skip to Main Content
+49 (700) 34778539 info@firstlex.de Login
[layerslider id="6"]

Datenschutz im Betriebsratsbüro

Bei der Datenverarbeitung im Betrieb darf der Betriebsrat den Arbeitgeber kontrollieren, den betrieblichen Datenschutzbeauftragten – und sich selbst. Aber wie das so ist mit der Selbstkontrolle: dafür ist meistens keine Zeit da, häufig auch keine Lust.

 

Erst Türen öffnen, dann mit Steinen werfen

Dabei gäbe es gute Gründe für jeden Betriebsrat, damit sofort zu beginnen. Denn der Betriebsrat verarbeitet in erheblichem Umfang persönliche Arbeitnehmerdaten. Durch seine Hände gehen nicht nur Bewerbungsunterlagen und Kündigungsvorlagen gem. § 99 BetrVG, sondern auch Lohn- und Gehaltslisten, Zielvereinbarungsunterlagen, Bewertungs- und Auswahllisten z.B. zur Sozialauswahl, sensible Daten aus Wiedereingliederungsmaßnahmen etc.

Daneben laufen täglich Mails von Arbeitnehmern ein, die sich mit Wünschen und Sorgen vertrauensvoll an den Betriebsrat wenden. Alle diese Daten sind nicht nur gegen Nicht-Betriebsratsmitglieder zu schützen, sondern auch gegen die unberechtigte Kenntnisnahme durch solche Betriebsratsmitglieder, die mit dem jeweiligen Thema im Rahmen der gremieninternen Kompetenzzuweisung, ggf. aufgrund einer Geschäftsordnung, nicht befasst sind.

 

Der Betriebsrat als Datenschutz-Buhmann

Daß die Daten überhaupt beim Betriebsrat landen, geht zumindest bei den o.g. Beispielen in Ordnung, denn die gesetzliche Aufgabe des Gremiums legitimiert dies. Zweifelhaft wird es jedoch, sobald der Betriebsrat vom Arbeitgeber das luxuriöse Angebot erhält, sich auf die Unternehmensdatenbanken aufzuschalten. Das ist aus Sicht beider Betriebsparteien gleichermaßen rechtswidrig, wenn damit Daten zur Kenntnis des Betriebsrats gelangen, die nicht durch seinen gesetzlichen Auftrag gedeckt sind – und diese Schwelle ist sehr schnell überschritten.

Unabhängig von derlei Grauzonen macht es Sinn, sich Gedanken darüber zu machen, wo Daten für den Betriebsrat abgelegt sind, wer Zugriff darauf hat, wann sie wieder gelöscht werden und zu welchen Zwecken sie im Laufe ihres Daseins überhaupt genutzt werden bzw. genutzt werden dürfen (was ein erheblicher Unterschied ist).

Ein eigener Server und eigene, autarke Hard- und Software im Übrigen sind da schon große Schritte zum Ziel eines sauberen Datenmanagements. Wenn dann noch separate Mailaccounts und vielleicht noch eine Verschlüsselungssoftware hinzukommen, kann man schon frohlocken.

 

Der wahre Grund liegt in der strategischen Aufstellung

Der eigentliche Grund für eine Selbstkontrolle liegt aber woanders: wer andere kontrollieren will, hat immer auch ein Glaubwürdigkeitsproblem. Schnell nämlich kann der Arbeitgeber die strategische Karte ziehen und dem Betriebsrat vorwerfen, dieser lege ja bei sich selbst nicht mal die Maßstäbe an, die er für seine Kritik am Arbeitgeber als nicht erfülltes Mindestmaß proklamiere.

Gegen solche Vorwürfe – selbst, wenn sie aus der Luft gegriffen sind – kann man sich am besten wehren, wenn man den eigenen Stall zuerst säubert.

Aber wie geht das ? Ganz einfach:

1. Das Datenschutzrecht kennenlernen und verstehen

2. Den eigenen Umgang mit Daten auf die Datenschutzstandards überprüfen

3. Gutes tun und drüber reden: die eigenen Standards festlegen und publizieren

So etwas heißt neudeutsch „Auditing“, man lässt sich also praktisch freiwillig zertifizieren und hängt das Schild nach draußen. Dafür gibt es Fachleute im Beratungsmarkt wie z.B. IT-Spezialisten und Anwälte, die sich auf das Datenschutzrecht spezialisiert haben.

 

Auditing ist sinnlos und macht doch Sinn

Nun ließe sich dagegen einwenden: „Aber damit teilt der Betriebsrat doch nur mit, daß er sich ans Datenschutzrecht hält – das ist doch sowieso eine Selbstverständlichkeit“. Ja, das ist es. Aber solange diese Selbstverständlichkeit nicht zweifelsfrei dokumentierbar ist, kann sie eben bezweifelt werden. Und das schwächt die eigene Position.

Diese Kritik führte übrigens auch dazu, daß in Deutschland ein Audit-Gesetz zum Datenschutz nicht zustande kam. Ein solches Gesetz war im Jahre 2007 als Entwurf vorgelegt worden und wurde dann von Datenschützern als mangelhaft heftig kritisiert und im Jahre 2009 wieder einkassiert. Einer der Kritikpunkte besagte, daß ein auditiertes Unternehmen ja letztlich nur mitteile, daß es sich ans Gesetz halte, was ja irgendwie sinnlos sei. Man kann dabei sicherlich kräftig schmunzeln, wenn man sich so ansieht, was sonst noch alles unter ähnlicher Flagge wie z.B. der sogenannten „Compliance“ dahersegelt und ebenfalls eher an des Kaisers neue Kleider erinnert.

Trotzdem: aus Sicht des Betriebsrats geht es hier vor allem um eine strategische Position und die steht gegenüber der oben genannten Kritik nicht schlecht da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top