Datenpanne innerhalb des Betriebsrats

Es kann schneller passieren, als es dem Betriebsrat lieb ist: Eine externe Speicherplatte mit personenbezogenen Daten wird in der S-Bahn geklaut oder vergessen, eine E-Mail mit entsprechenden Inhalten an falsche Adressaten gesandt oder im BR-Büro verschwindet ein USB-Stick mit Sozialdaten. Was dann?

Die Datenpanne nach Art. 33 DSGVO

Passieren solche Dinge, handelt es sich um eine Datenpanne nach Art. 33 DSGVO innerhalb der Sphäre des Betriebsrats.

Die Pflicht des Betriebsrats

Es besteht eine eigenständige Verpflichtung des Betriebsrats, solche Datenpannen zu erkennen und schnellstmöglich dem Arbeitgeber mitzuteilen.

Arbeitgeber ist Verantwortlicher

Nicht der Betriebsrat, sondern der Arbeitgeber ist grundsätzlich Verantwortlicher und muss nach Art. 24 DSGVO sicherstellen, dass die Datenverarbeitung datenschutzkonform erfolgt. Aber das BAG hat dem Betriebsrat eine eigene Verantwortlichkeit im Rahmen der technischen und organisatorischen Maßnahmen zugewiesen, die auch von der Aufsichtsbehörde geprüft werden kann.

Betriebsrat sollte vorbereitet sein

Einzelheiten zu den Verantwortlichkeiten sind immer noch nicht abschließend geklärt. Klar ist aber, dass der Betriebsrat auf solche Datenpannen vorbereitet sein sollte, bestenfalls nach Rücksprache mit dem Datenschutzbeauftragten und dem Arbeitgeber. Fest steht zudem, dass der Betriebsrat auch für die Sicherheit seiner Daten verantwortlich ist.

Die Verpflichtung des Arbeitgebers

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche (hier also der Arbeitgeber) die Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Kenntnis der Verletzung der zuständigen Aufsichtsbehörde. Etwas anderes gilt nur, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist der verspäteten Meldung eine Begründung für die Verzögerung beizufügen.

Die Meldung muss zumindest die folgenden Informationen enthalten:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Datensätze
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der von dem Verantwortlichen ergriffenen und/oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten bzw. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang stehenden Fakten, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Datenschutzbestimmungen ermöglichen.

 

Unsere Seminarempfehlung

  • Datenschutz im BR-Büro: Organisation und Umsetzung

    Sicherer Umgang mit sensiblen Daten - Das müssen Sie jetzt beachten!

    Dieses Seminar eignet sich für alle Mitglieder des Betriebsrats. Als Betriebsratsmitglied erhalten Sie Einblick und Zugriff auf eine Vielzahl von sensiblen Daten. Grundlagenkenntnisse und eine Sensibilisierung für die aktuellen datenschutzrechtlichen Anforderungen sind deshalb für jedes Betriebsratsmitglied zwingend.

    Starterset
    • Arbeitsgesetze
    • umfangreiche Seminarunterlagen: Schulungsordner mit Skript, Block, Arbeitsmaterial und
    • Rucksack oder Tasche für Ihre Unterlagen

    Datenschutz im BR-Büro: Organisation und Umsetzung