Lange Zeit war unklar, wie der Betriebsrat aus datenschutzrechtlicher Sicht einzuordnen ist. Selbst die Datenschutz-Aufsichtsbehörden verfolgten keine einheitliche Linie in der Frage, ob der Betriebsrat selbst Verantwortlicher für die verarbeiteten Personendaten oder ob er als Teil des Unternehmens zu sehen ist. Der Meinungsstreit ist nun geklärt.
“Die Klarstellung, dass der Betriebsrat keine verantwortliche Stelle im Sinne der DSGVO ist, führt zu manch einer Erleichterung.” – Eileen Binder
Seit dem 16. Juli 2021 steht fest, dass der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften (Art. 4 Nr. 7 DSGVO) ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Zu finden ist die Regelung in § 79a Satz 2 des Betriebsverfassungsgesetzes.
Ein Datenschutzbeauftragter für alle
Die Klarstellung, dass der Betriebsrat keine verantwortliche Stelle im Sinne der DSGVO ist, führt zu manch einer Erleichterung. Unternehmen mit Betriebsräten sahen sich unter anderem mit der Frage konfrontiert, ob ein eigener Datenschutzbeauftragter für den Betriebsrat benannt werden muss oder ob der Datenschutzbeauftragte des Unternehmens ebenfalls den Betriebsrat unterstützen kann. Aufgrund der teils immens widerstreitenden Interessen zwischen Arbeitgeber und Betriebsrat war die Frage nicht ganz einfach zu beantworten. § 79a Satz 3 Betriebsverfassungsgesetzt stellt klar, dass der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet ist, soweit er über Informationen verfügt, die Rückschlüsse auf die Meinungsbildung des Betriebsrates zulassen. Daraus lässt sich schließen, dass der Datenschutzbeauftragte des Arbeitgebers auch für die Beratung des Datenschutzes des Betriebsrats zuständig ist.
Was nun zu tun ist
Besitzt das Unternehmen einen Betriebsrat, kommt neue Arbeit auf den Datenschutzbeauftragten des Arbeitgebers zu. Soweit vorher noch nicht geschehen, ist der Betriebsrat nun in die bestehenden Datenschutz-Prozesse und –Routinen zu integrieren. Das betrifft vor allem das Verzeichnis der Verarbeitungen, das um die Datenverarbeitungen des Betriebsrates erweitert werden muss, aber auch die Prüfung der vom Betriebsrat für die Erfüllung seiner Aufgaben eingesetzten Software und anderer Tools, die Prüfung der technischen und organisatorischen Maßnahmen, der Löschfristen oder auch die Durchsetzung der Prozesse, die im Rahmen von Betroffenenanfragen in Gang gesetzt werden.
Leitfaden zur Datenverarbeitung im Personalrat
Kurz nach der gesetzlichen Klarstellung zog der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber nach und Veröffentlichte einen Leitfaden zur Datenverarbeitung im Personalrat (Hier geht’s zum Leitfaden). Im Begleitschreiben stellt er ausdrücklich klar, dass der Personalrat kein Verantwortlicher im Sinne der Datenschutzgrundverordnung sei. Trotzdem trage er die Verantwortung zum Schutz der durch ihn verarbeiteten personenbezogenen Daten der Beschäftigten. Im Leitfaden bietet eine Orientierung Umgang mit den Beschäftigtendaten und gibt die Meinung des BfDI wider. Da sich einige Verarbeitungen mit der Arbeit des Betriebsrates decken, sollten auch Vertreter des Betriebsrates einen Blick hineinwerfen.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]