In Sachen Datenschutz genügen die bloße Wahl eines Betriebsrates oder lediglich die Ernennung des Datenschutzbeauftragten „auf dem Papier“ den rechtlichen und praktischen Anforderungen an Unternehmen nicht. Ansprüche der Mitarbeiter an die Vertretung ihrer Interessen durch den Betriebsrat steigen. Betriebliche Datenschutzbeauftragte sehen sich häufig nicht nur mit juristischen und[nbsp] technischen Fragestellungen konfrontiert, sondern auch mit der Forderung von Mitarbeitern und Kunden, ihre personenbezogenen Daten stärker zu schützen. Dieser Artikel soll einen Überblick über die wichtigsten Rechte und Pflichten von Betriebsräten bei der Verarbeitung personenbezogener Daten geben. Weiterhin erläutert er die Rolle des Datenschutzbeauftragten im Zusammenspiel mit Betriebsräten.
Wann darf der Betriebsrat Mitarbeiterdaten einsehen?
Grundsätzlich haben Betriebsräte einen Anspruch auf Auskunft über die Art und den Umfang der Verarbeitung personenbezogener Mitarbeiterdaten, jedoch keinen generellen Anspruch auf Kenntnisnahme oder gar Einsicht in diese Daten. Im Regelfall ergeben sich Auskunftsansprüche für Betriebsräte aus § 80 Abs. 2 Betriebsverfassungsgesetz (BetrVg). Allerdings können auch andere Rechtsvorschriften – hierzu dürfen auch Betriebsvereinbarungen gezählt werden – Betriebsräten einen Auskunftsanspruch einräumen. Die geforderten Informationen müssen jedoch immer im Bezug zu den Aufgaben des Betriebsrates stehen. Betriebsvereinbarungen dürfen die geltenden Datenschutzgesetze nicht außer Kraft setzen und das allgemeine Datenschutzniveau nicht unter die gesetzlichen Schranken herabsenken.
Betriebsräte werden, nach vorherrschender Meinung, bei der Übermittlung personenbezogener Daten der verantwortlichen Stelle des Arbeitgebers zugerechnet, insofern die Weitergabe der Daten im Bezug zu den Aufgaben des jeweiligen Betriebsrates steht. Ist eine Datenweitergabe jedoch nicht durch das BetrVG oder eine andere Rechtsvorschrift gebilligt, so gelten Betriebsräte als Dritte i.S.v. § 3 Abs. 8 Bundesdatenschutzgesetz (BDSG). Im Verhältnis zum Betriebsrat des Unternehmens gelten Arbeitnehmervertretungen anderer Konzernunternehmen oder auch Konzernbetriebsräte), als Dritte. Eine Weitergabe personenbezogener Daten an Dritte ist nur unter Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen zulässig (bspw. eine Einwilligung des Betroffenen zur Weitergabe).
Was darf der Betriebsrat wissen?
Sofern ein Bezug zu den Aufgaben des Betriebsrates besteht, kann dieser sich auf geltendes Recht (bspw. § 80 Abs. 2 BetrVG) berufen, um im Einzelfall Informationen aus der Personalakte eines Mitarbeiters zu erlangen, bspw. bei zustimmungspflichtigen Kündigungen. Nach aktueller Rechtsprechung ist in diesem Fall keine Einwilligung des Arbeitnehmers erforderlich. Wenn ein Betriebsratsmitglied in eine Personalakte Einsicht nimmt, sollte grundsätzlich der betroffene Mitarbeiter über diesen Vorgang informiert werden. Ansprüche auf eine grundsätzliche Einwilligung bei der Einsicht der Personalakten ergeben sich für Mitarbeiter weder aus § 75 Abs. 2 BetrVG noch aus den allgemeinen Persönlichkeitsrechten im Grundgesetz und auch nicht aus den Normen des BDSG. Verlangen Betriebsräte pauschal Einblick in die gesamte Personalakte, besteht für Betroffene der Anspruch auf Einwilligung. Des Weiteren bestehen Einschränkungen auch dann, wenn Betriebsräte Auskunft über eine mögliche Schwangerschaft einer Mitarbeiterin, bspw. zum weiteren Einsatz im Schichtdienst, anfordern. Eine Mitarbeiterin ist in diesem Fall um eine Einwilligung zur Einsichtnahme zu ersuchen. Eintragungen über bestehende Schwangerschaften sind durch die Personalabteilung so vorzunehmen, dass Betriebsratsmitglieder diese Information nicht pauschal bei Einsichtnahme in die Akte erhalten.
Der Betriebsrat als Jäger und Sammler?!
