DSGVO: Anforderungen an Betriebsvereinbarungen

Datenschutzbeauftragte (DSB) kommen – etwa im Rahmen ihrer Beratungs- und Überwachungspflichten – an Betriebsvereinbarungen (BV) nicht vorbei.

Denn Betriebsvereinbarungen dienen häufig dazu, Datenverarbeitungen, auch sensibler Art, zu legitimieren und prozesstechnisch auszugestalten.

Betriebsvereinbarungen – auch Gesamt- und Konzern-BV – stellen als Kollektivvereinbarung mögliche Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten dar.

Das ergibt sich aus Art. 88 Abs. 1 Datenschutz-Grundverordnung (DSGVO) in Verbindung mit § 26 Abs. 4 S. 1 Bundesdatenschutzgesetz (BDSG), zusammen mit Erwägungsgrund 155 DSGVO.

Gleiches gilt im Übrigen für Tarifverträge, Dienstvereinbarungen (beispielweise gemäß § 73 Bundespersonalvertretungsgesetz – BPersVG) und Sprecherausschussrichtlinien (§ 28 Sprecherausschussgesetz – SprAuG).

Beschäftigtendatenschutz – „Öffnungsklausel“

Art. 88 Abs. 1 DSGVO gestattet, dass solche Kollektivvereinbarungen „spezifischere Vorschriften“ aufstellen können, um die Rechte und Freiheiten von Beschäftigten zu schützen. Das Schutzniveau zu reduzieren, ist dadurch ausgeschlossen.

Aus dem Wortlaut ergibt sich auch, dass Kollektivvereinbarungen die allgemeinen Vorschriften der DSGVO (z.B. die Grundsätze aus Art. 5 DSGVO) „nur“ ergänzen, nicht aber verdrängen können.

PRAXIS-TIPP: Manche Betriebsvereinbarungen haben vordefinierte Laufzeiten (sogenannte befristete BV). Diese Laufzeiten sollten der DSB und der Betriebsrat überwachen.

Denn läuft eine BV aus, kann die Rechtsgrundlage für diese Verarbeitung von Beschäftigtendaten entfallen, …