Kategorie: Beschäftigtendatenschutz
31. August 2022
Das LAG Rheinland-Pfalz hat am 05.07.2022 (Az. Az. 6 Sa 54/22) entschieden, dass ein Arbeitgeber ein berechtigtes Interesse an der Weitergabe von Informationen über seine ehemalige Arbeitnehmerin an ihren neuen Arbeitgeber haben könne.
Der Sachverhalt
Hintergrund der Entscheidung waren verschiedene Äußerungen, die der ehemalige Arbeitgeber der Klägerin gegenüber deren neuen Arbeitgeber getätigt habe. Unter anderem behauptete der beklagte Arbeitgeber, dass die Klägerin verschiedene Pflichtverletzungen während der Anstellungen verübt habe.
Das Ziel des beklagten Arbeitgebers sei es gewesen, den neuen Arbeitgeber und dessen Kunden vor einem möglichen Schaden zu schützen. Gegen die getätigten Äußerungen wollte die Arbeitnehmerin einen Unterlassungsanspruch geltend machen.
Die Entscheidung
Das LAG stellte fest, dass ein Arbeitnehmer vor der Offenlegung von personenbezogenen Daten durch das allgemeine Persönlichkeitsrecht geschützt sei. Dieser Schutz erstrecke sich auch auf Daten, die der Arbeitgeber in zulässiger Weise erlangt habe. Grundsätzlich habe jedermann das Recht selbst darüber zu entscheiden, „(…) wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)
Außerdem, so das Gericht, müsse der Arbeitgeber vor Weitergabe der Informationen eine Abwägung zwischen seinem Interesse an der Weitergabe und dem allgemeinem Persönlichkeitsrecht des Arbeitnehmers vornehmen. Nach Beendigung des Arbeitsverhältnisses treffe den Arbeitgeber einerseits eine Fürsorgepflicht. Andererseits könne der Arbeitgeber aber ein Interesse daran haben, „(…) andere Arbeitgeber bei der Wahrung ihrer Belange zu unterstützen.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)
Das Fazit
In seiner Argumentation folgte das LAG einer älteren Entscheidung des BAG (BAG, Urteil vom 18.12.1984, Az. 3 AZR839/83). Dieses hatte bereits über das berechtigte Interesse des Arbeitgebers an einer Informationsweitergabe entschieden. Das LAG lies es offen, ob die zwischenzeitlich eingetretenen Entwicklungen auf dem Gebiet des Datenschutzrechtes möglicherweise das Auskunftsrecht des Arbeitgebers, dass nach Durchführung der Interessenabwägung bestehen könne, tangieren. Jedenfalls habe der ehemalige Arbeitgeber in diesem Fall kein Interesse an der Weitergabe der Informationen. Demnach bestehe der Unterlassungsanspruch der Klägerin.
14. Juli 2022
Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?
Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung
Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.
Die Anforderungen der DSGVO an Urlaubskalender
Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig. Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.
Urlaubskalender, zugänglich für alle?
Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.
5. Juli 2022
Mit Urteil vom 22.06.2022 (C‑534/20) hat der Europäische Gerichtshof (EuGH) entschieden, dass der deutsche Sonderkündigungsschutz von Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist.
Der Sachverhalt
Eine Gesellschaft hatte ihrer internen Datenschutzbeauftragten ordentlich und aus betriebsbedingten Gründen gekündigt. Die Position der Datenschutzbeauftragten sollte zukünftig extern besetzt werden. Die Datenschutzbeauftragte wehrte sich gegen ihre Kündigung. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG könne sie als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden. Eine ordentliche, betriebsbedingte Kündigung sei ausgeschlossen. Die deutschen Arbeitsgerichte gaben ihr Recht, die Kündigung sei nach § 134 BGB nichtig. Da die Gesellschaft stets Rechtsmittel einlegte, wurde die Streitigkeit letztlich dem Bundesarbeitsgericht (BAG) zur Entscheidung vorgelegt.
Das BAG war sich mit der Europarechtskonformität der in Frage stehenden Normen unsicher, konkret bezüglich der Vereinbarkeit mit Art. 38 DSGVO. Denn nach nationalem Recht in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG ist die Kündigung einer Datenschutzbeauftragten unzulässig, es sei denn Tatsachen lägen vor, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, also zur außerordentlichen Kündigung, berechtigten. Eine ordentliche Kündigung ist damit ausgeschlossen. Im europäischen Recht in Art. 38 DSGVO hingegen, ist kein besonderer Kündigungsschutz für Datenschutzbeauftragte vorgesehen. Dort ist nur geregelt, dass die Datenschutzbeauftragte nicht wegen der Erfüllung ihrer Aufgaben abberufen werden kann. Somit gewähren die deutschen Normen des BDSG einen höheren Kündigungsschutz als die europäische DSGVO.
Deshalb legte das BAG das Verfahren dem EuGH vor, u.a. mit der Frage, ob das europäische Recht den strengeren deutschen Normen entgegensteht.
Die Entscheidung
Der EuGH entschied, dass die strengeren, deutschen Normen zum Kündigungsschutz mit dem europäischen Recht vereinbar sind. Art. 38 DSGVO steht den Regelungen des BDSG nicht entgegen.
Für seine Begründung verwies der EuGH auf den Wortlaut von Art. 38 DSGVO, das mit Art. 38 DSGVO verfolgte Ziel, eine Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, sowie den Zweck der DSGVO selbst. Diese solle nämlich nicht den Kündigungsschutz generell regeln.
Der EuGH führt dazu aus, dass: „es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.“ Insbesondere dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.“ Die Verwirklichung der Ziele der DSGVO sah der EuGH hier nicht gefährdet, denn eine Kündigung der Datenschutzbeauftragten ist im deutschen Recht grundsätzlich möglich.
2. Juni 2022
Das LAG Baden- Württemberg entschied am 25.03.2022 (Az. 7 Sa 63/21), dass eine außerordentliche Kündigung durch die unrechtmäßige Weitergabe besonderer Kategorien personenbezogener Daten begründet sein kann.
Der Sachverhalt
Hintergrund der außerordentlichen Kündigung war eine vom Kläger verschickte E-Mail, die personenbezogene Daten besonderer Kategorien enthielt. Konkret handelte es sich um Gesundheitsdaten. Diese sind personenbezogene Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO.
Über einen Link in der E-Mail gelangte man auf Schriftsätze eines noch laufenden Verfahrens. Der Kläger wollte sich durch die Vorgehensweise gegen nicht gerechtfertigte Vorwürfe einer sexuellen Belästigung wehren. Zusätzlich forderte er dazu auf, die Schriftsätze weiter zu verbreiten und aus diesen ggf. zu zitieren.
Die Entscheidung
Das LAG Baden- Württemberg entschied, dass der Kläger die namentlich in den Schriftsätzen genannte Person in ihren Persönlichkeitsrechten verletzte. Die Schriftsätze waren weder für die Allgemeinheit noch für eine betriebsinterne Veröffentlichung bestimmt. Alleiniger Zweck der Dokumente war die prozessuale Verwendung. Demnach handelte der Kläger bei Weiterleitung der Schriftsätze bewusst und gewollt.
Außerdem stellte das Gericht die Rechtswidrigkeit der Verletzungshandlung fest. Aus Sicht des Gerichts könne sich der Kläger auf kein berechtigtes Interesse berufen. Das Gerichtsverfahren, aus welchem die Schriftsätze stammten, war noch nicht rechtskräftig abgeschlossen. Folglich waren die Entscheidungsgründe des Gerichts grundsätzlich unbekannt und etwaige Rechtsbehelfe gegen die noch ausstehende Entscheidung denkbar.
