Works Agreement on Data Protection and IT Use Germany
BetrVG §87 Abs. 1 Nr. 6 | DSGVO Art. 88 | BDSG §26
BETRIEBSVEREINBARUNG
Datenschutz und IT-Nutzung
gemäß BetrVG §87 Abs. 1 Nr. 6 | DSGVO Art. 88 | BDSG §26
§ 1 VERTRAGSPARTEIEN
Zwischen dem Arbeitgeber [Arbeitgeber], [Unternehmensanschrift], und dem Betriebsrat des Betriebs [Betrieb] wird folgende Betriebsvereinbarung zu Datenschutz und IT-Nutzung geschlossen.
§ 2 ZWECK UND RECHTSGRUNDLAGE
(1) Diese Betriebsvereinbarung regelt die Einführung und Nutzung von IT-Systemen im Betrieb, die zur Überwachung von Verhalten oder Leistung der Arbeitnehmer geeignet sind (§87 Abs. 1 Nr. 6 BetrVG), sowie die datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Beschäftigtendaten nach §26 BDSG i.V.m. DSGVO Art. 88.
(2) Diese Betriebsvereinbarung dient als kollektivrechtliche Grundlage für die geregelten Datenverarbeitungen und ersetzt eine individuelle Einwilligung der einzelnen Arbeitnehmer nach DSGVO Art. 7 für die in dieser Vereinbarung beschriebenen Datenverarbeitungen.
§ 3 ERFASSTE IT-SYSTEME
(1) Diese Betriebsvereinbarung gilt für folgende IT-Systeme: [IT-Systeme].
(2) Für jedes erfasste IT-System gilt: Die Datenverarbeitung ist auf den jeweiligen Betriebszweck beschränkt (Zweckbindung nach DSGVO Art. 5 Abs. 1 lit. b). Daten werden nicht für Zwecke verarbeitet, die mit dem ursprünglichen Erhebungszweck unvereinbar sind.
(3) Bei Einführung neuer IT-Systeme, die zur Verhaltens- oder Leistungskontrolle geeignet sind, ist der Betriebsrat nach §87 Abs. 1 Nr. 6 BetrVG vor Inbetriebnahme zu beteiligen.
§ 4 PRIVATE IT-NUTZUNG
(1) Regelung zur privaten IT-Nutzung: [Private IT-Nutzung].
(2) Arbeitnehmer werden darauf hingewiesen, dass der Umfang der Kontrollmöglichkeiten des Arbeitgebers von der Regelung zur privaten Nutzung abhängt. Bei gestatteter privater Nutzung des betrieblichen E-Mail-Systems können die Inhalte privater E-Mails dem Fernmeldegeheimnis nach Art. 10 GG und §88 TKG unterliegen.
§ 5 KONTROLLRECHTE UND -GRENZEN
(1) Zulässige Kontrollen: [Kontrollumfang].
(2) Verfahren bei anlassbezogener Kontrolle: [Kontrollverfahren].
(3) Verdeckte Überwachungsmaßnahmen ohne konkreten Tatverdacht sind unzulässig. Erkenntnisse aus unzulässigen Überwachungsmaßnahmen können einem Beweisverwertungsverbot unterliegen (BAG 2 AZR 597/12).
§ 6 SPEICHERFRISTEN UND LÖSCHUNG
(1) Protokolldaten (Verbindungsdaten, Login-Zeiten, besuchte Websites): Aufbewahrung für [Protokolldaten-Aufbewahrung] Tage, danach automatische Löschung.
(2) Videoaufnahmen: Aufbewahrung für [Video-Aufbewahrung] Stunden, danach automatische Löschung. Bei Vorfällen: Sicherung der betreffenden Aufnahme für die Dauer des Verfahrens.
(3) Arbeitszeitdaten: Mindestens zwei Jahre nach §16 Abs. 2 ArbZG; Lohnunterlagen nach §257 HGB und §147 AO sechs oder zehn Jahre.
§ 7 RECHTE DER BETROFFENEN ARBEITNEHMER
(1) Arbeitnehmer haben nach DSGVO Art. 15–22 das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. Auskunftsersuchen sind an den betrieblichen Datenschutzbeauftragten oder die HR-Abteilung zu richten.
