Beschäftigten­datenschutz rechtswirksam verankern

Mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem auf dieser europarechtlichen Grundlage novellierten neuen Bundesdatenschutzgesetz (BDSG) ist der datenschutzrechtliche Rahmen neu gestaltet und europaweit vereinheitlicht worden. Das europäische Datenschutzrecht gibt auch für Betriebe und Dienststellen den datenschutzrechtlichen Rahmen vor und gilt damit auch für einschlägige Regelungen in Betriebs- oder Dienstvereinbarungen. Gleichzeitig eröffnet die Spezialregelung zum Beschäftigtendatenschutz in Art. 88 Abs. 1 DSGVO den Mitgliedsstaaten der EU ausdrücklich die Möglichkeit, diesen Bereich durch Kollektivvereinbarungen auszugestalten. Diese Möglichkeit nimmt die neue Regelung in § 26 Abs. 4 BDSDG auf, die die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen ausdrücklich erlaubt. Allerdings fehlt nach wie vor ein explizites Mitbestimmungsrecht, das Betriebs- und Personalräte in die Lage versetzen würde, das Thema Beschäftigtendatenschutz initiativ wahrnehmen und durchsetzen zu können. Damit bleibt nur die „Mitbehandlung“ im Rahmen anderer Mitbestimmungsrechte wie etwa dem nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz.

Beachtung allgemeiner Datenschutzregelungen in Betriebs- und Dienstvereinbarungen

Bei der Ausgestaltung von datenschutzrechtlichen Themen in Betriebs- oder Dienstvereinbarungen müssen die allgemeinen Regeln und Vorgaben der DSGVO und des BDSG beachtet werden. Hierzu gehören insbesondere die in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze, die zwingend zu beachten sind. Kollektivrechtliche Datenschutzvereinbarungen müssen deshalb beispielsweise transparent für die betroffenen Beschäftigten sein. Die zulässigen Zwecke einer Verarbeitung müssen festgelegt sein und dürfen nur für eindeutige und legitime Zwecke erfolgen. Weiterhin werden in diesen Grundsätzen die Datenminimierung, die Richtigkeit der verarbeiteten Informationen sowie eine Speicherbegrenzung genannt. Den Grundsätzen in Art. 5 Abs. 1 DSGVO stünde beispielsweise eine Formulierung in einer Betriebsvereinbarung entgegen, durch die eine Vorratsdatenspeicherung mit dem pauschalen Ziel der Entwicklung von KI-Anwendungen zugelassen würde. Stehen Kollektivvereinbarungen im Widerspruch zu Art. 5 Abs. 1 DSGVO, legitimieren sie die Verarbeitung von Beschäftigtendaten nicht. Gibt es in einem solchen Fall keine andere Rechtsgrundlage, riskieren Arbeitgeber als datenschutzrechtliche Verantwortliche die Zahlung hoher Geldbußen.

Weitere einschlägige Regelungen, die auch in Kollektivvereinbarungen beachtet werden müssen, finden sich beispielsweise zum Umgang mit besonders geschützten sensiblen Personendaten in Art. 9 DSGVO, zu Rechten der betroffenen Personen in den Art. 12 bis 22 DSGVO und zum Datenschutz durch Technikgestaltung in den Art. 24 ff. DSGVO. Für den betrieblichen Umgang mit Beschäftigtendaten kommt darüber hinaus Art. 88 DSGVO sowie § 26 BDSG eine herausragende Bedeutung zu. Die hierin enthaltenen Vorgaben und Grenzen müssen die Betriebsparteien bei der Ausgestaltung von Datenschutzthemen in Kollektivvereinbarungen zwingend beachten.

Prüfraster für Betriebs- und Dienstvereinbarungen

Das neue Datenschutzrecht kommt uneingeschränkt auf bereits abgeschlossene wie auch auf neue Kollektivvereinbarungen zur Anwendung. Entsprechen die in Betriebs- oder Dienstvereinbarungen enthaltenen Regelungen zum Umgang mit Beschäftigtendaten nicht den Vorgaben in der DSGVO oder im neuen BDSG und gibt es für Verarbeitungen keine anderen datenschutzrechtlichen Erlaubnistatbestände, sind die entsprechenden Verarbeitungen ohne Rechtsgrundlage und damit datenschutzrechtlich unzulässig. Diese Feststellung gilt beispielsweise für die allgemeine Formulierung in einer Betriebsvereinbarung zur E-Mail-Nutzung: „Die anfallenden Kommunikationsdaten darf der Arbeitgeber zu Compliance-Zwecken auswerten.“ Diese Formulierung steht im Widerspruch zum Grundsatz der Zweckbindung in Art. 5 Abs. 1 lit. b) DSGVO und scheidet deshalb als Erlaubnisgrundlage für entsprechende Verarbeitung von Beschäftigtendaten aus. Eine Verarbeitung der anfallenden Daten durch Arbeitgeber wäre damit ohne die notwendige datenschutzrechtliche Erlaubnis und könnte wegen des Verstoßes gegen die DSGVO mit einer Geldbuße geahndet werden.

Für die Bewertung und Überprüfung vorhandener oder neuer datenschutzrechtlicher Erlaubnistatbestände in kollektivrechtlichen Vereinbarungen kann es hilfreich sein, wenn Betriebs- und Personalräte auf ein Prüfraster wie das nunmehr vorgelegte zurückgreifen können. Dieses Raster benennt anhand von Textbeispielen aus existierenden Vereinbarungen beispielhaft problematische Formulierungen und stellt diesen datenschutzkonforme Vorschläge gegenüber. Hinweise gibt es etwa zu einschlägigen Erlaubnistatbeständen, zur Festlegung von Verarbeitungszwecken, aber auch zum Umgang mit sensiblen Daten oder zur Verankerung von Löschfristen. Das Prüfraster hat keinen Anspruch auf Vollständigkeit, sondern will Betriebs- und Personalräte auf die wichtigsten Themenfelder hinweisen, die sich in der Praxis in Vereinbarungen wiederfinden.

Weiterführende Informationen

• Wedde, Peter, Beschäftigtendatenschutz: Rechtlicher Rahmen und Handlungsmöglichkeiten für Betriebsräte, HBS-Mitbestimmungspraxis Nr. 3, Düsseldorf 2016
• Wedde, Peter, Beschäftigtendatenschutz in der digitalisierten Welt, WISO-Diskurs, Friedrich-Ebert-Stiftung 9/2017
• Däubler, Wolfgang / Wedde, Peter / Weichert, Thilo / Sommer, Imke; EU-Datenschutz-Grundverordnung und BDSG-neu, Kommentar, Frankfurt 2018
• Interview mit Peter Wedde, Datenschutz neu gedacht und gemacht, 28.5.2018
• Wedde, Peter, Beschäftigtendatenschutz (DSGVO / BDSG), Hintergrundwissen 2019