Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

31. Oktober 2019

DSGVO: Anforderungen an Betriebsvereinbarungen

DP+
DSGVO: Anforderungen an Betriebsvereinbarungen
Bild: iStock.com / anyaberku
5,00 (1)
Betriebsvereinbarungen & Datenschutz
Betriebsvereinbarungen sind ein wichtiges Instrument, um Beschäftigtendaten rechtskonform zu verarbeiten. Wie müssen solche Vereinbarungen ausgestaltet sein, und welche Vorgaben gilt es zu beachten?

Datenschutzbeauftragte (DSB) kommen – etwa im Rahmen ihrer Beratungs- und Überwachungspflichten – an Betriebsvereinbarungen (BV) nicht vorbei.

Denn Betriebsvereinbarungen dienen häufig dazu, Datenverarbeitungen, auch sensibler Art, zu legitimieren und prozesstechnisch auszugestalten.

Betriebsvereinbarungen – auch Gesamt- und Konzern-BV – stellen als Kollektivvereinbarung mögliche Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten dar.

Das ergibt sich aus Art. 88 Abs. 1 Datenschutz-Grundverordnung (DSGVO) in Verbindung mit § 26 Abs. 4 S. 1 Bundesdatenschutzgesetz (BDSG), zusammen mit Erwägungsgrund 155 DSGVO.

Gleiches gilt im Übrigen für Tarifverträge, Dienstvereinbarungen (beispielweise gemäß § 73 Bundespersonalvertretungsgesetz – BPersVG) und Sprecherausschussrichtlinien (§ 28 Sprecherausschussgesetz – SprAuG).

Beschäftigtendatenschutz – „Öffnungsklausel“

Art. 88 Abs. 1 DSGVO gestattet, dass solche Kollektivvereinbarungen „spezifischere Vorschriften“ aufstellen können, um die Rechte und Freiheiten von Beschäftigten zu schützen. Das Schutzniveau zu reduzieren, ist dadurch ausgeschlossen.

Aus dem Wortlaut ergibt sich auch, dass Kollektivvereinbarungen die allgemeinen Vorschriften der DSGVO (z.B. die Grundsätze aus Art. 5 DSGVO) „nur“ ergänzen, nicht aber verdrängen können.

PRAXIS-TIPP: Manche Betriebsvereinbarungen haben vordefinierte Laufzeiten (sogenannte befristete BV). Diese Laufzeiten sollten der DSB und der Betriebsrat überwachen.

Denn läuft eine BV aus, kann die Rechtsgrundlage für diese Verarbeitung von Beschäftigtendaten entfallen, …

Dr. Kevin Marschall
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kevin Marschall
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.