(2) Der Betriebsrat hat nach §80 Abs. 1 Nr. 1 BetrVG darüber zu wachen, dass die Datenschutzvorschriften eingehalten werden, und nach §80 Abs. 2 BetrVG ein Informationsrecht.
§ 8 INKRAFTTRETEN UND KÜNDIGUNG
(1) Diese Betriebsvereinbarung tritt am [Inkrafttreten] in Kraft.
(2) Sie kann mit dreimonatiger Frist zum Quartalsende schriftlich gekündigt werden (§77 Abs. 5 BetrVG). Für Angelegenheiten mit erzwingbarem Mitbestimmungsrecht gilt die Nachwirkung nach §77 Abs. 6 BetrVG.
[Unterzeichnungsort], den [Unterzeichnungsdatum]
Für den Arbeitgeber: [Arbeitgeber]
Unterschrift: _________________________ Datum: _________________________
Für den Betriebsrat: [Betrieb]
Betriebsratsvorsitzende(r): _________________________
Unterschrift: _________________________ Datum: _________________________
Arbeitgeber (Geschäftsführer)
________________
Signature
Betriebsratsvorsitzende(r)
________________
Signature
What Is a Works Agreement on Data Protection and IT Use Germany?
Die Betriebsvereinbarung Datenschutz / IT-Nutzung in Deutschland ist in BetrVG §87 Abs. 1 Nr. 6 (Mitbestimmung technische Überwachung) geregelt. Das Mitbestimmungsrecht des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG ist der zentrale Anknüpfungspunkt: Der Betriebsrat hat mitzubestimmen bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind oder geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das Bundesarbeitsgericht (BAG 1 ABR 16/86; BAG 1 ABR 85/21) hat diesen Begriff weit ausgelegt: Erfasst sind nicht nur klassische Überwachungssysteme wie Videoüberwachung oder Zutrittskontrollanlagen, sondern auch E-Mail-Systeme, Internet-Proxy-Server, Kommunikationsplattformen (Microsoft Teams, Zoom, Slack), Arbeitszeiterfassungssoftware und GPS-Tracking-Systeme.
Art. 88 DSGVO räumt den Mitgliedstaaten ausdrücklich die Möglichkeit ein, spezifischere Regelungen für die Verarbeitung personenbezogener Daten im Beschäftigungskontext durch Kollektivvereinbarungen zu treffen. §26 Abs. 4 BDSG setzt dies um: Betriebsvereinbarungen können als kollektivrechtliche Grundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis dienen — auch wenn keine individuellen Einwilligungen nach Art. 7 DSGVO vorliegen. Die Betriebsvereinbarung ersetzt damit die Einwilligung des einzelnen Arbeitnehmers für die in ihr geregelten Datenverarbeitungen.
Gleichzeitig darf eine Betriebsvereinbarung nicht gegen DSGVO-Grundsätze verstoßen: Sie muss nach Art. 5 DSGVO die Grundsätze der Zweckbindung, Datenminimierung, Speicherbegrenzung und Integrität / Vertraulichkeit einhalten. Auch das allgemeine Persönlichkeitsrecht der Arbeitnehmer nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und das Fernmeldegeheimnis nach Art. 10 GG sowie §88 TKG sind zu beachten — insbesondere wenn der Arbeitgeber private E-Mail-Nutzung gestattet und damit faktisch zum Anbieter eines Telekommunikationsdienstes werden könnte.
When Do You Need a Works Agreement on Data Protection and IT Use Germany?
Eine Betriebsvereinbarung zu Datenschutz und IT-Nutzung in Deutschland wird in folgenden Situationen benötigt:
Einführung neuer IT-Systeme: Jede Einführung einer technischen Einrichtung, die zur Überwachung von Verhalten oder Leistung der Arbeitnehmer geeignet ist (§87 Abs. 1 Nr. 6 BetrVG), erfordert die Zustimmung des Betriebsrats. Dies gilt für E-Mail-Systeme, Videokonferenzplattformen, ERP-Systeme (SAP), CRM-Systeme, Zeiterfassungs-Apps und Zutrittskontrollanlagen.
