16.05.2018

Neues vom Datenschutz für Betriebsräte

Ab dem 25. Mai 2018 müssen Betriebe die neuen Datenschutzbestimmungen nach der Datenschutzgrundverordnung (DS-GVO) umsetzen. Sollte sich in Ihrem Betrieb nun Hektik ausbreiten, lassen Sie sich davon nicht anstecken. Nehmen Sie sich vielmehr die notwendige Zeit, sich mit den Änderungen zu befassen und nutzen Sie die Chancen, die sich für Sie als Betriebsrat durch neue Beteiligungsrechte ergeben können.

Betriebsrat Datenschutz

Geschäftsführung Betriebsrat. Bereits am 25. Mai 2016 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Doch nun drängt die Zeit, die Bestimmungen sind ab dem 25. Mai 2018 verpflichtend anzuwenden. Hinzu kommt, dass zum gleichen Zeitpunkt das angepasste Bundesdatenschutzgesetz (BSDG) in Kraft tritt, das ergänzende Bestimmungen enthält. Da die DS-GVO zu den Schutzvorschriften zählt, über die der Betriebsrat zum Schutz der Arbeitnehmer zu wachen hat, sollten sich die Betriebsratsmitglieder ausführlich mit den Veränderungen befassen. Es gilt, Risiken für die Arbeitnehmer zu unterbinden und neue Chancen zu nutzen.

Zahlreiche Neuerungen

Mit dem neuen Datenschutzrecht gibt es nunmehr ein Recht darauf, „vergessen“ zu werden. Somit müssen Daten gelöscht werden, wenn für eine Speicherung kein legitimer Zweck mehr besteht (Art. 17 und 18 DS-GVO). Arbeitnehmer und alle anderen Personen, die mit dem Betrieb zu tun haben, können insbesondere eine einmal erteilte Einwilligung widerrufen und die Löschung verlangen, wenn es keine Rechtsgrundlage für die Speicherung und Verarbeitung personenbezogener Daten gibt. Neu ist auch, dass eine Datenschutz-Folgenabschätzung (DSFA) vorgenommen werden muss, wenn durch die Verarbeitung der Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu befürchten ist (Art. 35 DS-GVO). Dies ist insbesondere anzunehmen, wenn durch neue Techniken oder Verfahren eine systematische und umfassende Bewertung vorgenommen wird und diese als Grundlage für Entscheidungen dient.

Umsetzung DS-GVO
Viele Betriebe befinden sich derzeit noch im Endspurt mit der Umsetzung der DS-GVO, wie diese Umfrage des Branchenverbandes Bitkom von Ende 2017 beweist.

Hinweis: Ruhe bewahren

Manche Arbeitgeber haben bisher keine Anstrengungen zur Umsetzung der DS-GVO unternommen und verbreiten jetzt Stress. Aus gutem Grund, denn bei Verletzungen drohen hohe Bußgelder. Bewahren Sie als Betriebsrat Ruhe und lassen Sie sich nicht unnötig drängen. Nehmen Sie vor allem keine Änderungen an Betriebsvereinbarungen vor, die Sie inhaltlich nicht verstehen bzw. deren Folgen Sie nicht absehen können. Der „Ball“ ist hier eindeutig beim Arbeitgeber.

Auswirkungen auf Betriebsvereinbarungen

Ab Mai 2018 müssen die datenschutzrechtlichen Anforderungen auch in Betriebsvereinbarungen berücksichtigt werden. Das Problem dabei: Selbst wenn die bisherigen Betriebsvereinbarungen Regelungen zum Datenschutz enthalten, werden sie nicht in dem Umfang Informationspflichten und Betroffenenrechte beinhalten, die Artikel 12 ff. DS-GVO nennt. So müsste nun eigentlich jede einzelne Betriebsvereinbarung angepasst werden. Einfacher ist eine Rahmenbetriebsvereinbarung, in der klargestellt wird, welche neuen Regelungen in den einzelnen Betriebsvereinbarung gelten sollen. Dies ist empfehlenswert bei allgemeinen Regelungen. Hier sparen Sie sich viel Zeit und Aufwand, weil Sie nur ein einzelnes Dokument aushandeln müssen. Sollen aber spezifische datenschutzrechtliche Vorgänge geregelt werden, ist das kaum mehr möglich, weil eine Vielzahl von Einzelregelungen formuliert bzw. geändert werden muss. Ein Stück weit geht auch die Transparenz verloren, weil zu jeder Betriebsvereinbarung auch die Rahmenvereinbarung berücksichtigt werden muss. Eine erprobte Vorgehensweise ist es, mit dem Arbeitgeber zunächst allgemeine Textbausteine zu verhandeln und diese dann – gegebenenfalls modifiziert – in die einzelnen Betriebsvereinbarungen zu übernehmen.

Betriebsräte sind nicht „Dritte“

Manche Arbeitgeber werden versuchen, die neuen Datenschutzbestimmungen gegen den Betriebsrat zu wenden, indem sie z.B. die Herausgabe von personenbezogenen Daten „an Dritte“ verweigern. Hier können Sie auf ein schon etwas älteres BAG-Urteil verweisen, demzufolge Betriebsräte keine „Dritten“ sind, an die personenbezogene Daten tatsächlich nicht ohne Weiteres herausgegeben werden dürfen. Vielmehr ist der Betriebsrat genau wie der Arbeitgeber Teil der „Verantwortlichen Stelle“. Die Wahrnehmung seiner Aufgaben darf also nicht von Belangen des Datenschutzes behindert werden.

Wichtiger Ansprechpartner: Der Datenschutzbeauftragte

Ein wichtiger Ansprechpartner für den Betriebsrat in Sachen Datenschutz ist der Datenschutzbeauftragte. Er muss nach Art. 37 DS-GVO immer dann ernannt werden, wenn Personen umfangreich, regelmäßig und systematisch überwacht und/oder sensible Daten verarbeitet werden. Der Datenschutzbeauftragte hat folgende definierte Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters,
  • Überwachung, ob die DS-GVO und andere Vorschriften eingehalten werden,
  • Beratung in Bezug auf Datenschutz-Folgenabschätzungen,
  • Zusammenarbeit mit der Aufsichtsbehörde.

Dies sind nur die Mindestaufgaben. Der Datenschutzbeauftragte kann zusätzliche Aufgaben vom Arbeitgeber zugewiesen bekommen. Grundsätzlich ist er zur Beratung von Arbeitnehmern und Interessenvertretungen verpflichtet – nutzen Sie als Betriebsrat diese Möglichkeit.

Viel Einfluss für Betriebsräte

Das neue Datenschutzrecht gibt Betriebsräten in der Praxis viele Einflussmöglichkeiten, weil die Arbeitgeber bei der Einführung neuer Prozesse und Technologien häufig selbst nicht wissen, ob die Maßnahmen den Erfordernissen des Datenschutzes genügen. Deshalb dürfte Arbeitgebern daran gelegen sein, nicht in Konflikt mit dem Betriebsrat zu geraten. Dieser sollte von Anfang an klarstellen, dass ihm die Sicherstellung des Datenschutzes im Betrieb ein wichtiges Anliegen ist und eine Datenschutzfolgenabschätzung gefordert wird. Hierzu muss der Arbeitgeber den Standpunkt der betroffenen Personen oder ihrer Vertreter einholen. Damit gibt es hier ein neues Informations- und Beratungsrecht für Betriebsräte.

Speicherung von Arbeitnehmerdaten

Ein weiteres Betätigungsfeld für Betriebsräte im Rahmen des BDSG ist die Speicherung von Arbeitnehmerdaten. Der Grundsatz ist dabei immer die Frage: Gibt es einen legitimen Zweck, der die Speicherung begründet?

  • Dies beginnt schon beim Bewerbungsverfahren: Personenbezogene Daten dürfen so lange gespeichert werden, wie sie für eine Entscheidung benötigt werden. Anschließend müssen sie gelöscht werden.
  • Im Rahmen des Beschäftigungsverhältnisses dürfen personenbezogene Daten in dem Ausmaß gespeichert werden, wie sich das Recht oder die Notwendigkeit aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ableiten lassen.
  • Der Arbeitgeber darf personenbezogene Daten bei der Verfolgung von Straftaten nur speichern, wenn es dokumentierte Anhaltspunkte für einen begründeten Verdacht gibt. Dabei muss immer geprüft werden, ob schutzwürdige Interessen der Arbeitnehmer überwiegen und die Speicherung der personenbezogenen Daten verhältnismäßig ist.

Download Symbol

Gerade beim Schutz von Personaldaten ist der Betriebsrat gefordert. Welche Mindestanforderungen eine Personaldatenverarbeitung erfüllen muss, klärt diese Checkliste.

Checkliste: Datenschutz bei der Personaldatenverarbeitung

 

Internet-Tipp

Der Branchenverband Bitkom hat Hintergründe und Entwicklungen zum Thema Datenschutz in Deutschland zusammengetragen.

Sie finden sie im Internet unter https://tinyurl.com/bitkom-dsgvo

Vorsicht bei „freiwilligem“ Einverständnis

Manchmal verweist der Arbeitgeber auf eine „freiwillige Einwilligung“ der Arbeitnehmer, die ihn dazu berechtigen würde, personenbezogene Daten zu speichern. Diese Einwilligung muss jedoch beurteilt und dabei müssen die bestehende Abhängigkeit des Arbeitnehmers sowie die Umstände, unter denen die Einwilligung zustande kam, berücksichtigt werden. Von einer tatsächlichen Freiwilligkeit kann ausgegangen werden, wenn die Arbeitnehmer einen rechtlichen oder wirtschaftlichen Vorteil haben oder ein gemeinsames Interesse mit dem Arbeitgeber verfolgen. In der Regel muss die Einwilligung schriftlich erfolgen und die Arbeitnehmer müssen über den Zweck der Speicherung und Verarbeitung sowie über ihr Widerrufsrecht aufgeklärt werden.

Fragen des Betriebsrats an die Geschäftsführung

Klären Sie mit dem Arbeitgeber, wie mit der DS-GVO umgegangen wird und bringen Sie vor allem diese Fragen zur Sprache:

  • Wer trifft im Bereich IT die Entscheidungen?
  • Wer hat Zugriff auf welche Daten?
  • Wie sind sensible Daten gesichert?
  • Wie werden Auftragsdatenverarbeiter ausgewählt?
  • Entsprechen die Verträge den Anforderungen der DS-GVO?
  • Können einzelne Datensätze auf Verlangen problemlos gelöscht werden?
  • Gibt es einen Überblick, welche anderen Unternehmen (z.B. Dienstleister) über personenbezogene Datensätze verfügen, die auf Verlangen gelöscht werden müssen?
  • Wird ein Datenschutzbeauftragter benötigt und ist er bestellt? Was sind seine Aufgaben? Muss im Betrieb eine Datenschutzfolgenabschätzung vorgenommen werden? Wenn ja, wie wird das umgesetzt?

 

Betriebsrat INTERN

Autor: Martin Buttenmüller (ist Journalist und Chefredakteur des Fachmagazins Betriebsrat INTERN.)