Betriebsrätemodernisierungsgesetz stellt klar: Betriebsräte sind datenschutzrechtlich keine eigenen verantwortlichen Stellen

Bislang hatten Betriebsräte aus datenschutzrechtlicher Sicht eine Sonderrolle, denn es war unklar, ob der Betriebsrat datenschutzrechtlich eine eigene verantwortliche Stelle ist oder nicht (wir berichteten). Dies führte in der Praxis häufig zu Unsicherheiten und im schlimmsten Fall zu Defiziten in der datenschutzrechtlichen Dokumentation.

Durch das Betriebsrätemodernisierungsgesetz und die damit einhergehende Gesetzesänderung des Betriebsverfassungsgesetzes ist nunmehr klargestellt: Betriebsräte selbst sind keine datenschutzrechtlich verantwortlichen Stellen (§ 79a BetrVG), sondern – datenschutzrechtlich betrachtet – unselbständiger „Teil“ des Unternehmens. Dies entbindet Betriebsräte zwar keinesfalls von der Pflicht, datenschutzrechtliche Vorschriften zu beachten, soweit sie zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten. Aber Adressaten der datenschutzrechtlichen Rechte und Pflichten sind und bleiben die Arbeitgeber.

Die datenschutzrechtliche Verantwortlichkeit der Arbeitgeber für die Tätigkeiten von Betriebsräten stellt beide Betriebsparteien vor neue Herausforderungen und birgt Konfliktpotential. Denn Betriebsräte agieren für gewöhnlich gegenüber den Arbeitgebern selbstständig und weisungsfrei.

Die Problematik lässt sich anhand der folgenden drei datenschutzrechtlichen Pflichten veranschaulichen:

Dokumentation im Verzeichnis von Verarbeitungstätigkeiten:

Gemäß Art. 30 Abs. 1 DSGVO sind Arbeitgeber als verantwortliche Stellen verpflichtet, Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden, in einem sog. Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Dies gilt auch für die Tätigkeiten von Betriebsräten, sofern diese im Rahmen ihrer Betriebsratstätigkeit personenbezogene Daten verarbeiten.

Doch wer dokumentiert die Verarbeitungstätigkeiten des Betriebsrats? Inwieweit ist der Arbeitgeber hier weisungsbefugt? Und wer darf die Dokumentation einsehen?

Diese Fragen stellen sich insbesondere bei Verarbeitungstätigkeiten, bei denen sensible Daten von Mitarbeitenden verarbeitet werden und wenn Betriebsräte zur Geheimhaltung gegenüber dem Arbeitgeber verpflichtet sind.

Sicherstellung der Löschung von Daten:

Daneben muss sichergestellt werden, dass personenbezogene Daten gelöscht werden, wenn sie nicht mehr erforderlich sind. Dies gilt auch für personenbezogene Daten, die von Betriebsräten im Rahmen ihrer Tätigkeit verarbeitet werden.

Doch wie können Arbeitgeber die Umsetzung der Löschpflichten gewährleisten und kontrollieren, ohne in die Unabhängigkeit und die Integrität der Betriebsräte einzugreifen?

Umgang mit Betroffenenanfragen und Datenschutzvorfällen:

Auch der Umgang mit Betroffenenanfragen und Datenschutzvorfällen beinhaltet Herausforderungen. Verlangt bspw. eine beschäftigte Person vom Arbeitgeber Auskunft über ihre Daten, muss der Arbeitgeber prüfen können, ob bzw. inwieweit auch der Betriebsrat personenbezogene Daten zu der anfragenden Person verarbeitet.

Doch wie kann dies gewährleistet werden, ohne dass der Arbeitgeber Kenntnis von Sachverhalten erlangt, die der Geheimhaltungspflicht des Betriebsrats unterliegen? Und wie ist mit Betroffenenanfragen umzugehen, die direkt an den Betriebsrat adressiert werden?

Ähnliche Fragen stellen sich, wenn sich datenschutzrelevante Vorfälle in der Sphäre des Betriebsrats ereignen. Auch hier muss der Arbeitgeber in der Lage sein, den Vorfall prüfen und ihn gegebenenfalls der Aufsichtsbehörde melden zu können.

Doch wie erfährt der Arbeitgeber von einem Vorfall? Wer kümmert sich um die Sachverhaltsaufklärung und wer meldet den Vorfall der Aufsichtsbehörde, falls eine Meldung erforderlich ist?

Die genannten Beispiele verdeutlichen, dass die neue Rechtssicherheit eher eine theoretische denn eine praktische ist und dass Arbeitgeber bei der Erfüllung ihrer datenschutzrechtlichen Pflichten auf die Zuarbeit von Betriebsräten bzw. auf eine gemeinsame Zusammenarbeit angewiesen sind. Betriebsräte ihrerseits agieren keinesfalls in einem rechtsfreien Raum. Auch sie haben beim Umgang mit personenbezogenen Daten datenschutzrechtliche Vorschriften zu beachten und den Arbeitgeber nach Möglichkeit bei der Erfüllung seiner datenschutzrechtlichen Pflichten zu unterstützen.

Um die Eigenständigkeit von Betriebsräten auf der einen Seite und die datenschutzrechtliche Verantwortlichkeit der Arbeitgeber auf der anderen Seite in Einklang zu bringen, bedarf es klarer Absprachen und interner Prozesse.

datenschutzBR als ganzheitliche Lösung für Arbeitgeber und Betriebsräte

Bei der Umstellung können wir Sie – die Arbeitgeber und Betriebsräte – praxisnah, unkompliziert und mit einem ausgewogenen Lösungsansatz unterstützen. Eigens hierfür haben wir datenschutzBR entwickelt. Als ganzheitliche Lösung unterstützt datenschutzBR Arbeitgeber bei der Erfüllung ihrer datenschutzrechtlichen Pflichten, ohne Betriebsräte in ihrer Selbstorganisation einzuschränken. Damit können potentielle Konfliktfelder der neuen gesetzlichen Vorschriften von Beginn an entschärft werden.

Das Konzept von datenschutzBR

Um Ihnen eine ganzheitliche Lösung bieten zu können, beinhaltet datenschutzBR vier Bausteine:

Muster & Regelungen:

Wir stellen unseren datenschutzBR-Kunden einen Entwurf für eine Regelungsabrede zur Verfügung. In dieser können Betriebsräte und Arbeitgeber die Rahmenbedingungen der künftigen Zusammenarbeit im Bereich Datenschutz individuell regeln. Dies ist der erste wichtige Schritt bei der Einführung eines Datenschutz-Managementsystems für die Betriebsratsarbeit.

Datenschutz-Software:

Der zweite Baustein von datenschutzBR ist eine Softwarelösung, mit der datenschutzrelevante Verarbeitungstätigkeiten des Betriebsrats einfach und unkompliziert dokumentiert werden können. Unsere Softwarelösung enthält nicht nur zahlreiche Muster-Einträge und Muster-Dokumente, sondern verfügt auch über ein flexibles Berechtigungskonzept zur Vergabe von Lese- und Schreibrechten. Dadurch können Arbeitgeber und Betriebsräte – je nach Wunsch – gemeinsam an der Dokumentation arbeiten.

Schulung & Wissen:

Die Weiterbildung und kontinuierliche Vermittlung von Wissen ist der dritte Baustein von datenschutzBR. Die Betriebsratsmitglieder werden durch unsere eLearning-Kurse geschult und sensibilisiert. Neben Grundlagenwissen zum Datenschutz geht es dabei natürlich um betriebsratsspezifische Besonderheiten.

Datenschutz-Neuigkeiten:

Unsere datenschutzBR-Kunden erhalten exklusiven Zugriff auf regelmäßig erscheinende Beiträge rund um das Thema Datenschutz im Betriebsrat, die von unseren Expertinnen und Experten für Datenschutz und Datensicherheit verfasst werden.

Insgesamt schafft datenschutzBR ideale Rahmenbedingungen für die gesetzlich geforderte Zusammenarbeit zwischen Arbeitgebern und Betriebsräten zur Einhaltung der datenschutzrechtlichen Vorschriften und bildet damit das Fundament für ein langfristiges Datenschutzmanagement im Bereich des Betriebsrats – und zwar auf Augenhöhe beider Betriebsparteien.

Für weitere Informationen über datenschutzBR besuchen Sie unsere Landingpage https://www.datenschutz-br.de oder kontaktieren Sie uns unter +49 421 69 66 32-365.