Kurzbeitrag : Betriebsvereinbarungen zur Datenverarbeitung nach DS-GVO und BDSG 2018 : aus der RDV 2/2018, Seite 89 bis 92
Erfolgt die Verarbeitung von Beschäftigtendaten auf Grundlage einer Kollektivvereinbarung, so hat diese nach § 26 Abs. 4 S. 2 BDSG n.F. iVm Art. 88 Abs. 2 DS-GVO bestimmte inhaltliche Anforderungen zu erfüllen. Danach müssen alle nationalen Vorschriften zur Datenverarbeitung im Beschäftigungskontext, wozu auch Kollektivvereinbarungen zählen, derart ausgestaltet sein, dass die Grundrechte und Interessen der betroffenen Personen hinreichend geschützt sind. Nationale Vorschriften, die diesen Anforderungen nicht genügen, sind unanwendbar.[1]
I .DS-GVO-Öffnungsklauseln zur Beschäftigtendatenverarbeitung auf Grundlage von Kollektivvereinbarungen
1. Art. 88 Abs. 2 DS-GVO
Die DS-GVO verfolgt das Ziel der Vollharmonisierung des europäischen Datenschutzrechts. Gleichwohl gestattet sie mittels sog. „Öffnungsklauseln“ dem nationalen Gesetzgeber, in bestimmten Fällen ergänzende Datenschutzregulierungen zu erlassen. Für den Bereich des Beschäftigtendatenschutzes (Processing in the context of employment) geschieht dies in Art. 88 DS-GVO. So können nach Art. 88 Abs. 1 DSGVO die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen.
Die nationalen Regelungen dürfen allerdings, wie bereits erwähnt, einen bestimmten Datenschutzstandard nicht unterschreiten. Erforderlich sind insofern „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ (Art. 88 Abs. 2 DS-GVO).
2. Art. 9 Abs. 2 lit. b DS-GVO
Hinsichtlich der Verarbeitung der in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten besteht eine spezielle Öffnungsklausel, nach der den Arbeitgebern entsprechende Verarbeitungen gestattet werden können, soweit diese erforderlich sind, um aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsende Rechte ausüben bzw. diesbezüglichen Pflichten nachkommen zu können (Art. 9 Abs. 2 lit. b DS-GVO). Die Erlaubnis kann sich aus dem Unionsrecht, dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten ergeben. Vorbehalt ist, dass das Unionsrecht bzw. das (die Kollektivvereinbarung gestattende) Recht der Mitgliedstaaten „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ vorsieht.
II. Die nationale Umsetzung in § 26 Abs. 4 BDSG n.F.
Die Möglichkeit der Regelung der Verarbeitung von Beschäftigtendaten in Kollektivvereinbarungen hat der nationale Gesetzgeber in § 26 Abs. 4 S. 1 BDSG n.F. aufgegriffen, nach dem Kollektivvereinbarungen die Grundlage für die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO, sog. sensitive Daten) bilden können. Den sachnahen Vertragspartnern soll die Schaffung eines auf die betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutzes im Rahmen eines sich im geltenden Recht bewegenden Gestaltungsspielraums möglich sein. Ausdrücklich hingewiesen wird in § 26 Abs. 4 S. 2 BDSG n.F. darauf, dass die Verhandlungspartner der Kollektivvereinbarung Art. 88 Abs. 2 DS-GVO zu beachten haben. Die Regelung in § 26 Abs. 4 BDSG n.F. basiert hinsichtlich der Verarbeitungsbefugnis für „normale“ personenbezogene Daten auf Art. 88 DS-GVO, hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten auf Art. 9 Abs. 2 lit. b DS-GVO.
III. Konsequenzen für neu zu schließende und bestehende Kollektivvereinbarungen
1. Allgemeines
Art. 88 Abs. 2 DS-GVO soll sicherstellen, dass das Schutzniveau der DS-GVO auch dann gehalten wird, wenn der nationale Gesetzgeber gemäß Art. 88 Abs. 1 DS-GVO spezifische Rechtsvorschriften zum Beschäftigtendatenschutz vorsieht bzw. die Regelung desselben durch Kollektivvereinbarung gestattet.[2] Zulässig sind im Wesentlichen nur konkretisierende[3] Regelungen bzw. solche, die den Schutzstandard der DS-GVO nach oben anheben[4]. Gewährleistet bleiben müssen insbesondere der materielle Schutzstandard der DS-GVO (Art. 6–9), die Grundsätze der Datenverarbeitung nach Art. 5 DS-GVO sowie die Betroffenenrechte.[5]
Anhaltspunkte dazu, was der nationale Gesetzgeber als angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person erachtet, lassen sich § 22 Abs. 2 BDSG n.F. entnehmen, der das Erfordernis aus Art. 9 Abs. 2 lit. b, g und i DS-GVO umsetzt, „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ bzw. „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ vorzusehen. Es werden allerdings Zweifel geäußert, ob die Regelung in § 22 Abs. 2 BDSG n.F. den unionsrechtlichen Vorgaben genügt.[6] Kritisiert wird u.a., dass die dort genannten Maßnahmen überwiegend allgemeine Anforderungen abbilden, die sich aus der DS-GVO ergeben. Der Auftrag an die Betriebsparteien kann aber letztlich nur dahingehend verstanden werden, dass es um fallbezogene, also den Gegenstand der Betriebsvereinbarung betreffende Maßnahmen geht („besondere Maßnahmen“). Spezifische Maßnahme in diesem Sinne ist bei einer Kollektivvereinbarung zur Videoüberwachung z.B. das Bestehen eines Löschkonzepts. Das Vorhandensein eines Datenschutzbeauftragten ist hingegen im Falle der Bestellpflicht lediglich eine allgemeine Datenschutzmaßnahme.
Nach Art. 88 Abs. 2 DS-GVO sollen sich die vorzusehenden Maßnahmen insbesondere auf drei explizit benannte Aspekte beziehen, nämlich die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe und die Überwachungssysteme am Arbeitsplatz. Auf diese drei Aspekte sowie die Verpflichtung zur Wahrung der Grundsätze des Art. 5 DS-GVO soll im Folgenden näher eingegangen werden.
2. Transparenz der Datenverarbeitung
Die Transparenzvorgaben wurden durch die DS-GVO im Verhältnis zum bisherigen Recht erheblich ausgeweitet.[7] Das Transparenzgebot ist gemäß § 26 Abs. 4 S. 2 BDSG n.F. iVm Art. 88 Abs. 2 DS-GVO auch von den Parteien der Kollektivvereinbarung zu beachten. Die Betriebsvereinbarung muss es dem Beschäftigten ermöglichen, klar zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck personenbezogene Daten verarbeitet werden. Ob mit Geltung der DS-GVO verdeckte Mitarbeiterkontrollen, z.B. verdeckte Videoüberwachungsmaßnahmen, noch zulässig sein können, ist umstritten.[8] Gegen die Zulässigkeit verdeckter Kontrollen spricht insbesondere der Transparenzgrundsatz in Art. 5 Abs. 1 lit. a DS-GVO sowie der Umstand, dass Art. 13 DSGVO keine Ausnahmen von der Informationspflicht vorsieht, die heimliche Kontrollen ermöglichen könnten. Folgt man der Ansicht, dass verdeckte Mitarbeiterkontrollen nach der DS-GVO nicht zulässig sind, so kann eine verdeckte Kontrolle auch durch Kollektivvereinbarung nicht vorgesehen werden, weil dies eine unzulässige Unterschreitung des Datenschutzstandards der Verordnung bedeuten würde.[9]
Das Transparenzgebot bezieht sich auf die von den spezifischen Vorschriften ermöglichte Datenverarbeitung und nicht auf die formale Ausgestaltung der Regelungen[10] oder die Transparenz der Beschäftigtendatenverarbeitung beim Verantwortlichen im Allgemeinen. Insbesondere ergibt sich aus der Transparenzanforderung in Art. 88 Abs. 2 DS-GVO nicht die Pflicht, die Transparenzvorgaben aus Art. 5 Abs. 1 lit. a, 12 ff. DS-GVO in der Kollektivvereinbarung abzuschreiben oder in Bezug zu nehmen.[11] Die Parteien der Kollektivvereinbarung sind als solche auch nicht Adressaten der Informationspflichten nach Art. 13, 14 DS-GVO, die erst durch die Datenerhebung beim Betroffenen bzw. Dritten ausgelöst werden. Die Pflichten aus Art. 13, 14 DS-GVO treffen den Arbeitgeber als Verantwortlichen für die Datenverarbeitung. Ausführungen zu Art. 13 Abs. 1 lit. c, e und f DS-GVO (Zwecke der Datenverarbeitung; Datenempfänger/ Kategorien von Empfängern, sofern einschlägig; Drittlandübermittlung, sofern einschlägig) sowie zu Art. 13 Abs. 2 lit. a DS-GVO (Dauer der Datenspeicherung) sind in der Kollektivvereinbarung gleichwohl insofern relevant, als diese Umstände den konkreten Regelungsgegenstand der Kollektivvereinbarung spezifizieren.
Auch die Transparenzvorschriften der Art. 12 ff. DS-GVO ihrerseits können durch spezifischere Regelungen verdrängt werden.[12] So könnte etwa in einer Kollektivvereinbarung eine spezifischere Regelung zur Art und Weise der Information nach Art. 13, 14 DS-GVO getroffen und die Unterrichtung eines jeden einzelnen Beschäftigten durch eine Veröffentlichung der entsprechenden Informationen im Intranet ersetzt werden.
3. Datenübermittlung innerhalb der Unternehmensgruppe
So wie das BDSG a.F. kein „Konzernprivileg“ kannte, unterscheidet auch die DS-GVO im Grundsatz nicht zwischen Datenflüssen unter konzernverbundenen und nicht konzernverbundenen Unternehmen. Insofern bedarf die Übermittlung von Beschäftigtendaten zwischen rechtlich selbstständigen Konzerngesellschaften einer Rechtsgrundlage wie § 26 Abs. 1 BDSG n.F. (Verarbeitung für Zwecke des Beschäftigungsverhältnisses) oder Art. 6 Abs. 1 lit. f DS-GVO (Verarbeitung zur Wahrung berechtigter Interessen). Allerdings sieht die DS-GVO in Erwägungsgrund 48 explizit vor, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln. Zumindest für administrative Zwecke hilft Erwägungsgrund 48 also, konzerninterne Datenübermittlungen zu legitimieren, und macht es Aufsichtsbehörden und Gerichten schwer, das Vorliegen berechtigter Interessen zu verneinen, weshalb in diesem Zusammenhang auch von einem „kleinen Konzernprivileg“ gesprochen wird. Der Umstand, dass die DS-GVO kein umfassendes Konzernprivileg vorsieht, ist von den Parteien der Konzernbetriebsvereinbarung zu achten, d.h., ein umfassendes Privileg kann auch nicht über den Umweg einer entsprechenden Vereinbarung eingeführt werden. Aufgrund der Tatsache, dass eine Betriebsvereinbarung das Schutzniveau der DS-GVO nicht unterschreiten darf, wird diese ganz allgemein regelmäßig keine weitergehenden Datenverarbeitungserlaubnisse bereitstellen können als die gesetzlichen Erlaubnistatbestände. Die Betriebsvereinbarung hat insofern vor allem die Funktion der Präzisierung der allgemeinen Datenverarbeitungsregeln bezogen auf die konkrete Beschäftigungssituation.[13] Sofern Beschäftigtendaten in Drittstaaten übermittelt werden, bedarf es einer Regelung, wie beim Empfänger der Daten ein angemessenes Datenschutzniveau sichergestellt wird.
