Wer ist für die Einhaltung des Datenschutzes verantwortlich?
Mit anderen Worten: Wer ist z.B. Adressat möglicher Bußgeldbescheide? Wichtig ist, zwischen der Nutzung der IT-Infrastruktur als solche und der Datenverarbeitung des Betriebsrats zu unterscheiden.
Wenn die IT-Infrastruktur des Arbeitgebers benutzt wird, ist dieser auch dafür verantwortlich, dass die eingesetzten Systeme den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechen.
Nach § 79a BetrVG ist der Arbeitgeber auch weiterhin der alleinige Verantwortliche; der Betriebsrat bleibt Teil der verantwortlichen Stelle. Ferner wird bekräftigt, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften des Datenschutzes einzuhalten hat. Eine Beachtung sowie Grundkenntnisse des Datenschutzes sind damit für jeden Betriebsrat unumgänglich:
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.
Weiterhin fraglich: Kontrolle des Datenschutzes im BR-Büro?
Nach Ansicht des Bundesarbeitsgerichts hat der Datenschutzbeauftragte kein Kontrollrecht über das Betriebsratsgremium. Denn er sei im Lager des Arbeitgebers zu verorten und damit nicht komplett unabhängig. Die Gesetzesbegründung zu § 79a BetrVG ist hingegen leider nicht so eindeutig: „Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der DSGVO (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle. Soweit erforderlich, sollte der Betriebsrat die Beratung durch den Datenschutzbeauftragten in Anspruch nehmen.“ Besteht nach dieser Begründung fortan ein Kontrollrecht des Datenschutzbeauftragten gegenüber dem Betriebsratsbüro? Oder besteht „nur“ die Möglichkeit einer Beratung mit dem Datenschutzbeauftragten? Das ist im Moment noch nicht abschließend zu beantworten. Lehnt man ein solches Kontrollrecht aus guten Gründen auch weiterhin ab, ist jedoch eine andere Lösung notwendig. Denn im neuen § 79a S.1 BetrVG wird der Betriebsrat verpflichtet, bei der Verarbeitung personenbezogener Daten den Datenschutz einzuhalten. Was also tun?
Praxistipp:
Der Betriebsrat sollte einen eigenen "Datenschutzbeauftragen" bestellen, der sich um die Einhaltung des Datenschutzes kümmert und der als Experte als zentraler Ansprechpartner fungiert.