Wird in Dienstvereinbarungen die Verarbeitung personenbezogener Daten geregelt, sind stets die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu beachten. Der Schutz der Beschäftigtendaten darf nicht aufgeweicht werden. So wurde das für einen Betriebsrat entschieden, gilt für Sie im öffentlichen Dienst aber genauso (Europäischer Gerichtshof (EuGH), 19.12.2024, Az. C-65/23).
Datenverarbeitung in der Cloud
Der Fall: In einem Unternehmen sollte ein cloudbasiertes Personal-Informationsmanagementsystem, „Workday“, eingesetzt werden. Dazu gehörte auch der Abschluss einer sogenannten „Duldungs-Betriebsvereinbarung“. Der Betriebsrat hatte einer vorläufigen Inbetriebnahme von Workday zu Testzwecken zugestimmt. Diese Zustimmung beinhaltete auch die Übermittlung und Speicherung von Arbeitnehmerdaten. Also
- Personalnummer,
- Nachname, Vorname,
- Telefonnummer,
- Eintrittsdatum,
- Konzern-Eintrittsdatum,
- Arbeitsort, Firma,
- geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse.
Arbeitgeber schießt über das Ziel hinaus
Der Arbeitgeber übermittelte aber darüber hinaus auch weitere personenbezogene Daten an Workday (Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und Steuer-ID). Ein Mitarbeiter (ausgerechnet der Betriebsratsvorsitzende) klagte nun gegen die Firma und verlangte Schadenersatz wegen der Datenspeicherung.
Der Fall ging bis vor das Bundesarbeitsgericht (BAG), das aber nicht entschied, sondern dem EuGH den Fall zur Klärung vorlegte. Das BAG hatte unter anderem nachgefragt, welche Anforderungen sich für eine Betriebsvereinbarung aus der DSGVO ergeben, wenn die Betriebsvereinbarung eine Datenverarbeitung regelt (22.9.2022, Az. 8 ZR 209/21 (A)).
DSGVO und Bundesdatenschutzgesetz (BDSG), sprich: der Datenschutz allgemein, gehören nicht zu den leichtesten Regelungen im deutschen Recht. Bevor Sie sich auf Systeme wie Workday einlassen, sollten Sie sich Feedback holen, z. B. vom Datenschutzbeauftragten. Das ist Ihr gutes Recht und dient schlussendlich der Arbeitssicherheit.
EuGH aufseiten des Mitarbeiters
Die Entscheidung: Art. 88 Abs. 1 und 2 DSGVO regelt Kollektivvereinbarungen, dass die Anforderungen aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO erfüllt sein müssen. Kollektivvereinbarungen sind z. B.
- Betriebsvereinbarungen
- Dienstvereinbarungen, aber auch
- Regelungsvereinbarungen.
Kollektivvereinbarungen müssen also auch das Kriterium der Erforderlichkeit der Datenverarbeitung einhalten. Auch wenn es bei der Aufstellung der Vorgaben in den Vereinbarungen für die Betriebsparteien Ermessensspielräume gibt, können die Kollektivvereinbarungen voll gerichtlich kontrolliert werden. Ohne jede Einschränkung darf die Einhaltung aller Voraussetzungen und Grenzen der DSGVO bezüglich der Einhaltung des Schutzes von personenbezogenen Daten kontrolliert werden.
Denken Sie beim Thema Datenschutz auch immer an die Fotos Ihrer Kolleginnen und Kollegen. Diese dürfen nicht einfach am Schwarzen Brett oder im Intranet prangen. Dies geht nur mit Einwilligung der betroffenen Person!
Das bezieht sich vor allen Dingen auch darauf, ob die Verarbeitung personenbezogener Daten im Sinne der Art. 5, 6 und 9 DSGVO „erforderlich“ ist. In einer Kollektivvereinbarung dürfen daher keine Regelungen getroffen werden, nach denen die Voraussetzung der Erforderlichkeit der Verarbeitung weniger streng wäre.
Auch darf auf die Erforderlichkeit nicht ganz verzichtet werden. Auch wenn die Kollektivvereinbarungen auf nationalen Regelungen beruhen, z. B. § 26 Abs. 4 BDSG, muss trotzdem die DSGVO eingehalten werden.
Wenn Sie Dienstvereinbarungen schließen, denken Sie immer daran, dass Sie nur in dem Bereich abschlussberechtigt sind, in dem es keine abschließende gesetzliche oder tarifvertragliche Regelung gibt.
Zudem liegt es in der Natur der Sache, dass Sie als Beschäftigtenvertretung immer versuchen, für die Beschäftigten günstige Regelungen in Ihren Dienstvereinbarungen zu treffen.
„Workday“ erinnert mich da doch eher an George Orwells Big Brother aus seinem weltbekannten Roman „1984“ …
Sie erhalten innerhalb von 24 Stunden Ihre Antwort!