Mit § 79a Betriebsverfassungsgesetz (BetrVG) ist klargestellt, dass für Datenverarbeitungen des Betriebsrats der Arbeitgeber datenschutzrechtlich verantwortlich ist. Folglich ist der Datenschutzbeauftragte des Arbeitgebers ebenfalls für den Betriebsrat zuständig. Eine der Aufgaben des Datenschutzbeauftragten ist die Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 lit. b DSGVO). Der Datenschutzbeauftragte hat somit auch die Einhaltung des Datenschutzes bei der Betriebsratsarbeit zu kontrollieren. Solche Kontrollen sollten dabei natürlich immer die besondere Stellung des Betriebsrats beachten und in enger Abstimmung mit diesem erfolgen.

Kirchliche Mitarbeitervertretungen

Das Gegenstück zum Betriebsrat in kirchlichen Einrichtungen ist die Mitarbeitervertretung. Weder im evangelischen Datenschutzgesetz (DSG-EKD) oder im katholischen Datenschutzgesetz (KDG) noch in den Vorschriften über Mitarbeitervertretungen (MVG-EKD und MAVO) finden sich Regelungen zur datenschutzrechtlichen Verantwortlichkeit der Mitarbeitervertretung wie in § 79a BetrVG. Trotzdem kann auch ohne explizite rechtliche Klarstellung davon ausgegangen werden, dass die Mitarbeitervertretungen den Dienstgebern als datenschutzrechtlich Verantwortlichen zugeordnet sind.

Mitarbeitervertretungen in evangelischen Einrichtungen

Dieser Meinung ist auch die evangelische Datenschutzaufsichtsbehörde, wie der Beauftragte für den Datenschutz (BfD EKD) in einer Meldung auf seiner Website klarstellt. Darin heißt es, dass örtlich Beauftragte für den Datenschutz – die evangelische Version des Datenschutzbeauftragten – die Mitarbeitervertretung kontrollieren dürfen. Für Mitarbeitervertretungen, die sich bisher als selbst für datenschutzrechtlich verantwortlich erachtet haben, ist damit klar, dass diese Meinung nicht mehr haltbar ist. Einer Zusammenarbeit und Kontrolle durch den örtlich Beauftragten für den Datenschutz können sie sich nicht mehr entziehen.

Mitarbeitervertretungen in katholischen Einrichtungen

Die katholischen Aufsichtsbehörden haben sich bereits in den Tätigkeitsberichten für das Jahr 2021 zur Frage der Verantwortlichkeit positioniert. Dabei fällt auf, dass die Katholische Datenschutzaufsicht Nord und das Katholische Datenschutzzentrum in ihren Formulierungen eher zurückhalten sind. Dort heißt es, dass § 79a BetrVG auch im katholischen Bereich zur Auslegung der Frage der Verantwortlichkeit herangezogen werden kann. Die Katholische Datenschutzaufsicht Ost äußert hingegen ganz eindeutig die Ansicht, dass der Arbeitgeber für die Verarbeitungstätigkeiten der Mitarbeitervertretung verantwortlich ist.

Fazit

Im Ergebnis müssen sowohl weltliche Betriebsräte als auch katholische und evangelische Mitarbeitervertretungen einsehen, dass sie aus datenschutzrechtlicher Sicht Teil des verantwortlichen Arbeit- bzw. Dienstgebers sind. Das bedeutet, dass im Bereich des Datenschutzes eine Zusammenarbeit mit dem Arbeit- bzw. Dienstgeber unerlässlich ist, um die datenschutzrechtlichen Pflichten zu erfüllen. Betriebsräte und Mitarbeitervertretungen unterliegen vollumfänglich dem Datenschutzrecht und müssen entsprechend handeln. Dazu gehört bspw. die oft unbequeme Tatsache, dass Daten und Unterlagen in den meisten Fällen viel früher gelöscht werden müssen, als dies bisher in der Praxis der Fall ist. Insofern hat der Datenschutzbeauftragte das Recht und die Pflicht den Betriebsrat bzw. die Mitarbeitervertretung auf mögliche Missstände hinzuweisen. Doch auch wenn der Datenschutz mal „unbequem“ wird, sollten sich Betriebsräte und Mitarbeitervertretungen immer klar machen: Der Datenschutz dient vor allem dem Schutz der Personen, die sie vertreten – den Beschäftigten.