Rechte des Betriebsrates

I. Mitbestimmungsrecht des Betriebsrates bei technischen Einrichtungen

Mitbestimmung des Betriebsrates bei § 87 Abs. 1 Nr. 6 BetrVG
Initiativrecht des Betriebsrates aus § 87 Abs. 1 Nr. 6 BetrVG

II. Betriebsvereinbarungen zum Datenschutz

Die Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten
Die Betriebsvereinbarung als Rechtsvorschrift im Sinne des Art. 88 DSGVO/§ 26 BDSG-neu
Grundsätze für die Gestaltung von Betriebsvereinbarungen
Was ist bei der Anpassung alter Betriebsvereinbarungen an die DSGVO wichtig?

III. Beteiligung des Betriebsrats bei der Datenschutz-Folgeabschätzung

Was ist eine Datenschutz-Folgenabschätzung?
Aus welchen Teilen besteht eine Datenschutz-Folgenabschätzung?
Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Wer führt die Datenschutz-Folgenabschätzung durch?
Welches Beteiligungsrecht hat der Betriebsrat bei der Datenschutz-Folgenabschätzung?
Welche weiteren Auswirkungen hat die Feststellung eines hohen Risikos durch die DSFA (Konsultationspflicht)?

IV. Weitere Rechte des Betriebsrates im Zusammenhang mit Datenschutz

I. Mitbestimmungsrecht des Betriebsrates bei technischen Einrichtungen

1. Mitbestimmung des Betriebsrates bei § 87 Abs. 1 Nr. 6 BetrVG

Die Mitbestimmung eröffnet nicht nur die Entscheidungsgewalt, ob überhaupt ein System eingeführt wird oder nicht, sodass der Betriebsrat zur geplanten Einführung und Anwendung von entsprechenden Systemen nicht nur ja oder nein sagen kann, sondern ermöglicht ein sehr differenziertes System, sodass alle Regelungen, die materielle oder auch formelle bzw. Verfahrens- und Kontrollregelungen beinhalten, zum Kernbereich des Mitbestimmungstatbestandes zählen
Dies ergibt sich bereits aus dem Wortlaut des Gesetzestextes. Nach allgemeiner Auffassung dient § 87 Abs. 1 Nr. 6 BetrVG dem Schutz des einzelnen Arbeitnehmers gegen anonyme Kontrolleinrichtungen, die „stark in den persönlichen Bereich der Arbeitnehmer eingreifen“ (Bundestag, Drucksache VI/1786 S. 48 f.). Die Vorschrift bezweckt zwar nicht den Schutz der Arbeitnehmer vor jeglicher Überwachung, wohl aber vor den besonderen Gefahren solcher Überwachungsmethoden, die sich für das Persönlichkeitsrecht der Arbeitnehmer aus dem Einsatz technischer Einrichtungen ergeben. Um die Gefahren, die dem Arbeitnehmer durch die modernen Technologien mit ihren vielfältigen, oft nicht wahrnehmbaren Überwachungsmöglichkeiten drohen, wirksam eindämmen zu können, bedarf der individualrechtliche Persönlichkeitsschutz der kollektiv-rechtlichen Verstärkung durch die Mitbestimmung (BetrVG – Fitting Handkommentar 30. Aufl., Rdnr. 215 zu § 87 BetrVG).

Der Betriebsrat hat hier erhebliche Spielräume, den Datenschutz im Rahmen des § 87 Abs. 1 Nr. 6 BetrVGzu beeinflussen und das Datenschutzniveau im Unternehmen zu sichern bzw. zu verbessern. Ziel des Mitbestimmungsrechts und damit Handlungsfeld für den Betriebsrat ist in erster Linie der präventive Schutz vor rechtlich unzulässigen Eingriffen in den Persönlichkeitsbereich der Arbeitnehmer. Der Betriebsrat soll und kann hier bereits im Vorfeld verhindern, dass es überhaupt zu Eingriffen in den Persönlichkeitsbereich kommt, die rechtswidrig sind. Da bereits jede Datenerhebung einer Rechtsgrundlage bedarf (Artikel 6 DSGVO) und die Betriebsvereinbarung eine solche Rechtsvorschrift sein kann, empfiehlt es sich, detaillierte Regelungen betriebsbezogen und konkret auf die Verhältnisse im Unternehmen in einer Betriebsvereinbarung festzuhalten. Zum Beispiel:

Welche Daten dürfen überhaupt erhoben werden?
Wer hat Zugriff auf diese Daten?
Wie lange dürfen sie gespeichert werden?
Wer darf sie zu welchem Zwecke und wofür verwenden?
Warum gibt es ein schützenswertes Interesse des Arbeitgebers an der Erhebung gerade dieser Daten?
Wie sind die erhobenen Daten vor Weitergabe, Übermittlung an Dritte usw. geschützt?

