Datenschutzvorfälle bei der Betriebsratsarbeit

Die datenschutzrechtliche Verantwortlichkeit der Arbeitgeber für die Tätigkeiten der Betriebsräte stellt beide Betriebsparteien vor nicht unerhebliche Herausforderungen und birgt Konfliktpotential. Denn Betriebsräte agieren für gewöhnlich gegenüber den Arbeitgebern selbstständig und weisungsfrei. Gerade der Umgang mit Datenschutzvorfällen in der Sphäre des Betriebsrats birgt Herausforderungen. Wie erfährt der Arbeitgeber von einem Vorfall, wer kümmert sich um die Sachverhaltsaufklärung und wer meldet den Vorfall der Aufsichtsbehörde, falls eine Meldung erforderlich ist? Insofern bedarf es klarer Absprachen und interner Prozesse, um solche Datenschutzvorfälle entsprechend der gesetzlichen Vorgaben zu behandeln.

Zunächst ist es wichtig, dass das Vorliegen einer Datenpanne schnellstmöglich erkannt, die Meldepflichtigkeit der Datenpanne geprüft und dann in richtiger Weise gehandelt wird.

Wann liegt eine (meldepflichtige) Datenpanne vor?

Um zu prüfen, ob bei einer Datenpanne eine Meldepflicht gegeben ist, können verschiedene Kriterien herangezogen werden. Diese werden im Folgenden erläutert.

1. Verletzung des Schutzes personenbezogener Daten

Eine Verletzung des Schutzes personenbezogener Daten (ugs.: Datenpanne) ist in Art. 4 Nr. 12 DSGVO legaldefiniert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Typische Fälle von Datenpannen sind

• • das Abhandenkommen von Unterlagen, welche personenbezogene Daten enthalten (z. B. Bewerbungsunterlagen zur Einholung der Zustimmung des Betriebsrats),
  • die Fehlversendung von Unterlagen (z. B. E-Mails mit sensiblen Inhalten, die an falsche Empfänger*Innen adressiert sind),
  • der Diebstahl von elektronischen Datenträgern (z. B. ein Notebook oder eine externe Festplatte wird gestohlen) oder
  • eine Cyberattacke (z. B. Hacking, Verschlüsselungstrojaner).

2. Risiko für die Rechte und Freiheiten natürlicher Personen

Ferner muss für das Vorliegen einer meldepflichtigen Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen gegeben sein. Das Risiko bemisst sich dabei aus der Beziehung zwischen der Schwere des Schadens und dessen Eintrittswahrscheinlichkeit. Je höher der anzunehmende Schaden ist, desto geringer sind die Anforderungen an die Wahrscheinlichkeit seines Eintritts. Im Ergebnis ist insofern eine Risikobetrachtung vorzunehmen.

Die Art.-29-Gruppe (ein mittlerweile aufgelöstes Beratergremium der EU-Kommission) sieht bei der Risikobetrachtung die folgenden Kriterien vor (Art-29-Gruppe, Working Paper 250 rev. 01 S. 27 f.):

• • Art des Sicherheitsbruchs (Unautorisierter Zugriff ist oft gravierender als Datenverlust)
  • Art und Umfang der Daten
  • Identifizierbarkeit (Wie einfach und wahrscheinlich ist es, dass ein Dritter, der unautorisierten Zugriff nimmt, den Personenbezug herstellen kann?)
  • spezielle Umstände hinsichtlich der Betroffenen (z. B. Kinder als Betroffene, besondere Schutzbedürftigkeit des Betroffenen aufgrund von Behinderungen)
  • spezielle Umstände hinsichtlich des Verantwortlichen (z. B. eine medizinische Einrichtung)
  • Anzahl der Betroffenen
  • zu erwartende Konsequenzen der Datenpanne

Zu den Konsequenzen nennt Erwägungsgrund 85 der DSGVO typische Fallgruppen:

• • Verlust der Kontrolle über die eigenen Daten
  • Einschränkung von Rechten
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verletzung des Berufsgeheimnisses
  • andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile

Wann kann auf die Meldung einer Datenpanne verzichtet werden?

Wichtig im Hinblick auf das Vorliegen der Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten ist der Umstand, dass nur dann rechtssicher vom Nichtbestehen einer Meldepflicht ausgegangen werden kann, wenn sichergestellt ist, dass für die Rechte und Freiheiten der betroffenen Personen kein Risiko besteht, wie z. B. beim Diebstahl eines USB-Sticks, auf dem die dort vorhandenen personenbezogenen Daten entsprechend verschlüsselt gespeichert sind. Angesichts des Umstandes, dass bei einem Unterbleiben der Meldung einer meldepflichtigen Datenpanne nach Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld in Höhe von bis zu 10.000.000 € oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden kann, muss die Frage des Bestehens einer Ausnahme von der Meldepflicht sorgfältig geprüft werden.

