Zusammenfassung
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch relevante Rechtsfragen weiterhin nicht abschließend geklärt sind und die Betriebsparteien nicht selten im Umgang mit den Anforderungen des gesetzlichen Datenschutzes vor komplexen Aufgaben stehen. Ein klassisches Problem bei der Herstellung von Compliance mit Blick auf das Datenschutzrecht stellt erfahrungsgemäß der Datenschutz im Schnittfeld zur Betriebsratstätigkeit dar. Hier greift seit Juni 2021 die Regelung des neuen § 79a Betriebsverfassungsgesetz (BetrVG).
Der nachfolgende Beitrag zeigt die rechtlichen Grundsätze auf, nach denen sich die Verteilung der Verantwortlichkeit zwischen Arbeitgeber und Interessenvertretungen richtet. Um rechtliche Unsicherheiten in der Praxis zu minimieren, setzen viele Unternehmen auf den Abschluss von (Rahmen-)Betriebsvereinbarungen zum Datenschutz. Die aktuelle Rechtsentwicklung bestätigt, dass den Betriebsparteien auch hierbei rechtliche Grenzen gesetzt sind. Der Beitrag verdeutlicht dabei die unterschiedlichen Funktionen solcher Betriebsvereinbarungen und zeigt anhand von Praxisbeispielen, welche Bausteine sich bewährt haben und weshalb sie – trotz in der Praxis verbleibender Rechtsunsicherheit in Detailfragen – weiterhin sinnvoll sind.
Die EU- Datenschutz-Grundverordnung (DSGVO) trat am 20. Tag nach der Veröffentlichung in Kraft und wurde nach einer 2-jährigen Umsetzungsfrist am 25.5.2018 geltendes Recht.
Das Bundesdatenschutzgesetz (BDSG) ist zeitgleich am 25.5.2018 in Kraft getreten.
Das Betriebsrätemodernisierungsgesetz ist am 18.6.2021 mit dem § 79a BetrVG in Kraft getreten, der die datenschutzrechtliche Verantwortlichkeit im Verhältnis von Arbeitgeber und Betriebsrat festlegt.
1 Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat
Adressat des alten wie des seit 2018 geltenden Datenschutzrechts ist der "Verantwortliche", also etwa eine juristische Person, die personenbezogene Daten verarbeitet. Der Verantwortliche ist u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte. Er muss die Einhaltung des Datenschutzes nachweisen und für Verstöße geradestehen, denn Schadensersatzansprüche von Betroffenen und – mit der DSGVO massiv erhöhte – Bußgelder seitens der Aufsichtsbehörden richten sich primär und unmittelbar gegen den Verantwortlichen. Daneben kommt jedenfalls im deutschen Ordnungswidrigkeitenrecht auch stets eine Haftung der einzelnen handelnden Person in Betracht.
Der für die Systematik des Datenschutzrechts zentrale Begriff des "Verantwortlichen" soll zunächst näher erörtert werden, um die Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat aufzuzeigen.
1.1 "Verantwortlicher" im Sinne des Datenschutzrechts
"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".
Nach dieser Definition ist jedenfalls der Arbeitgeber selbst als juristische Person Adressat des Datenschutzrechts für alle im Unternehmen stattfindenden Verarbeitungen personenbezogener Daten. Eine allgemeine und pauschale "Konzernverantwortung", also eine Verantwortlichkeit des herrschenden Unternehmens eines Konzerns, für alle Ve...