Wer kontrolliert die Einhaltung des Datenschutzes im BR-Büro?
Die Einhaltung des Datenschutzes im BR-Büro darf spätestens nach dem Betriebsrätemodernisierungsgesetz kein Randthema mehr sein, denn in § 79a BetrVG heißt es nun wortwörtlich: Der Betriebsrat hat den Datenschutz einzuhalten. Gleichzeitig stellt sich nun umso mehr die Frage, wer denn die Einhaltung kontrolliert bzw. kontrollieren soll. Der Datenschutzbeauftragte? Das Gremium? Oder die Aufsichtsbehörde?
Nach Ansicht des Bundesarbeitsgerichts hat der Datenschutzbeauftragte kein Kontrollrecht über das Betriebsratsgremium. Denn er sei im Lager des Arbeitgebers zu verorten und damit nicht komplett unabhängig.
§ 79a BetrVG führt nun allerdings in der Gesetzesbegründung aus: Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der DSGVO (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle. Soweit erforderlich, sollte der Betriebsrat die Beratung durch den Datenschutzbeauftragten in Anspruch nehmen.
Kann man hieraus nun ableiten, dass der Datenschutzbeauftragte fortan das Betriebsratsbüro kontrolliert? Oder besteht „nur“ die Möglichkeit der Beratung? Das ist noch nicht abschließend zu beantworten. Falls kein Kontrollrecht besteht, braucht es aber jemanden, der sich um den Datenschutz kümmert. Denn: „Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten“, so der neue § 79a BetrVG. Davon unberührt bleibt das Kontrollrecht der Aufsichtsbehörden, auch gegenüber dem Betriebsratsbüro.
Unabhängig davon, wie diese Diskussion endet: Der Betriebsrat ist zur Einhaltung der Datenschutzbestimmungen ausdrücklich verpflichtet. Daher sollte er auch mit gutem Beispiel vorangehen und z.B. einen Datenschutzverantwortlichen innerhalb des Gremiums bestimmen, der sich um die Belange des Gremiums im Zusammenhang mit dem Datenschutz primär kümmert. Darüber hinaus ist eine Grundlagenschulung im Datenschutz für jedes Betriebsratsmitglied unumgänglich. Erfüllt der Betriebsrat die Anforderungen der DSGVO, kann er dem Arbeitgeber noch besser seine Fehler aufzeigen und beispielsweise auf seine rechtmäßigen Prozesse verweisen. Die Verhandlungsposition ist damit deutlich gebessert.
Dürfen Daten aus dem BR-Büro an Außenstehende übermittelt werden?
Grundsätzlich dürfen personenbezogene Daten an Nicht-BR-Mitglieder nicht übermittelt werden. Damit ausnahmsweise personenbezogene Daten an Dritte weitergegeben dürfen, z.B. also an eine außenstehende Person, ist grundsätzlich eine Rechtsgrundlage notwendig. Dies kann zum Beispiel eine Einwilligung der betroffenen Person sein. In Ausnahmefällen kann auch auf eine andere Rechtsgrundlage zurückgegriffen werden, dies ist jedoch eher selten (z.B. bei der Hinzuziehung eines Rechtsanwalts wird ein Mandatsvertrag abgeschlossen, aufgrund dessen der Rechtsanwalt zur Verschwiegenheit verpflichtet ist).
Vorsicht bei der Verarbeitung von sensiblen Daten
Grundsätzlich ist die Verarbeitung von sensiblen bzw. sensitiven Daten gem. Art. 9 DSGVO verboten. Ausnahmen ergeben sich aus Art. 9 Abs. 2 DSGVO, wonach z.B. eine Einwilligung oder aber die Erforderlichkeit im Rahmen des Arbeitsrechts eine Verarbeitung ausnahmsweise zulassen.
Der Betriebsrat wird beispielsweise regelmäßig Gesundheitsdaten im Zusammenhang mit dem Arbeits- und Gesundheitsschutz oder aber in einem BEM-Verfahren verarbeiten. Hierbei sind besondere Schutzmaßnahmen zu treffen, wie die separate Sicherung der Dokumente z.B. in einem verschlossenen Stahl- oder Aktenschrank. Daneben ist fortwährend zu überprüfen, ob die Speicherung bzw. Aufbewahrung der jeweiligen Dokumente überhaupt noch für den angestrebten Zweck erforderlich ist. Ist dies nicht der Fall, ist unverzüglich eine Löschung vorzunehmen.
