Datenschutz: Als Betriebsrat die Vorgaben beachten!
Zentrale Frage: Ist der Betriebsrat eine verantwortliche Stelle nach DSGVO? Die Experten sind ratlos. Sie dürfen derweil bei der Betriebsratsarbeit den Datenschutz aber nicht missachten.
Sie als Betriebsrat und Datenschutz? Ist das nicht Chefsache?
Geschäftsführung Betriebsrat. Doch schon. Wenn es um den Schutz der Beschäftigtendaten im Betrieb geht, ist zunächst der Arbeitgeber in der Pflicht. Auf jeden Fall ist das Unternehmen ein Verantwortlicher. Aber auch Sie als Betriebsrat müssen den Datenschutz beachten. Dafür enthalten Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) eine Vielzahl von Vorschriften. Die Frage ist nur, wie weit Ihre Pflichten als Betriebsrat in Sachen Schutz der Arbeitnehmerdaten im Detail gehen. Sie ist auch zwei Jahre nach Inkrafttreten der DSGVO immer noch nicht zufriedenstellend und voll umfänglich beantwortet.
Bietet denn das Gesetz keine Erklärung?
Nicht wirklich, wie das bei Gesetzen halt so ist: sie können ja nur eine allgemeine Sicht auf bestimmte Rechtsverhältnisse bieten und in welche Richtung sie auszulegen sind. Nach der DSGVO gilt jede Stelle als verantwortlich, die über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Was das bedeutet, das sollen uns eigentlich Gerichte sagen. Aber die streiten sich seither über die Auslegung. Selbst das Bundesarbeitsgericht hat noch kein Machtwort gesprochen; ebenso wenig hat es den EuGH hierzu schon angerufen. Der ewige Juristenstreit entzündet sich darüber, ob Sie als Betriebsrat als verantwortliche Stelle im Sinne der DSGVO einzustufen sind oder nicht.
Für welche der beiden Sichtweisen gibt es Argumente?
Für beide gibt es welche. Aber Beobachter nehmen an, dass der Betriebsrat am Ende eher nicht als verantwortliche Stelle einzustufen sein werden. Das Betriebsverfassungsgesetz (BetrVG) gibt den Rahmen vor. Es legt fest, inwiefern Sie als Betriebsrat Datenverarbeitung betreiben können oder sogar müssen. Zudem greifen Sie als solcher in der Regel auf die in Ihrem Betrieb bestehenden Mittel zur Datenverarbeitung und die IT-Struktur zurück. Hier sind Sie meistens an die Vorgaben Ihres Unternehmens gebunden. Das alles spricht gegen eine eigene Verantwortlichkeit des Betriebsrats. Aber es ist kaum von der Hand zu weisen, dass Sie bei der Betriebsratsarbeit regelmäßig selbst darüber entscheiden, wie genau Sie die Ihnen überlassenen Daten verarbeiten. Das BetrVG selbst macht hierzu leider ebenfalls keine klaren Vorgaben.
Welcher Ansicht neigen die Gerichte in der Mehrzahl zu?
Die meisten seit Inkrafttreten der DSGVO mit der Frage befassten Gerichte stufen betriebliche Interessenvertretungen nicht als eigene verantwortliche Stelle ein. Sie neigen der ersten Sichtweise zu und sehen Sie als Betriebsrat lediglich als Teil des verantwortlichen Arbeitgebers. Eine Ausnahme hiervon machte bisher nur das LAG Sachsen-Anhalt (Beschluss vom 18. Dezember 2018, Az.: 4 TaBV 19/17). Es bejaht in einem von ihm entschiedenen Fall die Verantwortlichkeit eines Betriebsrats. Er entscheide selbst über den Zweck einer von ihm vorgenommenen Einsicht in Bruttoentgeltlisten und sei daher Verantwortlicher im Sinne des DSGVO. Damit steht dieses Gericht allerdings bisher allein. Zwar haben sich mehrere Datenschutzbehörden der Länder in Positionspapieren dafür ausgesprochen, den Betriebsrat als verantwortliche Stelle einzustufen. Das ist aber nicht rechtsverbindlich. Daher können Sie bis auf weiteres davon ausgehen, dass Sie nicht als verantwortliche Stelle im Sinne des Datenschutzrechts gelten. Dies bedeutet, dass Sie weniger Vorgaben der DSGVO zu beachten haben als Ihr Unternehmen.
