelnen Massnahmen und Vorsichtsmaßnahmen zum Datenschutz der betroffenen Mitarbeiter sind. Welcher Betriebsvereinbarung muss die Voraussetzungen des § 88 DSGVO genügen? 88 Abs. 1 DSGVO gibt den Betreibern die Möglichkeit, besondere Bestimmungen zum Datenschutz am Arbeitplatz zu treffen.

Machen sie von dieser Option in Anspruch, so haben sie die Anforderungen des § 88 Abs. 2 DSGVO zu erfüllen. Die Bestimmung enthält keine Beschränkungen insofern, als sie nur auf Werkverträge Anwendung finden sollte, die nicht nur die Datenverarbeitung von Arbeitnehmern regelt, sondern auch das Datenschutzrecht legitimiert (d.h. zulässt).

In Anbetracht dieser unsicheren Rechtsvorschrift stellt sich die Frage, wie die Gerichtsbarkeit in Zukunft über bereits geschlossene Werkverträge entscheiden wird. Eine umfassende Anwendung der Bestimmungen des 88 DSGVO durch die Juroren ist auf Werkverträge, die die Datenverarbeitung der Mitarbeiter regelt oder voraussetzt, nachweislich nicht auszuschließen. Bis zum Inkrafttreten der DSGVO im Jahr 2018 wird kaum ein anderes Einzelunternehmen oder auch nur ein Konzernverbund in der Situation sein, alle bereits geschlossenen Werksvereinbarungen in die Erfordernisse der DSGVO umzuwandeln.

Es kann daher ratsam sein, sich zunächst auf eine Betriebsvereinbarung zur Erfüllung der Erfordernisse des neuen Datenschutzgesetzes zu verständigen. In dieser Rahmenverordnung sollten dann unter anderem generelle Regelungen zur Übertragung der Erfordernisse der DSGVO auf bereits geschlossene Werkverträge und die Klarstellung, dass vorhandene Werkverträge gemäß der Rahmenwerksvereinbarung gemäß der DSGVO angewendet und interpretiert werden sollen, festgelegt werden.

Die Betriebsvereinbarung gilt umso mehr, je genauer sie den Datenschutz im Zuge der individuellen Datenverarbeitung regeln, umso besser wird sie den Erfordernissen des neuen Bundesdatenschutzgesetzes gerecht. Allerdings können sie generelle Festlegungen treffen, die zusammen mit individuellen Unternehmensvereinbarungen ein ausreichendes Mass an Datenschutzbestimmungen bewirken. Als gutes Beispiel für einen sensiblen Regulierungspunkt ist daher die für die betreffenden Mitarbeiter verständliche und klar verständliche Zusammenstellung der Datenschutz-Grundsätze von § 5 DSGVO zu nennen.

Gleiches gilt für die Bestimmung des 26 Abs. 5 BDSG n. F., nach der der Betreuer angemessene Massnahmen, vor allem die Verwirklichung der in 5 DSGVO verankerten Prinzipien, zu ergreifen hat. Unternehmensverträge sind nach wie vor ein probates Mittel, um die Informationsverarbeitung am Arbeitsort in transparenter und rechtlich abgesicherter Weise zu regulieren. Unternehmen und Arbeitnehmervertretungen können durch den Abschluß von entsprechenden Betriebsplänen der DSGVO das Geldstrafen- und Prozessrisiko deutlich reduzieren.

Oftmals wird es zumindest als Vorstufe ratsam sein, geeignete Rahmenvereinbarungen zur Durchführung der DSGVO abzuschließen. Aktuelles Buch des Verfassers zum Thema: Anhang: Die folgende Prüfliste listet exemplarische Regulierungspunkte auf, die von den Betreibern im Zusammenhang mit den Betreibern für die Umrechnung der Ausfälle der DSGVO in Betracht gezogen werden können. Eine detailliertere overview of this topic in the Neue Zeitung für Arbeitrecht (Wybitul, NZA 2017, 1488, operatingvereinbarungen im Spannungsverhältnis of Arbeitgeberseitigenem Informationsbedürf und Personalitysschutz des Arbeitnehmer).

