Datenschutz: Auch der Betriebsrat muss überwacht werden

Der Betriebsrat kommt mit sensiblen Daten der Beschäftigten in Berührung. Daher ist es von großer Bedeutung, dass auch dieser die datenschutzrechtlichen Anforderungen einhält. Die Kontroll- und Überwachungspflicht obliegt dabei dem Arbeitgeber. Der Arbeitgeber hat Sorge dafür zu tragen, dass der Betriebsrat sämtliche Anforderungen kennt und datenschutzkonform handelt. Der Arbeitgeber haftet für Datenschutzverstöße des Betriebsrats. 

Grundlage jeder Kontroll- und Überwachungspflicht des Arbeitgebers ist die Sensibilisierung des Betriebsrates für die Anforderungen an einen datenschutzkonformen Umgang mit personenbezogenen Daten. Diese Anforderungen könnten in Form von Leitlinien aufgezeigt werden. Verbindliche Vorgaben des Arbeitgebers an den Betriebsrat können auch Teil einer (Rahmen-)Betriebsvereinbarung sein. 

Ist der Betriebsrat datenschutzrechtlich Verantwortlicher?

Lange war umstritten, ob der Betriebsrat als datenschutzrechtlich Verantwortlicher für die Datenverarbeitung im Rahmen seiner Tätigkeit gilt oder als Teil des primär verantwortlichen Arbeitgebers einzuordnen ist. Diese Frage ist geklärt. Nach § 79a Satz 2 BetrVG ist der Arbeitgeber Verantwortlicher für die Verarbeitung personenbezogener Daten, soweit der Betriebsrat Daten verarbeitet, um seine Aufgaben zu erfüllen. 

Deswegen haftet der Arbeitgeber für Datenschutzverstöße des Betriebsrates, mit Ausnahme von einem sogenannten „Mitarbeiterexzess“ oder „Kollektivexzess“ des Betriebsrates. Der Arbeitgeber muss den Betriebsrat daher umfassend zum Thema Datenschutz sensibilisieren.

Überblick über mögliche Inhalte einer Leitlinie

In einer Leitlinie kann der Arbeitgeber den Betriebsrat über die Grundsätze und Anforderungen der datenschutzrechtlichen Vorschriften aufklären und konkrete Verhaltensregeln im Arbeitsalltag aufstellen. Die Leitlinie sollte unter anderem die folgenden Punkte beinhalten:

• Voraussetzungen für die Zulässigkeit von Datenverarbeitungen durch den Betriebsrat - Überblick über die Grundsätze der Datenschutzgrundverordnung (DSGVO) 
  • Datenminimierungsgrundsatz
  • Speicherbegrenzung
  • Zweckbindung
  • Vertraulichkeit 
  • Need-to-know-Prinzip

• Zuständigkeit des Datenschutzbeauftragten (auch) für den Betriebsrat
  • Beratungsleistungen für den Betriebsrat
  • Zugangsrechte des Datenschutzbeauftragten zu allen personenbezogenen Daten und Verarbeitungsvorgängen

• Verpflichtung zur Meldung von Datenpannen an den Arbeitgeber

• Überblick über den datenschutzkonformen Umgang mit Daten im Alltag, insbesondere Vorsehen technischer und organisatorischer Maßnahmen in Form eines Datenschutzkonzeptes, u.a.:
  • Richtige Nutzung von IT-Infrastruktur: Passwörter, Versendung von Unterlagen per E-Mail etc.
  • Ablegen von etwaigen Papierakten und sonstigen Unterlagen
  • Zugang zu und Zugriff von Dritten auf personenbezogene(n) Daten (bspw. Austausch unter Mitarbeitern, Angehörigen etc.)
  • Entsorgung von Papierakten und sonstigen Unterlagen
  • Besondere Schutzmaßnahmen für sensible Daten

• Zuliefern von Informationen an den Arbeitgeber zur Erstellung von Datenschutz-Folgenabschätzungen und zur Vervollständigung des Verzeichnisses für Verarbeitungstätigkeiten, welches der Verantwortliche nach der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes zu führen verpflichtet ist 

• Regelungen zu Ausstattung des Betriebsrats sowie zu regelmäßigen Schulungen

Die Übersicht zeigt, dass der Betriebsrat eine Vielzahl von datenschutzrechtlichen Anforderungen im Rahmen seiner Tätigkeit zu beachten hat. Ein allgemeines Mitbestimmungsrecht zu datenschutzrechtlichen Fragen, das über die Beteiligungsrechte des § 80 BetrVG hinausgeht, steht dem Betriebsrat nicht zu.