Die GINDAT möchte noch einmal auf den 2021 in Kraft getretenen § 79 a des Betriebsverfassungsgesetz (BetrVG) hinweisen. Danach ist der Arbeitgeber für die Umsetzung der datenschutzrechtlichen Vorschriften Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) für das gesamte Unternehmen. Allerdings muss auch der Betriebsrat nach § 79 a BetrVG bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einhalten. Er agiert diesbezüglich eigenständig, er kann und soll sich dabei aber auf die Mitwirkung des betrieblichen Datenschutzbeauftragten stützen.
Damit der Betriebsrat die maßgeblichen Vorschriften der DSGVO und des Bundesdatenschutzgesetzes (BDSG) einhalten und nachweisen kann, sollte der Umgang mit personenbezogenen Daten in einem Datenschutzkonzept festgelegt werden, in dem die Maßnahmen zum Datenschutz und zur Sicherheit von personenbezogenen Daten hinterlegt sind.
Dies dient darüber hinaus dem Nachweis gegenüber dem Arbeitgeber, den Beschäftigten und sonstigen Dritten, wie Datenschutzbehörden und ggf. Gerichten, dass der Betriebsrat Schutzmaßnahmen vorhält oder getroffen hat, die die berechtigten Interessen der betroffenen Beschäftigten wahren.
So ist insbesondere bei der Übermittlung von sensiblen Beschäftigtendaten (besondere Kategorien von personenbezogenen Daten, Art. 9 Abs. 1 DS-GVO), die der Betriebsrat im Rahmen seiner Aufgabenerfüllung nach dem BetrVG benötigt, das Vorhandensein von „angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person Voraussetzung (§§ 26 Abs. 3 S. 3, 22 Abs. 2 BDSG).
Die GINDAT erarbeitet mit dem Betriebsrat zusammen ein solches Datenschutzkonzept, welches auch die Löschung von personenbezogenen Daten mit einschließt. Unsere Kunden bzw. deren Betriebsräte werden gebeten die GINDAT auch von sich aus anzusprechen, wenn hier Handlungsbedarf besteht.