Ein weiteres Ziel des Mitbestimmungsrechts besteht darin, dem Betriebsrat ein Mitbeurteilungsrecht zu sichern über die oft schwierige Ermittlung der Grenze zwischen zulässigen und unzulässigen Eingriffen in das Persönlichkeitsrecht der Arbeitnehmer.

Schließlich besteht das Ziel der Ausübung der Mitbestimmung darin, den Rahmen rechtlich zulässiger Eingriffe mitzugestalten, um die Eingriffe in das informationelle Selbstbestimmungsrecht auf ein durch die betrieblichen Notwendigkeiten unabdingbar gebotenes Maß zu beschränken. In diesem Zusammenhang stellen sich ebenfalls die eben genannten Fragen. Denn bei der Gestaltung einer solchen Betriebsvereinbarung müssen sich die Betriebsparteien an den Grundsätzen des Datenschutzes aus Artikel 5 DSGVO orientieren und diese konkret mit Regelungen ausfüllen.

Bei der Ausfüllung dieser Grundsätze müssen die Betriebsparteien die konkreten technischen und organisatorischen Maßnahmen zum Datenschutz für den Betrieb in einer Betriebsvereinbarung erfassen. So sollte der Betriebsrat etwa die Fragen der Datensicherheit (Artikel 32 DSGVO) wie der Zutrittskontrolle, der Zugangskontrolle, der Zugriffskontrolle, der Weitergabekontrolle, der Eingabekontrolle, der Auftragskontrolle, der Verfügbarkeitskontrolle sowie der Trennungskontrolle durch konkrete Maßnahmen im Betrieb mit regeln (ehemals in Anlage zu § 9 BDSG-alt).

Findet man hier keine konkreten Regelungen, läuft der Datenschutz in der Praxis regelmäßig leer und erschöpft sich in der allgemeinen Beteuerung, dass die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz sowie andere datenschutzrechtliche Vorschriften schon angewandt werden. Praktische Konsequenzen und eine Umsetzung der gesetzlichen Vorschriften erfolgen jedoch allzu oft nicht.

2. Initiativrecht des Betriebsrates aus § 87 Absatz 1 Nr. 6 BetrVG

Will ein Arbeitgeber ein technisches System, das zur Leistungs- oder Verhaltenskontrolle der Beschäftigten geeignet ist, einführen, so kann der Betriebsrat dieses mitbestimmen. Was aber gilt, wenn der Betriebsrat selbst die Einführung eines Systems – etwa zur Arbeitszeiterfassung – anstrebt?
Kann er von sich aus die Einführung eines solchen Systems fordern oder mit anderen Worten:
Hat er hinsichtlich § 87 Abs. 1 Nr. 6 BetrVG ein Initiativrecht?

Diese Frage ist in Rechtsprechung und Literatur umstritten. Zum Teil wird die Frage verneint oder bejaht, zum Teil wird auf die Mitbestimmung nach § 87 Abs. 1 Nr. 2 BetrVG verwiesen, von der die Einführung eines solchen Systems umfasst sein kann. Dass die überzeugenderen Argumente dafür sprechen, dass dem Betriebsrat auch bei § 87 Abs. 1 Nr. 6 BetrVG dem Grunde nach ein Initiativrecht zukommt, zeigt folgende Entscheidungsbesprechung.

Folgende Entscheidungsbesprechung von RA David-S. Schumann erschien in der Ausgabe 10/2015 der Zeitschrift „Arbeitrecht im Betrieb“ (AiB):

Dem Betriebsrat kommt auch hinsichtlich des § 87 Abs. 1 Nr. 6 BetrVG ein Initiativrecht zu. Ob dabei in die Persönlichkeitsrechte der Arbeitnehmereingegriffen werden kann, ist eine Frage der Abwägung mit schützenswerteren Interessen. (Leitsatz des Bearbeiters)

LAG Berlin-Brandenburg, Beschluss vom 22.01.2015 – 10 TaBV 1812/14, 10 TaBV 2124/14