Meldung von Datenpannen im Betriebsrat

Die Einschätzung, ob eine meldepflichtige Datenpanne vorliegt, kann im Einzelfall äußerst schwierig sein. Da die Verantwortlichkeit und somit die Haftungsgefahr beim Arbeitgeber liegt, sollte mit dem Arbeitgeber im Vorfeld besprochen werden, wer die Bewertung der Meldepflicht vornimmt, wenn im Betriebsrat eine Datenpanne passiert. In jedem Fall ist es sinnvoll hier den/die Datenschutzbeauftragte*n einzubeziehen. Der Betriebsrat sollte hier keine Alleingänge unternehmen, sondern mit offenen Karten spielen.

Damit die Abläufe im Fall der Fälle klar sind, sollte schon vorab zwischen den Betriebsparteien eine klare Rollenverteilung vereinbart werden. Einen Formulierungsvorschlag finden Sie in § 9 der Regelungsabrede, die Sie im Bereich Musterdokumente herunterladen können.

Welche Vorkehrungen zur Vermeidung bzw. zum datenschutzkonformen Umgang mit einer Datenpanne sollten getroffen werden?

Auch im Falle der rechtzeitigen Meldung einer Datenpanne kann nicht ausgeschlossen werden, dass – aufgrund der bereits vorliegenden Verletzung datenschutzrechtlicher Pflichten – seitens der Datenschutzaufsichtsbehörde ein Bußgeld verhängt wird. Zudem könnte den von der Datenpanne betroffenen Personen auch ein Schaden entstanden sein, wofür der Verantwortliche – also der Arbeitgeber – z. B. nach Art. 82 DSGVO schadensersatzpflichtig sein kann.

Daher ist es umso wichtiger, dass bereits im Vorfeld entsprechende Maßnahmen getroffen werden, durch die das Risiko einer Datenpanne minimiert bzw. ausgeschlossen wird. Darunter fallen insbesondere regelmäßige Schulungen der Mitarbeitenden im Datenschutzrecht sowie die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM), bspw. eine wirksame Verschlüsselung der personenbezogenen Daten auf mobilen Datenträgern.

Zusätzlich zu den allgemeinen Maßnahmen des Arbeitgebers sollte der Betriebsrat auch eigene Maßnahmen treffen, um Datenpannen zu vermeiden. Im Umgang mit personenbezogenen Daten sollten die Betriebsratsmitglieder besonders sorgsam vorgehen.

Der Arbeitgeber sollte bereits im Vorfeld dafür sorgen, dass ein entsprechender Prozess zum Umgang mit Datenpannen vorhanden und den Mitarbeitenden auch bekannt ist. Im Idealfall sollte es so sein, dass sofort nach Kenntnisnahme einer Datenpanne in einem Unternehmen die diesbezüglich zuständigen Stellen (z. B. die/der Datenschutzbeauftragte, die/der Datenschutzkoordinator/in, Rechtsabteilung, Geschäftsleitung etc.) unterrichtet werden.

Fazit zum Umgang mit einer Datenpanne in der Sphäre des Betriebsrats

Zusammenfassend lässt sich somit festhalten, dass durch den richtigen Umgang mit einer Datenpanne – auch bei Datenpannen in der Sphäre des Betriebsrats – etwaige daraus resultierende negative Folgen (z. B. Bußgeld, Schadensersatz, Imageverlust) erheblich begrenzt werden können. Betriebsräte sollten sich bewusst machen, dass auch sie nicht davor gefeit sind Datenpannen zu verursachen. Der richtige Umgang und die Kooperation mit dem Arbeitgeber sind dann entscheidend, um weiteren Schaden abzuwenden. Das Vertuschen von Vorfällen ist keine Option und rechtswidrig!

Gerade bei der Sachverhaltserfassung ist der Arbeitgeber auf die Unterstützung durch den Betriebsrat angewiesen, insofern hat der Betriebsrat die entsprechenden Informationen zur Verfügung zu stellen. Die weiteren Schritte (Meldung der Datenpanne, Benachrichtigung der betroffenen Personen und Dokumentation des Vorfalls) liegen dann im Verantwortungsbereich des Arbeitgebers. Weitere Informationen zur Meldung und zur Benachrichtigung von betroffenen Personen finden Sie hier.