Datenschutz verstehen – Betriebsrat und Datenschutz
- Der Betriebsrat verarbeitet personenbezogene Daten zur Wahrnehmung der Arbeitnehmerinteressen und fällt damit unter die Regelungen der DSGVO sowie des BDSG-neu.
- Der Betriebsrat hat zudem die Pflicht, die Umsetzung der Datenschutzgesetze im eigenen Unternehmen zu überprüfen.
- Um diese Aufgaben wahrnehmen zu können, muss der Arbeitgeber den Betriebsrat über alles informieren sowie ihm den Zugang zu allen datenschutzrechtlichen Unterlagen gewähren.
- Für die datenschutzkonforme Verarbeitung personenbezogener Daten muss auch bei einem Betriebsrat eine zulässige Rechtsgrundlage vorliegen.
- Der Betriebsrat ist verpflichtet eine schriftliche Dokumentation und Übersicht in Form eines Verzeichnisses von Verarbeitungstätigkeiten über die Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.
- Der Betriebsrat erfüllt nicht die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.
Betriebsrat und personenbezogene Daten – Die Berührungspunkte in diesem Bereich könnten nicht größer sein. Zwar verarbeitet der Betriebsrat im Unternehmen selbst viele personenbezogene Daten, zusätzlich hat der Betriebsrat aber auch die Pflicht die Umsetzung der Datenschutzgesetze im eigenen Unternehmen zu überprüfen (§ 80 BetrVG).
Im Zuge der Wahrung von Beschäftigtenrechten gehen natürlich die Rechte von Betroffenen aus der Datenschutz-Grundverordnung hiermit einher. Damit der Betriebsrat diese Aufgabe wahrnehmen kann, muss der Arbeitgeber ihn über alles informieren und ihm alle datenschutzrechtlichen Unterlagen zugänglich machen – bis hin zur Vorlage von Rollen- oder Berechtigungskonzepten für bestimmte Datenverarbeitungen oder von Auftragsverarbeitungen mit diversen Dienstleistern.
Der Betriebsrat verarbeitet die Daten von Arbeitnehmern. Nach § 75 Abs. 2 BetrVG hat er die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Dabei kontrolliert er die Einhaltung der Arbeitnehmerschutzvorschriften gemäß § 80 Abs. 1 BetrVG. Hierzu zählen unter anderem auch die Regelungen der Datenschutz-Grundverordnung sowie die bestehenden Betriebsvereinbarungen. Bei der Verarbeitung und Nutzung dieser personenbezogenen Daten gelten auch für den Betriebsrat stets die Grundsätze der Datensparsamkeit und Zweckbindung. Darüber hinaus muss die Verarbeitung und Nutzung grundsätzlich mit einer konkreten Aufgabe des Betriebsrats im Zusammenhang stehen.
Im Hinblick auf den Arbeitnehmerdatenschutz darf sich der Betriebsrat selbst organisieren (Betriebsratsbüro). Allerdings empfiehlt sich in der Praxis eine vertrauensvolle Zusammenarbeit des Betriebsrats mit dem Arbeitgeber und dem Datenschutzbeauftragten. Übernimmt ein Arbeitnehmer die Position des betrieblichen Datenschutzbeauftragten kommt dem Betriebsrat nach § 99 BetrVG auch ein Beteiligungsrecht zu. So kann er die Bestellung dessen zwar nicht kontrollieren, er kann allerdings seine Zustimmung zur Bestellung des Datenschutzbeauftragten verweigern.
Grundsätzlich ist es ratsam keinen internen Datenschutzbeauftragten für Arbeitgeber und Betriebsrat zu bestellen, da hier ein Interessenkonflikt entstehen kann. Denn durch das Berichtswesen des betrieblichen Datenschutzbeauftragten an die Geschäftsleitung, könnten interne Daten aus dem Betriebsrat weitergegeben werden. Ein externer Datenschutzbeauftragter kann hier in der Praxis deutlich „weisungsfreier“ entscheiden.
Doch was muss der Betriebsrat selbst im Datenschutz beachten? Erfahren Sie jetzt was der Betriebsrat im Unternehmen umsetzen muss und welche Mittel und Wege ihm hierfür zur Verfügung stehen.
Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?
Maßgeblich für die Bestimmung der Verantwortlichkeit nach der DSGVO ist, wer über die Mittel und Zwecke der Verarbeitung bestimmt. So lässt sich aus dem Betriebsverfassungsgesetz ergebenden Unabhängigkeit des Betriebsrats einerseits ableiten, dass der Betriebsrat nur selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen kann und somit Verantwortlicher i. S. d. DSGVO wäre. Andererseits schreibt der § 79a BetrVG dem Arbeitgeber die Verantwortung für die Datenverarbeitung eindeutig zu. Die Frage der Verantwortlichkeit ist durch die neu geschaffene Norm im Betriebsverfassungsgesetz dennoch noch nicht final geklärt. Neben der Frage der Sinnhaftigkeit dieser Regelungen steht sodann im Raum, dass der Gesetzgeber nicht zur Verabschiedung des § 79a BetrVG berechtigt gewesen ist.
Der Gesetzgeber ist zwar grundsätzlich nach Art. 4 Nr. 7 DSGVO dazu berechtigt, die Verantwortlichkeit für bestimmte Verarbeitung durch das Recht eines Mitgliedstaates zu bestimmen. Entscheidend ist hier jedoch, dass dies nur dann möglich ist, wenn gleichzeitig die Zwecke und Mittel der Verarbeitungen für den Betriebsrat vorgegeben werden. Hier hat es der Gesetzgeber allerdings verpasst eine nähere Bestimmtheit der Zwecke und Mittel in § 79a BetrVG vorzunehmen. Auch ein Rückgriff auf § 26 BDSG, indem ebenfalls die Zwecke und Mittel für die Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext geregelt werden können, sieht eine nähere Bestimmung nicht vor. Schlussendlich bestehen somit gute Gründe, weshalb eine Konformität des Art. 79a BetrVG mit dem Unionsrecht angezweifelt werden kann.
Praxistauglichkeit des § 79a BetrVG
Wir erfahren in unserer Praxis als externe Datenschutzbeauftragte immer wieder, dass es ganz üblich ist, dass Betriebsräte die IT des Unternehmens nutzen, vor allem um Aufwände im Bereich der IT-Administration, IT-Sicherheit einzusparen. Das führt dazu, dass zum Großteil die gleichen technischen und organisatorischen Maßnahmen wie beim Arbeitgeber gelten. Zur Bereitstellung von Informations- und Kommunikationstechnik ist der Arbeitgeber nach § 40 Abs. 2 BetrVG im Übrigen auch verpflichtet. Über die Mittel (IT-Systeme) der Verarbeitung personenbezogener Daten entscheidet der Betriebsrat auf den ersten Blick also meistens schonmal nicht.
Zudem kann durchaus der Eindruck entstehen, dass durch das Betriebsverfassungsgesetz die Zwecke der Verarbeitung vorgeschrieben werden. Diese Ansicht berücksichtigt jedoch nicht den Umstand, dass das BetrVG lediglich den Rechtsrahmen vorgibt. Innerhalb dieses Rahmens ist der Betriebsrat nämlich frei in der Entscheidung über das “ob” und “wie” einer Verarbeitung und kann im Einklang mit der Rechtsprechung des EuGH als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO angesehen werden. Sofern man dennoch der Rechtsauffassung des § 79a BetrVG folgen möchte, sollte dabei stets berücksichtigt werden, dass weder der Arbeitgeber noch der Datenschutzbeauftragte die Verpflichtung der Datenschutzkonformität der Verarbeitung durch den Betriebsrat aus § 79a S. 3 BetrVG kontrollieren darf. Gleichzeitig haftet der Arbeitgeber für etwaige Datenschutzverstöße des Betriebsrates und befindet sich dabei im Blindflug bei der Bewertung von Bußgeldrisiken.
