Was sollte eine Arbeitnehmervertretung tun?

Ob man als Arbeitnehmervertretung nun förmlich „Verantwortlicher“ für den Datenschutz im Sinne des Art. 4 Nr. 7 der DSGVO ist oder nicht – in jedem Fall muss man sicherstellen, dass durch das Gremium und alle Mitglieder bei der Amtsausübung datenschutzkonform gehandelt wird. Die Haltung „wir sind ja die Guten, da gelten andere Regeln“ ist falsch. Nicht nur, dass eine Arbeitnehmervertretung sich angreifbar macht, wenn sie gegen Bestimmungen der DSGVO oder des BDSG verstößt. Sie verliert auch an Glaubwürdigkeit, wenn sie vom Arbeitgeber streng die Einhaltung der Schutzbestimmungen verlangt, bei sich selbst aber fünfe gerade sein lässt.

Die Risiken

Tut man dies nicht, bestehen vier Risiken:

Die Amtsenthebung eines Mitglieds, das gegen Datenschutzbestimmungen verstoßen hat (z. B. gem. § 23 Abs. 1 BetrVG),
die Auflösung des Gremiums, wenn es kollektiv gegen Datenschutzvorschriften verstoßen hat (ebenfalls § 23 Abs. 1 BetrVG),
Schadensersatzforderungen, wenn ein Betroffener durch eine unzulässige oder falsche Verarbeitung seiner personenbezogenen Daten durch den Betriebsrat geschädigt wurde (Art. 82 DSGVO) und
Bußgelder, wenn gegen Bestimmungen der DSGVO verstoßen wurde (Art. 83 DSGVO).

Wie die wirtschaftlichen Risiken von einer Arbeitnehmervertretung überhaupt getragen werden können, ist ein ungelöstes Problem, das früher oder später vom BAG geklärt werden muss. Der BGH hat aber jedenfalls entschieden, dass Betriebsräte (begrenzt) rechtsfähig seien und ggf. auch Schäden, die sie verursachen, zu tragen haben (III ZR 266/11).

Die konkreten Pflichten

Ich hatte bereits erwähnt, welches die wesentlichen Pflichten sind, die zur Einhaltung des Datenschutzes erfüllt werden müssen:

Es muss sichergestellt werden, dass personenbezogene Daten ausschließlich auf rechtmäßige Weise verarbeitet werden (Art. 5 Abs. 1 lit a und Art. 6 DSGVO).
Es muss sichergestellt werden, dass personenbezogene Daten stets für bestimmte, im Voraus eindeutig festgelegte und legitime Zwecke verarbeitet werden (Art. 5 Abs. 1 lit b DSGVO).
Personenbezogene Daten dürfen immer nur in dem Umfang verarbeitet werden, der für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit c DSGVO).
Personenbezogene Daten müssen, wenn sie nicht mehr benötigt werden oder wenn andere Voraussetzungen erfüllt sind, gelöscht werden (Art. 5 Abs. 1 lit c und e sowie Art. 17 DSGVO).
Personenbezogene Daten müssen stets richtig sein (Art. 5 Abs. 1 lit e DSGVO).
Es muss sichergestellt werden, dass personenbezogene Daten auf eine Weise verarbeitet werden, die die Integrität und Vertraulichkeit dieser Daten und deren Verarbeitung gewährleistet (Art. 5 Abs. 1 lit f und Art. 32 ff DSGVO).
Es muss dokumentiert werden, für welche Zwecke und in welcher Weise welche personenbezogenen Daten verarbeitet werden (Art. 30 DSGVO).
Die Transparenz für die Betroffenen muss gewährleistet werden (Art. 5 Abs. 1 lit a und Art. 12 ff DSGVO).
Es muss der Nachweis erbracht werden können, dass die Vorschriften zum Datenschutz konsequent eingehalten werden („Rechenschaftspflicht“ – Art. 5 Abs. 2 DSGVO).

Zweckbestimmung

Ein zentraler Grundsatz des Datenschutzes ist (und war übrigens schon immer), dass die Verarbeitung personenbezogener Daten nur für solche Zwecke erfolgen darf, die

im Voraus bestimmt wurden,
hinreichend konkret bestimmt wurden und
legitim sind.

