Suche 
Die DSGVO verpflichtet die meisten Arbeitgeber, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Was aber, wenn der Betriebsrat in laufenden Verhandlungen unter Bezugnahme auf seine Kontrollrechte Einsicht in das Verzeichnis verlangt? Wem gegenüber müssen Unternehmen das sensible Verarbeitungsverzeichnis offenlegen? Ein Überblick.
Die Pflicht zur Führung eines Verarbeitungsverzeichnisses
Nach Art. 30 Abs. 1 S. 1 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Verantwortlicher gem. Art. 4 Nr. 7 DSGVO i.V.m. § 79a BetrVG ist dabei der Arbeitgeber. Intern ist die Geschäftsleitung für das Führen des Verzeichnisses verantwortlich. Ausgenommen sind gem. Art. 30 Abs. 5 DSGVO in der Regel Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahme greift nach der Vorschrift jedoch u.a. nicht bei besonders riskanter Datenverarbeitung.
Was in dem Verzeichnis zu dokumentieren ist, ist in Art. 30 Abs. 1 S. 2 DSGVO aufgeführt. Dieser enthält einen Katalog von Pflichtangaben. Dazu zählen u.a. die Zwecke der Verarbeitung, Beschreibungen der Kategorien betroffener Personen und personenbezogener Daten und die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind.
Klar ist: Auf Anfrage muss der Verantwortliche das Verzeichnis der Aufsichtsbehörde zur Verfügung stellen (Art. 30 Abs. 4 DSGVO). Denn die Vorschrift dient den Behörden als Grundlage für die Prüfung der verordnungskonformen Datenverarbeitung. Die Verantwortlichen und die Aufsichtsbehörden sollen sich einen Überblick über sämtliche personenbezogene Datenverarbeitungstätigkeiten verschaffen können, um die Einhaltung der zahlreichen bestehenden Pflichten nach der DSGVO überprüfen zu können. Das Verzeichnis hilft den Verantwortlichen zudem dabei, dem Accountability-Grundsatz nach Art. 5 Abs. 2 DSGVO gerecht zu werden.
Der Arbeitgeber hat regelmäßig ein hohes Interesse daran, seine Pflichten aus Art. 30 DSGVO ordnungsgemäß zu erfüllen, da ihm negative Konsequenten drohen (Art. 83 Abs. 4 a DSGVO).
Besteht ein Recht des Betriebsrats auf Einsichtnahme?
Doch kann auch der Betriebsrat Einblick in Datenverarbeitungsverzeichnisse nehmen? Die darin gespeicherten Informationen dürften nicht selten interessant für das Bestehen und den Umfang eines Mitbestimmungsrechts sein, besonders mit Blick auf § 87 Abs. 1 Nr. 6 BetrVG. Bei konstruktiv agierenden Betriebsräten ist dies oftmals unbedenklich. Schwieriger ist die Entscheidung zu treffen aber bei Betriebsräten, die offensichtlich oder mit einer versteckten Agenda Hintergedanken verfolgen (z.B. Verhandlungen verzögern durch Ausdehnung von Informationsphasen, schmerzhafte Tauschgeschäfte vorbereiten etc.), was ja manchmal vorkommen soll.
Mit dem Betriebsrätemodernisierungsgesetz (BRModG) hat der Gesetzgeber die viel umstrittene Vorschrift des § 79a BetrVG geschaffen, die der Klarstellung dient, dass der Arbeitgeber auch für die Datenverarbeitung des Betriebsrats Verantwortlicher im datenschutzrechtlichen Sinne ist (hierzu unsere Blogbeiträge vom 20.9.21 und 9.12.21). Für Art. 30 DSGVO folgt daraus, dass das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten muss. Den Betriebsrat trifft nach der Gesetzesbegründung hingegen keine Pflicht, ein eigenes Verzeichnis nach Art. 30 DSGVO zu führen. Das BRModG hat hierbei die Frage offengelassen, ob dem Betriebsrat ein Einsichtsrecht zusteht.