Lösch- und Aufbewahrungsfristen: Was tun mit alten Unterlagen?
Im Rahmen der Betriebsratsarbeit fallen viele personenbezogene und oftmals auch sensible Daten an. Denn wie heißt es so schön: Wo gehobelt wird, da fallen auch Späne. Doch damit einhergehend stellen sich unweigerlich Fragen nach dem Löschzeitpunkt der jeweiligen Unterlagen. Was passiert mit alten Bewerbungsunterlagen, Tagesordnungen und Protokollen?
Was tun mit Tagesordnung und Protokoll?
Ohne Tagesordnung ist eine sachgerechte Vorbereitung auf die Betriebsratssitzung nicht möglich und daher auch rechtlich unumgänglich. Aus datenschutzrechtlicher Sicht ist eine Tagesordnung nach Beendigung der BR-Sitzung nicht mehr erforderlich und damit zu vernichten.
Vom Umgang mit der Tagesordnung zu unterscheiden ist das Sitzungsprotokoll. Danach sind die Protokolle so lange aufzubewahren, wie dessen Inhalt eine rechtliche Bedeutung besitzt. Dies kann unter Umständen auch dazu führen, z.B. bei Protokollen zu Betriebsvereinbarungen, dass die Protokolle dem nächsten Betriebsrat zugänglich gemacht oder übergeben werden. Grundsätzlich gilt es dabei jedoch immer zu beachten: Es sollten nur so viele personenbezogene Daten in das Protokoll aufgenommen werden, wie für den angestrebten Zweck erforderlich.
Wie lange dürfen personenbezogene Daten aufbewahrt bzw. gespeichert werden?
Sobald der Zweck, für den die personenbezogenen Daten gespeichert wurden, erreicht wurde, sind die Daten gem. Art. 17 Abs. 1a DSGVO zu löschen. Daneben kann es natürlich auch weitere Gründe geben, Daten noch länger aufzubewahren, z.B. um einer gesetzlichen Verpflichtung nachzukommen. Doch was bedeuten diese Grundsätze für dem Umgang mit personenbezogenen Daten im BR-Büro?
Als Faustformel gilt: Wenn die Daten noch erforderlich sind, dürfen sie auch noch aufbewahrt werden. Andersherum bedeutet dies jedoch auch: Sind die Daten nicht mehr erforderlich, z.B. weil ein Beschluss zu einem Thema schon gefasst wurde, sind diese unverzüglich zu löschen.
Hier sollte sich der Betriebsrat regelmäßig kritisch hinterfragen, ob und inwieweit die gespeicherten Unterlagen noch erforderlich sind.
Beispiel: Der Umgang mit alten Bewerbungsunterlagen
Wie lange der Betriebsrat Bewerbungsunterlagen aufbewahren darf, ist gesetzlich nicht geregelt. Gleichzeitig gilt auch hier: Sobald der Zweck der Verarbeitung erreicht ist, sind die Unterlagen zu löschen. Dies könnte zum einen der Fall sein, wenn über die Einstellung des Bewerbers abschließend entschieden wurde. Zum anderen lässt sich jedoch auch vertreten, dass die Unterlagen noch zwei bis maximal drei Monate vom Betriebsrat aufbewahrt werden dürfen, nachdem einem Bewerber abgesagt wurde. Hintergrund ist folgender: Nach § 15 Abs. 4 AGG kann ein abgelehnter Bewerber innerhalb von zwei Monaten einen Schadenersatzanspruch wegen Diskriminierung geltend machen. Diese Frist kann als Argumentationshilfe für den Betriebsrat herangezogen werden. Spätestens nach Ablauf dieser Frist, maximal verlängert um eine sehr kurze Karenzfrist, sind die Unterlagen jedoch unter allen Umständen zu löschen.
Fazit: Eine „Tabelle“ mit einem Überblick über alle Aufbewahrungsfristen gibt es nicht. Gleichzeitig ist es wichtig, sich als Betriebsrat Gedanken zu machen und Prozesse zu etablieren, die ein regelmäßiges Löschen sicherstellen.
Das richtige Löschen: Wie müssen Daten gelöscht oder vernichtet werden?