Deshalb sollte eine Arbeitnehmervertretung sich als erstes Gedanken darüber machen, für welche Zwecke sie personenbezogene Daten von Arbeitnehmern verarbeitet. Typische Zwecke sind:

Erfüllung der Beteiligungsaufgaben gem. § 99 BetrVG (personelle Einzelmaßnahmen) bzw. die entsprechende Vorschrift aus dem anzuwendenden PVG
Erfüllung der Beteiligungsaufgaben gem. § 102 BetrVG (Kündigungen) bzw. die entsprechende Vorschrift aus dem anzuwendenden PVG
Ausübung der Mitbestimmungsrechte gem. § 87 Abs. 1 BetrVG bzw. die entsprechende Vorschrift aus dem anzuwendenden PVG, insbesondere über Arbeitszeiten, Urlaub, Gesundheitsschutz, Vergütungsfragen
Kontrolle der Durchführung gesetzlicher und anderer Vorschriften, die zum Schutz der Arbeitnehmer gelten, gem. § 80 Abs. 1 Nr. 1 BetrVG bzw. die entsprechende Vorschrift aus dem anzuwendenden PVG, insbesondere über Arbeitszeiten, Urlaub, Gesundheitsschutz, Vergütungsfragen
Behandlung von Beschwerden, Klärung mit dem Arbeitgeber, ob die Beschwerde berechtigt ist und wie ihr abgeholfen werden kann
Beteiligung an BEM-Verfahren durch von der Arbeitnehmervertretung dazu benannte Mitglieder
Ladung der Mitglieder und Ersatzmitglieder zu Sitzungen, Prüfung der Verhinderung von Mitgliedern und Ersatzmitgliedern
Entsendung von Mitgliedern zu Schulungen
Entsendung von Mitgliedern zu Sitzungen und Verhandlungen des Gesamtbetriebsrats und/oder Konzernbetriebsrats
Erstellung von Protokollen

Man sollte sich schon die Mühe machen, die Zwecke konkret zu benennen. Einfach zu schreiben „Erfüllung der Aufgaben des Betriebsrats“ ist zu wenig. Wichtig ist, dass man sich zu jedem Zweck vergewissert, ob er konkret genug bestimmt und ob er legitim ist. Dabei hilft auch der nächste Schritt.

Rechtmäßigkeit

Das zweite wichtige Prinzip des Datenschutzes ist, dass für jede Verarbeitung personenbezogener Daten jeweils eine Rechtsgrundlage vorliegen muss. Die Verarbeitung ist nur dann zulässig, wenn sie rechtmäßig ist, und rechtmäßig ist sie dann, wenn

zumindest eine der Voraussetzungen des Art. 6 Abs. 1 der DSGVO erfüllt ist und/oder
eine Rechtsgrundlage aus dem BDSG vorliegt.

Für Arbeitnehmervertretungen gibt es zwei typische Rechtsgrundlagen:

6 Abs. 1 lit c der DSGVO und
26 Abs. 1 BDSG.

Gelegentlich kommt auch eine Einwilligung des jeweils Betroffenen in Betracht (Art. 6 Abs. 1 lit a DSGVO), aber das ist eher die Ausnahme.

Erfüllung einer rechtlichen Verpflichtung

Schauen wir uns zunächst Art. 6 Abs. 1 lit c der DSGVO an. Dort heißt es:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[…]
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

Art. 6 Abs. 1 lit c DSGVO

Wenn eine Arbeitnehmervertretung also eine gesetzliche Pflicht hat, die sie nur erfüllen kann, indem sie personenbezogene Daten von Arbeitnehmern verarbeitet, dann ist dieser „Rechtmäßigkeitstatbestand“ erfüllt. Und damit sind wir wieder bei den Zwecken: Die Zwecke, die ich oben aufgelistet habe, geben jeweils Aufgaben des Betriebsrats wieder, und diese Aufgaben zu erfüllen, ist jeweils eine „rechtliche Verpflichtung, der [die Arbeitnehmervertretung] unterliegt“ (gehen wir mal davon aus, dass die Arbeitnehmervertretung Verantwortlicher ist – das ist ja noch nicht entschieden, wenn auch durchaus wahrscheinlich).

