Hat der BR einen Anspruch auf den Bericht vom Datenschutz-Audit?

  • Hallo zusammen,


    leider wird das Thema Datenschutz bei uns im BR noch sehr Stiefmütterlich behandelt, obwohl es in den Sitzungen schon öfter angesprochen wurde. Dementsprechend wenig Wissen ist auch im Gremium vorhanden.


    Kann ich im Zuge der allgemeinen Aufgaben des Betriebsrates, über die Einhaltung der Gesetze zu wachen, verlangen, dass uns der Arbeitgeber die Unterlagen von unserem letzten Datenschutz-Audit durch den Datenschutzbeauftragten überläßt, oder zumindest einsicht gewährt? Mein Bauchgefühl sagt "Ja", aber hat von euch da jemand Erfahrung?


    Mein Ziel ist es, den Betriebsrat mit dem Ergebnis des Audits ein wenig für das Thema zu sensibilisieren.


    Gruß

    Markus

    "Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind" Aristide Briand

  • Zur hilfreichsten Antwort springen
  • Hallo Markus,


    ob der BR einen Anspruch auf das Audit hat würde ich erst einmal verneinen, aber da aus solchen Audits ja meist Massnahmen abgeleitet werden, die dann entweder unter §87 BetrVG oder §90 BetrVG fallen würde ich daraus den Anspruch des BR begründen, da ohne Einsicht in dieses Audit die notwendigen Massnahmen nicht bewertet werden können. Gleichfalls sehe ich hier die §§ 96, 97 und 98 BetrVG betroffen.


    Was wir gemacht haben um das Gremium aufzurütteln, war einen Termin mit unserem Datenschutzbeauftragten zu machen und mit Ihm das ganze Thema ausführlich beleuchtet incl. einiger anschaulicher Beispiele aus seinem Alltag.

    Unser Datenschutzbeauftragter hat sich gefreut dass wir Ihn eingeladen hatten und er uns das Thema näherbringen konnte.


    Viele Grüße

    Bernd

  • Es ist Aufgabe des BR zu prüfen, ob Gesetze und Vorschiften eingehalten werden.

    So auch im Datenschutz. Mitbestimmungsrechte

    aber auch Kontrollrechte

    - Existenz und Vollständigkeit von Verfahrensverzeichnissen

    - Einhaltung der Datenschutzgrundsätze durch den AG

    - Wahrung von Zweckbindung


    Durch das Audit sind doch alle diese Kontrollmöglichkeiten bereits erledigt.

    Von daher sehe ich eindeutig ein Informationsrecht des BR.


    Link: Datenschutz - was muss der Betriebsrat wissen? | W.A.F.


    Der BR beschäftigt ja keinen eigenen Datenschutzbeauftrragten und der Datenschutzbeauftragte sollte ja "neutral" berichten und nicht weil der AG ihn bezahlt, nur das machen was dem AG zugute kommt.

  • Mein Ziel ist es, den Betriebsrat mit dem Ergebnis des Audits ein wenig für das Thema zu sensibilisieren

    ich glaube da kommst Du eher vorwärts mit dem Vorgehen von Bernd_47. Anschauliche Beispiele sind besser als ein Bericht den dann evtl. die Hälfte nicht versteht.

    Wobei es dabei natürlich auch auf den Datenschutzbeauftragten ankommt, wenn der das nicht so vermitteln kann wird das auch schwer.

    Nicht die Dinge sind positiv oder negativ, sondern unsere Einstellung macht sie so. (Epiktet, gr. Philosoph)

    • Hilfreichste Antwort

    im Zuge der allgemeinen Aufgaben des Betriebsrates, über die Einhaltung der Gesetze zu wachen

    Auch wenn ich mir relativ sicher bin, dass Du es nicht wirklich so gemeint hast, ist diese Formulierung viel zu pauschal. Wir sind Betriebsräte, keine Betriebssheriffs.

    Und unsere Aufgabe ist nicht über die Einhaltung der Gesetze zu wachen, sondern "lediglich"

    darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden (Hervorhebung durch den Zitierenden)

    in "" weil bereits das genug Aufgabe ist. Und vor dem Hintergrund, dass in einem Datenschutz-Audit auch jede Menge "Findings" sein könnten, die mit den AN überhaupt nichts zu tun haben, sehe ich es überhaupt nicht so, dass der BR hier einen Anspruch auf Einblick hat.


    Bei evtl. Maßnahmen wäre er u.U. im Boot, klar. Und natürlich könnte der BR auch um Information bitten, ob es Findings im Zusammenhang mit AN-Daten gegeben hätte. (Hier sehe ich zumindest einen Informationsanspruch.)

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Bei evtl. Maßnahmen wäre er u.U. im Boot, klar. Und natürlich könnte der BR auch um Information bitten, ob es Findings im Zusammenhang mit AN-Daten gegeben hätte. (Hier sehe ich zumindest einen Informationsanspruch.)

    Ich sehe das genau wie Moritz.

    Evtl. könnte die Einsicht in die Unterlagen des Datenschutz-Audits durch den BR schon selbst ein Verstoß gegen den Datenschutz sein. Zumindest dann, wenn der BR durch die Einsicht in die Unterlagen an Daten kommt, welche nicht den Mitarbeiterdatenschutz betreffen. Für solche Daten fehlt es dem BR am Verarbeitungszweck, was natürlich ein Problem wäre.