Der Fall

Der Betriebsrat verfolgte das Ansinnen, eine Einigungsstelle zum Thema elektronische Zeiterfassung gerichtlich einsetzen zu lassen. Die Arbeitgeberin hatte die Verhandlungen über die Umstellung auf eine Zeiterfassung mittels Terminals und Chipkarten abgebrochen, nachdem sich die Parteien nicht über alle Standorte der Terminals einigen konnten. Die Einsetzung einer Einigungsstelle verweigerte sie mit dem Hinweis, dem Betriebsrat stehe kein Initiativrecht zu, da es sich bei den Terminals um eine technische Einrichtung nach § 87 Abs. 1 Nr. 6 BetrVG handele, mittels derer das Verhalten oder die Leistung der Arbeitnehmer überwacht werden könne. Dabei berief sich die Arbeitgeberin maßgeblich auf eine Entscheidung des Bundesarbeitsgerichts (BAG) aus dem Jahre 1989, in der das Gericht die Rechtsbeschwerde eines Betriebsrats zurückwies. Der Betriebsrat wollte die Abschaffung einer maschinellen Zeiterfassung durch den Arbeitgeber entgegentreten. Nach Auffassung des damaligen 1. Senats habe der Betriebsrat jedoch schon kein Initiativrecht auf Einführung, weshalb er folglich auch die Abschaffung nicht verhindern könne (BAG v. 28.11.1989 – 1 ABR 97/88). Der vereinzelt gebliebenen Entscheidung des BAG haben sich seitdem mehrere Gerichte insoweit angeschlossen, als dass sie die Anträge der Betriebsräte auf Einsetzung einer Einigungsstelle wegen offensichtlicher Unzuständigkeit zurückwiesen (LAG Niedersachsen v. 22.10.2013 – 1 TaBV 53/13; Sächsisches LAG v. 19.12.2014 – 2 TaBV 27/14; LAG Baden-Württemberg v. 04.12.2014 – 6 TaBV 3/14; a.A. ArbG Berlin v. 20.03.2013 – 28 BV 2178/13). Dies führte letztlich dazu, dass der Beschluss des BAG bisher nicht überprüft werden konnte, da § 99 Arbeitsgerichtsgesetz lediglich zwei Instanzen – Arbeitsgericht und Landesarbeitsgericht (LAG) – und damit keine Rechtsbeschwerde zum BAG vorsieht. Hingegen war die BAG-Entscheidung in wichtigen Stimmen der Literatur auf deutliche Kritik gestoßen, da dem Betriebsrat ein Initiativrecht zumindest dann zukomme, wenn dies im Interesse der Arbeitnehmer als geboten erscheine (Fitting, BetrVG, 27. Aufl. 2014, § 87 Rdnr. 251). Überzeugend ist auch die Kritik, die eine abzulehnende Bevormundung in der Einschränkung des Initiativrechts sieht (Däubler/Kittner/Klebe/Wedde, BetrVG, 14. Aufl. 2014, § 87 Rdnr. 166 m.w.N.).

Die Entscheidung

Das LAG entschied nunmehr richtigerweise, dass dem Betriebsrat ein Initiativrecht zukomme und die Einigungsstelle daher nicht offensichtlich unzuständig sei. Dadurch erhält der Betriebsrat die Gelegenheit, die gewünschte technische Einrichtung gegen den Widerstand des Arbeitgebers einzuführen. Dabei stellte das Gericht in seiner Entscheidung nicht nur auf den historischen Kontext der Gesetzeseinführung ab, wonach der Gesetzgeber nicht zwischen Angelegenheiten unterschieden hatte, die nur vom Arbeitgeber oder von beiden Betriebsparteien vor die Einigungsstelle gebracht werden könnten. Die Entscheidung des BAG sei zudem vereinzelt geblieben und die Voraussetzungen für eine richterliche Rechtsfortbildung nicht gegeben, weil eine solche eindeutig gegen den Willen des Gesetzgebers verstoßen würde. Auch habe das BAG in seiner Entscheidung aus dem Jahre 1989 die Rechtsbeschwerde deswegen zurückgewiesen, weil der Betriebsrat nur ein eingeschränktes Auskunftsrecht gehabt habe. Diese Einschränkung über die Verpflichtung des Arbeitgebers auf Erteilung von Auskünften über die Arbeitszeit habe das BAG aber inzwischen dergestalt geändert, als dass ein solches auch dann bestehe, wenn der Arbeitgeber selbst bisher über keine Kenntnis verfüge (BAG v. 06.05.2003 – 1 ABR 13/02). Letztlich könne das Initiativrecht auch mit Rückgriff auf die Persönlichkeitsrechte der Arbeitnehmer nicht ausgeschlossen werden, da es gegebenenfalls schützenswertere Rechte gäbe, die den Persönlichkeitsschutz überwiegen.

