Dabei gäbe es gute Gründe für jeden Betriebsrat, damit sofort zu beginnen. Denn der Betriebsrat verarbeitet in erheblichem Umfang persönliche Arbeitnehmerdaten. Durch seine Hände gehen nicht nur Bewerbungsunterlagen und Kündigungsvorlagen gem. § 99 BetrVG, sondern auch Lohn- und Gehaltslisten, Zielvereinbarungsunterlagen, Bewertungs- und Auswahllisten z.B. zur Sozialauswahl, sensible Daten aus Wiedereingliederungsmaßnahmen etc.
Daneben laufen täglich Mails von Arbeitnehmern ein, die sich mit Wünschen und Sorgen vertrauensvoll an den Betriebsrat wenden. Alle diese Daten sind nicht nur gegen Nicht-Betriebsratsmitglieder zu schützen, sondern auch gegen die unberechtigte Kenntnisnahme durch solche Betriebsratsmitglieder, die mit dem jeweiligen Thema im Rahmen der gremieninternen Kompetenzzuweisung, ggf. aufgrund einer Geschäftsordnung, nicht befasst sind.
Der Betriebsrat als Datenschutz-Buhmann
Dass die Daten überhaupt beim Betriebsrat landen, geht zumindest bei den o.g. Beispielen in Ordnung, denn die gesetzliche Aufgabe des Gremiums legitimiert dies. Zweifelhaft wird es jedoch, sobald der Betriebsrat vom Arbeitgeber das luxuriöse Angebot erhält, sich auf die Unternehmensdatenbanken aufzuschalten. Das ist aus Sicht beider Betriebsparteien gleichermaßen rechtswidrig, wenn damit Daten zur Kenntnis des Betriebsrats gelangen, die nicht durch seinen gesetzlichen Auftrag gedeckt sind – und diese Schwelle ist sehr schnell überschritten.
Unabhängig von derlei Grauzonen macht es Sinn, sich Gedanken darüber zu machen, wo Daten für den Betriebsrat abgelegt sind, wer Zugriff darauf hat, wann sie wieder gelöscht werden und zu welchen Zwecken sie im Laufe ihres Daseins überhaupt genutzt werden bzw. genutzt werden dürfen (was ein erheblicher Unterschied ist).
Hinsichtlich der Daten im Betriebsratsbüro sollte sich der Betriebsrat über Folgendes Gedanken machen:
- Wo sind die Daten für den Betriebsrat abgelegt?
- Wer hat Zugriff darauf?
- Wann werden die Daten wieder gelöscht?
- Zu welchem Zweck werden die Daten überhaupt benutzt?
Ein eigener Server und eigene, autarke Hard- und Software sind schon große Schritte zum Ziel eines sauberen Datenmanagements. Wenn dann noch separate Mailaccounts und vielleicht noch eine Verschlüsselungssoftware hinzukommen, kann man schon frohlocken.
Der wahre Grund liegt in der strategischen Aufstellung
Der eigentliche Grund für eine Selbstkontrolle liegt aber woanders: wer andere kontrollieren will, hat immer auch ein Glaubwürdigkeitsproblem. Schnell nämlich kann der Arbeitgeber die strategische Karte ziehen und dem Betriebsrat vorwerfen, dieser lege ja bei sich selbst nicht mal die Maßstäbe an, die er für seine Kritik am Arbeitgeber als nicht erfülltes Mindestmaß proklamiere.
Gegen solche Vorwürfe - selbst, wenn sie aus der Luft gegriffen sind - kann man sich am besten wehren, wenn man den eigenen Stall zuerst säubert.
Aber wie geht das? Ganz einfach:
- Das Datenschutzrecht kennenlernen und verstehen.
- Den eigenen Umgang mit Daten auf die Datenschutzstandards überprüfen.
- Gutes tun und drüber reden: die eigenen Standards festlegen und publizieren.
Dieser Prozess wird auch "Auditing" genannt, man lässt sich also freiwillig zertifizieren und hängt das Schild nach draußen. Dafür gibt es Fachleute im Beratungsmarkt wie z.B. IT-Spezialisten und Anwälte, die sich auf das Datenschutzrecht spezialisiert haben.
Auditing ist sinnlos und macht doch Sinn
Nun ließe sich dagegen einwenden: "Aber damit teilt der Betriebsrat doch nur mit, dass er sich ans Datenschutzrecht hält – das ist doch sowieso eine Selbstverständlichkeit". Ja, das ist es. Aber solange diese Selbstverständlichkeit nicht zweifelsfrei dokumentierbar ist, kann sie eben bezweifelt werden. Und das schwächt die eigene Position.
Diese Kritik führte übrigens auch dazu, dass in Deutschland ein Audit-Gesetz zum Datenschutz nicht zustande kam. Ein solches Gesetz war im Jahre 2007 als Entwurf vorgelegt worden und wurde dann von Datenschützern als mangelhaft heftig kritisiert und im Jahre 2009 wieder einkassiert. Einer der Kritikpunkte besagte, dass ein auditiertes Unternehmen ja letztlich nur mitteile, dass es sich ans Gesetz halte, was ja irgendwie sinnlos sei. Man kann dabei sicherlich kräftig schmunzeln, wenn man sich so ansieht, was sonst noch alles unter ähnlicher Flagge wie z.B. der sogenannten „Compliance“ dahersegelt und ebenfalls eher an des Kaisers neue Kleider erinnert.
Trotzdem: Aus Sicht des Betriebsrats geht es hier vor allem um eine strategische Position und die steht gegenüber der oben genannten Kritik nicht schlecht da.