Zur Navigation springen Zum Inhalt springen Zum Footer springen

Folgen der DSGVO für Betriebsräte

Rechtstipp vom 16.04.2019
Aktualisiert am 17.04.2019
(3)
Rechtstipp vom 16.04.2019
Aktualisiert am 17.04.2019
(3)

Arbeitnehmerdatenschutz ist Aufgabe des Betriebsrats. Die DSGVO macht diese nicht einfacher. Betriebsräte sollten mit dem Arbeitgeber regeln, wer die daraus folgenden Pflichten erfüllt und wie sie den Datenschutzbeauftragten einbinden.

Keine generelle Mitbestimmung beim Datenschutz

Der Betriebsrat hat in vielen Angelegenheiten gem. § 87 BetrVG mitzubestimmen. Eine konkrete Mitbestimmung beim Datenschutz gibt es aber nicht. Mitbestimmen darf der Betriebsrat jedoch insbesondere bei der Einführung neuer technischer Einrichtungen zur Überwachung des Verhaltens oder der Leistung von Mitarbeitern.

Auch Art. 88 DSGVO verlangt explizit das Treffen von Schutzmaßnahmen bei Überwachungssystemen am Arbeitsplatz. Schließlich geht Überwachung einher mit der Verarbeitung von Bewegungsdaten Beschäftigter und damit personenbezogener Daten.

Rollenverteilung zwischen Betriebsrat und Datenschutzbeauftragen

Kontrollpflichten hat jedoch gem. Art. 39 DSGVO auch der Datenschutzbeauftragte. Er muss die Einhaltung der DSGVO überwachen. Wer ist deshalb nun für den Datenschutz zuständig? Datenschutzbeauftragter oder Betriebsrat? 

Einen Hinweis gibt § 26 Abs. 6 BDSG-neu: Danach bleiben die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt. Der Betriebsrat darf seine Mitbestimmungsrechte also unabhängig vom Datenschutzbeauftragten ausüben. 

Deutschland hat insofern in § 26 BDSG-neu von Art. 88 DSGVO Gebrauch gemacht. Dieser ermöglicht den EU-Staaten spezifischere Vorschriften zur Verarbeitung von Beschäftigtendaten. Vorrangig ist jedoch die DSGVO.

Zugleich hat der Betriebsrat gem. § 80 BetrVG die allgemeine Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Das gilt auch für den Datenschutz. So kollidiert die nationale Regelung mit der in der DSGVO nicht vorgesehenen Ausnahme von den Kontrollpflichten des Datenschutzbeauftragen für bestimmte Bereiche.

Die Folge ist ein Widerspruch. Dieser wird vermutlich auch Folgen für die bisherige Rechtsprechung des Bundesarbeitsgerichts (BAG) haben. 1997 hatte das BAG Kontrollrechte des betrieblichen Datenschutzbeauftragten abgelehnt, weil dieser ein „verlängerter Arm“ des Arbeitgebers sei (Urteil v. 11.11.97, Az.: 1 ABR 21/97). Die europarechtliche Grundlage war damals jedoch eine andere und als EU-Richtlinie weniger stark im verankert als sie es nun in Form einer EU-Verordnung ist.

Die Zuständigkeitsfrage ließe sich mit der Pflicht des Betriebsrats zur Bestellung eines eigenen Datenschutzbeauftragten beantworten. Eine solche Pflicht ist jedoch aktuell nicht ersichtlich, wie weiter unten noch dargestellt wird.

Unkoordiniert voneinander sollten beide Seiten das Thema Datenschutz deshalb nicht behandeln. Betriebsrat und Datenschutzbeauftragten ist anzuraten, ihre aus dem Betriebsverfassungsrecht und dem Datenschutzrecht erwachsenden Pflichten Hand in Hand erfüllen.

Betriebsrat als eigener Verantwortlicher im Sinne der DSGVO

Aufgrund der DSGVO halten einige Stimmen den Betriebsrat für einen eigenen Verantwortlichen neben dem datenverarbeitenden Unternehmen. Infolgedessen träfen Betriebsräte direkt DSGVO-Pflichten. Sie wären insb. alleinverantwortlich zur:

  • Erfüllung eigener Informationspflichten
  • Führung eines eigenen Verfahrensverzeichnisses
  • Beantwortung an ihn gerichteter Auskunftsansprüche
  • Abschluss von Auftragsvereinbarungen mit Dienstleistern
  • Bestellung eines eigenen Datenschutzbeauftragten, unter einer der folgenden Voraussetzungen:
  • Verarbeitung besonderer Kategorien von personenbezogenen Daten, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren
  • Oder regelmäßig Verarbeitung genereller personenbezogener Daten durch mindestens 10 Betriebsratsmitarbeiter z. B. mittels PC oder deren Speicherung in einem Dateisystem

Aktuell ist es bei Überlegungen der Datenschutzbehörden geblieben. Ein entsprechender gemeinsamer Beschluss der Datenschutzkonferenz fehlt. Selbst wenn es zu diesem käme, wäre immer noch gerichtlich überprüfbar, ob Betriebsräte als selbstständig verantwortliche Stellen gelten. Insbesondere das Bundesarbeitsgericht sah Betriebsräte datenschutzrechtlich bisher nur als Teil des Arbeitgebers.

Betriebsvereinbarung als Best-Practice für alle Beteiligten

Allerdings raten die Behörden Betriebsräten und Arbeitgebern berechtigt zu einer Regelung ihrer jeweiligen datenschutzrechtlichen Pflichten in einer Betriebsvereinbarung. Denn auch bei einer Zuordnung zum Unternehmen als Verantwortlichem muss der Betriebsrat den Datenschutz beachten. Ebenfalls geregelt werden sollte dabei die Rolle des Datenschutzbeauftragten im Dreieck Arbeitgeber- Datenschutzbeauftragter-Betriebsrat-.

Entsprechende Regelungen der Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses mittels Kollektivvereinbarung erlauben ausdrücklich Art. 88 Abs. 2 DSGVO und § 26 Abs. 4 BDSG-neu. Erwägungsgrund 155 konkretisiert den Umfang und die mögliche Regelung per Betriebsvereinbarung.

Konkrete Inhalte einer solchen Betriebsvereinbarung können beispielsweise sein:

  • Zusammenwirken zur Erfüllung der oben genannten DSGVO-Pflichten
  • Zweckbindung für Überwachungssysteme und den Umgang mit den erhobenen Daten
  • Private Nutzung von E-Mail-Systemen durch Arbeitnehmer
  • Umgang mit „Whistleblowern“

In jedem Fall müssen die Beteiligten beachten, dass die Verarbeitung nunmehr allein aufgrund einer in der DSGVO enthaltenen Rechtsgrundlage zulässig ist. Das gilt auch für bereits bestehende Vereinbarungen, die zu überprüfen sind.

Als Rechtsgrundlage in Frage kommen hier besonders die Einwilligung betroffener Beschäftigter, der Arbeitsvertrag oder berechtigte Interessen des Arbeitgebers bzw. des Betriebsrats.

Eine Pflicht des Betriebsrats zur Schaffung datenschutzrechtlicher Abläufe und Prozesse besteht in jedem Fall für die Bereiche, in denen seine Arbeit vom Betriebsverfassungsrecht vor unternehmerischen Eingriffen geschützt ist.

Viele Vorteile für Betriebsrat und Arbeitgeber

Für Arbeitgeber ergibt sich ein Interesse an einer einvernehmlichen Regelung schon deshalb, weil sie die durch die Betriebsratstätigkeit entstehenden Kosten tragen müssen. Zudem müssen Arbeitgeber Informations- und Kommunikationstechnik zur Verfügung stellen.

Die Beteiligten begegnen mit einer Betriebsvereinbarung zudem der Gefahr gegenseitiger Schuldzuweisungen. Betriebsvereinbarungen schaffen zudem Transparenz und erfüllen damit ein wichtiges Prinzip der DSGVO. Sie erfüllen damit zudem die umfangreichen Dokumentationspflichten aufgrund der DSGVO. Da Verantwortliche deren Einhaltung insbesondere gegenüber Behörden und Gerichten beweisen müssen, verringert sich das Risiko Verfahren allein aufgrund von Beweisschwierigkeiten zu verlieren. Nicht zuletzt vermitteln verständliche und verlässliche Vereinbarungen ein positives Betriebsklima.

Bei der Anwendung der DSGVO-Regeln gilt, wie bei allen neuen Gesetzen, in besonderer Weise die Entscheidungen der Datenschutzbehörden und Gerichte im Auge zu behalten.

Foto : ©Shutterstock.com/Ollyy


Rechtstipp aus dem Rechtsgebiet Internationales Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Ihre Spezialisten

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.