Neues Datenschutzrecht ab Mai 2018: Müssen Betriebsvereinbarungen nun komplett überarbeitet werden?
Inhaltsverzeichnis
Betriebsvereinbarungen auch weiterhin zulässige Rechtsgrundlage?
Der Umgang mit personenbezogenen Beschäftigtendaten wird in vielen Betrieben in Betriebsvereinbarungen geregelt. Ihnen kommt in der Praxis eine entscheidende Rolle zu. Der vorliegende Beitrag soll einen kurzen Überblick über die Anforderungen an zukünftige und bestehende Betriebsvereinbarungen geben.
Denn eins ist klar: Betriebsvereinbarungen bleiben auch nach dem 25. Mai 2018 taugliche Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Beschäftigungsverhältnis. Dies wird durch Art. 88 Abs. 1 DS-GVO in Verbindung mit Erwägungsgrund 155, sowie § 26 Abs. 1 und 4 BDSG-neu klargestellt.
Anforderungen nach Art. 88 Abs. 2 DS-GVO
Die Datenverarbeitung zum Zwecke der Einstellung, Erfüllung oder Beendigung eines Beschäftigungsverhältnisses kann auch zukünftig aufgrund einer Betriebs-vereinbarung erfolgen. Ab Mai 2018 sind hierbei jedoch die strengen Vorgaben des Art. 88 Abs. 2 DS-GVO zu beachten, vgl. § 26 Abs. 4 BDSG-neu.
Danach sind „angemessene und besondere Maßnahmen zur Wahrung der mensch-lichen Würde, der berechtigten Interessen und die Grundrechte der Betroffenen“ (ins-besondere das Recht auf informationelle Selbstbestimmung, Art. 2 Abs.1 i.V.m. Art. 1 Abs. 1 GG) zu beachten.
Anforderungen im Einzelnen
Betriebsvereinbarungen müssen unter anderem die Grundprinzipien der DS-GVO für die Verarbeitung personenbezogener Daten enthalten. Diese sind – anders als im BDSG-alt – gesammelt in Art. 5 DS-GVO aufgeführt.
Transparenzgebot
Betriebsvereinbarungen haben das Transparenzgebot zu beachten. Danach muss für die Beschäftigten jederzeit klar erkennbar sein, welche Daten der Arbeitgeber erhebt. Alle Informationen und Mitteilungen müssen präzise, leicht zugänglich und verständlich, d.h. in klarer und verständlicher Sprache abgefasst sein. Der Arbeitgeber als Verantwortlicher hat hierzu geeignete Maßnahmen zu treffen.
Zweckbindung
Die Beschäftigtendaten dürfen nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden. Eine Weiterverarbeitung auf eine mit diesem Zweck nicht zu vereinbarende Weise ist unzulässig. Da es sich bei der Voraussetzung der „Vereinbar-keit“ um einen unbestimmten Rechtsbegriff handelt, empfiehlt es sich, die möglichen Zwecke der geplanten Weiterverarbeitung der Daten bereits in die Betriebsvereinbarung aufzunehmen. So kann vermieden werden, dass die Zweckänderung der Überprüfung der Gerichte möglicherweise nicht standhält.
Datenminimierung
Nach dem Grundsatz der Datenminimierung, welcher bereits nach § 3 a BDSG-alt galt, müssen personenbezogene Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Datenverarbeitung erforderliche Maß beschränkt sein.
Datenrichtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Falsche Daten sind unverzüglich zu löschen oder zu berichtigen. Die hierfür erforderlichen Maßnahmen hat der Arbeitgeber zu treffen. Um diesem Grundsatz nachzukommen, sollten in Betriebsvereinbarungen Regelungen zu Korrekturprozessen getroffen werden.
Speicherbegrenzung
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine Ausnahme hiervon ist nur für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche oder historische Forschungszwecke zulässig. Auch hier empfiehlt es sich, in Betriebsvereinbarungen eindeutige Regelungen zur Speicherbegrenzung zu treffen.
Integrität und Vertraulichkeit
Die DS-GVO sieht weiter vor, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Dies bedeutet insbesondere, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete und organisatorische Maßnahmen geschützt werden sollen. Der Arbeitgeber hat die hierfür erforderlichen Maßnahmen zu ergreifen.
Rechenschaftspflicht
Der Arbeitgeber ist für die Einhaltung dieser Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können.
Betroffenenrechte
Neben den soeben gezeigten Grundsätzen für die Verarbeitung personenbezogener Daten nehmen vor allem die Betroffenenrechte nach Art. 12 ff. DS-GVO eine wichtige Rolle ein. Auch Betriebsvereinbarungen müssen diese abbilden. Bestehende Betriebsvereinbarungen sollten insbesondere dahingehend überprüft wer-den, ob sie die Rechte der Beschäftigten bei der Datenverarbeitung ausreichend berücksichtigen.
Fazit
Bereits dieser kleine Ausschnitt zeigt, dass die Anforderungen der DS-GVO und des BDSG-neu deutlich über die bisherigen Vorgaben des BDSG-alt hinausgehen. Be-reits geltende Betriebsvereinbarungen werden teilweise erheblich an die Vorgaben der DS-GVO und des BDSG-neu angepasst werden müssen.
Auch bei Neuabschlüssen von Betriebsvereinbarungen sind oben ausgeführte Grundsätze ausreichend zu berücksichtigen. Es ist auch zukünftig immens wichtig, Fragen des Beschäftigtendatenschutzes im Betrieb kollektiv im Rahmen von Betriebsvereinbarungen zu regeln.
Marc-Oliver Schulze, Fachanwalt für Arbeitsrecht, AfA Rechtsanwälte Nürnberg
Sebastian Wurzberger, Data Protection Risk Manager, AfA Rechtsanwälte Nürnberg
Näheres zum Thema: „Anforderungen an Betriebsvereinbarungen nach der DS-GVO – Konsequenzen und Anpassungsbedarf für bestehende Regelungen“ von Sebastian Wurzberger, Wirtschaftsjurist (LL.B.), AfA Rechtsanwälte Nürnberg, in: ZD 2017, 258 f.