Rahmenbetriebsvereinbarung zum Thema Datenschutzgrundverordnung

Zwischen der Firma […]

und

dem Betriebsrat der Firma […]

im nachfolgenden „Parteien“ genannt

wird folgende Rahmenbetriebsvereinbarung[1] zur Umsetzung der Vorgaben des neuen Datenschutzrechts geschlossen:

Präambel

Zwischen den Parteien besteht die Einigkeit, dass die Erhebung, Verarbeitung und Nutzung von Daten für die Erfüllung dienstlicher und betrieblicher Aufgaben unerlässlich ist. Dies kann jedoch die Persönlichkeitsrechte der Betroffenen beeinträchtigen. Ziel dieser Rahmenbetriebsvereinbarung ist es daher die Wahrung der Persönlichkeitsrechte und Vorgaben des Datenschutzes in Übereinstimmung zu bringen.

§ 1 Geltungsbereich

(1) Der Geltungsbereich dieser Rahmenbetriebsvereinbarung erfasst das gesamte Unternehmen und alle Beschäftigten gem. § 5 BetrVG, sowie Beschäftigte im Rahmen freier Dienst- und Werkverträge[2].

(2) Die Rahmenbetriebsvereinbarung erstreckt sich auf alle gegenwärtig zu schließende Betriebsvereinbarungen, sowie die, die zukünftig geschlossen werden.

(3) Die Rahmenbetriebsvereinbarung erstreckt sich ferner auf die bereits bestehenden Betriebsvereinbarungen. Die folgenden Datenschutzgrundsätze sind bei derer Auslegung und Anwendung zugrunde zu legen. Im Fall einer abweichenden Regelung, gilt diese Rahmenbetriebsvereinbarung vorrangig.

§ 2 Gegenstand

(1) Die Rahmenbetriebsvereinbarung hat die Bestimmungen der EU-Datengrundschutzverordnung (DS-GVO) in der Fassung vom 25.05.2018 zum Gegenstand.

(2) Der Gegenstand erfasst die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, unabhängig davon, in welchem System diese Daten gespeichert sind oder werden und ob die Verarbeitung in standardisierter oder individueller Form erfolgt.

§ 3 Grundregeln der Datenschutzbestimmungen

(1) Gem. Art. 88 Abs. 1 DS-GVO und § 26 Abs. 4 S. 1 BDSG-neu kann eine Betriebsvereinbarung selbst als eine eigenständige Legitimationsgrundlage für die Datenverarbeitung gelten. Um die Einhaltung der einschlägigen Datenschutzbestimmungen zu gewährleisten, sind die Parteien der Kollektivvereinbarungen verpflichtet, die Vorgaben der Art. 5 Abs. 1 lit. a) bis f) DS-GVO, Art. 12 ff. DS-GVO, Art. 88 Abs. 2 DS-GVO zu beachten.

(2) Im Hinblick auf die normative Wirkung dieser Rahmenbetriebsvereinbarung gegenüber den Arbeitnehmern des Unternehmens, vgl. § 77 Abs. 4 S. 1 BetrVG, wird ausdrücklich darauf hingewiesen, dass bei der Erhebung, Verarbeitung (Speichern, Verändern, Übermitteln, Löschen) und Nutzung der personenbezogenen Daten die Vorgaben für die Einhaltung der einschlägigen Datenschutzbestimmungen von den Parteien zu beachten sind.

(3) Die Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 DS-GVO sind im Einzelnen:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

Rechenschaftspflicht

§ 4 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

(1) Gem. Art. 5 Abs. 1 lit. a DS-GVO dürfen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

(2) Die Parteien verpflichten sich, jede folgende Betriebsvereinbarung in Verbindung mit dieser Rahmenbetriebsvereinbarung als datenschutzrechtliche Erlaubnis zur Verarbeitung personenbezogener Daten im Beschäftigungskontext als legitim anzuerkennen. Der Rückgriff auf gesetzliche Erlaubnistatbestände bleibt den Parteien vorbehalten.

(3) Die Parteien verpflichten sich, die Bestimmungen zum Umgang mit personenbezogenen Daten der vom Geltungsbereich erfassten Personen, so zu gestalten, dass diese für sie eindeutig und nachvollziehbar sind.
 

