Als institutionalisierte Arbeitnehmervertretung in Unternehmen, Betrieben und Konzernen steht der Betriebsrat besonders stark in der Pflicht, personenbezogene Daten vor Missbrauch zu schützen.
Er ist ein betriebsverfassungsrechtliches Mitbestimmungsorgan, das die Arbeitnehmerinteressen vertritt und zudem an betrieblichen Entscheidungen mitwirkt. Die Rechtsgrundlage dafür findet sich im Betriebsverfassungsgesetz. Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) wurde für den Betriebsrat der Datenschutz zu einer noch wichtigeren Aufgabe.
Betriebsrat: Die allgemeinen Datenschutzprinzipien für Unternehmen
Die Prinzipien der in der europäischen Datenschutzgrundverordnung (EU-DSGVO) verankerten Datenschutzmaßnahmen sind nicht neu. In ähnlicher Form finden sie sich bereits im Bundesdatenschutzgesetz aus dem Jahr 1995 wieder. Dennoch bedeuten die in Artikel 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) definierten allgemeinen Datenschutzprinzipien für Unternehmen, dass sie sowohl mit den Kundendaten als auch mit den Mitarbeiterdaten noch sorgfältiger umgehen müssen.
Neu hingegen ist die in der Verordnung explizit aufgeführte Rechenschaftspflicht. Art. 5 Abs. 2 DSGVO sagt: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Kernaussagen von Absatz 1 sind die Beachtung des Grundsatzes der Rechtmäßigkeit, die Verarbeitung von Daten nach Treu und Glauben, die Transparenz, die Zweckbindung der Daten, die Datenminimierung bei der Verarbeitung, die Richtigkeit, die Speicherbegrenzung, die Integrität sowie die Vertraulichkeit.
DSGVO: Neue Informationspflicht gegenüber Beschäftigten
Mit der neuen EU-DSGVO wird für die Beschäftigten eines Unternehmens sichergestellt, dass ihre Daten nicht ohne ihr Wissen zur Verwendung kommen. Arbeitgeber müssen, falls keine andere Rechtsgrundlage einschlägig ist, vor dem Gebrauch die Erlaubnis des Arbeitnehmers einholen und dafür Sorge tragen, dass der Betroffene jederzeit informiert ist, welche Daten das Unternehmen wofür benutzt und wie lange es sie aufbewahrt.
Zudem ist eine in klar verständlicher Sprache formulierte Datenschutzerklärung vorgeschrieben, aus der für den Betroffenen die Art und Weise der Verarbeitung seiner Daten eindeutig ersichtlich wird. Unternehmen dürfen die Daten nicht länger als für den Zweck nötig speichern und müssen sie anschließend so schnell wie möglich entweder anonymisieren oder löschen.
Aufgrund der engen Zweckbindung der Datenschutzgrundverordnung entfallen künftig schwammige Formulierungen, wie zum Beispiel der gängige Satz „Die mit dem System verarbeiteten Daten können für alle Zwecke der Personalverwaltung verwendet werden“.
DSGVO und die Folgen für den Datenschutz im Betriebsrat
Aufgrund seiner Sonderstellung steht für den Betriebsrat der Datenschutz ganz oben auf der Prioritätenliste. Betriebsräte haben die Verpflichtung, den Schutz der personenbezogenen Daten sicherzustellen und sowohl vor dem Zugriff des Arbeitgebers als auch vor anderen Mitarbeitern während der Bearbeitung oder Nutzung zu bewahren.
Verantwortlichkeiten und Pflichten des Betriebsrates im Datenschutz
Allgemein gilt, dass jedes Mitglied des Betriebsrats grundsätzlich das Recht hat, auf die Daten zuzugreifen, die es für die Erfüllung seiner Aufgaben benötigt. Dabei dürfen in der Regel jedoch nicht alle Beschäftigtendaten allen Betriebsräten zugänglich gemacht werden. Hinzukommt, dass sich aus dem Schutz der Persönlichkeitsrechte zahlreiche Beschränkungen für die Datennutzung ergeben können.
Es gilt zudem auch für den Betriebsrat der Datenschutz in der Form, als dass er die ihm vorliegenden Daten ausschließlich für die eine konkrete Betriebsratsaufgabe, für die sie angefordert wurden, verwendet. Ohne die Zustimmung des Betroffenen ist es ihm untersagt, persönliche Informationen an eine andere Person im Unternehmen weiterzugeben, es sei denn, dem oder den Ansprechpartner/n sind die Angaben bereits bekannt.
Bestehende Betriebsvereinbarungen bergen Konfliktpotenzial
Ein hohes Konfliktpotenzial liegt für den Betriebsrat beim Datenschutz in bestehenden Betriebsvereinbarungen. Nach vagen Schätzungen gibt es in deutschen Unternehmen zehntausende davon. Sofern auch nur im Entferntesten ein Zusammenhang zwischen Betriebsvereinbarung und Beschäftigtendatenschutz besteht oder bestehen könnte, muss jedes dieser Schriftstücke einzeln überprüft und entsprechend angepasst werden. Nur so lässt sich der Transparenzgrundsatz wahren.
Eine Möglichkeit, dem hohen Arbeitsaufwand und möglicherweise daraus entstehendem Chaos entgegenzuwirken, wäre die Hinzufügung eines Addendums. Für diese aufwandschonende, praktikable Lösung müssen sich Arbeitgeber und Betriebsrat auf eine entsprechende Aktualisierung gemäß den Anforderungen der DSGVO und des BDSG für alle zurückliegenden Betriebsvereinbarungen einigen. Allerdings hat der Betriebsrat die Möglichkeit, einer solchen Lösung zu widersprechen und die neuen Datenschutzgesetze zum Anlass für Neuverhandlungen der Betriebsvereinbarungen zu nehmen. Das birgt jedoch die Gefahr, dass sich die Situation der Beschäftigten nicht verbessert, sondern verschlechtert.
Finden Arbeitgeber und Betriebsrat keine Lösung für die Zusammenführung der alten Betriebsvereinbarung mit der DSGVO und dem BDSG, drohen dem Unternehmen bei Verstößen massive Geldbußen. Die Strafen können je nach Schwere bei bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes liegen. Es wird von den deutschen Datenschutzexperten erwartet, dass die Aufsichtsbehörden in Einzelfällen zur Abschreckung erheblich höhere Bußgelder als in der Vergangenheit verhängen.
Betriebsrat und Datenschutz − eine Chance für Veränderungen
Der Betriebsrat trägt eine hohe Verantwortung sowohl den Arbeitnehmern als auch dem Unternehmen selbst gegenüber. Um der neuen DSGVO und dem BDSG zu entsprechen, muss er alle Betriebsvereinbarungen der Vergangenheit prüfen und gemeinsam mit der Unternehmensführung eine praktikable Lösung finden. Zudem ist er für den Schutz der personenbezogenen Mitarbeiterdaten verantwortlich.