Datenschutzkonforme Grundlage für Beschäftigtendaten: Unternehmen, die Beschäftigtendaten verarbeiten — Leistungsdaten, Krankentage, GPS-Daten von Dienstfahrzeugen, Verkaufskennzahlen — benötigen eine DSGVO-konforme Rechtsgrundlage nach Art. 6 DSGVO oder §26 BDSG. Die Betriebsvereinbarung ist die bevorzugte Rechtsgrundlage, da sie eine kollektivrechtliche Legitimation schafft.
Private IT-Nutzung am Arbeitsplatz: Ob und in welchem Umfang Arbeitnehmer betriebliche IT-Geräte oder Internetanschlüsse privat nutzen dürfen, ist häufig unklar. Die Betriebsvereinbarung schafft klare Regeln und schützt sowohl den Arbeitgeber vor Haftung für private Inhalte als auch den Arbeitnehmer vor willkürlichen Kontrollen.
Videoüberwachung im Betrieb: Die Installation von Videokameras im Betrieb — ob zur Diebstahlprävention, Zutrittskontrolle oder Qualitätssicherung — unterliegt dem Mitbestimmungsrecht nach §87 Abs. 1 Nr. 6 BetrVG und muss nach DSGVO Art. 13 transparent gemacht werden. Die Betriebsvereinbarung legt fest, wo Kameras installiert werden dürfen, wie lange Aufnahmen gespeichert werden und wer Zugang hat.
BYOD und Mobile Device Management: Bei Nutzung privater Geräte (Smartphones, Tablets) für berufliche Zwecke (BYOD — Bring Your Own Device) entstehen komplexe datenschutzrechtliche Fragen. Die Betriebsvereinbarung regelt, welche MDM-Lösungen (Mobile Device Management) zulässig sind und wie der Zugriff auf private Daten verhindert wird.
What to Include in Your Works Agreement on Data Protection and IT Use Germany
Eine rechtswirksame Betriebsvereinbarung zu Datenschutz und IT-Nutzung in Deutschland muss folgende Kernbestandteile enthalten:
Zweck und Rechtsgrundlage: Benennung der Rechtsgrundlagen nach §26 BDSG i.V.m. DSGVO Art. 88 und BetrVG §87 Abs. 1 Nr. 6. Klarstellung, dass die Betriebsvereinbarung als kollektivrechtliche Grundlage für die geregelten Datenverarbeitungen gilt.
Katalog der IT-Systeme: Abschließende oder exemplarische Auflistung der erfassten IT-Systeme (E-Mail, Internet, Zeiterfassung, Videokonferenz, Zutrittskontrolle, GPS-Tracking). Für jedes System: Zweck, Art der verarbeiteten Daten, Zugriffsberechtigte, Speicherdauer.
Zulässige private IT-Nutzung: Klarstellung, ob und in welchem Umfang private Nutzung betrieblicher IT-Mittel gestattet ist. Wenn private Nutzung erlaubt ist: Abgrenzung von beruflicher und privater Kommunikation, Konsequenzen für die Reichweite möglicher Kontrollen (Fernmeldegeheimnis nach Art. 10 GG, §88 TKG).
Kontrollbefugnisse und Grenzen (DSGVO Art. 5; §26 BDSG): Welche Kontrollen sind dem Arbeitgeber erlaubt? Anlassbezogene Stichproben bei konkretem Missbrauchsverdacht (verhältnismäßig) vs. routinemäßige flächendeckende Überwachung (unverhältnismäßig und unzulässig). Verbot verdeckter Kontrollen ohne konkreten Verdacht (BAG 2 AZR 597/12).
Speicherfristen und Löschkonzept (DSGVO Art. 5 lit. e; Art. 17): Maximale Speicherdauer für Protokolldaten, Verbindungsdaten, Videoaufzeichnungen. Automatisierte Löschroutinen oder Festlegung manueller Löschprozesse.
Datenschutzbeauftragter und Betriebsrat-Rechte: Einbeziehung des betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO i.V.m. §38 BDSG. Informations- und Kontrollrechte des Betriebsrats nach §80 Abs. 1 und 2 BetrVG.
