“Die Klar­stel­lung, dass der Betriebs­rat kei­ne ver­ant­wort­li­che Stel­le im Sin­ne der DSGVO ist, führt zu manch einer Erleich­te­rung.” – Eileen Binder

Seit dem 16. Juli 2021 steht fest, dass der Arbeit­ge­ber der für die Ver­ar­bei­tung Ver­ant­wort­li­che im Sin­ne der daten­schutz­recht­li­chen Vor­schrif­ten (Art. 4 Nr. 7 DSGVO) ist, soweit der Betriebs­rat zur Erfül­lung der in sei­ner Zustän­dig­keit lie­gen­den Auf­ga­ben per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Zu fin­den ist die Rege­lung in § 79a Satz 2 des Betriebsverfassungsgesetzes.

Ein Daten­schutz­be­auf­trag­ter für alle

Die Klar­stel­lung, dass der Betriebs­rat kei­ne ver­ant­wort­li­che Stel­le im Sin­ne der DSGVO ist, führt zu manch einer Erleich­te­rung. Unter­neh­men mit Betriebs­rä­ten sahen sich unter ande­rem mit der Fra­ge kon­fron­tiert, ob ein eige­ner Daten­schutz­be­auf­trag­ter für den Betriebs­rat benannt wer­den muss oder ob der Daten­schutz­be­auf­trag­te des Unter­neh­mens eben­falls den Betriebs­rat unter­stüt­zen kann. Auf­grund der teils immens wider­strei­ten­den Inter­es­sen zwi­schen Arbeit­ge­ber und Betriebs­rat war die Fra­ge nicht ganz ein­fach zu beant­wor­ten. § 79a Satz 3 Betriebs­ver­fas­sungs­ge­setzt stellt klar, dass der Daten­schutz­be­auf­trag­te gegen­über dem Arbeit­ge­ber zur Ver­schwie­gen­heit ver­pflich­tet ist, soweit er über Infor­ma­tio­nen ver­fügt, die Rück­schlüs­se auf die Mei­nungs­bil­dung des Betriebs­ra­tes zulas­sen. Dar­aus lässt sich schlie­ßen, dass der Daten­schutz­be­auf­trag­te des Arbeit­ge­bers auch für die Bera­tung des Daten­schut­zes des Betriebs­rats zustän­dig ist.

Was nun zu tun ist

Besitzt das Unter­neh­men einen Betriebs­rat, kommt neue Arbeit auf den Daten­schutz­be­auf­trag­ten des Arbeit­ge­bers zu. Soweit vor­her noch nicht gesche­hen, ist der Betriebs­rat nun in die bestehen­den Datenschutz-Prozesse und –Rou­ti­nen zu inte­grie­ren. Das betrifft vor allem das Ver­zeich­nis der Ver­ar­bei­tun­gen, das um die Daten­ver­ar­bei­tun­gen des Betriebs­ra­tes erwei­tert wer­den muss, aber auch die Prü­fung der vom Betriebs­rat für die Erfül­lung sei­ner Auf­ga­ben ein­ge­setz­ten Soft­ware und ande­rer Tools, die Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, der Lösch­fris­ten oder auch die Durch­set­zung der Pro­zes­se, die im Rah­men von Betrof­fe­nen­an­fra­gen in Gang gesetzt werden.

Leit­fa­den zur Daten­ver­ar­bei­tung im Personalrat 

Kurz nach der gesetz­li­chen Klar­stel­lung zog der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Ulrich Kel­ber nach und Ver­öf­fent­lich­te einen Leit­fa­den zur Daten­ver­ar­bei­tung im Per­so­nal­rat (Hier geht’s zum Leit­fa­den). Im Begleit­schrei­ben stellt er aus­drück­lich klar, dass der Per­so­nal­rat kein Ver­ant­wort­li­cher im Sin­ne der Daten­schutz­grund­ver­ord­nung sei. Trotz­dem tra­ge er die Ver­ant­wor­tung zum Schutz der durch ihn ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten der Beschäf­tig­ten. Im Leit­fa­den bie­tet eine Ori­en­tie­rung Umgang mit den Beschäf­tig­ten­da­ten und gibt die Mei­nung des BfDI wider. Da sich eini­ge Ver­ar­bei­tun­gen mit der Arbeit des Betriebs­ra­tes decken, soll­ten auch Ver­tre­ter des Betriebs­ra­tes einen Blick hineinwerfen.