Datenschutz gilt auch für Betriebsräte

Ein kurzer Querschnitt der DSGVO: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Name, Alter, Adresse, Familienstand, Standortdaten, …). Die Verarbeitung solcher Daten ist nur dann rechtmäßig, wenn eine der folgenden Voraussetzungen erfüllt ist:

1. Einwilligung der betroffenen Person
2. Vertrag oder Vertragsanbahnung
3. Rechtliche Verpflichtung des Verantwortlichen
4. Öffentl. Interesse / öffentl. Aufgabe
5. Lebenswichtige Interessen der betroffenen Person od. eines Dritten
6. Berechtigtes Interesse des Verantwortlichen oder eines Dritten

Basiert die Verarbeitung auf der Einwilligung der betroffenen Person, ist unbedingt auf das Recht hinzuweisen, diese jederzeit widerrufen zu können. Bei der Rechtsgrundlage „berechtigtes Interesse“ besteht ein Widerspruchsrecht der betroffenen Person, auf welches gesondert hinzuweisen ist. Für jede Verarbeitung personenbezogener Daten braucht es einen legitimen Zweck (z.B. Personalverwaltung, Mitgliederzeitung, Betriebsausflug, …). Schlussendlich regelt die DSGVO die Rechte der betroffenen Personen: Recht auf Auskunft und Berichtigung, Recht auf Löschung oder Einschränkung der Verarbeitung, Recht auf Widerspruch.

Aber auch im Betriebsratsbüro fallen jede Menge Beschäftigtendaten an, die der Betriebsrat zur Erfüllung seiner Aufgaben braucht. Somit unterliegt auch die Belegschaftsvertretung den Bestimmungen der DSGVO. Zur Planung und Umsetzung der datenschutzrechtlichen Anforderungen rät die NÖ LAK, ein Verzeichnis der 

Verarbeitungstätigkeiten anzulegen, in das folgendes einzutragen ist:

• Welche Daten hat der Betriebsrat?
• Was macht er damit?
• Ermittlung des Betroffenenkreises (aktive Mitarbeiter, ausgeschiedene AN, AG, externe Dritte)
• Auflistung des Empfängerkreises
• Prüfung der Grundsätze für die Verarbeitung personenbezogener Daten insb. Rechtmäßigkeit; rechtliche Grundlage der Datenverwendung (z.B. Gesetz, Kollektivvertrag oder Betriebsvereinbarung, Zustimmung der AN für sonstige Daten)
• Festsetzung von Löschfristen

In der DSGVO sind auch sogenannte Öffnungsklauseln enthalten, die dem nationalen Gesetzgeber gewisse Spielräume offen lassen. Zur Durchführung dieser Öffnungsklauseln wurde in Österreich das Datenschutzgesetz 2018 (Novelle des DSG 2000) beschlossen. Darin ist festgeschrieben, dass in der Arbeitsverfassung verankerte Rechte des Betriebsrates durch die DSGVO nicht eingeschränkt oder aufgehoben werden. Das bedeutet, dass die Mitbestimmungsrechte des Betriebsrates von der DSGVO nicht berührt werden. Der Arbeitgeber darf also nicht – unter Hinweis auf die DSGVO – die Informations- und Einsichtsrechte des Betriebsrates beschränken.

Da bei ungerechtfertigten Eingriffen in die Persönlichkeitsrechte in Extremfällen nun hohe Strafen drohen, wird auf Dienstgeberseite nun die Notwendigkeit erkannt, den arbeitsverfassungsrechtlichen Verpflichtungen nachzukommen. Daher wird in letzter Zeit vermehrt die rasche Unterzeichnung dementsprechender Betriebsvereinbarungen gefordert. Relevante BV-Tatbestände wären zum Beispiel Personalfragebögen oder Kontrollmaßnahmen wie GPS oder Videoüberwachung. Es ist eine wichtige Aufgabe des Betriebsrates, diese Vereinbarungen, insbesondere bei Überwachungstatbeständen kritisch zu durchleuchten, das berechtigte Interesse des Arbeitgebers an der Verarbeitung der jeweiligen personenbezogenen Daten zu hinterfragen und für eine ausgewogene Berücksichtigung beidseitiger Interessen zu sorgen. Die neue Verordnung bringt mit sich, dass die früher vielfach nur am Papier bestandenen Mitwirkungsrechte des Betriebsrates in Bezug auf den Persönlichkeitsschutz nun konkrete Formen annehmen werden. Der Betriebsrat sollte auf alle Fälle dafür sorgen, dass ihm weitgehende Kontrollrechte eingeräumt werden.  

Personenbezogene Daten sind unerlässlich für gute Betriebsratsarbeit. Effektiver Datenschutz und ein effektiver Schutz der Persönlichkeitsrechte geht nicht ohne eine funktionierende Interessenvertretung.