    Insgesamt ist das Thema Datenschutz nicht gerade vergnügungssteuerpflichtig, da bin ich recht froh dass ich da ein hoch motiviertes und kompetentes BRM habe, welches da Freude dran hat. Den haben wir auf ein entsprechendes Seminar geschickt, ihn mit etwas passender Fachliteratur ausgestattet und ihm den Titel "Beauftragter des Betriebsrats für Mitarbeiterdatenschutz" verliehen. Der arbeitet gut mit dem Datenschutzbeauftragten des Betriebes zusammen, schließlich verfolgen sie ja das gleiche Ziel.

  • Ich würde den Datenschutzbeauftragten bitten dem Betriebsrat mal die Auskunftspflicht des Betriebsrates nach der DSGVO zu erklären. Da ist der Betriebsrat für seine Daten selbst auskunftspflichtig. Das ist im übrigen kein Spassthema.

  • Hallo,


    ich bin mir da nicht so sicher wie einige meiner Vorschreiber. Es kommt aus meiner Sicht schlicht und ergreifend darauf an, wie das "Audit" angelegt ist.

    Deswegen muß aus meiner Sicht der AG zumindest erläutern, wie das Audit abläuft und welche Art von Daten dabei tatsächlich erhoben und verarbeitet werden bzw. erhoben und verarbeitet werden können.

    Ist es lediglich eine abstrakte Prozesskontrolle ohne die Verknüpfung mit handelnden AN, dann dürfte dieses Audit in der Tat als Form von " sog. Status- oder Betriebsdaten" "nicht mitbestimmt" sein (ErfK, Kania, § 87 BetrVG Rn 51). Die Mitbestimmungsfreiheit "... ändert sich jedoch, wenn sie Rückschlüsse auf das Verhalten oder die Leistung von AN zulassen." (ErfK, a.a.O., Rn 52)


    Die Aussage von §-Reiter


    Evtl. könnte die Einsicht in die Unterlagen des Datenschutz-Audits durch den BR schon selbst ein Verstoß gegen den Datenschutz sein. Zumindest dann, wenn der BR durch die Einsicht in die Unterlagen an Daten kommt, welche nicht den Mitarbeiterdatenschutz betreffen.

    halte ich aber für überzogen.

    Denn welche schützenswerten Daten soll denn der BR durch eine vom AG freiwillig gewährte Einsicht erhalten, wenn es im Audit keine Verknüpfung mit Leistungs- oder Verhaltenskontrolle gibt?

  • Hallo zusammen,


    vielen Dank für eure Hilfe und den ein oder anderen Denkanstoß. So habe ich es zum Beispiel "verdrängt", dass es ja nicht nur Daten von Arbeitnehmern gibt, sondern auch von Kunden, die evtl. nicht geschützt werden, was uns aber nicht wirklich interessieren sollte.


    Ich hätte zuerst so argumentiert, wie Ohadle. Übrigens vielen Dank für den Link!


    Nun sehe ich es eher so, dass wir einen Anspruch auf Auszüge aus dem Audit haben, solange Mitarbeiterdaten betroffen sind.

    Es kommt aus meiner Sicht schlicht und ergreifend darauf an, wie das "Audit" angelegt ist.

    Um die Frage zu beantworten: Der Datenschutzbeauftragte geht in die Abteilungen, die Daten Verarbeiten und prüft dort, ob der Datenschutz eingehalten wird. Bei uns hat er etwa gefragt, wie und wo wir die Daten speichern und ob wir ein Löschkonzept haben und wer Zugriff auf unsere Daten hat. Außerdem hat er gefragt, ob es Datensicherheitsprobleme gab. Wir konnten dann auch Fragen stellen, wenn wir welche hatten. Ähnnlich wird es dann wohl auch in den anderen Abteilungen ablaufen.


    LG

    Markus

    "Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind" Aristide Briand

  • halte ich aber für überzogen.

    Denn welche schützenswerten Daten soll denn der BR durch eine vom AG freiwillig gewährte Einsicht erhalten, wenn es im Audit keine Verknüpfung mit Leistungs- oder Verhaltenskontrolle gibt?

    Der größte "Klotz" beim Thema Datenschutz ist in unserem Fall die Verarbeitung und Verwaltung von jährlich ca. 100.000 Rettungsdienstprotokollen voll mit Patienten und Gesundheitsdaten. Dazu kommen noch die Daten von ein paar tausend Hausnotrufkunden (Hausnotruf ist das System wo Oma Käthe einen kleinen Notrufknopf am Handgelenk oder um den Hals hat und damit Hilfe rufen kann, wenn sie alleine in der Wohnung hingefallen ist o.ä.) und die Daten von tausenden Fördermitgliedern (das sind die, die monatlich einen festen Betrag an unsere Hilfsorganisation spenden) usw. usw.

    Also kurz gesagt, bei uns im Betrieb werden jährlich neben den Daten von ca. 250 Mitarbeitern auch die Daten von deutlich über 100.000 betriebsfremden Personen verarbeitet.