Die EU-Datenschutz-Grundverordnung (DS-GVO) gilt zwar schon seit etwa drei Monaten verbindlich. Bei manchem Arbeitgeber dauert die „Umsetzungsphase“ aber noch an. In diesem Zusammenhang kommt regelmäßig die Frage auf, ob eine Rahmen-Betriebsvereinbarung zu IT-Systemen Sinn macht. Um die Antwort vorwegzunehmen: Ja, sie macht Sinn – aber die Inhalte sollten gut durchdacht sein.
Hauptargument: Compliance für bestehende Betriebsvereinbarungen
Als Hauptargument für den Abschluss einer IT-Rahmen-Betriebsvereinbarung wird häufig genannt, dass Arbeitgeber dadurch ihre Verpflichtungen nach der DS-GVO in Bezug auf bereits bestehende Betriebsvereinbarungen zu IT-Systemen erfüllen könnten. Diese „Alt-Betriebsvereinbarungen“ dürften größtenteils nämlich zu einer Zeit geschlossen worden sein, als die Vorgaben der DS-GVO – von Transparenzpflichten bis zu Mitarbeiterrechten – noch unbekannt waren, müssen nun aber eben diese Vorgaben erfüllen. Insoweit sollen die wesentlichen Pflichten aus der DS-GVO in einer IT-Rahmen-Betriebsvereinbarung in allgemeiner Form und mit Geltung für die bereits bestehenden Betriebsvereinbarungen abgebildet werden.
Die Standardregelungen
Unter diesem Gesichtspunkt werden u. a. folgende Themen üblicherweise Bestandteil einer IT-Rahmen-Betriebsvereinbarung:
- Klarstellung, dass bestehende Betriebsvereinbarungen einen datenschutzrechtlichen Erlaubnistatbestand darstellen;
- Geltung der Datenschutzgrundsätze nach Art. 5 DS-GVO, insbesondere Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit;
- Hinweis auf die Mitarbeiterrechte und ggf. nähere Regelungen zu ihrer Ausübung, insbesondere zu den Rechten nach Art. 15 ff. DS-GVO;
- Bereitstellung allgemeiner Informationen, etwa zum Verantwortlichen der Datenverarbeitung (vgl. Art. 13 Abs. 1 lit. a) DS-GVO), zum Datenschutzbeauftragten (vgl. Art. 13 Abs. 1 lit. a) DS-GVO) sowie zur zuständigen Beschwerdestelle (vgl. Art. 13 Abs. 2 lit. d), Art. 77 DS-GVO).
Und darüber hinaus?
Bereits insoweit ist der Abschluss einer IT-Rahmen-Betriebsvereinbarung sinnvoll. Ihr Potenzial ist damit aber noch lange nicht ausgeschöpft. Denn es bietet sich an, in eine IT-Rahmen-Betriebsvereinbarung darüber hinaus Regelungen aufzunehmen, die sich auf die Einführung und Erweiterung von IT-Systemen beziehen. Ziel derartiger Regelungen ist, den Aufwand zukünftig zu reduzieren und Streitigkeiten mit dem Betriebsrat zu vermeiden.
Die „Nicht-Standardregelungen“
In dieser Hinsicht können in IT-Rahmen-Betriebsvereinbarungen u. a. folgende Themen aufgenommen werden, die in allgemein zugänglichen „Standard-Mustern“ nicht – oder jedenfalls nicht mit der notwendigen Detailtiefe – auftauchen:
- Zeitlicher Ablauf und Fristen für Verhandlungen bei Neueinführung von IT-Systemen;
- Umgang mit Streitigkeiten in Bezug auf Betriebsvereinbarungen zu IT-Systemen, etwa Bildung und Besetzung einer paritätischen Kommission;
- Regelungen zur Vorgehensweise bei Upgrades bestehender IT-Systeme (vgl. dazu unseren Blogbeitrag);
- Erlaubnis der Datenverarbeitung für allgemeine Zwecke, wie zum Beispiel Gewährleistung der Funktionsfähigkeit eines IT-Systems oder Datensicherheit.
Fazit
Es lohnt sich durchaus, in die Entwicklung und Verhandlung einer IT-Rahmen-Betriebsvereinbarung Zeit zu investieren und dort mehr hineinzupacken als die „Standard-Muster“ vorsehen. Die IT-Rahmen-Betriebsvereinbarung sollte nicht nur darauf abzielen, Compliance mit Blick auf bestehende Betriebsvereinbarungen zu IT-Systemen herzustellen. Vielmehr sollte sie auch Regelungen für die zukünftige Einführung und Erweiterung von IT-Systemen enthalten. So kann sie das Leben der Unternehmen bei fortlaufender Digitalisierung merklich erleichtern.