Betriebsrat & DSGVO – was ist formal zu beachten (Teil 1)?
Mitte 2021 trat das Betriebsrätemodernisierungsgesetz in Kraft. Es änderte verschiedentlich das Betriebsverfassungsgesetz (BetrVG), u.a. führte es mit § 79a einen neuen Paragrafen zum Datenschutz ein. Damit klärte der Gesetzgeber, dass ein Betriebsrat (BR) Teil des Arbeitgebers und allein dieser der Verantwortliche ist. Ebenso stellte er klar, dass sich ein BR an die Datenschutz-Grundverordnung (DSGVO) halten muss. Damit ergeben sich jedoch weitere Fragen:
- Benötigt ein BR ein eigenes Verzeichnis der Verarbeitungstätigkeiten?
- Muss er Daten löschen, braucht er ein eigenes Löschkonzept?
- Wie geht er mit Auskunftsersuchen um?
- Muss ein BR eigene Datenschutzhinweise zur Verfügung stellen?
Bis zur DSGVO war vorherrschende Meinung, dass der BR nur Teil des Arbeitgebers war. Eine Formulierung in Art. 4 Nr. 7 DSGVO zum Verantwortlichen führte aber dazu, dass manche – z.T. auch einige Aufsichtsbehörden – die Meinung vertraten, dass der BR ein eigener Verantwortlicher sei, nämlich eine sogenannte „andere Stelle“. Die wohl überwiegende Gegenmeinung sah den Betriebsrat dagegen als Teil des Arbeitgebers, der allein die verantwortliche Stelle sei.
Mit § 79a BetrVG sorgte der Gesetzgeber für Klarheit: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Ve…