Liebe Nutzer,

für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.

Liebe Grüße,
Ihr ifb-Team

Update im Datenschutz

Änderungen im Datenschutz durch das Betriebsrätemodernisierungsgesetz

Veröffentlicht am 10.02.2022
Es gibt wichtige Klarstellungen im Datenschutz: Der Betriebsrat ist kein Verantwortlicher für die Verarbeitung von personenbezogenen Daten – dies steht nun ausdrücklich in § 79a BetrVG. Aber: Der Betriebsrat ist ausdrücklich bei der Verarbeitung personenbezogener Daten zur Einhaltung des Datenschutzes verpflichtet. Was genau hat sich geändert?
 

Wer ist für die Einhaltung des Datenschutzes verantwortlich?

Mit anderen Worten: Wer ist z.B. Adressat möglicher Bußgeldbescheide? Wichtig ist, zwischen der Nutzung der IT-Infrastruktur als solche und der Datenverarbeitung des Betriebsrats zu unterscheiden. 

Wenn die IT-Infrastruktur des Arbeitgebers benutzt wird, ist dieser auch dafür verantwortlich, dass die eingesetzten Systeme den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechen. Ungeklärt war bis zur Einführung von § 79a BetrVG die Frage nach der Verantwortlichkeit des Betriebsrats, wenn es um dessen eigene Datenverarbeitung geht.  

a) Wie bewerteten die Aufsichtsbehörden diese Frage?  

  • Jedes Bundesland besitzt eine eigene Aufsichtsbehörde. Die einzelnen Aufsichtsbehörden vertreten im Datenschutz auch unterschiedliche Meinungen zur DSGVO bzw. zum Bundesdatenschutzgesetz (BDSG).  
  • Eine Umfrage im Jahr 2018 innerhalb der Aufsichtsbehörden ergab: Die meisten sahen den Betriebsrat als eigenen Verantwortlichen an. 

b) Was sagte das Bundesarbeitsgericht dazu?  

  • Nach bisheriger ständiger Rechtsprechung des Bundesarbeitsgerichts, noch vor Einführung der DSGVO im Mai 2018, galt der Betriebsrat als sogenannter Teil der verantwortlichen Stelle. Verantwortlicher selbst sei der Arbeitgeber. 
  • Darüber hinaus galt aber zudem: Der Betriebsrat muss bei sensiblen Daten für die Einhaltung des Datenschutzes sorgen. (BAG, Beschluss vom 09. April 2019, 1 ABR 51/17) Hintergrund der Entscheidung war ein Auskunftsanspruch des Betriebsrats auf sensible Beschäftigtendaten, z.B. zur Schwangerschaft einer Mitarbeiterin. Hier urteilte das BAG, der Betriebsrat müsse darlegen, mit welchen Maßnahmen er die Einhaltung des Datenschutzes gegenüber den Betroffenen gewährleisten könne.  Details zum Urteil 
  • Das BAG äußerte sich damit zwar nicht direkt zur Verantwortlichkeit, allerdings stellte es fest, dass der Betriebsrat den Datenschutz einhalten bzw. sogar nachweisen muss, dass dieser eingehalten wird.  

Jetzt NEU:  Klarstellung im Gesetz  

Nach § 79a BetrVG ist der Arbeitgeber auch weiterhin der alleinige Verantwortliche; der Betriebsrat bleibt Teil der verantwortlichen Stelle. Ferner wird bekräftigt, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften des Datenschutzes einzuhalten hat. Eine Beachtung sowie Grundkenntnisse des Datenschutzes sind damit für jeden Betriebsrat unumgänglich.  

Weiterhin fraglich: Kontrolle des Datenschutzes im BR-Büro?

Nach Ansicht des Bundesarbeitsgerichts hat der Datenschutzbeauftragte kein Kontrollrecht über das Betriebsratsgremium. Denn er sei im Lager des Arbeitgebers zu verorten und damit nicht komplett unabhängig. Die Gesetzesbegründung zu § 79a BetrVG ist hingegen leider nicht so eindeutig: „Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der DSGVO (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle. Soweit erforderlich, sollte der Betriebsrat die Beratung durch den Datenschutzbeauftragten in Anspruch nehmen.“ Besteht nach dieser Begründung fortan ein Kontrollrecht des Datenschutzbeauftragten gegenüber dem Betriebsratsbüro? Oder besteht „nur“ die Möglichkeit einer Beratung mit dem Datenschutzbeauftragten? Das ist im Moment noch nicht abschließend zu beantworten. Lehnt man ein solches Kontrollrecht aus guten Gründen auch weiterhin ab, ist jedoch eine andere Lösung notwendig. Denn im neuen § 79a S.1 BetrVG wird der Betriebsrat verpflichtet, bei der Verarbeitung personenbezogener Daten den Datenschutz einzuhalten. Was also tun?   

 Praxistipp:

Der Betriebsrat sollte einen eigenen "Datenschutzbeauftragen" bestellen, der sich um die Einhaltung des Datenschutzes kümmert und der als Experte als zentraler Ansprechpartner fungiert.

Unser Seminartipp

Der neue § 79a BetrVG

Der neue § 79a BetrVG lautet im Detail wie folgt:  

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber. 

Unser Seminartipp