2. Betriebsrat und Datenschutz (1)
Betriebsrat als eigene verantwortliche Stelle
im Sinne des Art. 4 Nr. 7 DSGVO?
• in Art. 4 Nr. 7 Hs. 2 DSGVO nicht geregelt - die genannten
Organisationsformen werden aber grundsätzlich einheitlich als
Verantwortliche aufgefasst
• Wortlaut des§26 I (1) BDSG spricht dafür, dass Betriebsrat
und Arbeitgeber nicht zwei Verantwortliche sind
• Landesdatenschutzbeauftragte beurteilen die Frage bisher
uneinheitlich (Tendenz: Betriebsrat idR Verantwortlicher,
Personalrat idR nicht)
3. Betriebsrat und Datenschutz (2)
• BAG hat bisher nicht über die Frage entschieden, ob ein
Betriebsrat Verantwortlicher ist
• BAG (1 ABR 53/17) weist darauf hin, dass der Betriebsrat,
unabhängig von seiner formalen Einordnung, seinerseits die
materiellen Datenschutzbestimmungen einzuhalten hat
• BAG (1 ABR 51/17) bezeichnet Erfüllung des
betriebsverfassungsrechtlichen Auskunftsanspruches (§80
II 1 BetrVG) als „betriebsinterne Datenverarbeitung“
• BAG (1 ABR 53/17) räumt dem § 26 I BDSG den Vorrang
vor betriebsverfassungsrechtlichen Mitwirkungsrechten ein
4. Betriebsrat und Datenschutz (3)
• auch wenn Betriebsrat nicht selbst Verantwortlicher iSd Art. 4
Nr. 7 DSGVO ist, müssen datenschutzrechtliche Vorgaben
eingehalten werden und die Datenverarbeitung durch den
Betriebsrat bedarf einer Erlaubnisnorm
• Lösung (Gesamt-)Betriebsvereinbarung (BV) als
datenschutzrechtlicher Erlaubnistatbestand, z.B. mit folgenden
Regelungen:
• Betriebsrat ist nicht Verantwortlicher
• Betriebsrat unterstützt Arbeitgeber bei Erfüllung der DSGVO-
Verpflichtungen bei vom Betriebsrat durchgeführten Verarbeitungen
• Betriebsrat hat das Recht Daten vom Arbeitgeber zu verlangen
• BV als Rechtsgrundlage für Datenverarbeitungen
5. Videokonferenzsysteme und Datenschutz beim BR (1)
• „Arbeit-von-morgen-Gesetz“ (BT-Drs. 19/18753) erklärt mit
Einführung des § 129 BetrVG Beschlussfassungen des
Betriebsrats mittels Videokonferenz und virtuelle
Betriebsversammlungen bis zum 31.12.2020 für zulässig
• für Datenverarbeitung bei digitaler Betriebsratssitzung ist
Rechtsgrundlage erforderlich (z.B. Art. 6 I (1) lit. c) oder f)
DSGVO, § 26 I (1) BDSG
• bei mittels Videokonferenz durchgeführter Betriebsratssitzung
muss sichergestellt werden, dass Dritte vom Inhalt der Sitzung
keine Kenntnis nehmen können (§ 129 I 1 BetrVG )
6. Videokonferenzsysteme und Datenschutz beim BR (2)
• Verbindung muss verschlüsselt sein und die
Betriebsratsmitglieder müssen für Sitzung einen
nichtöffentlichen Raum nutzen (BT-Drs. 19/18753, S. 28)
• Aufzeichnungen sind ausdrücklich untersagt (§ 129 I 2 BetrVG)
• Schutz der Daten ist also durch geeignete technische und
organisatorische Maßnahmen sicherzustellen
• Art. 32 I DSGVO fordert angemessenes Schutzniveau, jedoch
keinen absoluten Schutz der Daten
7. Videokonferenzsysteme und Datenschutz (1)
• Bei der Auswahl eines Dienstes sollte der Datenschutzbeauftragte
involviert werden
• Nach § 87 Abs. 1 Nr. 6 BetrVG muss der Betriebs- oder
Personalrat beteiligt werden, da sich Konferenzdienste zur
Überwachung der Mitarbeiter objektiv eignen
• Betriebsvereinbarungen zur Onlinekonferenznutzung, Home-Office,
Datenschutz, IT-Nutzung (Hardware und Software)
