Betriebsrat und Datenschutz

Datenschutz verstehen –  Betriebsrat und Datenschutz

Zusammenfassung
  1. Der Betriebsrat verarbeitet personenbezogene Daten zur Wahrnehmung der Arbeitnehmerinteressen und fällt damit unter die Regelungen der DSGVO sowie des BDSG-neu.
  2. Der Betriebsrat hat zudem die Pflicht, die Umsetzung der Datenschutzgesetze im eigenen Unternehmen zu überprüfen.
  3. Um diese Aufgaben wahrnehmen zu können, muss der Arbeitgeber den Betriebsrat über alles informieren sowie ihm den Zugang zu allen datenschutzrechtlichen Unterlagen gewähren.
  4. Für die datenschutzkonforme Verarbeitung personenbezogener Daten muss auch bei einem Betriebsrat eine zulässige Rechtsgrundlage vorliegen.
  5. Der Betriebsrat ist verpflichtet eine schriftliche Dokumentation und Übersicht in Form eines Verzeichnisses von Verarbeitungstätigkeiten über die Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.
  6. Der Betriebsrat erfüllt nicht die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider
 

Betriebsrat und personenbezogene Daten – Die Berührungspunkte in diesem Bereich könnten nicht größer sein. Zwar verarbeitet der Betriebsrat im Unternehmen selbst viele personenbezogene Daten, zusätzlich hat der Betriebsrat aber auch die Pflicht die Umsetzung der Datenschutzgesetze im eigenen Unternehmen zu überprüfen (§ 80 BetrVG).

Im Zuge der Wahrung von Beschäftigtenrechten gehen natürlich die Rechte von Betroffenen aus der Datenschutz-Grundverordnung hiermit einher. Damit der Betriebsrat diese Aufgabe wahrnehmen kann, muss der Arbeitgeber ihn über alles informieren und ihm alle datenschutzrechtlichen Unterlagen zugänglich machen – bis hin zur Vorlage von Rollen- oder Berechtigungskonzepten für bestimmte Datenverarbeitungen oder von Auftragsverarbeitungen mit diversen Dienstleistern

Der Betriebsrat verarbeitet die Daten von Arbeitnehmern. Nach § 75 Abs. 2 BetrVG hat er die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Dabei kontrolliert er die Einhaltung der Arbeitnehmerschutzvorschriften gemäß § 80 Abs. 1 BetrVG. Hierzu zählen unter anderem auch die Regelungen der Datenschutz-Grundverordnung sowie die bestehenden Betriebsvereinbarungen. Bei der Verarbeitung und Nutzung dieser personenbezogenen Daten gelten auch für den Betriebsrat stets die Grundsätze der Datensparsamkeit und Zweckbindung. Darüber hinaus muss die Verarbeitung und Nutzung grundsätzlich mit einer konkreten Aufgabe des Betriebsrats im Zusammenhang stehen. 

Im Hinblick auf den Arbeitnehmerdatenschutz darf sich der Betriebsrat selbst organisieren (Betriebsratsbüro). Allerdings empfiehlt sich in der Praxis eine vertrauensvolle Zusammenarbeit des Betriebsrats mit dem Arbeitgeber und dem Datenschutzbeauftragten. Übernimmt ein Arbeitnehmer die Position des betrieblichen Datenschutzbeauftragten kommt dem Betriebsrat nach § 99 BetrVG auch ein Beteiligungsrecht zu. So kann er die Bestellung dessen zwar nicht kontrollieren, er kann allerdings seine Zustimmung zur Bestellung des Datenschutzbeauftragten verweigern.

Grundsätzlich ist es ratsam keinen internen Datenschutzbeauftragten für Arbeitgeber und Betriebsrat zu bestellen, da hier ein Interessenkonflikt entstehen kann. Denn durch das Berichtswesen des betrieblichen Datenschutzbeauftragten an die Geschäftsleitung, könnten interne Daten aus dem Betriebsrat weitergegeben werden. Ein externer Datenschutzbeauftragter kann hier in der Praxis deutlich “weisungsfreier” entscheiden. 

Doch was muss der Betriebsrat selbst im Datenschutz beachten? Erfahren Sie jetzt was der Betriebsrat im Unternehmen umsetzen muss und welche Mittel und Wege ihm hierfür zur Verfügung stehen. 

 

Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?

Maßgeblich nach der Datenschutz-Grundverordnung ist, wer über die Mittel und Zwecke der Verarbeitung bestimmt. Aus der sich aus dem Betriebsverfassungsgesetz ergebenden Unabhängigkeit des Betriebsrats lässt sich ableiten, dass der Betriebsrat nur selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen kann. Aus dieser Eigenverantwortlichkeit folge die eigene Pflicht des Betriebsrats für die Einhaltung der Datenschutz-Grundverordnung zu sorgen. Das bedeutet einen erheblichen Mehraufwand, welcher vom Betriebsrat alleine gestemmt werden muss.

Doch wie sieht das in der Praxis aus?

Wir erfahren in unserer Praxis als externe Datenschutzbeauftragte immer wieder, dass es ganz üblich ist, dass Betriebsräte die IT des Unternehmens nutzen, vor allem um Aufwände im Bereich der IT-Administration, IT-Sicherheit einzusparen. Das führt dazu, dass zum Großteil die gleichen technischen und organisatorischen Maßnahmen wie beim Arbeitgeber gelten. Zur Bereitstellung von Informations- und Kommunikationstechnik ist der Arbeitgeber nach § 40 Abs. 2 BetrVG im Übrigen auch verpflichtet. Über die Mittel (IT-Systeme) der Verarbeitung personenbezogener Daten entscheidet der Betriebsrat also meistens schonmal nicht. 

