Wäh­rend die Anwend­bar­keit daten­schutz­recht­li­cher Vor­schrif­ten auf die Arbeit des Betriebs­ra­tes inzwi­schen in den meis­ten Fäl­len kaum mehr Fra­gen auf­wirft, herrscht an den Schnitt­stel­len zwi­schen den Unter­neh­men und ihren Betriebs­rä­tin­nen und Betriebs­rä­ten in der Pra­xis häu­fig noch immer Unsi­cher­heit. Mit dem vor­lie­gen­den Blog-Beitrag beleuch­ten wir in die­sem Kon­text rele­van­te Daten­schutz­as­pek­te im Vor­feld von Betriebs­rats­wah­len.

 

… es lohnt sich, eine ent­spre­chen­de Beur­tei­lung und die zu ergrei­fen­den Maß­nah­men bereits „in der Schub­la­de“ zu hal­ten…” – Mat­thi­as Her­kert

Im Vor­feld anste­hen­der Betriebs­rats­wah­len obliegt es dem Wahl­vor­stand, eine Lis­te der Wahl­be­rech­tig­ten zu erstel­len. Ganz regel­mä­ßig for­dert der Wahl­vor­stand hier­bei die Geschäfts­füh­rung oder die per­so­nal­ver­ant­wort­li­chen Stel­len im Unter­neh­men auf, ihm hier­für (per­so­nen­be­zo­ge­ne) Anga­ben zu den Mit­ar­bei­ten­den des Unter­neh­mens zu machen.

Rechtsgrundlage für die Übermittlung personenbezogener Daten an den Wahlvorstand

Der Wahl­vor­stand hat gem. § 2 Abs. 1 S. 1 WO eine Lis­te der Wahl­be­rech­tig­ten (Wäh­ler­lis­te), getrennt nach Geschlech­tern, auf­zu­stel­len. Gemäß § 2 Abs. 2 S. 1 WO hat der Arbeit­ge­ber hier­für dem gewähl­ten Wahl­vor­stand (und nur die­sem!) die not­wen­di­gen Infor­ma­tio­nen im gesetz­li­chen Umfang zur Ver­fü­gung zu stel­len und Ihn gemäß § 2 Abs. 2 S. 2 WO bei der Fest­stel­lung der wahl­be­rech­tig­ten Per­so­nen zu unter­stüt­zen.

Da die Wahl­be­rech­tig­ten in der Wäh­ler­lis­te gem. § 2 Abs. 1 S. 2 WO mit „Fami­li­en­na­me, Vor­na­me und Geburts­da­tum“ auf­zu­füh­ren sind, benö­tigt der Wahl­vor­stand die­se drei Anga­ben. Aus § 2 Abs. 1 S. 1 WO lei­tet sich zudem ab, dass die Anga­be des Geschlechts der Betrof­fe­nen eben­falls erfor­der­lich ist. Wei­ter muss der Wahl­vor­stand über Leih­ar­bei­te­rin­nen und Leih­ar­bei­ter im Sin­ne des Arbeit­neh­mer­über­las­sungs­ge­set­zes infor­miert wer­den, da die­sen nur das akti­ve Wahl­recht zusteht, sie jedoch nicht gewählt wer­den kön­nen.

Daten­schutz­recht­li­che Rechts­grund­la­ge für die Ver­ar­bei­tung der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten an den Wahl­vor­stand ist somit Art. 6 Abs. 1 S. 1 lit. c DSGVO, die Erfül­lung einer recht­li­chen Ver­pflich­tung, der die ver­ant­wort­li­che Stel­le unter­liegt.

Anforderungen an die Sicherheit der Verarbeitung bei der Datenübermittlung an den Wahlvorstand

Bei der Über­mitt­lung der Daten an den Wahl­vor­stand sind die Anfor­de­run­gen an die Sicher­heit der Ver­ar­bei­tung aus Arti­kel 32 DSGVO zu beach­ten. Die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der per­so­nen­be­zo­ge­nen Daten der betrof­fe­nen Beschäf­tig­ten muss gewähr­leis­tet sein. Da die Daten dem Wahl­vor­stand regel­mä­ßig digi­tal zur Ver­fü­gung stel­len wer­den, soll­ten die­se geschützt, zum Bei­spiel auf einem (i.d.R. sym­me­trisch mit AES 256 Bit) hard­ware­ver­schlüs­sel­ten USB-Stick oder auf einer ent­spre­chend hard­ware­ver­schlüs­sel­ten HDD / SDD über­ge­ben wer­den.