Verweis und Erklärung der datenschutzrechtlichen Grundsätze nach 5 DS-GVO; Klärung, ob die Betriebsvereinbarung als Datenschutzgenehmigungsregelung fungieren soll; ausdrÃ??cklicher Zweckbestimmung der gesetzlichen Genehmigungen zur Datendurchführung; Bestimmung der relevanten Bearbeitungszwecke im Geltungsbereich der Betriebsvereinbarung; allgemeingÃ?ltige Erfordernisse fÃ?r die Datendurchführung; allgemeingÃ?ltige Anforderungsmerkmale zur Datendurchsicht; AusgewÃ?

Auflistung bzw. Darstellung von Schutzmaßnahmen bei der Bearbeitung spezieller Personendaten von Mitarbeitern; Angaben und Vorschriften für die Informationsverarbeitung durch den Konzernbetriebsrat; konkrete Festlegung von Kontrollrechten und -befugnissen des Konzernbetriebsrats im Hinblick auf die Erfüllung der Vorschriften der DS-GVO im Arbeitsverhältnis durch den Auftraggeber; Kontrollrechte und -befugnisse des behördlichen Datenschutzverantwortlichen im Hinblick auf die Durchsetzung der Betriebsvereinbarung; Vorschriften über eine mögliche gemeinsame Informationsverarbeitung innerhalb des Konzerns, siehe

26 DS-GVO; Offenlegung von personenbezogenen Merkmalen an Dritte, vor allem in Gruppenstrukturen; Definition konkreter Zweckbestimmungen und Gesetzesgrundlagen für die konzerninterne Offenlegung von Merkmalen, Regulierung begleitender Schutzmassnahmen, wie beispielsweise Zugangsberechtigungskonzepte; Vorschriften über den Umgang mit Subunternehmern im Sinne von 28 DS-GVO bei der Datenverarbeitung von personenbezogenen Merkmalen von Mitarbeitern; Zweck und Begründung einer etwaigen grenzüberschreitenden Datenübermittlung bei der personenbezogen Datenverarbeitung von Mitarbeitern; ggfs. detailliert niedergeschriebene Bestimmungen zu den Einzelregelungen der DS-GVO, wie z.B:

DS-GVO zu den Mitarbeiterdaten; generelle Voraussetzungen für die Verarbeitung der Mitarbeiterdaten; Reaktion auf die unbefugte Verarbeitung der Mitarbeiterdaten; Klärung, dass die unbefugte Verarbeitung der Mitarbeiterdaten nicht nur ein Rechtsverstoß, sondern auch ein Pflichtverletzung des Arbeitsrechts ist; Details zu DS-GVO-Trainingskursen für Angestellte und Führungskräfte; Bestimmungen über die Verschwiegenheitspflichten von Arbeitnehmern und Betriebsrat; exemplarische Bestimmung besonders vertraulicher Datentypen oder Datenverarbeitungsarten; verwertet der Auftraggeber auch persönliche Angaben über von Arbeitnehmern auf der Basis von Werksvereinbarungen begangene strafbare Handlungen (z.B. im Zuge sogenannter Hintergrundüberprüfungen), ist darauf zu achten, dass die Betriebsvereinbarung auch den Erfordernissen von Artikel 1 Absatz 2 genügt.

DS-GVO; Mechanismen zur Konfliktbeilegung bei Differenzen zwischen Auftraggeber und Arbeitnehmer und möglicher Errichtung einer dauerhaften Schlichtungsstelle; Bestimmung der Vorsitzenden von Schlichtungsgremien; Recht zur Neuverhandlung bei Gesetzesänderungen des geltenden Datenschutzgesetzes, namentlich hinsichtlich etwaiger weiterer Ergänzungen des BDSG n. F. sowie im Zusammenhang mit möglichen zukünftigen datenschutzrechtlichen Sondernormen, wie z.B. dem sozialen Datenschutz; ggf. Pflicht zur unverzüglichen Aushandlung einer umfassenderen Rahmen-Betriebsvereinbarung und/oder Betriebsvereinbarung zu einzelnen Themen (z.B. einzelnen technischen Einrichtungen); Einigung über eine umfassende Folgeerscheinung der gesamtbetriebsvertrag.

Mehr zum Thema