Zum Inhalt springen
Home » Datenschutz-News » Welche Pflichten treffen den Betriebsrat?

Welche Pflichten treffen den Betriebsrat?

Im Spannungsverhältnis zwischen Datenschutz und Betriebsverfassungsgesetz

Lange Zeit war die Frage umstritten, ob der Betriebsrat selbst für die Umsetzung des Datenschutzes zuständig ist, oder der Arbeitgeber. Im Grundsatz wurde dies durch die Einführung des § 79 a Betriebsverfassungsgesetz (BetrVG) geklärt. Allerdings stellt die Regelung, wie könnte es anders sein, nicht das Ende aller Fragen und Unklarheiten, insbesondere Abgrenzungsprobleme, dar. 

Was regelt § 79a BetrVG?

Solange der Betriebsrat personenbezogene Daten im Rahmen seiner gesetzlichen Aufgabenwahrnehmung verarbeitet, ist grundsätzlich der Arbeitgeber Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO). Dies bedeutet aber auch, dass der betriebliche Datenschutzbeauftragte den Betriebsrat prüfen kann, ob dieser auch die erforderlichen datenschutzrechtlichen Anforderungen erfüllt.

Wechselseitige Unterstützung

Allerdings kann sich der Betriebsrat in Hinblick auf den Datenschutz jetzt nicht einfach zurückziehen. Die Regelung des § 79a BetrVG sieht in diesem Zusammenhang insbesondere wechselseitige Unterstützungspflichten vor. Betriebsrat und Arbeitgeber müssen sich somit gegenseitig helfen, die bestehenden datenschutzrechtlichen Pflichten umzusetzen. In diesem Zusammenhang muss der Betriebsrat selbst über ein entsprechendes Datenschutzkonzept verfügen.

2 Stufen als Hürde für Datenübermittlung

Dies ist insbesondere für den Fall einer verlangten Datenübermittlung durch den Arbeitgebervertreter an den Betriebsrat relevant. Der Arbeitgeber darf in diesem Zusammenhang personenbezogene Daten nur herausgeben, wenn das Verlangen auf die betriebsverfassungsrechtliche Aufgabenwahrnehmung gestützt wird und der Betriebsrat ein wirksames Datenschutzkonzept, also angemessene und spezifische Schutzmaßnahmen für die Daten nachweisen kann. Erst dann müssen die geforderten Daten herausgegeben werden.

Eigene Haftung des Betriebsrats

Durch die Vorschrift des § 79 a BetrVG ist der Betriebsrat jedoch nicht von sämtlicher datenschutzrechtlicher Verantwortlichkeit entlastet. Wird der Betriebsrat außerhalb seiner Zuständigkeit tätig, werden der jeweils handelnden Betriebsrat selbst Verantwortliche im Sinne der DSGVO, und damit möglichen Ansprüchen ausgesetzt. Der Betriebsrat kann sich dann nicht mehr auf die Verantwortlichkeit des Arbeitgebers berufen.

Vereinbarung zwischen BR und Arbeitgeber

Um Klarheit zu den wechselseitigen Unterstützungspflichten von Betriebsrat und Arbeitgeber zu haben, sollten die Betriebsparteien eine entsprechende Vereinbarung  schließen. Diese sollte insbesondere die folgenden Punkte berücksichtigen:

  • Technische und organisatorische Maßnahmen
  • Verzeichnis der Verarbeitungstätigkeiten
  • Eigenes Löschkonzept
  • Regelung zur Ausstattung des BR sowie zu regelmäßigen Schulungen
  • Meldepflichten bei Datenpannen
  • Ausgestaltung der Unterstützungspflichten

Bei Rückfragen beraten wir Sie gerne! 

Bildnachweis für diesen Beitrag © metamorworks– stock. adobe. com