Betriebsvereinbarung Datenschutz IT-Systeme Deutschland
BetrVG §87 Abs. 1 Nr. 6 | BDSG §26 | DSGVO Art. 6, 88 | BAG 1 ABR 25/14 | Verhaltenskontrolle
[Company Name]
[Company Address]
BETRIEBSVEREINBARUNG
Datenschutz und IT-Systeme im Betrieb
gemäß BetrVG §87 Abs. 1 Nr. 6 (technische Überwachungseinrichtungen)
BDSG §26 | DSGVO Art. 6, 88 | BAG 1 ABR 25/14
zwischen
[Company Name] (Arbeitgeber)
und
dem Betriebsrat des Betriebs [Betrieb Bezeichnung]
PRÄAMBEL
Arbeitgeber und Betriebsrat sind sich einig, dass der Einsatz von IT-Systemen im Betrieb klare Datenschutzregeln und den Schutz der Persönlichkeitsrechte der Arbeitnehmer erfordert. Diese Betriebsvereinbarung regelt den Umgang mit personenbezogenen Daten der Arbeitnehmer bei der Nutzung von IT-Systemen gemäß BetrVG §87 Abs. 1 Nr. 6, DSGVO Art. 6 und 88, BDSG §26 sowie unter Beachtung der Rechtsprechung des Bundesarbeitsgerichts, insbesondere BAG 1 ABR 25/14 vom 27.05.2014.
§1 — GELTUNGSBEREICH UND ERFASSTE IT-SYSTEME
§1 Abs. 1 Diese Betriebsvereinbarung gilt für alle Arbeitnehmer des Betriebs [Betrieb Bezeichnung] der [Company Name], einschließlich Teilzeitkräfte, befristet Beschäftigte und Leiharbeitnehmer (soweit sie IT-Systeme des Arbeitgebers nutzen).
§1 Abs. 2 Erfasste IT-Systeme (§87 Abs. 1 Nr. 6 BetrVG): [Erfasste Systeme].
§1 Abs. 3 Datenschutzbeauftragter: [Datenschutzbeauftragter] (DSGVO Art. 37, 38).
§2 — PRIVATE NUTZUNG DER IT-SYSTEME
§2 Abs. 1 Private Nutzung: [Privat Nutzung]. Arbeitnehmer bestätigen, diese Regelung gelesen und verstanden zu haben.
§2 Abs. 2 Konsequenzen bei erlaubter Privatnutzung: Bei erlaubter Privatnutzung gilt der Arbeitgeber hinsichtlich der privaten Kommunikation als Telekommunikationsanbieter nach TTDSG §3 Nr. 6. Die Inhalte privater Kommunikation dürfen nicht kontrolliert werden. Metadaten (Verbindungsdaten) dürfen nur zu IT-Sicherheitszwecken für [Speicherdauer] gespeichert werden.
§3 — ÜBERWACHUNG UND PROTOKOLLIERUNG
§3 Abs. 1 Art der Überwachung: [Ueberwachungs Art] (BAG 1 ABR 25/14 — Verhältnismäßigkeit).
§3 Abs. 2 Speicherdauer: Protokolldaten werden für [Speicherdauer] gespeichert. Nach Ablauf der Frist erfolgt automatische Löschung oder Anonymisierung (DSGVO Art. 5 Abs. 1 lit. e — Speicherbegrenzung).
§3 Abs. 3 Zugriffsberechtigungen: [Zugriffsberechtigungen]
§3 Abs. 4 Verhältnismäßigkeit (DSGVO Art. 5 Abs. 1 lit. c — Datenminimierung): Es werden nur diejenigen personenbezogenen Daten erhoben und verarbeitet, die für den jeweiligen Zweck zwingend erforderlich sind. Eine lückenlose individuelle Verhaltensüberwachung ist unzulässig.
§4 — RECHTSGRUNDLAGEN UND ZWECKE (DSGVO ART. 6, 88; BDSG §26)
§4 Abs. 1 Verarbeitung von Arbeitnehmerdaten: Die Verarbeitung personenbezogener Daten der Arbeitnehmer im Zusammenhang mit der IT-Nutzung erfolgt auf folgenden Rechtsgrundlagen: (a) BDSG §26 Abs. 1 Satz 1 — zur Durchführung des Beschäftigungsverhältnisses (z.B. dienstliche E-Mails); (b) DSGVO Art. 88 i.V.m. BDSG §26 Abs. 1 Satz 2 — zur Aufdeckung von Straftaten (nur bei dokumentiertem Anfangsverdacht); (c) Betriebsvereinbarung als Erlaubnistatbestand nach Art. 88 DSGVO.
§4 Abs. 2 Auskunftsrecht der Arbeitnehmer (DSGVO Art. 15): [Auskunftsrecht]
§4 Abs. 3 Weitere DSGVO-Rechte: Arbeitnehmer haben nach DSGVO Art. 16 (Berichtigung), Art. 17 (Löschung) und Art. 18 (Einschränkung der Verarbeitung) gegenüber dem Datenschutzbeauftragten [Datenschutzbeauftragter] geltend zu machende Rechte.
