In Zeiten der fortschreitenden Digitalisierung sind externe Dienstleister aus dem Arbeitsalltag nicht mehr wegzudenken. Dies gilt auch für die Betriebsratsarbeit. Sofern dabei personenbezogene Daten von diesen externen Dienstleistern verarbeitet werden, kommt das Konstrukt der Auftragsverarbeitung in Betracht.
Was bedeutet Auftragsverarbeitung?
Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Beispiele für Auftragsverarbeiter sind insbesondere Datenträger- bzw. Aktenentsorger, EDV-Dienstleister – insbesondere im Bereich Fernwartung, Support für Software oder Cloud-Dienstleistungen. Diese können als verlängerter Arm des Auftraggebers betrachtet werden, daher bedarf es für die Übermittlung von personenbezogenen Daten und die Verarbeitung dieser durch den Auftragsverarbeiter in der Regel keiner weiteren Rechtsgrundlage als derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt. Auftragsverarbeiter verarbeiten die Ihnen übermittelten Daten im Rahmen ihrer Dienstleistung ausschließlich auf Weisung des Auftraggebers. Auftragsverarbeiter haben kein eigenes Interesse an den Daten und nutzen diese nicht zu eigenen Zwecken.
Regelungen für den Einsatz von Auftragsverarbeitern
Die zentrale Vorschrift für Auftragsverarbeiter ist Art. 28 DSGVO. Der Verantwortliche darf sich zunächst nur solcher Auftragsverarbeiter bedienen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Zudem muss der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag über die weisungsgebundene Tätigkeit schließen, der schriftlich oder in einem elektronischen Format abgefasst sein kann. Hierfür können sowohl individuelle Regelungen getroffen, als auch von der EU-Kommission oder von der zuständigen Aufsichtsbehörde verabschiedete Standardvertragsklauseln verwendet werden. Beispielsweise muss ein Vertrag zur Auftragsverarbeitung eine Regelung zur Bereitstellung der Daten beinhalten und die Einhaltung der besonderen Bedingungen für den Einsatz von Subunternehmern regeln. Zudem muss der Vertrag vorsehen, dass der Auftragsverarbeiter die gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreift. Da der Verantwortliche für die Rechtmäßigkeit der Verarbeitung insgesamt verantwortlich ist und bleibt (s. Art. 24 DSGVO), ist weiterhin anzuraten, die mindestens erforderlichen technischen und organisatorischen Maßnahmen darzustellen.
Will sich der Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung Subunternehmen als weiterer Auftragsverarbeiter bedienen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen (Art. 28 Abs. 2 DS-GVO). Später beabsichtigte Änderungen bei den eingesetzten Subunternehmen muss der Auftragsverarbeiter dem Auftraggeber als Verantwortlichem vorher mitteilen, wobei es dem Verantwortlichen vorbehalten bleibt, gegen die geplante Einbeziehung eines Subunternehmens Einspruch zu erheben. Der Vertrag zwischen dem Auftragsverarbeiter und dem Subunternehmer muss letztlich die gleichen vertraglichen Verpflichtungen enthalten, die der Auftragnehmer zugunsten des Auftraggebers übernommen hat.
Was bedeutet dies konkret für den Betriebsrat?
Der Betriebsrat ist aus datenschutzrechtlicher Sicht unselbstständig und Teil des Arbeitgebers als Verantwortlichem. Insofern liegt auch die Verantwortlichkeit zur Einhaltung der Vorgaben zum datenschutzkonformen Einsatz von Auftragsverarbeitern beim Unternehmen selbst. Da der Betriebsrat häufig die Infrastruktur des Unternehmens mit nutzt, muss der Betriebsrat hier nicht gesondert tätig werden, um die datenschutzrechtlichen Vorgaben zu erfüllen. Lediglich bei Verarbeitungen, für die der Betriebsrat eigene externe Dienstleister einsetzt, sollte eine Abstimmung mit dem Unternehmen erfolgen. Regelungen hierzu könnten beispielsweise in einer zwischen Betriebsrat und Unternehmen abzuschließenden Regelungsabrede festgelegt werden.