DSGVO - Neuer Datenschutz im Betriebsrat

Datenschutz ist in aller Munde. Die Datenschutz-Grundverordnung (DSGVO) kam für viele trotz langer Vorankündigung sehr plötzlich und gilt seit März dieses Jahres.

Aber was hat diese nun für Auswirkungen auf die Arbeit des Betriebsrats?

Eigentlich ändert sich nicht viel. Wie bisher unterliegt der Betriebsrat weiterhin der Verschwiegenheit und muss wie bisher dafür sorgen, dass die Daten, mit denen er arbeitet, sicher und geschützt sind. Dies bedeutet nicht nur, dass niemand außerhalb des Betriebsrats sie lesen kann, sondern auch, dass sie sicher vor Verlust oder Zerstörung sind. Also dürfte ein regelmäßiges Backup der Daten unumgänglich sein.

Bei der DSGVO gibt es einen eisernen Grundsatz. Was nicht ausdrücklich erlaubt ist, ist verboten. Oder umgekehrt gesagt: Alles ist solange verboten, bis es erlaubt ist. Diese Erlaubnis kann aufgrund einer Einwilligung zur Datenverarbeitung des Betroffenen vorliegen, oder aber–ohne eine Einwilligung–, wenn die Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung erforderlich ist.

Eine solche gesetzliche Verpflichtung ergibt sich für den Betriebsrat aus dem BetrVG. Solange die Datenverarbeitung aufgrund der Erfüllung der Aufgaben eines Betriebsrats geschieht, ist die Datenverarbeitung somit erlaubt. Dies gilt z.B. für die Speicherung von Namen und Gehältern, soweit hier die Mitbestimmungspflicht des Betriebsrats betroffen ist. Aber Achtung: Dann, wenn diese Daten nicht mehr erforderlich sind, sind die Daten wieder zu löschen. Denn dann ist der Zweck der Datenverarbeitung erfüllt und eine weitere Speicherung wird damit unzulässig.

Daher muss sich der Betriebsrat erst einmal darüber klar werden, wofür er welche Daten überhaupt braucht. Denn dieses „brauchen“ ist der Zweck der Verarbeitung, an dem die Zulässigkeit gemessen wird. Fällt „das brauchen“ und damit der Zweck weg, sind die Daten zu löschen, mindestens aber so zu verändern, dass sie einer bestimmten Person nicht mehr zuzuordnen sind (anonymisieren bzw. pseudonymisieren). Diese Gedanken muss der Betriebsrat in einem Verzeichnis der Verarbeitungstätigkeiten dokumentieren und darf nicht warten, bis er gefragt wird, wie er mit den Daten umgeht.

Eine Haftung des Gremiums bei fehlerhaftem Umgang mit Daten dürfte aufgrund der Vermögenslosigkeit ausscheiden. Anders hingegen ist es bei der persönlichen Haftung des Betriebsratsmitglieds, sollte festgestellt werden, dass dieses einen schwerwiegenden Verstoß begangen hat. Daher ist es unabdingbar, dass sich Betriebsräte im Hinblick auf den Umgang mit Daten schulen und beraten lassen.

Der Betriebliche Datenschutzbeauftragte des Arbeitgebers darf im Übrigen ebenso wenig wie bisher in die Daten des Betriebsrats Einsicht nehmen, da er trotz einer gewissen Unabhängigkeit der verlängerte Arm des Arbeitgebers ist. Nicht geklärt ist dagegen die Frage, ob der Betriebsrat einen eigenen Datenschutzbeauftragten ernennen muss. Auch wenn hier die Meinungen noch weit auseinander gehen sollte der Betriebsrat zu mindestens einen eigenen „Verantwortlichen“ für diesen Bereich benennen, der sich mit diesem Thema intensiv auseinander setzt und dann auch einen weiteren Schulungsanspruch hat. 

05542 5027394