§ 5 Zweckbindung

(1) Gemäß Art. 5 Abs. 1 lit. b DS-GVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

(2) Legitim sind insbesondere Zwecke, die Bezug zum Beschäftigungsverhältnis aufweisen. Als solche Zwecke kommen beispielsweise die Verarbeitung und Erhebung in Betracht, die mit der Entstehung, Erfüllung und Beendigung des Arbeitsverhältnisses einhergehen, ferner die Organisation, Planung und Sicherheit im Betrieb betreffend sowie solche, die dem Schutz der Gesundheit und des Eigentums dienen.

(3) Die Parteien vereinbaren, jeweils möglichst detaillierte Beschreibungen der Zwecke von geplanten Datenverarbeitungen in Betriebsvereinbarungen aufzunehmen.

(4) Datenerhebung für einen noch nicht bestimmten oder bestimmbaren Zweck (auf Vorrat) ist ausdrücklich verboten.

§ 6 Datenminimierung

(1) Gem. 5 Abs. 1 lit. c) DS-GVO sind die personenbezogenen Daten dem Zweck entsprechend und auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken.

(2) Die Regelung bezieht sich sowohl auf die Anzahl der verarbeiteten Daten als auch auf die Anzahl der Nutzung. Eine mehrfache Auswertung von Daten mit gleichen Informationen ist ausdrücklich verboten.

(3) Die Parteien verpflichten sich, Maßnahmen der Pseudonymisierung und Anonymisierung der personenbezogenen Daten bei der Verarbeitung so auszuschöpfen, wie es im Hinblick auf den Zweck möglich ist.

§ 7 Richtigkeit

(1) Gem. Art. 5 Abs. 1 lit. d) DS-GVO muss gewährleistet werden, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sind.

(2) Die Parteien sind verpflichtet, angemessene Maßnahmen zu treffen, die gewährleisten, dass personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

(3) Die Parteien verpflichten sich, personenbezogene Daten alle […] Wochen/Monate zu kontrollieren.

§ 8 Speicherbegrenzung

(1) Gem. Art. 5 Abs. 1 lit. e) DS-GVO dürfen personenbezogenen Daten nur in einer Form gespeichert werden, die die Identifizierung der Betroffenen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

(2) Die Parteien verpflichten sich darüber hinaus, personenbezogene Daten innerhalb von/mit Ablauf des […] zu löschen, wenn der mit der Erhebung oder Verarbeitung der Daten verfolgte Zweck erreicht wurde oder nicht mehr in angemessener Zeit zu erreichen ist.

(3) Die Parteien behalten sich vor, im Hinblick auf besondere Erfordernisse einzelner Zwecke, von der Bestimmung des § 8 Abs. 2 abzuweichen. Im Falle einer Abweichung ist ausdrücklich eine neue Frist zu bestimmen und in der jeweiligen Betriebsvereinbarung kenntlich zu machen.

§ 9 Integrität und Vertraulichkeit

(1) Gem. Art. 5 Abs. 1 lit. f) DS-GVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit von Daten dieser Art gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

(2) Die Parteien vereinbaren, geeignete technische und organisatorische Maßnahmen zu treffen, die es ermöglich, Manipulationen an personenbezogenen Daten sämtlicher Art zu verhindern.

(3) Der Arbeitgeber ist verpflichtet, durch organisatorische und technische Vorkehrungen sicherzustellen, dass nur befugte Personen im Rahmen ihrer betrieblichen Aufgabenstellung und unter Beachtung der Betriebsvereinbarung auf personenbezogene Daten der Beschäftigten zugreifen können.

(4) Der Arbeitgeber ist verpflichtet, alle mit der Datenverarbeitung betrauten Mitarbeiter vor Aufnahme ihrer Tätigkeit in die Grundsätze des Datenschutzes einzuweisen. Diese sind auf das Datengeheimnis zu verpflichten und müssen eine gesonderte Datenschutzerklärung unterzeichnen, welche in der Personalakte aufzunehmen ist.

§ 10 Rechenschaftspflicht

(1) Gem. Art. 5 Abs. 2 DS-GVO ist der für die Verarbeitung Verantwortliche für die Einhaltung der Prinzipien der Datenschutzverordnung und muss diese nachweisen.

(2) Die Parteien verpflichten sich, dass alle datenschutzrechtlichen Maßnahmen alle … Monate/jedes Jahr überprüft und bei Bedarf aktualisiert werden.

§ 11 Rechte der Beschäftigten

(1) Die Beschäftigten haben das Recht von dem für die Verarbeitung Verantwortlichen unentgeltlich Auskunft über die zu ihrer Person gespeicherten personenbezogenen Daten sowie eine Kopie dieser Auskunft zu erhalten. Die für die Verarbeitung verantwortliche Stelle hat die Pflicht, Betroffene in Bezug auf ihre Daten über Folgendes zu informieren:

Umfang der gespeicherten Daten

Herkunft der Daten

Zweck der Speicherung

gegebenenfalls ob und an wen die Informationen übermittelt wurden.