Angenommen aber, Sie als Betriebsrat wären verantwortliche Stelle. Was würde das für Sie bedeuten?
Das hätte für Sie und letztlich für Ihren Arbeitgeber weitreichende Folgen. Dann müssten Sie den Datenschutz noch deutlich ernster nehmen als sowieso schon:
- Zum Beispiel müssten Sie in diesem Fall selbst alle Mitarbeiter über Ihre Datenverarbeitung informieren.
- Sie müssten als Betriebsrat ein eigenes Verzeichnis der Verarbeitungstätigkeiten erstellen und führen.
- Ihre Kollegen hätten Ihnen gegenüber einen umfangreichen Auskunftsanspruch über ihre von Ihnen verarbeiteten Daten.
- Als betriebliche Interessenvertretung müssten Sie ein eigenes Löschkonzept für die Datenverarbeitung entwickeln und umsetzen.
- Sie könnten nicht einfach nur das im Betrieb bestehende Konzept mit nutzen oder gar übernehmen.
- Hat Ihr Betriebsrat mehr als zehn Mitglieder, würde er bei einer Einstufung als verantwortliche Stelle nach DSGVO einen eigenen Datenschutzbeauftragten bestellen müssen.
- Sie müssten unter Umständen für Verstöße gegen den Datenschutz im Rahmen Ihrer Arbeit haften. Zwar wären Sie als Betriebsrat insgesamt nicht haftbar, aber Sie als einzelnes Betriebsratsmitglied könnte es unter Umständen treffen, zumindest bei grob fahrlässigen Fehlern.
Angenommen andererseits, Sie als Betriebsrat wären nicht verantwortliche Stelle: interessiert Sie die DSGVO dann nicht?
Doch, das muss sie. Als Betriebsrat müssen Sie in jedem Fall folgende fünf Grundsätze zur Datenverarbeitung nach Art. 5 DSGVO beachten:
- Rechtmäßigkeit: Sie können personenbezogene Arbeitnehmerdaten nur auf einer Rechtsgrundlage verarbeiten:
- entweder z.B. nach § 26 BDSG, Datenverarbeitung für die Durchführung eines Beschäftigtenverhältnisses
- oder auf einer wirksamen Einwilligung der betroffenen Kollegen.
- Zweckbindung: Bei der Betriebsratsarbeit dürfen Sie personenbezogene Daten von Kollegen nur für „festgelegte, eindeutige und legitime Zwecke“ erheben. Sie dürfen die Daten nicht verarbeiten, wenn dies mit diesen Zwecken nicht vereinbar wäre. Die Zweckbindung der Datenverarbeitung hängt eng mit ihrer Rechtmäßigkeit zusammen: Nur wenn Sie wissen, wozu Sie Daten verarbeiten, können Sie prüfen, auf welcher Rechtsgrundlage Sie das dürfen.
- Datenminimierung: Prinzip: So viel wie nötig, so wenig wie möglich. Als Betriebsrat dürfen Sie personenbezogene Daten von Kollegen nur verarbeiten, wenn dies im Rahmen des Arbeitsverhältnisses oder Ihrer Tätigkeit als Betriebsratsgremium angemessen und auf das notwendige Maß beschränkt ist, also nur Infos über Kollegen, die für das Arbeitsverhältnis von Bedeutung sind oder Sie für Ihre Tätigkeit benötigen.
Es ist nicht immer leicht, festzustellen, wo die Grenze der Erforderlichkeit verläuft. Gerichte urteilen nicht immer einheitlich:
- Das Bundesverwaltungsgericht (BVerwG vom 19.3.2014, Az.: 6 P 1.13) hat entschieden, ein Personalrat könne nicht verlangen, die in der elektronischen Arbeitszeiterfassung gespeicherten Daten unter Namensnennung der Beschäftigten zur Verfügung gestellt zu bekommen. Das gehe nur in anonymisierter Fassung.