§5 — VERDACHTSFALL UND BETRIEBSRATSBETEILIGUNG
§5 Abs. 1 Verdachtsfall-Verfahren (BDSG §26 Abs. 1 Satz 2): [Verdachtsfall]
§5 Abs. 2 Betriebsratsbeteiligung: [Betriebsrat Recht] (BetrVG §87 Abs. 1 Nr. 6).
§5 Abs. 3 Verwertungsverbot: Daten, die unter Verletzung dieser Betriebsvereinbarung oder der DSGVO erhoben wurden, dürfen in keinem arbeitsrechtlichen Verfahren (Abmahnung, Kündigung, Klagewiderlegung) verwendet werden (Beweisverwertungsverbot).
§6 — INKRAFTTRETEN UND KÜNDIGUNG
§6 Abs. 1 Inkrafttreten: Diese Betriebsvereinbarung tritt am [Effective Date] in Kraft.
§6 Abs. 2 Kündigung: Die Betriebsvereinbarung kann mit einer Frist von [Notice Period] gekündigt werden (§77 Abs. 5 BetrVG). Nach Kündigung wirken die Regelungen nach §77 Abs. 6 BetrVG nach.
§6 Abs. 3 Änderungen der IT-Systeme: Bei wesentlichen Änderungen der erfassten IT-Systeme oder der Überwachungsmaßnahmen sind Arbeitgeber und Betriebsrat zur Neuverhandlung verpflichtet. Der Betriebsrat ist über geplante Änderungen mit angemessener Frist vorab zu informieren.
§6 Abs. 4 Salvatorische Klausel: Sollte eine Bestimmung dieser BV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
[Signature City], den [Signature Date]
Für den Arbeitgeber: Für den Betriebsrat:
____________________________ ____________________________
[Employer Signer] [Works Council Chair]
[Company Name] Betriebsratsvorsitzende/r
(Firmenstempel)
Arbeitgeber (Geschäftsführer / IT / HR)
________________
Signature
Betriebsratsvorsitzende/r
________________
Signature
Was ist Betriebsvereinbarung Datenschutz IT-Systeme Deutschland?
Die Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland ist in BetrVG § 87 Abs. 1 Nr. 6 (technische Überwachung) geregelt. Die Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland muss zwei Regelungsebenen integrieren: Das Datenschutzrecht (DSGVO und BDSG) und das Mitbestimmungsrecht (BetrVG). DSGVO Art. 88 Abs. 1 ermächtigt Mitgliedstaaten ausdrücklich dazu, durch Kollektivvereinbarungen — also Betriebsvereinbarungen — spezifischere Regeln für die Verarbeitung personenbezogener Daten von Beschäftigten festzulegen. Das BDSG §26 regelt als nationale Umsetzungsnorm die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses und der Aufdeckung von Straftaten. Die Betriebsvereinbarung wirkt in diesem Kontext als Erlaubnistatbestand nach Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) bzw. Art. 6 Abs. 1 lit. b (Erfüllung eines Vertrags) in Verbindung mit Art. 88 DSGVO.
Das Bundesarbeitsgericht hat in seiner Grundsatzentscheidung BAG 1 ABR 25/14 vom 27. Mai 2014 die Grenzen der zulässigen IT-Überwachung von Arbeitnehmern klar definiert: Eine lückenlose und dauerhafte individuelle Verhaltenskontrolle — auch durch technische Protokollierungssysteme — verletzt das allgemeine Persönlichkeitsrecht der Arbeitnehmer (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) und ist unverhältnismäßig (DSGVO Art. 5 Abs. 1 lit. c — Datenminimierung). Nur anlassbezogene Kontrolle bei dokumentiertem konkretem Verdacht (BDSG §26 Abs. 1 Satz 2) ist zulässig.
Das Portal forms-legal.com stellt diese Vorlage zur rechtssicheren Gestaltung der IT-Datenschutz-BV zur Verfügung. Verwandte Dokumente: Betriebsvereinbarung Homeoffice/Mobiles Arbeiten (BetrVG §87 Nr. 14), Betriebsvereinbarung IT-Nutzung, Betriebsvereinbarung Datenschutz allgemein.
Wann brauchen Sie Betriebsvereinbarung Datenschutz IT-Systeme Deutschland?
Eine Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland ist in folgenden Situationen zwingend erforderlich oder dringend empfohlen:
Bei Einführung neuer technischer Überwachungssysteme: Jedes neue IT-System, das geeignet ist, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen, unterliegt dem zwingenden Mitbestimmungsrecht des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG. Dies gilt insbesondere für: E-Mail-Monitoring-Systeme, Internet-Proxy-Logs, Zeiterfassungssysteme (elektronisch), Zutrittskontrollsysteme (Badge, Fingerabdruck, Gesichtserkennung), Kamerasysteme (CCTV) im Betrieb, Mobile Device Management (MDM) für Dienstgeräte, ERP/CRM-Systeme mit Aktivitätsprotokollierung.
