Datenschutz im kollektiven ... / 2 Beispiele für Abstimmungsbedarf zwischen Arbeitgeber und Betriebsrat bei der Umsetzung der DSGVO

Aufgrund des vorstehend beschriebenen Konflikts sowie der bestehenden rechtlichen Unsicherheiten bei der Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat sind die Betriebsparteien grundsätzlich gut beraten, wenn sie die Verteilung der Verantwortung für den Datenschutz sowie entsprechende Prozesse gemeinsam in einer eigenständigen Betriebsvereinbarung regeln (zu weiteren Vorteilen von Betriebsvereinbarungen s. unten, Abschn. 4).

Eine explizite Regelung der offenen Fragen ist dabei im Interesse beider Seiten. In der Beratungspraxis sollte dies von vornherein klargestellt werden, um effiziente und lösungsorientierte Gespräche und Verhandlungen zu gewährleisten. Nur durch eine vertrauensvolle Zusammenarbeit können Arbeitgeber und Betriebsrat ihrer gemeinsamen Verantwortung für die Umsetzung unterschiedlicher Vorgaben der DSGVO und den neuen BDSG gerecht werden.

Nachfolgend werden einige Brennpunkte dargestellt, bei denen eine Vereinbarung bzw. eine abgestimmte Vorgehensweise zwischen Arbeitgeberseite und Interessenvertretungen besonders hilfreich sein kann.

2.1 Verarbeitungsverzeichnis

Ein Erfordernis der Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bzw. ein Regelungsbedürfnis für eine trennscharfe Abgrenzung der Verantwortungsbereiche besteht zunächst mit Blick auf das nach Art. 30 DSGVO zu erstellende Verarbeitungsverzeichnis.

Nach Art. 30 Abs. 1 Satz 1 DSGVO ist grundsätzlich jeder Verantwortliche dazu verpflichtet (Ausnahme Abs. 5: weniger als 250 Mitarbeiter und risikoarme Verarbeitung), ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Dieses Verzeichnis enthält die in Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Pflichtangaben, u. a. die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, etc. erste aufsichtsbehördliche Muster verdeutlichen den Aufwand, der mit der Erstellung und fortlaufenden Pflege dieses Verzeichnisses verbunden ist.[1] Die in laufenden Umsetzungsprojekten gesammelten Erfahrungen zeigen, dass hier eine entsprechend gestaltete Datenbank oder eine Legal-Tech-Anwendung eine praxisgerechte Lösung zur Erfüllung der rechtlichen Anforderungen an ein Verarbeitungsverzeichnis bieten können.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).[2] Wird das Verarbeitungsverzeichnis pflichtwidrig nicht oder nicht ordnungsgemäß geführt, drohen den Verantwortlichen nach Art. 83 Abs. 4 Buchst. a DSGVO erhebliche Bußgelder.[3]

Der Arbeitgeber hat daher ein hohes Interesse daran, ein vollständiges und korrekt geführtes Verarbeitungsverzeichnis zu erstellen und zu pflegen. Ein Blick auf die Pflichtinhalte nach Art. 30 Abs. 1 Satz 1 DSGVO macht deutlich, dass er ohne Unterstützung seitens des Betriebsrats nicht die vom Betriebsrat durchgeführten Datenverarbeitungen wie vom Gesetz verlangt dokumentieren kann. Daher sollte hier der Betriebsrat in die Pflicht genommen werden, indem er entweder für seinen Bereich selbstständig ein entsprechendes Verzeichnis führt oder indem Prozesse vereinbart werden, inwiefern der Betriebsrat den für die Erstellung und Pflege des Verzeichnisses zuständigen Stellen des Arbeitgebers die notwendigen Informationen zuliefert.

[1] Ein hilfreiches Muster mit ausführlichen Erläuterungen bietet auch der Verband Bitkom, abrufbar unter https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf.
[2] Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapier Nr. 1 Verzeichnis von Verarbeitungstätigkeiten –Art. 30 DS-GVO, abrufbar unter https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf.
[3] Klug, in: Gola, DSGVO, 2017, Art. 30 Rn. 16.

2.2 Datenschutz-Folgenabschätzung

Ähnlich wie beim Verarbeitungsverzeichnis kann eine Mitwirkung des Betriebsrats auch bei der nach Art. 35 DSGVO erforderlichen Datenschutz-Folgenabschätzung zweckmäßig sein, soweit es um die Verarbeitung personenbezogener Daten von Arbeitnehmern geht. Zwar werden Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG im Rahmen einer Datenschutz-Folgenabschätzung in der Regel nicht einschlägig sein. Denn grundsätzlich beziehen sich die im Rahmen von Art. 35 DSGVO vorzunehmenden Wertungen auf die abstrakte Frage der Zulässigkeit von Datenverarbeitungen und nicht auf die konkrete Darstellung einzelner personenbezogener Daten. Allerdings sollte der Arbeitgeber dem Betriebsrat im Rahmen der vertrauensvollen Zusammenarbeit anbieten, bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen. Hierfür kann der Arbeitgeber dem Betriebsrat z. B. die im Unternehmen im Rahmen von DSGVO-Umsetzungsprojekten ...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge