Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.
Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der DSGVO einhalten müssen, da es sich um eine höherrangige Rechtsquelle handelt. Das heißt insbesondere, dass etwaige Regelungen in einer Betriebsvereinbarung nicht gegen die inhaltlichen Vorgaben der DSGVO verstoßen dürfen. Ansonsten droht die Unwirksamkeit der entsprechenden Regelungen und gegebenenfalls sogar der gesamten Betriebsvereinbarung.
Allerdings besteht noch Unsicherheit, inwieweit eine solche Betriebsvereinbarung die Vorgaben der DSGVO genau abbilden muss, welche Inhalte der DSGVO also zwingender Bestandteil einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Insbesondere gibt es hierzu, soweit ersichtlich, noch keine klärende Rechtsprechung.
Dies gilt auch für die sog. Datenschutz-Folgenabschätzung, sodass sich für die Betriebsparteien die Frage stellen kann, ob sie diese in eine etwaige Betriebsvereinbarung aufnehmen müssen.
Was ist eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen, die der Verantwortliche im Sinne des Datenschutzrechts vorzunehmen hat. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Arbeitnehmern, muss der Arbeitgeber als Verantwortlicher vorab eine Abschätzung der Folgen der geplanten Verarbeitung für den Schutz der Beschäftigtendaten durchführen.
Hat der Betriebsrat hinsichtlich der Datenschutz-Folgenabschätzung ein Mitbestimmungsrecht?
Zwar ist Art. 35 Abs. 9 DSGVO geregelt, dass „der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einholt“. Aus dieser Formulierung lässt sich aber kein zwingendes Mitbestimmungsrecht des Betriebsrats herleiten. Die weiche Formulierung der Vorschrift („…gegebenenfalls…“) spricht gegen ein solch zwingendes Mitbestimmungsrecht. Ob der Arbeitgeber letztlich den Standpunkt der betroffenen Personen oder ihrer Vertreter wirklich einholt, liegt in seinem Ermessen. Er kann selbst entscheiden, ob dies sachgemäß ist. Eine Verpflichtung zur Einschaltung des Betriebsrats wird hier gerade nicht begründet.
Dies zeigt auch der systematische Vergleich mit Art. 35. Abs. 2 DSGVO. Hier regelt der Verordnungsgeber eindeutig eine Verpflichtung des Arbeitgebers („Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“) Es findet sich gerade keine einschränkende Formulierung wie bei Art. 35 Abs. 9 DSGVO. Hätte der Verordnungsgeber eine zwingende Einbindung des Betriebsrats in die Datenschutz-Folgenabschätzung gewollt, hätte er eine dem Art. 35 Abs. 2 DSGVO vergleichbare Formulierung gewählt.
Datenschutz-Folgenabschätzung als primär faktischer Vorgang nicht zwingender Bestandteil einer Betriebsvereinbarung
Die Datenschutz-Folgenabschätzung ist auch nicht deshalb zwingender Bestandteil einer „IT-Betriebsvereinbarung“, weil sich eine Pflicht des Arbeitgebers zur Durchführung in Bezug auf die mit dem Betriebsrat zu verhandelnde technische Einrichtung ergibt. Die Datenschutz-Folgenabschätzung ist in erster Linie ein faktischer Vorgang zur Risikoermittlung. Sie muss zwar unter Umständen vorgenommen werden, ist aber nicht in den Regelungskomplex einer Betriebsvereinbarung mit ihrer normativen Wirkung einzubinden.
Der Arbeitgeber muss das Ergebnis der Datenschutz-Folgenabschätzung zwar dokumentieren, ist aber nicht gehalten, dies in der Betriebsvereinbarung selbst zu tun. Dies leuchtet ein, da der Betriebsrat unter Umständen im Rahmen des Mitbestimmungsprozesses Einfluss auf die Ausgestaltung der technischen Einrichtung nimmt, sodass die endgültige Datenschutz-Folgenabschätzung gegebenenfalls sogar erst nach der abgeschlossenen Mitbestimmung des Betriebsrats erfolgen kann.
Fazit
Die Datenschutz-Folgenabschätzung ist nicht zwingender Inhalt einer „IT-Betriebsvereinbarung“. Insbesondere hat der Betriebsrat nach dem Gesagten kein zwingendes Mitbestimmungsrecht in Bezug auf die Datenschutz-Folgenabschätzung als solche. Es steht im Ermessen des Arbeitgebers, ob er den Betriebsrat in die Datenschutz-Folgenabschätzung involvieren möchte.