Prüfschema für Betriebsvereinbarungen

Anforderungen nach DSGVO
Prüfschema für bestehende Betriebsvereinbarungen
Werden besondere Kategorien personenbezogener Daten verarbeitet?
Sind Maßnahmen getroffen worden, um die Informationspflichten zu erfüllen?
Sind Maßnahmen getroffen worden, um die Betroffenenrechte zu berücksichtigen?

Anforderungen nach DSGVO

Für Betroffene muss klar erkennbar sein, welche sie betreffenden personenbezogene Daten verarbeitet bzw. in welchem Umfang personenbezogene Daten gegenwärtig oder künftig verarbeitet werden, insbesondere muss deutlich werden:

die Identität des Verantwortlichen
die Zwecke der Verarbeitung
die Informationen, die eine faire und transparente Verarbeitung gewährleisten
das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogene Daten verarbeitet werden
die Aufklärung über Risiken, Rechte, Garantien hinsichtlich der Datenverarbeitung
die Aufklärung darüber, wie Rechte geltend gemacht werden können.

Außerdem müssen die Grundsätze nach Art. 5 DSGVO (wie Rechtmäßigkeit, Zweckbindung, Datenminimierung etc.) ihren Niederschlag finden. Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben in einer nachvollziehbaren Weise nur für einen festgelegten zu einem eindeutigen und legitimen Zweck erfolgen. Dies galt auch schon nach bisherigem Recht. Neu: Die DSGVO erfordert darüber hinaus angemessene und besondere Maßnahmen im Hinblick auf die Transparenz der Verarbeitung oder über eingesetzte Arbeitsmittel.

Zu beachten:

Die Identifizierung des Arbeitnehmers darf nur so lange möglich sein, wie es für den Zweck der Verarbeitung erforderlich ist
Die Speicherfristen sind auf das unbedingt erforderliche Mindestmaß beschränken.

Prüfschema für bestehende Betriebsvereinbarungen

a) Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet?

b) Enthält die Betriebsvereinbarung Angaben zu den Grundprinzipien nach Art. 5 DSGVO?

Rechtmäßigkeit (= sind Erlaubnistatbestände vorhanden?): Ist die Verarbeitung rechtmäßig und erfolgt sie nach Treu und Glauben und in nachvollziehbarer Weise (vgl. Art. 6 I a-f DSGVO, Erwägungsgrund 39 und Art. 12 ff. DSGVO)?
Zweckbindungsgrundsatz: Ist der Zweck deutlich vereinbart, d.h. konkret und detailliert? Falls die Verarbeitung zu einem anderem Zweck erfolgt: Ist er vereinbar mit dem altem Zweck?
Datenminimierung: Sind die Menge und die Art der Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke erforderliche Maß beschränkt? Sind Strategien und Maßnahmen zur Datenminimierung getroffen worden (z.B. Pseudonymisierung, technische Vorrichtungen)?
Datenrichtigkeit: Wurden Maßnahmen getroffen, um zu gewährleisten, dass personenbezogene Daten, die hinsichtlich des Zwecks ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden? Die Dienstvereinbarung sollte Regelungen zu Korrekturprozessen enthalten.
Speicherbegrenzung: Sind klare Regelungen zur Speicherdauer von personenbezogenen Daten in der Dienstvereinbarung getroffen?
Integrität und Vertraulichkeit: Sind technisch-organisatorischen Maßnahmen vorhanden, um den Schutz vor unbefugter, unrechtmäßiger Verarbeitung sowie vor Beschädigung, Zerstörung oder Verlust zu gewährleisten (z.B. Zugriffskontrolle, Verschlüsselung, Backup-Konzept)? Ist die Verarbeitung besonderer Datenkategorien (z. B. Religionszugehörigkeit, Gesundheitsdaten, biometrische Daten) ausreichend gesichert?

Werden besondere Kategorien personenbezogener Daten verarbeitet?

Dann ist Art. 9 DSGVO zu beachten. Besonders relevant ist dies bei Zutrittssystemen mit biometrischer Datenverarbeitung, Einsatz von elektronischen Personalakten, Ausgestaltung des BEM und Durchführung von Assessmentcentern mit elektronischer Datenverarbeitung der Bewerberdaten.

Sind Maßnahmen getroffen worden, um die Informationspflichten zu erfüllen?

Der Arbeitgeber muss Angaben machen zum Name des Verantwortlichen, seines Vertreters, des betrieblichen Datenschutzbeauftragten (falls vorhanden), den Zweck sowie die Rechtsgrundlage der Verarbeitung, Speicherfristen, Betroffenenrechte, Empfänger der Daten, Beschwerderechte und Rechtsbehelfe und eventueller Datenverarbeitung in einem Drittland.

Sind Maßnahmen getroffen worden, um die Betroffenenrechte zu berücksichtigen?

Sind die Angaben zu den Betroffenenrechten nach Art. 15 sowie Mitteilungen nach Art. 16 ff. DSGVO enthalten? Die umfangreichen Angaben sollten als Anhang zum Arbeitsvertrag oder in der Betriebsvereinbarung abgebildet werden.

Praxistipp: Eine Alternative zur Änderung aller Betriebsvereinbarungen könnte der Abschluss einer „Dach“-Betriebsvereinbarung sein, in der ausschließlich datenschutzrechtliche Aspekte geregelt werden und die Bezug nimmt auf die speziellen Vereinbarungen, zum Beispiel zur Arbeitszeit usw. Zumindest könnte aber eine schriftliche allgemeine Information der Beschäftigten darüber erfolgen, welche Daten für welche Zwecke in dem Unternehmen verarbeitet werden.