In § 87 Abs. 1 BetrVG heißt es ja z. B. „Der Betriebsrat hat […] mitzubestimmen“, nicht „er darf mitbestimmen“ oder „er kann auch gelegentlich ruhig mal mitbestimmen, wenn er gerade nichts Besseres zu tun hat“. Wenn im BetrVG, im BPersVG oder einem anderen Gesetz, das die Grundlage der Tätigkeit der jeweiligen Arbeitnehmervertretung ist, eine Pflicht der Arbeitnehmervertretung bestimmt ist, dann ist dies die „rechtliche Verpflichtung“, die in Art. 6 Abs. 1 lit c der DSGVO gemeint ist.

Rechtsgrundlage aus dem BDSG

Vor allem gilt aber § 26 Abs. 1 BDSG als Rechtsgrundlage für Arbeitnehmervertretungen. Dort steht:

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

§ 26 Abs. 1 BDSG

Das ist teilweise redundant zu Art. 6 Abs. 1 lit. c DSGVO. Die „sich aus einem Gesetz […] ergebenden […] Pflichten der Interessenvertretung der Beschäftigten“ sind im Prinzip nichts anderes als die „rechtliche Verpflichtung, der [die Arbeitnehmervertretung] unterliegt“. Allerdings geht dieser § 26 Abs. 1 BDSG noch darüber hinaus:

Die Verarbeitung ist nicht nur zulässig, wenn sie erforderlich ist, um eine rechtliche Pflicht, der die Arbeitnehmervertretung unterliegt, zu erfüllen, sondern sie ist auch zulässig, wenn sie zur „Ausübung oder Erfüllung der sich aus einem Gesetz […] ergebenden Rechte […] der Interessenvertretung der Beschäftigten erforderlich ist.“ Es geht also in § 26 Abs. 1 BDSG nicht nur um die Pflichten der Arbeitnehmervertretung, sondern auch um deren Rechte. Das ist gegenüber Art. 6 Abs. 1 lit c DSGVO eine Erweiterung des Umfangs der Rechtsgrundlage für die Verarbeitung durch die Arbeitnehmervertretung.

Derzeit wird diskutiert, ob im Beschäftigungsverhältnis neben § 26 Abs. 1 BDSG auch Art. 6 DSGVO als Rechtsgrundlage in Betracht kommen kann. Ich meine, dass das durchaus so ist (später gehe ich auf einer anderen Seite ausführlicher auf diese Frage ein), aber für Betriebs- und Personalräte ist die geeignete Rechtsgrundlage (fast) immer § 26 Abs. 1 BDSG. Diese Norm ist spezieller als die allgemeine Rechtsgrundlage des Art. 6 Abs. 1 lit c DSGVO, weil sie sich konkret auf Arbeitnehmervertretungen bezieht. Deshalb verdient sie bei der Verarbeitung personenbezogener Daten von Arbeitnehmern durch die Arbeitnehmervertretung den Vorrang.

In jedem Fall muss aber sichergestellt sein, dass es für die Verarbeitung eine Rechtsgrundlage gibt, und für Arbeitnehmervertretungen kann das nur eine Rechtsgrundlage sein, die aus einer gesetzlichen Aufgabe der Arbeitnehmervertretung resultiert.

Einwilligung der Betroffenen

Eine Ausnahme von dem Grundsatz, dass eine Rechtsgrundlage immer aus einer gesetzlichen Aufgabe entsteht, kann die Einwilligung eines Betroffenen sein. Art. 6 Abs. 1 lit a DSGVO sieht dies vor:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; […]
Art. 6 Abs. 1 lit a DSGVO

Die Einwilligung der jeweils betroffenen ist nur eine von mehreren möglichen Rechtsgrundlagen – das wird oft falsch verstanden. Es ist längst nicht so, wie viele glauben, dass für jede Verarbeitung eine Einwilligung der Betroffenen eingeholt werden müsse. Wäre das so, würde ich mir noch mal genau überlegen, ob ich dem Finanzamt die Einwilligung erteile, meine personenbezogenen Daten zu verarbeiten…