4. Überwachungssysteme am Arbeitsplatz
In Deutschland ist die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt oder geeignet[14] sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Der in Art. 88 Abs. 2 DS-GVO enthaltene Begriff der „Überwachungssysteme am Arbeitsplatz“ dürfte ebenso zu verstehen sein. Eine solche Auslegung entspricht nicht nur dem Sinn und Zweck des Art. 88 Abs. 2 DS-GVO, sondern lässt auch einen Gleichlauf mit dem nationalen Mitbestimmungsrecht entstehen. In inhaltlicher Sicht wird Art. 88 Abs. 2 DS-GVO insbesondere die Verhältnismäßigkeit und Transparenz der Mitarbeiterüberwachung verlangen. Den Mitarbeitern muss klar sein, in welchen Zusammenhängen und unter welchen Voraussetzungen ihr Verhalten bzw. ihre Leistung kontrolliert wird. Ob die DS-GVO auch verdeckte Maßnahmen zur Mitarbeiterkontrolle gestattet, ist, wie bereits dargestellt[15], zweifelhaft. Kollektivvereinbarungen zu Überwachungssystemen müssen zudem technischorganisatorische Maßnahmen zur Wahrung der Persönlichkeitsrechte der betroffenen Beschäftigten vorsehen. Hierzu gehört etwa das Bestehen von Löschroutinen und Zugriffskonzepten oder das Vier-Augen-Prinzip, wenn auf Videoaufzeichnungen, E-Mail-Postfächer o.Ä. zugegriffen wird.
5. Grundsätze der Datenverarbeitung (Art. 5 DS-GVO)
Wie einleitend dargestellt[16], ergibt sich aus § 26 Abs. 4 S. 2 BDSG n.F. iVm Art. 88 Abs. 2 DS-GVO auch, dass Kollektivvereinbarungen die Grundsätze der Datenverarbeitung aus Art. 5 DS-GVO zu achten haben, also die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit sowie der Rechenschaftspflicht. Die Verpflichtung zur Achtung der Grundsätze des Art. 5 DS-GVO ist in § 26 Abs. 5 BDSG n.F. auch explizit gefordert, allerdings richtet sich diese Regelung lediglich an den Verantwortlichen und nicht an beide Verhandlungspartner der Kollektivvereinbarung wie § 26 Abs. 4 BDSG n.F. Beachtung der Grundsätze der Datenverarbeitung meint, dass die inhaltlichen Regelungen der Kollektivvereinbarung diese widerzuspiegeln haben. Ein bloßes Abschreiben der Grundsätze ist weder erforderlich noch zielführend.