Der Kläger handelte darüber hinaus auch schuldhaft. Insbesondere könne er sich nicht auf einen möglichen Rechtsirrtum berufen. Er war Mitglied des Betriebsrates und des Personalausschusses. In dieser Funktion oblag ihm die Pflicht, an datenschutzrechtlichen Schulungen teilzunehmen. Demzufolge kannte der Kläger die datenschutzrechtlichen Vorschriften. Er sei geschult darin, rechtmäßig mit personenbezogenen Daten umzugehen, auch solche besonderer Kategorie.
Folglich konnte das Verhalten des Klägers, mit dem die betroffene Person in ihren Persönlichkeitsrechten verletzt wurde, seine außerordentliche Kündigung begründen.
6. Mai 2022
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich „dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen“ ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).
Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.“
Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.
28. April 2022
Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.
In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des „digitalen Frühjahrsputzes“ zu tun sei.
21. April 2022
In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.
Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.
Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.
Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.
30. März 2022
Mit Urteil vom 17.01.2022 (6 K 1164/21.WI) hat sich das Verwaltungsgericht Wiesbaden zur GPS-Überwachung von Fahrzeugen geäußert.
Ein Unternehmen der Logistikbranche hatte seit April 2020 GPS-Systeme in ihre 55 Firmenfahrzeuge eingebaut. Diese Systeme erheben und speichern Daten zum Tracking dieser Fahrzeuge. So sind u.a. die Bestimmung des Live-Standorts der Fahrzeuge, die Speicherung der Standortdaten und die Messung des Benzinverbrauchs möglich. Das Unternehmen begründet dies damit, dass das Geo-Tracking der Ortung einzelner Fahrzeuge diene, um bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl zu verhindern. Teilweise fanden auch Zuordnungen zum Inhaber der Fahrerkarte statt. Die Daten der Fahrerkarten wurden für 28 Tage gespeichert, alle übrigen Daten für 400 Tage.
Eine Information der Mitarbeiter über die Einführung des GPS-Trackings erfolgte nicht. Der hessische Datenschutzbeauftragte erfuhr von diesem Vorgehen und meldete sich bei dem Unternehmen. Letztlich forderte er das Unternehmen auf, das GPS-Tracking zukünftig zu unterlassen und erhobene Daten zu löschen. Gegen diesen Bescheid erhob das Unternehmen Klage.
Die Klage wies das VG Wiesbaden nun ab. Im Ergebnis ging das Gericht davon aus, dass für die Datenverarbeitung des Unternehmens keine Rechtsgrundlage existiere, sodass die Verarbeitung nicht rechtmäßig sei, Art. 5 Abs. 1 lit. a) DS-GVO. Eine Einwilligung der betroffenen Beschäftigten lag nicht vor. Auch seien die berechtigten Interessen des Unternehmens gem. Art. 6 Abs. 1 lit. f) DS-GVO nicht gegenüber den berechtigten Interessen der Betroffenen vorrangig. Dazu führt das Gericht u.a. aus: „Die danach vorzunehmende Abwägung der Interessen der Klägerin einerseits und der betroffenen Mitarbeiter andererseits fällt zu Lasten der Klägerin aus, weil die Datenspeicherung des Standorts, zumal über 400 Tage lang, nicht verhältnismäßig ist. […] Die Zulässigkeit der Datenerhebung und erst recht der Speicherung scheitert nach Auffassung des Gerichts schon daran, dass sie geheim erfolgt, ohne dass erkennbar ist, warum die Mitarbeiter der Klägerin nicht wissen dürfen, dass ihr Arbeitgeber sie bei Fahrten konstant überwacht.“
Das Urteil verdeutlicht einmal mehr, dass Unternehmen mit den Daten ihrer Beschäftigten sehr bedacht umgehen sollten.
15. Dezember 2021
Die Berliner Senatsjustizverwaltung muss Daten der im Land Berlin beschäftigten Richterinnen und Richter nur zugänglich machen, sofern eine Einwilligungserklärung der Betroffenen vorliegt. Dies geht aus einer Entscheidung des VG Berlin hervor.
Der Entscheidung vorausgegangen war eine Klage der advolytics UG, welche das digitale Bewertungsportal „richterscore“ betreibt. Dort können sich Anwälte über Richter austauschen, um sich auf Gerichtsprozesse vorzubereiten. Unter Berufung auf das Berliner Informationsfreiheitsgesetz verlangte advolytics die Übermittlung von Informationen über die im Land Berlin beschäftigten Richterinnen und Richter. Das Auskunftsersuchen beinhaltete neben Namen, Titel und Amtsbezeichnung auch das Geburtsdatum sowie der Beschäftigungsumfang. Insbesondere berief sich die Klägerin darauf, dass dem C.F. Müller Verlag, bei dem der Deutschen Richterbund alle zwei Jahre das „Handbuch der Justiz“ herausgibt, die begehrten Daten mitgeteilt werden.
Nach Ansicht des Verwaltungsgerichtes stehe dem Auskunftsanspruch der advolytics jedoch der Schutz personenbezogener Daten entgegen. Die Klägerin verfolge überwiegend Privatinteressen, weil sie mit den begehrten Daten ihr Bewertungsportal ausbauen und damit ihr Geschäftsmodell verwirklichen wolle. Ihr Interesse, die Gerichtsbarkeiten transparenter zu machen, sei nicht vom Zweck des Informationsfreiheitsgesetzes erfasst. Mit den begehrten Daten könne weder staatliches Verwaltungshandeln kontrolliert, noch die demokratische Meinungs- und Willensbildung gefördert werden. Darüber hinaus stünden auch bundesrechtliche Geheimhaltungspflichten der beantragten Datenübermittlung entgegen, da es sich um Daten aus Personalakten handele. Auch im Bezug auf die unterschiedliche Behandlung der Klägerin gegenüber dem Deutschen Richterbund vertrat das Gericht eine gegensätzliche Auffassung, da entsprechende zweckbezogene Einwilligungserklärungen der Richterschaft vorlägen.
Gegen das Urteil kann vor dem Oberverwaltungsgericht Berlin-Brandenburg Berufung eingelegt werden.
13. Juli 2021
Am 18.06.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft getreten (BGBl. 2021 I S. 1762). In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt. Damit endet der lange Streit um die datenschutzrechtliche Frage, ob der Betriebsrat dem Arbeitgeber als datenschutzrechtlich Verantwortlicher zuzuordnen oder als datenschutzrechtlich eigene verantwortliche Stelle einzuordnen ist. § 79a Satz 2 BetrVG stellt nun klar:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Die in § 78a Satz 3 BetrVG normierte, gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften beruht laut der Gesetzesbegründung auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat ist danach zum Beispiel nicht verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwingend auf die Unterstützung des Betriebsrats angewiesen. Auch bei der Erfüllung etwaiger Auskunftsansprüche (Art. 15 DSGVO) die sich auf die durch den Betriebsrat verarbeiteten Daten beziehen, ist der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen.
Gemäß der Gesetzesbegründung muss der Betriebsrat innerhalb seines Zuständigkeitsbereichs auch eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO sicherstellen. Hierfür hat der Arbeitgeber den Betriebsrat mit den erforderlichen Sachmitteln, wie etwa geeigneten Sicherungseinrichtungen für Unterlagen mit personenbezogenen Daten, auszustatten.
Auch wenn der neue § 78 BetrVG Unklarheiten bzgl. der Zuständigkeit für die einzuhaltenden Datenschutzmaßnahmen klärt, stehen Unternehmen und Betriebsräte weiterhin vor der Herausforderung diese innerhalb des gesetzlich abgesteckten Rahmens einvernehmlich umzusetzen. Die Festlegung und Umsetzung von entsprechenden Prozessen sind hierfür notwendig. Die Gesetzesbegründung hebt in diesem Zusammenhang auch die mögliche Inanspruchnahme der Beratung des betrieblichen Datenschutzbeauftragten durch den Betriebsrat hervor.
