9.4.2018
Drucken
Zu Merkzettel hinzufügen

Datenschutz: Aufgaben für Betriebsräte

Das Thema Datenschutz ist hochaktuell. Sowohl der Betriebsrat (als Körperschaft) als auch der Betriebsratsfonds sind von der Datenschutzgrundverordnung betroffen. Sie haben getrennt die Bestimmungen einzuhalten.

Welche Daten darf der Betriebsrat erheben?

Die Rechte des Betriebsrates, gemeint sind das Auskunftsrecht, sowie die Betriebsvereinbarungstatbestände des Arbeitsverfassungsgesetzes (ArbVG), sind durch die Datenschutzgrundverordnung (DSVGO) nicht beschränkt. Grund dafür ist die Öffnungsklausel der DSGVO in Art 88, welche den Mitgliedsstaaten das Recht einräumt spezifischere Vorschriften in Bezug auf den Beschäftigtendatenschutz zu treffen.

Der österreichische Gesetzgeber hat davon im Datenschutzgesetz 2018 Gebrauch gemacht und das ArbVG als eine Bestimmung des Art 88 der DSGVO erklärt. Dadurch sind auch die oben genannten Rechte nicht beschränkt, eine Verletzung dieser Tatbestände würde auch eine Datenschutzverletzung zur Folge haben.

Der Betriebsrat darf personenbezogene Daten nur verarbeiten, wenn das rechtmäßig erfolgt (etwa durch eine Einwilligungserklärung abgesichert, Grundsatz der Rechtmäßigkeit). Zusätzlich muss auch für jede Verarbeitung ein eigener Zweck angeführt werden (Grundsatz der Zweckbindung).

Es dürfen auch nur richtige Daten, welche nicht "überschießend" sind, verarbeitet werden (Grundsätze der Richtigkeit und der Datenminimierung).

Abschließend dürfen personenbezogene Daten nur verarbeitet werden, wenn dies nach Treu und Glauben (Grundsatz), transparent (Grundsatz der Transparenz), unter Angabe einer Löschfrist (Grundsatz der Speicherbegrenzung) und unter Gewährleistung der Integrität und der Vertraulichkeit (Grundsatz) passiert.

Neu mit der DSGVO ist die sogenannte Rechenschaftspflicht, nach welcher der Verantwortliche die Einhaltung der Grundsätze nachweisen können muss.

Um dies zu gewährleisten, hat man als Verantwortliche/-r (und somit auch als Betriebsrat und BR-Fonds) ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wo alle Verarbeitungen einzeln aufgelistet werden - unter Angabe von Zweck, Löschfrist und allen weiteren Grundsätzen sowie den getroffenen Datensicherheitsmaßnahmen.

Achtung

Der Betriebsrat braucht keinen Datenschutzbeauftragten!

Dennoch ist es wichtig, dass sich jemand um den Datenschutz kümmert. Diese Person sollte aber nicht als Datenschutzbeauftragter bezeichnet werden, da sie sonst unter die strengen Vorschriften des Datenschutzbeauftragten in der DSGVO fallen würde.

Wofür haftet der Betriebsrat?

Da der Betriebsrat Verantwortlicher im Sinne der DSGVO ist, haftet die Betriebsratskörperschaft auch danach. Es haftet jedoch nicht der Betriebsrat als solches, sondern jedes einzelne Mitglied.

Achtung: Vor hohen Strafen der DSGVO braucht man sich nicht fürchten, da es immer auf die Umstände und den konkreten Einzelfall ankommen wird und dementsprechend die Strafen angemessen verhängt werden (sofern nicht nur Verwarnungen ausgesprochen werden).

Wichtig ist aber, dass sich der Betriebsrat Gedanken zum Thema Datenschutz macht und ein ordnungsgemäßes Verarbeitungsverzeichnis vorweisen kann, wenn die Behörde kontrolliert.

Checkliste: Das sollten Sie beachten

  1. Zuständigkeit klären: Wer kümmert sich im BR-Büro um den Datenschutz?
  2. Daten auflisten: Welche Daten habe ich als BR (elektronisch / nicht elektronisch)?
  3. Zwischen sensiblen und nicht sensiblen Daten unterscheiden: Verarbeite ich beispielsweise Gesundheitsdaten?
  4. Betroffene ermitteln: Wer ist von der Datenverarbeitung betroffen?
  5. Empfängerkreise auflisten: An wen werden die Daten übermittelt? Wer kann sie sehen?
  6. Rechtmäßigkeit prüfen: Habe ich für jede Datenverarbeitung eine rechtliche Grundlage?
  7. Erhebungen (1-6) im Verarbeitungsverzeichnis festhalten (inklusive Löschfristen)
  8. Datensicherheitsmaßnahmen (technisch, personell und organisatorisch) einführen und im Verarbeitungsverzeichnis dokumentieren
  9. Auftragsverarbeiter erfassen: Beauftrage ich jemand Externen für mich, eine Datenverarbeitung durchzuführen? (spezielle Vorschriften)
  10. Umgang mit Begehren von der Datenverarbeitung betroffener Personen festlegen: Wie gehe ich als BR mit Anfragen der Betroffenen bezüglich ihrer Rechte auf Auskunft, Berichtigung und Löschung um?


Für weitere Anfragen zu Vorträgen und Beratungen wenden Sie sich bitte an das Kompetenzzentrum betriebliche Interessenvertretung der AK Oberösterreich und die Gewerkschaften. 

Datenschutz und Betriebsratsfonds

Die ab Mai geltenden Datenschutzregeln der EU gelten auch für Betriebsratsfonds. Wir haben die Antworten auf die drängendsten Fragen.

Datenschutz: Das ist neu ab Mai

Die Datenschutzgrundverordnung der EU sowie das Datenschutzgesetz 2018 kommen ab 25. Mai unmittelbar zur Anwendung.

Datenschutz in der Betriebsratsarbeit

Ab Mai 2018 ist der Datenschutz in der EU neu geregelt. Hier finden Sie eine Zusammenfassung der neuen Bestimmungen.

TeilenZu Merkzettel hinzufügen

Facebook-Funktion aktivieren

Drucken
Zu Merkzettel hinzufügen
Zum Seitenanfang
Um Ihnen den bestmöglichen Service zu bieten, speichert diese Website Informationen über Ihren Besuch in sogenannten Cookies. Durch die Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden. Weitere Informationen über Cookies, sowie welche Daten wir wie lange speichern, finden Sie in unserer Datenschutzerklärung. Dort können Sie auch der Verwendung von Cookies widersprechen und die Browsereinstellungen entsprechend anpassen.
Diese Website verwendet Cookies. Durch die Nutzung erklären Sie sich mit der Verwendung von Cookies einverstanden. Weitere Informationen dazu sowie welche Daten wir wie lange speichern, finden Sie in unserer Datenschutzerklärung. Dort können Sie auch der Verwendung von Cookies widersprechen.
OK