DSGVO wirbelt Betriebsvereinbarungen durcheinander

Mit der Datenschutz-Grundverordnung, die ab Mai 2018 anwendbar ist, soll eine Vereinheitlichung des Datenschutzes innerhalb der Europäischen Union erreicht werden. Das betrifft auch weite Bereiche des deutschen Arbeitsrechts.

Was haben nun Parteien zu beachten, wenn sie neue Betriebsvereinbarungen schließen und gibt es Anpassungsbedarf für alle bisherigen Betriebsvereinbarungen?

Wie war es bisher? – BDSG

Nach § 4 Abs. 1 BDSG ist eine Verarbeitung von personenbezogenen Daten z.B. dann zulässig, wenn eine andere Rechtsvorschrift außer dem BDSG dies erlaubt. Als andere Rechtsvorschriften gelten auch Betriebs- und Dienstvereinbarungen.

Faktisch wird der Inhalt einer Betriebsvereinbarung Inhalt des Arbeitsvertrags eines jeden einzelnen Mitarbeiters, so dass sich der Arbeitgeber gegenüber dem einzelnen Mitarbeiter in seinem Handeln auf die Betriebsvereinbarung berufen kann.

Der datenschutzrechtliche Rahmen einer Betriebsvereinbarung ergibt sich bisher insbesondere aus § 75 Betriebsverfassungsgesetz, der die Behandlung der Mitarbeiter nach den Grundsätzen von Recht und Billigkeit festschreibt.

Danach haben der Arbeitgeber und der Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Unverhältnismäßige Eingriffe in Persönlichkeitsrechte des Arbeitnehmers werden durch eine Beteiligung des Betriebsrats nicht zulässig. Eine betriebliche Regelung, die die Handlungsfreiheit des Arbeitnehmer einschränkt, muss den Grundsatz der Verhältnismäßigkeit beachten. Damit spielen die Punkte Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit im engeren Sinne eine ähnliche Rolle wie im Datenschutzrecht und müssen bisher von den Betriebsparteien bei einer Betriebsvereinbarung berücksichtigt werden. Nach Ansicht des Bundesarbeitsgerichts ist es aber möglich durch eine Betriebsvereinbarung hinter dem Datenschutzstandard des BDSG zurückzubleiben, was allerdings in der Literatur heftig bestritten wird und in der Praxis kaum anzufinden ist.

Wie wird es sein? – DSGVO

Die neue Verordnung sieht Öffnungsklauseln vor, die es den Mitgliedstaaten ermöglicht, nationale Regelungen im Datenschutz zu treffen.

Eine solche Öffnungsklausel betrifft den Beschäftigtendatenschutz. Art. 88 Abs. 1 DSGVO erlaubt den Mitgliedstaaten durch „Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften für den Beschäftigtendatenschutz“ vorzusehen. Neu ist damit die ausdrückliche Nennung der Kollektivvereinbarungen. Dass Mitgliedstaaten (hier Deutschland) grundsätzlich nicht Partei einer Kollektivvereinbarung sind, muss als Redaktionsversehen gewertet werden. „Kollektivvereinbarungen“ sind nach den Erwägungsgründen der DSGVO Tarifverträge und Betriebsvereinbarungen. Da sie in einem Atemzug wie Rechtsvorschriften genannt werden, stehen sie gleichberechtigt nebeneinander. Es bestehen also Parallelen zu der bisherigen Norm des § 4 Abs. 1 BDSG.

Es ist zu beachten, dass die DSGVO einen konkreten Rahmen vorgibt, in denen solche Tarifverträge oder Betriebsvereinbarungen erlassen werden dürfen.

Zum einen ergibt sich für solche Kollektivvereinbarungen aus Art. 88 Abs. 1 DSGVO einen inhaltlichen Kriterienkatalog. Dieser ist nicht abschließend und listet Bereiche auf wie Gesundheit und Sicherheit am Arbeitsplatz, Einstellung und Beendigung des Beschäftigtenverhältnisses, aber auch die für die Betriebsparteien besonders relevante „Inanspruchnahme kollektiver Rechte und Leistungen“. Damit ist klar, dass insbesondere das Betriebsverfassungsgesetz mit seinen Regelungen zu den Mitbestimmungsrechten, bspw. in §§ 87, 99 oder 112 BetrVG von dem Anwendungsbereich der Öffnungsklausel und damit auch die Betriebsvereinbarung umfasst ist.

