28
TITEL
_DATENSCHUTZ
personalmagazin 01/18
Bei Fragen wenden Sie sich bitte an
In diesem Zusammenhang sind bei
der Erstellung oder Anpassung von Be-
triebsvereinbarungen insbesondere fol-
gende Aspekte zu berücksichtigen:
•
Informationspflicht bei Erhebung von
Daten
•
Auskunftsrechte der Betroffenen
•
Rechte auf Berichtigung, Löschung und
Sperrung
•
damit verbundene Informationspflich-
ten und das Widerspruchsrecht der Be-
troffenen.
•
Je nach Regelungsgegenstand sollten
zudem die Übertragbarkeit und auto-
matische Auswertbarkeit von Daten
Berücksichtigung finden.
Konkret eignet sich für die Festlegung
datenschutzrechtlicher
Grundsätze
im Unternehmen regelmäßig der Ab-
schluss einer Rahmenbetriebsverein-
barung. Für den Umgang mit oder die
Neueinführung von einzelnen IT-Syste-
men sind sodann ergänzende Betriebs-
vereinbarungen abzuschließen, die
mindestens die folgenden Regelungen
beinhalten sollten:
•
Beschreibung des IT-Systems
•
Zweckdefinition
•
Arten von zu verarbeitenden Daten
•
Zugriffsberechtigungen
•
Schnittstellen
•
Standardauswertungen
•
Umfang der Nutzungsbefugnis.
Einblick: Die Rolle des Betriebsrats
Die vorgenannten Grundsätze und Re-
geln finden alle Anwendung, wenn der
Betriebsrat selbst mit personenbezo-
genen Daten umgeht. Denn auch das
Gremium ist bei seiner Arbeit an die
Vorgaben des Datenschutzes gebunden.
Die Beteiligungsrechte des Betriebsrats
bleiben unberührt. Es ist jedoch den
Anforderungen des Art. 6 DSGVO zu
entsprechen. Das bedeutet, der genaue
Zweck der Datenverarbeitung ist festzu-
legen.
Im Zusammenhang mit seiner Organi-
sationshoheit kann der Arbeitgeber aus-
gewählte Zugriffsrechte auf IT-Systeme
an Betriebsratsmitglieder vergeben. Zu
berücksichtigen sind dabei der Grund-
satz der vertrauensvollen Zusammenar-
beit nach § 2 BetrVG sowie der Grundsatz
der freien Entfaltung der Beschäftigten
nach § 75 Abs. 2 BetrVG. Es empfiehlt
sich deshalb, die Zugriffsrechte auf Be-
schäftigtendaten sowohl auf Arbeitge-
ber- als auch Betriebsratsseite auf das
für die Personal- und Betriebsratsarbeit
notwendige Maß zu begrenzen.
Durchblick: Freiräume schaffen
Den Unternehmen ist zu einer sorgfäl-
tigen Bestandsaufnahme zu raten. Sie
haben den Status quo von bestehenden
(und gegebenenfalls auch fehlenden)
Datenschutzregelungen zu überprüfen
und das Datenschutzkonzept auf die
neuen Anforderungen auszurichten. Es
ist insbesondere abzugleichen, ob die
Regelungen noch den aktuellen Doku-
mentations- sowie etwaigen Prozessan-
forderungen gerecht werden.
Bei der Neufassung beziehungswei-
se der Anpassung von IT-Regelungen
im Datenschutzkontext sollte der erste
Schritt die Kontaktaufnahme mit der IT-
Abteilung sein. Diese wird ein genaues
Anforderungsprofil festlegen und gege-
benenfalls schon auf etwaige Fallstricke
hinweisen können. Dies ist die Basis, auf
der Arbeitgeber und der Betriebsrat eine
Vereinbarung aushandeln können, ohne
die unternehmerischen Ziele aus den Au-
gen zu verlieren.
Schließlich ist dringend zu empfehlen,
einen ausreichenden Freiraum für die
Abdeckung von IT-Sicherheitsthemen
vorzusehen. So muss es dem Arbeitge-
ber – was nicht zuletzt auch im Interesse
seiner Beschäftigten liegt – zur Gewähr-
leistung der IT-Sicherheit zwingend
ermöglicht werden, notwendige Soft-
ware-Updates zeitnah und flexibel durch-
führen zu können. Es ist also Raum für
einen kontinuierlichen Software-Update-
Prozess zu schaffen, der nicht unter der
zuweilen auftretenden Schwerfälligkeit
von Mitbestimmungsprozessen leiden
darf. Vielmehr muss die Mitbestimmung
des Betriebsrats in einer Weise realisiert
werden, die eine effiziente Behandlung
von IT-Sicherheitsthemen ermöglicht –
der Mitbestimmungsprozess muss quasi
„verflüssigt“ werden. Es eignet sich inso-
fern die Vereinbarung einer kontinuier-
lichen Information des Betriebsrats über
die Durchführung von Software-Updates,
die der Sicherstellung der Systemsicher-
heit und Funktionsfähigkeit dienen.
Die Pflicht zum Einholen einer Vorab-
Zustimmung sollte gleichwohl auf Fälle
beschränkt werden, in denen mit einem
Update tatsächlich neue Anwendungen
oder Funktionalitäten im Unternehmen
eingeführt werden.
Eine solche Vereinbarung wiederum
ist nur bei einem breit angelegten Kon-
sens von Betriebsrat und Arbeitgeber
möglich. Gerade in Zeiten zunehmender
Datenschutzsensibilität lautet der
Schlüssel zu einem gelungenen Daten-
schutzkonzept somit: die enge Koopera-
tion zwischen den Betriebspartnern.
DR. TOBIAS BRORS
ist
Fachanwalt für Arbeitsrecht
und Partner der Kanzlei Arqis
in Düsseldorf.
Bei der Neufassung oder Anpassung von IT-Regeln
ist Raum für einen kontinuierlichen Software-Update-
Prozess zu schaffen, der nicht unter zuweilen schwer-
fälligen Mitbestimmungsprozessen leiden darf.
