Datenschutz: Wann Betriebsräte mitbestimmen können
Antworten auf die häufigsten Fragen von Betriebsräten im Umgang mit Datenschutzregeln. Von Marlene Schmidt, Fachanwältin für Arbeitsrecht
Kann der Betriebsrat den Arbeitgeber zwingen, eine Betriebsvereinbarung zum Datenschutz abzuschließen?
Er kann den Arbeitgeber nicht zwingen, den Datenschutz im Unternehmen umfassend in einer Betriebsvereinbarung zu regeln, oder dies durch die Einigungsstelle durchsetzen. Denn dazu fehlt im Betriebsverfassungsgesetz (BetrVG) bisher ein zwingendes Mitbestimmungsrecht beim Datenschutz. Freiwillige Vereinbarungen sind natürlich möglich.
Hat der Betriebsrat trotzdem eine Möglichkeit, seinen Einfluss geltend zu machen?
Ja, aber eingeschränkt. Denn der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung von technischen Systemen, die zur Überwachung der Beschäftigten geeignet sind – das regelt Paragraf 87 des BetrVG. Dank dieser Norm bestimmt der Betriebsrat bei bestimmten Datenschutzfragen doch zwingend mit. In der Praxis betrifft das meist den Einsatz und die Nutzung von Software, mit der personenbezogene Daten verarbeitet werden. Die pauschale Behauptung, der Betriebsrat habe beim Datenschutz kein Mitbestimmungsrecht, stimmt also nicht.
Worauf müssen Betriebsräte achten, wenn sie Betriebsvereinbarungen zum Datenschutz abschließen?
Arbeitgeber und Betriebsrat müssen dabei höherrangiges Recht beachten, vor allem die Datenschutzgrundverordnung (DSGVO). Besonders wichtig sind Artikel 5, 6 und 9 DSGVO. Sie regeln die Grundsätze der Verarbeitung personenbezogener Daten und enthalten Vorschriften zu besonders sensiblen Daten wie ethnische Herkunft oder Gewerkschaftszugehörigkeit.
Welche Regeln gelten?
Personenbezogene Daten müssen nach Artikel 5 DSGVO unter anderem zweckgebunden und datenminimiert verarbeitet werden. Das bedeutet, die Verarbeitung muss sich auf das für die verfolgten Zwecke notwendige Maß beschränken. Wenn Arbeitgeber und Betriebsrat Vereinbarungen für ein IT-System treffen, schaffen sie zugleich auch Kollektivvereinbarungen. Diese sind ausdrücklich zugelassen, müssen aber laut DSGVO bestimmte Mindestanforderungen erfüllen.
Kann eine Betriebsvereinbarung die Verarbeitung personenbezogener Daten erlauben?
Wann eine Verarbeitung von Daten rechtmäßig ist, bestimmt ausschließlich die DSGVO in Artikel 6. Beispielsweise muss eine Einwilligung der betroffenen Person vorliegen, oder die Verarbeitung der Daten muss zur Erfüllung einer rechtlichen Verpflichtung notwendig sein, der der Arbeitgeber unterliegt. Noch nicht entschieden ist, ob eine solche rechtliche Verpflichtung auch aus einer Betriebsvereinbarung resultieren kann.
Wann kann der Betriebsrat vom Arbeitgeber Auskunft über personenbezogene Daten verlangen?
Auskunft über personenbezogene Daten kann der Betriebsrat immer dann verlangen, wenn das BetrVG ein entsprechendes Recht begründet und die verlangten Daten zur Erfüllung dieses Rechts erforderlich sind. Das BetrVG regelt das allgemeine Auskunftsrecht des Betriebsrats, um seine Aufgaben wahrzunehmen, etwa um ein zum Schutz von Beschäftigten geltendes Recht zu überwachen. So besteht zum Beispiel ein Recht auf Auskunft über die Namen schwerbehinderter Beschäftigter im Betrieb.
Wann dürfen Daten von Beschäftigten vor Gericht verarbeitet werden?
Auch die Datenverarbeitung vor Gericht unterliegt den Vorschriften der DSGVO. Sie ist rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die in Ausübung öffentlicher Gewalt erfolgt. Zwar dürfen Daten grundsätzlich nicht für einen anderen Zweck weiterverarbeitet werden als für den, für den sie erhoben wurden, doch die DSGVO formuliert eine Ausnahme: Voraussetzung ist, dass die Verarbeitung zu einem anderen Zweck auf dem Recht eines Mitgliedstaates beruht und eine notwendige und verhältnismäßige Maßnahme zum Schutz anderer Ziele wie der Durchsetzung zivilrechtlicher Ansprüche darstellt.
Was droht Betriebsräten, die in ihrem Ehrenamt Datenschutzrecht verletzen?
Wer als Betriebsratsmitglied im Ehrenamt Datenschutzregeln verletzt, kann nach dem BetrVG aus dem Gremium ausgeschlossen werden, aber nur bei Vorliegen einer groben Pflichtverletzung. Eine solche grobe Pflichtverletzung liegt vor, wenn ein Betriebsratsvorsitzender sich beispielsweise eine betriebliche Gehaltsliste aus Bequemlichkeitsgründen auf den privaten Rechner schickt. Die Norm aus dem BetrVG greift jedoch nur dann, wenn tatsächlich eine Pflicht aus dem BetrVG zum Datenschutz im Betrieb verletzt wurde. Unabhängig davon kann ein Datenschutzverstoß auch eine Verletzung arbeitsvertraglicher Pflichten sein und damit, je nach Schwere des Verstoßes, ein Grund für eine fristlose Kündigung.
Marlene Schmidt arbeitet als Fachanwältin für Arbeitsrecht in der Kanzlei Apitzsch Schmidt, sie ist außerplanmäßige Professorin an der Goethe- Universität Frankfurt am Main und leitet das Beratungsgremium des Hugo Sinzheimer Instituts.
Einen ausführlichen Vortrag zum Thema Datenschutz und Betriebsverfassung hält sie auf dem 15. Hans-Böckler-Forum zum Arbeits- und Sozialrecht am 26. und 27. Februar in Berlin. Darin geht sie auf aktuelle Entwicklungen im deutschen und europäischen Recht ein. Der Vortrag findet am Donnerstag, 26. Februar, von 12 bis 13 Uhr statt. Die Veranstaltung kann nach einer Anmeldung über die Veranstaltungsseite online angeschaut werden (mit Ausnahme der Foren am Nachmittag des ersten Tages). Mehr zur Veranstaltung und zu weiteren interessanten Gästen gibt es auf der Seite der Hans-Böckler-Stiftung: 15. Hans-Böckler-Forum zum Arbeits- und Sozialrecht – Hans-Böckler-Stiftung