Es empfiehlt sich daher einerseits die Verantwortlichkeit des Betriebsrates anzunehmen und als Arbeitgeber gleichzeitig die Erreichung einer datenschutzkonformen Verarbeitung zu unterstützen. In diesem Fall wird die Haftung der Betriebsratsmitglieder durch die Unterstützung des Arbeitgebers minimiert und die Interessen beider Parteien lassen sich aus betriebsverfassungsrechtlicher und datenschutzrechtlicher Sicht in Einklang bringen.
Welche Daten darf der Betriebsrat verarbeiten?
Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Was bedeutet das? Das ist ganz einfach: Immer wenn ein Betriebsrat personenbezogene Daten verarbeiten möchte, benötigt dieser eine Rechtsgrundlage als Erlaubnisvorbehalt. Hat ein Betriebsrat keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden.
In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in dem Artikel 6 geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 (1) a) DSGVO. Wir empfehlen Ihnen die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:
Datenschutzbeauftragter bei Betriebsräten
Grundsätzlich bietet es sich immer an einen Datenschutzbeauftragten für die Umsetzung des Datenschutzes hinzuzuziehen, da die Umsetzung ohnehin gewährleistet werden muss. In praktischer Hinsicht bedeutet dies, dass der Betriebsrat bei entsprechender Größe oder dem Vorliegen anderer Voraussetzungen einen eigenen Datenschutzbeauftragten zu benennen hat, und auch die weiteren Pflichten einer verantwortlichen Stelle erfüllen muss, wie etwa die Informationen gemäß Art. 13 DSGVO oder die Umsetzung von technischen und organisatorischen Maßnahmen.
Dass die Kosten hierfür – wie alle Kosten des Betriebsrats – stets vom Arbeitgeber zu tragen sind (§ 40 BetrVG), ändert hieran grundsätzlich nichts, da nicht ersichtlich ist wie eine reine Kostentragungspflicht direkt eine datenschutzrechtliche Verantwortlichkeit des Arbeitgebers begründen soll. Ebenso wenig wie der Umstand, dass der Betriebsrat bei der Umsetzung in technischer Hinsicht die Hilfe der IT-Abteilung des Unternehmens in Anspruch nehmen könnte.
Bei der Umsetzung kann es durchaus Spielraum für den Betriebsrat geben: So könnte auch ein externer Datenschutzbeauftragter bestellt werden, um die Unabhängigkeit vom Arbeitgeber zu gewährleisten.
Verarbeitungstätigkeiten beim Betriebsrat
Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Das kann der Betriebsrat entweder gemeinsam mit dem Arbeitgeber unternehmen, oder eben alleine. Folgende Verarbeitungen sind in Betriebsräten üblich:
- Sicherung und Förderung der Beschäftigung (§ 92 a BetrVG)
- Vermeidung von Qualifizierungs-Defiziten (§§ 81 Abs. 4, 97 Abs. 2 BetrVG)
- Betriebliches Wiedereingliederungsmanagement bei längerer oder wiederholter Krankheit der Arbeitnehmer (BEM, § 84 Abs. 2 u. 3 SGB IX)
- Beschäftigungsverbot (Mutterschutz, Elternzeit, Schwangerschaftsinformationen),
- Beschäftigungsanspruch
- Gehaltsanpassungen (kollektiv oder individuell)
- Kündigungen oder Versetzungen
- Arbeitszeitänderungen
- Bewerbungen und weitere personelle Einzelmaßnahmen.
Der Betriebsrat bildet die betriebliche Interessenvertretung der Arbeitnehmer. In diesem Zusammenhang verarbeitet der Betriebsrat personenbezogene Daten der Arbeitnehmer. Der Zweck der Datenverarbeitung liegt in der Wahrnehmung der Arbeitnehmerinteressen und in der Erfüllung der Pflichten des Betriebsrates aus dem BetrVG. Rechtsgrundlage für die Datenverarbeitung sind Kollektivvereinbarungen (Betriebsvereinbarungen) i.S.d. Art. 88 Abs. 1 DSGVO, § 26 Abs. 1 S.1 BDSG-neu. Gerne unterstützen wir Sie bei der Dokumentation der Verarbeitungstätigkeiten. Kontaktieren Sie uns einfach!
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
