Betriebsrat

Datenschutz im Betriebsrat

Nicht nur die Geschäftsführung, auch der Betriebsrat ist verantwortlich für die Umsetzung des Datenschutzes im Unternehmen. Welche Aufgaben gehören dazu?
Ratgeber

Datenschutz im Betriebsrat

Fast alle Unternehmen sind zur Einhaltung der Datenschutzgrundverordnung (DSGVO) verpflichtet. Es obliegt der Verantwortung der Geschäftsführung, den Datenschutz im Unternehmen DSGVO-konform umzusetzen. Dazu gehört vor allem die Beauftragung eines externen oder internen Datenschutzbeauftragten, der die Implementierung notwendiger Maßnahmen zum Datenschutz übernimmt. Aber auch dem Betriebsrat kommen wichtige Aufgaben in Sachen Datenschutz zu.

Grundsätzlich kümmert sich der Betriebsrat um die Interessen der Arbeitnehmer gegenüber der Geschäftsführung. Er soll die Mitarbeiter also schützen, zum Beispiel vor Ausbeutung durch den Arbeitgeber, aber auch andere Bereiche gehören dazu. Dieser Schutz umfasst auch die personenbezogenen Daten des Arbeitnehmers, die missbräuchlich verwendet werden könnten.

Durch § 80 Abs. 1 Nr. 1 und § 75 Abs. 2 des Betriebsverfassungsgesetzes (BetrVG) wird dem Betriebsrat die Überwachung der Einhaltung der Datenschutzgesetze sogar indirekt zugeteilt.  Der Arbeitgeber muss demnach den Betriebsrat „rechtzeitig und umfassend“ über alle Informationen in Kenntnis setzen, die Teil seines Aufgabenfeldes sind. Diese sind in Abs. 1 vorgegeben. Darunter fällt eben auch der Datenschutz.

Wie kontrolliert der Betriebsrat den Datenschutz im Unternehmen?

Dem Betriebsrat stehen bestimmte Rechte zu, die er in Anspruch nehmen kann und die es ihm ermöglichen, die Vorgänge im Unternehmen zu kontrollieren. Dies umfasst einen Anspruch darauf, an Schulungen teilzunehmen, die für die Ausübung solcher Tätigkeiten relevant sind. Mitglieder des Rates können also von ihrer eigentlichen Tätigkeit im Unternehmen befreit werden, um an Schulungen teilzunehmen, die in Zusammenhang mit der Einführung von technischen Einrichtungen stehen. Mitglieder des Betriebsrats dürfen auch einen Datenschutzbeauftragten heranziehen.

Durch diese Expertise kann der Betriebsrat bestimmte Aspekte im Unternehmen kritisieren und die Unternehmensführung darauf hinweisen. Zudem existiert ein Mitbestimmungsrecht für den Betriebsrat, soweit es um die Daten der Mitarbeiter geht.

Bereiche, in denen sich der Betriebsrat einmischen darf, sind:

  • Telefone im Betrieb
  • Gesundheitsschutz bei EDV-Anlagen
  • Qualifizierungsmaßnahmen
  • Einführungen von Entgeltsystemen
  • Urlaubsplanung
  • Personalplanung etc.

Hier kann sich der Betriebsrat einbringen, unter der Voraussetzung, die Bedingungen für die Arbeitnehmer zu verbessern. Somit kommt dem Betriebsrat auch in Sachen Datenschutz eine wichtige Kontrollfunktion zu.

Welche Daten werden vom Betriebsrat verarbeitet?

Die Dokumentation von Verarbeitungsprozessen ist ebenfalls durch die DSGVO vorgegeben. Der Betriebsrat verarbeitet also nicht nur Daten, sondern muss dies auch genau dokumentieren, um diese gegebenenfalls der Aufsichtsbehörde zur Verfügung stellen zu können.

Bei folgenden Verarbeitungen sind meist personenbezogene Daten betroffen und müssen dokumentiert werden:

  • Gehaltsanpassungen
  • Änderungen der Arbeitszeiten
  • Kündigungen
  • Bewerbungen
  • Ansprüche auf Beschäftigung und Verbote der Beschäftigung
  • Sicherung und Förderung der Beschäftigung
  • Krankheits- und Wiedereingliederungsmanagement

In all diesen Fällen ist es notwendig, sensible Mitarbeiterdaten zu verarbeiten und zu dokumentieren.

Mitarbeiterdaten

Wann darf der Betriebsrat personenbezogene Daten verarbeiten? 

Dem Betriebsrat werden von der Geschäftsführung relevante, sensible Daten übermittelt. Solche sensiblen Daten benötigt der Betriebsrat, um seinen Aufgaben nachzukommen. Damit der Betriebsrat personenbezogene Daten verarbeiten darf, müssen nach Art. 6 Abs. 1 DSGVO sechs Rechtsgrundlagen erfüllt sein:

 

  1. Die Einwilligung

Die Einwilligung ist die erste Möglichkeit der gerechtfertigten Verarbeitung und die vermutlich relevanteste. Diese kann möglicherweise arbeitsvertraglich vorgegeben werden.

