Kathleen Kunst
Kathleen Kunst
 Fachanwältin für Arbeitsrecht, Partnerin der Kanzlei Dr. Jula & Partner mbB
Beschäftigtendatenschutz: Pflichten Betriebsrat und Arbeitgeber
Bild: mauritius images / imageBROKER / Werner Bachmeier Auch der Betriebsrat muss den Datenschutz einhalten und der Arbeitgeber ist zur Dokumentation und Information der Beschäftigten verpflichtet.

Neben dem Arbeitgeber ist auch der Betriebsrat zur Beachtung des Beschäftigtendatenschutzes verpflichtet. Der Arbeitgeber muss jede Datenverarbeitung dokumentieren und die Beschäftigten darüber informieren.

Datenverarbeitung durch den Betriebsrat

Seit dem 18.6.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft und mit ihm der neue § 79a BetrVG, der das Verhältnis Betriebsrat – Arbeitgeber – Datenschutz regelt. Für den Datenschutz verantwortliche Stelle im Betrieb ist danach allein der Arbeitgeber. Nur ihn trifft somit z.B. die Pflicht ein Verarbeitungsverzeichnis zu führen, Auskunftsansprüche zu beantworten oder Datenschutzverletzungen an die Behörde zu melden.

Der Betriebsrat muss ebenfalls den Datenschutz einhalten, wenn auch nicht als Verantwortlicher. D.h. auch der Betriebsrat muss sehr bedacht und sparsam mit personenbezogenen Daten der Mitarbeiter umgehen und darf sie nur in Erfüllung seiner Aufgaben verarbeiten. Er muss diese Daten durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff schützen und Regeln für den Erhebungs-, Aufbewahrungs- und Löschungsprozess einhalten. Tut er dies nicht, könnte ihm der Arbeitgeber z.B. die Datenweitergabe verweigern, schon allein um sein eigenes Haftungsrisiko zu verringern.

Arbeitgeber und Betriebsrat sollen sich bei der Einhaltung datenschutzrechtlicher Vorschriften gegenseitig unterstützen, so § 79a S. 3 BetrVG. Betriebsräte und Arbeitgeber sind insbesondere gehalten, für datenschutzkonforme Betriebs- und Dienstvereinbarungen zu sorgen.

Umfassende Dokumentations- und Informationspflichten beim Beschäftigtendatenschutz

Zu jeder Datenverarbeitung trifft den Arbeitgeber eine Dokumentations- und Informationspflicht. Er muss den Mitarbeitern mitteilen, welche ihn betreffenden Daten von wem zu welchem Zweck verarbeitet werden, das Ganze in präziser und verständlicher Weise (Art. 12–14 DSGVO). Der Umfang hängt von Art und Umfang der Unternehmenstätigkeit und den jeweiligen Datenverarbeitungsprozessen ab.

Zudem muss über Betroffenenrechte wie Auskunft, Berichtigung oder Löschung aufgeklärt werden sowie über das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

Arbeitgeber müssen gegenüber ihren Beschäftigten i.d.R. Folgendes angeben:

  • Name, Anschrift und Kontaktdaten, Vertretungsverhältnisse des Arbeitgebers
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitete Datenkategorien:
    • Personalstammdaten
    • Kontaktdaten
    • Entgeltdaten
    • Bankdaten
    • Sozialversicherungsdaten
    • Steuerdaten
    • Gesundheitsdaten
    • ggf. Reisedaten
    • ggf. bei der Nutzung betrieblicher IT-Systeme anfallende Protokolldaten
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung:
    • Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b) DSGVO i.V.m. § 26 Abs. 1 BDSG
    • Erfüllung gesetzlicher Verpflichtungen als Arbeitgeber, Art. 6 Abs. 1 lit. c) DSGVO i.V.m. Vorschriften insbesondere aus Sozialgesetzbuch IV (SGB IV), Einkommensteuergesetz (EStG), Lohnsteuerdurchführungsverordnung (LStDV), Arbeitszeitgesetz (ArbZG)
    • Kollektivvereinbarungen, Art. 88 Abs. 1 u. 2 DSGVO, § 26 Abs. 4 BDSG
  • Empfänger der personenbezogenen Daten:
    • Mitarbeiter der Personalabteilung
    • Vorgesetzte (soweit Datenzugriff zur Aufgabenerfüllung erforderlich)
    • Sozialversicherungsträger
    • Steuerbehörden
  • Speicherdauer
    • Löschung der Daten, sobald die Speicherung zur Erreichung des Zwecks der Datenverarbeitung nicht mehr erforderlich ist und keine gesetzliche Aufbewahrungspflicht eingreift
    • Aufbewahrungsfristen bis zu 10 Jahren (z. B. für steuerlich relevante Buchungsbelege, § 147 AO)
  • Betroffenenrechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) der personenbezogenen Daten und Recht auf Herausgabe der bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
  • Recht, sich mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde zu wenden (Art. 77 DSGVO).

Die Worte müssen selbstredend in die Tat umgesetzt sein, v.a. durch stetig überwachte, sichere Datensysteme und -prozesse, die verhindern, dass Daten verloren gehen oder in die Hände Unberechtigter fallen.

Den Arbeitgeber trifft insoweit eine umfassende, jederzeit abrufbare Rechenschaftspflicht. Damit verknüpft ist die Beweislast des Arbeitgebers für die Einhaltung der Datenschutzmaßnahmen.

Schlagworte zum Thema:  Beschäftigtendatenschutz, Compliance
Meistgelesene beiträge
Neueste beiträge