Betriebsrat oder Personalrat als Verantwortlicher? Lösungsmöglichkeiten
Ob eine Arbeitnehmervertretung nun förmlich Verantwortlicher ist oder nicht – sie muss in jedem Fall dafür sorgen, dass die Bestimmungen der DSGVO bei der Verarbeitung personenbezogener Daten durch sie erfüllt werden.
Ein Problem dabei ist, dass die Mitglieder einer Arbeitnehmervertretung grundsätzlich nicht an Weisungen gebunden sind – auch nicht durch den Betriebsrat oder Personalrat selbst. Sie sind nur dem Gesetz und ihrem Gewissen verpflichtet. Also braucht man ein Instrument, das sicherstellt, dass nicht nur das Gremium insgesamt datenschutzkonform vorgeht, sondern auch jedes einzelne seiner Mitglieder. Sonst besteht womöglich das Risiko, dass das Gremium insgesamt für Verfehlungen einzelner Mitglieder geradestehen muss.
Geschäftsordnung
Die einzige Lösung, die in diesem Fall in Betracht kommt, ist eine Geschäftsordnung. Hat ein Betriebsrat oder ein Personalrat mit der Mehrheit der Stimmen seiner Mitglieder eine Geschäftsordnung beschlossen, ist sie von allen Mitgliedern einzuhalten. Wenn ein Mitglied gegen eine Geschäftsordnung verstößt, hat es die Konsequenzen zu tragen, das Gremium haftet dafür aber nicht mehr.
Also sollte eine Arbeitnehmervertretung sich eine Geschäftsordnung zum Thema „Verarbeitung personenbezogener Daten“ geben – ob als Teil der ohnehin bestehenden Geschäftsordnung oder als Ergänzung, Anhang oder dergleichen.
In dieser Geschäftsordnung sollte zumindest bestimmt werden,
- dass alle Mitglieder der Arbeitnehmervertretung verpflichtet sind, die Bestimmungen der DSGVO und des BDSG und der Geschäftsordnung einzuhalten,
- dass vor jeder Verarbeitung personenbezogener Daten die Zwecke zu bestimmen und zu dokumentieren sind,
- dass in jedem Fall die Rechtsmäßigkeit der Verarbeitung zu prüfen und sicherzustellen ist,
- dass in den dort bestimmten Fällen die Einwilligung des Betroffenen einzuholen ist (z. B. bei Beschwerden von Arbeitnehmern, bei BEM-Verfahren),
- dass für jede Verarbeitung Löschfristen bestimmt werden müssen und die Daten gemäß diesen Fristen dann auch gelöscht werden müssen,
- wie die Auskunftspflichten gegenüber den Betroffenen erfüllt werden,
- wie sichergestellt wird, dass ggf. eine Kopie der Daten eines Betroffenen erstellt werden kann,
- wie sichergestellt wird, dass ggf. Meldungen bei Datenschutzverstößen erfolgen,
- welche Regeln zur technischen Sicherheit gelten (z. B. dass es keinesfalls mehr gemeinsam durch mehrere Personen benutzte Accounts geben darf, dass eine „Clean-Desk-Policy“ im Büro herrscht etc.),
- wie die Verarbeitung in einem Verzeichnis der Verarbeitungstätigkeiten dokumentiert wird.
Durch solch eine Geschäftsordnung erreicht man zumindest, dass das Gremium für Verstöße, die evt. von einzelnen Mitgliedern begangen werden, nicht mehr kollektiv haftet.
Gemeinsam Verantwortliche
Eine andere Variante, die man in Betracht ziehen kann, besteht in einer gemeinsamen Verantwortung mit dem Arbeitgeber. Art. 26 DSGVO sieht dieses Instrument ja vor. Und in der Tat spricht einiges dafür: Auch wenn die Arbeitnehmervertretung selbst über die Nutzung der Mittel und (im Rahmen ihrer Aufgaben) über die Zwecke entscheidet: Der Großteil der Mittel wird ja vom Arbeitgeber bereitgestellt, und eine Arbeitnehmervertretung hat gar keine Möglichkeit (außer im Rahmen der Mitbestimmung), dafür zu sorgen, dass diese Mittel DSGVO-konform genutzt werden. Zumindest die technischen Maßnahmen zum Datenschutz bei den vom Arbeitgeber zur Verfügung gestellten Mitteln obliegen dem Arbeitgeber. Die Benutzerrechte und Rollen z. B. bei Office 365 werden ja von der Administration, also durch den Arbeitgeber bestimmt, nicht vom Betriebsrat oder Personalrat. Also trägt der Arbeitgeber einen ordentlichen Anteil an „Mitverantwortung“ bei der Verarbeitung personenbezogener Daten auch durch die Arbeitnehmervertretung.
In diesem Fall müsste die Arbeitnehmervertretung mit dem Arbeitgeber eine Vereinbarung treffen (ob als Betriebs- bzw. Dienstvereinbarung oder als Regelungsabrede spielt keine Rolle – es gilt ja nicht, Rechte der Betroffenen zu regeln, die sich schon aus der DSGVO ergeben).
Die Inhalte dieser Vereinbarung würden darauf hinauslaufen, dass die Parteien darin u. a. bestimmen,
- für welche Zwecke welche Seite personenbezogene Daten für die Nutzung durch die Arbeitnehmervertretung verarbeitet,
- welche Daten der Arbeitnehmervertretung zur Verfügung gestellt werden,
- welche Pflichten die Arbeitnehmervertretung bei der Verarbeitung dieser Daten erfüllt,
- welche Mittel der Arbeitgeber der Arbeitnehmervertretung zur Verfügung stellt, damit sie die Daten datenschutzkonform verarbeiten kann,
- wie die Dokumentationspflichten erfüllt werden,
- wie die Rechte der Betroffenen (insbesondere hinsichtlich Auskunft, Kopie der Daten, Korrektur und Löschung) erfüllt werden etc.
Dieses Instrument wird aber nur dort in Frage kommen, wo Arbeitgeber und Arbeitnehmervertretung vertrauensvoll und konstruktiv zusammenarbeiten – nach meiner Erfahrung ist das leider nicht in jedem Betrieb und jeder Dienststelle der Standard.
Erfahren Sie mehr!
Das passende Seminar zu diesem Thema:
Datenschutz in der Arbeitnehmervertretung