Bei Änderung bestehender IT-Systeme: Wenn bestehende IT-Systeme wesentlich geändert werden — neue Protokollierungsfunktionen, neue Auswertungsmöglichkeiten, Erweiterung des Nutzerkreises — ist eine Betriebsratsbeteiligung erforderlich. Auch die Einführung von KI-basierten Auswertungssystemen (z.B. automatisierte Leistungsauswertung in CRM-Systemen) fällt unter §87 Abs. 1 Nr. 6 BetrVG.
Bei DSGVO-Compliance-Anforderungen: Unternehmen mit mehr als 20 Beschäftigten (BDSG §38: Pflicht zur Bestellung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen) oder Unternehmen, die regelmäßig besondere Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten) verarbeiten, sind besonders auf eine DSGVO-konforme BV angewiesen. Die BV dient zugleich als Nachweis der DSGVO-Compliance nach DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht).
Bei Verdacht auf Arbeitnehmer-Datenschutzverstöße: Wenn ein Arbeitgeber ohne Betriebsvereinbarung personenbezogene Arbeitnehmerdaten aus IT-Systemen für Abmahnungen oder Kündigungen verwendet, droht ein Beweisverwertungsverbot im arbeitsgerichtlichen Verfahren. Arbeitsgericht (ArbG) und Landesarbeitsgericht (LAG) haben wiederholt DSGVO-widrig erhobene Beweise nicht zugelassen.
Was gehört in Ihr Betriebsvereinbarung Datenschutz IT-Systeme Deutschland?
Eine ordnungsgemäße Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland muss folgende Kernelemente enthalten:
Abschließende Auflistung der erfassten IT-Systeme: Die BV muss alle IT-Systeme auflisteten, die dem Mitbestimmungsrecht nach §87 Abs. 1 Nr. 6 BetrVG unterliegen. Dies erfordert eine genaue Bestandsaufnahme der eingesetzten Systeme: E-Mail (Outlook, Exchange), Internet (Browser-Monitoring, Proxy), Telefonie (VoIP, Teams, Zoom), Zeiterfassung (elektronisch), Zutrittskontrolle (Badge), Kamera (CCTV), ERP/CRM (SAP, Salesforce), MDM (Mobile Device Management). Für jedes System müssen Zweck, Art der Datenerhebung und Speicherdauer angegeben werden.
Regelung zur Privatnutzung: Die BV muss klar regeln, ob private Nutzung der IT-Systeme erlaubt oder verboten ist. Diese Entscheidung hat erhebliche Auswirkungen auf die Überwachungsmöglichkeiten: Bei erlaubter Privatnutzung gilt der Arbeitgeber als Telekommunikationsanbieter nach TTDSG und darf private Kommunikationsinhalte nicht überwachen (BAG 1 ABR 25/14). Bei verbotener Privatnutzung ist die Überwachung zur Missbrauchskontrolle nach BDSG §26 leichter zulässig — aber auch dann nur verhältnismäßig (DSGVO Art. 5 Abs. 1 lit. c).
Überwachungsart und Verhältnismäßigkeit: Die BV muss klar festlegen, ob und in welchem Umfang IT-Nutzung überwacht wird. BAG 1 ABR 25/14 verlangt: Keine anlasslose lückenlose individuelle Verhaltenskontrolle; Überwachung nur bei konkretem Verdacht (BDSG §26 Abs. 1 Satz 2) oder für IT-Sicherheitszwecke (anonymisiert). Systemprotokolle für IT-Sicherheit sind zulässig; individuelle Aktivitätsprofile ohne Verdacht sind unverhältnismäßig. DSGVO Art. 5 Abs. 1 lit. c — Datenminimierung: Nur die für den Zweck unbedingt notwendigen Daten erheben.
Beweisverwertungsverbot und DSGVO-Rechte: Die BV muss ein ausdrückliches Beweisverwertungsverbot für DSGVO-widrig erhobene Daten enthalten. Arbeitnehmer-Datenschutzrechte (DSGVO Art. 15 — Auskunft, Art. 16 — Berichtigung, Art. 17 — Löschung) müssen erklärt und das Verfahren zur Geltendmachung (Antrag an Datenschutzbeauftragten) geregelt sein. Das Portal forms-legal.com empfiehlt, den Datenschutzbeauftragten (intern oder extern) namentlich in der BV zu nennen. Verwandte Dokumente: Betriebsvereinbarung Homeoffice/Mobiles Arbeiten, IT-Nutzungsordnung.
So füllen Sie Ihr Betriebsvereinbarung Datenschutz IT-Systeme Deutschland aus
Das Ausfüllen der Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland erfordert eine gründliche Bestandsaufnahme der IT-Systeme und enge Zusammenarbeit zwischen HR, IT-Abteilung, Datenschutzbeauftragtem und Betriebsrat.
Schritt 1 — IT-Systeme inventarisieren: Erstellen Sie eine vollständige Liste aller im Betrieb eingesetzten IT-Systeme, die Arbeitnehmerdaten verarbeiten. Unterscheiden Sie zwischen aktiven Systemen (explizit auf das Verhalten gerichtet: Zeiterfassung, Kamera, CRM-Aktivitätslog) und passiven Systemen (protokollieren im Hintergrund: Netzwerklogs, E-Mail-Server-Logs, Proxy-Logs). Für jeden Systemtyp: Art der erfassten Daten, Zweck, Speicherdauer, Zugriffsberechtigungen.
