open search
close
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Print Friendly, PDF & Email

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.

Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der DSGVO einhalten müssen, da es sich um eine höherrangige Rechtsquelle handelt. Das heißt insbesondere, dass etwaige Regelungen in einer Betriebsvereinbarung nicht gegen die inhaltlichen Vorgaben der DSGVO verstoßen dürfen. Ansonsten droht die Unwirksamkeit der entsprechenden Regelungen und gegebenenfalls sogar der gesamten Betriebsvereinbarung.

Allerdings besteht noch Unsicherheit, inwieweit eine solche Betriebsvereinbarung die Vorgaben der DSGVO genau abbilden muss, welche Inhalte der DSGVO also zwingender Bestandteil einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Insbesondere gibt es hierzu, soweit ersichtlich, noch keine klärende Rechtsprechung.

Dies gilt auch für die sog. Datenschutz-Folgenabschätzung, sodass sich für die Betriebsparteien die Frage stellen kann, ob sie diese in eine etwaige Betriebsvereinbarung aufnehmen müssen.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen, die der Verantwortliche im Sinne des Datenschutzrechts vorzunehmen hat. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Arbeitnehmern, muss der Arbeitgeber als Verantwortlicher vorab eine Abschätzung der Folgen der geplanten Verarbeitung für den Schutz der Beschäftigtendaten durchführen. 

Hat der Betriebsrat hinsichtlich der Datenschutz-Folgenabschätzung ein Mitbestimmungsrecht?

Zwar ist Art. 35 Abs. 9 DSGVO geregelt, dass „der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einholt“. Aus dieser Formulierung lässt sich aber kein zwingendes Mitbestimmungsrecht des Betriebsrats herleiten. Die weiche Formulierung der Vorschrift („…gegebenenfalls…“) spricht gegen ein solch zwingendes Mitbestimmungsrecht. Ob der Arbeitgeber letztlich den Standpunkt der betroffenen Personen oder ihrer Vertreter wirklich einholt, liegt in seinem Ermessen. Er kann selbst entscheiden, ob dies sachgemäß ist. Eine Verpflichtung zur Einschaltung des Betriebsrats wird hier gerade nicht begründet.

Dies zeigt auch der systematische Vergleich mit Art. 35. Abs. 2 DSGVO. Hier regelt der Verordnungsgeber eindeutig eine Verpflichtung des Arbeitgebers („Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“) Es findet sich gerade keine einschränkende Formulierung wie bei Art. 35 Abs. 9 DSGVO. Hätte der Verordnungsgeber eine zwingende Einbindung des Betriebsrats in die Datenschutz-Folgenabschätzung gewollt, hätte er eine dem Art. 35 Abs. 2 DSGVO vergleichbare Formulierung gewählt.

Datenschutz-Folgenabschätzung als primär faktischer Vorgang nicht zwingender Bestandteil einer Betriebsvereinbarung

Die Datenschutz-Folgenabschätzung ist auch nicht deshalb zwingender Bestandteil einer „IT-Betriebsvereinbarung“, weil sich eine Pflicht des Arbeitgebers zur Durchführung in Bezug auf die mit dem Betriebsrat zu verhandelnde technische Einrichtung ergibt. Die Datenschutz-Folgenabschätzung ist in erster Linie ein faktischer Vorgang zur Risikoermittlung. Sie muss zwar unter Umständen vorgenommen werden, ist aber nicht in den Regelungskomplex einer Betriebsvereinbarung mit ihrer normativen Wirkung einzubinden.

Der Arbeitgeber muss das Ergebnis der Datenschutz-Folgenabschätzung zwar dokumentieren, ist aber nicht gehalten, dies in der Betriebsvereinbarung selbst zu tun. Dies leuchtet ein, da der Betriebsrat unter Umständen im Rahmen des Mitbestimmungsprozesses Einfluss auf die Ausgestaltung der technischen Einrichtung nimmt, sodass die endgültige Datenschutz-Folgenabschätzung gegebenenfalls sogar erst nach der abgeschlossenen Mitbestimmung des Betriebsrats erfolgen kann.

Fazit

Die Datenschutz-Folgenabschätzung ist nicht zwingender Inhalt einer „IT-Betriebsvereinbarung“. Insbesondere hat der Betriebsrat nach dem Gesagten kein zwingendes Mitbestimmungsrecht in Bezug auf die Datenschutz-Folgenabschätzung als solche. Es steht im Ermessen des Arbeitgebers, ob er den Betriebsrat in die Datenschutz-Folgenabschätzung involvieren möchte.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Datenschutz ESG Neueste Beiträge

Beschäftigtendaten – darf man sie zum Beispiel für ESG-Befragungen einfach nutzen? (Video)

Im Laufe eines Arbeitslebens sammeln Arbeitgeber von ihren Mitarbeitenden viele Daten, beginnend bei der Bewerbung über die Einstellung und auch während des Beschäftigungsverhältnisses. Teilweise werden diese Informationen auch durch Umfragen aktiv gesammelt – derzeit sehr aktuell etwa beim Thema ESG. Dabei stellt sich die Frage, ob diese einmalig für einen bestimmten Zweck gesammelten Daten auch für andere Zwecke als den ursprünglichen genutzt werden können, etwa…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.