Die Einwilligung ist auch das am wenigsten geeignete Instrument, eine stabile und sichere Rechtsgrundlage zu schaffen. Zum einen muss die Einwilligung immer an bestimmte Zwecke gebunden sein – kann man sicherstellen, dass bei jeder Verarbeitung jeweils in die Einwilligungserklärung geschaut wird, um sicherzustellen, dass sie auch für diesen jeweiligen Zweck erteilt wurde? Zum zweiten muss man sicherstellen, dass man von jedem Betroffenen auch sicher eine Einwilligungserklärung erhalten hat – kann man das? Und vor allem kann jeder Betroffene seine Einwilligung auch jederzeit widerrufen. Kann man sicherstellen, dass immer die unwiderrufenen Einwilligungserklärungen aller Betroffenen vorliegen?

Für die Verarbeitung personenbezogenen Daten durch die Arbeitnehmervertretung ist die Einwilligung der Betroffenen als Rechtsgrundlage daher grundsätzlich nicht geeignet. Es kommt ja immer mal vor, dass einzelne Arbeitnehmer gar nicht so einverstanden damit sind, was ein Betriebsrat oder Personalrat tut, z. B. wenn er Mehrarbeit nicht genehmigt. Könnten sie das verhindern, indem sie die Verarbeitung ihrer personenbezogenen Daten durch die Arbeitnehmervertretung durch den Widerruf ihrer Einwilligung unterbinden, wäre die Arbeitnehmervertretung ja daran gehindert, ihren gesetzlichen Auftrag zu erfüllen, und das soll ja nicht sein.

Deshalb sollte die Einwilligung der Betroffenen in die Verarbeitung ihrer personenbezogenen Daten eine Ausnahme für Einzelfälle bleiben. Solche Einzelfälle kann es aber gelegentlich auch geben:

Ein Arbeitnehmer beschwert sich beim Betriebsrat, z. B. über das Verhalten seines Vorgesetzten, über Mobbinghandlungen etc. In dem Fall besteht zwar eine gesetzliche Grundlage und damit das Recht der Verarbeitung schon aus § 85 BetrVG. Aber um sicherzugehen, kann es in solchen Fällen nicht schaden, sich zusätzlich die Einwilligung des Betroffenen einzuholen, dass die Informationen über die Beschwerde vom Betriebsrat verarbeitet werden.
Eine Arbeitnehmervertretung wird zu einem BEM-Verfahren hinzugezogen. In solchen Fällen ist nicht unbedingt klar, auf welcher Grundlage und in welchem Umfang die Beteiligung der Arbeitnehmervertretung es rechtfertig, womöglich sehr heikle Daten des Betroffenen zu verarbeiten (z. B. über seine gesundheitlichen Probleme). Auch in diesem Fall kann zur Sicherheit eine Einwilligung des Betroffenen eingeholt werden.

Der Betriebsrat sollte ein Formular vorrätig halten, in dem er für solche Fälle die Einwilligung des Betroffenen einholt. In diesem Formular muss aber der jeweilige Zweck („Behandlung der Beschwerde, Klärung im Betriebsrat und mit dem Arbeitgeber, ob die Beschwerde berechtigt ist und wie ihr ggf. abgeholfen werden kann“ bzw. „Begleitung und Unterstützung des Arbeitnehmers bei einem BEM-Verfahren, Wahrnehmung der Aufsichts- und Mitbestimmungsrecht bei Fragen des Gesundheitsschutzes und von Präventionsmaßnahmen“) ausdrücklich genannt sein.

Rechtsgrundlage und Zweckbestimmung

Wichtig ist, dass Zweckbestimmung und Rechtsgrundalge zueinander passen. Wenn man einen Zweck bestimmt hat, dann muss es für diesen Zweck auch eine Rechtsgrundlage geben. Und wenn man als Rechtsgrundlage ein Recht oder eine Pflicht der Arbeitnehmervertretung heranzieht, dann muss man natürlich auch in der Lage sein, die gesetzliche Pflicht oder den gesetzlichen Rechtsanspruch zu nennen, auf die man sich bei der Rechtsgrundlage und dem Zweck beruft.