Aber wie sieht es mit den Zwecken aus? Werden wenigstens diese eindeutig durch den Betriebsrat festgelegt? Wohl eher auch nicht. Die Funktion und die Befugnisse des Betriebsrats werden durch das Betriebsverfassungsgesetz vorgeschrieben. Der Betriebsrat kann über seine Tätigkeiten und damit über die Zwecke der Verarbeitung personenbezogener Daten nur in einem sehr engen Rahmen entscheiden.

Somit kommt man schnell zu dem Ergebnis, dass der Betriebsrat selbstverständlich eine unabhängige und eigenständige Stelle darstellt, datenschutzrechtlich allerdings so nicht definiert werden kann. 

 

Welche Daten darf der Betriebsrat verarbeiten?

Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Was bedeutet das? Das ist ganz einfach: Immer wenn ein Betriebsrat personenbezogene Daten verarbeiten möchte, benötigt dieser eine Rechtsgrundlage als Erlaubnisvorbehalt. Hat ein Betriebsrat keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden.

In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in dem Artikel 6 geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 (1) a) DSGVO. Wir empfehlen Ihnen die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:

Einwilligung

die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. für die Weitergabe von persönlichen Einzelfällen an die Geschäftsleitung)

Erfüllung eines Vertrages

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (z.B. Kaufvertrag, Anfrage für Angebot).

Rechtliche Verpflichtung

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. Meldungen an öffentliche Stellen wie Krankenkassen, Polizei)

Lebenswichtige Interessen

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z.B. Arbeitsunfall).

Öffentliches Interesse

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Berechtigtes Interesse

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (z.B. Wahrung der Beschäftigtenrechte).

 

Datenschutzbeauftragter bei Betriebsräten

Grundsätzlich bietet es sich immer an einen Datenschutzbeauftragten für die Umsetzung des Datenschutzes hinzuzuziehen, da die Umsetzung ohnehin gewährleistet werden muss. In praktischer Hinsicht bedeutet dies, dass der Betriebsrat bei entsprechender Größe oder dem Vorliegen anderer Voraussetzungen einen eigenen Datenschutzbeauftragten zu benennen hat, und auch die weiteren Pflichten einer verantwortlichen Stelle erfüllen muss, wie etwa die Informationen gemäß Art. 13 DSGVO oder die Umsetzung von technischen und organisatorischen Maßnahmen.

Dass die Kosten hierfür – wie alle Kosten des Betriebsrats – stets vom Arbeitgeber zu tragen sind (§ 40 BetrVG), ändert hieran grundsätzlich nichts, da nicht ersichtlich ist wie eine reine Kostentragungspflicht direkt eine datenschutzrechtliche Verantwortlichkeit des Arbeitgebers begründen soll. Ebenso wenig wie der Umstand, dass der Betriebsrat bei der Umsetzung in technischer Hinsicht die Hilfe der IT-Abteilung des Unternehmens in Anspruch nehmen könnte.

Bei der Umsetzung kann es durchaus Spielraum für den Betriebsrat geben: So könnte auch ein externer Datenschutzbeauftragter bestellt werden, um die Unabhängigkeit vom Arbeitgeber zu gewährleisten.

 

Verarbeitungstätigkeiten beim Betriebsrat

Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Das kann der Betriebsrat entweder gemeinsam mit dem Arbeitgeber unternehmen, oder eben alleine. Folgende Verarbeitungen sind in Betriebsräten üblich:

  • Sicherung und Förderung der Beschäftigung (§ 92 a BetrVG)
  • Vermeidung von Qualifizierungs-Defiziten (§§ 81 Abs. 4, 97 Abs. 2 BetrVG)
  • Betriebliches Wiedereingliederungsmanagement bei längerer oder wiederholter Krankheit der Arbeitnehmer (BEM, § 84 Abs. 2 u. 3 SGB IX)
  • Beschäftigungsverbot (Mutterschutz, Elternzeit, Schwangerschaftsinformationen), 
  • Beschäftigungsanspruch
  • Gehaltsanpassungen (kollektiv oder individuell)
  • Kündigungen oder Versetzungen
  • Arbeitszeitänderungen
  • Bewerbungen und weitere personelle Einzelmaßnahmen.

Der Betriebsrat bildet die betriebliche Interessenvertretung der Arbeitnehmer. In diesem Zusammenhang verarbeitet der Betriebsrat personenbezogene Daten der Arbeitnehmer. Der Zweck der Datenverarbeitung liegt in der Wahrnehmung der Arbeitnehmerinteressen und in der Erfüllung der Pflichten des Betriebsrates aus dem BetrVG. Rechtsgrundlage für die Datenverarbeitung sind Kollektivvereinbarungen (Betriebsvereinbarungen) i.S.d. Art. 88 Abs. 1 DSGVO, § 26 Abs. 1 S.1 BDSG-neu. Gerne unterstützen wir Sie bei der Dokumentation der Verarbeitungstätigkeiten. Kontaktieren Sie uns einfach!

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN