Für eine Verarbeitung personenbezogener Daten bedarf es immer einer Rechtsgrundlage. Dies gilt auch im Beschäftigungsverhältnis einerseits für den Arbeitgeber und andererseits für den Betriebsrat. Die Fälle einer Datenverarbeitung durch den Betriebsrat sind dabei zahlreich, wie beispielsweise bei der Überprüfung der Eingruppierung von Kollegen, bei Versetzungen oder Einstellungen, bei Beschwerden oder Anhörungen. Wie wird allerdings sichergestellt, dass der Betriebsrat die Daten rechtmäßig verarbeitet?
Gesetzliche Systematik
Der europäische Gesetzgeber hat den Bereich des Beschäftigtendatenschutzes ganz bewusst nicht geregelt. Dafür hat er aber den nationalen Gesetzgebern den Auftrag erteilt spezifischere Regelungen zu treffen. Der deutsche Gesetzgeber hat daher in § 26 Absatz 1 BDSG (neu) festgeschrieben, dass auf kollektivrechtlicher Ebene als Rechtsgrundlage für die Verarbeitung ein Gesetz, ein Tarifvertrag oder eine Betriebsvereinbarung fungieren kann. Der Betriebsrat handelt daher grundsätzlich immer aufgrund seiner gesetzlichen Befugnisse nach dem BetrVG. Der Arbeitgeber braucht zumeist die Einwilligung des Arbeitnehmers oder eine Betriebsvereinbarung. Dieser Verhandlungsvorteil für Betriebsräte ist ein riesiges Plus für die Mitbestimmung.
Datenschutz im Betriebsratsbüro
Allerdings steht die Mitbestimmung auch unter Druck. Denn für die Datenverarbeitung im Betriebsratsbüro ist und bleibt der Arbeitgeber Verantwortlicher im Sinne der DS-GVO. Der Betriebsrat ist nur Teil des Verantwortlichen. Eine Kontrolle des Betriebsrates auf die Rechtmäßigkeit einer Datenverarbeitung ist dem Arbeitgeber jedoch aufgrund des Grundsatzes der Vertrauensvollen Zusammenarbeit verwehrt und im Übrigen durch den Gesetzgeber auch nicht erwünscht. Dennoch versuchen Arbeitgeber teilweise mit den Betriebsräten Vereinbarungen abzuschließen, die eine unmittelbare Kontrolle durch den Arbeitgeber selbst oder den Datenschutzbeauftragten des Unternehmens ermöglichen. Beides war schon nach alter Rechtslage unzulässig (zur Kontrolle durch den Datenschutzbeauftragten BAG, Beschluss vom 11.11.1997 – Az.: 1 ABR 21/97). Wie also den Datenschutz im Betriebsratsbüro sicherstellen?
Lösungsansatz
Zunächst sollte der Betriebsrat gerade wegen der aktuellen Brisanz des Themas – Verstöße können pro Einzelfall mit Bußgeldern bis zu 20 Millionen Euro belegt werden, Art 83 Absatz 6 DS-GVO – einen gremiumsinternen Ansprechpartner für den Datenschutz benennen (vgl. Grundgedanke des § 38 Absatz 1 BDSG (neu)). Danach sind Schulungen zum Datenschutz unerlässlich.
Erste Hinweise können auch vom Datenschutzbeauftrage eingeholt werden. Dieser kann im Weiteren als Auskunftsperson im Sinne des § 80 Absatz 2 Satz 3 BetrVG ein wichtiger Unterstützer für den Betriebsrat sein.
Danach ist zu überprüfen, ob der Betriebsrat je nach interner Organisation des Gremiums ein Verarbeitungsverzeichnis führen sollte und wie das Löschkonzept zu gestalten ist.
Wichtig ist dabei aber immer eines:
Der Datenschutz ist nicht dazu gedacht die Mitbestimmung zu beschränken.
Nicolas Ballerstaedt
Abteilung Mitbestimmung