open search
close
Datenschutz Kollektivarbeitsrecht Neueste Beiträge

Beschäftigtendatenschutz: Kein Mitbestimmungsrecht des Betriebsrats bei Löschkonzepten

Print Friendly, PDF & Email
Löschsymbol

Beschließt der Arbeitgeber, personenbezogene Daten der Beschäftigten zu verarbeiten, muss er sich rechtzeitig mit der Ausgestaltung der datenschutzrechtlichen Löschungspflicht beschäftigen. Sofern in einer Betriebsvereinbarung Abläufe geregelt sind, bei denen personenbezogene Daten verarbeitet werden, was insbesondere bei IT-Betriebsvereinbarungen der Fall ist, stellt sich immer die Frage: Hat der Betriebsrat auch ein Mitbestimmungsrecht hinsichtlich des Löschkonzepts?

Keine IT-Vereinbarung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG ohne Löschkonzept

Die Einführung neuer IT-Systeme, wie z. B. Systeme zur Arbeitssteuerung, Personalwirtschaftssysteme, Zeiterfassungssysteme und Videoüberwachung, unterfällt dem Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG, denn durch solche IT-Systeme kann der Arbeitgeber grundsätzlich die Leistung und das Verhalten der Belegschaft überwachen.

87 Abs. 1 BetrVG beschränkt das Mitbestimmungsrecht jedoch ausdrücklich: Soweit eine Angelegenheit gesetzlich oder tariflich geregelt wird, steht dem Betriebsrat kein Mitbestimmungsrecht zu. Denn nach ständiger Rechtsprechung des Bundesarbeitsgerichts ist dem Schutzbedürfnis der Arbeitnehmer hinreichend Rechnung getragen, wenn zwingende gesetzliche Regelungen bestehen, an die der Arbeitgeber gebunden ist.

Die Anwendung von technischen Einrichtungen gem. § 87 Abs. 1 Nr. 6 BetrVG enthält stets eine datenschutzrechtliche Komponente, denn dabei werden gem. Art. 4 Nr. 2 DS-GVO personenbezogene Daten verarbeitet. Dabei ist der Arbeitgeber der datenschutzrechtlich „Verantwortliche“ gem. Art. 4 Nr. 7 DS-GVO. Die datenschutzrechtliche Verantwortlichkeit liegt auch dann beim Arbeitgeber, wenn der Betriebsrat zur Erfüllung seiner Aufgaben personenbezogene Daten verarbeitet (§ 79a S. 2 BetrVG). Der Betriebsrat wiederum hat nach §§ 75 und 80 BetrVG nur allgemein die Aufgabe, die Einhaltung von Datenschutzvorschriften zu überwachen.

Der Arbeitgeber hat bei der Datenverarbeitung die datenschutzrechtlichen Grundsätze des Art. 5 DS-GVO, also unter anderem die Zweckbindung, Richtigkeit, Datenminimierung und Speicherbegrenzung, zu beachten. Insbesondere die Grundsätze der Zweckbindung und Datenminimierung wirken sich auf die Pflicht des Arbeitgebers aus, Daten zu löschen. So müssen Arbeitgeber, um dem Grundsatz der Datenminimierung gerecht zu werden, bei der Anwendung jeder technischen Einrichtung ein Löschkonzept implementieren, das vorgibt, wie die Datenlöschung im Unternehmen umzusetzen ist.

Pflicht zur Datenlöschung für Arbeitgeber in der DS-GVO geregelt?

Hinsichtlich der Pflicht zur Löschung von verarbeiteten Daten bestehen bereits in der DS-GVO Vorgaben, an die Arbeitgeber in Deutschland als datenschutzrechtlich Verantwortliche unmittelbar gebunden sind. Sie unterliegen einer laufenden Prüfpflicht, ob Daten zu löschen sind. Konkret müssen Arbeitgeber gem. Art. 17 Abs. 1 DS-GVO personenbezogenen Daten löschen, wenn die verarbeiteten Daten für die erhobenen Zwecke nicht mehr notwendig sind – auch ohne dass es einer Aufforderung der hiervon betroffenen Person bedarf.

Da Arbeitgeber als „Verantwortliche“ nach Art. 5 Abs. 2 DS-GVO den Arbeitnehmern gegenüber ohnehin gesetzlich zur rechtzeitigen Löschung von Daten verpflichtet sind, müssen Löschungspflichten grundsätzlich nicht in Kollektivvereinbarungen geregelt werden. Aufgrund der „zwingenden gesetzlichen Regelung“ zur Datenlöschung erstreckt sich das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 BetrVG nicht auf das datenschutzrechtlich ohnehin erforderliche Löschkonzept.

Verhandlung eines Löschkonzepts mit dem Betriebsrat nach dem Wortlaut der DS-GVO optional

Auch der Wortlaut des Art. 88 DS-GVO, welcher die Datenverarbeitung im Beschäftigungskontext regelt, spricht dafür, dass Löschkonzepte nicht zwingend mit dem Betriebsrat verhandelt werden müssen. In Art. 88 Abs. 1 DS-GVO heißt es:

„Die Mitgliedsstaaten können durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen.“

Daraus folgt, dass die Verhandlungspartner einer Kollektivvereinbarung, wie einer Betriebsvereinbarung, spezifischere Regelungen zum Datenschutz, d. h. über die gesetzlichen Mindestanforderungen hinaus, treffen können. Durch das Wort „können“ wird ersichtlich, dass es sich hierbei um freiwillige Regelungsgegenstände handelt. Dem Arbeitgeber als datenschutzrechtlich Verantwortlichen steht es damit frei, eigenständig ein Konzept für die Erfüllung seiner gesetzlichen Pflichten zu entwickeln. Demzufolge kann er auch ohne Einflussnahme des Betriebsrats ein Löschkonzept entwickeln,  um seiner gesetzlichen Löschungspflicht aus Art. 17 Abs. 1 DS-GVO nachzukommen. Der Betriebsrat hat kein Mitbestimmungsrecht hinsichtlich des Löschkonzepts.

