DSGVO

Der Arbeitgeber ist verantwortlich!

27. Juli 2021
Datenschutz_1_60585328-e1465203622629
Quelle: © Marco2811 / Foto Dollar Club

Mit einem neuen § 79a BetrVG wird die Streitfrage entschieden, wer für die Datenverarbeitung des Betriebsrats im Sinne der DSGVO verantwortlich ist. Unklar bleibt, wie die Unabhängigkeit des Betriebsrats im Hinblick auf mögliche Kontrollen des Datenschutzbeauftragten gewahrt werden kann, so Thilo Weichert in »Computer und Arbeit« 7-8/2021.

Der Bundesrat hat am 28.5.2021 das Betriebsrätemodernisierungsgesetz gebilligt. Das Gesetz sieht diverse Änderungen im Betriebsverfassungsgesetz (BetrVG) vor, u.a. soll dort auch ein völlig neuer Paragraf zum Datenschutz eingefügt werden: Der neue § 79a BetrVG.

Bislang war umstritten, wer im Sinne der europäischen Datenschutz-Grundverordnung (DSGVO) Verantwortlicher ist. Nach Art. 4 Nr. 7 DSGVO ist das die Stelle, die »über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet«. Einige Jurist:innen vertraten bisher die Ansicht, der Betriebsrat sei selbst »Verantwortlicher«. Dahinter stand die Überlegung, dass so Konflikte zwischen Betriebsrat und Arbeitgeber wegen der Datenverarbeitung vermieden würden und der Arbeitgeber von Pflichten und eventuell gar von Sanktionen im Fall von Verstößen, auf die er keinen Einfluss nehmen konnte, verschont wird. Die meisten Expert:innen waren aber schon bisher der Ansicht, dass der Betriebsrat als Teil des Arbeitgebers nur eine abgeleitete Verantwortung hat.

Mitunter wird die Frage aufgeworfen, ob der deutsche Gesetzgeber überhaupt entscheiden kann, wer im Sinne der DSGVO »verantwortlich« ist, da es sich bei der DSGVO um Europarecht handelt. Artikel 4 Nr. 7 DSGVO sieht allerdings gerade vor, dass Konkretisierungen zur Verantwortlichkeit durch die Mitgliedstaaten geregelt werden können. Von dieser Spezifizierungsmöglichkeit macht der deutsche Gesetzgeber mit § 79a BetrVG Gebrauch.

Was ändert sich jetzt?

Die Gesetzesbegründung verweist auf die »innerorganisatorische Selbständigkeit und Weisungsfreiheit des Betriebsrats« und erklärt, dass Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen sind. Wer nun welche datenschutzrechtlichen Anforderungen zu erfüllen hat, geht daraus nicht hervor.

Die Stellung des Arbeitgebers als Verantwortlicher hat datenschutzrechtlich u.a. zur Folge, dass der Arbeitgeber das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führt. Das ist insoweit unproblematisch, als dass der Betriebsrat das Verzeichnis erstellen und dem Arbeitgeber zur Verfügung stellen kann. Ein solches Vorgehen berührt die Unabhängigkeit des Gremiums auch nicht, da hier nur formale sowie technisch-organisatorische Angaben aufzunehmen sind.

Die Wahrnehmung der Betroffenenrechte, etwa des Auskunftsrechts, stellt auch kein Problem in der Praxis dar: Diese Aufgabe wird durch die Unabhängigkeit des Betriebsrats quasi per Gesetz an den Betriebsrat delegiert. Entsprechendes gilt auch für die Umsetzung der technischen und organisatorischen Maßnahmen (Art. 24, 32 DSGVO). Dem Betriebsrat sind gemäß § 40 Abs. 2 BetrVG die hierfür notwendigen Mittel zur Verfügung zu stellen. Auch die Inanspruchnahme der Beratung durch den Datenschutzbeauftragten tangiert die Unabhängigkeit des Betriebsrats nicht (Art. 39 Abs. 1 a), c), e) DSGVO).

Gibt es nun ein Kontrollrecht des DSB?

Problematisch ist aber, wenn dem Datenschutzbeauftragten (DSB) ein umfassendes Kontrollrecht gegenüber der Datenverarbeitung des Betriebsrats zugestanden wird. Die Begründung des Regierungsentwurfs zu § 79a BetrVG verweist generell auf die Art. 38, 39 DSGVO. Gemäß Art. 39 Abs. 1 b) und c) DSGVO obliegt dem Datenschutzbeauftragten die »Überwachung der Einhaltung« der Datenschutzvorschriften. (...)

Weiterlesen?

Den vollständigen Beitrag von Thilo Weichert lesen Sie in »Computer und Arbeit« 7-8/2021. Weitere Highlights:

 

 

  • Betriebsrätemodernisierungsgesetz | Wie viel Mitbestimmung steckt drin? | Was sagen Betriebsräte zu den Änderungen? | Künstliche Intelligenz im BetrVG | Digitale Sitzungen werden »normal«
  • IT-Mitbestimmung | Was gilt beim Einsatz von Wearables?
  • Datenschutz | Die 7 größten Datenschutzmythen

Jetzt gratis testen und direkt online Zugriff auf die Ausgabe erhalten!

 

© bund-verlag.de (ct)

Newsletter BR viertel - Anzeige -

Das könnte Sie auch interessieren

Gruppe_Helme_67642976
Beschäftigungssicherung - Aktuelles

Erleichtertes Kurzarbeitergeld bis 31.12. verlängert

AiB AUdio Podcast Meldungsbild
Podcast AiB-Audio - Aktuelles

Die Zukunftsgestalter

Tastatur-Arbeitsschutz_47127348
Arbeitsschutz - Aus den Fachzeitschriften

Nominierte Ideen für einen gesunden Arbeitsplatz