Erster Anknüpfungspunkt für die Beantwortung dieser Frage ist, ob es vom Arbeitgeber ein Löschkonzept gibt. Hieran kann und sollte sich auch der Betriebsrat orientieren. Darüber hinaus gilt grundsätzlich: Daten müssen so gelöscht werden, dass sie unwiederbringlich verloren oder physisch zerstört sind. Das heißt, ein „Löschen“ von Dateien, indem sie in den digitalen Papierkorb geschoben werden, genügt hierfür nicht. Für Daten in Papierform sollte regelmäßig auf Papierschredder oder gesicherte Aktenvernichtungstonnen zurückgegriffen werden.
Datenschutz in der Öffentlichkeitsarbeit des Betriebsrats
Der Betriebsrat will und soll sich im Betrieb präsentieren und auf sich aufmerksam machen. Hierbei stellen sich regelmäßig auch datenschutzrechtliche Fragen. Was gilt bei der Verwendung von Bildern, worauf ist bei Betriebsversammlungen zu achten?
- Darf der Geburtstag z.B. im Teamkalender eingetragen werden? Gratulation zu Geburtstagen und/oder Betriebszugehörigkeiten (welche öffentlich einsehbar sind), sind mit der DSGVO nicht mehr darstellbar, d.h. als Rechtmäßigkeitsvoraussetzung wird von jedem Mitarbeiter die Einwilligung benötigt, dass eben gratuliert werden darf. Im Rahmen der Einwilligung kann differenziert werden, ob nur der Tag und der Monat angeben werden oder zudem das Geburtsjahr (bei letzterem könnte auch das AGG und der dortige Schutz vor Diskriminierungen eine Rolle spielen)
- Was gilt bei der Verwendung von Bildern? Sollen Lichtbilder einzelner BR-Mitglieder veröffentlicht werden, sollte idealerweise mit diesen ein Vertrag geschlossen werden, der die Verwendung des Lichtbildes regelt. Wichtig: Die Informationspflichten im Zusammenhang mit der DSGVO müssen unbedingt beachtet werden.
- Was ist bei Betriebsversammlungen zu beachten? Sollen Lichtbilder einer Betriebsversammlung gefertigt und letztlich veröffentlicht werden, können Hinweisschilder an den Eingängen angebracht werden. Als Muster kann z.B. das Hinweisschild zur Videoüberwachung dienen (unter entsprechender Modifizierung).
Datenschutzseminare für jedes BR-Mitglied?
Nahezu jede Software bringt Fragen nach dem Datenschutz mit sich. Fortwährend werden Updates eingespielt, die der Betriebsrat im Idealfall begleitet und den Umgang damit regelt. Hierfür braucht es natürlich auch das notwendige Hintergrundwissen, welches in Zeiten des digitalen Wandels unumgänglich ist. Worauf haben Betriebsräte also Anspruch?
Der Arbeitgeber ist verantwortlich dafür, dass die Mitarbeiter die Datenschutzziele in die Tat umsetzen. Er muss insoweit die Mitarbeiter an der Hand nehmen. Der Umgang mit personenbezogenen Daten kann beispielsweise in den Stellenbeschreibungen veranlagt sein; die jeweiligen Mitarbeiter können aber auch angelernt bzw. geschult werden. Gerade Schulungen können müssen gegebenenfalls sogar regelmäßig gehalten werden, damit der Arbeitgeber beweisen kann, alles getan zu haben, um Datenschutz zu leben.
Dieser „allgemeine“, durchaus arbeitsplatzbezogene Schulungsanspruch betrifft natürlich auch sämtliche BR-Mitglieder.
Daneben haben die BR-Mitglieder gemäß § 37 Abs. 6 BetrVG einen Schulungsanspruch, soweit Kenntnisse vermittelt werden, die zur Arbeit als Betriebsrat notwendig sind. Wegen der Tragweite der DSGVO, d.h. der Thematik des Datenschutzes im Gesamten, erscheint es durchaus sinnvoll und gegenüber dem Arbeitgeber vertretbar, dass nahezu jedes BR-Mitglied einen entsprechenden Schulungsanspruch hat. Dies vor allem in Anbetracht der Tatsache, dass wohl fast jede BV datenschutzrechtliche Thematiken inkludiert.
Um hier im Gremium informiert und nachhaltig entscheiden zu können, ist die Schulung nahezu sämtlicher Mitglieder notwendig. Dies wird umso mehr durch den neuen § 79a BetrVG unterstrichen: Danach ist der Betriebsrat verpflichtet, den Datenschutz auch selbst einzuhalten.