BR Verantwortlicher i.S.d DSGVO

Mir fällt nur auf, dass der BR in aller Regel vom AG verlangt, dass dieser den Datenschutz beachtet, dass aber viele BR's selber recht lasch bei diesem Thema sind (Versandt von Unterlagen mit sozialen Netzwerken usw).

Bevor ihr eine BV abschließt, holt euch einen Sachverständigen.

Die neue DSGVO wirft auch für den Betriebsrat viele Fragen auf. Am dringlichsten ist wohl die nach der Haftung. Sind Sie als Betriebsrat haftbar bei Datenschutzverstößen im Rahmen der Betriebsratsarbeit?

Der erste Adressat der DSGVO ist der Verantwortliche. Der Verantwortliche muss für die Rechtmäßigkeit der Datenverarbeitung einstehen, er muss die Informations- und weiteren Pflichten gegenüber den betroffenen Personen erfüllen und er trägt das Risiko, dass die Aufsichtsbehörden bei Datenschutzverstößen gegen ihn Bußgelder in erheblicher Höhe verhängen.
Wer ist verantwortlich im Sinne des DSGVO?

Art. 4 Nr. 7 DSGVO definiert den Verantwortlichen als denjenigen, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Ohne Zweifel ist der Arbeitgeber Verantwortlicher, wenn es um die Verarbeitung der personenbezogenen Daten seiner Beschäftigten geht.

Aber auch der Betriebsrat verarbeitet im Rahmen der Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben personenbezogene Beschäftigtendaten und zwar eigenverantwortlich, d.h. ohne Weisung des Arbeitgebers (vgl. BAG, Beschl. v. 18.07.2012 – 7 ABR 23/11). Er tut dies sogar, ohne dass er der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegt, obwohl er selbstverständlich auch im Rahmen seiner Betriebsratstätigkeit den Datenschutz einhalten muss (BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97).

Quelle :

Wissensforum für Betriebsräte | mit umfangreichem Lexikon‎
Anzeigewww.betriebsrat.de/‎

Sachverständige haben wir. Einen Rechtsanwalt und einen Datenschützer. Das Problem ist, dass man hier recht wenig valide Infos hat. Unser Datenschutzsachverständige hat auch schon mit dem Landesamt gesprochen. Die sehen das echt wie in dem Aufsatz und sind der Meinung das wir verantwortliche Stelle seinen und alle Maßgaben der Grundverordnung in vollem Umfang geltend würden. Daher Auskunftspflichten, Informationspflichten, Einwilligungen, Folgenabschätzung etc. Das volle Programm. Weitere Aussage war, dass man einen Datenschutzbeauftragen braucht. Klar war aber auch, dass auf Grund der völligen Überlastung der Behörde gegenwärtig keine Prüfungen zu erwarten sind. Probleme kann es aber bei Beschwerden von Mitarbeitern geben.
Unser AG ist beim Datenschutz humorlos, da wir sehr viel Gesundheitsdaten von Kunden verarbeiten und wir es uns nicht leisten können, wegen einer Datenschutzpanne in der Presse zu stehen. Und daher kommt hier massiver Druck auf die Pipeline. Daher kam ja auch der Vorschlag unseres AGs uns das Problem durch eine solche BV abzunehmen. Dann ist er verantwortliche Stelle und wir sind die Haftung los. Eine solche BV ist wohl nach Auffassung der Datenschützer möglich, dann haben wir aber den DSB des AGs am Pelz. Es gibt wohl schon ein paar BRs die solche Vereinbarungen haben. Über unseren Sachverständigen haben wir da auch einen Kontakt zu einem anderen Unternehmen aber trotzdem bleiben hier noch Unsicherheiten, da man so wenig darüber lesen kann. In einem Punkt sind sich aber alle Datenschützer einig die ich gesprochen habe: man kann die bisherige Argumentation des BAG sicher vergessen. Das BAG wird hier wohl auch nicht mehr die Pace machen, da hier die Urteile eher von Verwaltungsgerichten kommen werden....

Ich würde jedenfalls zu diesem Zeitpunkt keine BV abschließen. Da wird dann ganz plötzlich der Arbeitgeber zum Herr eurer Daten. Nicht gerade erstrebenswert.
Wartet ab, bis eure Experten mehr wissen.

wir können leider nicht warten. Der Datenschutz ist unser wichtigster Unternehmenswert. Das sieht nicht nur der AG so, sondern das jeder AN. Das ist Teil unserer DNA

Dann seid ihr doch eigentlich Experten in eigener Sache? Ich würde dennoch keine BV abschließen. Das Gesetz gilt so oder so. Und wenn ihr euch auskennt, werdet ihr doch weitgehend die Datenschutzbestimmungen einhalten. Wozu die Eile?

Ganther: Erstmal Danke für den Artikel. Da kommt offensichtlich einiges auf jeden BR zu.
Ich kann mir allerdings nicht vorstellen, wie eine BV aussehen könnte, in der der AG die Haftung im Datenschutz übernimmt, aber eine Kontrolle über die Daten hat. Das dürfte rechtlich kaum gehen.
Mir fällt dazu nur die Möglichkeit ein, dass der BR in Bezug auf Datennutzung ähnliche Strukturen bastelt wie der AG, vielleicht auch Formulare und Checklisten des AG nutzt.

Das Konstrukt ist mit dem Landesdatenschutz schon mal kurz besprochen. Eine BV in der die Betriebsparteien den AG zur verantwortlichen Stelle erklären. Das geht wohl (aber das ist erst mal nur die Auffassung eines Beamten der Aufsicht und schriftlich bekommst du nichts) wegen Art. 88 DSGVO. Dann ist der AG gegenüber der Aufsicht verantwortlich und haftet wenn es beim BR Probleme gibt. Das würde unser AG auch machen aber danach will er uns natürlich Vorgaben zum Umgang mit Daten machen. Das ist auch noch nicht so schlimm, da ich gerne Formulare ausgearbeitet bekomme und der AG darf mir auch ein Datenschutzkonzept erstellen. Das Problem dass unser Gremium sieht ist die Prüfung durch den DSB des AG. Wenn der AG die verantwortliche Stelle ist, dann ist es ZWINGEND, dass sein Datenschutzbeauftragter für uns zuständig ist. Und das ist der Punkt wo eben ein Dritter (auch wenn es nur der DSB ist) bei uns rein geht und prüft. Das wollen wir natürlich nicht. Aber unser Anwalt hat da auch nach Rücksprache mit dem Amt keine Alternative für uns. Die Alternative wäre wir sind die verantwortliche Stelle und dann hat du das volle Haftungsproblem. Vielleicht ist ja nur unsere Aufsicht so streng und daher meine Frage ob schon andere BRs mit dem Thema konfrontiert sind. Aber offensichtlich wohl nicht. Das Haftungsrisiko ist halt echt übel und es ist so einfach jemand rein zu reißen. Du brauchst ja nur einen Mitarbeiter der dich beim Landesamt anzeigt und schon kann es los gehen. Oder er verklagt dich sogar direkt

So, jetzt habe ich mich inzwischen besser informiert (aber sicher noch nicht so intensiv wie Du).
Bleiben bei mir gerade zwei Gedanken übrig, die vielleicht helfen könnten:
1. Ein AG hat üblicherweise schon jetzt Zugang zu den BR-Daten, wenn die IT nicht dicht hält. Wenn Ihr also der IT zutraut, den Mund zu halten, was ist der Unterschied zum DSB? Der prüft Euch und Euer Datenschutzsystem, aber darf er dem AG Einzeldaten oder interne Vorgänge weiter geben? Und wenn ja, kann man das in der geplanten BV ausschließen?
2. Wenn es eilig ist, und Ihr nicht wissen könnt, ob die BV der richtige Weg ist, bleibt noch die Möglichkeit, die BV von vorne herein ohne Nachwirkung zu befristen.

Danke alter Mann. Gute Argumente. Wir werden es mal diskutieren