Datenpanne innerhalb des Betriebsrats
Es kann schneller passieren, als es dem Betriebsrat lieb ist: Eine externe Speicherplatte mit personenbezogenen Daten wird in der S-Bahn geklaut oder vergessen, eine E-Mail mit entsprechenden Inhalten an falsche Adressaten gesandt oder im BR-Büro verschwindet ein USB-Stick mit Sozialdaten. Was dann?
Die Datenpanne nach Art. 33 DSGVO
Passieren solche Dinge, handelt es sich um eine Datenpanne nach Art. 33 DSGVO innerhalb der Sphäre des Betriebsrats.
Die Pflicht des Betriebsrats
Es besteht eine eigenständige Verpflichtung des Betriebsrats, solche Datenpannen zu erkennen und schnellstmöglich dem Arbeitgeber mitzuteilen.
Arbeitgeber ist Verantwortlicher
Nicht der Betriebsrat, sondern der Arbeitgeber ist grundsätzlich Verantwortlicher und muss nach Art. 24 DSGVO sicherstellen, dass die Datenverarbeitung datenschutzkonform erfolgt. Aber das BAG hat dem Betriebsrat eine eigene Verantwortlichkeit im Rahmen der technischen und organisatorischen Maßnahmen zugewiesen, die auch von der Aufsichtsbehörde geprüft werden kann.
Betriebsrat sollte vorbereitet sein
Einzelheiten zu den Verantwortlichkeiten sind immer noch nicht abschließend geklärt. Klar ist aber, dass der Betriebsrat auf solche Datenpannen vorbereitet sein sollte, bestenfalls nach Rücksprache mit dem Datenschutzbeauftragten und dem Arbeitgeber. Fest steht zudem, dass der Betriebsrat auch für die Sicherheit seiner Daten verantwortlich ist.
Die Verpflichtung des Arbeitgebers
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche (hier also der Arbeitgeber) die Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Kenntnis der Verletzung der zuständigen Aufsichtsbehörde. Etwas anderes gilt nur, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist der verspäteten Meldung eine Begründung für die Verzögerung beizufügen.
Die Meldung muss zumindest die folgenden Informationen enthalten:
- Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Datensätze
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Beschreibung der von dem Verantwortlichen ergriffenen und/oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten bzw. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang stehenden Fakten, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Datenschutzbestimmungen ermöglichen.