Nahezu in jeder Lebenssituation werden personenbezogene Daten von Betroffenen verarbeitet. Dabei hat jede bzw. jeder einzelne Betroffene grundsätzlich das Recht, selbst darüber zu entscheiden, wem gegenüber sie oder er seine personenbezogenen Daten preisgibt und wie und in welchem Umfang diese verarbeitet werden. Damit dies auch für die Betroffenen nachvollziehbar und transparent ist, gibt ihnen die DSGVO eine Reihe von Rechten an die Hand, anhand derer sie sich über die Datenverarbeitungen informieren können und diese dann auch gegebenenfalls beenden können. Natürlich stehen den Betroffenen auch in Bezug auf Datenverarbeitungen durch den Betriebsrat die Betroffenenrechte zu. Doch wer ist für die Umsetzung der Betroffenenrechte verantwortlich? Der Betriebsrat selbst oder doch der Arbeitgeber?

Recht auf Auskunft

Gemäß Art. 15 Abs. 1 DSGVO steht Betroffenen – und damit natürlich auch Beschäftigten in ihrem Beschäftigungsverhältnis – ein umfassendes Auskunftsrecht gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu. Betroffene können zudem eine Kopie ihrer durch den Verantwortlichen verarbeiteten Daten verlangen, Art. 15 Abs. 3 DSGVO. Ein solcher Anspruch umfasst dabei natürlich auch die personenbezogenen Daten der Beschäftigten, die vom Betriebsrat verarbeitet werden. Lediglich bei einer Beeinträchtigung von Rechten und Freiheiten Dritter gibt es hier Einschränkungen. Näheres zu den Besonderheiten des Auskunftsanspruchs im Bereich Betriebsrat finden Sie hier.

In formeller Hinsicht bestimmt Art. 12 Abs. 5 DSGVO, dass die Auskunft grundsätzlich unentgeltlich erteilt werden muss. Art. 12 Abs. 3 DSGVO enthält zudem eine konkrete Frist zur Beantwortung des Auskunftsersuchens. Die Antwort hat ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erfolgen. Zum anderen sind Auskunftsersuchen nach Möglichkeit auf elektronischem Wege zu beantworten, wenn sie auf elektronischem Wege gestellt wurden. Im Falle einer Verzögerung oder gar eines Untätigbleibens ist die betroffene Person über die Gründe und über die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde zu unterrichten.

Erfahrungsgemäß ist übrigens das Recht auf Auskunft das am häufigsten geltend gemachte Betroffenenrecht.

Recht auf Löschung

Art. 17 Abs. 1 DSGVO normiert das Recht auf Löschung, sofern bestimmte Voraussetzungen erfüllt sind. So hat der Verantwortliche die Daten dann zu löschen, sofern eine der nachfolgenden Voraussetzungen gegeben sind:

  • Die Daten sind für den Verantwortlichen nicht mehr notwendig;
  • Die Verarbeitung der Daten ist unrechtmäßig;
  • Die oder der Betroffene widerruft die der Datenverarbeitung zugrundeliegende Einwilligung.
  • Die oder der Betroffene legt erfolgreich Widerspruch gegen die Datenverarbeitung gem. Art. 21 Abs. 1 bzw. Abs. 2 DSGVO ein;
  • Die Löschung ist rechtlich erforderlich;
  • Ein Kind oder Jugendlicher hat sich eigenständig z.B. bei einem sozialen Netzwerk angemeldet und begehrt Löschung der Daten.

In Art. 17 Abs. 2 DSGVO ist nunmehr das in der Öffentlichkeit bereits viel zitierte „Recht auf Vergessenwerden“ normiert. Danach muss der Verantwortlich über das eigene Löschen hinaus auch andere Stellen informieren, dass eine Löschung vom Betroffenen verlangt wurde. Unterm Strich stellt das „Recht auf Vergessenwerden“ somit eine Erweiterung des Anspruchsumfangs des bekannten „Rechts auf Löschung“ dar.

Allerdings darf dem Löschungsanspruch keiner der Gründe aus Art. 17 Abs. 3 DSGVO entgegenstehen. Am relevantesten im Rahmen der Betriebsratsarbeit dürfte dabei die Notwendigkeit zur Speicherung der Daten sein, sofern und solange dies zur Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist. Besteht diese Erforderlichkeit nicht mehr, so wandelt sich die Aufbewahrungspflicht in eine Löschpflicht. Ausgangspunkt für die Aufbewahrung der personenbezogenen Daten durch die Mitarbeitervertretungen ist demnach die Erforderlichkeit der Speicherung für einen konkreten und zuvor festgelegten kollektivarbeitsrechtlichen oder sozialrechtlichen Zweck im Rahmen der Gremienarbeit.

Recht auf Datenübertragbarkeit

Gemäß Art. 20 DSGVO haben Betroffene das Recht, ihre im Rahmen einer automatisierten Datenverarbeitung verarbeiteten personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Der Anspruch aus Art. 20 DSGVO beinhaltet darüber hinaus auch das Recht zu erwirken, dass die Daten direkt von einem für die Verarbeitung Verantwortlichen einem anderen für die Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Hauptanwendungsfall sind hierbei Soziale Netzwerke. Der Wechsel von einer Plattform wie Facebook hin zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten (Fotos, Beiträge, Kontaktdaten, persönliche Angaben) erleichtert werden. Allerdings gilt dies auch für Daten im Beschäftigungsverhältnis und damit auch für Daten im Rahmen der Betriebsratsarbeit. Fraglich ist, ob eine weite Interpretation dieses Anspruchs im Rahmen des Beschäftigtendatenschutzes tatsächlich zielführend ist. Letztlich soll die Herausgabe den Wechsel zwischen Arbeitgebern erleichtern. Dazu bedarf es de facto nur der Herausgabe der Daten, die für den künftigen Arbeitgeber von Interesse sind.

Die übrigen Betroffenenrechte

Vervollständigt werden die Betroffenenrechte in der DSGVO schließlich durch das Widerspruchsrecht in Art. 21, das Recht auf Einschränkung der Verarbeitung in Art. 18 und das Recht auf Berichtigung in Art. 16. Das Widerspruchsrecht beinhaltet die Möglichkeit, der Verarbeitung eigener Daten zu werblichen Zwecken zu widersprechen. Daneben kann beim Vorliegen besonderer Gründe auch einer ursprünglich rechtmäßigen Datenverarbeitung zu anderen Zwecken widersprochen werden. Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene beim Vorliegen bestimmter Voraussetzungen erreichen, dass ihre personenbezogenen Daten beim für die Verarbeitung Verantwortlichen gesperrt und somit nicht weiterverarbeitet werden. Das Recht stellt zudem eine Alternative zur Löschung der Daten dar, wenn eine weitere Verarbeitung unzulässig ist. Das Recht auf Berichtigung aus Art. 16 DSGVO gibt der betroffenen Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Umsetzung der Betroffenenrechte durch den Betriebsrat

Da gemäß § 79a BetrVG der Arbeitgeber der datenschutzrechtlich Verantwortliche für die Datenverarbeitung des Betriebsrats ist, treffen die Betroffenenrechte zunächst den Arbeitgeber. Wenn gegenüber dem Arbeitgeber Betroffenenrechte geltend gemacht werden, sind diese dennoch auch für den Betriebsrat umzusetzen – zumindest dann, wenn dies dem Willen der betroffenen Beschäftigten entspricht. Es bietet sich also an, bei den Betroffenen nachzufragen, ob der Betriebsrat bei der Anfrage mitgemeint ist.

Wie die Geltendmachung von Betroffenenrechten, insbesondere aber der Anspruch auf Auskunft, durch den Betriebsrat umgesetzt wird, sollte mit dem Arbeitgeber vorab geklärt werden. Zu bedenken gilt es dabei, dass der Betriebsrat durchaus Daten der Beschäftigten verarbeiten könnte, von denen der Arbeitgeber nichts wissen soll, etwa wenn sich die Beschäftigten vertrauensvoll an den Betriebsrat gewendet haben. Hier gilt es mit dem Arbeitgeber eine Regelung zu finden, mit der dem datenschutzrechtlichen Auskunftsanspruch nachgekommen werden kann ohne die Vertraulichkeit der Betriebsratsarbeit zu gefährden. Dabei, eine passende Lösung zu finden, kann die Muster-Regelungsabrede helfen, die Sie im Bereich Muster-Dokumente finden.

| | , |