Ein Jahr DSGVO: Betriebsvereinbarungen sind anzupassen
Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft. Auch Betriebsvereinbarungen müssen dem neuen Recht entsprechen – sonst können sie ungültig sein. Davor warnt die Hans-Böckler-Stiftung in einem Rechtsgutachten.
Als Beispiel nennt Prof. Dr. Marita Körner von der Universität Hamburg eine Betriebsvereinbarung zur Altersteilzeit. Sie hat in einem Rechtsgutachten für das Hugo Sinzheimer Institut (HSI) der Hans-Böckler-Stiftung geprüft, wie sich die DSGVO auf die Arbeit der Betriebsräte auswirkt.
Bei der Altersteilzeit kommt es sehr darauf an, die neuen Datenschutzvorschriften in DSGVO und BDSG-neu richtig anzuwenden. Denn bei der Altersteilzeit müssen viele sensible Beschäftigtendaten gesammelt, ausgewertet und gespeichert werden.
Grundsätzlich so Prof. Dr. Körner, schränke die DSGVO die Mitbestimmungsbefugnisse des Betriebsrats nicht ein, verpflichte aber Betriebe und Betriebsräte auf ein Mindestmaß an Datenschutz, das nicht unterschritten werden darf. Die Expertin rät Betriebsräten daher, die in ihrem Betrieb geltenden Betriebsvereinbarungen zu überprüfen, auch wenn am Ende nicht jede Vereinbarungen geändert werden müsse.
Zweck der Datenverarbeitung festhalten
Um Nachbesserung bemühen müssen sich Betriebsräte, wo der Umgang mit Beschäftigtendaten extrem vage formuliert oder gar nicht geregelt ist. Jede Vereinbarung muss klar machen, welche Daten zu welchem Zweck erhoben werden, wer sie einsehen darf, welche Auskunftsrechte Beschäftigte haben und welche Informationspflichten für diejenigen bestehen, die Daten verarbeiten.
Löschpflicht durchsetzen
Außerdem ist festzulegen, wie lange Daten gespeichert werden. Prinzipiell sollen nicht mehr Daten als nötig erhoben und diese nicht länger als unbedingt erforderlich gespeichert werden. Bestimmte Verwendungen von Daten, zum Beispiel zur Leistungs- und Verhaltenskontrolle, können per Betriebsvereinbarung ausgeschlossen werden.
Klare Regeln schaffen
Viele nötige Präzisierungen beim Datenschutz gelten für mehr als eine bestehende Betriebsvereinbarung. In solchen Fällen ist es Körner zufolge nicht zwingend, überall dieselben Textbausteine einzufügen. Die Grundlagen kann auch eine übergeordnete Rahmenvereinbarung zum Datenschutz regeln, auf die die anderen Vereinbarungen dann verweisen. Allerdings dürften die betrieblichen Regeln nicht zu allgemein ausfallen. Für das Löschen von Daten müssen konkrete Fristen gelten.
Eine Selbstverpflichtung »Daten werden nur solange aufgehoben, wie sie benötigt werden« genügt dafür nicht. zum Beispiel reiche nicht aus und ersetze nicht die Angabe konkreter Löschfristen. Auch eine Formulierung wie »Beschäftigtendaten werden zum Zweck der Personalverwaltung in einer Datenbank gespeichert« wäre bei weitem nicht präzise genug.
Betriebsrat und Datenschutz
Auch seinen eigenen Umgang mit Daten muss der Betriebsrat regeln. Am Beispiel der Mitbestimmung bei Stellenbesetzungen: Die Arbeitnehmervertretung muss festhalten, wer welche Unterlagen zu sehen bekommt, wo sie abgelegt und wann sie gelöscht werden.
Eine Vernachlässigung könne negative Folgen haben, etwa wenn Informationen des Betriebsrats vor Gericht nicht verwendet werden können, weil sie als rechtswidrig erhobene Beweismittel eingestuft werden. Zumindest große Betriebsräte sollten zur Selbstkontrolle, »an einen externen Datenschutzbeauftragten für den Betriebsrat zu denken«.
Das Rechtsgutachten von Prof. Dr. Marita Körner können Sie hier als PDF-Datei herunterladen:
Quelle: www.bund-verlag.de