#DS-GVO „Alle Betriebsvereinbarungen müssen angepasst werden“ – Hype oder Notwendigkeit?

Thomas Niklas//Neues Recht//13. Juli 2018

I. Aktuelle Situation

Seit einigen Wochen sind die neue Datenschutzgrundverordnung (DS-GVO) und das entsprechend angepasste Bundesdatenschutzgesetz (BDSG) in Kraft. Die Seminare zum neuen Datenschutzrecht sind nach wie vor bestens gebucht und in unzähligen Unternehmen wird noch mit Hochdruck an der Umsetzung der neuen Vorgaben gearbeitet. Dies ist vor dem Hintergrund der drohenden ernsthaften Konsequenzen im Falle von Verstößen auch nicht weiter verwunderlich. Vielfach werden jedoch Empfehlungen abgegeben, die zumindest kritisch hinterfragt werden sollten.

II. Anpassungsbedarf für Betriebsvereinbarungen

Eine der wohl am weitesten verbreiteten Empfehlungen ist es, sämtliche Betriebsvereinbarungen, welche die Verarbeitung personenbezogener Daten zum Gegenstand haben, an die neuen datenschutzrechtlichen Vorgaben anzupassen. So müssten nicht nur die Vorgaben des Art. 88 Abs. 2 DS-GVO beachtet, sondern auch die Verarbeitungsprinzipien des Art. 5 DS-GVO durch entsprechende Regelungen in einer angepassten Betriebsvereinbarung – etwa durch die Aufnahme von Speicher- und Löschfristen – abgebildet werden. Aus unserer Sicht sind solche pauschalen Empfehlungen aber mit Vorsicht zu genießen. Denn nicht selten werden dem Betriebsrat damit „ohne Not“ weitgehende Mitbestimmungsrechte eingeräumt, die ihm ansonsten nicht zustünden.

Mitbestimmungsrechtliches „Einfallstor“ im Hinblick auf die Verarbeitung personenbezogener Daten ist regelmäßig § 87 Abs. 1 Nr. 6 BetrVG. Danach hat der Betriebsrat mitzubestimmen bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Führt man sich an dieser Stelle vor Augen, dass technische Einrichtungen schon dann zur Überwachung „bestimmt“ sind, wenn sie lediglich objektiv geeignet sind, Verhaltens- oder Leistungsinformationen der Arbeitnehmer zu erheben und aufzuzeichnen, ist nahezu jede Einführung bzw. Anwendung von Software mitbestimmungspflichtig. Gegenstand des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG ist dabei aber nur die Verhaltens- und Leistungskontrolle. Auch das in manchen Fällen einschlägige Mitbestimmungsrecht des § 87 Abs. 1 Nr. 1 BetrVG hat nur Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb zum Gegenstand. Ein über diese bereichsspezifischen Mitbestimmungstatbestände hinausgehendes „allgemeines“ Mitbestimmungsrecht des Betriebsrats bezüglich der Verarbeitung personenbezogener Daten gibt es demgegenüber nicht. Dem Betriebsrat obliegt es lediglich, im Rahmen seiner allgemeinen Überwachungsaufgaben nach § 80 Abs. 1 Nr. 1 BetrVG, darüber zu wachen, dass die dem Schutz der Beschäftigten dienenden datenschutzrechtlichen Bestimmungen durch den Arbeitgeber eingehalten werden. Die damit einhergehenden Rechte des Betriebsrats sind aber deutlich schwächer ausgestaltet als im Rahmen der erzwingbaren Mitbestimmung gemäß § 87 BetrVG.

Sofern Betriebsvereinbarungen bzgl. der Verarbeitung personenbezogener Daten, die „lediglich“ zur Wahrung der Mitbestimmungsrechte des Betriebsrats abgeschlossen wurden, nunmehr um Bestimmungen zur Beachtung der Vorgaben der DS-GVO ergänzt werden, werden dem Betriebsrat insoweit Durchführungs- und Unterlassungsansprüche eingeräumt, die ihm ansonsten nicht zustünden. Eine solche Pflicht lässt sich aber weder dem Betriebsverfassungsrecht noch der DS-GVO oder dem BDSG entnehmen. Denn Kollektivvereinbarungen im Sinne von Art. 88 Abs. 1 und 2 DS-GVO bzw. § 26 Abs. 1 Satz 1 und Abs. 4 BDSG sind nur solche, die selbst als datenschutzrechtliche Rechtfertigungsgrundlage dienen. Der Abschluss von Betriebsvereinbarungen, die „lediglich“ der Wahrung der Mitbestimmungsrechte des Betriebsrats dienen, macht die Beachtung der Vorschriften der DS-GVO und des BDSG durch den Arbeitgeber zwar selbstverständlich nicht entbehrlich; die Aufnahme datenschutzrechtlicher Vorgaben in solche Betriebsvereinbarungen ist jedoch nicht geboten und schon aus den genannten Gründen regelmäßig nicht zu empfehlen.

