Datenschutz und Betriebsrat – Ein Überblick

Bereits aus der Perspektive des Arbeitsrechts bringt die Betriebsratsarbeit diverse rechtliche Fragen und Fallstricke mit sich. Mit dem Betriebsverfassungsgesetz gibt es sogar ein eigenes Gesetz, das die Zusammenarbeit des Arbeitgebers und der institutionalisierten Interessenvertretung der Arbeitnehmenden regelt.

Doch auch aus datenschutzrechtlicher Sicht wirft der Themenkomplex „Betriebsrat“ viele Fragen auf, angefangen von der etwaigen Stellung des Betriebsrats als Verantwortlicher bis hin zu der Frage, ob der Betriebsrat ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen hat.

Der nachfolgende Beitrag liefert Ihnen einen Überblick über die wesentlichen datenschutzrechtlichen Fragen bei der Betriebsratsarbeit.

Ist der Betriebsrat eine eigene verantwortliche Stelle nach Art. 4 Nr. 7 DSGVO?

Nach Art. 4 Nr. 7 DSGVO ist eine verantwortliche Stelle, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ob der Betriebsrat neben dem Arbeitgeber als eine solche Stelle anzusehen ist, ist in der Fachwelt seit längerer Zeit umstritten.

Im letzten Jahr hat der Gesetzgeber diese Frage mit der Einführung eines neuen Paragrafen im Betriebsverfassungsgesetz beantwortet. Dieser § 79a BetrVG regelt, dass, sofern der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, der Arbeitgeber die für die Verarbeitung verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften ist. Der Betriebsrat ist somit nur Teil der verantwortlichen Stelle und kein eigener Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Bestimmte Stimmen sehen in dieser Regelung allerdings einen Verstoß gegen höherrangiges Europarecht, da ihrer Ansicht nach dem Arbeitgeber nicht die nötigen Befugnisse verliehen werden, um den Verpflichtungen als Verantwortlicher angemessen nachzukommen. Es ist daher davon auszugehen, dass in dieser Sache noch nicht das letzte Wort gesprochen ist.

Welche datenschutzrechtlichen Einflussmöglichkeiten hat der Betriebsrat?

Nach § 80 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat über die Einhaltung von Gesetzen durch den Arbeitgeber zu wachen, die zugunsten der Arbeitnehmenden gelten. Da die europäische DSGVO und das deutsche BDSG personenbezogene Arbeitnehmer:innendaten schützen und damit ebenfalls als arbeitnehmerschützende Gesetze anzusehen sind, hat der Betriebsrat auch über die Einhaltung von datenschutzrechtlichen Vorschriften im Unternehmen zu wachen. Bei Feststellung unrechtmäßiger Verarbeitungen von Beschäftigtendaten hat der Betriebsrat jedoch nicht das Recht, Abhilfe oder Unterlassung zu verlangen. Diese Rechte können nur die von der Verarbeitung betroffenen Beschäftigten geltend machen.

Allerdings besitzt der Betriebsrat bei mehreren datenschutzrelevanten Prozessen und Vorgängen im Betrieb gesetzliche Mitbestimmungsrechte und ist daher insbesondere in den folgenden Fällen einzubeziehen:

• Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmenden im Betrieb;
• Die Möglichkeit der Kontrolle des Verhaltens und der Leistung von Beschäftigten unter Zuhilfenahme technischer Einrichtungen;
• Erstellung von Personalfragebögen und Formulararbeitsverträgen;
• Aufstellung allgemeiner Beurteilungsgrundsätze;
• Auswahlrichtlinien;
• Modalitäten von Schulungen.

Externer Datenschutzbeauftragter// Newsletter abonnieren // Hinweisgebersystem

Welche datenschutzrechtlichen Pflichten hat der Betriebsrat?

Der Betriebsrat hat jedoch nicht nur datenschutzrechtliche Einflussmöglichkeiten und Rechte, sondern ist auch dazu verpflichtet, den Arbeitgeber in diversen datenschutzrechtlichen Fragen zu unterstützen. Hierzu gehört insbesondere:

• Das Zurverfügungstellen der Informationen, die für die Durchführung von Datenschutz-Folgenabschätzungen notwendig sind;
• Die umgehende Meldung von Datenschutzvorfällen an den Arbeitgeber, die innerhalb des Einflussbereiches des Betriebsrates liegen;
• Dass personenbezogene Daten der Beschäftigten ausreichend gesichert bzw. verschlossen sind (technische und organisatorische Maßnahmen);
• Die Einrichtung von Zugriffsbeschränkungen für Betriebsratsmitglieder auf personenbezogene Daten der Beschäftigten (Berechtigungskonzept);
• Die rechtzeitige und umfassende Löschung der Daten (hierzu sollte durch den Betriebsrat ein Löschkonzept erstellt werden);
• Die Verpflichtung, dass der Betriebsrat dem Arbeitgeber die für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten erforderlichen Informationen zur Verfügung stellt, damit dieser seinen nach der DSGVO vorgegebenen Pflichten nachkommen kann;
• Die Verpflichtung, den Arbeitgeber bei der Erfüllung von Betroffenenrechten, wie z.B. bei der Beantwortung von Auskunftsersuchen oder der Erstellung von Datenschutzinformationen für Beschäftigte zu unterstützen.

Sollten die datenschutzrechtlichen Verpflichtungen durch den Betriebsrat nicht erfüllt werden, besteht für den Arbeitgeber gegebenenfalls die Möglichkeit eine Datenweitergabe an den Betriebsrat zu verweigern.

Welche Kompetenzen und Rechte bestehen auf Seiten des Betriebsrates nicht?

Trotz der zuvor genannten Rechte haben die Kompetenzen des Betriebsrats jedoch auch Grenzen. Hierunter fallen insbesondere folgende Bereiche:

• Der Betriebsrat hat kein Einsichtsrecht in das gesamte Verzeichnis von Verarbeitungstätigkeiten;
• Es besteht kein Mitbestimmungsrecht bezüglich der Regelung, dass IT-Systeme ausschließlich dienstlich genutzt werden dürfen;
• In Bezug auf Gehaltslisten besitzt der Betriebsrat lediglich ein Einsichtsrecht, jedoch kein Recht zur dauerhaften Aufbewahrung;
• Eine Weitergabe von Gehaltslisten durch den Betriebsrat an Dritte außerhalb des Unternehmens (z.B. Gewerkschaften) ist nicht zulässig;
• Das Führen eigener Personalakten oder ähnlichen Dateisammlungen über Beschäftigte durch den Betriebsrat ist nicht zulässig.

Kann der Betriebsrat durch die Aufsichtsbehörde sanktioniert werden?

Im Regelfall kann der Betriebsrat nicht durch die Aufsichtsbehörde sanktioniert werden. Grund hierfür ist, dass die Unternehmen die verantwortlichen Stellen und damit Adressaten der Sanktionen sind (siehe oben).

Was sollte der Arbeitgeber bei der Erfüllung von Betroffenenrechten im Zusammenhang mit dem Betriebsrat beachten?

Der Arbeitgeber und somit datenschutzrechtlich Verantwortliche muss bei Anfragen von betroffenen Personen sicherstellen, dass bei der Bearbeitung auch die Betriebsratsarbeit berücksichtigt wird. So ist beispielsweise im Falle eines Auskunftsersuchens auch Auskunft über die Datenverarbeitungen des Betriebsrats zu geben. Gleiches gilt auch bei der Erfüllung anderer Betroffenenrechte. So ist die Unterstützung des Betriebsrats etwa auch erforderlich, um die Beschäftigten im Rahmen der Informationspflicht nach Art. 13 DSGVO über die Datenverarbeitungen des Betriebsrats informieren zu können. Der Arbeitgeber ist somit im Ergebnis darauf angewiesen, dass ihn der Betriebsrat bei der Erfüllung von Betroffenenrechten unterstützt.

Können Betriebsvereinbarungen Verarbeitungen von Beschäftigtendaten legitimieren?

Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. In der Regel lassen sich die meisten Verarbeitungen personenbezogener Daten im Beschäftigungskontext auf diese Rechtsgrundlage stützen.

Daneben sieht § 26 Abs. 4 BDSG vor, dass Verarbeitungen personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig sind. Dies gilt auch für die Verarbeitungen von besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO, wie z.B. von Gesundheitsdaten oder Daten zur Gewerkschaftszugehörigkeit. Zu Kollektivvereinbarungen zählen neben Tarifverträgen und Dienstvereinbarungen auch Betriebsvereinbarungen. In Betriebsvereinbarungen können somit Datenverarbeitungen legitimiert werden, die nicht von den bestehenden gesetzlichen Erlaubnistatbeständen gedeckt sind.

Umstritten ist allerdings, welchen Spiel- bzw. Gestaltungsraum den Betriebsparteien, also Arbeitgeber und Betriebsrat, hierdurch eingeräumt wird. In jedem Fall sind die Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten, wonach die in Betriebsvereinbarungen enthaltenen datenschutzrechtlichen Vorschriften geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Zudem geht die herrschende Meinung davon aus, dass durch Betriebsvereinbarungen das Schutzniveau der DSGVO nicht untergraben werden darf.

Um Missverständnisse zu vermeiden, sollten, sofern Betriebsvereinbarungen die Legitimationsgrundlage für Verarbeitungen von Beschäftigtendaten darstellen sollen, die entsprechenden Datenverarbeitungen so detailliert wie möglich in der Vereinbarung beschrieben und ein Verweis auf § 26 Abs. 4 BDSG aufgenommen werden.

Fazit

Im Themenkomplex „Datenschutz und Betriebsrat“ sind noch nicht alle rechtlichen Fragestellungen abschließend durch den Gesetzgeber oder Gerichte geklärt. Die Zusammenarbeit von Arbeitgeber und Betriebsrat kann deshalb datenschutzrechtliche Hürden beinhalten. Kooperationsbereitschaft wird sich jedoch für beide Seiten als vorteilhaft erweisen. Sowohl der Arbeitgeber als auch der Betriebsrat sind darauf angewiesen, dass die jeweils andere Seite Unterstützung bei der Umsetzung des Datenschutzes leistet. Betriebsräten und Arbeitgebern sollte aufgrund der arbeitnehmerschützenden Funktion des Datenschutzes an einer umfassenden Umsetzung des Datenschutzes gelegen sein. Gerne unterstützen wir Sie bei der Erstellung der notwendigen Dokumentationen und der Implementierung der erforderlichen datenschutzrechtlichen Prozesse.