- Anders das BAG (7.2.2012, Az.: 1 ABR 46/10). Danach muss der Arbeitgeber dem Gremium auch ohne Zustimmung der Betroffenen die Kollegen namentlich nennen, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt krank waren.
- Speicherbegrenzung: Gemeint ist damit die Dauer, auf die Sie als Betriebsrat Daten von Kollegen speichern dürfen, und zwar:
- nur so lange, wie das für die Zwecke der Datenverarbeitung erforderlich ist; danach müssen Sie die Daten entweder löschen oder so verändern, dass ein Bezug zu einem bestimmten Arbeitnehmer nicht mehr ersichtlich ist.
- Sitzungsniederschriften gemäß § 34 BetrVG allein schon aus Beweiszwecken wenigstens bis zum Ende der Amtszeit, in Einzelfällen möglicherweise länger; ansonsten gibt es dazu keine ausdrückliche Regelung. Faustregel: Eine Aufbewahrung ist erlaubt, bis die Daten ihre rechtliche Bedeutung verlieren.
- Beschäftigtendaten nur so lange, wie das für die Ausübung der Mitbestimmung nötig ist, nach Abschluss des Mitbestimmungsverfahrens Daten löschen oder die überlassenen Unterlagen dem Arbeitgeber zurückgeben; Sie sollten in Ihrer Geschäftsordnung regeln, wie Sie das durch technische und organisatorische Maßnahmen sicherstellen wollen.
- Keine ständige, nicht erforderliche Datenaufbewahrung; die wäre nicht erlaubt. Ihr Betriebsrats-Büro sollte deshalb über einen Reißwolf mit mindestens Sicherheitsstufe 4 der DIN 66399 verfügen.
- Datensicherheit, Integrität und Vertraulichkeit der Datenverarbeitung: In Papierform gespeicherte Beschäftigtendaten müssen Sie unter Verschluss halten, sie in einem abschließbaren Raum oder in einem abschließbaren Schrank aufbewahren, so dass sie vor unbefugtem Zugriff geschützt sind. Arbeiten Sie wann immer möglich mit Verschlüsselung und Pseudonymisierung der Daten!
Wie verhalten Sie sich als Betriebsrat angesichts der bestehenden Rechtsunsicherheit?
Reden Sie mit Ihrem Arbeitgeber! Schließen Sie mit ihm eine Betriebsvereinbarung über den Datenschutz insgesamt! Halten Sie darin ausdrücklich fest, dass Sie als Betriebsrat nur als Teil der verantwortlichen Stelle des Unternehmens und nicht als eigene verantwortliche Stelle zu gelten haben!
Was bedeutet der Umgang mit dem Datenschutz nach DSGVO für Sie als Betriebsrat in der Praxis?
Gehen Sie vor allem strukturiert vor! Organisieren Sie Ihre alltägliche Arbeit im Gremium datenschutzrechtskonform! Dazu gehört an erster Stelle eine ehrliche Bestandsaufnahme. Sie werden effektive Maßnahmen zur Verbesserung nur planen und umsetzen können, wenn Sie Ihre Probleme kennen. Dafür sollten Sie als Betriebsrat sich u. a. folgende Fragen beantworten:
- Wie läuft die Datenschutzkette in Ihrem Betrieb normalerweise?
- Welche allgemeinen Regeln gibt es im Betrieb zum Datenschutz?
- Wie ist der Prozess der Weitergabe der Daten von Ihrem Arbeitgeber an den Betriebsrat geregelt?
- Wie verfahren Sie mit den überlassenen Daten weiter?
- Haben Sie im Betriebsrat Regeln über den Datenschutz z. B. in einer Geschäftsordnung verankert oder zwischen Ihnen und Ihrem Arbeitgeber etwa in einer Rahmenvereinbarung zum Beschäftigtendatenschutz?
- Wie bewahren Sie die Beschäftigtendaten in Ihrem Betriebsratsbüro auf und wann werden sie wie gelöscht?
Was ist damit gemeint: wie bewahren Sie die Daten auf?
Das ist jeder Betrieb verschieden. Jeder Betriebsrat arbeitet ein bisschen anders. Aber die Erfahrung zeigt, dass bestimmte Schwachstellen beim Umgang mit Beschäftigtendaten die verschiedenen Betriebsrats-Büros sich ähneln. Dazu zählen beispielsweise:
- Papierkörbe, Aktenvernichtung, Entsorgung von Altpapier
- Kommunikation, WhatsApp, E-Mail etc., mobile Endgeräte und USB-Sticks, Speicherkarten, Datenträger
- Datensicherung und Datensicherheit
- Zugangs- und Zugriffsberechtigungen
- Abschließbarkeit des Betriebsrats-Büros und Zugang für welche Personen
- Wartung und Aktualisierung von Hard- und Software
- Passwortsicherheit
- Weitergabe von Passwörtern
Dürfen Sie als Betriebsrat Daten von Kollegen an Behörden geben?
Keine leicht zu beantwortende Frage. Stellen Sie sich folgenden Fall vor: In Ihrem Betrieb lässt Ihre Geschäftsleitung die Kollegen außerplanmäßig an mehreren Sonntagen arbeiten. Sie informiert Sie als Betriebsrat nicht rechtzeitig, geschweige denn, dass Sie hätten mitbestimmen dürfen. Sie schalten einen Anwalt ein. Er fordert Ihren Chef schriftlich auf, die Sonntagsarbeit zu unterlassen. Ohne Erfolg, Ihr Unternehmen lässt an weiteren Sonntagen munter arbeiten. Jetzt erfahren Sie, dass eine Kollegin mit Beschäftigungsverbot wegen Schwangerschaft ebenfalls am Sonntag gearbeitet hat. Als Betriebsrat informieren Sie das Gewerbeaufsichtsamt und geben an dieses die Telefonnummer Ihrer Kollegin weiter – dürfen Sie das?
Doch wohl nicht – oder?
Eine allgemein gültige Antwort darauf gibt es nicht. Auch bei der Betriebsratsarbeit gilt das BDSG. Sie müssen im Gremium je nach den Umständen des Einzelfalls genau prüfen, ob Daten, wie hier die Telefonnummer der Kollegin, an Aufsichtsbehörden weitergeben dürfen. Dies ist entsprechend der konkreten Situation immer erneut zu entscheiden. Dabei prüfen Sie eingehend:
- War die Weitergabe der Daten erforderlich?
- Haben Sie dabei die Interessen des betroffenen Arbeitnehmers ausreichend berücksichtigt? Dessen Einverständnis werden Sie auf jeden Fall vorher einholen. Dann sind Sie auf der sicheren Seite.
Sie müssen als Betriebsrat aber doch die Aufsichtsbehörden unterstützen?
Genau, § 89 BetrVG verpflichtet Sie sogar dazu. Das spricht denn auch für die Weitergabe. Zudem müssen Sie gemäß § 80 Abs. 1 Nr. 1 BetrVG überwachen, ob die Geschäftsleitung alle gesetzlichen Vorschriften einhält. Durch das Schreiben des Anwalts an den Arbeitgeber haben Sie als Betriebsrat zudem versucht, das Problem zuerst innerbetrieblich zu lösen. Sie haben sich erst dann an das Gewerbeaufsichtsamt gewandt, als sich Ihr Arbeitgeber weiterhin uneinsichtig gezeigt hat. Eine Arbeitsüberlastung in der Schwangerschaft, die möglicherweise durch die Arbeit – überdies ja nicht nur an einem Sonntag – verursacht wurde, kann durchaus die Gesundheit von Mutter und ungeborenem Kind gefährden. Dies galt es zu vermeiden. Insofern spricht viel dafür, dass Sie in diesem konkreten Fall korrekt gehandelt hätten, die Telefonnummer weiterzugeben. Vieles hängt davon ab, ob die Kollegin über die Weitergabe der Telefonnummer informiert und ob sie damit einverstanden war. Falls dem so ist, wäre Ihr Verhalten als Betriebsrat eigentlich nicht zu beanstanden; denn es sind ja in erster Linie die Datenschutzinteressen der Kollegin, die verletzt sein könnten. Ihr Unternehmen hätte das Einschalten des Gewerbeaufsichtsamts ohnehin hinnehmen müssen.
Über den Kopf Ihrer Kollegin hinweg?
