.st0{fill:#FFFFFF;}

Betriebsrat und Datenschutz 

 Mai 23, 2020

By  Thomas Kolb

Betriebsrat und Datenschutz

Angesichts der zunehmenden Digitalisierung in den unterschiedlichsten Lebensbereichen und dem damit verbundenen stärkeren Einsatz von IT-Systemen, rückt auch der Schutz personenbezogener Daten von Beschäftigten stärker in den Fokus der Unternehmen, der Beschäftigten aber auch der Arbeitnehmervertretungen. 

Seit der Datenschutzgrundverordnung und dem neugefasstem Bundesdatenschutzgesetz trägt auch der Betriebsrat als Arbeitnehmervertretung Verantwortung dafür, dass innerhalb ihrer Organisation datenschutzrechtliche Bestimmungen eingehalten werden. Als Arbeitnehmervertretungsorgan verarbeitet der Betriebsrat Unmengen an personenbezogenen Daten von Arbeitnehmern und Bewerbern. Aus diesem Grund müsste dieser mit gutem Beispiel vorangehen und die Daten in verantwortungsbewusster Weise vor falschem oder unzulässigen Gebrauch schützen. 

Das Wichtigste auf einen Blick:

  • Die Frage, ob der Betriebsrat als Verantwortlicher i.S.d. DSGVO anzusehen ist, ist nicht abschließend geklärt 
  • Betriebsräte müssen unabhängig von der Feststellung ihrer Verantwortlichkeit bei der Betriebsratstätigkeit datenschutzrechtliche Vorgaben beachten 
  • Der Abschluss von Betriebsvereinbarung ist empfehlenswert, um Rechtsunsicherheiten zu vermeiden, Haftungsrisiken- und Kosten so gering wie möglich zu halten und datenschutzkonforme Arbeit innerhalb des Unternehmens  sicherzustellen 

1. Inwieweit ist der Betriebsrat Verantwortlicher im Hinblick auf den Datenschutz ? 

Für die Beurteilung der Verantwortlichkeit des Betriebsrats in Sachen Datenschutz ist entscheidend, ob er als Teil des Unternehmens und damit als Teil des für die Verarbeitung personenbezogener Daten Verantwortlichen (Art. 4 Nr. 7 DSGVO) oder vielmehr selbst als Verantwortlicherund somit als Adressat der Norm anzusehen ist. 

Die Entscheidung dieser Frage hat erhebliche praktische Bedeutung für die datenschutzrechtlichen Pflichten des Betriebsrats, dessen Organisation und Haftung, sowie eine mögliche Kontrolle durch einen unternehmensinternen Datenschutzbeauftragten.  

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 

Maßgeblich ist also wer Zweck und Mittel der Verarbeitung bestimmt. Es stellt sich nun die Frage, ob von dieser Definition auch die Arbeitnehmervertretung erfasst ist.

  

2. Betriebsrat als Verantwortlicher i.S.d DSGVO 

Dafür, die Arbeitnehmervertretung im selben Umfang wie Arbeitgeber als verantwortlich anzusehen, spricht zum einen die Entscheidungshoheit des Betriebsrats.  In der Praxis entscheidet der Rat regelmäßig selbst darüber, in welcher konkreten Form er mit den an ihn übermittelten Daten verfährt und welche Mittel er dafür einsetzt. 

Da sich in der Entscheidung über die Erfüllung der Aufgaben des Betriebsrates gerade die Autonomie des Betriebsrats wiederspiegelt, die zugleich der Kontrolle des Arbeitgebers entzogen ist, erscheint die Einordnung als Verantwortlicher nachvollziehbar

Ein Datenschutz-Paket ausgerichtet auf mein Unternehmen?

Datenschutzpaket erwerben. Haftung vermeiden.
30 Tage Garantie.

Vor allem aber, weil durch die zusätzlichen Verarbeitungstätigkeiten des Betriebsrates ein zusätzliches Risiko für die Rechte derArbeitnehmer entsteht, weil der Betriebsrat unter anderem sensible Daten wie Gehaltslisten, Gesundheitsdaten und andere Personaldaten verarbeitet. 

Würde man den Betriebsrat nicht als Verantwortlichen für den Schutz dieser Daten ansehen, könnte dies einen datenschutzfreien Raum innerhalb des Unternehmens zur Folge haben, da der Arbeitgeber in der Regel keine Steuerungsmöglichkeit der datenverarbeitenden Vorgänge innerhalb des Betriebsrats hat 

Für die Verantwortlichkeit des Betriebsrats spricht weiterhin die Wahrung dessen Unabhängigkeit vom Arbeitgeber, die ein Grundprinzip der Betriebsverfassung darstellt und an vielen Stellen des BetrVG deutlich wird.

Würde man den Arbeitgebern Kontrollrechte und Weisungsbefugnisse hinsichtlich der Arbeitsweise des Betriebsrats einräumen, wäre dies mit der gesetzlich geforderten Unabhängigkeit des Betriebsrats nicht vereinbar.  

Für die Bestimmung der Verantwortlichkeit des Betriebsrats wird unter anderem unterschieden, ob die Datenvereinbarung der Erfüllung von Kernaufgaben dient oder vielmehr eine eigene Erhebung und Verarbeitung von Beschäftigtendaten zu sonstigen Zwecken stattfindet.

Konsequenterweise wird man den Betriebsrat bei eigener Datenverarbeitung als verantwortliche Stelle ansehen müssen, sodass Betroffene sich zur Ausübung ihrer Rechte an den Betriebsrat wenden müssten. 


2.1 Betriebsrat als Teil des verantwortlichen Unternehmens 

Auf der anderen Seite erscheint es naheliegender, den Betriebsrat als Teil des Unternehmens und somit als Teil des eigentlichen Verantwortlichen anzusehen.

Folgt man dem Gesetzeswortlautliegen die Voraussetzungen des Art. 4 Nr. 7 DSGVO im Hinblick auf den Betriebsrat nicht vor, weil die Bestimmung der Zwecke der Datenverarbeitung für Betriebsräte im BetrVG verankert ist, sodass davon auszugehen ist, dass Betriebsräte den Zweck nicht selbst festlegen können und auch im Hinblick auf die Wahl der Mittel der Datenverarbeitung keine Entscheidungsfreiheit haben. 

Diese werden meist vom Arbeitgeber gestellt. Berücksichtigt man neben der rechtlichen Komponente auch praktische Erwägungen, würde die Einstufung des Betriebsrats als Verantwortlichen erheblichen bürokratischen Mehraufwand mit sich bringen, der den Betriebsrat in der Ausübung seiner eigentlichen Hauptaufgabe, der Vertretung von Arbeitnehmerinteressen, beeinträchtigen würde.

Oftmals wird es dem Gremium an dem erforderlichen Fachwissen, sowie Ressourcen fehlen, den umfangreichen datenschutzrechtlichen Pflichten nachzukommen.  

2.2 Folgen einer Verantwortlichkeit der Betriebsräte 

Würde man den Betriebsrat als Verantwortlichen ansehen, wäre er Adressat zahlreicher datenschutzrechtlicher Verpflichtungen 

  • Information der Mitarbeiter über Datenverarbeitung innerhalb des Betriebsrates, Art. 13, 14 DSGVO 

  • Führung eines eigenen Datenverarbeitungsverzeichnisses, Art. 30 DSGVO 

  • Erfüllung von Auskunftsansprüchen gegenüber den Arbeitnehmern und Bearbeitung sonstiger Betroffenenrechte 

  • Gewährleistung der Datensicherheit, Art. 32 DSGVO und Meldung von Datenschutzpannen, Art. 33 DSGVO 

  • Notwendigkeit eines eigenen Datenschutzbeauftragten bei größeren Betriebsräten ab 20 Mitgliedern, § 38 BDSG  i.V.m. Art. 78 DSGVO  

  • Umsetzung eigener Löschkonzepte 

Einen wichtigen Punkt stellt auch die Haftung des Verantwortlichen bei Datenschutzverstößen dar. Insofern müsste der Betriebsrat, wie auch das Unternehmen bei Verstößen gegen Datenschutzrecht, als Adressat von Schadenersatzansprüchen und Bußgeldern zur Haftung herangezogen werden können. Ob dahingehend überhaupt ein Rückgriff auf die Betriebsräte möglich ist, ist fraglich. 

Hierfür müsste der Betriebsrat als datenschutzrechtlich Verantwortlicher rechtsfähig sein, sodass er im Falle von Datenschutzverstößen Adressat entsprechender Sanktionen sein könnte. 

Schadenersatzansprüche von Betroffenen (Art. 82 DSGVO) und die behördlichen Befugnisse zur Verhängung von Bußgeldern (Art. 83 DSGVO) setzen tendenziell Rechtsfähigkeit des Verantwortlichen voraus, um eine effektive Durchsetzung des Datenschutzes zu gewährleisten

Als Gremium ist der Betriebsrat grundsätzlich weder vermögens- noch deliktsfähig. Jedoch könnten einzelne Betriebsratsmitglieder bei grob fahrlässigen Datenschutzverstößen zur Verantwortung gezogen werden. 

Liegt ein offensichtlicher Datenschutzmissbrauch durch Betriebsratsmitglieder vor, kommt deren persönliche Haftung in Betracht.  

Sieht man das Personalvertretungsorgan dagegen als Teil des Arbeitgebers an, ist primär letzterer Adressat der besagten Maßnahmen. 

Da der Arbeitgeber in der Praxis, dem Betriebsrat zurechenbare Verarbeitungen bestenfalls nur mittelbar kontrollieren kann, würde dies zu einem unsachgerechten Ergebnis führen, weil  für die Berechnung der Höhe des Bußgeldes auch der Arbeitgeber herangezogen werden könnte.

Unabhängig von der Frage nach der generellen datenschutzrechtlichen Verantwortlichkeit, hat der Arbeitgeber demgemäß für Datenschutzverstöße von Betriebsratsmitgliedern in deren Funktion, gerade wegen der mangelnden Kontrollmöglichkeit, sowohl für Schadensersatz als auch für Bußgelder nicht zu haften. Eine Haftung wärewenn überhaupt, nur im Rahmen eines Mit- bzw. Organisationsverschuldens denkbar. 

Die Durchsetzung von Rechten und Sanktionen gegenüber dem Betriebsrat ist theoretisch zwar möglich, in der Praxis jedoch stets kompliziert. 


2.3 Folgen für Arbeitgeber 

Arbeitgeber wären bei eigener datenschutzrechtlicher Verantwortung des Betriebsrats etwas entlastet, weil eine klare Verantwortungsverteilung bestünde

Da der Arbeitgeber die erforderlichen Kosten des Betriebsrats zu tragen hat, wäre eine selbstständige Verantwortlichkeit des Betriebsrats jedoch mit hohen Kosten für das Unternehmen verbunden. 

Wird der Betriebsrat als selbstständig Verantwortlicher eingestuft, müssten die Mehrkosten die mit der Erfüllung der damit korrespondierenden Pflichten einhergehen, wie beispielsweise der Beauftragung von Rechtsberatern oder  Bestellung externer Datenschutzbeauftragter, auch vom Arbeitgeber getragen werden. 

3. Mitarbeiterdatenschutz im Betriebsrat 

Im Hinblick auf den Beschäftigtendatenschutz kommt den Betriebsräten, unabhängig von der Feststellung ihrer Verantwortlichkeiteine wichtige Rolle zuAuch im Rahmen der Betriebsratstätigkeit müssen datenschutzrechtliche Vorgaben beachtet werden.

