Betriebsvereinbarung zur Anwendung von IT-Systemen auf der Grundlage des DSGVO

Zwischen der Firma […]

und

dem Betriebsrat der Firma […]

wird folgende Betriebsvereinbarung geschlossen:

Präambel 

Betriebsvereinbarungen, die die Anwendung von IT-Systemen und die Verarbeitung personenbezogener Daten regeln, müssen im Hinblick auf die EU-Datenschutzgrundverordnung (nachstehend DSGVO) und das BDSG in der Fassung ab dem 25.05.2018 angepasst und ausgestaltet werden. Um die gesetzlichen Vorgaben der DSGVO und des BDSG einzuhalten, treffen die Betriebsparteien diese Regelung, die den Regelungen dieser Betriebsvereinbarungen zu IT-Systemen vorgeht. 

1. Gegenstand und allgemeine Grundsätze der Datenverarbeitung 

a) Gegenstand und Grundsätze 

Die vorliegende Betriebsvereinbarung beinhaltet die Regelung besonderer und angemessener Maßnahmen zur Wahrung der berechtigten Interessen, der menschlichen Würde und der Grundrechte sowie des Schutzes der Persönlichkeit der Arbeitnehmer iSv. Art. 88 Abs. 2 DSGVO. 

b) Einwilligungen in die Datenverarbeitung nach § 26 Abs. 2 BDSG 

Im Hinblick auf die rechtlichen Anforderungen sowie Erfordernisse von Einwilligungen der Arbeitnehmer bei der Verarbeitung personenbezogener Daten durch den Arbeitgeber gilt § 26 Abs. 2 BDSG. Dabei gilt das Schrifterfordernis für die Einwilligung der beim Arbeitgeber beschäftigten Arbeitnehmer, wenn nicht besondere Umstände vorliegen. Dies kann beispielsweise bei Bewerbungen über Telekommunikationsmittel der Fall sein. 

c) Begriffsbestimmungen 

Bei der Anwendung der vorliegenden Betriebsvereinbarung und der IT-Systeme auf der Grundlage anderer Betriebsvereinbarungen gelten die Begriffsbestimmungen des Art. 4 DSGVO und des § 2 BDSG. 

d) Organisatorische Maßnahmen

Die IT-Systeme werden auf der Grundlage der jeweils geltenden IT-Compliance durch den Arbeitgeber betrieben. Dieser stellt durch diese Vereinbarung ausdrücklich die Einhaltung der DSGVO und des BDSG sicher. 

Anlage 1 beinhaltet eine Liste der bereits bestehenden Betriebsvereinbarungen zu IT-Systemen sowie der Anwendung personenbezogener Daten der Arbeitnehmer.

Die Betriebsparteien haben die Möglichkeit eine Anlage 2 zu dieser Betriebsvereinbarung anzufertigen, in der alle betreffenden IT-Systeme aufgeführt sind. 

2. Persönlicher Geltung- und Anwendungsbereich

Die vorliegende Betriebsvereinbarung gilt für alle Arbeitnehmer iSv § 5 Abs. 1 BetrVG, einschließlich der Leiharbeitnehmer. 

3. Betriebsvereinbarung als datenschutzrechtlicher Erlaubnistatbestand iSd DSGVO

Gemeinsam mit den Einzelbetriebsvereinbarungen, die aus Anlage 1 hervorgehen, stellt die vorliegende Betriebsvereinbarung einen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten der Arbeitnehmer iSv Art. 88 DSGVO iVm § 26 Abs. 4 BDSG dar. 

Darüber hinaus werden die Arbeitnehmer, für den Fall, dass dies noch nicht im Vorfeld geschehen ist, in geeigneter Form auch über andere Betriebsvereinbarungen zur Nutzung der IT-Systeme und/oder zur Ausübung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG informiert. 

4. Zweckbindungsgrundsatz bei der Verarbeitung personenbezogener Daten 

Der Umgang mit personenbezogenen Daten durch den Arbeitgeber erfolgt für konkret festgelegte, eindeutige und legitime Zwecke unter der Beachtung der Grundsätze des Art. 5 Abs. 1b DSGVO und insbesondere der in Art. 88 Abs. 1 DSGVO benannten Zwecke und der in § 26 Abs. 1 S. 1,2 BDSG bezeichneten Zwecke. 