Betriebsräte dürfen zur Wahrnehmung ihrer Aufgaben und unter Berücksichtigung geltender Datenschutzvorschriften eigene Dateien mit Mitarbeiterdaten anlegen. Jedoch muss bei jeder Erstellung einer Datei geprüft werden, ob diese tatsächlich benötigt wird und ob eine anonymisierte oder pseudonymisierte Darstellung der Daten nicht ausreichend wäre. Sollen personenbezogene Daten nicht nur gesammelt, sondern auch verarbeitet werden, bspw. zur Nachvollziehbarkeit von Leistungsbeurteilungen, sind Betriebsräte ebenfalls an geltende Datenschutzvorschriften gebunden. „Paralleldatenbanken“ zur Personaldatenbank des Arbeitgebers dürfen allerdings nicht erstellt werden. Verarbeiten Betriebsräte als Stelle der Arbeitgeber personenbezogene Daten, trifft sie immer dann die Pflicht zur Löschung der Daten, wenn Arbeitgeber selbst der Löschpflicht unterliegen, bspw. nach steuerrechtlichen Vorgaben. Allerdings sind personenbezogene Daten auch immer dann zu löschen, wenn ein neugewähltes Betriebsratsmitglied Zugriffen auf Daten erlangen könnte die das Mitglied selbst betreffen, bspw. die Beschwerde eines Mitarbeiters über das neue Mitglied vor dessen Wahl zum Betriebsrat. Da Arbeitgebern keine Kontrollrechte zustehen, sollten Datenschutzbeauftragte Betriebsräte auf mögliche Datenschutzverstöße hinweisen. [nbsp]Bei Verdacht auf Datenschutzverstöße ist im Zweifel ist die zuständige Aufsichtsbehörde zu verständigen. Als präventive Maßnahme empfiehlt sich eine Regelmäßige Unterweisung der Betriebsräte durch den Datenschutzbeauftragten. In diesen Unterweisungen sollte auf die besonderen Rechte und Pflichten der Betriebsräte eingegangen werden.
Moment mal! – Wann darf der Betriebsrat mitreden?
Mitbestimmungsrechte der Betriebsräte nach § 87 Abs. 1 Nr. 6 BetrVG kommen bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen zum Tragen. Hierzu werden bspw. der Einsatz eines Zeiterfassungssystems oder einer Zugangskontrolle zu bestimmten Gebäuden und Räumen sowie die Einführung eines E-Mail-Systems gezählt. Außerdem zählt hierzu der Einsatz von Office-Programmen, sofern diese über eine Ereignisprotokollfunktion verfügen. Grundsätzlich unterliegt die Einrichtung oder Ausweitung einer Videoüberwachungsanlage den Mitbestimmungsrechten des Betriebsrates.
Was darf der Datenschutzbeauftragte?
Betriebliche Datenschutzbeauftragte haben keinerlei Befugnisse, Betriebsräte bei der Verarbeitung personenbezogener Daten zu überwachen. Eine Kontrolle des[nbsp] Betriebsrates durch den Datenschutzbeauftragten ist nicht mit der Unabhängigkeit des Betriebsrates vereinbar. In der Rechtsprechung wird dies mit der Bestellung des Datenschutzbeauftragten durch den Arbeitgeber begründet. Betriebliche Datenschutzbeauftragte nehmen nach Meinung des Bundesarbeitsgerichts keine neutrale Position zwischen Arbeitgeber und Betriebsrat ein, sondern sind [nbsp]– trotz ihrer Freiheit von fachlichen Weisungen – der Seite des Arbeitgebers zuzuordnen. Zur Sicherstellung des Datenschutzes können Datenschutzbeauftragte demnach im Unternehmen keine eigenen Maßnahmen ergreifen, sondern im Wesentlichen nur beratend auf den Betriebsrat einwirken. Als mögliche Überwachung können demnach lediglich eine „freiwillige Selbstkontrolle“ der Betriebsräte oder Kontrollen durch die entsprechenden Datenschutzbehörden dienen.
Und was bedeutet das jetzt?
Verlangen Betriebsräte im Rahmen Ihrer Aufgaben Einsicht in personenbezogenen Daten, sind diese Daten durch den Arbeitgeber zur Verfügung zu stellen. Betroffene Mitarbeiter können der Einsichtnahme in Personalakten nur dann widersprechen, wenn die Absichten des Betriebsrates zu pauschal sind oder Auskünfte über eine bestehende Schwangerschaft verlangt werden. Legen Betriebsräte eigene Dateien mit personenbezogenen Daten an oder verarbeiten selbsttätig personenbezogene Daten, haben sie sich an die Löschpflichten des Unternehmens zu halten oder bei Neuwahlen ggf. Daten aus diesen Systemen zu entfernen. Setzen Unternehmen technische Systeme ein, die zur Verhaltens- und Leistungskontrolle geeignet sind, steht Betriebsräten ein Recht auf Mitbestimmung zu. Für Datenschutzbeauftragte ist die Prüfung von Betriebsräten auf die Einhaltung datenschutzrechtlicher Pflichten nicht statthaft. Eine Überwachung von Betriebsräten kann nur durch „freiwillige Selbstkontrollen“ oder durch die zuständigen Datenschutzbehörden erfolgen. Demnach haben Betriebsräte auch für die Gewährleistung ausreichender Sicherheit aller erhobenen, verarbeiteten und gespeicherten Daten zu sorgen.[nbsp]