Zum anderen gibt Art. 88 Abs. 2 DSGVO einen Maßstab zur Abwägung vor, der vom Gesetzgeber bei der Überarbeitung des Betriebsverfassungsgesetzes und von den Betriebsparteien beim Abschluss von Vereinbarung zu beachten ist. So muss die nationale Regelung die Menschenwürde wahren sowie berechtigte Interessen und Grundrechte der betroffenen Personen berücksichtigen.

Ein ähnlicher Maßstab findet sich bereits in § 75 BetrVG. Danach haben die Betriebsparteien die freie Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern.

Wie verhalten sich nun der nationale Maßstab aus dem BetrVG und der europäische Maßstab aus der DSGVO zueinander? Was müssen die Betriebsparteien prüfen, wenn sie eine Betriebsvereinbarung schließen wollen?

Europarecht bricht Bundesrecht

Das Verhältnis beider Gesetze richtet sich nach dem Prinzip des Anwendungsvorranges des Europarechts. Die Verordnung, die unmittelbar wirkt und keinen Umsetzungsakt durch die Mitgliedstaaten bedarf, hat zur Folge, dass mit Eintritt der Geltung der Verordnung kein entgegenstehendes nationales Recht von den Gerichten mehr angewandt werden darf. Maßstab ist damit vor allem die Verordnung. Dies bedeutet dann aber auch, dass § 75 BetrVG im Lichte der DSGVO ausgelegt werden muss, wenn es um Betriebsvereinbarungen mit datenschutzrechtlichen Bezügen geht.

Betriebsvereinbarungen müssen die DSGVO berücksichtigen

Beim Abfassen einer Betriebsvereinbarung ist damit Art. 88 Abs. 2 DSGVO zu berücksichtigen. Mit dem Wort „spezifischere“ Vorschriften ist vom Wortlaut her deutlich, dass ein Unterschreiten des Datenschutzniveaus der DSGVO nicht möglich ist und keine gegensätzlichen Regelungen zur DSGVO aufgestellt werden können. Daher sind z.B. die Grundsätze der DSGVO in Art. 5 DSGVO bei der Abfassung zu beachten und eine Abwägung der berechtigten Interessen der Betroffenen nach Art. 6 f DSGVO vorzunehmen. Diese Abwägung findet dabei in der Regel in den Verhandlungen statt, die zu einer Vereinbarung führen, die von beiden Seiten getragen wird.

Ausdrücklich nennt Art. 88 Abs. 2 DSGVO die „Transparenz“ der Verarbeitung, die gesondert zu berücksichtigen ist. Dies bezieht sich dann vor allem auf Art. 12 DSGVO und den dort weiteren genannten Artikeln.

So muss anders als bisher ausdrücklich in den Betriebsvereinbarungen auf die Rechte der betroffenen Arbeitnehmer eingegangen werden. Schon allein dieser Punkt macht eine Anpassung aktueller Betriebsvereinbarungen unumgänglich.

Folgende Punkte sind beim Abfassen einer neuen bzw. Anpassung einer aktuellen Betriebsvereinbarung zu regeln und zu berücksichtigen:

Informationspflicht bei Erhebung von Daten
Auskunftsrechte der betroffenen Personen
Rechte auf Berichtigung, Löschung und Sperrung und die damit verbundenen Mitteilungspflichten
Recht auf Datenübertragbarkeit
Widerspruchsrecht und
Rechte bei Profilingmaßnahmen

Dies bedeutet für die Betriebsparteien, dass vor allem Art. 12 – 19 und 21 DSGVO in der Betriebsvereinbarung angesprochen werden sollten, um dem Transparenzgebot der DSGVO genügen zu können. Regelungen zur Datenübertragbarkeit und Profiling sollten enthalten sein, wenn dies aufgrund des Regelungsgegenstandes geboten ist.

Fazit

Es besteht akuter Handlungsbedarf. Die Betriebsparteien sollten sich bei Abschluss einer Betriebsvereinbarung intensiv mit den Anforderungen aus der DSGVO auseinandersetzen, um eine wirksame Rechtsgrundlage für eine Datenverarbeitung schaffen zu können. Dies gilt aber auch für bereits bestehende Betriebsvereinbarungen. Auch diese müssen auf ihre Vereinbarkeit mit der DSGVO hin überprüft und angepasst werden.

Olaf Rossow | 10. Januar 2017 | Allgemein, Beschäftigtendatenschutz, Datenschutz-Grundverordnung, Gesetzesänderungen | Betriebsvereinbarung