IV. Fazit
Gravierende Unterschiede im Vergleich zur bisherigen Rechtslage dürften sich aus Art. 88 Abs. 2 DS-GVO hinsichtlich des datenschutzrechtlichen Gestaltungsrahmens der Parteien einer Kollektivvereinbarung nicht ergeben.[17] Zwar sollte nach dem BAG eine Betriebsvereinbarung im kollektiven Interesse auch hinter dem Datenschutzstandard, den das BDSG a.F. gewährte, zurückbleiben können.[18] Im Hinblick auf den sich aus § 75 Abs. 2 BetrVG für Arbeitgeber und Betriebsrat gleichermaßen ergebenden Schutzauftrag waren aber letztlich praktische Beispiele, in denen eine an sich nach BDSG unzulässige Beschäftigtendatenverarbeitung durch Betriebsvereinbarung gleichwohl gestattet sein konnte, schwer denkbar.[19] Auch wenn die DS-GVO den Fall nicht ausdrücklich erwähnt, können bereits bestehende betriebliche oder behördliche Beschäftigtendatenschutzregelungen ohne erneute Bestätigung fortbestehen, sofern sie den Vorgaben des Art. 88 DS-GVO genügen.[20] Jede einzelne bestehende Vereinbarung muss insofern auf ihren Anpassungsbedarf geprüft werden. Voraussetzung für die Vereinbarkeit der Kollektivvereinbarung mit der DS-GVO ist dabei vor allem die Transparenz und Angemessenheit der regelungsgegenständlichen Datenverarbeitung und nicht die formalistische Wiedergabe von DS-GVO-Bestimmungen. Ggf. bedarf es allerdings einer Anpassung an die Begriffsbestimmungen der DS-GVO. Ziel ist ein kohärentes Gesamtkonzept, das zum einen eine Abstimmung der verschiedenen Rahmen-, Muster- und Einzelbetriebsvereinbarungen und ggf. ihrer weiteren Anlagen untereinander, zum anderen aber auch eine Abstimmung dieser Dokumente mit sonstigen datenschutzrechtlichen Maßnahmen erfordert.[21]
* Die Autorin ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
[1] Gola/Pötters, DS-GVO, 1. Aufl., Art. 88 Rn. 12
[2] Wybitul, ZD 2016, 203, 207.
[3] Pötters, in: Gola, DS-GVO, Art. 88 Rn. 22; Maier, DuD 2017, 169, 172 f.
[4] Vgl. etwa Kort, ZD 2017, 319, 322; Wybitul, ZD 2016, 203, 207; Pötters, in: Gola, DS-GVO, Art. 88 Rn. 21; Gräber/Nolden, in: Paal/Pauly, DS-GVO BDSG, § 26 BDSG Rn. 50.
[5] Pötters, in: Gola, DS-GVO, Art. 88 Rn. 22; ähnlich Düwell/Brink, NZA 2016, 665, 666 f.
[6] Frenzel, in: Paal/Pauly, DS-GVO BDSG, § 22 BDSG Rn. 12 ff.
[7] Wybitul, ZD 2016, 203, 207
[8] Ein grundsätzliches Verbot verdeckter Überwachungsmaßnahmen im Arbeitsverhältnis nimmt etwa Maschmann, in: Kühling/Buchner, DSGVO, Art. 88 Rn. 88 an; a.A. BDA, Beschäftigtendatenschutz und DSGVO in der Praxis, 1. Aufl. 2018, S. 62 f.
[9] Entsprechend auch die Datenschutzkonferenz in ihrem Kurzpapier Nr. 15 zur Videoüberwachung nach der DS-GVO: „Eine intransparente Videoüberwachung steht nicht im Einklang mit der DS-GVO (Art. 5, 13 DS-GVO).“
[10] BeckOK DatenschutzR/Riesenhuber, Art. 88 DS-GVO Rn. 85; Klösel/ Mahnhold, NZA 2017, 1428, 1431.
[11] So aber Pauly, in: Paal/Pauly, DS-GVO BDSG, Art. 88 Rn. 14 und Wybitul ZD 2016, 203, 207 f.; wie hier BeckOK DatenschutzR/Riesenhuber, Art. 88 DS-GVO Rn. 86 und Klösel/Mahnhold, NZA 2017, 1428, 1431 f.
[12] BeckOK DatenschutzR/Riesenhuber, Art. 88 DS-GVO Rn. 87.
[13] So schon zum BDSG der Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, Abschnitt 5.
[14] BAG, 23.04.1985 – 1 ABR 39/81 –, NZA 1985, 669; DB 1985, 1897.
[15] Siehe unter III. 2.
[16] Siehe unter III. 1.
[17] Wurzberger, ZD 2017, 258, 259; Wybitul, ZD 2016, 203, 207.
[18] BAG, DB 1986, 2080 = RDV 1986, 199.
[19] Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 Rn. 10a.
[20] Gola/Pötters/Thüsing, RDV 2016, 561.
[21] Klösel/Mahnhold, NZA 2017, 1428, 1433.