Ein Jahr DSGVO: Was Betriebsräte wissen – und tun – müssen

24.05.2019  — Online-Redaktion Verlag Dashöfer.  Quelle: Hans-Böckler-Stiftung.

Die europäische Datenschutzverordnung (DSGVO) ist am 25. Mai seit einem Jahr in Kraft. Sie betrifft auch die Arbeit von Betriebsräten. Betriebsvereinbarungen, die Arbeitnehmervertretung und Management abgeschlossen haben, müssen überprüft und möglicherweise angepasst werden.

Was hat unsere Betriebsvereinbarung zur Altersteilzeit mit den neuen Datenschutzregeln zu tun? Das mag sich mancher Betriebsrat fragen. Die Antwort ist: Weit mehr, als auf den ersten Blick gedacht. Denn bei der Altersteilzeit – und vielen anderen in Betriebsvereinbarungen geregelten Sachverhalten – sind hoch sensible Beschäftigtendaten im Spiel, die gesammelt, ausgewertet und gespeichert werden. Das muss nach den Normen der seit 2018 verbindlichen europäischen Datenschutzgrundverordnung (DSGVO) geschehen. Andernfalls könnten Betriebsvereinbarungen ihre Gültigkeit verlieren. Darauf macht Prof. Dr. Marita Körner von der Universität Hamburg in einem neuen Rechtsgutachten für das Hugo Sinzheimer Institut (HSI) der Hans-Böckler-Stiftung aufmerksam.

Grundsätzlich, so die Professorin für deutsches und internationales Arbeits- und Sozialrecht, schränke die DSGVO die Mitbestimmungsbefugnisse des Betriebsrats keineswegs ein. Sie verpflichte Betriebe und damit auch die Betriebsräte lediglich auf ein Niveau an Datenschutz, das nicht unterschritten werden darf; wobei aber durchaus strengere Maßstäbe zum Schutz der Persönlichkeitsrechte vereinbart werden können. Zwar stellt die DSGVO nicht in jeder Hinsicht höhere Anforderungen als das frühere Bundesdatenschutzgesetz. Jedoch sollten bestehende Betriebsvereinbarungen überprüft werden, rät die Juristin. Auch wenn am Ende nicht alle getroffenen Vereinbarungen geändert werden müssen.

Dort, wo Formulierungen zum Umgang mit Beschäftigtendaten extrem vage sind oder gänzlich fehlen, sollten sich Betriebsräte aber um Nachbesserung bemühen. Klar werden muss in jedem Fall, welche Daten zu welchem Zweck erhoben werden, wer sie einsehen darf, welche Auskunftsrechte Beschäftigte haben und welche Informationspflichten für diejenigen bestehen, die Daten verarbeiten. Außerdem ist festzulegen, wie lange Daten gespeichert werden. Prinzipiell sollen nicht mehr Daten als nötig erhoben und diese nicht länger als unbedingt erforderlich gespeichert werden. Bestimmte Verwendungen von Daten, zum Beispiel zur Leistungs- und Verhaltenskontrolle, können per Betriebsvereinbarung ausgeschlossen werden.

Viele nötige Präzisierungen in Sachen Datenschutz gelten für mehr als eine bestehende Betriebsvereinbarung im Unternehmen. In solchen Fällen ist es Körner zufolge nicht zwingend, überall dieselben Textbausteine einzufügen. Mittels einer übergeordneten Rahmenvereinbarung ließen sich viele Fliegen mit einer Klappe schlagen. Allerdings dürften die formulierten Regeln nicht zu allgemein ausfallen. Die Selbstverpflichtung „Daten werden nur solange aufgehoben, wie sie benötigt werden“ zum Beispiel reiche nicht aus und ersetze nicht die Angabe konkreter Löschfristen. Auch eine Formulierung wie „Beschäftigtendaten werden zum Zweck der Personalverwaltung in einer Datenbank gespeichert“ wäre bei weitem nicht präzise genug.

Wie für alle übrigen Betriebsteile gilt auch für die Arbeitnehmervertretung: Sie muss die Prozesse dokumentieren, mit denen sie Daten verarbeitet. Was geschieht etwa bei Stellenbesetzungen? Wer bekommt welche Unterlagen zu sehen, wo werden sie abgelegt und wann werden sie gelöscht? Der Betriebsrat sollte die Datenschutzanforderungen vorbildlich umsetzen, empfiehlt die Expertin. Eine Vernachlässigung könne negative Folgen haben, etwa wenn Informationen des Betriebsrats vor Gericht nicht verwendet werden können, weil sie als rechtswidrig erhobene Beweismittel eingestuft werden. Persönlich oder als Gremium verantwortlich gemacht werden können Betriebsräte bei DSGVO--Verstößen nach Körners Einschätzung allerdings kaum. Der Betriebsrat sei kein „eigenständig Verantwortlicher“ im Sinne der DSGVO. Für Verfehlungen hafte letztlich der Arbeitgeber. Dennoch empfiehlt die Juristin zumindest großen Betriebsräten zur Selbstkontrolle, „an einen externen Datenschutzbeauftragten für den Betriebsrat zu denken“.

Schließlich können und sollen Betriebsräte auf Basis der DSGVO in Sachen Datenschutz selbst eine aktive Rolle spielen, so Körner. Beispielsweise wenn es um ausgefeilte Systeme zur Überwachung der Beschäftigten geht – etwa durch Kameras, Ortungssysteme oder Gesichtserkennung.

Kennen Sie schon unseren neuen News­letter Digitalisierung aktuell?

nach oben