Anforderungen an ein wirksames Datenschutzkonzept des Betriebsrats
Anfang des Jahres hatten wir in unserem Blog über den Beschluss des Bundesarbeitsgerichts vom 09.05.2023 – 1 ABR 14/22 berichtet. Danach besteht ein Auskunftsanspruch des Betriebsrats nach § 80 BetrVG hinsichtlich sensibler Daten nur, wenn der Betriebsrat ein hinreichendes Datenschutzkonzept vorlegt. Auch unabhängig davon ist der Betriebsrat allgemein für die Einhaltung der Vorschriften über den Datenschutz nach § 79a BetrVG im Rahmen seiner Arbeit verantwortlich, weshalb auch aus diesem Grund ein Datenschutzkonzept zu empfehlen ist.
Der Frage, welche Anforderungen genau an ein solches Datenschutzkonzept des Betriebsrats zu stellen sind, widmen wir uns im heutigen Blogbeitrag.
Grundsätzliches und Rechtsgrundlage
Rechtsgrundlage für das erforderliche Datenschutzkonzept ist § 22 Bundesdatenschutzgesetz (BDSG). Nach dessen Absatz 2 sind bei der Verarbeitung sensibler personenbezogener Daten angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen werden u.a. folgende Maßnahmen beispielhaft aufgezählt: das Ergreifen von technisch organisatorischen Maßnahmen, Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, die Benennung einer oder eines Datenschutzbeauftragten, die Beschränkung des Zugangs zu den personenbezogenen Daten, die Pseudonymisierung personenbezogener Daten oder die Verschlüsselung personenbezogener Daten. Die Aufzählung in § 22 Abs. 2 BDSG ist jedoch nicht abschließend. Die konkret erforderlichen Maßnahmen hängen immer vom Einzelfall ab. Das Datenschutzkonzept muss daher immer individuell auf den konkreten Betrieb und die Abläufe und Aufgaben vor Ort angepasst werden. Erwähnenswert ist dabei, dass der Arbeitgeber die Beurteilung der geeigneten Maßnahmen nicht in der Hand hat. Die Vorgaben nach dem Datenschutzkonzept hat der Betriebsrat für sich selbst zu regeln.
Die besonderen Kategorien personenbezogener Daten umfassen nach Art. 9 der Datenschutzgrundverordnung (DSGVO) alle personenbezogenen Daten aus denen die Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Im betrieblichen Kontext werden dabei insbesondere Gesundheitsdaten in Form von Schwangerschaft und Schwerbehinderung relevant.
Mögliche Inhalte eines Datenschutzkonzepts
Zwingende Inhalte gibt das Gesetz für ein wirksames Datenschutzkonzept des Betriebsrates nicht vor. Einige Maßnahmen sind jedoch sinnvoll und sollten in Erwägung gezogen werden:
Sinnvoll erscheint eine Regelung zum Umgang mit personenbezogenen Daten, die arbeitgeberseitig an den Betriebsrat übermittelt werden. Hier bietet sich für physische Unterlagen an, festzulegen wo diese verwahrt werden und durch welche Schutzmaßnahmen sie geschützt werden. Darunter können zum Beispiel Regelungen betreffend den Zugang zum Betriebsratsbüro oder die Inhaberschaft von Schlüsseln fallen, aber auch die Regelung, unter welchen Umständen und von wem auf die spezifischen Daten zugegriffen werden darf. Für elektronische Unterlagen bieten sich Regelungen zum Zugang zum Computer und Zugang zum Empfangsaccount der Daten, also zum Beispiel zum E-Mail-Postfach an. Sämtliche personenbezogene Daten sollten passwortgeschützt und nur denjenigen Mitgliedern des Betriebsrats zugänglich sein, die nach dem internen Geschäftsverteilungsplan des Betriebsrats zuständig sind.
Besondere Regelungen sind für die Arbeit im Homeoffice oder unterwegs zu treffen. Dort sind Maßnahmen zu treffen, die sicherstellen, dass unbeteiligte Dritte nicht von den personenbezogenen Daten Kenntnis nehmen. Dies gilt einmal für den Schutz von Passwörtern aber auch für die Nutzung von Arbeitsmitteln. So sind für virtuelle Betriebsratssitzungen Vorkehrungen zu treffen, die sicherstellen, dass niemand die Inhalte zufällig überhört (z. B. die Nutzung von Kopfhörern). Bei mobiler Arbeit sind darüber hinaus besondere Vorkehrungen zu regeln, wie die Benutzung einer Blickschutzfolie und die Aktivierung der automatischen Sperrfunktion. Die Nutzung ungesicherter öffentlicher WLAN-Verbindungen ist auszuschließen. Auch der genaue Speicherort für Daten im Rahmen der mobilen Arbeit ist festzulegen.
Von zentraler Bedeutung sind auch Regelungen zum Löschkonzept personenbezogener Daten. Dabei sind sowohl zeitliche Intervalle zu regeln (bspw. alle 6 Monate) als auch sachliche Voraussetzungen für die Löschung (bspw. im Falle des Abschlusses eines Vorgangs). Auch hier sind strengere Anforderungen für besonders sensible persönliche Daten zu stellen, wie kürzere Zeitintervalle zur Kontrolle der Notwendigkeit des Löschens. Zudem ist daran zu denken, dass die Art des Löschens geregelt wird, z. B. die Entsorgung physischere Unterlagen oder das Verfahren zur unwiderruflichen Löschung von E-Mails.
Darüber hinaus erscheint es sinnvoll, für den Fall, dass es doch einmal zu einer Datenschutzverletzung kommen sollte, einen Prozess festzulegen. Sinnvoll wäre bspw. eine Regelung dazu, wer in diesem Fall wann und wie zu informieren ist.
Denkbar ist auch die Benennung eines Datenschutz-Sonderbeauftragten für das Betriebsratsgremium aus den eigenen Reihen, die Durchführung einer verpflichtenden Schulung zum Datenschutz für sämtliche Betriebsratsmitglieder und eine regelmäßige Sensibilisierung der Betriebsratsmitglieder, die Kontakt zu personenbezogenen Daten haben. Letzteres könnte u. a. dadurch erfolgen, dass im Rahmen von Betriebsratssitzungen, wenn ein Tagesordnungspunkt eine sensible Datenthematik betrifft, durch die dem Betriebsrat vorsitzende Person oder den Datenschutz-Sonderbeauftragten jeweils auf die besondere Vertraulichkeit nochmals hingewiesen wird.
Nicht verlangt werden kann hingegen, dass die Gewährleistung der Datensicherheit zwingend über eine Betriebsvereinbarung erfolgen muss. Außerdem kann vom Betriebsrat nicht verlangt werden, ein Verzeichnis seiner Verarbeitungstätigkeiten zu führen und dort jede Datenverarbeitung sowie eine gegebenenfalls erforderliche Datenschutz-Folgeabschätzung zu dokumentieren. Zuletzt werden bestimmte Maßnahmen, wie eine Anonymisierung oder Pseudonymisierung nicht sinnvoll sein, wenn es bei dem Auskunftsanspruch gerade um die spezifischen Namen der Beschäftigten geht.
Bei Unsicherheiten kann beratend die zuständige datenschutzrechtliche Aufsichtsbehörde oder die/der betriebliche Datenschutzbeauftragte bezüglich des Datenschutzkonzepts angefragt werden. Außerdem ist es empfehlenswert, das Datenschutzkonzept regelmäßig zu überprüfen und zu überarbeiten.