Schritt 2 — Privatnutzungsregel festlegen: Entscheiden Sie, ob private Nutzung der IT-Systeme erlaubt, eingeschränkt erlaubt oder verboten sein soll. Beachten Sie die TTDSG-Folgen bei erlaubter Privatnutzung: Arbeitgeber als Telekommunikationsanbieter — Inhaltskontrolle unzulässig. Bei verbotener Privatnutzung: Klarere Überwachungsmöglichkeiten, aber kein Selbstläufer (Verhältnismäßigkeit nach BAG 1 ABR 25/14).
Schritt 3 — Überwachungskonzept definieren: Legen Sie die zulässigen Überwachungsmaßnahmen fest. IT-Sicherheitsprotokollierung (anomymisiert, für 7–30 Tage): in der Regel zulässig ohne Betriebsrats-Zustimmung im Einzelfall. Anlassbezogene individuelle Kontrolle (bei konkretem Verdacht): nur mit dokumentiertem Anfangsverdacht und nach BDSG §26 Abs. 1 Satz 2 — hier empfiehlt sich Betriebsratsbeteiligung. Lückenlose individuelle Verhaltensüberwachung: nach BAG 1 ABR 25/14 und DSGVO Art. 5 Abs. 1 lit. c unzulässig.
Schritt 4 — DSGVO-Compliance sicherstellen: Erstellen Sie einen TOMs-Katalog (technische und organisatorische Maßnahmen nach DSGVO Art. 32). Prüfen Sie, ob eine Datenschutzfolgenabschätzung (DSGVO Art. 35) erforderlich ist (bei systematischer Überwachung von Arbeitnehmern: ja). Benennen Sie den Datenschutzbeauftragten (intern oder extern nach DSGVO Art. 37). Ergänzen Sie das Verzeichnis von Verarbeitungstätigkeiten (DSGVO Art. 30) um die in der BV geregelten Verarbeitungen.
Schritt 5 — Betriebsrat einbeziehen und BV abschließen: Der Betriebsrat hat nach §87 Abs. 1 Nr. 6 BetrVG ein initiativrechtliches Mitbestimmungsrecht — er kann die Regelung der IT-Überwachung aktiv einfordern. Handeln Sie die BV aus, unterzeichnen Sie und machen Sie die BV nach §77 Abs. 2 BetrVG bekannt.
Rechtliche Anforderungen für Betriebsvereinbarung Datenschutz IT-Systeme Deutschland
Die rechtlichen Anforderungen an die Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland ergeben sich aus einem komplexen Zusammenspiel von BetrVG, DSGVO, BDSG, TTDSG und Rechtsprechung.
Mitbestimmungsrecht nach BetrVG §87 Abs. 1 Nr. 6: Das Mitbestimmungsrecht des Betriebsrats bei Einführung und Anwendung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ist eines der stärksten betriebsverfassungsrechtlichen Rechte. Es greift objektiv: Die Überwachungseignung des Systems reicht aus — ob der Arbeitgeber tatsächlich überwachen will, ist irrelevant. Das BAG hat den Begriff „geeignet" weit ausgelegt: Auch IT-Systeme, die primär anderen Zwecken dienen (ERP-Systeme, Zeiterfassungssysteme), aber als Nebeneffekt Arbeitnehmerverhalten protokollieren, unterliegen §87 Abs. 1 Nr. 6 BetrVG. Fehlt die Betriebsratsbeteiligung, kann der Betriebsrat beim Arbeitsgericht (ArbG) im Beschlussverfahren auf Unterlassung der Nutzung des Systems klagen.
Beschäftigtendatenschutz nach BDSG §26: BDSG §26 Abs. 1 Satz 1 erlaubt die Verarbeitung von Arbeitnehmerdaten, soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung erforderlich ist. Strenger Maßstab bei Straftaten-Aufklärung: BDSG §26 Abs. 1 Satz 2 erlaubt die Verarbeitung nur bei dokumentiertem Anfangsverdacht, wenn die Verarbeitung verhältnismäßig ist. E-Mail-Kontrollen und Internet-Monitoring zur Straftataufklärung ohne Anfangsverdacht sind nach BDSG §26 Abs. 1 Satz 2 rechtswidrig.
BAG 1 ABR 25/14 — Verhältnismäßigkeit der IT-Überwachung: Das BAG hat mit Beschluss vom 27. Mai 2014 (1 ABR 25/14) entschieden, dass ein Keylogger-System (Aufzeichnung aller Tastatureingaben und Bildschirmaufnahmen), das lückenlos alle Aktivitäten des Arbeitnehmers protokolliert, unverhältnismäßig ist und das allgemeine Persönlichkeitsrecht des Arbeitnehmers (Art. 2 Abs. 1 GG) verletzt — selbst wenn der Arbeitnehmer in der BV eingewilligt hätte. Der Verhältnismäßigkeitsgrundsatz (Geeignetheit, Erforderlichkeit, Angemessenheit) ist auch durch Betriebsvereinbarung nicht abbedingbar.
