Betriebsrat und Datenschutz
Angesichts der zunehmenden Digitalisierung in den unterschiedlichsten Lebensbereichen und dem damit verbundenen stärkeren Einsatz von IT-Systemen, rückt auch der Schutz personenbezogener Daten von Beschäftigten stärker in den Fokus der Unternehmen, der Beschäftigten aber auch der Arbeitnehmervertretungen.
Seit der Datenschutzgrundverordnung und dem neugefasstem Bundesdatenschutzgesetz trägt auch der Betriebsrat als Arbeitnehmervertretung Verantwortung dafür, dass innerhalb ihrer Organisation datenschutzrechtliche Bestimmungen eingehalten werden. Als Arbeitnehmervertretungsorgan verarbeitet der Betriebsrat Unmengen an personenbezogenen Daten von Arbeitnehmern und Bewerbern. Aus diesem Grund müsste dieser mit gutem Beispiel vorangehen und die Daten in verantwortungsbewusster Weise vor falschem oder unzulässigen Gebrauch schützen.
Das Wichtigste auf einen Blick:
1. Inwieweit ist der Betriebsrat Verantwortlicher im Hinblick auf den Datenschutz ?
Für die Beurteilung der Verantwortlichkeit des Betriebsrats in Sachen Datenschutz ist entscheidend, ob er als Teil des Unternehmens und damit als Teil des für die Verarbeitung personenbezogener Daten Verantwortlichen (Art. 4 Nr. 7 DSGVO) oder vielmehr selbst als Verantwortlicher, und somit als Adressat der Norm anzusehen ist.
Die Entscheidung dieser Frage hat erhebliche praktische Bedeutung für die datenschutzrechtlichen Pflichten des Betriebsrats, dessen Organisation und Haftung, sowie eine mögliche Kontrolle durch einen unternehmensinternen Datenschutzbeauftragten.
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Maßgeblich ist also wer Zweck und Mittel der Verarbeitung bestimmt. Es stellt sich nun die Frage, ob von dieser Definition auch die Arbeitnehmervertretung erfasst ist.
2. Betriebsrat als Verantwortlicher i.S.d DSGVO
Dafür, die Arbeitnehmervertretung im selben Umfang wie Arbeitgeber als verantwortlich anzusehen, spricht zum einen die Entscheidungshoheit des Betriebsrats. In der Praxis entscheidet der Rat regelmäßig selbst darüber, in welcher konkreten Form er mit den an ihn übermittelten Daten verfährt und welche Mittel er dafür einsetzt.
Da sich in der Entscheidung über die Erfüllung der Aufgaben des Betriebsrates gerade die Autonomie des Betriebsrats wiederspiegelt, die zugleich der Kontrolle des Arbeitgebers entzogen ist, erscheint die Einordnung als Verantwortlicher nachvollziehbar.
Vor allem aber, weil durch die zusätzlichen Verarbeitungstätigkeiten des Betriebsrates ein zusätzliches Risiko für die Rechte der Arbeitnehmer entsteht, weil der Betriebsrat unter anderem sensible Daten wie Gehaltslisten, Gesundheitsdaten und andere Personaldaten verarbeitet.
Würde man den Betriebsrat nicht als Verantwortlichen für den Schutz dieser Daten ansehen, könnte dies einen datenschutzfreien Raum innerhalb des Unternehmens zur Folge haben, da der Arbeitgeber in der Regel keine Steuerungsmöglichkeit der datenverarbeitenden Vorgänge innerhalb des Betriebsrats hat.
Für die Verantwortlichkeit des Betriebsrats spricht weiterhin die Wahrung dessen Unabhängigkeit vom Arbeitgeber, die ein Grundprinzip der Betriebsverfassung darstellt und an vielen Stellen des BetrVG deutlich wird.
Würde man den Arbeitgebern Kontrollrechte und Weisungsbefugnisse hinsichtlich der Arbeitsweise des Betriebsrats einräumen, wäre dies mit der gesetzlich geforderten Unabhängigkeit des Betriebsrats nicht vereinbar.
Für die Bestimmung der Verantwortlichkeit des Betriebsrats wird unter anderem unterschieden, ob die Datenvereinbarung der Erfüllung von Kernaufgaben dient oder vielmehr eine eigene Erhebung und Verarbeitung von Beschäftigtendaten zu sonstigen Zwecken stattfindet.
Konsequenterweise wird man den Betriebsrat bei eigener Datenverarbeitung als verantwortliche Stelle ansehen müssen, sodass Betroffene sich zur Ausübung ihrer Rechte an den Betriebsrat wenden müssten.
2.1 Betriebsrat als Teil des verantwortlichen Unternehmens
Auf der anderen Seite erscheint es naheliegender, den Betriebsrat als Teil des Unternehmens und somit als Teil des eigentlichen Verantwortlichen anzusehen.
Folgt man dem Gesetzeswortlaut, liegen die Voraussetzungen des Art. 4 Nr. 7 DSGVO im Hinblick auf den Betriebsrat nicht vor, weil die Bestimmung der Zwecke der Datenverarbeitung für Betriebsräte im BetrVG verankert ist, sodass davon auszugehen ist, dass Betriebsräte den Zweck nicht selbst festlegen können und auch im Hinblick auf die Wahl der Mittel der Datenverarbeitung keine Entscheidungsfreiheit haben.
Diese werden meist vom Arbeitgeber gestellt. Berücksichtigt man neben der rechtlichen Komponente auch praktische Erwägungen, würde die Einstufung des Betriebsrats als Verantwortlichen erheblichen bürokratischen Mehraufwand mit sich bringen, der den Betriebsrat in der Ausübung seiner eigentlichen Hauptaufgabe, der Vertretung von Arbeitnehmerinteressen, beeinträchtigen würde.
Oftmals wird es dem Gremium an dem erforderlichen Fachwissen, sowie Ressourcen fehlen, den umfangreichen datenschutzrechtlichen Pflichten nachzukommen.
2.2 Folgen einer Verantwortlichkeit der Betriebsräte
Würde man den Betriebsrat als Verantwortlichen ansehen, wäre er Adressat zahlreicher datenschutzrechtlicher Verpflichtungen:
Information der Mitarbeiter über Datenverarbeitung innerhalb des Betriebsrates, Art. 13, 14 DSGVO
Führung eines eigenen Datenverarbeitungsverzeichnisses, Art. 30 DSGVO
Erfüllung von Auskunftsansprüchen gegenüber den Arbeitnehmern und Bearbeitung sonstiger Betroffenenrechte
Gewährleistung der Datensicherheit, Art. 32 DSGVO und Meldung von Datenschutzpannen, Art. 33 DSGVO
Notwendigkeit eines eigenen Datenschutzbeauftragten bei größeren Betriebsräten ab 20 Mitgliedern, § 38 BDSG i.V.m. Art. 78 DSGVO
Umsetzung eigener Löschkonzepte
Einen wichtigen Punkt stellt auch die Haftung des Verantwortlichen bei Datenschutzverstößen dar. Insofern müsste der Betriebsrat, wie auch das Unternehmen bei Verstößen gegen Datenschutzrecht, als Adressat von Schadenersatzansprüchen und Bußgeldern zur Haftung herangezogen werden können. Ob dahingehend überhaupt ein Rückgriff auf die Betriebsräte möglich ist, ist fraglich.
Hierfür müsste der Betriebsrat als datenschutzrechtlich Verantwortlicher rechtsfähig sein, sodass er im Falle von Datenschutzverstößen Adressat entsprechender Sanktionen sein könnte.
Schadenersatzansprüche von Betroffenen (Art. 82 DSGVO) und die behördlichen Befugnisse zur Verhängung von Bußgeldern (Art. 83 DSGVO) setzen tendenziell Rechtsfähigkeit des Verantwortlichen voraus, um eine effektive Durchsetzung des Datenschutzes zu gewährleisten.
Als Gremium ist der Betriebsrat grundsätzlich weder vermögens- noch deliktsfähig. Jedoch könnten einzelne Betriebsratsmitglieder bei grob fahrlässigen Datenschutzverstößen zur Verantwortung gezogen werden.
Liegt ein offensichtlicher Datenschutzmissbrauch durch Betriebsratsmitglieder vor, kommt deren persönliche Haftung in Betracht.
Sieht man das Personalvertretungsorgan dagegen als Teil des Arbeitgebers an, ist primär letzterer Adressat der besagten Maßnahmen.
Da der Arbeitgeber in der Praxis, dem Betriebsrat zurechenbare Verarbeitungen bestenfalls nur mittelbar kontrollieren kann, würde dies zu einem unsachgerechten Ergebnis führen, weil für die Berechnung der Höhe des Bußgeldes auch der Arbeitgeber herangezogen werden könnte.
Unabhängig von der Frage nach der generellen datenschutzrechtlichen Verantwortlichkeit, hat der Arbeitgeber demgemäß für Datenschutzverstöße von Betriebsratsmitgliedern in deren Funktion, gerade wegen der mangelnden Kontrollmöglichkeit, sowohl für Schadensersatz als auch für Bußgelder nicht zu haften. Eine Haftung wäre, wenn überhaupt, nur im Rahmen eines Mit- bzw. Organisationsverschuldens denkbar.
Die Durchsetzung von Rechten und Sanktionen gegenüber dem Betriebsrat ist theoretisch zwar möglich, in der Praxis jedoch stets kompliziert.
2.3 Folgen für Arbeitgeber
Arbeitgeber wären bei eigener datenschutzrechtlicher Verantwortung des Betriebsrats etwas entlastet, weil eine klare Verantwortungsverteilung bestünde.
Da der Arbeitgeber die erforderlichen Kosten des Betriebsrats zu tragen hat, wäre eine selbstständige Verantwortlichkeit des Betriebsrats jedoch mit hohen Kosten für das Unternehmen verbunden.
Wird der Betriebsrat als selbstständig Verantwortlicher eingestuft, müssten die Mehrkosten die mit der Erfüllung der damit korrespondierenden Pflichten einhergehen, wie beispielsweise der Beauftragung von Rechtsberatern oder Bestellung externer Datenschutzbeauftragter, auch vom Arbeitgeber getragen werden.
3. Mitarbeiterdatenschutz im Betriebsrat
Im Hinblick auf den Beschäftigtendatenschutz kommt den Betriebsräten, unabhängig von der Feststellung ihrer Verantwortlichkeit, eine wichtige Rolle zu. Auch im Rahmen der Betriebsratstätigkeit müssen datenschutzrechtliche Vorgaben beachtet werden.
Es kann nicht erwartet werden, dass der Betriebsrat datenschutzrechtlich unbelastet und unbeteiligt bleibt. Der Betriebsrat benötigt für seine Tätigkeit regelmäßig Daten der Beschäftigten zur Entscheidungsfindung.
Dabei ist stets zu berücksichtigen, dass er vertrauliche Informationen nicht ohne triftigen Grund, und im Falle sensibler Daten sogar nicht ohne Einwilligung des Betroffenen nutzen darf. In der Praxis handelt es sich oftmals um Beschwerden von Beschäftigten, Bewerbungen, Entscheidungen zur Sozialauswahl oder Kündigungsunterlagen.
Von besonderer Wichtigkeit ist daher, dass der Betriebsrat einen Überblick darüber behält, wer Zugriff auf die Daten hat, welcher Zweck mit der Verarbeitung verfolgt wird und wann deren Löschung erfolgen muss.
Neben solchen Pflichten hat der Betriebsrat stets die Möglichkeit der Kontrolle und der Ergreifung präventiver Maßnahmen zugunsten des Arbeitnehmerdatenschutzes.
Dies resultiert zum einen aus den gesetzlich festgelegten Mitwirkungs- und Mitbestimmungsrechten des Betriebsrats und zum anderen aufgrund des Grundsatzes der vertrauensvollen Zusammenarbeit mit dem Arbeitgeber zum Wohle der Arbeitnehmer.
Insoweit werden dem Gremium zahlreiche datenschutzrechtlich relevante Mitbestimmungsrechte eingeräumt. Von größter Bedeutung ist das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG oder § 75 Abs. 3 Nr. 17 BPersVG. Dieses bestimmt, dass der Betriebs- oder Personalrat bei der Einführung und Anwendung technischer Einrichtungen (beispielsweise Arbeitszeiterfassungssystemen, Telefonanlagen oder PC-Systeme), die dazu bestimmt sind, das Verhalten oder die Leistung von Beschäftigten zu überwachen, ein Mitbestimmungsrecht hat.
Sobald eine technische Einrichtung dazu geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, hat der Betriebsrat ein Mitbestimmungsrecht.
4. Betriebsvereinbarung als Lösung
Arbeitgeber müssen eine Lösung finden um eine gesetzeskonforme Umsetzung des Datenschutzrechts zu realisieren und gleichzeitig die Unabhängigkeit des Betriebsrats zu wahren.
Der Abschluss einer Betriebsvereinbarung ist empfehlenswert um Rechtsunsicherheiten zu vermeiden, Haftungsrisiken- und Kosten so gering wie möglich zu halten und datenschutzkonforme Arbeit innerhalb des Unternehmens sicherzustellen.
Solche Betriebsvereinbarungen können den Betriebsrat wirksam als Teil des Verantwortlichen einordnen und ihm so eine eigene Verantwortung absprechen. Eine solche Kollektivvereinbarung nach § 26 Abs. 4 BDSG nach Maßgaben des Art. 88 Abs. 2 DSGVO ermöglicht als eigenständige datenschutzrechtliche Legitimationsgrundlage die Verarbeitung personenbezogener Daten zum Zwecke der Aufgabenerfüllung innerhalb des Betriebsrats.
In dieser sind die Verpflichtungen aus der DSGVO schriftlich festzuhalten, sodass die Verarbeitung durch den Betriebsrat stets unter den Vorbehalt der Rechtmäßigkeit der Datenverarbeitung zu stellen ist.
Darüber hinaus sind darin Vorgaben zum gesetzeskonformen Umgang mit Beschäftigtendaten festzuhalten, sowie eine Vereinbarung über die Nutzung der bereits beim Arbeitgeber implementierten Datenschutzstrukturen und Systeme durch das Kollektivorgan zu treffen.
Auch die Zuständigkeit des Datenschutzbeauftragten des Arbeitgebers für die datenschutzkonforme Arbeit innerhalb des Betriebsrats kann dort vereinbart werden. Insbesondere eine Vereinbarung über die Einhaltung der Grundsätze der Verarbeitung personenbezogen Daten, der Informationspflichten und Maßnahmen zur Datensicherheit nach Maßgabe der DSGVO, kann die Verantwortungsbereiche des Arbeitgebers und des Arbeitsnehmervertretungsorgans regeln.
Zwar sind Betriebsräte aus dem § 79 BetrVG gesetzlich zur Geheimhaltung verpflichtet, dennoch bedarf es einer zusätzlichen allgemeinen Verpflichtung auf den Datenschutz, die ebenfalls in einer Betriebsvereinbarung erfolgen kann.
Eine solche Vereinbarung kann Unternehmen vor zusätzlichen Betriebsratskosten bewahren, zusätzlichen Arbeitsaufwand für Betriebsräte verringern und das Risiko von Datenschutzverstößen sowie der damit einhergehenden Haftung sowohl für Arbeitgeber als auch den Betriebsrat reduzieren.
5. Fazit
Arbeitgeber und Betriebsrat sollten den Datenschutz besonders ernst nehmen, denn bei Nichteinhaltung der datenschutzrechtlichen Vorgaben drohen Sanktionen, die mit hohen Bußgeldern einhergehen können.
Schwere Verstöße können sogar mit einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes geahndet werden. Wichtig ist also, dass die DSGVO von Betriebsrat und Arbeitgeber genauestens umgesetzt wird, um Abmahnungen, Strafen und Schadenersatzansprüche Betroffener zu vermeiden.
Aus diesem Anlass ist den Arbeitgebern und Betriebsräten zu empfehlen, mit Hilfe von Experten die Einzelheiten und Verantwortlichkeiten, unter Anwendung des Datenschutz- und Arbeitsrechts im Rahmen einer Betriebsvereinbarung
festzuhalten. Nur auf diese Weise können Fehler und Datenschutzpannen vermieden und ein sicherer Umgang mit Beschäftigtendaten gewährleistet werden.
Eine solche Vereinbarung kann Unternehmen vor zusätzlichen Betriebsratskosten bewahren, zusätzlichen Arbeitsaufwand für Betriebsräte verringern und das Risiko von Datenschutzverstößen sowie der damit einhergehenden Haftung sowohl für Arbeitgeber als auch den Betriebsrat reduzieren.
Ähnliche spannende Beiträge
Datenschutz als Einzelunternehmer
Datenschutz für Einzelunternehmer: Diese Bereiche sind relevant für Sie. Jetzt informieren und Haftungsfallen vermeiden.
Risikoanalyse DSGVO
Die Risikoanalyse dient als vorbereitende Einschätzung der Bewertung darüber, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Jetzt informieren.
Matomo DSGVO
Ist der Einsatz von Matomo nach der DSGVO zulässig? In diesem Artikel erhalten Sie alle wichtigen Informationen auf einen Blick.
Bußgeld wegen Datenpanne
Booking.com Bußgeld wegen verspäteter Meldung der Datenpanne: 475.000€. Alle Infos zur Datenpanne und was Sie beachten müssen.
FG München zum Auskunftsanspruch gegen das Finanzamt
In einem aktuellen Urteil (FG München, Urteil vom 4.11.2021, Az. 15 K 118/20) hat das Münchner Finanzgericht festgestellt, dass der datenschutzrechtliche Auskunftsanspruch aus Art. 15 DSGVO grundsätzlich auch im Steuerverfahren für die vom Finanzamt verarbeiteten Daten gilt und dieser nicht in das Ermessen der Finanzbehörde fällt.
Weitreichende Dokumentationspflichten bei Telefonwerbung
Die Anforderungen an die Telefonwerbung; ein heutzutage sehr verbreitetes Marketinginstrument.
