open search
close
Betriebsrat Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Show me what you got? Betriebsrat und Art. 30 DSGVO

Print Friendly, PDF & Email

Die DSGVO verpflichtet die meisten Arbeitgeber, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Was aber, wenn der Betriebsrat in laufenden Verhandlungen unter Bezugnahme auf seine Kontrollrechte Einsicht in das Verzeichnis verlangt? Wem gegenüber müssen Unternehmen das sensible Verarbeitungsverzeichnis offenlegen? Ein Überblick.

Die Pflicht zur Führung eines Verarbeitungsverzeichnisses

Nach Art. 30 Abs. 1 S. 1 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Verantwortlicher gem. Art. 4 Nr. 7 DSGVO i.V.m. § 79a BetrVG ist dabei der Arbeitgeber. Intern ist die Geschäftsleitung für das Führen des Verzeichnisses verantwortlich. Ausgenommen sind gem. Art. 30 Abs. 5 DSGVO in der Regel Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahme greift nach der Vorschrift jedoch u.a. nicht bei besonders riskanter Datenverarbeitung.

Was in dem Verzeichnis zu dokumentieren ist, ist in Art. 30 Abs. 1 S. 2 DSGVO aufgeführt. Dieser enthält einen Katalog von Pflichtangaben. Dazu zählen u.a. die Zwecke der Verarbeitung, Beschreibungen der Kategorien betroffener Personen und personenbezogener Daten und die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind.

Klar ist: Auf Anfrage muss der Verantwortliche das Verzeichnis der Aufsichtsbehörde zur Verfügung stellen (Art. 30 Abs. 4 DSGVO). Denn die Vorschrift dient den Behörden als Grundlage für die Prüfung der verordnungskonformen Datenverarbeitung. Die Verantwortlichen und die Aufsichtsbehörden sollen sich einen Überblick über sämtliche personenbezogene Datenverarbeitungstätigkeiten verschaffen können, um die Einhaltung der zahlreichen bestehenden Pflichten nach der DSGVO überprüfen zu können. Das Verzeichnis hilft den Verantwortlichen zudem dabei, dem Accountability-Grundsatz nach Art. 5 Abs. 2 DSGVO gerecht zu werden.

Der Arbeitgeber hat regelmäßig ein hohes Interesse daran, seine Pflichten aus Art. 30 DSGVO ordnungsgemäß zu erfüllen, da ihm negative Konsequenten drohen (Art. 83 Abs. 4 a DSGVO).

Besteht ein Recht des Betriebsrats auf Einsichtnahme?

Doch kann auch der Betriebsrat Einblick in Datenverarbeitungsverzeichnisse nehmen? Die darin gespeicherten Informationen dürften nicht selten interessant für das Bestehen und den Umfang eines Mitbestimmungsrechts sein, besonders mit Blick auf § 87 Abs. 1 Nr. 6 BetrVG. Bei konstruktiv agierenden Betriebsräten ist dies oftmals unbedenklich. Schwieriger ist die Entscheidung zu treffen aber bei Betriebsräten, die offensichtlich oder mit einer versteckten Agenda Hintergedanken verfolgen (z.B. Verhandlungen verzögern durch Ausdehnung von Informationsphasen, schmerzhafte Tauschgeschäfte vorbereiten etc.), was ja manchmal vorkommen soll.

Mit dem Betriebsrätemodernisierungsgesetz (BRModG) hat der Gesetzgeber die viel umstrittene Vorschrift des § 79a BetrVG geschaffen, die der Klarstellung dient, dass der Arbeitgeber auch für die Datenverarbeitung des Betriebsrats Verantwortlicher im datenschutzrechtlichen Sinne ist (hierzu unsere Blogbeiträge vom 20.9.21 und 9.12.21). Für Art. 30 DSGVO folgt daraus, dass das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten muss. Den Betriebsrat trifft nach der Gesetzesbegründung hingegen keine Pflicht, ein eigenes Verzeichnis nach Art. 30 DSGVO zu führen. Das BRModG hat hierbei die Frage offengelassen, ob dem Betriebsrat ein Einsichtsrecht zusteht.

Aber auch sonst fehlt für ein Recht auf Einsichtnahme eine gesetzliche Grundlage:

§ 79a S. 3 BetrVG normiert lediglich eine gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften, wobei die Reichweite dieser Unterstützungspflicht im Einzelnen unklar und damit den Betriebsparteien überlassen ist. Nach der Gesetzesbegründung beruht die Unterstützungspflicht auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat muss dem Arbeitgeber entsprechende Informationen zur von ihm durchgeführten Datenverarbeitung zukommen lassen. Nur so kann der Arbeitgeber seine Pflichten aus Art. 30 DSGVO erfüllen. Die Unterstützungspflicht ist hierbei also primär als Pflicht zur Mitwirkung des Betriebsrats an der Erfüllung der datenschutzrechtlichen Vorgaben des Arbeitgebers als Verantwortlichem zu verstehen.

Ein originäres Einsichtsrecht des Betriebsrats lässt sich hieraus aber nicht ableiten, da dieser für das Führen des Verzeichnisses nach Art. 30 DSGVO nicht verantwortlich ist.