DSGVO Art. 88 — Betriebsvereinbarung als Rechtsgrundlage: DSGVO Art. 88 Abs. 1 erlaubt es, durch Kollektivvereinbarungen — also Tarifverträge und Betriebsvereinbarungen — spezifischere Regeln für die Verarbeitung von Beschäftigtendaten festzulegen. Die Betriebsvereinbarung kann als Erlaubnistatbestand nach Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) oder als Teil der berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO fungieren. DSGVO Art. 88 Abs. 2 schränkt ein: Die BV muss geeignete und spezifische Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und Grundrechte enthalten.
DSGVO Art. 88 und BDSG SS 26 -- Beschäftigtendatenschutz: DSGVO Art. 88 erlaubt den Mitgliedstaaten, spezifischere Vorschriften zum Schutz der Rechte und Freiheiten bei der Verarbeitung personenbezogener Beschäftigtendaten zu erlassen. Deutschland hat dies durch SS 26 BDSG getan. Die Datenschutz-IT-BV muss sicherstellen, dass jede Verarbeitung von Beschäftigtendaten auf eine der Erlaubnisgrundlagen des SS 26 BDSG oder DSGVO Art. 6 gestützt ist: Erforderlichkeit für das Beschäftigungsverhältnis (SS 26 Abs. 1 BDSG), Einwilligung (SS 26 Abs. 2 BDSG), oder Betriebsvereinbarung als Rechtsgrundlage (SS 26 Abs. 4 BDSG).
Mitbestimmungsrecht bei technischer Überwachung (BetrVG SS 87 Abs. 1 Nr. 6): Das zwingende Mitbestimmungsrecht des Betriebsrats nach SS 87 Abs. 1 Nr. 6 BetrVG erfasst die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies gilt für IT-Systeme, die Tastatureingaben protokollieren, Surfverhalten auswerten, E-Mails scannen oder Bildschirminhalte erfassen. BAG 1 ABR 25/14 vom 13. Januar 2015 hat klargestellt, dass bereits die abstrakte Eignung eines IT-Systems zur Verhaltens- und Leistungskontrolle das Mitbestimmungsrecht auslöst.
Löschkonzept und Datensparsamkeit (DSGVO Art. 5 Abs. 1 e): DSGVO Art. 5 Abs. 1 lit. e schreibt das Prinzip der Speicherbegrenzung vor: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Die Datenschutz-IT-BV muss ein Löschkonzept enthalten, das für jede Datenkategorie (Log-Dateien, E-Mails, Zugangsprotokolle) konkrete Aufbewahrungsfristen und automatische Loeschroutinen vorschreibt. Ohne Löschkonzept verstösst die Datenverarbeitung gegen DSGVO Art. 5 Abs. 1 lit. e und Art. 17 (Recht auf Löschung).
Häufige Fehler bei Ihrem Betriebsvereinbarung Datenschutz IT-Systeme Deutschland
Häufige Fehler bei der Betriebsvereinbarung Datenschutz IT-Systeme in Deutschland mit erheblichen rechtlichen Risiken:
Fehlendes Mitbestimmungsverfahren nach §87 Abs. 1 Nr. 6 BetrVG: Der häufigste Fehler: Einführung neuer IT-Systeme (z.B. neues Zeiterfassungssystem, neues CRM mit Aktivitätslog) ohne Betriebsratsbeteiligung. Der Betriebsrat kann beim Arbeitsgericht (ArbG) auf Unterlassung der Systemnutzung klagen. Im Erfolgsfall darf das System erst nach Abschluss einer BV oder eines Einigungsstellenspruchs genutzt werden. Empfehlung: Vor Einführung jedes neuen IT-Systems den Betriebsrat informieren und prüfen, ob §87 Abs. 1 Nr. 6 BetrVG greift.
Verhältnismäßigkeitsverstoß durch lückenlose Überwachung: Viele Unternehmen protokollieren alle Aktivitäten aller Arbeitnehmer dauerhaft und vollständig (vollständige E-Mail-Inhalte, alle besuchten Webseiten mit Zeit und Dauer, Tastatureingaben). Dies ist nach BAG 1 ABR 25/14 und DSGVO Art. 5 Abs. 1 lit. c (Datenminimierung) unverhältnismäßig. Konsequenz: Beweisverwertungsverbot im Arbeitsgerichtsprozess; Haftungsrisiken nach DSGVO Art. 82 (Schadensersatz); Bußgeldhaftung nach DSGVO Art. 83.
Fehlerhafte Privatnutzungsregelung ohne TTDSG-Folgenabschätzung: Viele BV-Muster enthalten eine pauschale Erlaubnis der Privatnutzung ohne die Konsequenz zu bedenken, dass der Arbeitgeber dann als Telekommunikationsanbieter gilt (TTDSG §3 Nr. 6). Damit ist eine Inhaltskontrolle privater E-Mails oder privat besuchter Webseiten strafbewehrt nach §206 StGB (Verletzung des Fernmeldegeheimnisses). Empfehlung: Bei erlaubter Privatnutzung klare Trennung zwischen dienstlichen Daten (kontrollierbar nach BDSG §26) und privaten Daten (nicht kontrollierbar nach TTDSG).
