Die Betriebsparteien sind grundsätzlich gut beraten, wenn sie die Verteilung der Verantwortung für den Datenschutz sowie entsprechende Prozesse gemeinsam in einer Betriebsvereinbarung regeln. Diese ist das geeignete Instrument, um das Spannungsfeld von datenschutzrechtlicher Compliance, für die der Arbeitgeber verantwortlich ist (s. o. Abschn. 1) und Unabhängigkeit des Betriebsrats aufzulösen oder zumindest abzumildern.
Eine explizite Regelung der offenen Fragen ist dabei im Interesse beider Seiten. Sie kann Rechtssicherheit schaffen und die von der DSGVO geforderte Transparenz umsetzen. In der Beratungspraxis sollte dies von vornherein klargestellt werden, um effiziente und lösungsorientierte Gespräche und Verhandlungen zu gewährleisten. Nur durch eine vertrauensvolle Zusammenarbeit können Arbeitgeber und Betriebsrat ihrer gemeinsamen Verantwortung für die Umsetzung unterschiedlicher Vorgaben der DSGVO und des BDSG gerecht werden. Ein freies Ermessen, insbesondere ein solches zur Absenkung des Schutzstandards der DSGVO, steht den Betriebsparteien hierbei allerdings nicht zu.
Nachfolgend werden einige Brennpunkte dargestellt, bei denen eine Vereinbarung bzw. eine abgestimmte Vorgehensweise zwischen Arbeitgeberseite und Interessenvertretungen besonders hilfreich sein kann.
2.1 Verarbeitungsverzeichnis
Ein Erfordernis der Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bzw. ein Regelungsbedürfnis für eine trennscharfe Abgrenzung der Verantwortungsbereiche besteht zunächst mit Blick auf das nach Art. 30 DSGVO zu erstellende sogenannte Verarbeitungsverzeichnis.
Nach Art. 30 Abs. 1 Satz 1 DSGVO ist grundsätzlich jeder Verantwortliche dazu verpflichtet (Ausnahme Abs. 5: weniger als 250 Mitarbeiter und risikoarme Verarbeitung), ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Dieses Verzeichnis enthält die in Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Pflichtangaben, u. a. die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, etc. Erste aufsichtsbehördliche Muster verdeutlichen den Aufwand, der mit der Erstellung und fortlaufenden Pflege dieses Verzeichnisses verbunden ist. Die in Umsetzungsprojekten zur Herstellung von Datenschutz-Compliance gesammelten Erfahrungen zeigen, dass hier eine entsprechend gestaltete Datenbank oder eine Legal-Tech-Anwendung eine praxisgerechte Lösung zur Erfüllung der rechtlichen Anforderungen an ein Verarbeitungsverzeichnis bieten können.
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht). Wird das Verarbeitungsverzeichnis pflichtwidrig nicht oder nicht ordnungsgemäß geführt, drohen den Verantwortlichen nach Art. 83 Abs. 4 Buchst. a DSGVO erhebliche Bußgelder.
Der Arbeitgeber hat daher ein hohes Interesse daran, ein vollständiges und korrekt geführtes Verarbeitungsverzeichnis zu erstellen und zu pflegen.
Ein Blick auf die Pflichtinhalte nach Art. 30 Abs. 1 Satz 2 DSGVO macht deutlich, dass er ohne Unterstützung seitens des Betriebsrats nicht die vom Betriebsrat durchgeführten Datenverarbeitungen wie vom Gesetz verlangt dokumentieren kann. Daher sollte hier der Betriebsrat in die Pflicht genommen werden, indem er entweder für seinen Bereich selbstständig ein entsprechendes Verzeichnis führt oder indem Prozesse vereinbart werden, inwiefern der Betriebsrat den für die Erstellung und Pflege des Verzeichnisses zuständigen Stellen des Arbeitgebers die notwendigen Informationen zuliefert.
2.2 Datenschutz-Folgenabschätzung
Ähnlich wie beim Verarbeitungsverzeichnis kann eine Mitwirkung des Betriebsrats auch bei der nach Art. 35 DSGVO erforderlichen Datenschutz-Folgenabschätzung zweckmäßig sein, soweit es um die Verarbeitung personenbezogener Daten von Arbeitnehmern (auch) durch den Betriebsrat geht. Zwar werden Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG im Rahmen einer Datenschutz-Folgenabschätzung in der Regel nicht einschlägig sein. Denn grundsätzlich beziehen sich die im Rahmen von Art. 35 DSGVO vorzunehmenden Wertungen auf die abstrakte Frage der Zulässigkeit von Datenverarbeitungen und nicht auf die konkrete Darstellung einzelner personenbezoge...