Wissen für BR, PR, JAV, MAV + SBV

Urteile

Wann kann der Betriebsrat vom Arbeitgeber die Herausgabe sensitiver personenbezogener Beschäftigtendaten verlangen?

  • Gericht

    Bundesarbeitsgericht vom 09.04.2019
  • Aktenzeichen

    1 ABR 51/17

Der Rechtsstreit

Im vorliegenden Fall haben sich Arbeitgeber und Betriebsrat über einen Auskunftsanspruch im Fall des Vorliegens einer Schwangerschaft gestritten. In der Vergangenheit hatte der Arbeitgeber den Betriebsrat darüber informiert, welche Arbeitnehmerin ihre Schwangerschaft angezeigt hat. Seit Mitte 2015 räumt der Arbeitgeber den schwangeren Arbeitnehmerinnen die Möglichkeit ein, der Weitergabe der Information an den Betriebsrat fristgebunden zu widersprechen.

Der Betriebsrat hat die Ansicht vertreten, der Arbeitgeber habe ihm jede von einer Arbeitnehmerin angezeigte Schwangerschaft mitzuteilen und beantragte, dem Arbeitgeber aufzugeben, ihn über alle ihm bekannt werdenden Fälle unaufgefordert zu unterrichten, auch wenn die betroffene Arbeitnehmerin einer Unterrichtung des Betriebsrats widersprochen hat.

Das Arbeitsgericht hat dem Antrag des Betriebsrats stattgegeben. Das Landesarbeitsgericht hat die Beschwerde des Arbeitgebers zurückgewiesen. Mit seiner Rechtsbeschwerde verfolgt der Arbeitgeber die Abweisung des Antrags weiter.

Das Bundesarbeitsgericht hat dazu in letzter Instanz entschieden: „Umfasst ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG eine besondere Kategorie personenbezogener Daten (sensitive Daten im datenschutzrechtlichen Sinn), ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft.“

Der Kommentar

Personenbezogene Daten der Beschäftigten sind nach der DSGVO und dem BDSG (neu) geschützt und dürfen im Rahmen des Beschäftigungsverhältnisses nur dann verarbeitet werden, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich sind und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt (§ 26 Abs. 3 BDSG neu).

Die Verarbeitung von sensitiven personenbezogenen Daten von Beschäftigten, wie zum Beispiel die Mitteilung über eine Schwangerschaft, unterliegt darüber hinaus Sonderregelungen und ist nur zulässig, wenn entsprechende Schutzmaßnahmen nach § 22 Abs. 2 BDSG durch den Arbeitgeber getroffen wurden. Ziel ist dabei die Wahrung der Interessen der betroffenen Beschäftigten. Sind solche Schutzmaßnahmen vorhanden, ist davon auszugehen, dass schutzwürdige Interessen der Beschäftigten der Datenverarbeitung nicht entgegenstehen. Fehlt es hieran, ist die Verarbeitung sensitiver Daten unzulässig.

Dies gilt auch für die Verarbeitung von sensitiven Daten durch den Betriebsrat. Das Bundesarbeitsgericht hat deshalb entscheiden, dass in diesen Fällen ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG nur dann besteht, wenn der Betriebsrat zur Wahrung der Interessen der von der Verarbeitung von sensitiven Daten betroffenen Arbeitnehmer/-innen angemessene Schutzmaßnahmen trifft.

Zu angemessenen und spezifischen Schutzmaßnahmen gehören nach § 22 Abs. 2 BDSG insbesondere:

  1. technisch-organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt,
  2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
  3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
  4. Benennung einer oder eines Datenschutzbeauftragten,
  5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und für Auftragsverarbeiter,
  6. Pseudonymisierung personenbezogener Daten,
  7. Verschlüsselung personenbezogener Daten,
  8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
  10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung gesetzlicher Vorgaben sicherstellen.

Auswirkungen auf die Praxis:


Der Betriebsrat ist verpflichtet, besondere Maßnahmen zum Schutz sensitiver personenbezogener Daten der Beschäftigten im Betriebsrat und Betriebsratsbüro zu treffen. Ohne diese Schutzmaßnahmen besteht kein Anspruch des Betriebsrats gegenüber dem Arbeitgeber auf Herausgabe von Unterlagen oder Informationen über sensitive personenbezogene Daten von Beschäftigten.  

Ohne Kenntnis dieser Daten kann der Betriebsrat aber seine Aufgaben – insbesondere zum Schutz der Beschäftigten gemäß Betriebsverfassungsgesetz – nicht erfüllen. Die Überwachung und aktive Ausübung der Beteiligungsrechte (zum Beispiel beim Arbeits- und Gesundheitsschutz) setzen mitunter Informationen über sensitive personenbezogene Daten der Beschäftigten voraus, beispielsweise über eine bestehende Schwangerschaft.

Um die Rechte aus dem Betriebsverfassungsgesetz wirksam wahrnehmen zu können, muss deshalb der Betriebsrat in die Lage versetzt werden, Maßnahmen zum Schutz der personenbezogenen sensitiven Daten der Beschäftigten treffen zu können. Daher hat der Betriebsrat gegenüber dem Arbeitgeber Anspruch auf Sachmittel sowie auf die Übernahme jener Kosten, die für die Umsetzung des Datenschutzes im Betriebsratsbüro anfallen. Dazu gehören auch die Bereitstellung der erforderlichen Hard- und Software und die Möglichkeit der Hinzuziehung von internem und externem Sachverstand (§ 80 Abs. 3 BetrVG).  

Um sich die notwendige eigene Sach- und Fachkenntnis zum Datenschutz aneignen zu können, sind darüber hinaus Seminarbesuche von Mitgliedern des Betriebsrats und den Beschäftigten im Betriebsratsbüro notwendig.
 
Zur Organisation des Datenschutzes im Büro der gesetzlichen Interessenvertretung bietet ver.di b+b spezielle Seminare an. Inhalte sind u.a. die Grundlagen des Datenschutzes, die praktische Umsetzung von Datenschutzkonzepten sowie praktische Tipps zur IT-Sicherheit und zum aktiven Schutz personenbezogener Daten im Betriebsratsbüro.

Grundseminar
Aufbauseminar

Zusammengestellt und kommentiert von Doreen Lindner, Frankfurt a.M., 17.02.2020

© ver.di Bildung + Beratung Gem. GmbH

nach oben