  1. Vertragserfüllung

Wenn ein Vertrag erfüllt werden soll, zu dessen Ziel die Verarbeitung notwendig ist und dies auf Anfrage des Betroffenen geschieht, ist die Verarbeitung ebenfalls zulässig.

  1. Rechtliche Verpflichtung

Unterliegt der Betriebsrat einer rechtlichen Verpflichtung, so kann er die Daten verarbeiten.

  1. Lebenswichtigkeit

Zum Schutz lebenswichtiger Interessen kann eine Verarbeitung ebenfalls gerechtfertigt sein.

  1. Öffentliches Interesse

Auch können personenbezogene Daten verarbeitet werden, wenn diese Verarbeitung im öffentlichen Interesse steht oder in Ausübung öffentlicher erfolgt, wobei letzteres beim Betriebsrat auszuschließen ist.

  1. Berechtigtes Interesse

Außerdem kann die Verarbeitung dem berechtigten Interesse des Verantwortlichen oder eines Dritten unterliegen, wobei hier nicht gegen Grundrechte etc. verstoßen werden darf. Ob es sich in einem individuellen Fall um ein berechtigtes Interesse handelt, muss im Falle eines Rechtsstreits vom Gericht entschieden werden.

Der Betriebsrat darf also nur unter einer dieser Voraussetzungen eine Verarbeitung von personenbezogenen Daten vornehmen, was gleichermaßen für die Geschäftsführung gilt.

Wer kontrolliert den Betriebsrat? 

Da der Arbeitgeber den Betriebsrat über alle wichtigen Informationen in Kenntnis setzen muss, erhält auch dieser Zugang zu sensiblen Daten der Arbeitnehmer, die persönliche Informationen enthalten und somit schützenswert sind. Der Betriebsrat muss sich natürlich auch selbst an die DSGVO und das BDSG halten, wenn er diese sensiblen personenbezogenen Daten verarbeitet. Während er für den Schutz dieser Daten kämpft, stellt sich die Frage, wie gewährleistet werden soll, dass sich der Rat ebenfalls an die Gesetze zum Datenschutz hält.

Fakt ist: Gesetzlich geregelt ist die Kontrolle des Betriebsrates nicht. In § 79a BetrVG steht lediglich, dass sich Betriebsrat und Arbeitgeber gegenseitig bei der Einhaltung der Datenschutzgesetze unterstützen sollen. Es wird also auch eine Eigenverantwortung vorausgesetzt, die sich daraus ergibt, dass der Betriebsrat in jedem Fall für die Rechte der Mitarbeiter eintritt.

Auch der Datenschutzbeauftragte, dessen Expertise vom Betriebsrat herangezogen werden darf, ist nicht für die Kontrolle des Datenschutzes im Betriebsrat verantwortlich. Die Einhaltung des Datenschutzes obliegt also allein der Eigenverantwortung des Betriebsrats, da der Schutz der Mitarbeiterdaten seine ausdrückliche Pflicht ist. Eine zusätzliche Kontrollinstanz gibt es nicht.

Verstößt der Betriebsrat selbst gegen die Vorgaben der DSGVO, stehen Betroffenen natürlich zivilrechtliche Schritte zur Verfügung.  Im Normalfall handelt der Betriebsrat jedoch im Interesse der Arbeitnehmer und unterstützt sie beim Schutz ihrer personenbezogenen Daten.

Beratung des Betriebsrat durch einen externen Datenschutzbeauftragten

Da der Betriebsrat mit sensiblen Mitarbeiterdaten arbeitet, ist es ratsam, die Expertise eines Datenschutzbeauftragten heranzuziehen. Diese Rolle kann ein interner Datenschutzbeauftragter übernehmen. Dieser muss sich das nötige Fachwissen jedoch neben seiner eigentlichen Tätigkeit im Unternehmen aneignen. Deutlich mehr Fachwissen und Erfahrung bringt dagegen ein externer Datenschutzbeauftragter mit. Dieser steht dem Betriebsrat bei Fragen jederzeit zur Verfügung und nimmt dabei eine objektive Beraterfunktion ein, sodass Interessenkonflikte von vornherein ausgeschlossen sind. Auch eine Datenschutzschulung für Mitglieder des Betriebsrats durch einen externen Datenschutzbeauftragten ist eine sinnvolle Maßnahme, um eine DSGVO-konforme Umsetzung des Datenschutzes im Betriebsrat zu gewährleisten.

Sie wünschen sich Unterstützung für Ihren Betriebsrat durch einen erfahrenen, externen Datenschutzbeauftragten? Dann sind wir der richtige Ansprechpartner für Sie! Wir stehen Ihrem Betriebsrat beratend zur Seite und schulen Ihre Mitarbeiter im Betriebsrat zu wichtigen datenschutzrechtlichen Themen.

Frank Müns
Vorheriger Beitrag
Datenschutzschulung für Mitarbeiter
Nächster Beitrag
Rechenschaftspflicht in der DSGVO
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr