Datenschutz: Arbeitgeber haften für ihren Betriebsrat

Gastbeitrag von Thomas Wolf und Jyn Schultze-Melling von KPMG Law

 

Thomas Wolf (Foto: PR/KPMG)

 

Jyn Schultze-Meliing (Foto: PR/KPMG)

 

Unternehmen erheben und speichert personenbezogene, teils sensible Daten der Beschäftigten: Alter, Betriebszugehörigkeit, Gehalt, Krankentage und vieles andere mehr. Nach den europäischen und deutschen Datenschutzregeln  müssen dabei bestimmte Vorgaben beachtet werden – das gilt auch dann, wenn es der Betriebsrat ist, der die Daten speichert. Halten sich Betriebsräte nicht an die Vorschriften, haftet dafür allein der Arbeitgeber. Unternehmen sollten deshalb die Einhaltung der Vorschriften durch den Betriebsrat sicherstellen. Sechs Maßnahmen verschaffen Rechtssicherheit

Unternehmensführung und Betriebsrat sollen sich bei der Einhaltung der datenschutzrechtlichen Vorschriften laut Gesetz gegenseitig unterstützen. Denn viele Betriebsräte und mache Datenschutzbeauftragte kennen sich an der Schnittstelle zwischen Betriebsverfassung und Datenschutz nicht gut genug aus.

 

Kein generelles Zugriffsrecht des Betriebsrats

Will der Betriebsrat auf Mitarbeiter-Daten zugreifen, muss es

a) entweder erforderlich sein oder

b) der Mitarbeiter eingewilligt haben.

Bei der Einwilligung ist rechtlich nicht weiter kompliziert: Entweder hat der Mitarbeiter eingewilligt oder eben nicht. Schwierig wird höchstens die Beweislage, wenn die Einwilligung nicht schriftlich erfolgte.

Bei der Erforderlichkeit hingegen liegt die Messlatte ziemlich hoch. Der Betriebsrat muss ohne die fraglichen Daten seine gesetzlichen Beteiligungs- und Mitbestimmungsrechte nicht ausüben können. Der Zugriff auf die Daten muss also zur Erfüllung der Pflichten aus der Betriebsratstätigkeit unbedingt notwendig sein.

 

Ohne Löschkonzept kein Datenzugriff für den Betriebsrat

Auch rechtmäßig gespeicherte Daten müssen irgendwann gelöscht werden – alles andere wäre eine unzulässige Vorratsdatenspeicherung. Meist erinnert sich zu dem Zeitpunkt aber niemand mehr daran, dass die Daten überhaupt einmal gespeichert wurden. Ohne ein passendes Löschkonzept für den Betriebsrat ist ein rechtlich einwandfreier Umgang mit Mitarbeiterdaten also kaum möglich.

Das bedeutet auch, dass Betriebsräte sich keine eigene Personaldatei aufbauen dürfen. Im Zweifel müssen personenbezogene Daten nach der Nutzung gelöscht werden und beim nächsten Bedarfsfall wieder neu beim Arbeitgeber oder bei der Personalabteilung angefordert werden. Das mag im Einzelfall umständlich sein, aber das Gesetz wertet den Datenschutz höher als eine mögliche Arbeitsersparnis für Betriebsrat und Personalabteilung.

 

Sechs Punkte auf die Unternehmen bei Betriebsräten achten sollten: 

In der Zusammenarbeit mit dem Betriebsrat kann die Unternehmensführung die folgenden Schritte in Betracht ziehen:

1. Beschäftigte – insbesondere auch Betriebsratsmitglieder – regelmäßig und umfassend schulen
2. Betriebsratsdatenbank vom Betriebsrat datenschutzkonform führen lassen und auf personenbezogene Altdaten hin durchforsten lassen.
3. Den Betriebsrat bei der Einführung aktueller Personalinformationssysteme und begleitender IT-Anwendungen ordnungsgemäß mit einbeziehen, Stichwort: Mitbestimmung
4. Ein geprüftes Verfahren für den Datenaustausch zwischen Personalabteilung und Betriebsrat einführen, um sicherzustellen, dass jede Datenverarbeitung in Bezug auf Anlass, Art, Umfang und Dauer erforderlich ist
5. Den Beschäftigtendatenschutz in die Unternehmensrichtlinien zum Datenschutz einbetten
6. Einen internen Meldeprozess – Stichwort: Whistleblower-Hotline – etablieren, über den mögliche Datenschutzvorfälle angezeigt werden können

 

Diese Maßnahmen und ihr Erfolg sollten in regelmäßigen Abständen überprüft und alle Beteiligten für das Thema sensibilisiert werden.