Ist der betroffene Arbeitnehmer mit der Datenverarbeitung einverstanden, ist der Arbeitgeber verpflichtet ihn jeweils über den Zweck der Datenverarbeitung in Textform aufzuklären. 

Im Hinblick auf die Zweckbindung hat der Arbeitgeber als verantwortliche Stelle iSv Art. 4 Nr. 7 DSGVO die Datenverarbeitung in Bezug auf bestimmte konkrte Arten von Daten festlegen und bei der Datenschutzfolgenabschätzung nach Art. 35 Abs. 1 DSGVO berücksichtigen. 

Über etwaige Zweckänderungen und -ergänzungen hat der Arbeitgeber den Betriebsrat während des Geltungszeitraums dieser Betriebsvereinbarung zu unterrichten. Dabei müssen auch die dafür geltenden materiellen Rechtfertiungskriterien nach § 24 Abs. 1 BDSG sowie die Mitbestimmungsrechte der Interessenvertretungen beachtet werden. 

5. Anwendung bei der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO 

a) Datenschutzrechtliche Grundsätze 

Die datenschutzrechtlichen Grundsätze des Art. 5 Abs. 1 Buchst. a-f DSGVO sind Inhalt dieser Betriebsvereinbarung sowie zwingende rechtliche Vorgabe bei der Verarbeitung personenbezogener Daten der Arbeitnehmer und Beschäftigten iSv § 26 Abs. 8 BDSG. Besondere Geltung beanspruchen dabei die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung , der Integrität und Vertraulichkeit, sowie der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.

b) Besondere Regeln für die Überwachung von Arbeitnehmern 

Überwachungen des Verhaltens und/oder der Leistungen der Arbeitnehmer, die heimlich, das heißt nicht transparent offengelegt, angefertigt werden, bedürften einer ausdrücklichen Gestattung durch eine zwischen den Betriebsparteien getroffene Einigung unter Beachtung des § 26 Abs. 1 BDSG. 

6. Transparenz der Datenverarbeitung 

Über ihre Rechte sowie die Pflichten des Arbeitgebers nach der DSGVO und dem BDSG werden die Arbeitnehmer in einer "Datenschutzrechtlichen Information zur Erhebung von Beschäftigtendaten" informiert. 

In der Betriebsvereinbarung können dabei auch spezielle Regeln festgelegt werden, die die Informationspflichten und die Auskunfts- und Betroffenenrechte aus Art. 12-22, 34 DSGVO ergänzen. Hierzu werden die Betriebsparteien Konkretisierungen mit aufnehmen, wie zum Beispiel Auskunftsformate oder -verfahren, die Datenverarbeitung und den jeweils konkreten betrieblichen Zweck möglichst umfassend beschreiben. 

Soweit dies noch nicht geschehen ist, fertigt der Arbeitgeber für die einzelnen Verarbeitungen personenbezogener Arbeitnehmerdaten ein festgelegtes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO an. 

7. Information über die Datenverarbeitung

Die Aufgabe des Arbeitgebers ist es, die Kontaktdaten des datenschutzrechtlich Verantwortlichen und des Datenschutzbeauftragten an die Arbeitnehmer weiterzuleiten. Darüber hinaus müssen die allgemeinen Betroffenenrechte transparent dargestellt werden. Finden zwischen der Datenerhebung und der Datenverarbeitung Zweckänderungen statt, müssen die Arbeitnehmer über diese vor der weiteren Verarbeitung der Daten unterrichtet werden. 

8. Betroffenenrechte der Arbeitnehmer 

Nach § 34 BDSG, Art. 14 DSGVO haben die Beschäftigten des Betriebs ein Recht auf Auskunft über die zu ihrer Person gespeicherten Daten und deren Herkunft, die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden sowie den Zweck der Speicherung. 

Des Weiteren besteht ein Anspruch der Arbeitnehmer auf Berichtigung, Sperrung oder Löschung ihrer personenbezogenen Daten gemäß § 35 BDSG iVm Art. 15-18 DSGVO. 

Werden Informationen an Dritte weitergeleitet, hat der Arbeitgeber die Arbeitnehmer nach Art. 19 DSGVO darüber zu unterrichten. 

Darüber hinaus sind Arbeitnehmer nach Art. 20 DSGVO berechtigt die Übertragung ihrer Daten an eine andere Verantwortliche Stelle zu beantragen. Dies ist beispielsweise nach dem Aussscheiden auf einen neuen Arbeitgeber möglich. 

Nach der Maßgabe der in Art. 21 Abs. 1 S. 2 dargestellten Interessenabwägung können Arbeitnehmer gegen die sie jeweils betreffende persogenenbezogene Datenverarbeitung Widerspruch einlegen. Eine Ausnahme hiervon bilden Fälle, in welchen schutzwürdige Grunde des Arbeitgebers bei der Abwicklung des Arbeitsverhältnisses oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen überwiegen. 

Gibt ein Arbeitnehmer seine Einwilligung zur Verarbeitung seiner Daten nach § 26 Abs. 2 S. 4 BDSG, Art. 7 Abs. 3 S. 3 DSGVO, kann diese jederzeit wiederrufen werden. Hierrüber wird der Arbeitnehmer jeweils bei konkreten Einwilligungen in Textform aufgeklärt. 

9. Löschverpflichtung 

Da jedem Arbeitnehmer gemäß Art. 17 DSGVO ein Recht auf Löschung zukommt, wird der Arbeitgeber ein Löschkonzept im Hinblick auf die jeweilige konkrete Verarbeitung personenbezogener Daten der Arbeitnehmer erstellen. 

10. Pflichten der Arbeitnehmer

Die Arbeitnehmer sind zur Einhaltung der datenschutzrechtlichten Grundsätze des Art. 5 Abs. 1 DSGVO sowie des BDSG und den Regelgungen dieser Betriebsvereinbarung verpflichtet. 

Der Arbeitgeber ist als verantwortliche Stelle berechtigt und verpflichtet zur Umsetzung dieser Pflichten gemäß Art. 4 Abs. 7 DSGVO Weisungen, Anordnungen und verbindliche Regeln anzuordnen. Die Mitbestimmungsrechte des Betriebsrats bleiben hiervon unberührt. 

11. Verhältnis zu anderen Betriebsvereinbarungen

Die vorliegende Betriebsvereinbarung erhebt im Hinblick auf den Umgang mit personenbezogenen Daten der Arbeitnehmer keinen Anspruch auf Vollständigkeit. 

Ergänzend erheben die den Betriebsparteien bekannten und in der Anlage 1 aufgeführten anderen Betriebsvereinbarungen zur Verarbeitung personenbezogener Arbeitnehmerdaten und zur Nutzung von IT-Systemen einen Geltungsanspruch. 

Widersprechen Inhalte dieser Betriebsvereinbarung den in der Anlage 1 bezeichneten Betriebsvereinbarungen treten diese hinten den Regelungen dieser Betriebsvereinbarung zur Einführung der DSGVO zurück. 

Nach dem 25.05.2018 unwirksam gewordene Regelungen, die die in Anlage 1 aufgeführten Betriebsvereinbrungen beinhalten, werden durch die vorliegende Betriebsvereinbarung ergänzt. 

Im Hinblick auf auslegungsbedürftige Regelgungen in den in Anlage 1 bezeichneten Betriebsvereinbarungen gelten die Auslegungsgrundsätze der DSGVO, des BDSG und dieser Betriebsvereinbarung. 

12. Weitere Angeben und Beschwerdestelle 

Gemäß Art. 4 Nr. 7 DSGVO ist die ........................... die verantwortliche Stelle für die im Zuge des Arbeitsverhältnisses erfolgende Datenverarbeitungsvorgänge. 

Treten bei den Arbeitnehmern datenschutzbezogene Anliegen auf, können sich diese an den Datenschutzbeauftragten wenden. Die Kontaktdaten von diesem sind auf der Betriebswebsite zu finden. 

Der Datenschutzbeauftragte ist derzeit .......................

Nach Art. 77 DSGVO sind die Arbeitnehmer des Weiteren zur Beschwerde bei der zuständigen Datenschutzbehörde ........................... berechtigt. 

13. Besondere Arten der Datenverarbeitung 

a) Auftragsdatenverarbeitung 

Über die bestehenden Auftragsdatenverarbeitungen iSv Art. 28 DSGVO in Bezug auf personenbezogene Arbeitnehmerdaten hat der Arbeitgeber den Betriebsrat zu unterrichten. Ferner müssen bei der vertraglichen Ausgestaltung seine datenschutzrechtliche Verantwortlichkeit sowie die Regelungen dieser Vereinbarung sichergestellt werden. 

b) Grenzüberschreitende Datenverarbeitung

Nach Art. 4 Nr. 23 DSGVO ist die grenzüberschreitende Datenverarbeitung innerhalb der EU zulässig. 

