Der Betriebsrat sollte auch beim Datenschutzrecht Vorbild sein: Zum einen hat er die Beschäftigten davor zu schützen, dass mit ihren Daten Schindluder getrieben wird, zum anderen muss auch er datenschutzrechtliche Bestimmungen bei den ihm anvertrauten Daten einhalten. Der folgende Beitrag zeigt aktuelle Rechtsprechung und einen Weg für Betriebsratsgremien auf, wie sie ein Datenschutzkonzept entwickeln und der Belegschaft, dem betrieblichen Datenschutzbeauftragten und der Aufsichtsbehörde verdeutlichen können.
LAG Köln, Beschluss vom 28.6.2011 – 12 TaBV 1/11 Eine Entscheidungsbesprechung:
- 32 BDSG soll lediglich eine vorläufige und der Klarstellung dienende Regelung zum Arbeitnehmerdatenschutz treffen, ohne damit die von der Rechtsprechung entwickelten Grundsätze zum Datenschutz in Beschäftigungsverhältnissen weiter auszudehnen. Daraus folgt, dass erforderlich gemäß § 32 BDSG jeweils der Datenumgang ist, den Bundesarbeitsgericht und Bundesverfassungsgericht bereits in der Vergangenheit als zulässig erachtet haben. Erforderlichkeit ist jedenfalls dann zu bejahen, wenn ein Verzicht auf die Datenverarbeitung nicht sinnvoll oder unzumutbar wäre und keine weniger eingriffsintensiven Mittel zur Verfügung stehen, die in gleicher Weise zur Zweckerreichung geeignet sind. Auch die allgemeinen Aufgaben des Betriebsrats nach § 80 Abs. 1 BetrVG umfassen Überwachungsaufgaben, die sich auf das einzelne Arbeitsverhältnis beziehen, so dass sie ohne personenbezogene Daten nicht ausführbar sind.
Die folgende Entscheidungsbesprechung begrüßt ausdrücklich den Beschluss und die amtlichen Sätze des LAG Köln in 2013, der in der Literatur kritisch gesehen wird.
Die Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt und auch mit einem neuen BDSG den Rahmen für den Beschäftigtendatenschutz bildet, verlangt von den Verantwortlichen eine Datenschutzfolgenabschätzung (DSFA). Diese löst die Vorabkontrolle im BDSG-alt ab.
Die Datenschutzfolgenabschätzung ist neu und jetzt in Art. 35 DS-GVO geregelt. Sie dient dazu, bei Verarbeitungen personenbezogener Daten der Betroffenen hohe Risiken abzuschätzen und geeignete Schutzmaßnahmen zum Schutze der Grundrechte zu entwickeln. In Art. 35 DS-GVO finden sich ein paar Beispiele, in welchen Fällen eine Datenschutz-Folgenabschätzung erforderlich ist, wie bspw. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 35 Abs. 3 b DSGVO) und einer umfangreichen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 c DSGVO).
Die Aufsichtsbehörden werden in Art. 35 Abs. 4 S. 1 DSGVO jedoch verpflichtet, Listen von Verarbeitungsvorgängen (Positivliste) zu veröffentlichen, für die eine DSFA durchzuführen ist. Inzwischen haben auch erste Aufsichtsbehörden erste Positivlisten entwickelt https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20%28Entwurf%29.pdf
NEUER DATENSCHUTZ (DSGVO)AiB EXTRA August 2018 NEUER DATENSCHUTZ (DSGVO)
Der neue Beschäftigtendatenschutz - So können Betriebsräte im Datenschutzrecht die Weichen stellen. § 26 BDSG 2018 regelt ab sofort den Beschäftigtendatenschutz. Damit ist es jetzt für Interessenvertretungen das »Grundgesetz des Beschäftigtendatenschutzes«. Nun sind die Betriebsparteien gefordert: Sie müssen die Bestimmungen in konkrete Vereinbarungen überführen. in: AiB EXTRA August 2018 - Matthias Wilke und andere Autoren. Mehr unter:
In allen Unternehmen und Dienststellen kann es zu Datenschutzverletzungen kommen. Für derartige Datenschutzverstöße wird oftmals auch der Begriff der Datenpannen verwendet. Datenpannen beziehen sich auf die Verarbeitung von personenbezogenen Daten. Es können die Daten z.B. von den eigenen Beschäftigten, von Kunden, von Kindern oder Lieferanten sein. Diese personenbezogenen Daten nach Art. 4 Nr. 1 DS-GVO bedürfen bei der Datenverarbeitung des besonderen Schutzes. Im Falle von Datenschutzverstößen ist das jeweilige Unternehmen als Verantwortlicher nach Art. 33, 34 DS-GVO (siehe auch Erwägungsgründe 85, 86,87, 88) verpflichtet, ggf. bei einem hohen Risiko die betroffenen Personen und die zuständige Aufsichtsbehörde bei einem Risiko für natürliche Personen unverzüglich zu informieren. Hierfür muß das Unternehmen oder die Dienststelle geeignete organisatorische Vorkehrungen treffen. Insbesondere die Mitarbeiter müssen mit Hilfe einer Richtlinie zu Datenschutzverletzungen in Kenntnis gesetzt werden, wie sie auf eine „Datenpanne“ reagieren müssen. Von daher ist die Meldung an die zuständige Stelle im Unternehmen von großer Bedeutung, da ansonsten ein Bußgeld nach Art. 83 Abs. 4 S. 1 lit. a DS-GVO verhängt werden kann. Die Aufsichtsbehörden betonen auch gerne, dass die Unternehmen lieber eine Meldung zuviel als eine zuwenig abgegeben sollen. Unternehmen können auch aus dem Feedback der Aufsichtsbehörde für den Datenschutz lernen. Nachfolgend ein Muster zur Information der Mitarbeiter über eine unverzügliche Meldung nach Art. 33 DS-GVO.
Nach dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) gab es einen heftigen Streit darüber, ob der Betriebs- bzw. der Personalrat Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist. Inzwischen geht die herrschende Meinung in der Literatur und auch überwiegend in der Rechtsprechung davon aus, dass der Betriebsrat Teil der verantwortlichen Stelle (Arbeitgeber als Verantwortlicher) ist und dass der betriebliche Datenschutzbeauftragte den Betriebsrat nicht kontrollieren darf. Insofern bietet es sich an, in einer Rahmenbetriebsvereinbarung zu IT und Datenschutz einen Passus aufzunehmen und Näheres zur Datenverarbeitung des Betriebsrats und der Kommunikation mit dem Arbeitgeber über Datenschutz zu regeln. Der nachfolgende Regelungsvorschlag (Muster) ist immer auf die betriebliche Situation anzupassen. Viel hängt dabei auch davon ob, ob eine vertrauensvollen Zusammenarbeit zwischen Arbeitgeber und Interessenvertretung möglich ist.