DSGVO: Überprüfen Sie Ihre Betriebsvereinbarungen!

Das neue Datenschutzrecht hält seit Monaten Unternehmen in Atem. Dabei sollten Arbeitgeber und Betriebsräte nicht vergessen, auch ihre Betriebsvereinbarungen zu überprüfen.

Schon unter dem bisher geltenden Bundesdatenschutzgesetz (BDSG) konnten Arbeitgeber und Betriebsräte durch Betriebsvereinbarungen maßgeschneiderte Datenschutzregeln schaffen, solange bestimmte Mindeststandards des BDSG eingehalten wurden. Die gute Nachricht: Dies ist nach Art. 88 Abs. 2 DSGVO in Verbindung mit § 26 des reformierten BDSG (BDSG-neu) auch weiterhin möglich.

Allerdings haben sich die Mindestanforderungen an das Datenschutzniveau zum Teil deutlich erhöht. Hier müssen voraussichtlich viele Betriebsvereinbarungen nachgebessert werden. Ist der Datenschutzstandard der Betriebsvereinbarung ungenügend, taugt sie nicht als Rechtsgrundlage für die Datenverarbeitung. Und für Verarbeitungen ohne Rechtsgrundlage drohen scharfe Sanktionen: Der Bußgeldrahmen hat sich durch die DSGVO erheblich erhöht.

Bei der Überprüfung Ihrer Betriebsvereinbarungen sollten Sie deshalb insbesondere folgende Themen im Blick behalten:

Ist die Betriebsvereinbarung ausreichend präzise?

Betriebsvereinbarungen haben zwei Funktionen: Zum einen sind sie arbeitsrechtliche Vorschriften; zum anderen wirken sie als datenschutzrechtliche Erlaubnis. Daten sammeln ist für den Arbeitgeber nämlich zulässig, wenn er „Verpflichtungen unterliegt“ – und solche Verpflichtungen können auch Betriebsvereinbarungen sein. Das muss sich aus der Betriebsvereinbarung aber eindeutig ergeben. Es dürfen keine Zweifel bleiben, auf welche Daten die Betriebsvereinbarung sich bezieht.

Ist der Zweck der Datenverarbeitung genannt?

Maßgeblich für die Beurteilung, welche Daten gesammelt werden dürfen und wie lange sie gespeichert werden, ist der damit verfolgte Zweck. Werden Daten für einen bestimmten Zweck gesammelt, dürfen sie später nicht ohne weiteres für einen anderen Zweck genutzt werden. Das war zwar grundsätzlich auch unter dem alten BDSG schon so; die DSGVO erhebt den so genannten Zweckbindungsgrundsatz aber ausdrücklich zu einem der wichtigsten Prinzipien des Datenschutzrechts. Den Zweck so genau wie möglich zu umschreiben schützt auch davor, dass die Betriebsvereinbarung unpräzise wird und damit nicht mehr als Rechtsgrundlage für eine Datenverarbeitung ausreicht (siehe oben unter 1.)

Werden wirklich alle gesammelten Daten gebraucht?

Die DSGVO möchte erreichen, dass weniger Daten erhoben und vorhandene Daten früher gelöscht werden. Diese Grundsätze der Datenminimierung und der Speicherbegrenzung gehen über das bisherige Niveau des BDSG hinaus. Betriebsrat und Arbeitgeber sollten kritisch prüfen, ob auf die Erhebung von Daten verzichtet werden kann, ob Daten anonymisiert werden können und wann sie gelöscht werden können. Weniger kann hier mehr sein: Wer zu ausufernd Daten sammelt, läuft Gefahr, dass seine Betriebsvereinbarung als unvereinbar mit der DSGVO angesehen wird.

Werden die Beschäftigten über ihre Rechte informiert?

Ein weiterer wichtiger Grundsatz der DSGVO ist die Transparenz der Datenverarbeitung. Betroffene – hier also die Arbeitnehmer – sollen leicht nachvollziehen können, was mit ihren Daten geschieht und welche Rechte sie haben. Auch hier hilft eine präzise Beschreibung der geplanten Datenverarbeitung und ihrer Begründung sehr. Gleichzeitig sollte insbesondere der Arbeitgeber im Auge behalten, dass er seine Mitarbeiter über ihre Betroffenenrechte informiert. Hierzu gehören das Recht auf Auskunft des einzelnen Mitarbeiters, welche Daten von ihm gespeichert wurden, das Recht auf Berichtigung möglicherweise unrichtiger Daten und das Recht, unter Umständen Löschung zu verlangen. Selbstverständlich sollte der Arbeitgeber hierfür ein Verfahren vorsehen, wie die Mitarbeiter diese Rechte wahrnehmen können und wer für die Bearbeitung ihrer Anfragen zuständig ist.