open search
close
Datenschutz Kollektivarbeitsrecht Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Print Friendly, PDF & Email

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.

Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der DSGVO einhalten müssen, da es sich um eine höherrangige Rechtsquelle handelt. Das heißt insbesondere, dass etwaige Regelungen in einer Betriebsvereinbarung nicht gegen die inhaltlichen Vorgaben der DSGVO verstoßen dürfen. Ansonsten droht die Unwirksamkeit der entsprechenden Regelungen und gegebenenfalls sogar der gesamten Betriebsvereinbarung.

Allerdings besteht noch Unsicherheit, inwieweit eine solche Betriebsvereinbarung die Vorgaben der DSGVO genau abbilden muss, welche Inhalte der DSGVO also zwingender Bestandteil einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Insbesondere gibt es hierzu, soweit ersichtlich, noch keine klärende Rechtsprechung.

Dies gilt auch für die sog. Datenschutz-Folgenabschätzung, sodass sich für die Betriebsparteien die Frage stellen kann, ob sie diese in eine etwaige Betriebsvereinbarung aufnehmen müssen.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen, die der Verantwortliche im Sinne des Datenschutzrechts vorzunehmen hat. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Arbeitnehmern, muss der Arbeitgeber als Verantwortlicher vorab eine Abschätzung der Folgen der geplanten Verarbeitung für den Schutz der Beschäftigtendaten durchführen. 

Hat der Betriebsrat hinsichtlich der Datenschutz-Folgenabschätzung ein Mitbestimmungsrecht?

Zwar ist Art. 35 Abs. 9 DSGVO geregelt, dass „der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einholt“. Aus dieser Formulierung lässt sich aber kein zwingendes Mitbestimmungsrecht des Betriebsrats herleiten. Die weiche Formulierung der Vorschrift („…gegebenenfalls…“) spricht gegen ein solch zwingendes Mitbestimmungsrecht. Ob der Arbeitgeber letztlich den Standpunkt der betroffenen Personen oder ihrer Vertreter wirklich einholt, liegt in seinem Ermessen. Er kann selbst entscheiden, ob dies sachgemäß ist. Eine Verpflichtung zur Einschaltung des Betriebsrats wird hier gerade nicht begründet.

Dies zeigt auch der systematische Vergleich mit Art. 35. Abs. 2 DSGVO. Hier regelt der Verordnungsgeber eindeutig eine Verpflichtung des Arbeitgebers („Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“) Es findet sich gerade keine einschränkende Formulierung wie bei Art. 35 Abs. 9 DSGVO. Hätte der Verordnungsgeber eine zwingende Einbindung des Betriebsrats in die Datenschutz-Folgenabschätzung gewollt, hätte er eine dem Art. 35 Abs. 2 DSGVO vergleichbare Formulierung gewählt.

Datenschutz-Folgenabschätzung als primär faktischer Vorgang nicht zwingender Bestandteil einer Betriebsvereinbarung

Die Datenschutz-Folgenabschätzung ist auch nicht deshalb zwingender Bestandteil einer „IT-Betriebsvereinbarung“, weil sich eine Pflicht des Arbeitgebers zur Durchführung in Bezug auf die mit dem Betriebsrat zu verhandelnde technische Einrichtung ergibt. Die Datenschutz-Folgenabschätzung ist in erster Linie ein faktischer Vorgang zur Risikoermittlung. Sie muss zwar unter Umständen vorgenommen werden, ist aber nicht in den Regelungskomplex einer Betriebsvereinbarung mit ihrer normativen Wirkung einzubinden.

Der Arbeitgeber muss das Ergebnis der Datenschutz-Folgenabschätzung zwar dokumentieren, ist aber nicht gehalten, dies in der Betriebsvereinbarung selbst zu tun. Dies leuchtet ein, da der Betriebsrat unter Umständen im Rahmen des Mitbestimmungsprozesses Einfluss auf die Ausgestaltung der technischen Einrichtung nimmt, sodass die endgültige Datenschutz-Folgenabschätzung gegebenenfalls sogar erst nach der abgeschlossenen Mitbestimmung des Betriebsrats erfolgen kann.

Fazit

Die Datenschutz-Folgenabschätzung ist nicht zwingender Inhalt einer „IT-Betriebsvereinbarung“. Insbesondere hat der Betriebsrat nach dem Gesagten kein zwingendes Mitbestimmungsrecht in Bezug auf die Datenschutz-Folgenabschätzung als solche. Es steht im Ermessen des Arbeitgebers, ob er den Betriebsrat in die Datenschutz-Folgenabschätzung involvieren möchte.

372 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 65 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Internationales Arbeitsrecht Neueste Beiträge

Der „Brexit“ ist vollzogen: Was deutsche Arbeitgeber und UK-Arbeitnehmer nun beachten sollten

Nach langwierigen Verhandlungen um einen Brexit-Deal ist das Vereinigte Königreich mit Ablauf des 31. Januar 2020 aus der Europäischen Union ausgetreten. In unserer Blogbeiträgen vom 21. Februar 2020 und vom 28. November 2019 haben wir bereits über mögliche Konsequenzen des Brexit für Arbeitgeber und über den Aufenthalt und Arbeitsmarktzugang von UK-Staatsbürgern in Deutschland berichtet. Seit dem 1. Januar 2021 ist nun auch die sog. Übergangsphase,…
Compliance Neueste Beiträge

Arbeitsrechtliche Compliance im Homeoffice hinreichend beachtet?

Am Anfang der Corona-Pandemie wurden Arbeitnehmer vielerorts aufgrund rasant ansteigender Infektionszahlen ins Homeoffice „verschoben“, was noch einmal durch die seit Anfang des Jahrs geltende neue Arbeitsschutzverordnung verstärkt wurde. Vieles spricht dafür, dass dieser Trend auch nach der Pandemie – wenn auch in geringerem Ausmaß – fortbestehen wird. Da die schnelle Reaktion auf die Pandemiesituation kaum Zeit gelassen hat, um regelkonformes Arbeiten im Homeoffice sicherzustellen, lohnt…
Compliance Datenschutz Neueste Beiträge

Videoüberwachung von Beschäftigten – höchste Zeit für Compliance-Checks!

Neues Jahr – neues Millionenbußgeld wegen Verstoßes gegen Datenschutzrecht. Nachdem bereits gegen die Modekette H&M ein Rekordbußgeld von 35,3 Millionen Euro wegen der Videoüberwachung von Mitarbeitern verhängt wurde, muss nun auch der Elektronikhändler Notebooksbilliger.de ein hohes Bußgeld zahlen. Das Unternehmen hatte Mitarbeiter jahrelang per Video beobachtet, ohne die Überwachung auf bestimmte Beschäftigte oder Verdachtsfälle zu begrenzen. Wegen dieser Praxis verhängte die Datenschutzbeauftragte des Landes Niedersachsen…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.