Suche 
Beschließt der Arbeitgeber, personenbezogene Daten der Beschäftigten zu verarbeiten, muss er sich rechtzeitig mit der Ausgestaltung der datenschutzrechtlichen Löschungspflicht beschäftigen. Sofern in einer Betriebsvereinbarung Abläufe geregelt sind, bei denen personenbezogene Daten verarbeitet werden, was insbesondere bei IT-Betriebsvereinbarungen der Fall ist, stellt sich immer die Frage: Hat der Betriebsrat auch ein Mitbestimmungsrecht hinsichtlich des Löschkonzepts?
Keine IT-Vereinbarung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG ohne Löschkonzept
Die Einführung neuer IT-Systeme, wie z. B. Systeme zur Arbeitssteuerung, Personalwirtschaftssysteme, Zeiterfassungssysteme und Videoüberwachung, unterfällt dem Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG, denn durch solche IT-Systeme kann der Arbeitgeber grundsätzlich die Leistung und das Verhalten der Belegschaft überwachen.
87 Abs. 1 BetrVG beschränkt das Mitbestimmungsrecht jedoch ausdrücklich: Soweit eine Angelegenheit gesetzlich oder tariflich geregelt wird, steht dem Betriebsrat kein Mitbestimmungsrecht zu. Denn nach ständiger Rechtsprechung des Bundesarbeitsgerichts ist dem Schutzbedürfnis der Arbeitnehmer hinreichend Rechnung getragen, wenn zwingende gesetzliche Regelungen bestehen, an die der Arbeitgeber gebunden ist.
Die Anwendung von technischen Einrichtungen gem. § 87 Abs. 1 Nr. 6 BetrVG enthält stets eine datenschutzrechtliche Komponente, denn dabei werden gem. Art. 4 Nr. 2 DS-GVO personenbezogene Daten verarbeitet. Dabei ist der Arbeitgeber der datenschutzrechtlich „Verantwortliche“ gem. Art. 4 Nr. 7 DS-GVO. Die datenschutzrechtliche Verantwortlichkeit liegt auch dann beim Arbeitgeber, wenn der Betriebsrat zur Erfüllung seiner Aufgaben personenbezogene Daten verarbeitet (§ 79a S. 2 BetrVG). Der Betriebsrat wiederum hat nach §§ 75 und 80 BetrVG nur allgemein die Aufgabe, die Einhaltung von Datenschutzvorschriften zu überwachen.
Der Arbeitgeber hat bei der Datenverarbeitung die datenschutzrechtlichen Grundsätze des Art. 5 DS-GVO, also unter anderem die Zweckbindung, Richtigkeit, Datenminimierung und Speicherbegrenzung, zu beachten. Insbesondere die Grundsätze der Zweckbindung und Datenminimierung wirken sich auf die Pflicht des Arbeitgebers aus, Daten zu löschen. So müssen Arbeitgeber, um dem Grundsatz der Datenminimierung gerecht zu werden, bei der Anwendung jeder technischen Einrichtung ein Löschkonzept implementieren, das vorgibt, wie die Datenlöschung im Unternehmen umzusetzen ist.
Pflicht zur Datenlöschung für Arbeitgeber in der DS-GVO geregelt?
Hinsichtlich der Pflicht zur Löschung von verarbeiteten Daten bestehen bereits in der DS-GVO Vorgaben, an die Arbeitgeber in Deutschland als datenschutzrechtlich Verantwortliche unmittelbar gebunden sind. Sie unterliegen einer laufenden Prüfpflicht, ob Daten zu löschen sind. Konkret müssen Arbeitgeber gem. Art. 17 Abs. 1 DS-GVO personenbezogenen Daten löschen, wenn die verarbeiteten Daten für die erhobenen Zwecke nicht mehr notwendig sind – auch ohne dass es einer Aufforderung der hiervon betroffenen Person bedarf.
Da Arbeitgeber als „Verantwortliche“ nach Art. 5 Abs. 2 DS-GVO den Arbeitnehmern gegenüber ohnehin gesetzlich zur rechtzeitigen Löschung von Daten verpflichtet sind, müssen Löschungspflichten grundsätzlich nicht in Kollektivvereinbarungen geregelt werden. Aufgrund der „zwingenden gesetzlichen Regelung“ zur Datenlöschung erstreckt sich das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 BetrVG nicht auf das datenschutzrechtlich ohnehin erforderliche Löschkonzept.
Verhandlung eines Löschkonzepts mit dem Betriebsrat nach dem Wortlaut der DS-GVO optional
Auch der Wortlaut des Art. 88 DS-GVO, welcher die Datenverarbeitung im Beschäftigungskontext regelt, spricht dafür, dass Löschkonzepte nicht zwingend mit dem Betriebsrat verhandelt werden müssen. In Art. 88 Abs. 1 DS-GVO heißt es:
„Die Mitgliedsstaaten können durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen.“
Daraus folgt, dass die Verhandlungspartner einer Kollektivvereinbarung, wie einer Betriebsvereinbarung, spezifischere Regelungen zum Datenschutz, d. h. über die gesetzlichen Mindestanforderungen hinaus, treffen können. Durch das Wort „können“ wird ersichtlich, dass es sich hierbei um freiwillige Regelungsgegenstände handelt. Dem Arbeitgeber als datenschutzrechtlich Verantwortlichen steht es damit frei, eigenständig ein Konzept für die Erfüllung seiner gesetzlichen Pflichten zu entwickeln. Demzufolge kann er auch ohne Einflussnahme des Betriebsrats ein Löschkonzept entwickeln, um seiner gesetzlichen Löschungspflicht aus Art. 17 Abs. 1 DS-GVO nachzukommen. Der Betriebsrat hat kein Mitbestimmungsrecht hinsichtlich des Löschkonzepts.
Für die Freiwilligkeit der Aufnahme eines Löschkonzepts in Kollektivvereinbarungen spricht weiterhin der Erwägungsgrund 155 zur DS-GVO. Hiernach „können“ Kollektivvereinbarungen Regelungen zur Verarbeitung (dazu gehört auch die Löschung von Daten) der personenbezogenen Daten treffen. Der Arbeitgeber kann darauf mithin auch verzichten und eigenständig ein Löschkonzept konzipieren.
Gesetzgeberische Wertung in § 26 BDSG spricht ebenfalls für eine lediglich freiwillige Verhandlung
Auch § 26 Abs. 5 BDSG fordert, dass der Arbeitgeber als datenschutzrechtlich Verantwortlicher ein Löschkonzept entwickelt, um insbesondere die Grundsätze der Zweckbindung und Datenminimierung Art. 5 Abs. 1 DS-GVO einzuhalten. In § 26 Abs. 5 BDSG heißt es:
„Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 679/2016 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.“
Ob der Arbeitgeber beschließt, den Betriebsrat bei der Ausgestaltung seiner gesetzlichen Pflicht miteinzubeziehen, steht demnach in seinem Ermessen. Ob diese nationale Norm weiterhin als unionsrechtskonform erachtet wird, ist jedoch nach jüngerer europäischer Rechtsprechung (EuGH, Urteil vom 30.3.2023 – C-34/21) fraglich. Der Norm lässt sich jedoch die gesetzgeberische Wertung entnehmen, dass die datenschutzrechtlichen Grundsätze des Art. 5 Abs. 1 DS-GVO, und damit ein Löschkonzept, nicht ausdrücklich in Kollektivvereinbarungen adressiert werden müssen, sondern eigenständig vom Arbeitgeber entwickelt werden können.
Fazit
Die in Art. 17 Abs. 1 DS-GVO normierte Pflicht zur Datenlöschung, welche die datenschutzrechtlichen Grundsätze der Datenminimierung und Zweckbindung nach Art. 5 DS-GVO konkretisiert, stellt eine zwingende, gesetzliche Regelung im Sinne des § 87 Abs. 1 BetrVG dar, sodass dem Betriebsrat im Hinblick auf Löschkonzepte kein Mitbestimmungsrecht zusteht. Arbeitgeber sollten daher sorgfältig abwägen, ob sie mit dem Betriebsrat auf freiwilliger Basis ein Löschkonzept verhandeln oder eigenständig ein datenschutzrechtlich konformes Löschkonzept aufstellen.
