Während die Anwendbarkeit datenschutzrechtlicher Vorschriften auf die Arbeit des Betriebsrates inzwischen in den meisten Fällen kaum mehr Fragen aufwirft, herrscht an den Schnittstellen zwischen den Unternehmen und ihren Betriebsrätinnen und Betriebsräten in der Praxis häufig noch immer Unsicherheit. Mit dem vorliegenden Blog-Beitrag beleuchten wir in diesem Kontext relevante Datenschutzaspekte im Vorfeld von Betriebsratswahlen.
“… es lohnt sich, eine entsprechende Beurteilung und die zu ergreifenden Maßnahmen bereits „in der Schublade“ zu halten…” – Matthias Herkert
Im Vorfeld anstehender Betriebsratswahlen obliegt es dem Wahlvorstand, eine Liste der Wahlberechtigten zu erstellen. Ganz regelmäßig fordert der Wahlvorstand hierbei die Geschäftsführung oder die personalverantwortlichen Stellen im Unternehmen auf, ihm hierfür (personenbezogene) Angaben zu den Mitarbeitenden des Unternehmens zu machen.
Rechtsgrundlage für die Übermittlung personenbezogener Daten an den Wahlvorstand
Der Wahlvorstand hat gem. § 2 Abs. 1 S. 1 WO eine Liste der Wahlberechtigten (Wählerliste), getrennt nach Geschlechtern, aufzustellen. Gemäß § 2 Abs. 2 S. 1 WO hat der Arbeitgeber hierfür dem gewählten Wahlvorstand (und nur diesem!) die notwendigen Informationen im gesetzlichen Umfang zur Verfügung zu stellen und Ihn gemäß § 2 Abs. 2 S. 2 WO bei der Feststellung der wahlberechtigten Personen zu unterstützen.
Da die Wahlberechtigten in der Wählerliste gem. § 2 Abs. 1 S. 2 WO mit „Familienname, Vorname und Geburtsdatum“ aufzuführen sind, benötigt der Wahlvorstand diese drei Angaben. Aus § 2 Abs. 1 S. 1 WO leitet sich zudem ab, dass die Angabe des Geschlechts der Betroffenen ebenfalls erforderlich ist. Weiter muss der Wahlvorstand über Leiharbeiterinnen und Leiharbeiter im Sinne des Arbeitnehmerüberlassungsgesetzes informiert werden, da diesen nur das aktive Wahlrecht zusteht, sie jedoch nicht gewählt werden können.
Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der betroffenen personenbezogenen Daten an den Wahlvorstand ist somit Art. 6 Abs. 1 S. 1 lit. c DSGVO, die Erfüllung einer rechtlichen Verpflichtung, der die verantwortliche Stelle unterliegt.
Anforderungen an die Sicherheit der Verarbeitung bei der Datenübermittlung an den Wahlvorstand
Bei der Übermittlung der Daten an den Wahlvorstand sind die Anforderungen an die Sicherheit der Verarbeitung aus Artikel 32 DSGVO zu beachten. Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der personenbezogenen Daten der betroffenen Beschäftigten muss gewährleistet sein. Da die Daten dem Wahlvorstand regelmäßig digital zur Verfügung stellen werden, sollten diese geschützt, zum Beispiel auf einem (i.d.R. symmetrisch mit AES 256 Bit) hardwareverschlüsselten USB-Stick oder auf einer entsprechend hardwareverschlüsselten HDD / SDD übergeben werden.
Zur Erfüllung der Rechenschaftspflichten aus Artikel 5 Abs. 2 DSGVO ist das Sicherungskonzept geeignet zu dokumentieren. Die Eignung sollte aus Sicht der Datensicherheit sowie des Datenschutzes durch die verantwortlichen Stellen im Vorfeld bestätigt werden.
Informationspflichten gegenüber den Beschäftigten
Aus Artikel 13 Abs. 3 DSGVO erwächst zur Sicherung des Zweckbindungsgrundsatzes die Pflicht, die Beschäftigten frühzeitig vor der Übermittlung der Daten an den Wahlvorstand im Umfang des Artikel 13 Abs. 2 DSGVO unter anderem über den (neuen) Zweck der Weiterverarbeitung zu informieren. Der Informationsweg ist hierbei recht offen, es muss nur gewährleistet sein, dass alle Beschäftigten informiert werden und die Information zeitlich nicht zu eng an den Zeitpunkt der Datenübermittlung grenzt. Da die Verarbeitung auf einer rechtlichen Verpflichtung gründet, ist eine Einwilligung der Beschäftigten nicht erforderlich, die verantwortliche Stelle muss aber auch in diesem Fall aus Artikel 5 Abs. 2 DSGVO nachweisen können, wann die Information erfolgte und welchen Inhalt / Umfang die Information hatte.
Aufbewahrung und Löschung der betroffenen Daten
Die Wählerlisten sind nach Abschluss der Betriebsratswahl vom Wahlvorstand an den neu gewählten Betriebsrat zu übergeben und von diesem gemäß § 19 WO (mindestens) bis zur Beendigung seiner Amtszeit aufzubewahren und dann zu löschen. Alle weiteren übermittelten Daten sind im Übrigen unmittelbar nach Zweckwegfall zu löschen, wenn es keine weiteren Gründe mehr zu ihrer Aufbewahrung gibt.
Fazit
Die datenschutzrechtliche Beurteilung von Betriebsratswahlen stellt im Allgemeinen keine ungewöhnlichen Anforderungen an den Datenschutz. Da die regelmäßige Amtszeit des Betriebsrats (§ 21 S. 1 BetrVG) das Thema jedoch nur alle vier Jahre auf den Schirm bringt, war bislang wohl ein großer Teil der betrieblichen Datenschutzbeauftragten seit Anwendungsbeginn der DSGVO mit dem Themenkomplex noch nicht konfrontiert.
Für Datenschutzbeauftragte, in deren Unternehmen ein Betriebsrat eingerichtet ist, lohnt es sich, eine entsprechende Beurteilung und die zu ergreifenden Maßnahmen bereits „in der Schublade“ zu halten, um im Vorfeld anstehender Betriebsratswahlen den Wahlvorstand aber auch die Geschäftsführung zeitnah und rechtssicher beraten zu können und zu prüfen, ob in der spezifischen Unternehmens- oder Konzernsituation gegebenenfalls weitere Aspekte zu berücksichtigen sind
Artikel zum selben Thema:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]