Betriebsrat ist keine verantwortliche Stelle für den Datenschutz
Bisher war nicht klar, ob der Betriebsrat als verantwortliche Stelle bei der Verarbeitung personenbezogener Daten galt. Mehrheitlich wurde das zwar abgelehnt und nur der Arbeitgeber als solche gesehen, doch ein Rest Unsicherheit blieb. Nun herrscht zum Glück endlich – zumindest ein Stück weit – Klarheit: Ausschließlich der Arbeitgeber gilt als der für die Verarbeitung Verantwortliche im Sinne der DSGVO und des Bundesdatenschutzgesetzes (BDSG).
Der Betriebsrat ist keine verantwortliche Stelle im Sinne des Datenschutzrechts. Dennoch muss er sich bei der Erhebung, Verarbeitung und Speicherung der personenbezogenen Daten der Beschäftigten an alle Vorgaben der DSGVO und des BDSG halten. Die Nichteinstufung als Verantwortlicher bedeutet nicht, dass die betriebliche Interessenvertretung beim Datenschutz nicht weiter extreme Sorgfalt walten lassen muss. Deshalb ist es ratsam, dass sich mindestens ein Gremiumsmitglied hier besonders einarbeitet.
Verantwortung des Arbeitgebers endet bei Aufgabenüberschreitung des Betriebsrats
Achtung: Wenn der Betriebsrat außerhalb seiner gesetzlich zugewiesenen Aufgaben Beschäftigtendaten erhebt, ist der Arbeitgeber für diese Datenverarbeitung nicht mehr verantwortlich. Das kann unter Umständen bedeuten, dass der Betriebsrat bzw. einzelne Mitglieder für Datenschutzverstöße selbst haften müssten. Der Betriebsrat muss innerhalb seiner Zuständigkeit selbstständig die technischen und organisatorischen Maßnahmen zur Datensicherheit gewährleisten. Der Arbeitgeber kann daher unter Umständen die Weitergabe von Daten verweigern, wenn er Anlass zur Annahme hat, dass der Betriebsrat nicht genügend auf den Datenschutz achtet. Als verantwortliche Stelle ist aber wiederum der Arbeitgeber verpflichtet, die Dokumentations- und Rechenschaftspflichten nach der DSGVO zu erfüllen. Daher stellt sich hier die Frage, inwieweit der Arbeitgeber für Datenschutzverstöße des Betriebsrats haftet.
Viele Fragen offen
Bezüglich der Verantwortlichkeit des Betriebsrats beim Datenschutz bleiben viele wichtige Folgefragen offen, die künftig erst in Rechtsprechung und Literatur geklärt werden dürften. So ist nicht sicher, in welchem Umfang das Gremium selbst Verantwortung für die Datenverarbeitung trägt, insbesondere auch bei Verstößen. Es ist auch nicht geklärt, inwieweit der Arbeitgeber als gesetzlich Verantwortlicher auf die Datenverarbeitung durch den Betriebsrat einwirken kann und es Sanktions- oder Regressmöglichkeiten des Arbeitgebers gibt.
Entsprechen Ihre Betriebsvereinbarungen der DSGVO?
Neben der Datenverarbeitung ist die Vereinbarkeit geltender Betriebsvereinbarungen mit dem Datenschutzrecht wichtig. Hier sind Arbeitgeber und Betriebsrat gemeinsam aufgerufen, sich (falls noch nicht geschehen) die Texte der Vereinbarungen genau anzusehen – und notfalls nachzubessern.
Häufiges Problem: ungenaue Formulierungen
In vielen Betriebsvereinbarungen finden sich solche oder ähnliche Klauseln:
– „Das Unternehmen sowie die Beschäftigten schützen die vertraulich zu behandelnden Daten. Alle Beteiligten wahren die Verschwiegenheit.“
– „Das Datenschutzrecht wird durch diese Betriebsvereinbarung nicht berührt. Es gilt ungeachtet der in diesen Betriebsvereinbarungen geregelten Inhalte.“
– „Das Datenschutzrecht wird vollumfänglich eingehalten.“
Was sich auf den ersten Blick hervorragend liest, entpuppt sich bei näherem Hinsehen als unzureichend. Denn genau solche Formulierungen erfüllen regelmäßig eben gerade nicht die Vorgabe der DSGVO nach detaillierten und konkreten Regelungen.
Konkrete Regelungen sind Trumpf
Die Datenschutzgrundsätze der DSGVO müssen in konkrete Regelungen innerhalb der Betriebsvereinbarung „übersetzt“ werden. Das geht darüber hinaus, dass sie nur eingehalten bzw. beachtet werden müssen – und macht die Formulierungsarbeit nicht leichter.
Bewährt hat sich dabei eine einfache Faustregel: Die in der Vereinbarung niedergelegten Schutzmaßnahmen und der Detailgrad der Regelungen sollten sich am Risiko der Datenverarbeitung für die Beschäftigten ausrichten. Das heißt konkret: Geht es etwa um die Einführung von Kantinenkarten (ohne weitergehende Datenerhebung oder -speicherung), ist die Gefahr für die Kollegen, zum „gläsernen“ Beschäftigten zu werden, eher gering. Plant der Arbeitgeber hingegen die Einführung eines biometrischen Zugangssystems, ergibt sich für die Kollegen unter Umständen ein deutlich höheres Risiko in Sachen Datenverarbeitung. Das muss dann auch in entsprechend genau und effektiv formulierten Schutzmaßnahmen zum Ausdruck kommen.
Außerdem muss die Betriebsvereinbarung immer deutlich machen, welche jeweiligen Rechte und Pflichten sich für alle Beteiligten ergeben.
Der betriebliche Datenschutzbeauftragte kontrolliert auch die Einhaltung datenschutzrechtlicher Vorschriften durch den Betriebsrat im Rahmen seiner Aufgaben. Dies war bis zur Neuregelung des & 79a BetrVG nicht klar geregelt. Er ist dem Arbeitgeber gegenüber zur Verschwiegenheit verpflichtet.
Übersicht: Pflichten des BR nach der DSGVO
Rechtmäßigkeit:
Die Verarbeitung personenbezogener Arbeitnehmerdaten muss auf einer Rechtsgrundlage erfolgen, d. h. entweder auf einer gesetzlichen Regelung wie z. B. § 26 BDSG (Datenverarbeitung für die Durchführung eines Beschäftigtenverhältnisses) oder auf einer wirksamen Einwilligung der betroffenen Kollegen.
Zweckbindung:
Betriebsräte dürfen personenbezogene Arbeitnehmerdaten nur für „festgelegte, eindeutige und legitime Zwecke“ erheben und die Daten nicht verarbeiten, falls dies mit diesen Zwecken nicht vereinbar wäre. Die Zweckbindung der Datenverarbeitung hängt eng mit ihrer Rechtmäßigkeit zusammen: Nur wenn man weiß, wozu Daten verarbeitet werden, kann man prüfen, auf welcher Rechtsgrundlage eine solche Datenverarbeitung zulässig ist.
Datenminimierung:
Betriebsräte dürfen personenbezogene Daten der Arbeitnehmer nur verarbeiten, wenn dies im Rahmen des Arbeitsverhältnisses bzw. der Gremiumstätigkeit angemessen und auf das notwendige Maß beschränkt ist. Das bedeutet, dass nur die Infos über Kollegen erhoben werden dürfen, die für das Arbeitsverhältnis bzw. die Gremiumstätigkeit von Bedeutung sind. Es ist nicht immer leicht, festzustellen, wo die Grenze der Erforderlichkeit verläuft. Gerichte urteilen nicht immer einheitlich: Nach einer Entscheidung des BVerwG vom 19.03.2014, Az.: 6 P 1.13, kann der Personalrat nicht verlangen, dass ihm die in der elektronischen Arbeitszeiterfassung gespeicherten Daten unter Namensnennung der Beschäftigten zur Verfügung gestellt werden, sondern nur eine anonymisierte Fassung. Anders das BAG vom 07.02.2012, Az.: 1 ABR 46/10: Danach muss der Arbeitgeber dem Gremium auch ohne Zustimmung der Betroffenen die Kollegen namentlich nennen, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt krank waren.
Speicherbegrenzung:
– Die Daten dürfen nur so lange gespeichert werden, wie das für die Zwecke der Datenverarbeitung erforderlich ist. Danach müssen die Daten entweder gelöscht oder so verändert werden, dass kein Bezug mehr zu einem bestimmten Arbeitnehmer hergestellt werden kann.
– Für Sitzungsniederschriften gemäß § 34 BetrVG gibt es keine ausdrückliche Regelung. Allerdings ist die Aufbewahrung – allein schon aus Beweiszwecken – wenigstens bis zum Ende der Amtszeit zulässig. In Einzelfällen kann sich dies auch verlängern. Als Faustregel gilt: Eine Aufbewahrung ist erlaubt, bis die Daten ihre rechtliche Bedeutung verlieren.
– Der Betriebsrat sollte in seiner Geschäftsordnung regeln, wie durch technische und organisatorische Maßnahmen sichergestellt wird, dass Beschäftigtendaten nur so lange gespeichert bleiben, wie das für die Ausübung der Mitbestimmung nötig ist. Nach Abschluss des Mitbestimmungsverfahrens sind die Daten zu löschen oder die überlassenen Unterlagen dem Arbeitgeber zurückzugeben.
– Eine ständige, nicht erforderliche Datenaufbewahrung ist nicht erlaubt. Deshalb sollte das BR-Büro über einen Reißwolf verfügen, der mindestens die Sicherheitsstufe 4 der DIN 66399 erfüllt.
Datensicherheit/Grundsatz der Integrität & Vertraulichkeit der Datenverarbeitung:
In Papierform gespeicherte Beschäftigtendaten müssen unter Verschluss gehalten werden, d. h., sie müssen in einem abschließbaren Raum und/oder in einem abschließbaren Schrank aufbewahrt werden und sind vor dem Zugriff unberechtigter Dritter zu schützen. Wann immer möglich, sollte der Betriebsrat mit Verschlüsselung bzw. Pseudonymisierung der Daten arbeiten.
