Arbeitshilfe - Stand: 12.01.2024

Betriebsvereinbarung zum Datenschutz – Muster

Dr. Anna-Lena Kaluza-Krieg * und Prof. Dr. Ulrich Tödtmann *

Download

Bitte beachten:
Bei Schreibvorlagen/Mustern handelt es sich stets um Orientierungshilfen, die als Beispiele zu verstehen sind und keinen Anspruch auf Allgemeingültigkeit oder Vollständigkeit erheben. Auch wenn die Schreibvorlagen/Muster viele praxiserprobte Anhaltspunkte beinhalten, ist eine Einzelfallbetrachtung nicht entbehrlich. Für die richtige Anwendung im konkreten Einzelfall hat der Anwender selbst Sorge zu tragen. Es kann keine Haftung übernommen werden.

Der Arbeitgeber hat die Pflicht, die Einhaltung der Vorgaben der Datenschutzgrundverordnung in seinem Unternehmen sicherzustellen und Datenmissbrauch zu verhindern. Der Arbeitgeber ist nach der DSGVO verpflichtet, eine Reihe organisatorischer Vorkehrungen zu treffen, um unzulässige Datenspeicherung, -nutzung oder -übermittlung auszuschließen. Dazu gehört die Einrichtung betriebsorganisatorischer Abläufe zum Schutz personenbezogener Daten der Arbeitnehmer (Art. 24 DSGVO). Dadurch können Schadensersatzklagen, Imageschäden und Datenskandale vermieden werden. Bei Nichteinhaltung der Vorgaben der DSGVO drohen dem Arbeitgeber Bußgelder von bis zu 4% des globalen Umsatzes oder bis zu 20 Mio. €.

Für ein effektives Datenschutzmanagement im Unternehmen muss zudem ein Datenschutzbeauftragter (Art. 37 DSGVO ff.) bestellt werden. Dieser kontrolliert die Rechtmäßigkeit des Datenumgangs im Unternehmen und übernimmt die Schulung der Mitarbeiter (näher zu den Aufgaben Art. 39 DSGVO).

Durch die Festlegung verständlicher, schriftlicher, betriebsinterner Verarbeitungsregeln zum Schutz personenbezogener Daten im Unternehmen kann zudem Sicherheit im Umgang mit personenbezogenen Daten für Betroffene und Anwender hergestellt werden.

Bei der Speicherung, Nutzung und Verarbeitung personenbezogener Arbeitnehmerdaten kommt ein Mitbestimmungsrecht des Betriebsrats gem. § 87 Abs. 1 Nr. 6 BetrVG in Betracht (, NZA 2007, 399). Das Mitbestimmungsrecht greift aber nur dann ein, wenn leistungs- oder verhaltensbezogene Arbeitnehmerdaten verarbeitet werden. Bei dem Aspekt einer Verhaltens- oder Leistungskontrolle der Arbeitnehmer geht es um zwei Bereiche: um die technische Erhebung von Daten, die eine Verhaltens- oder Leistungskontrolle des einzelnen Arbeitnehmers ermöglichen, und um die technische Verarbeitung technisch oder nicht technisch erhobener Daten, wenn programmgemäß Aussagen über Verhalten oder Leistung einzelner Arbeitnehmer gemacht werden. Der Betriebsrat hat deshalb etwa bei der Frage, ob für den Arbeitsprozess technische Einrichtungen eingeführt und angewandt werden, nicht mitzubestimmen. Jegliche Art der Datenverarbeitung, die unter Verletzung der Beteiligungsrechte des Betriebsrats geschieht, ist unzulässig und daher rechtswidrig (, DB 1987, 1048).

Da sich oft nicht rechtssicher feststellen lässt, welche Fälle dem Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG zuzuordnen sind, empfiehlt sich in Betrieben mit Betriebsrat generell der Abschluss einer Betriebsvereinbarung zum Schutz personenbezogener Daten im Unternehmen. Existiert kein Betriebsrat, können die Verarbeitungsregeln durch eine einseitige Richtlinie des Arbeitgebers per Direktionsrecht erlassen werden, vgl. § 106 GewO.

Fundstelle(n):
NAAAH-63598