DATENSCHUTZ IM BETRIEBSRAT

Gegenwärtig finden in zahlreichen Unternehmen die Betriebsratswahlen statt. Dies nehmen wir zum Anlass, um im Rahmen unseres aktuellen Blog-Beitrages einen Überblick über datenschutzrechtliche Themen mit Bezug zur Betriebsratstätigkeit zu geben. Gerade aufgrund der besonderen Stellung und der damit einhergehenden Vertrauensposition des Betriebsrates, ist es für alle Angehörigen des Betriebsrates wichtig, sowohl die datenschutzrechtlichen Rechte und Pflichten als auch die jeweiligen Grenzen der jeweiligen Datenverarbeitungen zu kennen.


WER IST DATENSCHUTZRECHTLICH VERANTWORTLICH?

Für die Gewährleistung der Einhaltung der datenschutzrechtlichen Normierungen ist grundsätzlich die verantwortliche Stelle im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) zuständig. Als verantwortliche Stelle versteht die DS-GVO jene Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Zeit war umstritten, ob der Betriebsrat nach dieser Definition eine eigene verantwortliche Stelle bildet. Klarstellung erfolgte im Jahr 2021 durch den § 79a Betriebsverfassungsgesetz (BetrVG). In der Norm heißt es: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“


WELCHE DATENSCHUTZRECHTLICHEN MITWIRKUNGSPFLICHTEN BESTEHEN?

Auch wenn der Arbeitgeber zunächst als verantwortliche Stelle zu bezeichnen ist, treffen den Betriebsrat Mitwirkungspflichten. Einerseits hat sich der Betriebsrat gemäß § 79a Satz 1 BetrVG an die jeweils geltenden datenschutzrechtlichen Normen zu halten. Andererseits besteht gemäß § 79a Satz 3 BetrVG die Pflicht zur gegenseitigen Unterstützung zwischen Arbeitgeber und Betriebsrat. Eine solche Unterstützung kann durch den Betriebsrat beispielsweise im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO erfolgen: Der Betriebsrat fertigt eine entsprechende Dokumentation der – aus Sicht des Betriebsverfassungsgesetztes – in seiner Verantwortung liegenden Verarbeitungstätigkeiten an. Der Arbeitgeber unterstützt den Betriebsrat beispielsweise wiederum in der Schaffung ausreichend technischer und organisatorischer Maßnahmen, z.B. die Bereitstellung abschließbarer Schränke. Darüber ist es ratsam auch bei der Umsetzung der datenschutzrechtlichen Anforderungen eine vertrauensvolle Zusammenarbeit im Sinne des § 2 Abs. 1 BetrVG zu wahren.


IST DER DATENSCHUTZBEAUFTRAGTE DES UNTERNEHMENS AUCH FÜR DEN BETRIEBSRAT ZUSTÄNDIG?

Die Aufgabe des Datenschutzbeauftragten umfasst, insbesondere hinsichtlich Art. 39 Abs. 1 lit. a) DS-GVO, ebenfalls die Unterrichtung und Beratung des Betriebsrates. Dabei ist die besondere Verschwiegenheitsverpflichtung gemäß § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zu beachten. Diese umfasst sämtliche Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen. Ergänzend hierzu gelten § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz (BDSG) sowie § 38 Abs. 2 BDSG im Verhältnis zwischen Datenschutzbeauftragten und Arbeitgeber. Der Datenschutzbeauftragte des Unternehmens kann somit auch durch den Betriebsrat in Anspruch genommen werden.


KÖNNEN ANGEHÖRIGE DES BETRIEBSRATES DATENSCHUTZBEAUFTRAGTE SEIN?

