Finden Sie Ihr passendes Seminar
Seminarsuche

Datenschutz im Betriebsrat

16. September 2019

Interview mit Jörg Reiniger, Geschäftsführer der aas
_________

aas-Geschäftsführer Jörg Reiniger

Meist geht es bei Betriebsräten doch darum, dass sie sich darum kümmern, dass der Arbeitgeber die Vorgaben des Datenschutzes einhält. Ist das wirklich alles?

Jörg Reiniger: Es ist richtig, dass viele Betriebsräte viel zu wenig ihre eigene Verantwortung für die Beachtung des Datenschutzes im Blick haben. Viele Betriebsräte bedenken überhaupt nicht, dass sie im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten und insoweit selbst die Vorgaben der 
DSGVO und des BDSG zu beachten haben.

„Für den Betriebsrat gilt, dass er den Datenschutz auf keinen Fall auf die leichte Schulter nehmen darf.“

Gibt es typische Fehler, die immer wieder vorkommen? 

Jörg Reiniger: Ganz grundsätzlich treffen den Betriebsrat zwei wesentliche Verpflichtungen. Er muss sicherstellen, dass keine Unbefugten Zugriff auf seine Daten haben und dass die Daten nur gespeichert werden, wenn sie tatsächlich gebraucht werden. Außerdem sind diese Daten zu vernichten oder zu löschen, wenn sie nicht mehr benötigt werden. Hier braucht jeder Betriebsrat ein Löschkonzept! Da sieht die Realität bei vielen Betriebsräten anders aus. Es sammeln sich vielfach sehr sensible Daten in uralten Aktenordern 
des Betriebsrats. Auch muss beachtet werden, dass keine Entwürfe von Sitzungsprotokollen an die Mitglieder des Betriebsrats verschickt werden oder dass die Tagesordnungen, die mit der Einladung zur Sitzung verschickt werden, zurückzugeben oder zu vernichten sind. Es muss also verhindert werden, dass bei den Betriebsratsmitgliedern Nebenakten entstehen.

Kann der Betriebsrat bei eigenen Datenschutzverstößen möglicherweise ein Haftungsproblem bekommen?

Jörg Reiniger:  Das ist umstritten. Nach dem Wortlaut der neuen DSGVO ist jede Stelle verantwortlich, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Umstritten ist, ob das beim Betriebsrat der Fall ist. Die Gerichte haben seit der Geltung der DSGVO meist entschieden, dass der Betriebsrat weiter nur als Teil des verantwortlichen Arbeitgebers anzusehen ist (vgl. z.B. LAG Niedersachsen, Beschluss vom 22.10.2018 – 12 TaBV 23/18; LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18). Als Grund dafür wird angeführt, dass die Mittel der Verarbeitung in der Regel durch den Arbeitgeber vorgegeben werden, dieser also über die im Unternehmen bestehende Infrastruktur wie z. B. Telefonanschluss, Internetzugang und die auf den PCs aufgespielte Software entscheidet. Ebenso wird argumentiert, dass der Betriebsrat nicht frei über die Zwecke der Verarbeitung entscheidet, sondern dass diese sich aus seinen aus dem Betriebsverfassungsgesetz zugewiesenen Aufgaben ergibt.

Danach wäre der Betriebsrat also nicht verantwortliche Stelle?

Jörg Reiniger: Nach dieser Auffassung nicht. Die halten wir auch für zutreffend. Es gibt aber gewichtige Stimmen, die das anders sehen. Die Vertreter der anderen Auffassung argumentieren, dass die Frage, welches Mittel ein Betriebsrat zur Erfüllung seiner Aufgaben nutzt, in der Regel durch diesen selbst bestimmt wird. Der Betriebsrat also selbst entscheidet, ob er eine Excel-Liste oder eine handschriftliche Liste von Mitarbeiterdaten anlegt oder wie er Vorgänge, die ihm von den Beschäftigten des Unternehmens gemeldet werden, dokumentiert, verwaltet oder ablegt. Auch das Argument, dass die Zwecke der Datenverarbeitung dem Betriebsrat durch das BetrVG vorgegeben werden, halten die Vertreter dieser Ansicht nicht für stichhaltig, da sich auch in zahlreichen anderen Fallkonstellationen die Zwecke der Datenverarbeitung aus gesetzlichen Vorgaben ergeben, ohne dass dies an der datenschutzrechtlichen Verantwortlichkeit etwas ändert.

Was bedeutet das für den Betriebsrat?

Jörg Reiniger: Das bedeutet, dass die Frage, ob der Betriebsrat verantwortliche Stelle ist, rechtlich keineswegs geklärt ist. Höchstrichterlich ist das bislang nicht entschieden. Auch die Instanz-Rechtsprechung ist hier nicht einheitlich. Am 18.12.2018 hat aber das LAG Sachsen-Anhalt (Az. 4 TaBV 19/17) entschieden, dass der Betriebsrat Verantwortlicher i. S. d. DSGVO ist.

„Viele Betriebsräte bedenken nicht, dass sie selbst die DSGVO zu beachten haben.“

Welche Konsequenzen hat es, wenn man den Betriebsrat als Verantwortlichen i. S. d. DSGVO ansieht?

Jörg Reiniger: Wäre der Betriebsrat datenschutzrechtlich eigener Verantwortlicher, hätte dies weitreichende Konsequenzen. Den Betriebsrat träfen dann zahlreiche Verpflichtungen, um die Anforderungen der DSGVO umzusetzen. Besonders einschneidend wäre jedoch, dass er dann möglicherweise für Verstöße gegen das Datenschutzrecht selbst haften könnte. Man kann nur hoffen, dass wir bald Klarheit durch das BAG bekommen. Für den Betriebsrat gilt aber unabhängig von der Frage, ob er Verantwortlicher ist oder nicht, dass er den eigenen Datenschutz auf keinen Fall auf die leichte Schulter nehmen darf. Jeder Betriebsrat muss dringend die eigenen Verpflichtungen im Datenschutz ernst nehmen und unbedingt umsetzen. Unkenntnis oder unbedarftes Vorgehen des Betriebsrats kann zu einem sehr bösen Erwachen führen!

Haben Sie Fragen zu unseren Seminaren und Kongressen oder rund um aas?
Rufen Sie uns an
oder nutzen Sie unser Kontaktformular
Zum Kontaktformular
mein.aas schließen
Sie sind nicht eingeloggt!