Nein, deren Wille wäre entscheidend. Aber die Einschaltung des Amtes wäre ja für sie von Vorteil, und somit die Weitergabe ihrer Telefonnummer dorthin. Sollte sie gleichwohl nicht mit der Weitergabe einverstanden sein und dagegen gerichtlich vorgehen, könnte Ihnen im schlimmsten Fall eine Geldbuße wegen einer Ordnungswidrigkeit drohen wegen Verstoßes gegen § 43 BDSG. Gehen wir aber mal davon aus, dass tatsächlich nur das Unternehmen als „verantwortliche Stelle“ im Sinne des BDSG gilt und Sie als Betriebsrat nur ein Teil dieser Stelle wären, dann trügen Sie als solcher selbst also keine alleinige Verantwortung und Ihre Firma würde in diesem Fall für die Geldbuße haften. Das heißt, die Geschäftsleitung müsste diese bezahlen.
Wie regeln Sie als Betriebsrat Datenweitergabe?
Natürlich nicht nur, damit Sie – soweit nötig – Einblick in sensible Daten der Beschäftigten erhalten. Bauen Sie vor für den Fall, wenn Sie verhindert sein sollten. Dann sollten Ihre Kolleginnen oder Kollegen im Betriebsrat in der Lage sein, Regelungen für Ersatzmitglieder vorzubereiten:
- Ab und bis wann erhalten Ersatzmitglieder Zugang zu den Daten und in welchem Umfang?
- Wie soll Büropersonal, soweit es in Ihrem Gremium welches gibt, in den Datenschutz eingebunden sein?
- Haben Sie sich eine Verschwiegenheitserklärung unterschreiben lassen?
- Wie wollen Sie die Weitergabe von Daten an Anwälte, Gewerkschaftssekretäre, Berater oder externe Sachverständige regeln?
- Was, wenn Sie Ihr Betriebsratsamt beenden, also im Falle des sogenannten Offboardings? Als ausscheidendes Mitglied müssen Sie alle relevanten E-Mails auf privaten Geräten löschen sowie alle in Ihrem Besitz befindlichen Betriebsrats-Unterlagen herausgeben, Passwörter nach dem Abschied geändert und Zugriffs- bzw. Zugangsberechtigungen zurückgenommen haben.
- Haben Sie den Datenschutz intern in einer Geschäftsordnung geregelt? Sie sollte Ihren Umgang mit dem Datenschutz detailliert für die Betriebsratsarbeit regeln und konkrete Pflichten für Gremiumsmitglieder definieren etwa mit Aussagen über Berechtigungs- und Löschkonzepte.
- Wählen Sie bei Bedarf einen eigenen Datenschutzbeauftragten im Betriebsrat oder bestimmen Sie ein Mitglied, das sich mit diesen Fragen besonders befasst. Prüfen Sie sich regelmäßig selbst kritisch, ob Sie die verabschiedeten Regelungen im Alltag der Betriebsratsarbeit umsetzen!
- Haben Sie im Außenverhältnis zum Arbeitgeber eine Rahmenvereinbarung getroffen?
- Dürfen Sie die in Ihrem Unternehmen implementierten Datenschutzstrukturen mitnutzen?
- Finden die generellen Datenschutzgrundsätze des Betriebs samt Löschkonzept auch für Sie als Betriebsrat Anwendung?
- Und, ganz wichtig: haben Sie daran gedacht, Ihre Rolle als Betriebsrat als nicht verantwortliche Stelle im Sinne der DSGVO festzuschreiben?
- Schließlich, ebenfalls sinnvoll: haben Sie für Ihre Arbeitgeber einen Ansprechpartner in Sachen Datenschutz bei sich im Gremium benannt?
Wählen Sie für den Austausch im Gremium oder mit Beschäftigten sichere Kommunikationswege und vermeiden Sie dafür unsichere Techniken wie z. B. WhatsApp. Sie sollten darauf achten, dass Telefonate außerhalb des Büros beispielsweise unterwegs nicht mitgehört werden können und niemand Ihnen über die Schulter auf Ihren Notebookbildschirm oder Ihr Handydisplay blicken kann, wenn Sie gerade für das Gremium tätig sind.