„Immer ist da das ungute Gefühl, etwas falsch zu machen und dafür hohe Bußgelder zu kassieren", meinte kürzlich Andreas Wiehle zu mir. Privat ist der IT-Fachmann Vorsitzender eines gemeinnützigen Vereins, auch beruflich hat er ständig mit Daten zu tun. „Viele haben mich gewarnt, unsere Vereinswebseite weiter zu betreiben. Da stünde man doch mit einem Bein im Knast. Die DSGVO hat uns alle verunsichert, beruflich wie privat."
So wie Andreas geht es vielen Arbeitnehmern. Und noch schlimmer hat es die Betriebsräte getroffen: Denn plötzlich steht im Raum, dass sie für Verstöße gegen den Datenschutz selbst haften sollen. Wie kann das sein?
Schuld an der Panik
Schuld an vielen Ängsten sind die zahlreichen Panikmeldungen in der Presse, die sich am Ende häufig als heiße Luft entpuppten. Seit dem 25. Mai 2018, der Geburtsstunde des neuen Datenschutzes, geht das so. Immer wieder ploppen neue Themen auf und verbreiten sich in Windeseile.
Auf einmal sollten Klingelschilder mit Namen an Mietshäusern nicht mehr erlaubt sein. „Datenschutz-Irrsinn! Deutschland droht ein Klingelschild-Chaos", titelte umgehend die Bild-Zeitung. Ein Austausch würde 200 Mio. € kosten, las man dort in dicken Lettern. Tatsächlich entpuppte sich die Meldung schnell als Klingelstreich, die Aufsichtsbehörden entlarvten sie als Unfug.
Kurze Zeit später wurde diskutiert, ob man seine Webseiten nicht besser gleich abschalten sollte: „Selbstständige, Vereine, Blogger und auch Fotografen – viele zittern um ihre Existenz", meldete die Bild. Schließlich drohten millionenschwere Bußgelder bei Verstößen gegen den Datenschutz.
Hohe Angst vor Bußgeldern
Tatsächlich lag die Obergrenze bei Bußgeldern im Datenschutz früher bei maximal 300.000 €. Mit der DSGVO wurde der Bußgeldrahmen auf bis zu 20 Mio. € bzw. 4% des weltweit erzielten Jahresumsatzes erhöht. Das ist schon heftig.
Passiert ist allerdings wenig, bislang verhielten sich die Datenschutzbehörden in Deutschland recht ruhig. Als erstes musste der Karlsruher Chatbetreiber Knuddels im Herbst 20.000 € zahlen. Ein kleiner Preis für eine große Panne: Das Unternehmen hatte Kundendaten unverschlüsselt gespeichert; Hacker veröffentlichten 330.000 Namen offen im Netz. Es folgten weitere Bußgelder, andere Verfahren laufen noch. Europaweit wurden schon höhere Bußgelder verteilt; Google kassierte in Frankreich mit 50 Mio. € die bisher größte Strafe.
Betriebsräte im Fokus der Aufsichtsbehörden
Manche Entwicklungen im Datenschutz sind aber tatsächlich erschreckend. Aktuell wird diskutiert, ob der Betriebsrat „Verantwortlicher" im Sinne der Datenschutzgesetze ist. Die Folgen wären dramatisch: Der Betriebsrat müsste, bei entsprechender Gremiumsgröße, einen eigenen Datenschutzbeauftragten bestellen und wegen der Dokumentationspflicht ein eigenes Verzeichnis von Verarbeitungstätigkeiten führen. Außerdem wäre er Adressat von Bußgeldern.
Die Aufsichtsbehörden sind sich uneinig bei dieser Frage. Noch ist also völlig offen, wie es weitergeht. Bußgelder gegen Betriebsräte wurden bislang nicht verhängt.
Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, sieht im Gespräch mit der Zeitschrift für Datenschutz die Gefahr unauflöslicher Brüche zwischen den Anforderungen der DSGVO und denen des Betriebsverfassungsrechts. Er erwartet aber in absehbarer Zeit eine Klärung vor Gericht.
Hü und hott vor Gericht
Noch lässt sich bei den Gerichten aber keine deutliche Tendenz feststellen. So sah das LAG Hessen am 10.12.2018 (16 TaBV 130/18) am Rande einer Entscheidung zum Auskunftsanspruch über Sonderzahlungen den Betriebsrat selbst als „Teil der verantwortlichen Stelle" an. Damit wäre er nicht selbst verantwortlich.
Anders sah dies das LAG Sachsen-Anhalt am 18.12.2018 (4 TaBV 19/17): „Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO".
Können Betriebsräte noch ruhig schlafen?
Bis zur endgültigen gerichtlichen Klärung sollten Betriebsräte trotzdem ruhig schlafen – zumindest dann, wenn sie sich mit dem Thema Datenschutz vertraut gemacht haben. Und natürlich, wenn sie sensibel mit den ihnen anvertrauten Daten umgehen. Das bedeutet an erster Stelle, sich vernünftig mit den Regelungen des Datenschutzes vertraut zu machen. Sich gut auszukennen ist unumgänglich!
Unser Tipp: Benennen Sie innerhalb des Gremiums ein oder zwei DSGVO-Experten. Ihre Aufgabe ist es, die Kollegen auf dem Laufenden zu halten und die Einhaltung des Datenschutzes zu überwachen. Eine Schulung als Grundlage sollten aber alle im Team besuchen.
Außerdem sollte der ganze Betriebsrat mit gutem Beispiel vorangehen. Das bedeutet beispielsweise, keine unnötigen Aktenberge zu horten und Schränke und Türen zum BR-Büro gut verschlossen zu halten.
Fazit: Ein Wendepunkt
Ein Wendepunkt für den Datenschutz ist die Einführung der DSGVO in jedem Fall. Viele, die mit Daten zu tun haben, wurden unsanft aufgerüttelt. Das war dringend überfällig, denn unsere Daten sind ein äußerst hohes Gut.
Wirklich angekommen ist der DSGVO-Dampfer aber noch nicht. Dafür ist noch zu viel unklar, dafür ist die Umsetzung der Regelungen zu komplex. Schön wäre es, wenn hier nachgebessert und vereinfacht würde – statt den Fokus auf die Betriebsräte zu richten.
Was sagt der ifb-Experte dazu?
Stephan Sägmüller ist Experte beim ifb für das Thema Datenschutz. Er sieht die Entwicklung zwiegespalten.
„Entgegen vieler Unkenrufe blieben Massenabmahnungen und -Bußgelder aus. Aber noch immer herrscht große Unsicherheit bei allen Beteiligten, wie mit den neuen Regelungen richtig umzugehen ist. Gut ist dennoch, dass der Datenschutz endlich die Aufmerksamkeit bekommt, die er verdient. Denn Daten sind ein wertvolles Gut.
Jetzt ist es an den Aufsichtsbehörden und insbesondere Gerichten, bei umstrittenen Themen – wie z.B. der Verantwortlichkeit des Betriebsrats – für Rechtssicherheit zu sorgen."
Weiterlesen:Stephan Sägmüller im Interview mit dbr