Das sollte man sauber dokumentieren. Beispiel:

Art der Verarbeitung	Zweckbestimmung (en)	Rechtsgrundlage (n)	Gesetzliche Pflicht bzw. Rechtsanspruch des Betriebsrats
Kontrolle der Dienstpläne und der Ist-Arbeitszeiten	Prüfung, ob die Dienstpläne und die tatsächlichen Arbeitszeiten mit den Anforderungen des ArbZG, des MuSchG, des Tarifvertrags und der Betriebsvereinbarung über Arbeitszeiten übereinstimmen	§ 26 Abs. 1 BDSG Art. 6 Abs. 1 lit c DSGVO	Pflicht des Betriebsrats aus § 80 Abs. 1 Nr. 1 BetrVG („Überwachung der Durchführung von Schutzvorschriften“)
Prüfung der Anhörungsbogen über Einstellungen und Versetzungen, die der Betriebsrat vom Arbeitgeber erhält	Prüfung, ob Widerspruchsgründe gegen die personelle Maßnahme vorliegen, ggf. Zustimmung oder Begründung eines Widerspruchs	§ 26 Abs. 1 BDSG	Mitbestimmung bei personellen Einzelmaßnahmen gem. § 99 BetrVG
Einblick in die Bruttogehaltslisten	Prüfung, ob Tarifvertrag und Betriebsvereinbarung über ÜT-Vergütungen eingehalten werden; Prüfung, ob Gleichbehandlungsgrundsatz eingehalten wird; Prüfung, ob Mitbestimmungsrechte des Betriebsrats über Vergütungsfragen erfüllt sind	§ 26 Abs. 1 BDSG	Pflicht des Betriebsrats aus § 80 Abs. 1 Nr. 1 BetrVG („Überwachung der Durchführung von Schutzvorschriften“); ggf. Mitbestimmungspflichten aus § 87 Abs. 1 Nr. 10 und 11 BetrVG

Aus dieser Tabelle wird eins deutlich: „Art der Verarbeitung“ bedeutet nicht „Excel“ oder „Word“ oder „SQL-Datenbank“. Maßgeblich ist immer die sog. „Verarbeitungstätigkeit“, nicht das Werkzeug, mit dem sie erledigt wird. Datenschutz ist „technikneutral“. Das bedeutet, dass nicht die Technik der Ausgangspunkt für den Datenschutz ist, sondern die Aufgabe, die man mit der Verarbeitung lösen will – also der Zweck, den man damit erfüllen will. Die dafür dann eingesetzte Technik ist zweitrangig.

Begrenzung des Umfangs

Man muss sicherstellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck auch benötigt werden. Man sollte sich also überlegen, welche Daten man für welche Zwecke benötigt, und die Verarbeitung dann auf diesen Umfang beschränken. Vor allem sollte man keinesfalls nutzlose Daten verarbeiten oder gar aufbewahren. Das Argument „es könnte ja mal wichtig werden“ ist beim Datenschutz ganz schlecht. Wenn man die Zwecke nicht kennt, sondern nur vermutet, dass es vielleicht in ferner Zukunft mal einen Zweck geben könnte, für den personenbezogene Daten nützlich sein können, dann reicht das als Zweckbestimmung und Rechtsgrundlage für deren Verarbeitung nicht aus.

Wenn Sie die Tabelle aus dem Kapitel „Rechtsgrundlage und Zweckbestimmung“ und anschauen, dann sollten Sie in der Lage sein, für jeden Zweck auch ziemlich genau zu bestimmen, welche Daten Sie dafür benötigen.

In diesem Zusammenhang ist auch empfehlenswert, mal „Inventur“ zu machen, also die Schränke, Regale und Aktenordner durchzugehen, um zu schauen, welche Daten man noch aus der Vergangenheit aufbewahrt. Auch bei denen sollte man den Umfang begrenzen, sprich: nicht mehr benötigte personenbezogene Daten vernichten.

Löschung oder Anonymisierung

Wenn der Zweck der Verarbeitung erfüllt ist und es keinen weiteren Zweck gibt, dann braucht man die Daten auch nicht mehr. Und dann müssen sie gelöscht werden, oder zumindest muss der Personenbezug aus ihnen entfernt werden. So verlangen es Art. 5 Abs. 1 lit e und Art. 17 der DSGVO

Deshalb sollte eine Arbeitnehmervertretung sich Regeln dafür geben, wann sie personenbezogene Daten der Arbeitnehmer löscht. Für jeden Zweck, der in der Liste steht, die wir oben begonnen haben, lässt sich ja (mehr oder minder exakt) feststellen, wann er erfüllt ist:

Art der Verarbeitung	Zweckbestimmung(en)	Ist erfüllt…
Kontrolle der Dienstpläne und der Ist-Arbeitszeiten	Prüfung, ob die Dienstpläne und die tatsächlichen Arbeitszeiten mit den Anforderungen des ArbZG, des MuSchG, des Tarifvertrags und der Betriebsvereinbarung über Arbeitszeiten übereinstimmen	…wenn die Kontrolle erledigt ist. Sollten Verstöße festgestellt werden, kann man die ggf. in anonymisierter oder pseudonymisierter Form dokumentieren.
Prüfung der Anhörungsbogen über Einstellungen und Versetzungen, die der Betriebsrat vom Arbeitgeber erhält	Prüfung, ob Widerspruchsgründe gegen die personelle Maßnahme vorliegen, ggf. Zustimmung oder Begründung eines Widerspruchs	… wenn die Maßnahme entweder gem. Zustimmung durchgeführt wurde oder … wenn die Maßnahme aufgrund der Verweigerung der Zustimmung nicht durchgeführt wurde oder … wenn der Arbeitgeber die Zustimmungsersetzung beim Arbeitsgericht beantragt hat und darüber endgültig entschieden wurde.
Einblick in die Bruttogehaltslisten	Prüfung, ob Tarifvertrag und Betriebsvereinbarung über ÜT-Vergütungen eingehalten werden; Prüfung, ob Gleichbehandlungsgrundsatz eingehalten wird; Prüfung, ob Mitbestimmungsrechte des Betriebsrats über Vergütungsfragen erfüllt sind	… wenn der Grund, aus dem der Betriebsrat den Einblick genommen hat, erledigt ist.

Eine Arbeitnehmervertretung sollte sich also überlegen, welches die jeweils richtigen Zeitpunkte sind, zu denen sie die personenbezogenen Daten, die sie verarbeitet, nicht mehr benötigt. Und sie sollte sich dann einen Prozess ausdenken, mit dem sie sicherstellt, dass die Daten dann auch gelöscht werden. Das gilt übrigens nicht nur für Daten, die auf Speichermedien gespeichert sind, sondern auch für Daten, die in Papierform vorliegen.

Wenn ein betroffener Arbeitnehmer den Anspruch geltend macht, dass die ihn betreffenden personenbezogenen Daten gelöscht werden (Art. 17 DSGVO), muss man natürlich prüfen, ob er diesen Anspruch hat. Das ist in den meisten Fällen dann der Fall, wenn der Zweck, für den seine Daten verarbeitet wurden, erfüllt ist – und dann sollte man die Daten ja ohnehin gelöscht haben.

Wenn es aber zulässige Gründe dafür gibt, die Daten weiter vorzuhalten und auch keiner der anderen Gründe für einen Anspruch auf Löschung gem. Art. 17 Abs. 1 DSGVO erfüllt ist, hat der Betroffene keinen Anspruch auf die Löschung seiner Daten.

Integrität und Vertraulichkeit

Ein weiteres Prinzip des Datenschutzes ist, dass die Integrität und Vertraulichkeit bei der Verarbeitung personenbezogener Daten gewahrt werden müssen. Das bedeutet vor allem, dass sichergestellt werden muss, dass personenbezogene Daten nicht durch Unbefugte eingesehen, kopiert oder gar verändert oder gelöscht werden können.

Natürlich hat man als Arbeitnehmervertretung hier weniger Möglichkeiten, weil die Technik, die man nutzt, ja größtenteils vom Arbeitgeber bereitgestellt wird. Das Netzwerk, der Internetzugang, die Server etc. werden ja nicht von der Arbeitnehmervertretung betrieben, und deshalb kann man auch für deren Sicherheit nicht garantieren. Was man aber tun kann, ist sich dort Regeln zu geben, wo man selbst Einfluss hat. Das bedeutet z. B.:

dass man keinesfalls personenbezogene Daten an „ungesicherte Umgebungen“ übermittelt, z. B. den privaten E-Mail-Account von Mitgliedern oder eigene Geräte oder Speichermedien,
dass man keine eigenen Einrichtungen verwendet, die von Dienstleistern bereitgestellt werden wie externe Clouds oder E-Mail-Anbieter, um damit personenbezogene Daten zu verarbeiten,
dass man keine gemeinsamen Accounts für die Verarbeitung personenbezogener Daten verwendet – für jeden Nutzer eines Dienstes muss also jeweils ein eigener Account mit Benutzernamen und Kennwort verwendet werden.

Bei dieser Gelegenheit sei noch erwähnt: Es ist unbedingt davon abzuraten, dass eine Arbeitnehmervertretung externe Dienstleister, z. B. Cloud-Dienste oder E-Mail-Dienste nutzt. Sie müsste einen Vertrag gem. Art. 28 Abs. 3 DSGVO mit diesem Anbieter abschließen, und es ist schon fraglich, ob eine Arbeitnehmervertretung überhaupt befugt ist, mit externen Dienstleistern Verträge abzuschließen. Keinesfalls darf man solche externen Dienstleister nutzen, um mit ihren Diensten personenbezogene Daten zu verarbeiten! Schon die Mitteilung in die WhatsApp-Gruppe des Betriebsrats, dass Kollege Meier sich beschwert hat, dass bei Kollegin Müller ein BEM ansteht oder dass für Kollegen Schmidt schon wieder Überstunden beantragt wurden, aber auch interne Nachrichten, dass man z. B. an einer Sitzungsteilnahme verhindert ist, sind personenbezogene Daten!

Dokumentation

Unterstellt, der Betriebsrat ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, dann wäre er auch verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Was dort zu dokumentieren ist, steht in Art. 30 Abs. 1, die wichtigsten Angaben sind:

b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
[…] f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Art. 30 Abs. 1 DSGVO

Und wie der Zufall so spielt: Genau diese Angaben haben wir ja in der Tabelle, die wir oben begonnen und dann weitergeführt haben, zusammengetragen. Das Verzeichnis muss nicht veröffentlicht werden, aber man sollte intern sauber dokumentieren, für welche Zwecke (und auf welchen Rechtsgrundlagen) man personenbezogene Daten verarbeitet und wann man sie löscht.

Eine Weitergabe personenbezogener Daten durch eine Arbeitnehmervertretung an Dritte sollte nur sehr selten vorkommen. Wenn überhaupt, wird sie nur bei einer zulässigen Beteiligung Dritter in Betracht kommen, nämlich im Falle eines Rechtsstreits an den Rechtsanwalt, der die Arbeitnehmervertretung vertritt und das zuständige Gericht, und möglicherweise in Einzelfällen an einen Sachverständigen, der den Betriebsrat unterstützt. Auch das sollte man in der Tabelle noch ergänzen.

Transparenz

Ein ziemlich schwieriges Problem ist die Erfüllung der Transparenzpflichten gegenüber den Betroffenen, die in Art. 12 bis 15 der DSGVO bestimmt sind. Das Erste ist noch einfach: Man muss die Betroffenen grundsätzlich darüber informieren, zu welchen Zwecken, auf welcher Rechtsgrundlage welche Kategorien personenbezogener Daten verarbeitet werden. Das kann man z. B. durch Aushang am Schwarzen Brett oder auf der Intranet-Seite der Arbeitnehmervertretung tun.

Grundlage für diese Veröffentlichung kann die Tabelle sein, anhand derer man für sich selbst dokumentiert, welche Verarbeitungstätigkeiten die Arbeitnehmervertretung durchführt.