(2) Des Weiteren haben die Beschäftigten ein Recht auf Berichtigung oder Löschung (sog. „Recht auf Vergessenwerden“) ihrer Daten. Die Berichtigung muss dann vorgenommen werden, wenn die gespeicherten Informationen unrichtig sind. Eine Löschung muss zum Beispiel dann erfolgen, wenn eine Speicherung nicht/nicht mehr zulässig war/ist, Art. 17 DS-GVO.

(3) Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht des Beschäftigten auf Einschränkung der Verarbeitung gemäß Art. 18 DS-GVO. Dieser Absatz findet keine Anwendung, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

(4) Ferner haben die Beschäftigten bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DSGVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

(5) Jeder Beschäftigte hat das Recht jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 DSGVO erfolgt, Widerspruch einzulegen.

§ 12 Folgen der Nichteinhaltung dieser Rahmenbetriebsvereinbarung

(1) Die Beschäftigten haben das Recht, sich bei einer zuständigen Stelle im Unternehmen über tatsächliche oder vermutete Verstöße gegen die Rahmenbetriebsvereinbarung und jeder auf derer Grundlage folgenden Betriebsvereinbarung zu beschweren. Die Bestimmungen der §§ 84, 85 BetrVG bleiben unberührt.

(2) Fügt eine verantwortliche Stelle dem Arbeitnehmer durch eine nach diesem Gesetz oder anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist die oder ihr Träger dem Arbeitnehmer zum Schadenersatz verpflichtet.

(3) Eine Betriebsvereinbarung, die gegen die Bestimmungen der Rahmenbetriebsvereinbarung verstößt, ist unwirksam.

(4) Darüber hinaus sind Maßnahmen, die unmittelbar oder mittelbar auf Kenntnissen beruhen, die durch einen Verstoß gegen die datenschutzrechtlichen Bestimmungen erlangt wurden, unwirksam.

§ 13 Name und Anschrift des Verantwortlichen

„Verantwortlicher“ im Sinne der DS-GVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Name:

Anschrift:

Telefon:

E-Mail:

§ 14 Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen ist:

Name:

Anschrift:

Telefon:

E-Mail:

Jeder Beschäftigte kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an den Datenschutzbeauftragten wenden.

§ 15 Schlussbestimmungen

(1) Diese Rahmenbetriebsvereinbarung tritt am […] in Kraft.

(2) Diese Rahmenbetriebsvereinbarung löst alle etwaigen vorherigen Betriebsvereinbarungen zum Datenschutz, insbesondere die Betriebsvereinbarung […], ab[3].

(3) Diese Rahmenbetriebsvereinbarung kann unter Einhaltung der gesetzlichen Kündigungsfrist gekündigt werden. Die Rahmenbetriebsvereinbarung gilt jedoch bis zur Vereinbarung einer neuen Betriebsvereinbarung weiter.

 

[…], den […]

 

Arbeitgeber Betriebsrat

 

[1] Rechtlich gesehen, muss jede BV diese Regelungen konkret auf den Regelungsgegenstand bezogen enthalten. Das heißt, es müssten alle BV gekündigt und neu abgeschlossen werden. Die Rahmen-BV soll dies erleichtern. Ob die Rechtsprechung eines solche Rahmen-BV als ausreichend und angemessen ansehen wird, ist noch nicht klar. Es besteht damit keine hinreichende Gewähr dafür, dass die geschlossenen BV nicht dennoch aufgrund Verstoßes gegen die DSGVO und das BDSG-neu unwirksam sind.

[2] Eventuell müssten hier die leitenden Angestellten ausgenommen werden, wenn diese in keine BV einbezogen wurden.

[3] Achtung, es gilt das Ablöseprinzip, sodass hier darauf zu achten ist, dass die Regelungen der bisherigen BV dann auch enthalten sind oder ggf. diese in der neuen BV aufzunehmen.

Videokonferenzen für Betriebsräte

Kostenlos - DSGVO-konform - rechtswirksam

Treffen Sie sich als Gremium online und fassen Sie gemeinsam ortsflexibel Beschlüsse. Es werden keine personenbezogenen Daten gespeichert, die Verbindung ist gut verschlüsselt und der Zugang kinderleicht. Wir wünschen Ihnen viel Erfolg!