open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

    Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

    Print Friendly, PDF & Email

    Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.

    Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der DSGVO einhalten müssen, da es sich um eine höherrangige Rechtsquelle handelt. Das heißt insbesondere, dass etwaige Regelungen in einer Betriebsvereinbarung nicht gegen die inhaltlichen Vorgaben der DSGVO verstoßen dürfen. Ansonsten droht die Unwirksamkeit der entsprechenden Regelungen und gegebenenfalls sogar der gesamten Betriebsvereinbarung.

    Allerdings besteht noch Unsicherheit, inwieweit eine solche Betriebsvereinbarung die Vorgaben der DSGVO genau abbilden muss, welche Inhalte der DSGVO also zwingender Bestandteil einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Insbesondere gibt es hierzu, soweit ersichtlich, noch keine klärende Rechtsprechung.

    Dies gilt auch für die sog. Datenschutz-Folgenabschätzung, sodass sich für die Betriebsparteien die Frage stellen kann, ob sie diese in eine etwaige Betriebsvereinbarung aufnehmen müssen.

    Was ist eine Datenschutz-Folgenabschätzung?

    Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen, die der Verantwortliche im Sinne des Datenschutzrechts vorzunehmen hat. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Arbeitnehmern, muss der Arbeitgeber als Verantwortlicher vorab eine Abschätzung der Folgen der geplanten Verarbeitung für den Schutz der Beschäftigtendaten durchführen. 

    Hat der Betriebsrat hinsichtlich der Datenschutz-Folgenabschätzung ein Mitbestimmungsrecht?

    Zwar ist Art. 35 Abs. 9 DSGVO geregelt, dass „der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einholt“. Aus dieser Formulierung lässt sich aber kein zwingendes Mitbestimmungsrecht des Betriebsrats herleiten. Die weiche Formulierung der Vorschrift („…gegebenenfalls…“) spricht gegen ein solch zwingendes Mitbestimmungsrecht. Ob der Arbeitgeber letztlich den Standpunkt der betroffenen Personen oder ihrer Vertreter wirklich einholt, liegt in seinem Ermessen. Er kann selbst entscheiden, ob dies sachgemäß ist. Eine Verpflichtung zur Einschaltung des Betriebsrats wird hier gerade nicht begründet.

    Dies zeigt auch der systematische Vergleich mit Art. 35. Abs. 2 DSGVO. Hier regelt der Verordnungsgeber eindeutig eine Verpflichtung des Arbeitgebers („Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“) Es findet sich gerade keine einschränkende Formulierung wie bei Art. 35 Abs. 9 DSGVO. Hätte der Verordnungsgeber eine zwingende Einbindung des Betriebsrats in die Datenschutz-Folgenabschätzung gewollt, hätte er eine dem Art. 35 Abs. 2 DSGVO vergleichbare Formulierung gewählt.

    Datenschutz-Folgenabschätzung als primär faktischer Vorgang nicht zwingender Bestandteil einer Betriebsvereinbarung

    Die Datenschutz-Folgenabschätzung ist auch nicht deshalb zwingender Bestandteil einer „IT-Betriebsvereinbarung“, weil sich eine Pflicht des Arbeitgebers zur Durchführung in Bezug auf die mit dem Betriebsrat zu verhandelnde technische Einrichtung ergibt. Die Datenschutz-Folgenabschätzung ist in erster Linie ein faktischer Vorgang zur Risikoermittlung. Sie muss zwar unter Umständen vorgenommen werden, ist aber nicht in den Regelungskomplex einer Betriebsvereinbarung mit ihrer normativen Wirkung einzubinden.

    Der Arbeitgeber muss das Ergebnis der Datenschutz-Folgenabschätzung zwar dokumentieren, ist aber nicht gehalten, dies in der Betriebsvereinbarung selbst zu tun. Dies leuchtet ein, da der Betriebsrat unter Umständen im Rahmen des Mitbestimmungsprozesses Einfluss auf die Ausgestaltung der technischen Einrichtung nimmt, sodass die endgültige Datenschutz-Folgenabschätzung gegebenenfalls sogar erst nach der abgeschlossenen Mitbestimmung des Betriebsrats erfolgen kann.

    Fazit

    Die Datenschutz-Folgenabschätzung ist nicht zwingender Inhalt einer „IT-Betriebsvereinbarung“. Insbesondere hat der Betriebsrat nach dem Gesagten kein zwingendes Mitbestimmungsrecht in Bezug auf die Datenschutz-Folgenabschätzung als solche. Es steht im Ermessen des Arbeitgebers, ob er den Betriebsrat in die Datenschutz-Folgenabschätzung involvieren möchte.

    KLIEMT.Arbeitsrecht



    Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
    Verwandte Beiträge
    Datenschutz Individualarbeitsrecht Neueste Beiträge

    „Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

    Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
    Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung Top-Management Vergütung

    Top 6 des Jahres 2023 aus arbeitsrechtlicher Sicht

    Das Jahr 2023 ist nun beinahe wieder vorbei. Zur Anheizung der weihnachtlichen Vorfreude lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an besonders beachtenswerten und für das Arbeitsrecht relevanten Urteilen – u.a. zu den Themen Equal Pay, Beweisverwertungsverbote, Geschäftsführerhaftung, Outsourcing und Strafrecht. Wie in jedem Jahr gab es auch in 2023 wieder einige Gerichtsentscheidungen, die in einem arbeitsrechtlichen Jahresrückblick nicht fehlen dürfen. Unsere diesjährigen…
    Internationales Arbeitsrecht Neueste Beiträge

    Belgium’s new whistleblowing law

    The EU Whistleblowing Directive has been implemented in Belgium and SMEs have only until 17 December to act. Here we consider some of the key details of the new Belgian legislation. Background The EU Whistleblowing Directive had to be transposed into Belgian national law by 17 December 2021 at the latest. This deadline was not met by Belgium. The Directive was, however, transposed into Belgian…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert