Lange Zeit war unklar, wie der Betriebsrat aus datenschutzrechtlicher Sicht einzuordnen ist. Selbst die Datenschutz-Aufsichtsbehörden verfolgten keine einheitliche Linie in der Frage, ob der Betriebsrat selbst Verantwortlicher für die verarbeiteten Personendaten oder ob er als Teil des Unternehmens zu sehen ist. Der Meinungsstreit ist nun geklärt.
“Die Klarstellung, dass der Betriebsrat keine verantwortliche Stelle im Sinne der DSGVO ist, führt zu manch einer Erleichterung.” – Eileen Binder
Seit dem 16. Juli 2021 steht fest, dass der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften (Art. 4 Nr. 7 DSGVO) ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Zu finden ist die Regelung in § 79a Satz 2 des Betriebsverfassungsgesetzes.
Ein Datenschutzbeauftragter für alle
Die Klarstellung, dass der Betriebsrat keine verantwortliche Stelle im Sinne der DSGVO ist, führt zu manch einer Erleichterung. Unternehmen mit Betriebsräten sahen sich unter anderem mit der Frage konfrontiert, ob ein eigener Datenschutzbeauftragter für den Betriebsrat benannt werden muss oder ob der Datenschutzbeauftragte des Unternehmens ebenfalls den Betriebsrat unterstützen kann. Aufgrund der teils immens widerstreitenden Interessen zwischen Arbeitgeber und Betriebsrat war die Frage nicht ganz einfach zu beantworten. § 79a Satz 3 Betriebsverfassungsgesetzt stellt klar, dass der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet ist, soweit er über Informationen verfügt, die Rückschlüsse auf die Meinungsbildung des Betriebsrates zulassen. Daraus lässt sich schließen, dass der Datenschutzbeauftragte des Arbeitgebers auch für die Beratung des Datenschutzes des Betriebsrats zuständig ist.
Was nun zu tun ist
Besitzt das Unternehmen einen Betriebsrat, kommt neue Arbeit auf den Datenschutzbeauftragten des Arbeitgebers zu. Soweit vorher noch nicht geschehen, ist der Betriebsrat nun in die bestehenden Datenschutz-Prozesse und –Routinen zu integrieren. Das betrifft vor allem das Verzeichnis der Verarbeitungen, das um die Datenverarbeitungen des Betriebsrates erweitert werden muss, aber auch die Prüfung der vom Betriebsrat für die Erfüllung seiner Aufgaben eingesetzten Software und anderer Tools, die Prüfung der technischen und organisatorischen Maßnahmen, der Löschfristen oder auch die Durchsetzung der Prozesse, die im Rahmen von Betroffenenanfragen in Gang gesetzt werden.
Leitfaden zur Datenverarbeitung im Personalrat
Kurz nach der gesetzlichen Klarstellung zog der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber nach und Veröffentlichte einen Leitfaden zur Datenverarbeitung im Personalrat (Hier geht’s zum Leitfaden). Im Begleitschreiben stellt er ausdrücklich klar, dass der Personalrat kein Verantwortlicher im Sinne der Datenschutzgrundverordnung sei. Trotzdem trage er die Verantwortung zum Schutz der durch ihn verarbeiteten personenbezogenen Daten der Beschäftigten. Im Leitfaden bietet eine Orientierung Umgang mit den Beschäftigtendaten und gibt die Meinung des BfDI wider. Da sich einige Verarbeitungen mit der Arbeit des Betriebsrates decken, sollten auch Vertreter des Betriebsrates einen Blick hineinwerfen.
Was Sie noch interessieren könnte:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]