Auch der DSGVO lässt sich ein Einsichtsrecht nicht entnehmen. Während § 4g BDSG aF noch ein Einsichtsrecht für „jedermann“ vorsah, besteht ein solches nach Art. 30 Abs. 4 DSGVO nur noch für die Aufsichtsbehörde. Nach der DSGVO ist es weder Aufgabe des Betroffenen noch des Betriebsrats, die Einhaltung der Verordnung zu kontrollieren. Im Gegensatz zur früheren nationalen Regelung trifft die Pflicht zum Zurverfügungstellen auch nicht mehr den Datenschutzbeauftragten, sondern den Verpflichteten selbst. Die Neuregelung unterstreicht die Sensibilität der Verzeichnisse und spricht deshalb gerade für eine Begrenzung der Einsichtnahme durch Dritte.

Auch § 80 Abs. 2 BetrVG begründet keinen solchen Anspruch. Eine Kontrolle des Arbeitgebers auf die allgemeine Einhaltung des Datenschutzrechts ist in § 80 Abs. 1 BetrVG nicht vorgesehen. § 80 Abs. 1 Nr. 1 BetrVG sieht eine Überwachungspflicht nur für die zugunsten der Arbeitnehmer geltenden Gesetze vor. Art. 30 DSGVO dient aber nicht dem Schutz der Arbeitnehmer, sondern der Kontrolle durch die Aufsichtsbehörde. Die bloße Dokumentation der Verarbeitungsvorgänge bietet den Arbeitnehmern aber keinen individuellen Schutz und sagt auch nichts über die Rechtmäßigkeit der jeweiligen Verarbeitung aus.

Folgen für die Praxis

Unternehmen sollten ihre Datenverarbeitungsverzeichnisse sorgfältig führen, um den Aufsichtsbehörden auf Anfrage die für ihre Prüfung erforderlichen Informationen bereitstellen zu können. Bei nicht geführten oder nur unvollständig geführten Datenverarbeitungsverzeichnissen drohen sonst empfindliche Bußgelder.

Das BRModG hat die Frage nach einem Einsichtsrecht nicht ausdrücklich beantwortet. Insbesondere die Reichweite der Unterstützungspflicht aus § 79a Abs. 3 BetrVG ist bislang ungeklärt. Es sprechen aber gute Gründe gegen ein Einsichtsrecht des Betriebsrats. Unternehmen sollten daher sorgfältig prüfen, ob sie einem solchen Verlangen des Betriebsrats in schwierigen Verhandlungen stattgeben. Dies kann Sinn machen, wenn sich damit Verhandlungen beschleunigen lassen und Unklarheiten geklärt werden können, um z.B. Abschlüsse zu erreichen. Es macht aber keinen Sinn, wenn Informationen Schaden für Unternehmen anrichten können. In diesem Fall können bewährte Methoden wie z.B. gut vorbereitete „in-camera-Prozesse“ (ggf. begleitet durch eine Mediation oder Einigungsstelle) in Betracht kommen.

Dr. Markus Janko 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Markus Janko berät Arbeitgeber ins­be­son­dere bei Umstruk­tu­rie­run­gen, Unter­neh­mens­käu­fen und Due Diligence-Prozessen. Besondere Expertise besitzt er in der Unterstützung inter­na­tio­na­ler Konzerne, dem Einsatz von Trans­fer­ge­sell­schaf­ten und im Insol­venz­ar­beits­recht. Hier zeichnet er sich durch die Beratung namhafter Insol­venz­ver­wal­ter in großen Insol­venz­ver­fah­ren sowie von Unter­neh­men bei Unter­neh­mens­käu­fen aus der Insolvenz und der arbeits­recht­li­chen Sanierung in Schutz­schirm­ver­fah­ren aus. Er ist Mitglied der Fokusgruppe „Digitalisierung und Mitbestimmung“.
Verwandte Beiträge
Datenschutz Individualarbeitsrecht Neueste Beiträge

Datenschutzverstöße und ihre arbeitsrechtlichen Konsequenzen

Die Datenschutzgrundverordnung (DSGVO) enthält umfangreiche Anforderungen mit Blick auf den Umgang mit personenbezogenen Daten. Verstöße können für Unternehmen unangenehme Folgen nach sich ziehen: Neben rechtlichen und finanziellen Konsequenzen in Form empfindlicher Bußgelder drohen Reputationsschäden. Doch die Konsequenzen treffen nicht nur die Unternehmen selbst: Verstoßen Mitarbeiter gegen datenschutzrechtliche Vorschriften, kann dies – je nach den Umständen des Einzelfalls – arbeitsrechtliche Konsequenzen bis hin zu einer fristlosen…
Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Vergütung

Vergütung freigestellter Betriebsratsmitglieder: Zeit der Betriebsratstätigkeit nicht immer entscheidend

Die Vergütung von Betriebsratsmitgliedern während ihrer Freistellung von der Arbeit ist immer wieder Gegenstand von arbeitsgerichtlichen Auseinandersetzungen. Denn während der Betriebsratsarbeit behält das Betriebsratsmitglied nach § 37 Abs. 2 BetrVG weiterhin seinen Lohnanspruch. Die zutreffende Bestimmung dieses Lohnanspruchs bereitet in der Praxis gerade in Schichtbetrieben Probleme. Eine aktuelle Entscheidung des Bundesarbeitsgerichts (BAG – 7 AZR 197/23) gibt für die Praxis wertvolle Hinweise zur Bestimmung von…
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.