Kein Beweisverwertungsverbot in der BV: Viele BV-Muster regeln zwar die Datenerhebung, aber nicht die Konsequenzen bei rechtswidriger Erhebung. Fehlt ein Beweisverwertungsverbot, riskiert der Arbeitgeber, dass Beweise aus DSGVO-widrigen Überwachungsmaßnahmen im Kündigungsschutzverfahren vor dem Arbeitsgericht (ArbG) nicht zugelassen werden. Das Landesarbeitsgericht (LAG) Berlin-Brandenburg (Urteil vom 18.11.2021, 21 Sa 1013/21) hat ausdrücklich ein Beweisverwertungsverbot für DSGVO-widrig erhobene E-Mail-Daten anerkannt.
Fehlende Datenschutz-Folgenabschätzung (DSGVO Art. 35) vor Einführung des IT-Systems: Wenn ein neues IT-System eine systematische Überwachung von Arbeitnehmern ermöglicht (z.B. Keylogger, Screen-Capture, umfassendes E-Mail-Monitoring), ist vor der Einführung eine Datenschutz-Folgenabschätzung (DPIA) nach DSGVO Art. 35 durchzuführen. Ohne DPIA ist die Datenverarbeitung rechtswidrig. Die Datenschutz-IT-BV muss sicherstellen, dass für hochriskante IT-Systeme eine DPIA durchgeführt und die Aufsichtsbehörde (Landesbeauftragte für Datenschutz) ggf. vorab konsultiert wird (Art. 36 DSGVO).
Keine Regelung der Mitarbeiterrechte (DSGVO Art. 13-15): Arbeitnehmer haben nach DSGVO Art. 13-15 Informations- und Auskunftsrechte über die Verarbeitung ihrer personenbezogenen Daten. Die Datenschutz-IT-BV muss sicherstellen, dass Arbeitnehmer über die Zwecke der Datenverarbeitung, die Kategorien verarbeiteter Daten, Empfänger und Speicherfristen informiert werden (Art. 13 DSGVO). Fehlende Datenschutzerklärungen für Mitarbeiter sind ein häufiger Verstoss bei Betriebsprüfungen durch Landesbeauftragte für Datenschutz.
Vermischung privater und dienstlicher Nutzung ohne klare Trennlinie: Viele Datenschutz-IT-BV erlauben eine begrenzte private Nutzung dienstlicher IT-Systeme, ohne die datenschutzrechtlichen Konsequenzen zu regeln. Wenn private Nutzung erlaubt ist, gelten für private Kommunikation besondere Schutzvorschriften (Telekommunikationsgeheimnis, SS 3 TTDSG). Klare Trennungsregeln sind erforderlich.
Kein Datenschutzbeauftragter benannt (DSGVO Art. 37): Betriebe, die gemäss DSGVO Art. 37 Abs. 1 lit. b verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu benennen, müssen dies in der Datenschutz-IT-BV dokumentieren. Das BDSG SS 38 verpflichtet Unternehmen zur Benennung eines DSB, wenn mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Fehlt ein DSB, ist dies ein Verstoss gegen DSGVO Art. 83 Abs. 4 mit Busssgeldrisiko bis zu 10 Millionen Euro.
Diese Seite zitieren
Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:
Forms Legal. (2026). Betriebsvereinbarung Datenschutz IT-Systeme Deutschland (Deutschland) [Legal document template]. Forms Legal. https://forms-legal.com/de/deutschland/employment/hr-forms/betriebsvereinbarung-datenschutz-it-systeme-deutschland
"Betriebsvereinbarung Datenschutz IT-Systeme Deutschland (Deutschland)." Forms Legal, 2026, https://forms-legal.com/de/deutschland/employment/hr-forms/betriebsvereinbarung-datenschutz-it-systeme-deutschland.
@misc{formslegal-betriebsvereinbarung-datenschutz-it-systeme-deutschland,
author = {{Forms Legal}},
title = {Betriebsvereinbarung Datenschutz IT-Systeme Deutschland (Deutschland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/de/deutschland/employment/hr-forms/betriebsvereinbarung-datenschutz-it-systeme-deutschland}},
note = {Free legal document template}
}Häufig gestellte Fragen
Das Mitbestimmungsrecht des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG greift bei jeder technischen Einrichtung, die geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Entscheidend ist die objektive Eignung zur Überwachung — nicht ob der Arbeitgeber tatsächlich überwachen will. Das BAG hat den Begriff sehr weit ausgelegt: E-Mail-Systeme (Zugriff auf Metadaten), Internet-Proxy-Logs (besuchte Webseiten), elektronische Zeiterfassungssysteme (Kommen/Gehen-Zeiten), Zutrittskontrollsysteme (Badge-Daten), Kamerasysteme (CCTV), ERP/CRM-Systeme mit Aktivitätsprotokollierung, Mobile Device Management (MDM), Keylogger und Screen Capture Software (BAG 1 ABR 25/14 — als unverhältnismäßig eingestuft). Nicht unter §87 Abs. 1 Nr. 6 fallen: IT-Systeme, die ausschließlich Sachinformationen verarbeiten (Produktions-Daten ohne Personenbezug), anonymisierte Statistiksysteme ohne Rückschlussmöglichkeit auf Einzelpersonen. Im Zweifel: Betriebsrat immer vor Einführung eines neuen IT-Systems informieren und Klärungsgespräch führen.