Darüber hinaus gab das LAG auch der Anschlussbeschwerde des Betriebsrats insoweit statt, als dass es nur zwei, sondern vielmehr drei Beisitzer festsetzte. Nach Auffassung des Gerichts gäbe es keine Regelbesetzung, sondern maßgebend sei in erster Linie der Schwierigkeitsgrad der Meinungsverschiedenheit und die zu ihrer Beilegung notwendigen Fachkenntnisse und betriebspraktischen Erfahrungen.

Bedeutung für die Praxis

Betriebsräte können sich nunmehr auf die Entscheidung des LAG Berlin-Brandenburg stützen, wenn sie eine technische Einrichtung nach § 87 Abs. 1 Nr. 6 BetrVG einführen wollen. Hieran könnten sie neben der Einhaltung des Arbeitszeitgesetzes oder der korrekten Bezahlung für geleistete Arbeit unter anderem ein Interesse haben, weil sie beispielsweise Maschinen oder aber auch gefährdete Arbeitsplätze mittels Kameras überwachen wollen. Aber auch das Recht des Betriebsrats auf Einführung von Gleitzeit kann es notwendig machen, technische Einrichtungen wie Zeiterfassungsterminals als Hilfsmittel mitzuregeln.
Die Entscheidung der 10. Kammer des LAG ist daher insoweit wichtig, als dass andere Landesarbeitsgerichte es nun schwer haben werden, die Einsetzung der Einigungsstelle wegen offensichtlicher Unzuständigkeit mit kurzem Verweis auf die alte BAG-Rechtsprechung abzulehnen.

II. Betriebsvereinbarungen zum Datenschutz

1. Die Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten

Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten können auch Tarifverträge und in der Praxis vor allem auch Betriebsvereinbarungen sein. So können Betriebsvereinbarungen im Betrieb Zulässigkeitsvoraussetzungen der Datenverarbeitung regeln. Hier besteht für Betriebsräte ein großes Handlungsfeld, zumal es in der Vergangenheit leider auch in großen deutschen Unternehmen zu viel beachteten Datenskandalen gekommen ist. Deutsche Bahn, Telekom, Lidl und die dort durchgeführten rechtswidrigen und betriebsverfassungswidrigen Überwachungsmaßnahmen gegen Arbeitnehmer sind hinlänglich bekannt.

Betriebsräte stehen somit in Verantwortung für die Beschäftigten und können auch gesellschaftlich eine wichtige Kontrollfunktion in den Unternehmen im Hinblick auf wirksamen Datenschutz wahrnehmen.
Es ist sinnvoll und datenschutzrechtlich oft notwendig, die unbestimmten Rechtsbegriffe der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes entsprechend den jeweiligen betrieblichen Bedürfnissen zu konkretisieren. Oft ist nur so ein effektiver und konkret auf die Verhältnisse zugeschnittener Datenschutz für die Beschäftigten erzielbar.

Konkret kann z.B. festgelegt werden, dass gewisse Daten nur zu einem bestimmten Zweck verwendet werden dürfen, dass sie nach einer gewissen Zeit zu löschen sind oder nur anonymisiert zu verwenden sind. Wichtig sind oft auch Regelungen über die Zulässigkeit und die Modalitäten eines Datenflusses innerhalb des Konzerns. Auch Regelungen zu Beweisverwertungsverboten und Sachvortragsverboten in gerichtlichen Verfahren sind zu empfehlen.

Betriebsvereinbarungen müssen DSGVO- und grundrechtskonform sein

Stellen die Betriebsparteien eigene Zulassungsvoraussetzungen für die betriebliche Datenerhebung, -verarbeitung und -nutzung in einer Betriebsvereinbarung auf, so müssen sie sich bei ihren Regelungen an den Rahmen höherrangigen Rechts halten (Rangprinzip). Weder die Betriebsparteien noch ein Spruch der Einigungsstelle dürfen gegen die allgemeinen Grundsätze des Datenschutzrechts sowie Anforderungen des Grundrechts der informationellen Selbstbestimmung verstoßen. Die bereits im Volkszählungsurteil durch das Bundesverfassungsgericht aufgestellten Grundsätze des Verbotes der unbegrenzten Datenerhebung, der Verarbeitung nur aufgrund klarer und für den Betroffenen erkennbarer Verarbeitungsvoraussetzungen unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit und Festlegung der Verwendungszwecke, die Regelung angemessener Schutzrechte für die Betroffenen sind in jedem Fall zu beachten. Diese Grundsätze hat im Wesentlichen auch die DSGVO aufgenommen.
Arbeitgeber und Betriebsrat haben die Entfaltung der Persönlichkeit zu schützen und zu fördern

Das Betriebsverfassungsgesetz enthält mit § 75 Absatz 2 BetrVG eine eigene Vorschrift, die die Beachtung des Datenschutzes und des Selbstbestimmungsrechts über die eigenen Daten unterstreicht und verstärkt.