Aber auch sonst fehlt für ein Recht auf Einsichtnahme eine gesetzliche Grundlage:
§ 79a S. 3 BetrVG normiert lediglich eine gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften, wobei die Reichweite dieser Unterstützungspflicht im Einzelnen unklar und damit den Betriebsparteien überlassen ist. Nach der Gesetzesbegründung beruht die Unterstützungspflicht auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat muss dem Arbeitgeber entsprechende Informationen zur von ihm durchgeführten Datenverarbeitung zukommen lassen. Nur so kann der Arbeitgeber seine Pflichten aus Art. 30 DSGVO erfüllen. Die Unterstützungspflicht ist hierbei also primär als Pflicht zur Mitwirkung des Betriebsrats an der Erfüllung der datenschutzrechtlichen Vorgaben des Arbeitgebers als Verantwortlichem zu verstehen.
Ein originäres Einsichtsrecht des Betriebsrats lässt sich hieraus aber nicht ableiten, da dieser für das Führen des Verzeichnisses nach Art. 30 DSGVO nicht verantwortlich ist.
Auch der DSGVO lässt sich ein Einsichtsrecht nicht entnehmen. Während § 4g BDSG aF noch ein Einsichtsrecht für „jedermann“ vorsah, besteht ein solches nach Art. 30 Abs. 4 DSGVO nur noch für die Aufsichtsbehörde. Nach der DSGVO ist es weder Aufgabe des Betroffenen noch des Betriebsrats, die Einhaltung der Verordnung zu kontrollieren. Im Gegensatz zur früheren nationalen Regelung trifft die Pflicht zum Zurverfügungstellen auch nicht mehr den Datenschutzbeauftragten, sondern den Verpflichteten selbst. Die Neuregelung unterstreicht die Sensibilität der Verzeichnisse und spricht deshalb gerade für eine Begrenzung der Einsichtnahme durch Dritte.
Auch § 80 Abs. 2 BetrVG begründet keinen solchen Anspruch. Eine Kontrolle des Arbeitgebers auf die allgemeine Einhaltung des Datenschutzrechts ist in § 80 Abs. 1 BetrVG nicht vorgesehen. § 80 Abs. 1 Nr. 1 BetrVG sieht eine Überwachungspflicht nur für die zugunsten der Arbeitnehmer geltenden Gesetze vor. Art. 30 DSGVO dient aber nicht dem Schutz der Arbeitnehmer, sondern der Kontrolle durch die Aufsichtsbehörde. Die bloße Dokumentation der Verarbeitungsvorgänge bietet den Arbeitnehmern aber keinen individuellen Schutz und sagt auch nichts über die Rechtmäßigkeit der jeweiligen Verarbeitung aus.
Folgen für die Praxis
Unternehmen sollten ihre Datenverarbeitungsverzeichnisse sorgfältig führen, um den Aufsichtsbehörden auf Anfrage die für ihre Prüfung erforderlichen Informationen bereitstellen zu können. Bei nicht geführten oder nur unvollständig geführten Datenverarbeitungsverzeichnissen drohen sonst empfindliche Bußgelder.
Das BRModG hat die Frage nach einem Einsichtsrecht nicht ausdrücklich beantwortet. Insbesondere die Reichweite der Unterstützungspflicht aus § 79a Abs. 3 BetrVG ist bislang ungeklärt. Es sprechen aber gute Gründe gegen ein Einsichtsrecht des Betriebsrats. Unternehmen sollten daher sorgfältig prüfen, ob sie einem solchen Verlangen des Betriebsrats in schwierigen Verhandlungen stattgeben. Dies kann Sinn machen, wenn sich damit Verhandlungen beschleunigen lassen und Unklarheiten geklärt werden können, um z.B. Abschlüsse zu erreichen. Es macht aber keinen Sinn, wenn Informationen Schaden für Unternehmen anrichten können. In diesem Fall können bewährte Methoden wie z.B. gut vorbereitete „in-camera-Prozesse“ (ggf. begleitet durch eine Mediation oder Einigungsstelle) in Betracht kommen.
