Seit Mai 2018 sollte die neue Datenschutz-Grundverordnung für den Betriebsrat kein Fremdwort mehr sein. Denn seit diesem Zeitpunkt ist die sogenannte EU-DSGVO nebst anderer, ergänzender Vorschriften auf nationaler Ebene in Kraft. Hierbei geht es vor allem um den Schutz personenbezogener Daten – also von Daten, die eine Person möglicherweise identifizierbar machen, wie ihr Name, ihre Anschrift, Kontodaten oder Telefonnummer.
Datenschutz im Betriebsrat – Allgemeine Informationen
Die EU-DSGVO gilt für alle Unternehmen mit Sitz in der EU, aber auch für dritte Unternehmen, die über eine Niederlassung in der EU verfügen oder Daten von EU-Bürgern erheben. Von Datenschutzverstößen können aber nicht nur Kunden eines Unternehmens betroffen sein – etwa wenn sie in dessen Online-Shop einkaufen. Auch die Daten der Arbeitnehmer sind vertraulich zu behandeln. Aus diesem Grund muss der Betriebsrat auf den Datenschutz in einem Unternehmen besonders achten. Problematisch ist dabei zuweilen, dass der Datenschutz für den Rat ebenfalls gilt. Hier kann es zu Konflikten mit der Aufgabenwahrung der Arbeitnehmervertretung kommen.
Einfluss des Betriebsrates auf den Datenschutz im Unternehmen
Der Betriebsrat muss grundsätzlich die Einhaltung des Datenschutzes im Beschäftigungsverhältnis gewährleisten. Laut § § 87 Abs. 1 Nr. 6 BetrVG kann er auf die „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“, Einfluss nehmen. Hier geht es zum Beispiel um Arbeitszeiterfassungssysteme. Dabei hat er in diesen Fällen nicht nur ein Mitsprache-, sondern ein zwingendes Mitbestimmungsrecht, das auch eingefordert werden kann. Zudem kann die Mitwirkung des Betriebsrates zu datenschutzrechtlichen Themen im Rahmen einer Betriebsvereinbarung freiwillig beschlossen werden. In all diesen Fällen ist dann neben dem Datenschutzbeauftragten der Betriebsrat für den Datenschutz zuständig. Ein Datenschutzbeauftragter muss gemäß § 38 BDSG-neu sowie nach Art. 78 DSGVO in öffentlichen Stellen und Betrieben gestellt werden, sofern mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Betriebsrat & Datenschutz: Welche datenschutzrechtlichen Regelungen muss der Rat selber beachten?
Der Datenschutz ist für den Betriebsrat ein Balanceakt: Einerseits benötigt er in vielen Fällen Daten der Arbeitnehmer zur Entscheidungsfindung, andererseits darf er nicht einfach vertrauliche Informationen nutzen – vor allem nicht ohne Einwilligung des Betroffenen. Dazu können etwa Beschwerdemails von Arbeitnehmern zählen, ebenso wie Bewerbungen, Angaben zur Sozialauswahl oder Kündigungsvorlagen. Hierbei sollte sich der Betriebsrat unbedingt vor Augen führen, wer Zugriff auf diese Daten hat, zu welchem Zweck sie verarbeitet und wann sie wieder gelöscht werden. Wird der Datenschutz im Betriebsrat nicht ernst genommen, kann es zu einer Abmahnung und bei groben Verstößen sogar zum Ausschluss eines Betriebsratsmitgliedes bzw. zur Auflösung des Rates kommen.
Datenschutzexperte bietet diesbezüglich ein informatives Webinar zum Thema DSGVO an. Das Datenschutz-Webinar vermittelt innerhalb von 90 Minuten die wichtigsten Grundlagen zum Thema DSGVO und gibt darüber hinaus Antworten auf Ihre expliziten Fragen.
Fallbeispiel: Personenbezogene Daten vom Betriebsrat verwendet
Arbeitgeber und Betriebsrat sollten den Datenschutz besonders ernst nehmen, denn bei Nichteinhaltung der Regelungen drohen teils hohe Geldstrafen, auch für immaterielle Schäden. Schwere Verstöße können sogar mit einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes geahndet werden. Wichtig ist also, dass die Datenschutz-Grundverordnung von Betriebsrat und Arbeitgeber genauestens umgesetzt wird, um Abmahnungen und Strafen zu vermeiden.
Fallgestaltungen im Bereich des Datenschutzes sind vielschichtig. So ist es beispielsweise möglich, dass personenbezogene Daten durch den Betriebsrat im Rahmen eines Personalfragebogens erhoben werden und diese ermittelten Daten dann in die Hände Dritter gelangen. Der Datenschutz kann für den Betriebsrat auch dann problematisch werden, wenn er ohne Einwilligung des Arbeitnehmers Einsicht in dessen Personalakte nimmt oder wenn er sogar die Akten unbeteiligter Arbeitnehmer prüft.
Im Falle des Arbeitgebers könnte es außerdem sein, dass dieser personenbezogene Daten in einem Cloud-System von Drittanbietern speichert und jene Drittanbieter die Daten dann etwa für Werbemaßnahmen nutzen. Zudem kann der Arbeitgeber auch solche persönlichen Informationen in die Personalakte aufnehmen, die unter eine „besondere Kategorie“ fallen. Hierzu zählen etwa:
Rasse
Ethnische Herkunft
Sexuelle Orientierung
Religiöse Anschauungen
Biometrische Daten
Gewerkschaftszugehörigkeit
All diese Daten dürfen nur in Ausnahmefällen verarbeitet werden. Ebenfalls nicht gestattet ist das wahllose Sammeln von privaten Daten aus dem Internet, etwa indem der Name des Arbeitnehmers gegoogelt wird oder Einträge aus seinen Social-Media-Profilen in die Personalakte übernommen werden.
Artikel veröffentlicht am: 02. August 2018