Erfolgt die Datenverarbeitung in Länder außerhalb der EU ist der Arbeitgeber zur Einhaltung der aus Art. 44-46 DSGVO hervogehenden Regelungen verpflichtet. Darüber hinaus muss er den Betriebsrat über diese Art der Datenverarbeitung ggf. unter Hinzuziehung eines Sachverständigen gemäß § 80 Abs. 3 BetrVG unterrichten. Für die Verarbeitung in die USA (einschließlich der Nutzung von Cloud-Diensten) erheben die Regelungen des EU-US-Privacy-Shield der EU einen Geltungsanspruch. 

14. Rechte des Betriebsrats 

a) Unterrichtungsrechte

Der Arbeitgeber hat den Betriebsrat über die Einführung, den Betrieb, den Ausbau sowie die Änderungen aller IT-Systeme zu informieren. Die Information muss dabei rechtzeitig erfolgen, wenn noch keine vertragliche Festlegung gegenüber Dritten erfolgt ist und der Betriebsrat Gelegenheit hat seine Mitbestimmungsrechte auszuüben. 

b) Kontrollrechte 

Der Betriebsrat ist nach § 80 Abs. 2 S. 1-3 BetrVG berechtigt, die Einhaltung der in der vorliegenden Betriebsvereinbarung festgesetzen Regelungen zu überprüfen. Soweit dies erforderlich ist, ist der Arbeitgeber in diesem Zug auch zur Bereitstellung von Unterlagen und zur Hinzuziehung sachkundiger Arbeitnehmer nach § 80 Abs. 2 S. 3 BetrVG verpflichtet. 

Unter der Beachtung des Datenschutzes kann die Kontrolle auch direkt an den Betriebsystemen stattfinden. 

c) Datenschutzfolgenabschätzung 

Der Arbeitgeber hat den Betriebsrat nach § 80 BetrVG unaufgefordert über eine gemäß § 35 Abs. 1 S. 1 DSGVO durchgeführte Datenschutzfolgenabschätzung vor der Einführung neuer Verarbeitungen personenbezogener Daten der Arbeitnehmer rechtzeitig zu infomieren, sodass dieser seine Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG ausüben kann. 

15. Inkrafttreten

Die vorliegende Betriebsvereinbarung wird mit ihrer Unterzeichnung wirksam. 

16. Beendigung und deren Folgen 

a) Dauer und Kündigung 

Die Betriebsvereinbarung ist auf unbestimmte Zeit geschlossen. Mit einer Frist von zwei Monaten kann diese von beiden Seiten bis zum Jahresende gekündigt werden. Die Kündigung muss schriftlich erfolgen. Die Betriebsvereinbarung kann dabei nur als Ganzes gekündigt werden. 

b) Nachwirkung

Die Betriebsvereinbarung wirklt bis zum Abschluss einer neuen, diese Betriebsvereinbarung ersetzende Betriebsvereinbung nach. 

17. Anpassungsverpflichtung

Ändern sich die gesetzlichen Rahmenbedingungen, sind die Betriebsparteien unverzüglich zur Aufnahme von Verhandlungen verpflichtet. Dies gilt insbesondere im Falle des Inkrafttretens eines neuen Bundesdatenschutzgesetzes. 

18. Schlussvorschriften

Änderungen oder Ergänzungen dieser Betriebsvereinbarung bedürfen zu ihrer Rechtswirksamkeit der Schriftform. 

Ist eine Bestimmung dieser Vereinbarung gänzlich oder in Teilen unwirksam, wird die Wirksamkeit der übrigen Regelungen davon nicht berührt. Die Betriebsparteien sind verpflichtet anstelle der unwirksamen Regelungen neue, gesetzlich zulässige Bestimmungen zu vereinbaren. Gleiches gilt auch im Fall einer Lücke in dieser Betriebsvereinbarung. 

........................................., den ...................

(Ort, Datum)

______________________________________

(Unterschriften der Betriebsparteien) 

ggf.: Anlagenauflistung