Gegenwärtig finden in zahlreichen Unternehmen die Betriebsratswahlen statt. Dies nehmen wir zum Anlass, um im Rahmen unseres aktuellen Blog-Beitrages einen Überblick über datenschutzrechtliche Themen mit Bezug zur Betriebsratstätigkeit zu geben. Gerade aufgrund der besonderen Stellung und der damit einhergehenden Vertrauensposition des Betriebsrates, ist es für alle Angehörigen des Betriebsrates wichtig, sowohl die datenschutzrechtlichen Rechte und Pflichten als auch die jeweiligen Grenzen der jeweiligen Datenverarbeitungen zu kennen.
WER IST DATENSCHUTZRECHTLICH VERANTWORTLICH?
Für die Gewährleistung der Einhaltung der datenschutzrechtlichen Normierungen ist grundsätzlich die verantwortliche Stelle im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) zuständig. Als verantwortliche Stelle versteht die DS-GVO jene Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Zeit war umstritten, ob der Betriebsrat nach dieser Definition eine eigene verantwortliche Stelle bildet. Klarstellung erfolgte im Jahr 2021 durch den § 79a Betriebsverfassungsgesetz (BetrVG). In der Norm heißt es: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
WELCHE DATENSCHUTZRECHTLICHEN MITWIRKUNGSPFLICHTEN BESTEHEN?
Auch wenn der Arbeitgeber zunächst als verantwortliche Stelle zu bezeichnen ist, treffen den Betriebsrat Mitwirkungspflichten. Einerseits hat sich der Betriebsrat gemäß § 79a Satz 1 BetrVG an die jeweils geltenden datenschutzrechtlichen Normen zu halten. Andererseits besteht gemäß § 79a Satz 3 BetrVG die Pflicht zur gegenseitigen Unterstützung zwischen Arbeitgeber und Betriebsrat. Eine solche Unterstützung kann durch den Betriebsrat beispielsweise im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO erfolgen: Der Betriebsrat fertigt eine entsprechende Dokumentation der – aus Sicht des Betriebsverfassungsgesetztes – in seiner Verantwortung liegenden Verarbeitungstätigkeiten an. Der Arbeitgeber unterstützt den Betriebsrat beispielsweise wiederum in der Schaffung ausreichend technischer und organisatorischer Maßnahmen, z.B. die Bereitstellung abschließbarer Schränke. Darüber ist es ratsam auch bei der Umsetzung der datenschutzrechtlichen Anforderungen eine vertrauensvolle Zusammenarbeit im Sinne des § 2 Abs. 1 BetrVG zu wahren.
IST DER DATENSCHUTZBEAUFTRAGTE DES UNTERNEHMENS AUCH FÜR DEN BETRIEBSRAT ZUSTÄNDIG?
Die Aufgabe des Datenschutzbeauftragten umfasst, insbesondere hinsichtlich Art. 39 Abs. 1 lit. a) DS-GVO, ebenfalls die Unterrichtung und Beratung des Betriebsrates. Dabei ist die besondere Verschwiegenheitsverpflichtung gemäß § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zu beachten. Diese umfasst sämtliche Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen. Ergänzend hierzu gelten § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz (BDSG) sowie § 38 Abs. 2 BDSG im Verhältnis zwischen Datenschutzbeauftragten und Arbeitgeber. Der Datenschutzbeauftragte des Unternehmens kann somit auch durch den Betriebsrat in Anspruch genommen werden.
KÖNNEN ANGEHÖRIGE DES BETRIEBSRATES DATENSCHUTZBEAUFTRAGTE SEIN?
Dem Datenschutzbeauftragten obliegen die Überwachung und Kontrolle der Einhaltung des Datenschutzrechts innerhalb der verantwortlichen Stelle. Wie bereits dargestellt, umfasst dies neben der Beratung aller Beschäftigten ebenfalls der Beratung des Betriebsrates. Hierin wird teilweise eine Interessenkollision gesehen, wenn eine Person zugleich die Positionen des Datenschutzbeauftragten und des Betriebsratsmitgliedes innehat. Während das Bundearbeitsgericht im Jahr 2011 (Urteil vom 23. März 2011 – AZR 562/09) eine solche Interessenkollision verneinte, wurde in einem aktuellen Verfahren des Bundesarbeitsgerichts dem Europäischen Gerichtshof unter anderem die Frage vorgelegt, ob die gleichzeitige Ausübung der Position des Datenschutzbeauftragten und des Betriebsratsmitglieds zu einer Interessenkollision führen können. Eine rechtssichere Beantwortung der Frage ist demnach erst nach einer Entscheidung des Europäischen Gerichtshof möglich.
MUSS DER BETRIEBSRAT GESONDERT ZUR VERSCHWIEGENHEIT VERPFLICHTET WERDEN?
Zwar ergibt sich nicht direkt aus den Normen der DS-GVO die Pflicht zur Verpflichtung von Beschäftigten auf Verschwiegenheit, jedoch kann eine solche mittelbar aus Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) sowie Art. 29 DS-GVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) herausgelesen werden. Darüber hinaus gilt für Angehörige des Betriebsrates eine gesetzliche Verschwiegenheitsverpflichtung aus § 79 Abs. 1 BetrVG sowie aus § 79a BetrVG. Einer zusätzlichen Verpflichtung bedarf es darüber hinaus nicht zwingend. Zu empfehlen ist jedoch die Sensibilisierung der Angehörigen des Betriebsrates mittels Sensibilisierungen und Schulungen zum Thema Datenschutz im Betriebsrat.
WELCHE PERSONENBEZOGENEN DATEN DÜRFEN DURCH DEN BETRIEBSRAT VERARBEITET WERDEN?