Dem Datenschutzbeauftragten obliegen die Überwachung und Kontrolle der Einhaltung des Datenschutzrechts innerhalb der verantwortlichen Stelle. Wie bereits dargestellt, umfasst dies neben der Beratung aller Beschäftigten ebenfalls der Beratung des Betriebsrates. Hierin wird teilweise eine Interessenkollision gesehen, wenn eine Person zugleich die Positionen des Datenschutzbeauftragten und des Betriebsratsmitgliedes innehat. Während das Bundearbeitsgericht im Jahr 2011 (Urteil vom 23. März 2011 – AZR 562/09) eine solche Interessenkollision verneinte, wurde in einem aktuellen Verfahren des Bundesarbeitsgerichts dem Europäischen Gerichtshof unter anderem die Frage vorgelegt, ob die gleichzeitige Ausübung der Position des Datenschutzbeauftragten und des Betriebsratsmitglieds zu einer Interessenkollision führen können. Eine rechtssichere Beantwortung der Frage ist demnach erst nach einer Entscheidung des Europäischen Gerichtshof möglich.


MUSS DER BETRIEBSRAT GESONDERT ZUR VERSCHWIEGENHEIT VERPFLICHTET WERDEN?

Zwar ergibt sich nicht direkt aus den Normen der DS-GVO die Pflicht zur Verpflichtung von Beschäftigten auf Verschwiegenheit, jedoch kann eine solche mittelbar aus Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) sowie Art. 29 DS-GVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) herausgelesen werden. Darüber hinaus gilt für Angehörige des Betriebsrates eine gesetzliche Verschwiegenheitsverpflichtung aus § 79 Abs. 1 BetrVG sowie aus § 79a BetrVG. Einer zusätzlichen Verpflichtung bedarf es darüber hinaus nicht zwingend. Zu empfehlen ist jedoch die Sensibilisierung der Angehörigen des Betriebsrates mittels Sensibilisierungen und Schulungen zum Thema Datenschutz im Betriebsrat.


WELCHE PERSONENBEZOGENEN DATEN DÜRFEN DURCH DEN BETRIEBSRAT VERARBEITET WERDEN?

Grundsätzlich dürfen durch den Betriebsrat all diejenigen personenbezogenen Daten verarbeitet werden, welche zur Wahrnehmung der Aufgaben des Betriebsrates zwingend benötigt werden, vgl. § 26 Abs. 1 Satz 1 BDSG. Erforderlich ist hierbei jedoch, dass die Aufgabenzuweisung an den Betriebsrat einen konkreten Informationsfluss zu Gegenstand hat, z.B. § 80 Abs. 2 Satz 2 Hs. 2 BetrVG oder § 102 Abs. 1 BetrVG. In diesem Zusammenhang sind insbesondere der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO), der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Nicht immer ist es zwingend erforderlich, dass der Betriebsrat zur Wahrnehmung seiner Aufgaben personenbezogene Daten erhält. Beispielsweise im Rahmen der Überprüfung von Arbeitszeiten sind im ersten Schritt Übersichten ohne Personenbezug ausreichend. Sollten daraufhin Abweichungen oder Gesetzesverstöße festgestellt werden, kann der Betriebsrat im zweiten Schritt eine personenbezogene Arbeitszeitübersicht der betreffenden Abteilung erhalten. Außerdem besteht im Rahmen des § 26 Abs. 4 BDSG die Möglichkeit, dass zur Verarbeitung personenbezogener Daten von Beschäftigten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat geschlossen werden.


WELCHE AUFBEWAHRUNGSFRISTEN GELTEN FÜR UNTERLAGEN DES BETRIEBSRATES?

Zunächst ist festzuhalten, dass keine spezialgesetzlich vordefinierten Aufbewahrungsfristen für Betriebsratsunterlagen bestehen. Die Handhabung richtet sich somit nach den allgemeinen datenschutzrechtlichen Bestimmungen und ist hinsichtlich des jeweiligen Einzelfalls entsprechend auszulegen. Anzuführen sind hierbei insbesondere die Grundsätze für die Verarbeitung personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO sowie das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Betriebsräte dürfen damit personenbezogene Daten so lange verarbeiten, wie es zwingend erforderlich ist. Anschließend besteht eine rechtliche Verpflichtung zur Löschung (Art. 17 Abs. 1 lit. a) DS-GVO), sofern nicht gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen (Art. 17 Abs. 3 lit. b) DS-GVO). Konkret kann damit beispielsweise Folgendes argumentiert werden:

– Wahlunterlagen sind bis zum Ende der jeweiligen Amtsperiode aufzubewahren.

– Protokolle sind aufzubewahren, solange sie eine rechtliche Bedeutung besitzen (z.B. Betriebsvereinbarungen). Im Rahmen von Protokollen sollten möglichst wenig personenbezogene Daten angegeben werden. Dementsprechend kann somit auch eine Übergabe an den nachfolgenden Betriebsrat argumentiert werden. Gegebenenfalls hat der neue Betriebsrat zu überprüfen, ob eine weitere Aufbewahrung erforderlich ist.

– Dokumentationen zu Maßnahmen sind in der Regeln nach Beendigung der Maßnahmen zu löschen, sofern diese nicht gegebenenfalls im Rahmen einer Beweisführung mit hoher Wahrscheinlichkeit voraussichtlich benötigt werden (Art. 17 Abs. 3 lit. e) DS-GVO) oder eine gesetzliche Aufbewahrungspflicht besteht. Nur dann kann eine Weitergabe an den neuen Betriebsrat im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgen.

Sofern Unterlagen (z.B. zu abgeschlossenen Maßnahmen) aufbewahrt werden müssen, sind diese getrennt von aktuellen Unterlagen (z.B. laufender Maßnahmen) aufzubewahren (sogenannte „Einschränkung der Verarbeitung“, auch „Archivierung“). Eine Vernichtung von personenbezogenen Unterlagen darf ausschließlich über ein Entsorgungsunternehmen oder eigenständig mittels eines Aktenvernichters (Schutzstufe P-4) erfolgen.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN SIND UMZUSETZEN?

Art. 32 DS-GVO fordert eine der Datenverarbeitung sowie der damit einhergehenden Risiken angemessene Sicherheit der Verarbeitung. Da die im Rahmen der Betriebsratstätigkeit verarbeiteten personenbezogenen Daten in der Regel als besonders schützenswert anzusehen sind, sind diese bestmöglich vor einer Zugriffsmöglichkeit Unbefugter zu sichern. Dies umfasst beispielsweise die Nutzung abschließbarer Räumlichkeiten, die Verwahrung von Unterlagen in abschließbaren Schränken sowie die Verwendung gesonderter, zugriffsgeschützter Laufwerke. Der Betriebsrat als Gremium sollte über ein gesondertes E-Mail-Funktionspostfach verfügen, die Übermittlung von Unterlagen per E-Mail sollte zumindest in Form passwortgeschützter Anlagen erfolgen, wobei die Passwörter nicht über das gleiche Medium zu übermitteln sind. Die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen obliegt der Verantwortung des Arbeitgebers, die entsprechende Handhabung der Verantwortung des Betriebsrates.


FAZIT

Mit der Tätigkeit im Betriebsrat geht auch im Rahmen des Datenschutzrechts eine besondere Verantwortung einher. Das jeweilige Unternehmen und der Betriebsrat haben sich bei der Einhaltung des Datenschutzrechts gegenseitig zu unterstützen, hierbei wird auch der Datenschutzbeauftragte des Unternehmens tätig. Zur Gewährleistung der jeweiligen Anforderungen ist eine spezielle Schulung der Betriebsratsmitglieder zu empfehlen. Sie wünschen sich eine Beratung oder Schulung zum Thema Datenschutz im Betriebsrat? Sprechen Sie uns gerne an!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • Betriebsrat
  • Betriebsverfassungsgesetz
  • Datenschutzbeauftragter
  • Verantwortlichkeit
Lesen

