Datenschutz im kollektiven Arbeitsrecht nach DSGVO und BDSG

Zusammenfassung

 

Überblick

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Etliche Unternehmen hatten schon von diesem Datum reagiert und Projekte zur Umsetzung der neuen Vorgaben begonnen. Dabei hatten die Unternehmen bei der Durchführung solcher DSGVO-Implementierungsprojekte sehr unterschiedliche Fortschritte erzielt. Ein klassisches Problem bei der Herstellung von Compliance mit Blick auf das neue Datenschutzrecht stellt erfahrungsgemäß der Datenschutz im Schnittfeld zur Betriebsratstätigkeit dar. Der nachfolgende Beitrag zeigt die rechtlichen Grundsätze auf, nach denen sich die Verteilung der Verantwortlichkeit zwischen Arbeitgeber und Interessenvertretungen richtet. Um rechtliche Unsicherheiten zu minimieren, setzen viele Unternehmen auf den Abschluss von (Rahmen-) Betriebsvereinbarungen zum Datenschutz. Der Beitrag[1] verdeutlicht dabei die unterschiedlichen Funktionen solcher Betriebsvereinbarungen und zeigt anhand von Praxisbeispielen, welche Bausteine sich in der Praxis bewährt haben.

 

Gesetze, Vorschriften und Rechtsprechung

Die Datenschutz-Grundverordnung (DSGVO)[2] trat am 20. Tag nach der Veröffentlichung in Kraft und wurde nach einer 2-jährigen Umsetzungsfrist am 25.5.2018 geltendes Recht.

Das neue Bundesdatenschutzgesetz[3] ist zeitgleich am 25.5.2018 in Kraft getreten.

Das VG Karlsruhe hat bereits mit einer Entscheidung vom 6.7.2017[4] eine erste Entscheidung zur DSGVO getroffen und festgestellt, dass vor der Geltung der DSGVO ab 25.5.2018 keine rechtsgültige Verfügung auf Basis dieser Rechtsvorschrift erlassen werden kann. Die Behörde hatte ihre Verfügung auf das Argument gestützt, es seien bereits vor dem Inkrafttreten Verstöße gegen die DSGVO erkennbar gewesen. Das Gericht war dieser Auffassung jedoch nicht gefolgt, eine Art "Vorwirkung" der DSGVO schied daher aus.

1 Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat

Adressat des alten wie des neuen Datenschutzrechts ist der „Verantwortliche“[1], also etwa ein personenbezogene Daten verarbeitendes Unternehmen. Ein solches Unternehmen ist damit u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte. Es muss die Einhaltung des Datenschutzes nachweisen (vgl. Art. 5 Abs. 2, 24 DSGVO) und für Verstöße geradestehen, denn Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO) und – mit der DSGVO massiv erhöhte – Bußgelder seitens der Aufsichtsbehörden (Art. 83 DSGVO) richten sich primär gegen den Verantwortlichen.[2] Daneben kommt jedenfalls im deutschen Ordnungswidrigkeitenrecht auch stets eine Haftung der einzelnen handelnden Person in Betracht.

Der für die Systematik des Datenschutzrechts zentrale Begriff des Verantwortlichen soll zunächst näher erörtert werden, um die Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat aufzuzeigen.

1.1 "Verantwortlicher" im Sinne des neuen Datenschutzrechts

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".

Nach dieser Definition ist jedenfalls der Arbeitgeber als juristische Person Adressat des Datenschutzrechts für alle im Unternehmen stattfindenden Verarbeitungen personenbezogener Daten.[1] Rechtlich unselbstständige Untergliederungen einer juristischen Person oder leitend tätige Personen des Unternehmens, die selbst über die Zwecke und Mittel von bestimmten Verarbeitungsvorgängen entscheiden, sind hingegen nach der Auffassung der Fachliteratur nicht Verantwortlicher, sondern nur als Teil der juristischen Person zur Einhaltung des Datenschutzes verpflichtet.[2]

1.2 Bindung des Betriebsrats an das Datenschutzrecht

Schwierigkeiten bereitet hingegen im Rahmen der DSGVO die Einordnung des Betriebsrats. Nach bisherigem Recht ging das BAG in ständiger Rechtsprechung davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der verantwortlichen Stelle zur Einhaltung des Datenschutzrechts verpflichtet ist.[1]

Ohne also selbst eine eigenständige verantwortliche Stelle zu bilden, ist der Betriebsrat damit schon heute Normadressat des BDSG. Er muss also die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Betriebsratsmitglieder gewährleisten.[2] Zu den Pflichten des Betriebsrats gehört nach dem BAG z. B. die Wahrung des Datengeheimnisses.[3]

Bereits die bisherige Rechtslage nach dem noch geltenden BDSG hat aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats zu Friktionen bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes geführt. Dass sich aus seiner Unabhängigkeit und aus seinem Selbstverständnis als "Gegenspieler" des Arbeitge...

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Deutsches Anwalt Office Premium 30 Minuten lang und lesen Sie den gesamten Artikel.



Meistgelesene beiträge