Sanktionen bei Verstößen: Klare Regelung der Konsequenzen bei Verstößen gegen die IT-Nutzungsrichtlinien — von Abmahnung bis zu verhaltensbedingter Kündigung nach KSchG. Hinweis, dass Verstöße auch strafrechtlich relevant sein können (§202a StGB — Ausspähen von Daten).
Das Portal forms-legal.com stellt dieses Muster als strukturierten Ausgangspunkt zur Verfügung. Verwandte Dokumente: Datenschutzerklärung Website und Betriebsvereinbarung Home Office.
How to Fill Out Your Works Agreement on Data Protection and IT Use Germany
Das Ausfüllen der Betriebsvereinbarung zu Datenschutz und IT-Nutzung erfordert die Einbeziehung des Datenschutzbeauftragten, der IT-Abteilung und des Betriebsrats.
Erster Schritt: IT-Systemkatalog erstellen. Inventarisieren Sie alle im Betrieb eingesetzten IT-Systeme, die Daten über Arbeitnehmer erzeugen oder verarbeiten können. Für jedes System: Zweck, Datenkategorien, Zugriffsberechtigte, Speicherdauer.
Zweiter Schritt: Datenschutz-Folgenabschätzung (DSFA). Prüfen Sie nach DSGVO Art. 35, ob eine DSFA erforderlich ist — etwa bei systematischer Überwachung von Arbeitnehmern im großen Maßstab (Art. 35 Abs. 3 lit. b DSGVO). Der Datenschutzbeauftragte ist nach Art. 35 Abs. 2 DSGVO einzubeziehen.
Dritter Schritt: Regelung der privaten IT-Nutzung. Entscheiden Sie: Totales Verbot privater Nutzung (einfachere Kontrollsituation), eingeschränkte private Nutzung (z.B. 15 Minuten täglich) oder liberale Regelung. Jede Variante hat rechtliche Konsequenzen für den Umfang möglicher Kontrollen.
Vierter Schritt: Kontrollrechte klar begrenzen. Legen Sie fest, welche Kontrollen anlassbezogen (bei konkretem Verdacht) und welche routinemäßig zulässig sind. Beschreiben Sie das Verfahren für anlassbezogene Kontrollen — wer entscheidet, wer führt durch, wer ist informiert, wird der Betriebsrat einbezogen?
Fünfter Schritt: Speicherfristen definieren. Für jede Datenkategorie klare Speicherfrist festlegen. Beachten Sie gesetzliche Mindestaufbewahrungsfristen (z.B. §16 ArbZG: Überstundendokumentation mindestens 2 Jahre; §257 HGB und §147 AO: Buchhaltungsunterlagen 6 oder 10 Jahre).
Sechster Schritt: Betriebsratsverhandlung. Der Betriebsrat hat nach §87 Abs. 1 Nr. 6 BetrVG ein erzwingbares Mitbestimmungsrecht. Verhandeln Sie gemeinsam mit dem Betriebsrat; der Betriebsrat kann eine unabhängige Sachverständige nach §80 Abs. 3 BetrVG hinzuziehen. Nach Einigung unterzeichnen Arbeitgeber und Betriebsrat; die Vereinbarung wird im Betrieb ausgelegt.
Legal Requirements for Works Agreement on Data Protection and IT Use Germany
Die rechtlichen Anforderungen an eine Betriebsvereinbarung zu Datenschutz und IT-Nutzung in Deutschland sind besonders komplex, da mehrere Rechtsgebiete ineinandergreifen.
DSGVO-Grundsätze (Art. 5): Zweckbindung (Daten dürfen nur für festgelegte Zwecke verarbeitet werden), Datenminimierung (nur notwendige Daten), Speicherbegrenzung (keine unbegrenzte Aufbewahrung), Richtigkeit, Integrität und Vertraulichkeit, Rechenschaftspflicht (Nachweis der Einhaltung). Verstöße: Art. 83 DSGVO — bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes.
BDSG §26 (Beschäftigtendatenschutz): Daten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies erforderlich ist. Bei Datenverarbeitung auf Grundlage einer Betriebsvereinbarung (§26 Abs. 4 BDSG) müssen die Regelungen der DSGVO eingehalten werden; die Betriebsvereinbarung kann nicht als Umgehungsvehikel für unverhältnismäßige Verarbeitungen dienen.