8. Videokonferenzsysteme und Datenschutz (2)
• Wenn möglich Lösungen mit Verschlüsselung nutzen
(auch wg. Geschäftsgeheimnisgesetz)
• Auftragsverarbeitungsvertrag abschließen und Datenschutzniveau
bei Anbietern aus Drittländern sicherstellen
• Voreinstellungen datenschutzfreundlich gestalten
• Dienst in Verarbeitungsverzeichnis aufnehmen
• Beschäftigte und Teilnehmer*innen informieren (Art. 12 ff DSGVO)
• Problem: Teilweise Intransparenz der Anbieter hinsichtlich Trackings
9. Home-Office und Datenschutz (1)
• spezielle gesetzliche Vorschriften zu Home-Office oder mobilem
Arbeiten gibt es nicht
• Unternehmen ist als verantwortliche Stelle für die Einhaltung
des geltenden Datenschutzrechts verantwortlich und haftet
• vertragliche Regelung über die Tätigkeit im Home-Office ist zu
empfehlen
• es sind geeignete technische und organisatorische Maßnahmen
zu treffen (Art. 24 DSGVO)
10. Home-Office und Datenschutz (2)
• für die Arbeit im Homeoffice muss eine
Datenschutzvereinbarung getroffen oder Betriebsvereinbarung
geschlossen werden (mit Kontrollrecht des Arbeitgebers bzw.
des Datenschutzbeauftragten)
• nachträgliche Zuweisung des Arbeitsorts „Home-Office“ stellt
eine Versetzung dar – unterliegt Mitbestimmung § 99 I BetrVG
• Musterrichtlinie bei RA Stephan Hansen-Oest
(https://www.datenschutz-guru.de/corona-virus-richtlinie-zur-heimarbeit-home-office-zum-download/ )
• Beschäftigte sollten geschult und sensibilisiert werden (z.B. mit
Awareness-Kampagnen)
11. Home-Office (mobiles Arbeiten) und Datenschutz
• Für technische Hinweise hilfreich „OPS.1.2.4 Telearbeit“ des IT-
Grundschutz-Kompendium des BSI
(https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_2_4_Telearbeit.html)
• Checkliste
• Arbeitsplatz sollte sich in einem separaten, abschließbaren Zimmer befinden
• betriebliche Unterlagen sollten abgeschlossen aufbewahrt werden.
• keine private Nutzung von betrieblicher IT-Ausstattung
• Festplatten, USB-Sticks und sonstige externe Datenträger (sowie E-Mails)
sollten verschlüsselt werden
• Zugang zu Unternehmens-Systemen nur mit Zwei-Faktor-Authentifizierung
• keine Weiterleitung beruflicher E-Mails an private Mailadressen
• keine Entsorgung betrieblicher Unterlagen über den Hausmüll
12. Entscheidungen des BAG „zur" DSGVO
• Videoüberwachung (noch zu BDSG), Urteil v. 23.8.2018 – 2 AZR 133/18
• Einsichtnahme in den Dienstrechner des Arbeitnehmers (noch zu BDSG),
Urteil v. 31.1.2019 – 2 AZR 426/18
• Auskunftsanspruch des Betriebsrats nach § 80 II 1 BetrVG, Urteil v.
9.4.2019 – 1 ABR 51/17
• Einsichtnahme in Bruttogehaltslisten mit Klarnamen durch den Betriebsrat,
Urteil v. 7.5.2019 – 1 ABR 53/17
• Einigungsstellenspruch zum betrieblichen Eingliederungsmanagement,
Beschluss vom 19.11.2019 – 1 ABR 36/18
• Datenschutzbeauftragter – Sonderkündigungsschutz,
Urteil v. 5.12.2019 – 2 AZR 223/19
13. Vielen Dank für Ihre Aufmerksamkeit.
Rechtsanwalt Stephan Schmidt
Fachanwalt für Informationstechnologierecht
CIPP/E
TCI Rechtsanwälte
Isaac-Fulda-Allee 5
D-55124 Mainz
Telefon: +49 - (0) 6131 - 302 90 460
E-Mail: sschmidt@tcilaw.de
Internet: www.tcilaw.de
Twitter: @stephanschmidt
Editor's Notes
BR ist Interessenvertretung mit Oppositionsfunktion, PR ist Mitverwaltung in Kooperation