Abgesehen davon können „ohne Not“ in Betriebsvereinbarungen aufgenommene datenschutzrechtliche Bestimmungen unter Umständen sogar den rechtlichen Handlungsspielraum des Arbeitgebers einschränken. Bei Betriebsvereinbarungen, die als eigenständige Rechtsgrundlage ausgestaltet sind, obwohl die Verarbeitung der personenbezogenen Daten an sich schon nach der DS-GVO oder dem BDSG gerechtfertigt wäre, besteht nämlich das Risiko, dass sich Arbeitgeber auf die gesetzlichen Rechtfertigungstatbestände nicht mehr berufen können, wenn sich nachträglich die Rechtswidrigkeit der Betriebsvereinbarung herausstellt oder diese – aus welchen Gründen auch immer – endet. Im Hinblick auf datenschutzrechtliche Einwilligungen besteht insoweit nach ganz überwiegender Auffassung ein sogenanntes Rückgriffsverbot. Dies bedeutet, dass personenbezogene Daten bei einer Unwirksamkeit der Einwilligung nicht mehr verarbeitet werden dürfen, selbst wenn die Verarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestands an sich gerechtfertigt wäre. Auch für Betriebsvereinbarungen wird ein solches Rückgriffsverbot zum Teil angenommen. Wenn schon eine Ermächtigungsgrundlage nach der DS-GVO oder dem BDSG besteht, sollten sich die Regelungen der Betriebsvereinbarung mithin auch aus diesem Grund auf die mitbestimmungsrechtlichen Themen beschränken.

Ausgehend hiervon ist bei Betriebsvereinbarungen, welche die Verarbeitung personenbezogener Daten zum Gegenstand haben, zunächst in jedem Einzelfall genau zu analysieren, ob die betreffende Betriebsvereinbarung angesichts der Existenz einer anderen datenschutzrechtlichen Rechtsgrundlage, z. B. nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO, § 26 Abs. 1 BDSG (Erforderlichkeit der Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses), „lediglich“ zur Wahrung der betriebsverfassungsrechtlichen Mitbestimmungsrechte abgeschlossen wurde oder selbst als datenschutzrechtliche Rechtsgrundlage im Sinne von Art. 5 Abs. 1 lit. a), Art. 88 DS-GVO fungieren soll. Im ersteren Fall ist sodann zu prüfen, ob die Vereinbarung positiv gegen die DS-GVO verstößt – beispielsweise indem geregelt ist, dass sämtliche Personaldaten ohne Speicherfrist aufzubewahren sind. Sind solche Verstöße erkennbar, sind dementsprechend Verhandlungen mit der zuständigen Arbeitnehmervertretung aufzunehmen, wobei sich die Anpassungen allerdings auf die Behebung der identifizierten Verstöße beschränken sollten.

Lässt sich die Verarbeitung der personenbezogenen Daten demgegenüber allein auf der Grundlage einer abgeschlossenen Betriebsvereinbarung rechtfertigen, sind auch nähere Bestimmungen zur Einhaltung der Vorgaben der DS-GVO zum Gegenstand der Verhandlungen zu machen.

III. Empfehlung für die Praxis

Die Prüfung bestehender Betriebsvereinbarungen im Hinblick auf die Vereinbarkeit mit dem neuen Datenschutzrecht ist zwingend. Dabei ist jedoch zu unterscheiden: Sofern die Betriebsvereinbarungen lediglich zur Wahrung der Mitbestimmung nach § 87 BetrVG abgeschlossen wurden, jedoch nicht selbst die Rechtfertigungsgrundlage für die Verarbeitung personenbezogener Daten darstellen, sollte sich die Prüfung auf Feststellungen dazu beschränken, ob die Betriebsvereinbarungen (positiv) gegen das neue Datenschutzrecht verstoßen. Ist dies nicht der Fall, besteht in der Regel auch kein Anpassungsbedarf. Zwar entbindet dies nicht von der Einhaltung der Verarbeitungsprinzipien nach Art. 5 DS-GVO etc. Eine Aufnahme bzw. Konkretisierung dieser Prinzipien in die bzw. im Rahmen der Betriebsvereinbarung ist jedoch nicht erforderlich. Stellt die Betriebsvereinbarung hingegen die (einzige) Rechtfertigungsgrundlage für die Verarbeitung der personenbezogenen Daten dar, ist diese umfassend an das neue Datenschutzrecht anzupassen.

Artikel teilen
Email to someoneTweet about this on TwitterShare on LinkedInShare on Xing

Über den Autor