open search
close
Datenschutz Kollektivarbeitsrecht Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Print Friendly, PDF & Email

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.

Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der DSGVO einhalten müssen, da es sich um eine höherrangige Rechtsquelle handelt. Das heißt insbesondere, dass etwaige Regelungen in einer Betriebsvereinbarung nicht gegen die inhaltlichen Vorgaben der DSGVO verstoßen dürfen. Ansonsten droht die Unwirksamkeit der entsprechenden Regelungen und gegebenenfalls sogar der gesamten Betriebsvereinbarung.

Allerdings besteht noch Unsicherheit, inwieweit eine solche Betriebsvereinbarung die Vorgaben der DSGVO genau abbilden muss, welche Inhalte der DSGVO also zwingender Bestandteil einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Insbesondere gibt es hierzu, soweit ersichtlich, noch keine klärende Rechtsprechung.

Dies gilt auch für die sog. Datenschutz-Folgenabschätzung, sodass sich für die Betriebsparteien die Frage stellen kann, ob sie diese in eine etwaige Betriebsvereinbarung aufnehmen müssen.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen, die der Verantwortliche im Sinne des Datenschutzrechts vorzunehmen hat. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Arbeitnehmern, muss der Arbeitgeber als Verantwortlicher vorab eine Abschätzung der Folgen der geplanten Verarbeitung für den Schutz der Beschäftigtendaten durchführen. 

Hat der Betriebsrat hinsichtlich der Datenschutz-Folgenabschätzung ein Mitbestimmungsrecht?

Zwar ist Art. 35 Abs. 9 DSGVO geregelt, dass „der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einholt“. Aus dieser Formulierung lässt sich aber kein zwingendes Mitbestimmungsrecht des Betriebsrats herleiten. Die weiche Formulierung der Vorschrift („…gegebenenfalls…“) spricht gegen ein solch zwingendes Mitbestimmungsrecht. Ob der Arbeitgeber letztlich den Standpunkt der betroffenen Personen oder ihrer Vertreter wirklich einholt, liegt in seinem Ermessen. Er kann selbst entscheiden, ob dies sachgemäß ist. Eine Verpflichtung zur Einschaltung des Betriebsrats wird hier gerade nicht begründet.

Dies zeigt auch der systematische Vergleich mit Art. 35. Abs. 2 DSGVO. Hier regelt der Verordnungsgeber eindeutig eine Verpflichtung des Arbeitgebers („Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“) Es findet sich gerade keine einschränkende Formulierung wie bei Art. 35 Abs. 9 DSGVO. Hätte der Verordnungsgeber eine zwingende Einbindung des Betriebsrats in die Datenschutz-Folgenabschätzung gewollt, hätte er eine dem Art. 35 Abs. 2 DSGVO vergleichbare Formulierung gewählt.

Datenschutz-Folgenabschätzung als primär faktischer Vorgang nicht zwingender Bestandteil einer Betriebsvereinbarung

Die Datenschutz-Folgenabschätzung ist auch nicht deshalb zwingender Bestandteil einer „IT-Betriebsvereinbarung“, weil sich eine Pflicht des Arbeitgebers zur Durchführung in Bezug auf die mit dem Betriebsrat zu verhandelnde technische Einrichtung ergibt. Die Datenschutz-Folgenabschätzung ist in erster Linie ein faktischer Vorgang zur Risikoermittlung. Sie muss zwar unter Umständen vorgenommen werden, ist aber nicht in den Regelungskomplex einer Betriebsvereinbarung mit ihrer normativen Wirkung einzubinden.

Der Arbeitgeber muss das Ergebnis der Datenschutz-Folgenabschätzung zwar dokumentieren, ist aber nicht gehalten, dies in der Betriebsvereinbarung selbst zu tun. Dies leuchtet ein, da der Betriebsrat unter Umständen im Rahmen des Mitbestimmungsprozesses Einfluss auf die Ausgestaltung der technischen Einrichtung nimmt, sodass die endgültige Datenschutz-Folgenabschätzung gegebenenfalls sogar erst nach der abgeschlossenen Mitbestimmung des Betriebsrats erfolgen kann.

Fazit

Die Datenschutz-Folgenabschätzung ist nicht zwingender Inhalt einer „IT-Betriebsvereinbarung“. Insbesondere hat der Betriebsrat nach dem Gesagten kein zwingendes Mitbestimmungsrecht in Bezug auf die Datenschutz-Folgenabschätzung als solche. Es steht im Ermessen des Arbeitgebers, ob er den Betriebsrat in die Datenschutz-Folgenabschätzung involvieren möchte.

3 beiträge

Sascha Gründler




Sascha Gründler berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen in allen Fragen des Arbeitsrechts. Schwerpunktmäßig beschäftigt er sich dabei mit dem Bereich Betriebsverfassungsrechts, insbesondere im Rahmen von Umstrukturierungen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
BetriebsratBetriebsverfassung Neueste Beiträge

IT-Rahmenbetriebsvereinbarung: Die Antwort auf „antiquiertes“ Betriebsverfassungsrecht?

In der heutigen Zeit ist die Nutzung moderner IT-Systeme in der Arbeitswelt zu einer Selbstverständlichkeit geworden. Nahezu alle Bereiche des Arbeitslebens greifen bereits jetzt in mehr oder weniger großem Umfang auf IT-Systeme zurück – und das obwohl die Digitalisierung der Arbeitswelt erst am Anfang steht. Viele dieser IT-Systeme eröffnen, wenn auch nur hintergründig, die Möglichkeit der Leistungs- und Verhaltenskontrolle der Arbeitnehmer, z.B. dadurch, dass im…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.