Das neue datenschutzrechtliche Schreckgespenst, die Euro-
päische Datenschutz-Grundverordnung (DSGVO), ist seit dem
25. Mai 2018 anwendbar und sie wird Arbeitgeber und Per-
sonalmanager noch eine Weile vor neue Herausforderungen
stellen. In diesem Zusammenhang stellt sich auch die Frage,
inwiefern bestehende IT-Betriebsvereinbarungen an die neuen
rechtlichen Gegebenheiten angepasst werden müssen. Dass
solche Angleichungen – aufgrund der neuen DSGVO – generell
nötig sind, ist sicherlich zu pauschal. Vielmehr ist es von zwei
wesentlichen Kriterien abhängig, ob eine bereits bestehende
IT-Betriebsvereinbarung mit dem zuständigen Betriebsrat neu
verhandelt werden muss:
1. Zunächst ist eine inhaltliche Anpassung der Betriebsvereinba-
rung – aus rein datenschutzrechtlicher Sicht – immer nur dann
erforderlich, wenn diese als Rechtsgrundlage für eine Verar-
beitung von Mitarbeiterdaten herangezogen werden muss.
2. Aber auch wenn der erste Punkt zutrifft, ist eine Neuverhand-
lung lediglich dann erforderlich, wenn die Betriebsverein-
barung nicht den Anforderungen der DSGVO und des BDSG
entspricht.
Allgemeiner Grundsatz des Datenschutzrechts:
Das Verbot mit Erlaubnisvorbehalt
Den bisherigen Grundsätzen des Datenschutzrechts entspre-
chend ist eine Verarbeitung personenbezogener Daten nur dann
zulässig, wenn sie auf eine Rechtsgrundlage gestützt werden
kann (sogenanntes „Verbot mit Erlaubnisvorbehalt“). Neben
verschiedenen gesetzlichen Erlaubnistatbeständen kommt im
Zusammenhang mit einem Beschäftigungsverhältnis auch eine
Betriebsvereinbarung als Rechtsgrundlage einer Datenverarbei-
tung in Betracht. Nach der bisherigen Rechtslage war dies zwar
nicht ausdrücklich in Gesetzen oder Verordnungen geregelt, aber
höchstrichterlich anerkannt. Nun ergibt es sich explizit aus der
DSGVO, beziehungsweise dem Bundesdatenschutzgesetz (Art. 88
Abs. 1 DSGVO in Verbindung mit § 26 Abs. 1, 4 BDSG).
Konzentriert man sich auf den rein datenschutzrechtlich be-
gründeten Anpassungsbedarf von IT-Betriebsvereinbarungen,
so sind die folgenden Schritte zu prüfen. Davon zu trennen sind
jedoch – mehr dazu gegen Ende dieses Beitrags – zusätzliche Än-
derungsbedürfnisse aus einemmöglichen Mitbestimmungsrecht
des Betriebsrats nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz
(BetrVG).
Prüfschritt 1: Braucht es die
Betriebsvereinbarung als daten
schutzrechtliche Rechtsgrundlage?
Grundsätzlich stehen die verschiedenen datenschutzrechtlichen
Rechtsgrundlagen für eine Verarbeitung alternativ nebeneinan-
der. Ob die Betriebsvereinbarung als eine solche Rechtsgrundla-
ge überhaupt erforderlich ist, müssen Arbeitgeber daher zuerst
untersuchen. Ist nämlich die konkrete Verarbeitung der Beschäf-
tigtendaten beispielsweise für die Durchführung des Beschäfti-
gungsverhältnisses erforderlich (§ 26 Abs. 1 BDSG) oder kann die
Verarbeitung auf eine Einwilligung des Mitarbeiters (Art. 6 Abs.
1 lit. a DSGVO in Verbindung mit § 26 Abs. 2 BDSG) gestützt wer-
den, bedarf es gar keiner gesonderten datenschutzrechtlichen
Rechtsgrundlage in Form einer Betriebsvereinbarung.
In diesem Zusammenhang ist darauf hinzuweisen, dass Arbeit-
geber auf die Einwilligung nur in Ausnahmefällen zurückgreifen
sollten. Aufgrund der – gerade im Zusammenhang mit einem
Arbeitsverhältnis – fraglichen Freiwilligkeit der Erteilung (§ 26
Abs. 2 BDSG) sowie der jederzeitigen Möglichkeit des Widerrufs
eignet sich das Instrument nur bedingt als Rechtsgrundlage. Für
Standardprozesse der Datenverarbeitung im Beschäftigtenbe-
reich sollte daher auf die Einholung einer Einwilligung verzichtet
werden – zumal diese im Regelfall auf § 26 Abs. 1 BDSG gestützt
werden können.
Ergibt nun eine Prüfung, dass andere Rechtsgrundlagen nicht
in Betracht kommen oder starke Zweifel am Vorliegen der ent-
sprechenden Voraussetzungen bestehen, ist – in seltenen Fäl-
len – der Rückgriff auf die Betriebsvereinbarung als einzige
datenschutzrechtliche Rechtsgrundlage erforderlich. In diesem
Fall ist anschließend zu prüfen, ob die betreffende Betriebsver-
einbarung die neuen gesetzlichen Anforderungen der DSGVO
und des BDSG erfüllt.
Prüfschritt 2: Ermittlung des
konkreten Anpassungsbedarfs?
Art. 88 Abs. 1 DSGVO stellt eine Öffnungsklausel für Datenverar-
beitungen im Beschäftigungskontext dar. Den nationalen Gesetz-
gebern, aber auch den Tarif- und Betriebsparteien eröffnet die
Norm also die Möglichkeit, spezifischere Vorschriften zu erlassen.
Diese müssen jedoch – im Unterschied zur Rechtslage nach dem
früheren BDSG – das Datenschutzniveau der DSGVO einhalten.
Eine Betriebsvereinbarung, die einen Datenverarbeitungs-
vorgang regelt, darf nicht hinter dem Schutzniveau der DSGVO
zurückbleiben. Andernfalls droht die Unwirksamkeit – entweder
der einzelnen Regelung oder auch der Betriebsvereinbarung im
Ganzen. Im ungünstigsten Fall – sofern die Betriebsvereinbarung
die einzige datenschutzrechtliche Rechtsgrundlage wäre – würde
dies dazu führen, dass eine Verarbeitung datenschutzrechtlich
rechtswidrig wäre. Die mögliche Folge unter anderem: die Ver-
hängung von Bußgeldern nach der DSGVO.
Das Recht zur
Mitbestimmung betrifft
lediglich die Leistungs-
und Verhaltenskontrolle,
nicht dagegen den Kern
des Datenschutzrechts.
87
DSGVO