Grundsätzlich dürfen durch den Betriebsrat all diejenigen personenbezogenen Daten verarbeitet werden, welche zur Wahrnehmung der Aufgaben des Betriebsrates zwingend benötigt werden, vgl. § 26 Abs. 1 Satz 1 BDSG. Erforderlich ist hierbei jedoch, dass die Aufgabenzuweisung an den Betriebsrat einen konkreten Informationsfluss zu Gegenstand hat, z.B. § 80 Abs. 2 Satz 2 Hs. 2 BetrVG oder § 102 Abs. 1 BetrVG. In diesem Zusammenhang sind insbesondere der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO), der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Nicht immer ist es zwingend erforderlich, dass der Betriebsrat zur Wahrnehmung seiner Aufgaben personenbezogene Daten erhält. Beispielsweise im Rahmen der Überprüfung von Arbeitszeiten sind im ersten Schritt Übersichten ohne Personenbezug ausreichend. Sollten daraufhin Abweichungen oder Gesetzesverstöße festgestellt werden, kann der Betriebsrat im zweiten Schritt eine personenbezogene Arbeitszeitübersicht der betreffenden Abteilung erhalten. Außerdem besteht im Rahmen des § 26 Abs. 4 BDSG die Möglichkeit, dass zur Verarbeitung personenbezogener Daten von Beschäftigten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat geschlossen werden.
WELCHE AUFBEWAHRUNGSFRISTEN GELTEN FÜR UNTERLAGEN DES BETRIEBSRATES?
Zunächst ist festzuhalten, dass keine spezialgesetzlich vordefinierten Aufbewahrungsfristen für Betriebsratsunterlagen bestehen. Die Handhabung richtet sich somit nach den allgemeinen datenschutzrechtlichen Bestimmungen und ist hinsichtlich des jeweiligen Einzelfalls entsprechend auszulegen. Anzuführen sind hierbei insbesondere die Grundsätze für die Verarbeitung personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO sowie das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Betriebsräte dürfen damit personenbezogene Daten so lange verarbeiten, wie es zwingend erforderlich ist. Anschließend besteht eine rechtliche Verpflichtung zur Löschung (Art. 17 Abs. 1 lit. a) DS-GVO), sofern nicht gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen (Art. 17 Abs. 3 lit. b) DS-GVO). Konkret kann damit beispielsweise Folgendes argumentiert werden:
– Wahlunterlagen sind bis zum Ende der jeweiligen Amtsperiode aufzubewahren.
– Protokolle sind aufzubewahren, solange sie eine rechtliche Bedeutung besitzen (z.B. Betriebsvereinbarungen). Im Rahmen von Protokollen sollten möglichst wenig personenbezogene Daten angegeben werden. Dementsprechend kann somit auch eine Übergabe an den nachfolgenden Betriebsrat argumentiert werden. Gegebenenfalls hat der neue Betriebsrat zu überprüfen, ob eine weitere Aufbewahrung erforderlich ist.
– Dokumentationen zu Maßnahmen sind in der Regeln nach Beendigung der Maßnahmen zu löschen, sofern diese nicht gegebenenfalls im Rahmen einer Beweisführung mit hoher Wahrscheinlichkeit voraussichtlich benötigt werden (Art. 17 Abs. 3 lit. e) DS-GVO) oder eine gesetzliche Aufbewahrungspflicht besteht. Nur dann kann eine Weitergabe an den neuen Betriebsrat im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgen.
Sofern Unterlagen (z.B. zu abgeschlossenen Maßnahmen) aufbewahrt werden müssen, sind diese getrennt von aktuellen Unterlagen (z.B. laufender Maßnahmen) aufzubewahren (sogenannte „Einschränkung der Verarbeitung“, auch „Archivierung“). Eine Vernichtung von personenbezogenen Unterlagen darf ausschließlich über ein Entsorgungsunternehmen oder eigenständig mittels eines Aktenvernichters (Schutzstufe P-4) erfolgen.
WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN SIND UMZUSETZEN?
Art. 32 DS-GVO fordert eine der Datenverarbeitung sowie der damit einhergehenden Risiken angemessene Sicherheit der Verarbeitung. Da die im Rahmen der Betriebsratstätigkeit verarbeiteten personenbezogenen Daten in der Regel als besonders schützenswert anzusehen sind, sind diese bestmöglich vor einer Zugriffsmöglichkeit Unbefugter zu sichern. Dies umfasst beispielsweise die Nutzung abschließbarer Räumlichkeiten, die Verwahrung von Unterlagen in abschließbaren Schränken sowie die Verwendung gesonderter, zugriffsgeschützter Laufwerke. Der Betriebsrat als Gremium sollte über ein gesondertes E-Mail-Funktionspostfach verfügen, die Übermittlung von Unterlagen per E-Mail sollte zumindest in Form passwortgeschützter Anlagen erfolgen, wobei die Passwörter nicht über das gleiche Medium zu übermitteln sind. Die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen obliegt der Verantwortung des Arbeitgebers, die entsprechende Handhabung der Verantwortung des Betriebsrates.
FAZIT
Mit der Tätigkeit im Betriebsrat geht auch im Rahmen des Datenschutzrechts eine besondere Verantwortung einher. Das jeweilige Unternehmen und der Betriebsrat haben sich bei der Einhaltung des Datenschutzrechts gegenseitig zu unterstützen, hierbei wird auch der Datenschutzbeauftragte des Unternehmens tätig. Zur Gewährleistung der jeweiligen Anforderungen ist eine spezielle Schulung der Betriebsratsmitglieder zu empfehlen. Sie wünschen sich eine Beratung oder Schulung zum Thema Datenschutz im Betriebsrat? Sprechen Sie uns gerne an!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