Fernmeldegeheimnis (Art. 10 GG; §88 TKG): Erlaubt der Arbeitgeber private Nutzung des betrieblichen E-Mail-Systems, kann er zum Anbieter eines Telekommunikationsdienstes werden und unterliegt dann dem Fernmeldegeheimnis nach §88 TKG. Das bedeutet: Der Arbeitgeber darf E-Mails nicht ohne richterlichen Beschluss lesen — auch nicht eigene betriebliche E-Mails, wenn diese auch für private Nutzung freigegeben sind. Ausweg: Privater E-Mail-Verkehr über externe Systeme gestatten oder strikt auf berufliche Nutzung beschränken.
Vidoeüberwachung (§4 BDSG): §4 BDSG erlaubt Videoüberwachung öffentlich zugänglicher Räume unter engen Voraussetzungen; für nicht-öffentliche Arbeitsbereiche gilt die DSGVO unmittelbar. Betriebsvereinbarungen können die Videoüberwachung am Arbeitsplatz legitimieren; sie müssen aber verhältnismäßig sein und dürfen nicht die Würde der Arbeitnehmer verletzen (Art. 1 GG).
Strafrecht: §202a StGB (Ausspähen von Daten), §303a StGB (Datenveränderung), §303b StGB (Computersabotage) sind relevant für schwerwiegende IT-Verstöße durch Arbeitnehmer oder Arbeitgeber.
Common Mistakes to Avoid in Your Works Agreement on Data Protection and IT Use Germany
Fehler bei der Betriebsvereinbarung zu Datenschutz und IT-Nutzung in Deutschland können erhebliche Rechtsfolgen haben.
Fehlende DSGVO-Kompatibilität: Eine Betriebsvereinbarung, die gegen DSGVO-Grundsätze verstößt (z.B. keine Speicherbegrenzung, unverhältnismäßige Überwachung), ist rechtswidrig und schützt den Arbeitgeber nicht vor Bußgeldern nach Art. 83 DSGVO. Die Datenschutzbehörden (Landesbeauftragte für Datenschutz) prüfen Betriebsvereinbarungen auf DSGVO-Konformität.
Kein Verfahren für anlassbezogene Kontrollen: Fehlt ein klares Verfahren für den Umgang mit Verstößen — wer darf kontrollieren, wie wird der Betriebsrat einbezogen, wie wird dokumentiert —, riskieren Arbeitgeber, dass Kontrollergebnisse im Arbeitsgerichtsprozess nicht verwertbar sind (Beweisverwertungsverbot).
Private IT-Nutzung nicht klar geregelt: Die größte praktische Fehlerquelle ist eine unklare Regelung der privaten IT-Nutzung. Ohne klare Verbots- oder Erlaubnisregelung können Arbeitgeber in die Situation geraten, unbeabsichtigt Anbieter von Telekommunikationsdiensten zu sein, was ihre Kontrollmöglichkeiten stark einschränkt.
Kein Löschkonzept: Viele Betriebsvereinbarungen regeln die Erhebung und Nutzung von Daten, vergessen aber die Löschfristen. Ohne Löschfristen werden Daten faktisch unbegrenzt gespeichert — dies verstößt gegen Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung).
Betriebsrat umgangen: Führt der Arbeitgeber IT-Systeme ein, ohne den Betriebsrat nach §87 Abs. 1 Nr. 6 BetrVG zu beteiligen, kann der Betriebsrat nach §23 Abs. 3 BetrVG die Unterlassung und Beseitigung der Systeme verlangen — bis hin zur Abschaltung installierter Software.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Works Agreement on Data Protection and IT Use Germany (Germany) [Legal document template]. Forms Legal. https://forms-legal.com/deutschland/business/corporate/works-agreement-data-protection-it-use-germany
"Works Agreement on Data Protection and IT Use Germany (Germany)." Forms Legal, 2026, https://forms-legal.com/deutschland/business/corporate/works-agreement-data-protection-it-use-germany.
@misc{formslegal-works-agreement-data-protection-it-use-germany,
author = {{Forms Legal}},
title = {Works Agreement on Data Protection and IT Use Germany (Germany)},
year = {2026},
howpublished = {\url{https://forms-legal.com/deutschland/business/corporate/works-agreement-data-protection-it-use-germany}},
note = {Free legal document template}
}Frequently Asked Questions
Das Mitbestimmungsrecht nach §87 Abs. 1 Nr. 6 BetrVG gilt für alle technischen Einrichtungen, die dazu bestimmt sind oder geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das Bundesarbeitsgericht hat diesen Begriff sehr weit ausgelegt (BAG 1 ABR 16/86; BAG 1 ABR 85/21). Erfasst sind: E-Mail-Systeme (Protokollierung von Absender, Empfänger, Zeitstempel); Internet-Proxy-Server (Protokollierung besuchter Websites); Zeiterfassungssysteme; Zutrittskontrollanlagen; Videoüberwachungssysteme; GPS-Tracking in Dienstfahrzeugen; CRM- und ERP-Systeme (SAP), die Verkaufsleistungen erfassen; Kommunikationsplattformen (Microsoft Teams, Slack, Zoom) mit Aktivitätsstatus-Anzeige; Key-Logger oder Screenshot-Software; Telefonanlagen mit Gesprächsprotokollierung. Nicht erfasst sind technische Einrichtungen, die ausschließlich der Betriebsorganisation dienen und keine Rückschlüsse auf das Verhalten oder die Leistung einzelner Arbeitnehmer erlauben. Die Mitbestimmungspflicht besteht bereits bei objektiver Eignung zur Überwachung — unabhängig davon, ob der Arbeitgeber tatsächlich Überwachungen vornehmen will.
Ob der Arbeitgeber E-Mails der Mitarbeiter lesen darf, hängt entscheidend davon ab, ob private E-Mail-Nutzung gestattet ist. Ist private Nutzung des betrieblichen E-Mail-Systems verboten und ist dies den Arbeitnehmern bekannt, darf der Arbeitgeber bei konkretem Verdacht auf Pflichtverletzung berufliche E-Mails kontrollieren — mit Einschränkungen (Verhältnismäßigkeit, Einbeziehung des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG). Ist private Nutzung erlaubt oder geduldet, kann der Arbeitgeber zum Anbieter von Telekommunikationsdiensten nach §3 Nr. 6 TKG werden; dann schützt §88 TKG (Fernmeldegeheimnis) die Inhalte der E-Mails vor Arbeitgeberzugriff — selbst berufliche E-Mails können dann nicht ohne Weiteres gelesen werden. Das BAG (BAG 2 AZR 597/12) hat festgestellt, dass verdeckte Überwachungen ohne konkreten Verdacht unverhältnismäßig sind und die gewonnenen Erkenntnisse im Arbeitsgerichtsprozess einem Beweisverwertungsverbot unterliegen können. Die Betriebsvereinbarung sollte klar regeln: privates E-Mailen über externe Anbieter (Gmail, GMX) statt über betriebliche Systeme — dann behält der Arbeitgeber die volle Kontrollmöglichkeit über berufliche E-Mails.
Die Speicherdauer für Protokolldaten aus IT-Systemen (Login-Zeiten, besuchte Websites, E-Mail-Metadaten, Telefonverbindungsdaten) richtet sich nach DSGVO Art. 5 Abs. 1 lit. e (Speicherbegrenzungsgrundsatz): Daten dürfen nur so lange gespeichert werden, wie es für die festgelegten Zwecke erforderlich ist. In der Praxis orientieren sich Betriebsvereinbarungen an folgenden Richtwerten: Verbindungsdaten für IT-Systeme (nicht inhaltlich): maximal 30 bis 90 Tage (zur Fehlerdiagnose und Sicherheitsüberwachung). Inhaltliche E-Mail-Daten: nur bei konkretem Verdacht und für die Dauer des Verfahrens. Videoaufzeichnungen: typischerweise 48 bis 72 Stunden, bei Vorfällen länger (maximal 30 Tage ohne konkreten Grund). GPS-Daten: maximal 30 Tage nach Abschluss der Fahrt. Zeiterfassungsdaten: mindestens 2 Jahre nach §16 Abs. 2 ArbZG, längstens bis zur Verjährung von Gehaltsansprüchen (3 Jahre nach §195 BGB). Die Betriebsvereinbarung muss für jedes System konkrete Löschfristen festlegen und ein Löschkonzept beschreiben (automatisierte Löschung oder manuelle Prozesse).
Ja. §26 Abs. 4 BDSG erlaubt ausdrücklich, dass Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten dienen — als Alternative zur individuellen Einwilligung nach Art. 7 DSGVO und zur gesetzlichen Erforderlichkeit nach §26 Abs. 1 BDSG. Dies ist in der Praxis besonders wichtig, weil individuelle Einwilligungen von Arbeitnehmern gegenüber ihrem Arbeitgeber häufig als nicht freiwillig gelten (Art. 7 Abs. 4 DSGVO; Erwägungsgrund 43 DSGVO) — der Arbeitnehmer steht in einem Abhängigkeitsverhältnis, das die Freiwilligkeit in Frage stellt. Die Betriebsvereinbarung schafft hingegen durch die paritätische Verhandlung mit dem Betriebsrat ein kollektivrechtliches Schutzniveau, das als ausreichende Legitimation für die Datenverarbeitung anerkannt wird. Voraussetzung: Die Betriebsvereinbarung muss die DSGVO-Grundsätze (Art. 5) einhalten, insbesondere Zweckbindung, Datenminimierung und Speicherbegrenzung. Eine Betriebsvereinbarung, die diese Grundsätze verletzt, ist als Rechtsgrundlage ungeeignet.
Nein, ohne Zustimmung des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG darf der Arbeitgeber keine technischen Einrichtungen einführen, die zur Überwachung von Verhalten oder Leistung der Arbeitnehmer geeignet sind. Microsoft 365 (Teams, SharePoint, Exchange, OneDrive) und SAP-Systeme fallen nach der Rechtsprechung des BAG (1 ABR 85/21) unter §87 Abs. 1 Nr. 6 BetrVG, weil sie Protokolldaten erzeugen, die Rückschlüsse auf das Verhalten und die Leistung einzelner Arbeitnehmer erlauben. Handelt der Arbeitgeber ohne Betriebsratszustimmung, kann der Betriebsrat nach §23 Abs. 3 BetrVG beim Arbeitsgericht die Unterlassung der Nutzung und die Beseitigung des Systems beantragen — was in der Praxis zur Abschaltung führen kann. Außerdem können Daten, die ohne Betriebsratsbeteiligung erhoben wurden, in einem Arbeitsgerichtsprozess einem Beweisverwertungsverbot unterliegen (BAG 2 AZR 597/12 analog). Die Einführung sollte daher stets durch eine Betriebsvereinbarung zur IT-Nutzung begleitet werden.
Bei Beendigung des Arbeitsverhältnisses entstehen besondere datenschutzrechtliche Pflichten. Nach DSGVO Art. 17 (Recht auf Löschung) und dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) müssen personenbezogene Daten des ausgeschiedenen Arbeitnehmers gelöscht werden, sobald sie für die ursprünglichen Zwecke nicht mehr benötigt werden. In der Praxis gilt: E-Mail-Postfächer ausgeschiedener Mitarbeiter dürfen nicht unbegrenzt aufrechterhalten werden; eine Weiterleitungsregel für eingehende E-Mails (maximal 3 bis 6 Monate) mit automatischer Out-of-Office-Meldung ist datenschutzkonform. Arbeitszeitdaten müssen nach §16 Abs. 2 ArbZG mindestens 2 Jahre aufbewahrt werden; Lohnunterlagen nach §257 HGB und §147 AO 6 bzw. 10 Jahre. Bewerbungsunterlagen abgelehnter Bewerber sind nach 6 Monaten zu löschen (AGG §15 Abs. 4 — Verjährung von Entschädigungsansprüchen). Die Betriebsvereinbarung sollte einen Offboarding-Datenschutz-Prozess beschreiben, der regelt, wie IT-Zugänge gesperrt, Daten archiviert oder gelöscht werden.
