Betriebsräte haben in Unternehmen eine wichtige Aufgabe, insbesondere im Hinblick auf den Schutz der Rechte der Beschäftigten. Doch wie sieht es im Bereich des Datenschutzes aus? Wie weit gehen die Befugnisse des Betriebsrats und welche Regelungen gelten hier? Ein aktuelles Urteil des Landesarbeitsgerichts Baden-Württemberg (Urteil vom 25. Februar 2020, Az. 17 Sa 37/20) gibt Aufschluss darüber.
Im vorliegenden Fall ging es um die Einführung eines cloudbasierten Personalinformationsmanagementsystems (PIMS) durch den Arbeitgeber. Zu Testzwecken wurden sowohl fiktive Testdaten als auch personenbezogene Echtdaten an die US-amerikanische Konzernmutter übermittelt und im PIMS verarbeitet. Zwischen Betriebsrat und Arbeitgeber bestand zwar eine Betriebsvereinbarung, in der festgelegt war, welche Beschäftigtendaten übertragen werden dürfen. Der Arbeitgeber übertrug jedoch auch weitere Daten, die nicht in der Vereinbarung vorgesehen waren.
Der betroffene Beschäftigte sah hierin eine rechtswidrige Verarbeitung seiner Daten und forderte immateriellen Schadensersatz. Das Gericht entschied, dass die Verarbeitung der nicht in der Betriebsvereinbarung vorgesehenen Daten weder auf § 26 Abs. 4 BDSG i.V.m. der Betriebsvereinbarung noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden kann. Auch die Zulässigkeit der Verarbeitung von Echtdaten zu Testzwecken auf Grundlage des § 26 Abs. 1 S. 1 BDSG bzw. des Art. 6 Abs. 1 S. 1 lit. f DSGVO scheiterte an der fehlenden Erforderlichkeit.
Das Urteil verdeutlicht, dass Betriebsvereinbarungen ein wichtiges Instrument zur Regelung der Verarbeitung personenbezogener Daten im Unternehmen darstellen können. Durch die Betriebsvereinbarungen haben die Betriebsparteien die Möglichkeit, die Art und Weise der Verarbeitung personenbezogener Daten genau festzulegen und somit eine rechtmäßige Verarbeitung sicherzustellen. Dabei ist es jedoch wichtig, dass die Betriebsvereinbarungen konkret und präzise formuliert sind und keine weitergehenden Verarbeitungen von personenbezogenen Daten erlauben, als tatsächlich erforderlich sind.
Zudem ist es wichtig zu beachten, dass Betriebsvereinbarungen nicht dazu genutzt werden dürfen, um die Verantwortung des Arbeitgebers für die Einhaltung der datenschutzrechtlichen Vorschriften zu umgehen. Der Arbeitgeber bleibt auch bei bestehenden Betriebsvereinbarungen verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften und muss sicherstellen, dass die Verarbeitung von personenbezogenen Daten durch den Betriebsrat rechtmäßig erfolgt.
Das Urteil des Landesarbeitsgerichts Baden-Württemberg zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Verfahren zur Verarbeitung personenbezogener Daten regelmäßig überprüfen und an aktuelle Gesetzeslagen anpassen. Eine enge Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bei der Erstellung und Anpassung von Betriebsvereinbarungen kann dabei helfen, rechtmäßige Verarbeitungen von personenbezogenen Daten sicherzustellen und potenzielle Rechtsverstöße zu vermeiden.