Schwieriger wird es, wenn ein Betroffener den Anspruch erhebt, eine Kopie der über ihn gespeicherten Daten zu erhalten (Art. 15 Abs. 3 DSGVO). Sollte dieser Fall eintreten, muss man in der Lage sein, zu liefern. Deshalb sollte die Arbeitnehmervertretung sich überlegen, wie sie in dem Fall vorgeht.

Auch hier ist natürlich eine sorgfältige Dokumentation hilfreich, und vor allem: Alles Löschen bzw. vernichten, was man nicht mehr benötigt – je weniger personenbezogene Daten man vorhält, desto weniger muss man heraussuchen, wenn wirklich einmal jemand den Anspruch auf eine Kopie seiner Daten erhebt.

Rechenschaftspflicht

Ausgehend von unserer Arbeitshypothese, dass eine Arbeitnehmervertretung durchaus Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sein kann, muss eine Arbeitnehmervertretung auch Art. 5 Abs. 2 der DSGVO berücksichtigen:

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 5 Abs. 2 DSGVO

Wenn die Arbeitnehmervertretung sauber dokumentiert hat,

für welche Zwecke sie personenbezogene Daten verarbeitet,
welche Daten sie für diese Zwecke verarbeitet,
auf welchen Rechtsgrundlagen (also vor allem Rechtsvorschriften) die Verarbeitung beruht,
dass sie keine personenbezogenen Daten ohne Zweckbestimmung und Rechtsgrundlage verarbeitet,
wann sie die Daten löscht, anonymisiert oder pseudonymisiert,
wie sie sicherstellt, dass die Betroffenen informiert werden,
wie sie auch durch geeignete technische und organisatorische Maßnahmen den Datenschutz gewährleistet

dann sollte sie davon ausgehen können, dass sie die Rechenschaftspflichten erfüllt hat. Es kann ja auch nichts schaden, sich mit dem betrieblichen Datenschutzbeauftragten abzustimmen, ob er der Auffassung ist, dass das einer kritischen Prüfung standhält – sofern man gewillt ist, mit dem betrieblichen Datenschutzbeauftragten zusammenzuarbeiten.

Man sollte in die bestehende Geschäftsordnung eine Passage über die Einhaltung des Datenschutzes im Gremium aufnehmen, oder eine zusätzliche Geschäftsordnung zu diesem Thema beschließen. Dadurch stellt man sicher, dass die Mitglieder auch zur Einhaltung der Datenschutzbestimmungen verpflichtet werden.

Weitere Pflichten

Es gibt noch einige weitere Pflichten, auf die ich hier im Detail nicht weiter eingehe, die man aber auch im Hinterkopf behalten sollte, z. B.:

Wenn man als Verantwortlicher einen „Datenschutzverstoß“ feststellt, z. B. weil jemand unbefugt bzw. unzulässigerweise personenbezogene Daten an andere weitergegeben hat oder darauf unbefugt zugegriffen wurde, muss man die Aufsichtsbehörde und die Betroffenen informieren. Wie man das sicherstellt, sollte geklärt werden – ggf. zusammen mit dem betrieblichen Datenschutzbeauftragten und dem Arbeitgeber.
besteht sogar die Pflicht, einen eigenen Datenschutzbeauftragten für die Arbeitnehmervertretung zu bestellen – zumindest sieht Art. 37 DSGVO dies unter bestimmten Voraussetzungen vor. § 38 BDSG stellt strengere Anforderungen auf, die jedoch nur für „nichtöffentliche Stellen“ gelten – und das ist ein Betriebsrat ja in keinem Fall, weil er keine natürliche oder juristische Person ist. In jedem Fall sollte man im Gremium eine Person benennen, die sich um Fragen des Datenschutzes kümmert und Ansprechpartner für Fragen des Datenschutzes ist – ob man diese Funktion „Datenschutzbeauftragten“, „Datenschutzkoordinator“ oder „Datenschutz-Ansprechpartner“ nennt, ist ja letztlich egal. Man sollte allerdings in einer Geschäftsordnung regeln, welche Befugnisse und Aufgaben diese Rolle mit sich bringt.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Datenschutz in der Arbeitnehmervertretung

Pflichten der Arbeitnehmervertretung beim Datenschutz