BETRIEBSRAT UND DATENSCHUTZ – DIE REGELUNG DES § 79a BETRVG

Der Betriebsrat erfährt als Beschäftigtenvertretung eine besondere Rolle im Unternehmen. Damit einher gehen ebenfalls in der datenschutzrechtlichen Betrachtung Besonderheiten, die es sowohl zwischen Arbeitgeber und Betriebsrat als auch zwischen Datenschutzbeauftragten und Betriebsrat zu beachten gilt – dies geht insbesondere aus dem neuen § 79a des Betriebsverfassungsgesetzes (BetrVG) hervor. Der Beitrag befasst sich mit den wichtigsten Eckpunkten und gibt zentrale Handlungsempfehlungen an die Hand.


DER BETRIEBSRAT ALS TEIL DER VERANTWORTLICHEN STELLE

Lange Zeit umstritten war die Frage, ob es sich bei dem Betriebsrat um eine eigene verantwortliche Stelle handelt oder ob dieser dem Unternehmen als verantwortliche Stelle zuzurechnen ist. Eine besondere Bedeutung erlangt(e) diese Fragestellung, da sich die datenschutzrechtlichen Verpflichtungen der Datenschutz-Grundverordnung (DS-GVO) stets an die verantwortliche Stelle richten. Hiervon umfasst sind beispielsweise die umfangreichen Dokumentationspflichten, z.B. das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO oder die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DS-GVO.

Wie wir bereits in unserem Beitrag zum Betriebsrätemodernisierungsgesetz umfangreich darlegten, hat der Gesetzgeber über die neugeschaffene Regelung des § 79a BetrVG für eine Klarstellung gesorgt. § 79a Satz 2 BetrVG macht deutlich, dass der Arbeitgeber der datenschutzrechtlich Verantwortliche für die Verarbeitung der Beschäftigtendaten im Sinne der DS-GVO ist. Entgegen der Eigenverantwortung des Betriebsrates bei der Wahrnehmung ihrer Aufgaben, ist der Betriebsrat im datenschutzrechtlichen Sinne lediglich als Teil der verantwortlichen Stelle einzustufen, soweit dieser zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben Beschäftigtendaten verarbeitet.

Mit der Regelung in § 79a BetrVG folgt der Gesetzgeber der Auffassung der diesbezüglichen ständigen Rechtsprechung des Bundesarbeitsgerichtes (BAG). Demnach wurde der Betriebsrat noch vor Inkrafttreten der DS-GVO vom BAG lediglich als institutionell unselbständiger Teil der verantwortlichen Stelle des Arbeitgebers eingestuft. 


ZUSAMMENARBEIT VON BETRIEBSRAT UND VERANTWORTLICHER STELLE

Gemäß § 79a Satz 3 BetrVG unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Satz 3 verpflichtet den Betriebsrat und den Arbeitgeber zur Kooperation und zur gegenseitigen Unterstützung. Diese gegenseitige Pflicht zur Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ist mit der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers auf der einen Seite und der innerorganisatorischen Selbständigkeit und Wertungsfreiheit des Betriebsrats auf der anderen Seite begründet.

Im Umkehrschluss bedeutet dies jedoch auch, dass der Betriebsrat nicht Adressat der weitreichenden datenschutzrechtlichen Pflichten der DS-GVO sein kann. Dementsprechend obliegt dem Betriebsrat beispielsweise keine Pflicht zur Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten und ebenfalls keine Pflicht zur Benennung eines eigenen Datenschutzbeauftragten. Aus § 79a Satz 3 BetrVG lässt sich jedoch schlussfolgern, dass der Betriebsrat dem Verantwortlichen entsprechende Angaben übermitteln muss, die der verantwortlichen Stelle eine Erstellung der Verzeichnisse der Verarbeitungstätigkeiten für die Betriebsratstätigkeiten ermöglicht. Auch hinsichtlich etwaiger Verletzungen des Schutzes personenbezogener Daten oder im Rahmen der Geltendmachung von Betroffenenrechten ist der Betriebsrat gegenüber dem Verantwortlichen zur unverzüglichen Meldung und Zuarbeit verpflichtet.

Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Insoweit ist dieser innerhalb seines Zuständigkeitsbereichs verpflichtet, die ausreichende Umsetzung technischer und organisatorischer Maßnahmen nach Art. 24 und Art. 32 DS-GVO sicherzustellen sowie gegebenenfalls Nachbesserungen durch die verantwortliche Stelle einzufordern. Dieser muss den Betriebsrat zwingend mit den erforderlichen Mitteln, wie beispielsweise geeigneter Sicherungseinrichtungen für Dokumente mit personenbezogenen Daten, bereitstellen. Bei Beratungsbedarf zu datenschutzrechtlichen Sachverhalten darf der Betriebsrat ebenso die Beratungsleistungen des Datenschutzbeauftragten der verantwortlichen Stelle in Anspruch nehmen.


ZUSAMMENARBEIT VON BETRIEBSRAT UND DATENSCHUTZBEAUFTRAGTEN

Insofern bietet sich ebenfalls eine Zusammenarbeit zwischen dem Betriebsrat und dem Datenschutzbeauftragten an. Beispielsweise kann dieser die Beschäftigtenvertretung regelmäßig zu spezifischen datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Betriebsratstätigkeit schulen oder datenschutzrechtliche Beratungen zu (geplanten) Tätigkeiten des Betriebsrates vornehmen.

In den Fokus rückt hierbei das notwendige Vertrauensverhältnis zwischen Betriebsrat und Datenschutzbeauftragten, welches auch durch den Gesetzgeber gesehen wurde. § 79a Satz 4 BetrVG regelt hierzu, dass der oder die Datenschutzbeauftragte gegenüber dem Arbeitgeber zu sämtlichen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen, zur Verschwiegenheit verpflichtet ist. Weiterhin regelt § 79a Satz 5 BetrVG ebenfalls die Verschwiegenheitsverpflichtung hinsichtlich der Identitäten betroffener Personen gegenüber dem Arbeitgeber. Der vertrauensvollen Zusammenarbeit steht insoweit auch nicht die Stellung des Datenschutzbeauftragten durch den Arbeitgeber als Verantwortlichen entgegen.


FAZIT

Um den Anforderungen des § 79a BetrVG sowie den allgemeinen datenschutzrechtlichen Anforderungen nachkommen zu können, empfiehlt sich der Abschluss einer Vereinbarung oder die Anwendung einer Richtlinie zwischen dem Arbeitsgeber als Verantwortlichen sowie dem Betriebsrat hinsichtlich der datenschutzrechtlichen Zusammenarbeit. Hierbei sollten insbesondere die Unterstützung bei der Geltendmachung von Betroffenenrechten, die unverzüglichen Meldeverpflichtungen im Fall von Datenschutzverletzungen sowie etwaige Zuarbeiten hinsichtlich des Verzeichnisses der Verarbeitungstätigkeiten geregelt werden. Weiterhin sollten Regelungen aufgenommen werden, welche ein Mindestmaß an technischen und organisatorischen Maßnahmen festlegen, um die Sicherheit der Verarbeitung durch den Betriebsrat zu gewährleisten. Der Datenschutzbeauftragte ist auf seine besondere Stellung und die sich in diesem Zusammenhang aus § 79a Satz 4 und 5 BetrVG ergebenden besonderen Verschwiegenheitsverpflichtungen zu sensibilisieren.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.

    Tags:
  • Arbeitgeber
  • Betriebsrat
  • Betriebsrätemodernisierungsgesetz
  • Betriebsverfassungsgesetz
  • Verschwiegenheitsverpflichtung
Lesen