Datenschutz im kollektiven Arbeitsrecht nach DSGVO und BDSG

Zusammenfassung

 

Überblick

Die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) lösen das derzeit noch geltende Datenschutzrecht am 25.5.2018 ab. Die meisten Unternehmen haben hierauf schon seit geraumer Zeit reagiert und Projekte zur Umsetzung der neuen Vorgaben begonnen. Die Beratungspraxis zeigt, dass Unternehmen bei der Durchführung solcher DSGVO-Implementierungsprojekte sehr unterschiedliche Fortschritte erzielt haben. Ein klassisches Problem bei der Herstellung von Compliance mit Blick auf das neue Datenschutzrecht stellt dabei erfahrungsgemäß der Datenschutz im Schnittfeld zur Betriebsratstätigkeit dar.

Der nachfolgende Beitrag zeigt die rechtlichen Grundsätze auf, nach denen sich die Verteilung der Verantwortlichkeit zwischen Arbeitgeber und Interessenvertretungen richtet. Um verbleibende rechtliche Unsicherheiten zu minimieren, setzen viele Unternehmen auf den Abschluss von (Rahmen-) Betriebsvereinbarungen zum Datenschutz. Der Beitrag[1] verdeutlicht dabei die unterschiedlichen Funktionen solcher Betriebsvereinbarungen und zeigt anhand von Praxisbeispielen, welche Bausteine sich in der Praxis bewährt haben.

 

Gesetze, Vorschriften und Rechtsprechung

Die Datenschutz-Grundverordnung (DSGVO)[2] trat am 20. Tag nach der Veröffentlichung in Kraft und wird nach einer 2-jährigen Umsetzungsfrist am 25.5.2018 geltendes Recht.

Das neue Bundesdatenschutzgesetz[3] wird ebenfalls am 25.5.2018 in Kraft treten.

Das VG Karlsruhe hat mit einer Entscheidung vom 6.7.2017[4] eine erste Entscheidung zur DSGVO getroffen. Danach kann nicht bereits vor der Geltung der DSGVO ab 25.5.2018 eine rechtsgültige Verfügung auf Basis dieser Rechtsvorschrift erlassen werden. Die Behörde hatte ihre Verfügung auf das Argument gestützt, es seien bereits jetzt Verstöße gegen die DSGVO erkennbar. Das Gericht folgte dieser Auffassung jedoch nicht, eine Art "Vorwirkung" der DSGVO scheidet daher aus.

1 Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat

Adressat des alten wie des neuen Datenschutzrechts ist der „Verantwortliche“[1], also etwa ein personenbezogene Daten verarbeitendes Unternehmen. Ein solches Unternehmen ist damit u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte. Es muss die Einhaltung des Datenschutzes nachweisen (vgl. Art. 5 Abs. 2, 24 DSGVO) und für Verstöße geradestehen, denn Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO) und – mit der DSGVO massiv erhöhte – Bußgelder seitens der Aufsichtsbehörden (Art. 83 DSGVO) richten sich primär gegen den Verantwortlichen.[2] Daneben kommt jedenfalls im deutschen Ordnungswidrigkeitenrecht auch stets eine Haftung der einzelnen handelnden Person in Betracht.

Der für die Systematik des Datenschutzrechts zentrale Begriff des Verantwortlichen soll zunächst näher erörtert werden, um die Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat aufzuzeigen.

1.1 "Verantwortlicher" im Sinne des neuen Datenschutzrechts

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".

Nach dieser Definition ist jedenfalls der Arbeitgeber als juristische Person Adressat des Datenschutzrechts für alle im Unternehmen stattfindenden Verarbeitungen personenbezogener Daten.[1] Rechtlich unselbstständige Untergliederungen einer juristischen Person oder leitend tätige Personen des Unternehmens, die selbst über die Zwecke und Mittel von bestimmten Verarbeitungsvorgängen entscheiden, sind hingegen nach der Auffassung der Fachliteratur nicht Verantwortlicher, sondern nur als Teil der juristischen Person zur Einhaltung des Datenschutzes verpflichtet.[2]

1.2 Bindung des Betriebsrats an das Datenschutzrecht

Schwierigkeiten bereitet hingegen im Rahmen der DSGVO die Einordnung des Betriebsrats. Nach bisherigem Recht ging das BAG in ständiger Rechtsprechung davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der verantwortlichen Stelle zur Einhaltung des Datenschutzrechts verpflichtet ist.[1]

Ohne also selbst eine eigenständige verantwortliche Stelle zu bilden, ist der Betriebsrat damit schon heute Normadressat des BDSG. Er muss also die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Betriebsratsmitglieder gewährleisten.[2] Zu den Pflichten des Betriebsrats gehört nach dem BAG z. B. die Wahrung des Datengeheimnisses.[3]

Bereits die bisherige Rechtslage nach dem noch geltenden BDSG hat aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats zu Friktionen bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes geführt. Dass sich aus seiner Unabhängigkeit und aus seinem Selbstverständnis als "Gegenspieler" des Arbeitgebers i...

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Deutsches Anwalt Office Premium 30 Minuten lang und lesen Sie den gesamten Artikel.



Meistgelesen