Zusammenfassung

 
Überblick

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch relevante Rechtsfragen weiterhin nicht abschließend geklärt sind und die Betriebsparteien nicht selten im Umgang mit den Anforderungen des gesetzlichen Datenschutzes vor komplexen Aufgaben stehen. Ein klassisches Problem bei der Herstellung von Compliance mit Blick auf das Datenschutzrecht stellt erfahrungsgemäß der Datenschutz im Schnittfeld zur Betriebsratstätigkeit dar. Hier greift seit Juni 2021 die Regelung des neuen § 79a Betriebsverfassungsgesetz (BetrVG).

Der nachfolgende Beitrag zeigt die rechtlichen Grundsätze auf, nach denen sich die Verteilung der Verantwortlichkeit zwischen Arbeitgeber und Interessenvertretungen richtet. Um rechtliche Unsicherheiten in der Praxis zu minimieren, setzen viele Unternehmen auf den Abschluss von (Rahmen-)Betriebsvereinbarungen zum Datenschutz. Die aktuelle Rechtsentwicklung bestätigt, dass den Betriebsparteien auch hierbei rechtliche Grenzen gesetzt sind.[1] Der Beitrag[2] verdeutlicht dabei die unterschiedlichen Funktionen solcher Betriebsvereinbarungen und zeigt anhand von Praxisbeispielen, welche Bausteine sich bewährt haben und weshalb sie – trotz in der Praxis verbleibender Rechtsunsicherheit in Detailfragen – weiterhin sinnvoll sind.

 
Gesetze, Vorschriften und Rechtsprechung

Die EU- Datenschutz-Grundverordnung (DSGVO)[3] trat am 20. Tag nach der Veröffentlichung in Kraft und wurde nach einer 2-jährigen Umsetzungsfrist am 25.5.2018 geltendes Recht.

Das Bundesdatenschutzgesetz (BDSG)[4] ist zeitgleich am 25.5.2018 in Kraft getreten.

Das Betriebsrätemodernisierungsgesetz[5] ist am 18.6.2021 mit dem § 79a BetrVG in Kraft getreten, der die datenschutzrechtliche Verantwortlichkeit im Verhältnis von Arbeitgeber und Betriebsrat festlegt.

[1] Vgl. etwa den Vorlagebeschluss des BAG v. 22.9.2022, 8 AZR 209/21 (A) zu zahlreichen Rechtsfragen rund um den zentralen § 26 Abs. 4 BDSG.
[2] Der Beitrag beruht teilweise auf früheren Veröffentlichungen: Insbesondere des Autors Dr. Stephan Pötters.
[3] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 94/46/EG (Datenschutz-Grundverordnung), veröffentlicht im Amtsblatt der Europäischen Union vom 4.5.2016, L 119/1.
[4] Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU) v. 30.6.2017, BGBl 2017 I S. 2097 ff.
[5] Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt v. 14.6.2021, BGBl 2021 I S. 1762.

1 Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat

Adressat des alten wie des seit 2018 geltenden Datenschutzrechts ist der "Verantwortliche"[1], also etwa eine juristische Person, die personenbezogene Daten verarbeitet. Der Verantwortliche ist u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte.[2] Er muss die Einhaltung des Datenschutzes nachweisen[3] und für Verstöße geradestehen, denn Schadensersatzansprüche von Betroffenen[4] und – mit der DSGVO massiv erhöhte – Bußgelder seitens der Aufsichtsbehörden[5] richten sich primär und unmittelbar gegen den Verantwortlichen.[6] Daneben kommt jedenfalls im deutschen Ordnungswidrigkeitenrecht auch stets eine Haftung der einzelnen handelnden Person in Betracht.

Der für die Systematik des Datenschutzrechts zentrale Begriff des "Verantwortlichen" soll zunächst näher erörtert werden, um die Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat aufzuzeigen.

[1] Leicht abweichend war bisher die Terminologie im nationalen BDSG, das von "verantwortlicher Stelle" (§ 3 Abs. 7 BDSG a. F.) sprach. Die Datenschutz-Richtlinie 95/46/EG hat hingegen – wie nun die DSGVO – den Begriff "Verantwortlicher" verwendet.
[6] Vgl. hierzu auch den nach § 14 OWiG für Deutschland geltenden Einheitstäterbegriff.

1.1 "Verantwortlicher" im Sinne des Datenschutzrechts

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".

Nach dieser Definition ist jedenfalls der Arbeitgeber selbst als juristische Person Adressat des Datenschutzrechts für alle im Unternehmen stattfindenden Verarbeitungen personenbezogener Daten.[1] Eine allgemeine und pauschale "Konzernverantwortung", also eine Verantwortlichkeit des herrschenden Unternehmens eines Konzerns, für alle Ve...

Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?


Meistgelesene beiträge