Forum
Wissen


AktuellesStellenabbau 2024Alles zur außerordentlichen BR-WahlDie Pläne der AmpelregierungUnbeschwerte WeihnachtsfeierNeu in der JAV
Aktuelles

Datenpanne innerhalb des Betriebsrats

2 Minuten Lesezeit

Es kann schneller passieren, als es dem Betriebsrat lieb ist: Eine externe Speicherplatte mit personenbezogenen Daten wird in der S-Bahn geklaut oder vergessen, eine E-Mail mit entsprechenden Inhalten an falsche Adressaten gesandt oder im BR-Büro verschwindet ein USB-Stick mit Sozialdaten. Was dann?

Ein Mann sitzt vor einem Laptop

Die Datenpanne nach Art. 33 DSGVO

Passieren solche Dinge, handelt es sich um eine Datenpanne nach Art. 33 DSGVO innerhalb der Sphäre des Betriebsrats.

Die Pflicht des Betriebsrats

Es besteht eine eigenständige Verpflichtung des Betriebsrats, solche Datenpannen zu erkennen und schnellstmöglich dem Arbeitgeber mitzuteilen.

Arbeitgeber ist Verantwortlicher

Nicht der Betriebsrat, sondern der Arbeitgeber ist grundsätzlich Verantwortlicher und muss nach Art. 24 DSGVO sicherstellen, dass die Datenverarbeitung datenschutzkonform erfolgt. Aber das BAG hat dem Betriebsrat eine eigene Verantwortlichkeit im Rahmen der technischen und organisatorischen Maßnahmen zugewiesen, die auch von der Aufsichtsbehörde geprüft werden kann.

Betriebsrat sollte vorbereitet sein

Einzelheiten zu den Verantwortlichkeiten sind immer noch nicht abschließend geklärt. Klar ist aber, dass der Betriebsrat auf solche Datenpannen vorbereitet sein sollte, bestenfalls nach Rücksprache mit dem Datenschutzbeauftragten und dem Arbeitgeber. Fest steht zudem, dass der Betriebsrat auch für die Sicherheit seiner Daten verantwortlich ist.

Die Verpflichtung des Arbeitgebers

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche (hier also der Arbeitgeber) die Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Kenntnis der Verletzung der zuständigen Aufsichtsbehörde. Etwas anderes gilt nur, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist der verspäteten Meldung eine Begründung für die Verzögerung beizufügen.

Die Meldung muss zumindest die folgenden Informationen enthalten:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Datensätze
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der von dem Verantwortlichen ergriffenen und/oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten bzw. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang stehenden Fakten, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Datenschutzbestimmungen ermöglichen.

Datenschutz im BR-Büro
4,7
336 Bewertungen
Sicherer Umgang mit sensiblen Daten - Das müssen Sie jetzt beachten!
Das neue Datenschutzrecht hat weitreichende Auswirkungen auf die Betriebe. Davon betroffen sind nicht nur Arbeitgeber. Denn auch Betriebsräte müssen die neuen Vorgaben erfüllen. Ist der Datenschutzbeauftragte auch für den Betriebsrat zuständig? Und was darf die Assistenz wissen? Antworten auf diese und weitere Fragen rund um den Datenschutz im BR-Büro erhalten Sie in diesem Seminar.
4,7
336 Bewertungen
Artikel teilen

War der Artikel hilfreich?

4
1 Bewertung

Interessante
Seminare

Praktische
Arbeitshilfen

Musterbriefe
Be­stel­lung ei­nes Da­ten­schutz­be­auf­trag­ten
Checklisten
Eck­punk­te zu IT-Be­triebs­ver­ein­ba­run­gen
Muster-Betriebsvereinbarungen
Be­triebs­ver­ein­ba­rung zum The­ma EDV
Alle anzeigen
Urteile
Alle anzeigen

Das könnte Sie interessieren
Weitere Artikel zum Thema