5 Tipps für Datenschutz in Betriebs- und Personalratsbüros

11. November 2019 Datenschutz im Betriebsratsbüro, Datenschutz im Personalratsbüro, Tipps

Quelle: © Marco2811 / Foto Dollar Club

Datenschutz macht auch vor dem Betriebsrats- und Personalratsbüro nicht halt. Viele Interessenvertretungen sind verunsichert. 5 hilfreiche Tipps, wie Sie das Thema in den Griff bekommen, verrät Ihnen Prof. Dr. Peter Wedde, Herausgeber unseres »Handbuch Datenschutz und Mitbestimmung«.

1. Keine Angst vorm Datenschutz

Die Datenschutzvorschriften in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) sind umfangreich und teilweise schwer verständlich. Dennoch können Betriebs- und Personalräte für ihre Arbeit einen gesetzeskonformen Datenschutz durch die Beachtung einfacher Grundregeln sichern. Hierzu gehört etwa die Prüfung, ob es eine klare Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten gibt, etwa in § 80 Abs. 1 Nr. 1 BetrVG bezüglich der Einhaltung von zugunsten von Beschäftigten geltender Schutzgesetze. Einen wichtigen Maßstab für die datenschutzrechtlichen Zulässigkeit enthält zudem Art. 5 Abs. 1 DSGVO.

2. Alles muss auf den Prüfstand

Betriebs- und Personalräte können ihre Arbeit nach eigenen Vorstellungen organisieren. Das kann dazu führen, dass bewährte Abläufe mit datenschutzrechtlichen Vorgaben kollidieren, etwa die langfristige Speicherung personeller Einzelmaßnahmen. Hier kann es hilfreich sein, Löschfristen für verschiedene Gruppen von Unterlagen festzulegen. Wenn die langfristige Aufbewahrung von personenbezogenen Unterlagen erforderlicher ist, müssen technische und organisatorische Sicherungsmaßnahmen getroffen werden.

3. Aktiv gestalten

Maßnahmen zur Umsetzung datenschutzrechtlicher Vorgaben können Betriebs- und Personalräte verbindlich beschließen. Festlegungen hierzu können in Geschäftsordnungen aufgenommen werden. Gibt es unterschiedliche Meinungen zum Datenschutz, sind Nachfragen bei den zuständigen staatlichen Aufsichtsbehörden möglich und hilfreich.

4. Überblick behalten

Personenbezogene Verarbeitungsprozesse müssen nach Art. 30 Abs. 1 DSGVO in einem Verzeichnis der Verarbeitungstätigkeiten erfasst werden. Die Erstellung dieses Verzeichnisses schafft einen Überblick über die Verarbeitung von Beschäftigtendaten in Betriebs- und Personalratsbüros. Die Erarbeitung und Aktualisierung dieses Verzeichnisses bietet zudem die Gelegenheit, nicht mehr benötigte Verfahren zu erkennen und zu beenden.

5. Datenschutzkontrolle sicherstellen

Die Arbeit von Betriebs- und Personalräten unterliegt nicht der Kontrolle der nach Art. 37 DSGVO benannten Datenschutzbeauftragten. Grund hierfür ist die von der Rechtsprechung gesehene fehlende Neutralität der ohne Mitbestimmung vom Arbeitgeber eingesetzten Beauftragten. Die gesetzlich notwendige interne Datenschutzkontrolle sollte durch die Benennung eines internen »Betriebsratsbeauftragten« sichergestellt werden.

Der Experte

Wedde_Peter_klein Dr. Peter Wedde

Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences und wissenschaftlicher Leiter des Instituts für Datenschutz, Arbeitsrecht und Technologieberatung in Eppstein.