Es kann nicht erwartet werden, dass der Betriebsrat datenschutzrechtlich unbelastet und unbeteiligt bleibt. Der Betriebsrat benötigt für seine Tätigkeit regelmäßig Daten der Beschäftigten zur Entscheidungsfindung.

Dabei ist stets zu berücksichtigen, dass er vertrauliche Informationen nicht ohne triftigen Grund, und im Falle sensibler Daten sogar nicht ohne Einwilligung des Betroffenen nutzen darf. In der Praxis handelt es sich oftmals um Beschwerden von Beschäftigten, Bewerbungen, Entscheidungen zur Sozialauswahl oder Kündigungsunterlagen.

Von besonderer Wichtigkeit ist daher, dass der Betriebsrat einen Überblick darüber behält, wer Zugriff auf die Daten hat, welcher Zweck mit der Verarbeitung verfolgt wird und wann deren Löschung erfolgen muss 

Neben solchen Pflichten hat der Betriebsrat stets die Möglichkeit der Kontrolle und der Ergreifung präventiver Maßnahmen zugunsten des Arbeitnehmerdatenschutzes.

Dies resultiert zum einen aus den gesetzlich festgelegten Mitwirkungs- und Mitbestimmungsrechten des Betriebsrats und zum anderen aufgrund des Grundsatzes der vertrauensvollen Zusammenarbeit mit dem Arbeitgeber zum Wohle  der Arbeitnehmer. 

Insoweit werden dem Gremium zahlreiche datenschutzrechtlich relevante Mitbestimmungsrechte eingeräumt. Von größter Bedeutung ist das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG oder § 75 Abs. 3 Nr. 17 BPersVG. Dieses bestimmt, dass der Betriebsoder Personalrat bei der Einführung und Anwendung technischer Einrichtungen (beispielsweise Arbeitszeiterfassungssystemen, Telefonanlagen oder PC-Systeme), die dazu bestimmt sind, das Verhalten oder die Leistung von Beschäftigten zu überwachen, ein Mitbestimmungsrecht hat.

Sobald eine technische Einrichtung dazu geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, hat der Betriebsrat ein Mitbestimmungsrecht 

4. Betriebsvereinbarung als Lösung  

Arbeitgeber müssen eine Lösung finden um eine gesetzeskonforme Umsetzung des Datenschutzrechts zu realisieren und gleichzeitig die Unabhängigkeit des Betriebsrats zu wahren. 

Der Abschluss einer Betriebsvereinbarung ist empfehlenswert um Rechtsunsicherheiten zu vermeiden, Haftungsrisiken- und Kosten so gering wie möglich zu halten und datenschutzkonforme Arbeit innerhalb des Unternehmens sicherzustellen. 

Solche Betriebsvereinbarungen können den Betriebsrat wirksam als Teil des Verantwortlichen einordnen und ihm so eine eigene Verantwortung absprechen. Eine solche Kollektivvereinbarung nach § 26 Abs. 4 BDSG nach Maßgaben des Art. 88 Abs. 2 DSGVO ermöglicht  als eigenständige datenschutzrechtliche Legitimationsgrundlage die Verarbeitung personenbezogener Daten zum Zwecke der Aufgabenerfüllung innerhalb des Betriebsrats.

In dieser sind die Verpflichtungen aus der DSGVO schriftlich festzuhalten, sodass die Verarbeitung durch den Betriebsrat stets unter den Vorbehalt der Rechtmäßigkeit der Datenverarbeitung zu stellen ist. 

Darüber hinaus sind darin Vorgaben zum gesetzeskonformen Umgang mit Beschäftigtendaten festzuhalten, sowie eine Vereinbarung über die Nutzung der bereits beim Arbeitgeber implementierten Datenschutzstrukturen und Systeme durch das Kollektivorgan zu treffen

Auch die Zuständigkeit des Datenschutzbeauftragten des Arbeitgebers für die datenschutzkonforme Arbeit innerhalb des Betriebsrats kann dort vereinbart werdenInsbesondere eine Vereinbarung über die Einhaltung der Grundsätze der Verarbeitung personenbezogen Daten, der Informationspflichten und Maßnahmen zur Datensicherheit nach Maßgabe der DSGVO, kann die Verantwortungsbereiche des Arbeitgebers und des Arbeitsnehmervertretungsorgans regeln. 

Zwar sind Betriebsräte aus dem § 79 BetrVG gesetzlich zur Geheimhaltung verpflichtet, dennoch bedarf es einer zusätzlichen allgemeinen Verpflichtung auf den Datenschutz, die ebenfalls in einer Betriebsvereinbarung erfolgen kann. 

Eine solche Vereinbarung kann Unternehmen vor zusätzlichen Betriebsratskosten bewahren, zusätzlichen Arbeitsaufwand für Betriebsräte verringern und das Risiko von Datenschutzverstößen sowie der damit einhergehenden Haftung sowohl für Arbeitgeber als auch den Betriebsrat reduzieren. 

5. Fazit 

Arbeitgeber und Betriebsrat sollten den Datenschutz besonders ernst nehmen, denn bei Nichteinhaltung der datenschutzrechtlichen Vorgaben drohen Sanktionen, die mit hohen Bußgeldern einhergehen können.

Schwere Verstöße können sogar mit einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes geahndet werden. Wichtig ist also, dass die DSGVO von Betriebsrat und Arbeitgeber genauestens umgesetzt wird, um AbmahnungenStrafen und Schadenersatzansprüche Betroffener zu vermeiden. 

Aus diesem Anlass ist den Arbeitgebern und Betriebsräten zu empfehlen, mit Hilfe von Experten die Einzelheiten und Verantwortlichkeiten, unter Anwendung des Datenschutz- und Arbeitsrechts im Rahmen einer Betriebsvereinbarung 
festzuhalten. Nur auf diese Weise können Fehler und Datenschutzpannen vermieden und ein sicherer Umgang mit Beschäftigtendaten gewährleistet werden.  

Eine solche Vereinbarung kann Unternehmen vor zusätzlichen Betriebsratskosten bewahren, zusätzlichen Arbeitsaufwand für Betriebsräte verringern und das Risiko von Datenschutzverstößen sowie der damit einhergehenden Haftung sowohl für Arbeitgeber als auch den Betriebsrat reduzieren. 

Ähnliche spannende Beiträge

Datenschutz und Betriebsrat

Betriebsrat und Datenschutz

Welche Rolle nimmt der Betriebsrat im Thema Datenschutz ein? Ist dieser womöglich sogar ein Verantwortlicher iSd DSGVO? Alles Infos auf einen Blick.

Weiterlesen
Kundendatenschutz DSGVO

Kundendatenschutz

Was gilt es beim Kundendatenschutz zu beachten? Welche Vorgaben gilt es einzuhalten? Alle Informationen auf einen Blick. Alle Infos für die Praxis.

Weiterlesen
Artikel 82 DSGVO

Art 82 DSGVO

Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?

Weiterlesen
Artikel 82 DSGVO

Der Datenschutzbeauftragte

Ein Datenschutzbeauftragter wird in allen datenschutzrechtlichen Bereichen, vor allem durch Beratung, Kontrolle und Aufklärung tätig. Außerdem unterstützt er das Unternehmen bei der Umsetzung der gesetzlichen Vorschriften.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Krankenhaus

Der Datenschutz im Krankenhaus ist enorm wichtig, vor allem deshalb, weil häufig mit sensiblen personenbezogenen Daten hantiert wird.

Weiterlesen

Ein Datenschutz-Paket ausgerichtet auf mein Unternehmen?


Datenschutzpaket erwerben. Haftung vermeiden.
30 Tage Garantie.