Als Vertreter der Belegschaft eines Betriebes hat ein Betriebsrat verschiedene Mitwirkungs- und Mitbestimmungsrechte. Dies betrifft neben sozialen Fragestellungen, wie z.B. Gehältern und Arbeitsschutz und personellen Entscheidungen, z. B. Kündigungen auch wirtschaftliche Angelegenheiten des Betriebes.
In dieser Funktion kommt der Betriebsrat auch mit verschiedensten, mitunter auch sensiblen personenbezogenen Daten der Mitarbeiter in Berührung, die oftmals dem Arbeitgeber so nicht vorliegen.
Wie ist der Betriebsrat in so einer Situation zu betrachten? Ist er hierbei aus datenschutzrechtlicher Sicht selbstständiger Verantwortlicher oder Mitentscheidungsträger?
Diese Fragen waren lange umstritten und sorgten für Unklarheiten. Sie wurden nun durch das im letzten Jahr in Kraft getretene Betriebsrätemodernisierungsgesetz sowie die damit einhergehende Änderung des Betriebsverfassungsgesetzes beantwortet.
Wie sich das Gesetz hierzu äußert und welche Probleme dies mit sich bringt, erläutern wir im Folgenden.
Betriebsrat ist kein eigenständiger Verantwortlicher
Wer Verantwortlicher i.S.d. DSGVO ist, beantwortet Art. 4 Nr.7 DSGVO. Hiernach ist der Verantwortlicher u.a. die juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Das Betriebsrätemodernisierungsgesetz beantwortet nun in § 79a die Frage rund um die Verantwortlichkeit des Betriebsrates.
Hiernach ist und bleibt der Arbeitgeber Verantwortlicher hinsichtlich aller personenbezogenen Daten, mit denen der Betriebsrat während seiner Tätigkeit in Berührung kommt.
Dies gilt insbesondere auch für Daten, von denen der Arbeitgeber selbst nichts weiß und die nur dem Betriebsrat bekannt sind. Man denke insbesondere an Gesundheitsdaten oder sonstige sensible Daten, die der Arbeitnehmer dem Arbeitgeber gegenüber nicht offengelegen möchte.
Dies ist konsequent, da der Betriebsrat keine nach Außen rechtlich verselbstständigte Institution ist. Hierdurch muss der Betriebsrat auch keinen eigenen Datenschutzbeauftragten bestellen, sondern wird als Teil des Unternehmens von dessen Datenschutzbeauftragten unterstützt und kontrolliert.
Auch ein eigenes Verarbeitungsverzeichnis für den Betriebsrat ist hierdurch obsolet.
Verantwortlichkeit contra Weisungsfreiheit
Es ergibt sich hieraus jedoch auch eine paradoxe Situation: Der Betriebsrat agiert grundsätzlich als weisungsfreie und selbstständige Institution im Unternehmen. Hierbei verarbeitet er Daten, die ggf. gegenüber dem Arbeitgeber geheim gehalten werden müssen. Der Arbeitgeber hingegen entscheidet über die Zwecke und Mittel der Verarbeitung und ist hierbei zur Einhaltung der Vorschriften der DSGVO verpflichtet.
Eine vollständige Weisungsfreiheit aus datenschutzrechtlicher Hinsicht ist hierdurch nicht möglich.
Den Arbeitgeber treffen als Verantwortlichen verschiedene datenschutzrechtliche Pflichten, wie die Belehrung der Arbeitnehmer, die Sicherstellung einer sicheren und rechtmäßigen Verarbeitung, Umsetzung von Löschfristen sowie die Beantwortung von Betroffenenanfragen und Klärung von Datenschutzvorfällen.
Es stellt sich die Frage, wie dieser Konflikt zwischen Selbstständigkeit und Weisungsfreiheit des Betriebsrates und Verantwortlichkeit des Arbeitgebers in der Praxis gelöst werden soll.
Eine explizite Antwort hierauf bietet das Betriebsrätemodernisierungsgesetz nicht. Es schreibt allerdings vor, dass der Betriebsrat den Arbeitgeber bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen muss. Hierauf muss sich der Arbeitgeber verlassen können, da er ansonsten seinen Pflichten als Verantwortlicher nicht nachkommen kann. Er ist darauf angewiesen, dass der Betriebsrat ihn über vermeintliche Datenschutzvorfälle und Betroffenenanfragen in Kenntnis setzt und an ihn weiterleitet, festgesetzten Löschfristen nachkommt und Betroffene ausreichend belehrt, sofern dies noch nicht geschehen ist.
Wirksam umgesetzt werden kann dies nur, wenn der Arbeitgeber dem Betriebsrat hierfür alle erforderlichen datenschutzrechtliche Informationen zur Verfügung stellt und ihn ausreichend in datenschutzrechtlichen Themen schult.
Für die Sicherheit der Datenverarbeitung ist der Betriebsrat hingegen selbst verantwortlich. So sieht es die Begründung des Gesetzestextes vor. Hierbei muss der Arbeitgeber dem Betriebsrat alle hierfür erforderlichen Sachmittel überlassen.
Mitbestimmungsrecht bei datenschutzrechtlichen Fragestellungen?
Analog zu den übrigen Mitbestimmungsrechten des Betriebsrates könnte man sich nun noch die Frage stellen, ob der Betriebsrat zumindest ein Mitbestimmungsrecht bei der Datenverarbeitung hat. Denn auch bei sonstigen wichtigen betrieblichen Fragestellungen hat er umfassende Mitwirkungs- und Mitbestimmungsrechte.
Es bleibt jedoch dabei, dass der Arbeitgeber über die Mittel und Zwecke der Datenverarbeitungen entscheidet.
Hierbei ist jedoch eine Ausnahme zu beachten: Sobald Datenverarbeitungen durch den Arbeitgeber eine potenzielle Leistung- oder Verhaltenskontrolle der Arbeitnehmer darstellen, ist der Betriebsrat zu involvieren und hat mit über die Datenverarbeitung zu bestimmen.
Sie sehen also, der Wirkungskreis des Betriebsrates geht weit, er stößt jedoch im Bereich Datenschutz an die Grenzen der Verantwortlichkeit des Arbeitgebers.
Eine sichere und datenschutzkonforme Datenverarbeitung durch den Arbeitgeber steht und fällt in diesem Bereich mit der Unterstützung des Betriebsrates.
Dieser Umstand beweist einmal mehr den Einfluss eines Betriebsrates im Unternehmen.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Kein Kommentar