Datenschutzverstöße im Betrieb können mehrere Konsequenzen haben. Bußgelder nach DSGVO Art. 83: Die Datenschutzbehörden (Landesbeauftragte für Datenschutz und Informationsfreiheit — LfDI in den einzelnen Bundesländern) können Bußgelder verhängen. Bei schwerwiegenden Verstößen gegen DSGVO-Grundsätze (Art. 5) oder bei Datenverarbeitung ohne Rechtsgrundlage: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Schadensersatzansprüche nach DSGVO Art. 82: Betroffene Personen (Arbeitnehmer, Kunden) können materielle und immaterielle Schäden geltend machen; der Arbeitgeber muss beweisen, dass er nicht verantwortlich ist (Beweislastumkehr nach Art. 82 Abs. 3 DSGVO). Strafrecht: §42 BDSG — Datenverarbeitung zu Bereicherungs- oder Schädigungszwecken — bis zu 2 Jahre Freiheitsstrafe. Reputationsschaden und Meldepflicht: Sicherheitsverletzungen müssen nach DSGVO Art. 33 innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden. Arbeitsrechtliche Folgen: Betriebsrat kann nach §23 Abs. 3 BetrVG Unterlassung verlangen; betroffene Arbeitnehmer können Unterlassungsansprüche nach §1004 BGB analog geltend machen.
Leiharbeitnehmer (Zeitarbeitnehmer, Leasingkräfte) sind im Entleiherbetrieb in die betriebliche Organisation eingegliedert. Nach §14 Abs. 2 AÜG (Arbeitnehmerüberlassungsgesetz) gelten die Normen einer Betriebsvereinbarung auch für Leiharbeitnehmer, wenn diese für den Entleiherbetrieb im örtlichen Betriebsverfassungsrecht gelten. Da Leiharbeitnehmer dieselben IT-Systeme und technischen Einrichtungen im Entleiherbetrieb nutzen wie Stammarbeitnehmer, fallen sie unter den Schutz der Betriebsvereinbarung zu IT-Nutzung und Datenschutz. Der Betriebsrat des Entleiherbetriebs hat ein Mitbestimmungsrecht bei Einrichtungen, die auch Leiharbeitnehmer betreffen (BAG 1 ABR 69/09). Für die datenschutzrechtliche Behandlung von Leiharbeitnehmerdaten ist jedoch Vorsicht geboten: Der Verleiher (Zeitarbeitsunternehmen) ist Arbeitgeber im datenschutzrechtlichen Sinne; der Entleiher ist für die Daten, die er selbst verarbeitet (Arbeitszeitdaten, Zutrittsdaten), eigenständiger Verantwortlicher nach DSGVO Art. 4 Nr. 7. Eine gemeinsame Verantwortlichkeit (Joint Controllership nach Art. 26 DSGVO) ist möglich und sollte vertraglich geregelt werden.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Datenschutzerklärung Website Deutschland
Datenschutzerklärung für Websites in Deutschland gemäß DSGVO Art. 13/14, BDSG und TTDSG mit Angaben zu Datenverarbeitung, Cookies, Analytics und Betroffenenrechten.
Betriebsvereinbarung Mobile Arbeit / Home Office Deutschland
Betriebsvereinbarung zu mobiler Arbeit und Home Office für Unternehmen in Deutschland — geregelt durch BetrVG §87 und ArbStättV. Regelt Anspruchsberechtigung, Ausstattung, Datenschutz, Arbeitszeit und Arbeitssicherheit für mobile Beschäftigte.
Betriebsvereinbarung Arbeitszeit Deutschland
Betriebsvereinbarung zur Arbeitszeit für Unternehmen in Deutschland — geregelt durch BetrVG §87 Abs. 1 Nr. 2 und ArbZG. Regelt Beginn und Ende der täglichen Arbeitszeit, Pausen, Überstunden und flexible Modelle zwischen Arbeitgeber und Betriebsrat.
Unbefristeter Arbeitsvertrag Deutschland
Unbefristeter Arbeitsvertrag für Deutschland — geregelt durch BGB §611a, KSchG, ArbZG, NachwG, MiLoG §1 (Mindestlohn 12,82 €/Std. 2025), BUrlG und EFZG. Enthält alle Pflichtangaben des Nachweisgesetzes.