Zur Erfül­lung der Rechen­schafts­pflich­ten aus Arti­kel 5 Abs. 2 DSGVO ist das Siche­rungs­kon­zept geeig­net zu doku­men­tie­ren. Die Eig­nung soll­te aus Sicht der Daten­si­cher­heit sowie des Daten­schut­zes durch die ver­ant­wort­li­chen Stel­len im Vor­feld bestä­tigt wer­den.

Informationspflichten gegenüber den Beschäftigten

Aus Arti­kel 13 Abs. 3 DSGVO erwächst zur Siche­rung des Zweck­bin­dungs­grund­sat­zes die Pflicht, die Beschäf­tig­ten früh­zei­tig vor der Über­mitt­lung der Daten an den Wahl­vor­stand im Umfang des Arti­kel 13 Abs. 2 DSGVO unter ande­rem über den (neu­en) Zweck der Wei­ter­ver­ar­bei­tung zu infor­mie­ren. Der Infor­ma­ti­ons­weg ist hier­bei recht offen, es muss nur gewähr­leis­tet sein, dass alle Beschäf­tig­ten infor­miert wer­den und die Infor­ma­ti­on zeit­lich nicht zu eng an den Zeit­punkt der Daten­über­mitt­lung grenzt. Da die Ver­ar­bei­tung auf einer recht­li­chen Ver­pflich­tung grün­det, ist eine Ein­wil­li­gung der Beschäf­tig­ten nicht erfor­der­lich, die ver­ant­wort­li­che Stel­le muss aber auch in die­sem Fall aus Arti­kel 5 Abs. 2 DSGVO nach­wei­sen kön­nen, wann die Infor­ma­ti­on erfolg­te und wel­chen Inhalt / Umfang die Infor­ma­ti­on hat­te.

Aufbewahrung und Löschung der betroffenen Daten

Die Wäh­ler­lis­ten sind nach Abschluss der Betriebs­rats­wahl vom Wahl­vor­stand an den neu gewähl­ten Betriebs­rat zu über­ge­ben und von die­sem gemäß § 19 WO (min­des­tens) bis zur Been­di­gung sei­ner Amts­zeit auf­zu­be­wah­ren und dann zu löschen. Alle wei­te­ren über­mit­tel­ten Daten sind im Übri­gen unmit­tel­bar nach Zweck­weg­fall zu löschen, wenn es kei­ne wei­te­ren Grün­de mehr zu ihrer Auf­be­wah­rung gibt.

Fazit

Die daten­schutz­recht­li­che Beur­tei­lung von Betriebs­rats­wah­len stellt im All­ge­mei­nen kei­ne unge­wöhn­li­chen Anfor­de­run­gen an den Daten­schutz. Da die regel­mä­ßi­ge Amts­zeit des Betriebs­rats (§ 21 S. 1 BetrVG) das The­ma jedoch nur alle vier Jah­re auf den Schirm bringt, war bis­lang wohl ein gro­ßer Teil der betrieb­li­chen Daten­schutz­be­auf­trag­ten seit Anwen­dungs­be­ginn der DSGVO mit dem The­men­kom­plex noch nicht kon­fron­tiert.

Für Daten­schutz­be­auf­trag­te, in deren Unter­neh­men ein Betriebs­rat ein­ge­rich­tet ist, lohnt es sich, eine ent­spre­chen­de Beur­tei­lung und die zu ergrei­fen­den Maß­nah­men bereits „in der Schub­la­de“ zu hal­ten, um im Vor­feld anste­hen­der Betriebs­rats­wah­len den Wahl­vor­stand aber auch die Geschäfts­füh­rung zeit­nah und rechts­si­cher bera­ten zu kön­nen und zu prü­fen, ob in der spe­zi­fi­schen Unternehmens- oder Kon­zern­si­tua­ti­on gege­be­nen­falls wei­te­re Aspek­te zu berück­sich­ti­gen sind

Artikel zum selben Thema:

Geburtstagslisten und die DSGVO

8. Janu­ar 2020|

Immer wie­der taucht in der Pra­xis die Fra­ge nach der daten­schutz­recht­li­chen Zuläs­sig­keit von »Geburts­tags­lis­ten« auf und nicht weni­ge betrieb­li­che […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter