Datenschutz in der Betriebsratsarbeit

Fragen und Antworten zum Beschäftigtendatenschutz Teil II

Beschaeftigtendatenschutz

Mit Inkrafttreten der auf europäischer Ebene beschlossenen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sowie dem daraus abgeleitetem österreichischen Datenschutz-Anpassungsgesetz, folgten auch im Bereich des ArbeitnehmerInnen-Datenschutzes wesentliche Änderungen. Daher beschäftigt sich der zweite Teil unserer Reihe „Fragen und Antworten zum Beschäftigtendatenschutz“ insbesondere mit Fragen und Antworten rund um den Beschäftigtendatenschutz in Zusammenhang mit der Betriebsratsarbeit:

1. Wie könnte ein gemeinsames Vorgehen von ArbeitgeberIn und Betriebsrat aussehen?

In Österreich hat sich vor allem in größeren Unternehmen der Abschluss einer sogenannten Rahmen-Betriebsvereinbarung etabliert. Diese regelt die innerbetriebliche Datenverarbeitung personenbezogener Daten und stellt als Rahmenvereinbarung allgemeine Regeln im Umgang mit personenbezogenen Daten auf. Sie gilt umfassend für alle bereits im Unternehmen eingesetzten sowie zukünftigen Systeme und beinhaltet zum einen technische Aspekte wie etwa, welche Daten erfasst und ausgewertet werden dürfen, welche Zugriffsrechte vorgesehen sind oder an welche Drittsysteme personenbezogene Daten übermittelt werden. Zum anderen finden sich in der Vereinbarungen auch organisatorische Regelungen wie etwa, in welcher Form der Betriebsrat informiert und in Änderungsprozesse einbezogen wird oder welche Rechte und Pflichten die Beschäftigten besitzen, deren Daten verarbeitet werden 

2. Wie könnte ein gemeinsames Vorgehen von ArbeitgeberIn und Betriebsrat aussehen?

Aufgaben, die ein/e Datenschutzbeauftragte/r (DSB) – im Englischen auch Data Protection Officer (DPO) – mindestens zu erfüllen hat, sind in Art 39 DSGVO beschrieben, und umfassen:

Unterrichtung
Der/Die DSB/DPO hat den/die Verantwortliche/n bzw. den/die AuftragsverarbeiterIn und die Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten zu unterrichten. Unterrichtung meint in diesem Zusammenhang Information über bestehende datenschutzrechtliche Vorgaben. 

Überwachung
Der/Die DSB/DPO dient als unabhängige Kontrollinstanz und wird eingerichtet, um die Einhaltung der datenschutzrechtlichen Bestimmungen organisationsintern zu überwachen und regelmäßig zu prüfen. Gemeint sind datenschutzrechtlich relevante Prozesse, IT-Systeme, Schulungsunterlagen, Verträge etc. Die Berichterstattung über die Ergebnisse erfolgt in Form eines Datenschutzberichts direkt an die oberste Management-Ebene.

Beratung
Der/Die DSB/DPO beurteilt konkrete Fragen der Verantwortlichen oder der MitarbeiterInnen datenschutzrechtlich und stellt seine/ihre Expertise zur Verfügung, um eine datenschutzkonforme Gestaltung der Prozesse und Systeme zu ermöglichen.

Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
Der/Die DSB/DPO ist Anlaufstelle für die Aufsichtsbehörde in allen mit der Verarbeitung zusammenhängenden Fragen. Auf diese Weise wird sichergestellt, dass Anfragen und Schriftstücke der Behörde von einer fachlich kompetenten Person entgegengenommen und fristgerecht beantwortet werden.

3. Wann muss zwingend eine/n DSB/DPO bestellt werden?

  • Wenn es sich um eine Behörde oder öffentliche Stelle handelt.
  • Wenn die Kerntätigkeit des Unternehmens in Verarbeitungsvorgängen besteht, die die umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erforderlich machen.
  • Wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler oder strafrechtlich relevanter Daten besteht.

4. Können Rechte, die sich aus der DSGVO ergeben, vom Betriebsrat geltend gemacht werden?

Das Recht auf Datenschutz ist ein höchstpersönliches. Etwaige Ansprüche können daher nur von Betroffenen selbst geltend gemacht werden. Dem Betriebsrat (BR) wird allerdings ein umfassendes Interventionsrecht in allen Belangen, die die sozialen, wirtschaftlichen, gesundheitlichen und kulturellen Interessen der Belegschaft betreffen, eingeräumt. Bei Verstößen gegen datenschutzrechtliche Bestimmungen kann der BR daher bei der Datenschutzbehörde intervenieren.

5. Welche Maßnahmen kann der BR setzen, falls der/die AG eine Maßnahme ohne Zustimmung des BR einführt?

Zur Einführung von Kontrollmaßnahmen bedarf es in Betrieben mit BR zwingend auch der Zustimmung des Betriebsrats. Wird trotz fehlender Zustimmung (bspw. in Form einer Betriebsvereinbarung) vom AG eine solche Maßnahmen eingeführt, kann der BR einen Unterlassungsanspruch gegenüber dem AG geltend machen.

6. Was bedeutet die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen des BR?

Der BR hat die Datensicherheit und den Datenschutz der von ihm verarbeiteten personenbezogenen Daten sicherzustellen. Die entsprechenden Maßnahmen können technischer und/oder organisatorischer Art sein, müssen aber entsprechend der Schutzwürdigkeit der jeweiligen Datenkategorie angemessen sein. Angaben über ArbeitnehmerInnen, aus denen bspw. Schlüsse auf deren Gesundheit gezogen werden können, sind besonders gesichert aufzubewahren und für Unbefugte unzugänglich zu machen. Um einen entsprechenden Überblick über alle Datenverarbeitungen und deren Datenkategorien zu haben, empfiehlt sich allein deshalb die Führung eines Verzeichnisses der Verarbeitungstätigkeiten (siehe auch Teil I der Reihe „Fragen und Antworten rund um den Beschäftigtendatenschutz“).

Das Buch kann hier über unseren Onlineshop bestellt werden.

Bei den Antworten handelt es sich um Exzerpte aus dem Buch „Beschäftigtendatenschutz“. 

Überblick über die im Beitrag genutzten Kapitel:
Frage 1: Kapitel 16 – Etablierung einer betrieblichen Datenschutzkultur
Frage 2 & 3: Kapitel 17 – Wer? Wie? Wann? Warum? Wieso? Fragen rund um den/die Datenschutzbeauftragte/n
Frage 4 & 5: Kapitel 18 – Interventionsmöglichkeiten für Beschäftigte
Frage 6: Kapitel 19 – Datenschutz im BR-Büro