Für die Freiwilligkeit der Aufnahme eines Löschkonzepts in Kollektivvereinbarungen spricht weiterhin der Erwägungsgrund 155 zur DS-GVO. Hiernach „können“ Kollektivvereinbarungen Regelungen zur Verarbeitung (dazu gehört auch die Löschung von Daten) der personenbezogenen Daten treffen. Der Arbeitgeber kann darauf mithin auch verzichten und eigenständig ein Löschkonzept konzipieren.

Gesetzgeberische Wertung in § 26 BDSG spricht ebenfalls für eine lediglich freiwillige Verhandlung

Auch § 26 Abs. 5 BDSG fordert, dass der Arbeitgeber als datenschutzrechtlich Verantwortlicher ein Löschkonzept entwickelt, um insbesondere die Grundsätze der Zweckbindung und Datenminimierung Art. 5 Abs. 1 DS-GVO einzuhalten. In § 26 Abs. 5 BDSG heißt es:

„Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 679/2016 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.“

Ob der Arbeitgeber beschließt, den Betriebsrat bei der Ausgestaltung seiner gesetzlichen Pflicht miteinzubeziehen, steht demnach in seinem Ermessen. Ob diese nationale Norm weiterhin als unionsrechtskonform erachtet wird, ist jedoch nach jüngerer europäischer Rechtsprechung (EuGH, Urteil vom 30.3.2023 – C-34/21) fraglich. Der Norm lässt sich jedoch die gesetzgeberische Wertung entnehmen, dass die datenschutzrechtlichen Grundsätze des Art. 5 Abs. 1 DS-GVO, und damit ein Löschkonzept, nicht ausdrücklich in Kollektivvereinbarungen adressiert werden müssen, sondern eigenständig vom Arbeitgeber entwickelt werden können.

Fazit

Die in Art. 17 Abs. 1 DS-GVO normierte Pflicht zur Datenlöschung, welche die datenschutzrechtlichen Grundsätze der Datenminimierung und Zweckbindung nach Art. 5 DS-GVO konkretisiert, stellt eine zwingende, gesetzliche Regelung im Sinne des § 87 Abs. 1 BetrVG dar, sodass dem Betriebsrat im Hinblick auf Löschkonzepte kein Mitbestimmungsrecht zusteht. Arbeitgeber sollten daher sorgfältig abwägen, ob sie mit dem Betriebsrat auf freiwilliger Basis ein Löschkonzept verhandeln oder eigenständig ein datenschutzrechtlich konformes Löschkonzept aufstellen.

Kimia Wenzel

Rechtsanwältin

Associate
Kimia Wenzel berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Neben Restrukturierungsprojekten berät sie ihre Mandanten u. a. in Kündigungsrechtsstreitigkeiten, im Bereich des Betriebsverfassungsrechts sowie in der Vertragsgestaltung. Sie ist Mitglied der Fokusgruppe "Private Equity/M&A".
Verwandte Beiträge
Arbeitsrecht 4.0 Kollektivarbeitsrecht Legal Tech Neueste Beiträge Prozessrecht

Einführung von IT-Systemen bald auch (mal) ohne Beteiligung des Betriebsrats möglich?

Aus der modernen Arbeitswelt sind Einlasskarten, digitalisierte Arbeitszeiterfassungssysteme und Chatbots kaum mehr wegzudenken. Gleichzeitig stehen Arbeitgeber aber gerade bei IT-Systemen vor der Herausforderung, dass vor deren Einführung erst das IT-Mitbestimmungsrecht des Betriebsrats einzuhalten ist. So kann die Einführung einer vermeintlich unkomplizierten Facebook- oder Instagram-Präsenz des Unternehmens ohne Weiteres auch einige Monate in Anspruch nehmen. Eine Trendwende bei der antiquierten Auslegung bei der IT-Mitbestimmung scheint jedoch…
Betriebsrat Kollektivarbeitsrecht Neueste Beiträge

Kosten der Einigungsstelle – Fragen aus der Beratungspraxis

Die Einigungsstelle ist ein wichtiges Instrument zur Konfliktlösung bei Auseinandersetzungen zwischen Arbeitgeber und Betriebsrat. Sie bietet eine neutrale Plattform, um Meinungsverschiedenheiten beizulegen und gemeinsam Lösungen zu entwickeln. Doch Einigungsstellen sind zeit- und kostenintensiv. Die durch Einigungsstellen verursachten finanziellen Belastungen führen nicht selten zu Auseinandersetzungen zwischen den Betriebsparteien. Nachfolgend drei Fragen aus der Beratungspraxis: Welche Kosten fallen an? Nach § 76 a Abs. 1 BetrVG ist…
Arbeitsrecht 4.0 Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Unternehmensführung

Mehr Präsenz statt mobile Arbeit – Der (schwierige) Weg zurück ins Büro

Während der Corona-Pandemie hat die mobile Arbeit in Unternehmen Einzug gehalten und ist danach geblieben. Die Möglichkeit für Mitarbeitende, ihre Tätigkeit von einem von ihnen frei auszuwählenden Arbeitsort erbringen zu können, wurde zum New Normal. Bislang drehte sich die Diskussion oftmals nicht um die Frage der Begrenzung, sondern um die Erweiterung der mobilen Arbeit (zum Begriff siehe unseren Blog-Beitrag vom 4. Mai 2022). Dabei ging…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.