Ja, teilweise — die Betriebsvereinbarung kann nach DSGVO Art. 88 Abs. 1 als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten dienen. Sie substituiert aber nicht die DSGVO, sondern ergänzt sie: Der Arbeitgeber benötigt entweder eine DSGVO-Erlaubnisgrundlage nach Art. 6 DSGVO (z.B. Art. 6 Abs. 1 lit. b — Durchführung eines Vertrags, oder Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung nach BDSG §26) oder kann die BV als kollektivrechtliche Regelung i.S.v. Art. 88 DSGVO nutzen. ACHTUNG: Die BV kann keine unverhältnismäßigen Überwachungsmaßnahmen legitimieren, die gegen DSGVO Art. 5 (Grundsätze der Datenverarbeitung) verstoßen. BAG 1 ABR 25/14 stellt klar: Auch eine BV kann keine lückenlose individuelle Verhaltensüberwachung erlauben. Die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c), Zweckbindung (Art. 5 Abs. 1 lit. b) und Verhältnismäßigkeit gelten auch gegenüber Betriebsvereinbarungen.
Das hängt entscheidend davon ab, ob Privatnutzung erlaubt ist oder nicht. Bei verbotener Privatnutzung (nur dienstliche E-Mails): Der Arbeitgeber darf auf dienstliche E-Mail-Inhalte grundsätzlich zugreifen, wenn ein sachlicher Grund vorliegt (z.B. Urlaubsvertretung, Kundenanfragen weiterleiten). Für Kontrollzwecke (Missbrauchsverdacht) gilt BDSG §26 Abs. 1 Satz 2: Nur bei dokumentiertem konkreten Anfangsverdacht, nicht anlasslos. Bei erlaubter Privatnutzung: Private E-Mails unterliegen dem Fernmeldegeheimnis (Art. 10 GG, §206 StGB) — Inhaltseinsicht ist strafbar. Metadaten (wer hat mit wem wann kommuniziert) dürfen für IT-Sicherheitszwecke gespeichert werden. Konsequenz: Viele Anwälte empfehlen, Privatnutzung von E-Mails ausdrücklich zu verbieten, um klare Verhältnisse zu schaffen. Die BV sollte die Grenze zwischen dienstlichen und privaten E-Mails klar ziehen (z.B. Pflicht zur Kennzeichnung privater E-Mails im Betreff).
Wenn der Arbeitgeber ein IT-Überwachungssystem ohne Betriebsratsbeteiligung nach §87 Abs. 1 Nr. 6 BetrVG einführt oder nutzt, drohen folgende Konsequenzen: Unterlassungsklage des Betriebsrats: Der Betriebsrat kann beim Arbeitsgericht (ArbG) im Beschlussverfahren nach §2a ArbGG beantragen, dass der Arbeitgeber die Nutzung des Systems unterlässt, bis eine BV abgeschlossen wurde. Das ArbG kann eine einstweilige Verfügung erlassen. Beweisverwertungsverbot: Aus einem ohne BV installierten Überwachungssystem gewonnene Beweise (z.B. E-Mail-Screenshots, Internet-Logs) dürfen im Kündigungsschutzprozess nicht verwendet werden. Mehrere Landesarbeitsgerichte (LAG Berlin-Brandenburg, LAG Hessen) haben dies entschieden. Bußgeldrisiko nach DSGVO: Die Datenschutzbehörden (z.B. BayLDA, HmbBfDI, LfDI BW) können Bußgelder nach DSGVO Art. 83 Abs. 4 (bis 10 Millionen Euro oder 2% Jahresumsatz) verhängen, wenn die IT-Überwachung gegen BDSG §26 oder DSGVO Art. 5 verstößt. Schadensersatz nach DSGVO Art. 82: Betroffene Arbeitnehmer können immateriellen Schadensersatz geltend machen.
Kameras im Betrieb unterliegen dem strengsten Datenschutz- und Mitbestimmungsrecht. Mitbestimmung: Kamerasysteme fallen als klassische Verhaltensüberwachungseinrichtung unter §87 Abs. 1 Nr. 6 BetrVG — ohne BV oder Einigungsstellenspruch ist Videoüberwachung im Betrieb unzulässig. Datenschutzrecht: DSGVO Art. 5 Abs. 1 lit. c (Datenminimierung), Art. 13 (Informationspflicht — Hinweisschilder!), §4 BDSG (Videoüberwachung öffentlich zugänglicher Räume). Für betriebsinterne Bereiche gilt §26 BDSG. Zulässige Kameras: Zugangsbereiche (Eingang, Parkplatz — für Sicherheit), Kassierbereiche im Einzelhandel (Diebstahlprävention), Bereiche mit Sicherheitsrisiken (Chemiewerk, Serverraum). Unzulässige Kameras: Dauerüberwachung von Arbeitsplätzen, Toiletten/Umkleideräumen, Aufenthaltsräumen. Speicherdauer: In der Regel 48–72 Stunden, bei konkretem Verdachtsfall bis 10 Tage. Nach BAG 2 AZR 597/14 (20.10.2016): Videobeweis aus unzulässiger Überwachung ist im Prozess verwertbar, wenn die Verletzung des Persönlichkeitsrechts durch erhebliche Straftaten des Arbeitnehmers überwiegt — dieser Einzelfall-Abwägungsgrundsatz ist jedoch die Ausnahme.
Ja — das Recht auf Auskunft nach DSGVO Art. 15 gilt vollumfänglich auch im Beschäftigungskontext. Der Arbeitnehmer kann beim Arbeitgeber (oder dem Datenschutzbeauftragten) schriftlich beantragen, welche personenbezogenen Daten über ihn verarbeitet werden — einschließlich IT-Protokolldaten, Zeiterfassungsdaten, Kameradaten. Der Arbeitgeber muss innerhalb eines Monats antworten (DSGVO Art. 12 Abs. 3). Die Antwort muss enthalten: welche Daten vorhanden sind, zu welchem Zweck sie verarbeitet werden, wie lange sie gespeichert werden, wer Zugang hat, ob eine Weitergabe an Dritte stattfindet. Einschränkung: Dritte (andere Arbeitnehmer) dürfen nicht identifiziert werden — Daten Dritter sind ggf. zu schwärzen. Der Arbeitgeber kann die Auskunft bei unverhältnismäßigem Aufwand ablehnen (DSGVO Art. 12 Abs. 5), muss dies aber begründen. Tipp: Der Auskunftsanspruch kann im Kündigungsschutzverfahren taktisch eingesetzt werden, um mehr über vorhandene Überwachungsdaten zu erfahren.
Nein — die Betriebsvereinbarung kann die DSGVO-Grundrechte der Arbeitnehmer nicht abbedingen oder wesentlich einschränken. DSGVO Art. 88 Abs. 2 setzt klare Grenzen: Die BV muss geeignete und spezifische Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und Grundrechte der betroffenen Person umfassen. Konkret bedeutet dies: Die BV kann keine Einwilligung der Arbeitnehmer in Totalüberwachung ersetzen — Einwilligungen im Beschäftigungskontext sind nach DSGVO Erwägungsgrund 43 grundsätzlich nicht freiwillig und damit in der Regel unwirksam. Die BV kann keine Auskunftsrechte nach DSGVO Art. 15 vollständig ausschließen. Die BV kann keine Überwachungsmaßnahmen regeln, die DSGVO Art. 5 (Grundsätze: Rechtmäßigkeit, Datenminimierung, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität) widersprechen. Was die BV kann: Die Art und Weise der Ausübung von DSGVO-Rechten im Beschäftigungskontext regeln (z.B. Antragsformular für Auskunftsbegehren), und konkrete Schutzmaßnahmen festlegen, die über die DSGVO-Mindestanforderungen hinausgehen.
Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss
Fehler gefunden? Sagen Sie uns BescheidVerwandte Dokumente
Diese Dokumente könnten ebenfalls nützlich sein:
Betriebsvereinbarung Homeoffice und Mobiles Arbeiten Deutschland
Muster Betriebsvereinbarung Homeoffice und Mobiles Arbeiten Deutschland gemäß BetrVG §87 Abs. 1 Nr. 7, 14; §106 GewO; ArbStättV; BAG 9 AZR 245/19; DSGVO Art. 32. Hybrides Arbeitsmodell, Datenschutz, Unfallschutz, Kostenerstattung.
Betriebsvereinbarung IT-Nutzung
Betriebsvereinbarung zur IT-Nutzung gemäß BetrVG §87 Abs. 1 Nr. 6 und DSGVO Art. 88. Regelt private Nutzung, Protokollierung und Datenschutz.
Betriebsvereinbarung Datenschutz / IT-Nutzung Deutschland
Betriebsvereinbarung zu Datenschutz und IT-Nutzung für Unternehmen in Deutschland — geregelt durch BetrVG §87 Nr. 6, DSGVO Art. 88 und BDSG §26. Regelt Beschäftigtendaten, zulässige IT-Nutzung, Überwachungsgrenzen und Sanktionen.
Betriebsvereinbarung Muster Deutschland (BetrVG §77)
Allgemeines Betriebsvereinbarung-Muster für Deutschland nach BetrVG §77 — mit unmittelbarer und zwingender Normwirkung, Schriftformerfordernis, Bekanntmachungspflicht und dreimonatiger Kündigungsfrist für Betriebsrat und Arbeitgeber.