Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Jetzt anmelden!

# 1695222805 © For your inspiration, Shutterstock

Betriebsräte und Datenschutz: Was gilt es zu beachten?

Betriebsräte sollen die Rechte und Interessen der Arbeitnehmenden gegenüber den Arbeitgebenden schützen und durchsetzen. Das gilt auch in Bezug auf die personenbezogenen Daten der Beschäftigten. Im Rahmen ihrer Tätigkeiten erhalten sie dabei weitreichende Einblicke in viele personenbezogene Daten, welche sie gemäß DSGVO auch selbst verarbeiten. Welche Vorschriften gelten hier für den Betriebsrat? Wie erfolgt eine Kontrolle? Und wer haftet bei einem Verstoß gegen die DSGVO? Wir haben die wichtigsten Punkte für Sie zusammengestellt.

Datenübermittlung an den Betriebsrat

Für viele ihrer Aufgaben benötigen Betriebsräte personenbezogene Daten, z.B. damit sie wissen, wen sie vertreten oder wenn sie an Verhandlungen teilnehmen. Diese Daten erhalten sie durch die Arbeitgebenden. Hier wird allerdings darauf geachtet, dass Betriebsräte auch nur diejenigen Daten erhalten, die sie für ihre Arbeit tatsächlich benötigen. Sie erhalten also kein automatisches Zugriffsrecht auf Personaldaten. Der Auskunftsanspruch des Betriebsrats ist also aufgabengebunden. Für die DSGVO-konforme Übermittlung personenbezogener Daten sind die Arbeitgebenden verantwortlich. Werden die Schutzmaßnahmen seitens der Betriebsräte nicht erfüllt, haben Arbeitgebende das Recht, die Übermittlung von Daten zu verweigern.

Pflichten des Betriebsrats

Grundsätzlich gilt, dass sich Betriebsräte genauso an die Vorgaben der DSGVO halten müssen wie z.B. auch Arbeitgebende. Betriebsräte benötigen dabei nach herrschender Meinung keine eigenen Datenschutzbeauftragten, da sie Teil eines Unternehmens sind. Das Bundesarbeitsgericht fordert allerdings gewisse Mindeststandards. Dazu gehören ein zuverlässiger Verschluss der betroffenen Daten, begrenzte Zugriffsmöglichkeit und ein entsprechendes Löschkonzept. Das heißt, Betriebsräte müssen durch geeignete technische und organisatorische Maßnahmen den Schutz der zugänglichen Beschäftigtendaten sicherstellen. Zusätzlich empfiehlt sich eine interne Dokumentation in Form eines Verarbeitungsverzeichnisses.

Da Betriebsräte nur personenbezogene Daten erhalten, um ihren Aufgaben nachgehen zu können, werden die Daten in der Regel lediglich zur Einsichtnahme - und nicht zur Speicherung - zur Verfügung gestellt. 

Grundsätzlich gilt, dass sich Betriebsräte genauso an die Vorgaben der DSGVO halten müssen.

© s-o-c-i-a-l-c-u-t, Unsplash

Das rechtfertigt weder eine Speicherung noch eine Verarbeitung. Zusätzlich dürfen Daten nicht zur Anlage einer eigenen Personalakte genutzt werden. Personaldaten dürfen ebenfalls nur solange verarbeitet werden wie es zur Ausübung der Arbeit des Betriebsrats erforderlich ist. Auch die Weitergabe von Daten an beispielsweise Gewerkschaften ist ohne die Einwilligung der Betroffenen unzulässig. Zusätzlich müssen bei der Verarbeitung sensitiver Daten laut DSGVO angemessene und spezifische Schutzmaßnahmen getroffen werden. 

Da Betriebsräte personenbezogene Daten verarbeiten und speichern, sind sie auch verpflichtet, Betroffenen auf Nachfrage Auskunft darüber zu erteilen sowie Verbesserungen oder Löschungen falscher oder (nicht mehr) zulässiger Daten vorzunehmen. Ebenso können Einschränkungs- und Widerspruchsrechte an Betriebsräte gerichtet werden. 

Zuständigkeiten und Kontrolle

Im Unternehmen kommt es schnell zu Verunsicherung, wer wofür zuständig ist, wenn es keine klaren Regelungen gibt. Dies gilt auch für die Umsetzung der DSGVO durch Arbeitgebende und Betriebsräte. Daher bietet es sich an, unternehmensintern im Rahmen einer Betriebsvereinbarung die Verantwortung des Betriebsrats für bestimmte Vorgaben aus der DSGVO festzulegen sowie Prozesse zur Kooperation aufzusetzen, die die Umsetzung des Datenschutzes sicherstellen. Die Vereinbarung muss dabei dem Bestimmtheits- und Transparenzgebot entsprechen und die Persönlichkeitsrechte der Arbeitnehmenden schützen. Durch solche Vereinbarungen kann die Rechtssicherheit erhöht und klare und verständliche Regelungen (Transparenz) geschaffen werden. Außerdem kann der Erlaubnistatbestand näher ausgestaltet werden. 

Da Betriebsräte der DSGVO unterliegen, muss ihre Konformität überprüft werden. Diese Kontrolle erfolgt durch die Datenschutzbeauftragten (DSB) der Unternehmen. Die Datenschutzbeauftragten nehmen zusätzlich eine beratende Funktion für die Betriebsräte ein. Gleichzeitig hat der Betriebsrat die Pflicht, die Einhaltung des Beschäftigtendatenschutzes und der gesetzlichen Anforderungen seitens der Arbeitgebenden zu überprüfen. Somit wird der Betrieb durch drei Stellen kontrolliert: den Betriebsrat, den hauseigenen DSB und die Aufsichtsbehörden. 

Haftung

Es ist noch nicht abschließend geklärt, ob Betriebsräte als eigenständige Verantwortliche nach DSGVO gelten. Deshalb bleibt auch die Frage, wer bei Datenschutzverstößen durch Betriebsräte und ihre Mitglieder haftet, bisher offen. Das heißt allerdings nicht, dass der Betriebsrat von den Schutzstandards des Beschäftigtendatenschutzes befreit ist. Aufsichtsbehörden können gegenüber Betriebsräten verschiedene Abhilfemaßnahmen anwenden. Diese reichen von Verwarnungen über Löschung oder Berichtigung von Daten bis hin zur Verhängung von Verarbeitungsverboten. 

Es ist noch nicht abschließend geklärt, ob Betriebsräte als eigenständige Verantwortliche nach DSGVO gelten.

© Tingey Injury Law Firm, Unsplash

Damit es gar nicht erst zu Datenschutzverstößen kommt, bietet es sich an, dass Mitglieder des Betriebsrats regelmäßig an Schulungen teilnehmen und sich entsprechend weiterbilden. Dies ist auch im Sinne des Betriebsrats, da nur so der Schutz der Persönlichkeitsrechte von Mitarbeitenden sichergestellt und ihre Interessen adäquat vertreten werden können.

Quellen

Gola (2018): Datenschutz-Grundverordnung: DS-GVO, C.H.Beck, 2. Auflage. Maschmann, F. (2020): „Der Betriebsrat als für den Datenschutz Verantwortlicher“, Neue Zeitschrift für Arbeitsrecht, Heft 18, C.H.Beck, S. 1201-1272. 

o.V. (2019): „BAG, 09.04.2019 - 1 ABR 51/17: Auskunftsanspruch des Betriebsrats über (sensible) personenbezogene Arbeitnehmerdaten“, Neue Zeitschrift für Arbeitsrecht, Heft 15, C.H.Beck, S. 1017-1096. 

Pötters, S. und M. Hansen (2020): „Datenschutzanforderungen an die Betriebsratsarbeit“, Arbeitsrecht Aktuell, Heft 8, C.H. Beck, S. 181-212. 

Schröder, G. F. (2019): Datenschutzrecht für die Praxis: Grundlagen, Datenschutzbeauftragte, Audit, Handbuch, Haftung etc., Beck im dtv, 3. Auflage. 

Stück, V. (2019): „Betriebsrat oder Geheimrat: Beschäftigtendatenschutz beim Betriebsrat“, Zeitschrift für Datenschutz, Heft 6, C.H.Beck, S. 237-284. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies