Datenschutz im Betriebsrat. Die neue DSGVO
01.06.2018 | Betriebsvereinbarung, Datenschutz

Datenschutz im Betriebsrat. Die neue DSGVO

Als Teil des Unternehmens und damit der „verantwortlichen Stelle“ steht der Betriebsrat „doppelt“ in der Pflicht, den Schutz personenbezogener Daten zu garantieren, zum einen vor Zugriffen des Arbeitgebers, zum anderen intern, sobald er selbst Beschäftigtendaten verarbeitet oder nutzt. Durch die neue Datenschutzgrundverordnung sind die Anforderungen auch hier erheblich gestiegen.

Allgemeine Datenschutzprinzipien

Auch wenn der Schutz personenbezogener Daten in seiner Dringlichkeit erst jetzt ins Bewusstsein der breiten Öffentlichkeit dringt, gelten alle Prinzipien, die in der EU-DSGVO verankert sind, in ähnlicher Form bereits seit über zwei Jahrzehnten, genau seit 1995, als das alte Datenschutzgesetz in Kraft trat. Für die Unternehmer bedeuten die nun in Art. 5 DSGVO neudefinierten allgemeiner Datenschutzprinzipien (Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung und der Vertraulichkeit, sowie der Rechenschaftspflicht) erhöhte Sorgfalt im Umgang mit personenbezogenen Daten – sowohl mit denen der Kunden als auch denen der Arbeitnehmer.

Für die Beschäftigten stellt die neue Regelung sicher, dass ihre Daten nur unter der Voraussetzung verarbeitet werden dürfen, dass der Arbeitgeber ihre datenschutzrechtliche Erlaubnis eingeholt hat (Verbot mit Erlaubnisvorbehalt) und sie jederzeit darüber informiert sind, welche Daten zu welchem Zwecke und wie lange genutzt werden. Darüber hinaus wird verlangt, dass in den Datenschutzerklärungen stets einfache, klar verständliche Formulierungen Anwendung finden und dass die Daten in einer für die betroffene Person nachvollziehbaren Art und Weise verarbeitet werden. Sie dürfen nicht länger gespeichert werden, als für den Zweck erforderlich, und müssen schnellstmöglich anonymisiert beziehungsweise gelöscht werden. Die enge Zweckbindung der DSGVO verhindert sinnvollerweise, dass künftig solche schwammigen Formulierungen in den Betriebsvereinbarungen zu den IT-Systemen im Personalbereich Verwendung finden, wie „Die mit dem System verarbeiteten Daten können für alle Zwecke der Personalverwaltung verwendet werden“. Datenschutzexperten wie Peter Wedde, Professor an der Frankfurt University of Applied Sciences, sehen die Rechte der Beschäftigen durch diese Neuerung deutlich gestärkt, insbesondere durch das „Recht auf Vergessenwerden“, das ihnen durch den Löschungsanspruch (Art. 17 Abs. 1 DS-GVO) gewährt wird. Demnach kann die betroffene Person jederzeit erzwingen, dass jene Daten, für die  es keine zwingende Aufbewahrungsplicht gibt, umgehend gelöscht werden.

Datenschutz im Betriebsrat

Als Teil des Unternehmens und damit der „verantwortlichen Stelle“ steht der Betriebsrat „doppelt“ in der Pflicht, den Schutz personenbezogener Daten zu garantieren, zum einen vor Zugriffen des Arbeitgebers, zum anderen intern, sobald er selbst Beschäftigtendaten verarbeitet oder nutzt. Für die Betriebsratsmitglieder gilt im Allgemeinen: Jeder Betriebsrat ist grundsätzlich berechtigt, die Daten zu erhalten, die er gerade für die Erfüllung seiner Aufgaben braucht. Jedoch dürfen unter keinen Umständen alle Beschäftigtendaten allen Betriebsräten zugänglich sein. Darüber hinaus ist zu berücksichtigen, dass sich zum Schutz der Persönlichkeitsrechte der Beschäftigten zahlreiche Einschränkungen bei der Nutzung ihrer Daten ergeben können. So darf ein Betriebsrat die Beschäftigtendaten nicht für einen anderen als den vorgesehenen Zweck (sprich: die konkrete Betriebsratsaufgabe) verwenden. Eine Weitergabe an Personen aus dem Unternehmen ist ebenfalls untersagt, es sei denn die Ansprechpartner kennen diese Daten bereits oder der betroffene Beschäftigte hat einer solchen Weitergabe zugestimmt.

Datenschutz bei bestehenden Betriebsvereinbarungen

Eine dringliche Frage: Was tun bei bereits bestehenden Betriebsvereinbarungen? Gerade deutsche Unternehmen  können nicht selten eine stolze Menge davon vorweisen. Allein in Deutschland dürfte es nach vagen Schätzungen an die Zehntausende von Betriebsvereinbarungen geben. Diejenigen, die auch noch im entferntesten Zusammenhang mit dem Beschäftigtendatenschutz stehen, müssen nun überprüft und so angeglichen werden, dass der Transparenz-Grundsatz stets gewahrt bleibt. Eine praktikable, aufwandsschonende Lösung könnte in einer Einigung zwischen dem Arbeitgeber und den Arbeitnehmervertretern liegen, mit der die Aktualisierung aller bestehenden Betriebsvereinbarungen durch einen einzigen Annex vollzogen wird, in dem die Anforderungen der DSGVO für alle zurückliegenden Betriebsvereinbarungen formuliert werden. Der Betriebsrat kann aber auch einer solchen Lösung widersprechen und die Umsetzung der DSGVO zum Anlass nehmen, eine alte Betriebsvereinbarung in ihrer Gesamtheit neu zu verhandeln, was natürlich für die Beschäftigten das Risiko einer Verschlimmbesserung birgt.

Massive Geldbußen bei Regelverstoß

Werden die alten Betriebsvereinbarungen nicht in Einklang mit der DSGVO gebracht, drohen dem Unternehmen – wie bei anderen Verstößen gegen die DSGVO – massive Geldbußen, und die sind „nicht ohne“: Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes. Von den Datenschutzexperten wird  erwartet, dass in Einzelfällen erheblich höhere Bußgelder verhängt werden, damit sie ihre abschreckende Wirkung auch in Wirklichkeit entfalten.

„Zu teuer, zu aufwändig, zu sperrig ...“ Die Kritik seitens der Arbeitgeberverbände

Angesichts der weitgehenden Rechtsunsicherheit erscheint es verständlich, dass die Aktualisierung des Datenschutzes vielen Unternehmen Sorge bereitet. Die Bundesvereinigung der Arbeitgeberverbände zeigte sich wenig begeistert von der neuen Verordnung. Deren Umsetzung bedeute, so der Verband, für die deutsche Wirtschaft ein hohes Maß an zusätzlicher Bürokratie, an Kosten und Aufwand. In der Regelung sei bei bestem Willen kein konstruktiver Beitrag zur Digitalisierung von Wirtschaft und Arbeit zu erkennen.

Verspäteter Start trotz langer Übergangsfrist

Der Digitalverband Bitkom schätzt, dass etwa drei Viertel aller Firmen ein termingerechtes Update nicht schaffen werden. Mit der DSGVO tun sich insbesondere der Mittelstand und Kleinunternehmen schwer. Gerade im Hinblick auf die drohenden Geldbußen sind sie gut beraten, sich ernsthaft um eine akkurate Umsetzung der neuen Regelung zu bemühen. Nach Auskunft der Datenschutzbeauftragten ist eine „Karenzzeit“ nicht vorgesehen, allerdings ist es für die Aufsichtsbehörden maßgebend, dass man um die Umsetzung der Anforderungen nachhaltig bemüht hat. Wer die neue DSGVO also aus Unkenntnis unzureichend umgesetzt hat, dürfte eher ungeschoren davonkommen, als einer, der sie völlig ignoriert hat.

Bei Rechtsunsicherheit – der richtige Ansprechpartner

Bei Rechtsunsicherheit sind die jeweiligen Landesdatenschutzbeauftragten der erste Ansprechpartner. Die Aufsichtsbehörden des Bundes und der Länder haben sogennante Kurzpapiere herausgegeben, die über einzelne Themenkomplexe des neuen Datenschutzrechts informieren.

Hier eine Zusammenstellung der Bundesbeauftragten für Datenschutz und Informationsfreiheit:

https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/DSGVO_Kurzpapiere.html

Für den Betriebsrat insbesondere von Bedeutung ist das Kurzpapier zu „Beschäftigtendatenschutz“.


You are using an outdated browser. Please upgrade your browser to improve your experience.