Nach § 75 Absatz 2 BetrVG haben Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Sie haben die Selbständigkeit und Eigeninitiative der Arbeitnehmer zu fördern.

Diese Vorschrift enthält nicht nur einen unverbindlichen Programmsatz. Sie stellt einen unmittelbaren materiellen und elementaren Grundsatz für die Behandlung der Betriebsangehörigen durch Arbeitgeber und Betriebsrat auf, der gerade auch bei der Wahrnehmung der Beteiligungsrechte und -pflichten durch Arbeitgeber und Betriebsrat zu beachten ist.

Die Vorschrift stellt zwingendes Recht dar und kann weder durch Tarifvertrag noch durch Betriebsvereinbarung oder gar Arbeitsvertrag abbedungen werden.

2. Die Betriebsvereinbarung als Rechtsvorschrift im Sinne des Artikel 88 DSGVO / § 26 BDSG

Neu ist in der Datenschutz-Grundverordnung, dass sie für den Beschäftigtendatenschutz nähere allgemeine Vorgaben macht. Um detaillierte Vorgaben zu spezifischen Bereichen des Arbeitslebens, wie sie als „Beschäftigtendatenschutzgesetz“ seit Langem von vielen gefordert wird, handelt es sich dabei jedoch leider nicht. Vergleicht man die verschiedenen Entwurfsfassungen, stellt man fest, dass viele konkrete Vorschläge des Europäischen Parlaments, z.B. ein ausdrückliches Verbot der Videoüberwachung in Umkleideräumen, der heimlichen Videoüberwachung oder von schwarzen Listen von Arbeitnehmern aufgrund von Gewerkschaftszugehörigkeit – nicht im Einzelnen aufgegriffen wurde. Vielmehr wurden diese Vorschläge auf eine allgemeine Vorgabe zusammengeschmolzen.

Die Datenschutz-Grundverordnung besagt allerdings, dass Deutschland und die anderen EU-Mitgliedsstaaten zum Beschäftigtendatenschutz selbst eigene, „spezifischere“ Vorschriften als die übrigen Vorschriften der Datenschutz-Grundverordnung erlassen dürfen (Artikel 88 Absatz 1 DSGVO).

Dabei legt die Datenschutz-Grundverordnung ausdrücklich fest, dass diese spezifischeren Vorschriften zur Verarbeitung von Beschäftigtendaten auch in Kollektivvereinbarungen, d.h. in Tarifverträgen oder Betriebsvereinbarungen, bestehen können.

Zu welchen Verarbeitungszwecken können Betriebsvereinbarungen geschlossen werden?

Die Datenschutz-Grundverordnung nennt in Artikel 88 einige Verarbeitungszwecke, zu denen spezifischere Gesetze, Tarifverträge oder Betriebsvereinbarungen erlassen bzw. abgeschlossen werden können.

Verarbeitungszwecke zu denen spezifischere Vorschriften möglich sind, sind u.a. die der Einstellung, der Erfüllung des Arbeitsvertrags, der Planung und Organisation der Arbeit oder der Beendigung der Arbeitsverhältnisses; diese Zwecke waren in ähnlicher Formulierung bereits aus der Vorgängervorschrift zum Beschäftigtendatenschutz bekannt (§ 32 BDSG-alt, jetzt § 26 BDSG).

Mögliche Verarbeitungszwecke sind aber auch – konkreter als in der bisherigen Regelung – die Gleichheit und Diversität am Arbeitsplatz, die Gesundheit und Sicherheit am Arbeitsplatz oder der Schutz des Eigentums der Arbeitgeber oder der Kunden, oder auch des „Managements“. Diese Aufzählung ist nicht abschließend.

Welche allgemeinen Vorgaben enthält die DSGVO für Datenschutz-Betriebsvereinbarungen?

Allgemeine Vorgaben, wie die spezifischeren Vorschriften zum Beschäftigtendatenschutz ausgestaltet sein müssen, enthält die Datenschutz-Grundverordnung ebenfalls (Artikel 88 Absatz 2 DSGVO). : Die spezifischeren Vorschriften müssen „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte“ der Beschäftigten umfassen.

Mit der menschlichen Würde ist eines der Grundrechte angesprochen, die den Beschäftigtendatenschutz notwendig machen. Die Gesetze, Tarifverträge oder Betriebsvereinbarungen müssen zu deren Wahrung konkrete Maßnahmen regeln. Die konkreten Maßnahmen müssen den weiteren Grundrechten der Beschäftigten und ihren weiteren berechtigten Interessen angemessen Rechnung tragen. Was das im Einzelnen genau heißt, müssen Betriebsräte, Arbeitgeber, Anwälte, Gerichte, Datenschutzbehörden und sonstige Fachautoren vor allem nach Maßgabe des Grundrechts auf Schutz personenbezogener Daten (Artikel 8 EU-Grundrechtecharta) sowie der bestehenden allgemeinen Vorschriften der DSGVO klären.

Derartige besondere Maßnahmen sollen insbesondere in Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und Überwachungssysteme am Arbeitsplatz getroffen werden.

Darf durch Datenschutz-Betriebsvereinbarungen vom Schutzniveau der DSGVO abgewichen werden?

Diese Vorgaben machen deutlich, dass die spezifischeren Vorschriften nicht beliebig nach unten von den übrigen Vorschriften der Datenschutz-Grundverordnung abweichen dürfen.

Betriebsvereinbarungen müssen konkretere Regelungen als die Datenschutz-Grundverordnung treffen und dabei mindestens das Schutzniveau der übrigen Datenschutz-Grundverordnung bieten.

Dies gilt übrigens auch für Gesetze und Tarifverträge.

Die Datenschutz-Grundverordnung konkretisiert nach dem europäischen Gesetzgeber das Recht auf Schutz personenbezogener Daten. Das gleiche Schutzniveau muss auf Vorschriften Anwendung finden, die die Vorschriften der Datenschutzverordnung noch weiter konkretisieren bzw. sie noch spezifischer machen.

Der verantwortliche Arbeitgeber muss übrigens nachweisen können, dass er die Datenschutz-Grundverordnung einhält (Artikel 5 Absatz 2, Artikel 25 DSGVO). Der Nachweis kann neben dem Verarbeitungsverzeichnis u.a. auch durch Vorlage einer gültigen Betriebsvereinbarung erfolgen. Die Einhaltung selbst erfolgt mittels geeigneter technischer und organisatorischer Maßnahmen, die in der Betriebsvereinbarung verankert sein sollten.

Gibt es auch ein spezielles Beschäftigtendatenschutz-Gesetz?

Deutschland hat die sich durch die Ermächtigungsvorschrift in der Verordnung bietende Gelegenheit bisher leider nicht ergriffen, um ein Beschäftigtendatenschutzgesetz in Angriff zu nehmen. Grob gesagt haben Bundestag und Bundesrat die knappe Vorschrift zur Datenverarbeitung im Beschäftigtenverhältnis aus dem alten BDSG in das neue hinübergerettet und etwas verlängert.
Sie findet sich fast wortgleich im neuen BDSG wieder (dort jetzt § 26 BDSG). Hinzugekommen ist die Zulässigkeit der Datenerhebung zur Ausübung oder Erfüllung der Rechte und Pflichten eines Betriebs- oder Personalrats. Das neue BDSG sieht die Zulässigkeit der Datenübermittlung an den Betriebsrat damit ausdrücklich vor, wenn dies zur Ausübung seiner Rechte oder Erfüllung seiner Pflichten erforderlich ist.

Allerdings hat das Bundesministerium für Arbeit und Soziales eine Expertengruppe eingesetzt, die über Notwendigkeit und Inhalt eines Beschäftigtendatenschutz-gesetzes befinden soll.

3. Grundsätze für die Gestaltung von Betriebsvereinbarungen

Betriebsvereinbarungen zum Datenschutz müssen die Grundsätze aus der DSGVO auf die betriebliche Situation zugeschnitten umsetzen. Folgende Vorgaben der DSGVO sind dabei maßgeblich zu beachten.

a) Festlegung technischer und organisatorischer Datenschutz-Maßnahmen durch BV

Der verantwortliche Arbeitgeber muss die Mittel seiner Datenverarbeitung technisch und organisatorisch so gestalten, dass die Grundsätze des Datenschutz wirksam umgesetzt werden (Artikel 24 Absatz 1 und Artikel 25 Absatz 1 DSGVO).

Datenschutz durch Technikgestaltung

Er muss u.a. sicherstellen, dass schon technisch nur Daten erfasst werden können oder schon organisatorisch nur solche Daten erfasst werden dürfen, die für die verfolgten Zwecke wirklich erforderlich sind. Er muss Daten, wenn möglich, anonymisieren oder pseudonymisieren. Pseudonymisieren heißt, dass eine Person nur identifizierbar wird, wenn man sie mit Hilfe eines getrennt aufbewahrten Schlüssels mit ihrem Datum verknüpft. Hierzu muss der Arbeitgeber die Software der Hersteller nutzen, die diese Funktionen anbieten. Die Pflicht besteht, sofern der Aufwand hierfür nicht in einem Missverhältnis zur Schwere des Risikos für das Recht auf Schutz personenbezogener Daten steht. Dies nennt sich Datenschutz durch Technikgestaltung („privacy by design“).

Datenschutz durch datenschutzfreundliche Grundeinstellungen

Zudem ist der Arbeitgeber zum Datenschutz durch datenschutzfreundliche Voreinstellungen verpflichtet („privacy by default“, Artikel 25 Absatz 2 DSGVO). Er muss Maßnahmen implementieren, die sicherstellen, dass durch Programmvoreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Zweck erforderlich sind. Diese Maßnahmen beziehen sich auf die Menge der Informationen, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Betriebsräte können also mit Blick auf die Datenschutz-Grundverordnung fordern, dass die Grundsätze des Datenschutzes zugeschnitten auf die konkrete Situation technisch in die verwendeten Programme integriert werden oder nur solche Programme ausgewählt werden, die die Grundsätze zum Datenschutz berücksichtigen. Alternativ können sich die Betriebsparteien auf entsprechende organisatorische Verfahren einigen.

b) Mit Maßnahmen zu konkretisierende Datenschutz-Grundsätze

Die allgemeinen Grundsätze des Datenschutzes, die mit Regelungen zu technischen und organisatorischen Maßnahmen durch Betriebsvereinbarung konkret umgesetzt werden müssen, ergeben sich vor allem aus Art. 5 DSGVO.

Es müssen technische und organisatorische Maßnahmen vereinbart werden, damit personenbezogene Daten

Der Arbeitgeber ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Bei Übermittlung von personenbezogenen Beschäftigtendaten in Drittländer muss darauf geachtet werden, dass auch die Übermittlung an diese einer gesonderten Rechtsgrundlage bedarf, was sich in Form von entsprechenden Regelungen auch in einer mitbestimmten Betriebsvereinbarung niederschlagen sollte.

4. Was ist bei der Anpassung alter Betriebsvereinbarungen an die Rechtslage seit Inkrafttreten der DSGVO wichtig?

Die Antworten auf diese noch immer relevante Frage gibt es hier: („Update Betriebsvereinbarungen“, Artikel von RA Thomas Berger, Matthias Wilke und Eberhard Kiesche in der Zeitschrift AiB Arbeitsrecht im Betrieb Nr. 3/2018)

III. Beteiligung des Betriebsrats bei der Datenschutz-Folgeabschätzung

Ein wesentlich neu gestaltetes Instrument des Datenschutzes im Betrieb, bei der der Betriebsrat ein Beteiligungsrecht hat, ist die Datenschutz-Folgenabschätzung.

1. Was ist eine Datenschutz-Folgenabschätzung?

Bis Inkrafttreten der DSGVO bedurfte jede automatisierte Verarbeitung, die besondere Risiken für die Rechte der Betroffenen aufwiesen, etwa weil Gesundheitsdaten verarbeitet wurden, grundsätzlich der Prüfung durch den betrieblichen Datenschutzbeauftragen auf ihre Rechtmäßigkeit (§ 4d Absatz 5 und 6 BDSG).

Diese Vorabkontrolle wird nun durch die Datenschutz-Folgenabschätzung ersetzt (Artikel 35 DSGVO).

2. Aus welchen Teilen besteht eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung besteht aus folgenden Teilen:

systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke
Bewertung der Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung
Bewertung der Risiken für die Betroffenen
Abhilfemaßnahmen zur Bewältigung der Risiken für die Betroffenen.

Bei den Abhilfemaßnahmen müssen auch die Vorkehrungen oder Verfahren dargestellt werden, die den Schutz personenbezogener Daten und die Einhaltung der Datenschutz-Grundverordnung sicherstellen.

3. Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Verarbeitungsform ein hohes Risiko für die Rechte von Betroffenen zur Folge hat. Dies kann der Fall sein, weil neue Technologien verwendet werden oder der Umfang oder Zweck der Verarbeitung risikoreich ist. Die Datenschutz-Grundverordnung nennt als Beispiele, wann dies der Fall ist, die umfassende Bewertung persönlicher Aspekte (etwa der Leistung) Betroffener mit automatisierten Verfahren und die umfangreiche Verarbeitung von besonderen Daten – wie (weiterhin) Gesundheitsdaten. Diese Regelung ist im Vergleich zur bisherigen Rechtslage in Deutschland etwas großzügiger, was sich am Beispiel der Gesundheitsdaten zeigt: So reicht nicht mehr die Verarbeitung von Gesundheitsdaten überhaupt, damit eine Datenschutz-Folgenabschätzung nötig ist, sondern es müssen umfangreich Gesundheitsdaten verarbeitet werden. Bestehende Ausnahmen wurden dagegen abgeschafft.

4. Wer führt die Datenschutz-Folgenabschätzung durch?

Die Datenschutz-Folgenabschätzung wird nicht mehr durch den betrieblichen Datenschutzbeauftragten, sondern durch den Arbeitgeber selbst durchgeführt, der sich dabei vom betrieblichen Datenschutzbeauftragten beraten lassen muss (sofern ein solcher benannt ist). Diese neue Rollenverteilung nimmt den Arbeitgeber zwar selbst noch mehr in die Verantwortung, hat aber den Nachteil, dass sie die Prüfung dem fachlich unabhängigen Datenschutzbeauftragten aus den Händen nimmt.

5. Welches Beteiligungsrecht hat der Betriebsrat bei der Datenschutz-Folgenabschätzung?

Hervorzuheben ist, dass der Arbeitgeber den Standpunkt betroffener Personen oder des Betriebsrats zu der beabsichtigten Verarbeitung einholen muss (Artikel 35 Absatz 9 DSGVO). Damit der Betriebsrat seinen Standpunkt darlegen kann, muss er vorher unterrichtet werden. Die Konsultierung des Betriebsrats betrifft sowohl die Frage der Notwendigkeit der Datenschutz-Folgenabschätzung und damit das Vorliegen besonderer Risiken als auch die Durchführung der Folgenabschätzung selbst.

Betriebsräte sollten sicherstellen, dass sie rechtzeitig darüber, ob der Arbeitgeber eine Datenschutz-Folgenabschätzung für erforderlich hält, und ggf. über die Abschätzung selbst, informiert wird. Das kann durch Anfrage in den Einzelfällen geschehen, oder in einer Rahmen-Betriebsvereinbarung zum IT-Einsatz und Datenschutz als Teil der Unterrichtungspflicht vor Zustimmung zur Einführung eines Systems institutionalisiert werden. Auf diese Weise kann ein Gleichlauf der Beteiligung des Betriebsrats bei der Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 9 DSGVO und der Mitbestimmung bei der Einführung technischer Einrichtungen nach § 87 Absatz 1 Nr. 6 BetrVG erreicht werden. In beiden Fällen geht es um die Beurteilung und Minderung der Gefährdung des Persönlichkeitsrechts der Beschäftigten durch Überwachungseinrichtungen. Die Ergebnisse werden in die Gestaltung der Umstände der Datenverarbeitung sowie eine entsprechende Betriebsvereinbarung einfließen.

Zu beachten ist, dass die Beteiligung bei einer Datenschutz-Folgenabschätzung selbst dann notwendig ist, wenn die Datenverarbeitung auf nicht elektronischem Wege erfolgen sollte.

6. Welche weiteren Auswirkungen hat die Feststellung eines hohen Risikos durch die DSFA (Konsultationspflicht)?

Bisher bestand eine generelle Meldepflicht von automatisierter Verarbeitungen personenbezogener Daten, wenn mehr als 9 Beschäftigte mit der Verarbeitung betraut waren und kein betrieblicher Datenschutzbeauftragter bestellt war (§ 4d Absatz 1 bis 4 BDSG). Diese Meldepflicht findet nun nicht mehr generell Anwendung, sondern nur noch, wenn die Datenschutz-Folgenabschätzung ein hohes Risiko für personenbezogene Daten ergibt (Artikel 36 DSGVO).

IV. Weitere Rechte des Betriebsrats im Zusammenhang mit Datenschutz

Weitere Mitbestimmungsrechte des Betriebsrats im Zusammenhang mit Arbeitnehmerdatenschutz sind insbesondere:

Redaktion BGHP-Betriebsratsberater, 2018