Nach Art. 15 DSGVO hat der Verantwortliche einer betroffenen Person Auskunft darüber zu geben, ob und welche personenbezogenen Daten über sie verarbeitet werden. Unter datenschutzrechtlicher Betrachtung war bisher strittig, ob gegen den Betriebsrat Auskunftsrechte geltend gemacht werden können. Die Folgen wären weitreichend. Betriebsrat als Verantwortlicher Art. 15 DSGVO verpflichtet den Verantwortlichen zur Auskunft über die verarbeiteten personenbezogenen Daten, wenn die betroffene Person das ihr zustehende Recht auf Auskunft geltend macht. Verantwortlicher ist hierbei gemäß Art. 4 Nr. 7 DSGVO jede juristische oder natürliche Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit einem anderen über die Mittel und Zwecke der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage, ob der Betriebsrat auskunftspflichtig ist, lässt sich also nur über die Frage beantworten, ob der Betriebsrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sein kann. Die Argumente Nach der bisherigen Rechtsprechung des BAG war der Betriebsrat nicht als eigene verantwortliche Stelle, sondern als Teil des Arbeitgebers zu sehen (BAG v. 7.2.2012- 1 ABR 46/10). Auskunftsansprüche konnten somit nur gegen den Arbeitgeber geltend gemacht werden, der die Anforderung für den Betriebsrat erfüllt hat. Mit Inkrafttreten der DSGVO am 25.05.2018 ist die Frage nach der datenschutzrechtlichen Verantwortung von Betriebsräten auf Grund des neuen rechtlichen Rahmens erneut aufgeworfen worden. Insbesondere die Festlegung von Mittel und Zweck durch den Betriebsrat steht in Frage. Eine Auffassung vertritt, dass der Betriebsrat gerade nicht die eigenen Mittel und Zwecke für die Datenverarbeitung festlege. Zum einen nutze der Betriebsrat die gesamte Infrastruktur des Arbeitgebers mit, er habe daher wenig eigenen Einfluss auf die Mittel, die zur Datenverarbeitung genutzt werden. Zum anderen lege der Betriebsrat gerade nicht oder nur eingeschränkt die eigenen Zwecke fest. Vielmehr bestimme das Betriebsverfassungsgesetz durch die darin zugewiesenen Aufgaben, für welche Zwecke der Betriebsrat personenbezogene Daten verarbeiten dürfe. Der Landesdatenschutzbeauftragte von Baden-Württemberg (= LfDI BW) hat sowohl im 34. Tätigkeitsbericht aus dem Januar 2019 als auch anschließend nochmals auf unsere schriftliche Anfrage hin als erster Landesdatenschutzbeauftragter unter der DSGVO ausdrücklich Stellung dazu genommen, ob der Betriebsrat eigener Verantwortlicher sein kann und beantwortet diese Frage eindeutig mit „Ja!“. So gesteht der LfDI dem Betriebsrat eine eigene Entscheidungsmacht in der Wahl zwischen der von ihm zur Verfügung gestellten Mitteln zu. Er unterstützt zwar die Ansicht, dass die Mittel vom Arbeitgeber vorgegeben werden, jedoch entscheide der Betriebsrat selbst, welches der zur Verfügung gestellten Mittel zur Datenverarbeitung genutzt werde (z.B. eine Excel-Liste statt einer handschriftlichen Liste von Mitarbeiterdaten). Und auch die Zweckbindung durch das Betriebsverfassungsgesetz sei nicht überzeugend, da auch zahlreiche andere Gesetze Vorgaben beinhalten, die an einer Verantwortlichkeit nichts zu ändern vermögen. Mit dieser Ansicht dürfte der LfDI BW nicht alleine sein. Unter Aufsichtsbehörden mehrt sich die Meinung, dass sich eine Verantwortlichkeit von Betriebsräten ergebe. Folgen der Verantwortlichkeit des Betriebsrats Die Ansicht des LfDI BW ist weitreichend, hätte doch die Annahme einer Verantwortlichkeit des Betriebsrats weitreichende datenschutzrechtliche Folgen. So müsste der Betriebsrat in den meisten Fällen wohl einen eigenen Datenschutzbeauftragten bestellen, da er sich der Kontrolle des vom Arbeitgeber benannten betrieblichen Datenschutzbeauftragten entzieht. Auch das BAG schreibt dem betrieblichen Datenschutzbeauftragten keine Kontrollkompetenz zu, sei dieser doch „verlängerter Arm“ des Arbeitgebers. Zudem hätte der Betriebsrat neben der Auskunftspflicht nach Art. 15 DSGVO auch die Pflicht Löschersuchen nachzukommen. Deren Durchsetzung verlangt ggf. einen Zugriff auf die Infrastruktur des Arbeitgebers, für die der Betriebsrat keine Zugriffskompetenz hat. Unvermeidlich ist daher die Frage, ob der Arbeitgeber dann Daten im Auftrag des Betriebsrates verarbeitet und daher eine Vereinbarung zur Verarbeitung personenbezogener Daten notwendig ist. Schließlich müsste der Betriebsrat bei Datenschutzverstößen selbst in die Haftung gehen. Hier besteht noch Klärungsbedarf, inwieweit der Betriebsrat rechts- und vermögensfähig sein kann. Fazit Insbesondere hinsichtlich des letzten Aspekts dürfte fraglich sein, ob sich die rechtliche Folge mit der Ausübung der Tätigkeit als Betriebsrat vereinbaren lässt. Die Lösung der rechtlichen Folgen lässt auch der LfDI BW offen und verweist darauf, dass gerichtliche Entscheidungen zur abschließenden Klärung der Fragen notwendig sind. Bis dahin ist es ratsam, zumindest als in Baden-Württemberg tätiger Betriebsrat, der Ansicht des LfDI BW zu folgen, eine eigene Verantwortlichkeit von Betriebsräten anzunehmen und - um Bußgelder zu vermeiden - die Folgen der Verantwortlichkeit des Betriebsrats umzusetzen (Benennung eines Datenschutzbeauftragten, Umsetzung der Auskunfts- und Löschpflichten, etc.). Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen Fachnews vom 07. Juni 2023 Datenschutz Das Verbandbuch und der Datenschutz Die erforderliche Aufzeichnung geleisteter Erste-Hilfe-Maßnahmen in Unternehmen, Behörden, Kindertageseinrichtungen und in Schulen erfolgen in der Praxis meist in sogenannten Verbandbüchern. Wie sind diese Aufzeichnungen datenschutzrechtlich zu bewerten und was gilt es bei der Organisation der … Weiterlesen … Das Verbandbuch und der Datenschutz Fachnews vom 16. Mai 2023 Datenschutz Die Revision der ISO/IEC 27001:2022 und der Datenschutz Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, ab und rückt den Datenschutz stärker in den Fokus. Weiterlesen … Die Revision der ISO/IEC 27001:2022 und der Datenschutz < >
