Veröffentlicht von:
Betriebsvereinbarungen als Erlaubnisnormen für Datenverarbeitungen – das muss rein.
- 2 Minuten Lesezeit
Betriebsvereinbarungen als Erlaubnisnormen für Datenverarbeitungen – das muss rein.
Damit eine Datenverarbeitung gemäß § 26 BDSG in Verbindung mit Art. 88 DSGVO auf Grundlage einer Betriebsvereinbarung erfolgen kann, müssen wesentliche Inhalte des Datenschutzes enthalten sein und auch in der Betriebsvereinbarung erläutert werden, dass dies eine Erlaubnisnorm zur Datenverarbeitung darstellen soll.
In Betriebsvereinbarungen sollten folgende Inhalte berücksichtigt werden:
- Regelung, dass die Betriebsvereinbarung als Rechtsgrundlage der Datenverarbeitung dienen soll;
- Regelungen zur Übermittlung personenbezogener Daten innerhalb eines Unternehmens (zwischen mehreren Betrieben);
- Regelungen zur Einhaltung der Vorgaben der DSGVO beim Einsatz von Überwachungssystemen am Arbeitsplatz;
- Festlegung der Zwecke und Definition von konkreten Maßnahmen
- zum Schutz der menschlichen Würde,
- der berechtigten Interessen,
- der Grundrechte der betroffenen Arbeitnehmer,
- Präzisierung der Vorgaben der Anforderungen für Zweckänderungen;
- Inbezugnahme und Erläuterung der Datenschutzgrundsätze des Art. 5 DSGVO;
- Verpflichtung von Mitarbeitern zur Einhalt;ung des Datenschutzrechtes
- Regelungen zu bestehenden Betriebsvereinbarungen;
- Regelungen zur Datenverarbeitung durch den Betriebsrat;
- Regelungen zu den Kontrollbefugnissen des Betriebsrats und des Datenschutzbeauftragten, Zusammenarbeit beim Datenschutz;
- Differenzierung nach Datenarten, bzw. Datenkategorien, insbesondere mit Blick auf "besondere Kategorien" personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO i. V. m. § 26 Abs. 3 BDSG;
- Einhaltung der Anforderungen für die Verarbeitung besonderer Datenkategorien sowie Regelungen zu automatisierten Einzelfallentscheidungen (Profiling - sofern vorhanden);
- Informationen zur Datenverarbeitung - Aufklärungs- und Informationspflichten (Art. 12–14 DSGVO), insbesondere Unterrichtung nach Art. 13, 14 DSGVO,
- Begrenzung der Speicherdauer
- Hinweis auf Betroffenenrechte und deren Ausübung
- Auskunft (Art. 15 Abs. 1 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 Abs. 1 DSGVO)
- Widerspruch (Art. 19 DSGVO);
- Soweit relevant, Anforderungen bei Auftragsdatenverarbeitung oder gemeinsamer Verantwortlichkeit (Art. 26–Art. 29 DSGVO);
- Rechtliche Vorgaben zur Datensicherheit (Art. 32 DSGVO).
Werden diese Inhalte, die fast inhaltsgleich der DSGVO entsprechen,„abgearbeitet“ und in einer Betriebsvereinbasrung geregelt, ist den notwendigen Anforderungen an den Datenschutz genüge getan. Eine Rahmenbetriebsvereinbarung ist zudem zu empfehlen, auf die dann für folgende Betriebsvereinbarungen Bezug genommen werden kann.
Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.
Artikel teilen: