open search
close

Die DSGVO verpflichtet die meisten Arbeitgeber, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Was aber, wenn der Betriebsrat in laufenden Verhandlungen unter Bezugnahme auf seine Kontrollrechte Einsicht in das Verzeichnis verlangt? Wem gegenüber müssen Unternehmen das sensible Verarbeitungsverzeichnis offenlegen? Ein Überblick.

Die Pflicht zur Führung eines Verarbeitungsverzeichnisses

Nach Art. 30 Abs. 1 S. 1 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Verantwortlicher gem. Art. 4 Nr. 7 DSGVO i.V.m. § 79a BetrVG ist dabei der Arbeitgeber. Intern ist die Geschäftsleitung für das Führen des Verzeichnisses verantwortlich. Ausgenommen sind gem. Art. 30 Abs. 5 DSGVO in der Regel Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahme greift nach der Vorschrift jedoch u.a. nicht bei besonders riskanter Datenverarbeitung.

Was in dem Verzeichnis zu dokumentieren ist, ist in Art. 30 Abs. 1 S. 2 DSGVO aufgeführt. Dieser enthält einen Katalog von Pflichtangaben. Dazu zählen u.a. die Zwecke der Verarbeitung, Beschreibungen der Kategorien betroffener Personen und personenbezogener Daten und die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind.

Klar ist: Auf Anfrage muss der Verantwortliche das Verzeichnis der Aufsichtsbehörde zur Verfügung stellen (Art. 30 Abs. 4 DSGVO). Denn die Vorschrift dient den Behörden als Grundlage für die Prüfung der verordnungskonformen Datenverarbeitung. Die Verantwortlichen und die Aufsichtsbehörden sollen sich einen Überblick über sämtliche personenbezogene Datenverarbeitungstätigkeiten verschaffen können, um die Einhaltung der zahlreichen bestehenden Pflichten nach der DSGVO überprüfen zu können. Das Verzeichnis hilft den Verantwortlichen zudem dabei, dem Accountability-Grundsatz nach Art. 5 Abs. 2 DSGVO gerecht zu werden.

Der Arbeitgeber hat regelmäßig ein hohes Interesse daran, seine Pflichten aus Art. 30 DSGVO ordnungsgemäß zu erfüllen, da ihm negative Konsequenten drohen (Art. 83 Abs. 4 a DSGVO).

Besteht ein Recht des Betriebsrats auf Einsichtnahme?

Doch kann auch der Betriebsrat Einblick in Datenverarbeitungsverzeichnisse nehmen? Die darin gespeicherten Informationen dürften nicht selten interessant für das Bestehen und den Umfang eines Mitbestimmungsrechts sein, besonders mit Blick auf § 87 Abs. 1 Nr. 6 BetrVG. Bei konstruktiv agierenden Betriebsräten ist dies oftmals unbedenklich. Schwieriger ist die Entscheidung zu treffen aber bei Betriebsräten, die offensichtlich oder mit einer versteckten Agenda Hintergedanken verfolgen (z.B. Verhandlungen verzögern durch Ausdehnung von Informationsphasen, schmerzhafte Tauschgeschäfte vorbereiten etc.), was ja manchmal vorkommen soll.

Mit dem Betriebsrätemodernisierungsgesetz (BRModG) hat der Gesetzgeber die viel umstrittene Vorschrift des § 79a BetrVG geschaffen, die der Klarstellung dient, dass der Arbeitgeber auch für die Datenverarbeitung des Betriebsrats Verantwortlicher im datenschutzrechtlichen Sinne ist (hierzu unsere Blogbeiträge vom 20.9.21 und 9.12.21). Für Art. 30 DSGVO folgt daraus, dass das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten muss. Den Betriebsrat trifft nach der Gesetzesbegründung hingegen keine Pflicht, ein eigenes Verzeichnis nach Art. 30 DSGVO zu führen. Das BRModG hat hierbei die Frage offengelassen, ob dem Betriebsrat ein Einsichtsrecht zusteht.

Aber auch sonst fehlt für ein Recht auf Einsichtnahme eine gesetzliche Grundlage:

§ 79a S. 3 BetrVG normiert lediglich eine gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften, wobei die Reichweite dieser Unterstützungspflicht im Einzelnen unklar und damit den Betriebsparteien überlassen ist. Nach der Gesetzesbegründung beruht die Unterstützungspflicht auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat muss dem Arbeitgeber entsprechende Informationen zur von ihm durchgeführten Datenverarbeitung zukommen lassen. Nur so kann der Arbeitgeber seine Pflichten aus Art. 30 DSGVO erfüllen. Die Unterstützungspflicht ist hierbei also primär als Pflicht zur Mitwirkung des Betriebsrats an der Erfüllung der datenschutzrechtlichen Vorgaben des Arbeitgebers als Verantwortlichem zu verstehen.

Ein originäres Einsichtsrecht des Betriebsrats lässt sich hieraus aber nicht ableiten, da dieser für das Führen des Verzeichnisses nach Art. 30 DSGVO nicht verantwortlich ist.

Auch der DSGVO lässt sich ein Einsichtsrecht nicht entnehmen. Während § 4g BDSG aF noch ein Einsichtsrecht für „jedermann“ vorsah, besteht ein solches nach Art. 30 Abs. 4 DSGVO nur noch für die Aufsichtsbehörde. Nach der DSGVO ist es weder Aufgabe des Betroffenen noch des Betriebsrats, die Einhaltung der Verordnung zu kontrollieren. Im Gegensatz zur früheren nationalen Regelung trifft die Pflicht zum Zurverfügungstellen auch nicht mehr den Datenschutzbeauftragten, sondern den Verpflichteten selbst. Die Neuregelung unterstreicht die Sensibilität der Verzeichnisse und spricht deshalb gerade für eine Begrenzung der Einsichtnahme durch Dritte.

Auch § 80 Abs. 2 BetrVG begründet keinen solchen Anspruch. Eine Kontrolle des Arbeitgebers auf die allgemeine Einhaltung des Datenschutzrechts ist in § 80 Abs. 1 BetrVG nicht vorgesehen. § 80 Abs. 1 Nr. 1 BetrVG sieht eine Überwachungspflicht nur für die zugunsten der Arbeitnehmer geltenden Gesetze vor. Art. 30 DSGVO dient aber nicht dem Schutz der Arbeitnehmer, sondern der Kontrolle durch die Aufsichtsbehörde. Die bloße Dokumentation der Verarbeitungsvorgänge bietet den Arbeitnehmern aber keinen individuellen Schutz und sagt auch nichts über die Rechtmäßigkeit der jeweiligen Verarbeitung aus.

Folgen für die Praxis

Unternehmen sollten ihre Datenverarbeitungsverzeichnisse sorgfältig führen, um den Aufsichtsbehörden auf Anfrage die für ihre Prüfung erforderlichen Informationen bereitstellen zu können. Bei nicht geführten oder nur unvollständig geführten Datenverarbeitungsverzeichnissen drohen sonst empfindliche Bußgelder.

Das BRModG hat die Frage nach einem Einsichtsrecht nicht ausdrücklich beantwortet. Insbesondere die Reichweite der Unterstützungspflicht aus § 79a Abs. 3 BetrVG ist bislang ungeklärt. Es sprechen aber gute Gründe gegen ein Einsichtsrecht des Betriebsrats. Unternehmen sollten daher sorgfältig prüfen, ob sie einem solchen Verlangen des Betriebsrats in schwierigen Verhandlungen stattgeben. Dies kann Sinn machen, wenn sich damit Verhandlungen beschleunigen lassen und Unklarheiten geklärt werden können, um z.B. Abschlüsse zu erreichen. Es macht aber keinen Sinn, wenn Informationen Schaden für Unternehmen anrichten können. In diesem Fall können bewährte Methoden wie z.B. gut vorbereitete „in-camera-Prozesse“ (ggf. begleitet durch eine Mediation oder Einigungsstelle) in Betracht kommen.

Dr. Markus Janko 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Markus Janko berät Arbeitgeber ins­be­son­dere bei Umstruk­tu­rie­run­gen, Unter­neh­mens­käu­fen und Due Diligence-Prozessen. Besondere Expertise besitzt er in der Unterstützung inter­na­tio­na­ler Konzerne, dem Einsatz von Trans­fer­ge­sell­schaf­ten und im Insol­venz­ar­beits­recht. Hier zeichnet er sich durch die Beratung namhafter Insol­venz­ver­wal­ter in großen Insol­venz­ver­fah­ren aus sowie von Unter­neh­men bei Unter­neh­mens­käu­fen aus der Insolvenz und der arbeits­recht­li­chen Sanierung in Schutz­schirm­ver­fah­ren.

Lukas Forte


Rechtsanwalt
Associate
Lukas Forte berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Neben Restrukturierungsprojekten berät er seine Mandanten zudem in Kündigungsrechtsstreitigkeiten, im Bereich des Betriebsverfassungsrechts sowie in der Vertragsgestaltung.
Verwandte Beiträge
Digitalisierung in Unternehmen Neueste Beiträge

Tipps für die Einführung komplexer IT-Systeme - Teil 3: IT-Security Systeme

Werden IT-Systeme dank Cloud, SaaS und KI ganz allgemein immer schwieriger verhandelbar (siehe Beitrag zu Workday), dürfte die „Krönung“ die Verhandlung mit Betriebsräten über die Einführung einer neuen IT-Sicherheitslandschaft sein. Dies zum einen aufgrund der detaillierten Überwachung der Endgeräte, aber auch wegen der technischen Besonderheiten und vor allem der extrem sensiblen Informationen, die hierfür ausgetauscht werden müssen. Tipps zur Handhabung des Mitbestimmungsprozesses gibt dieser Blogbeitrag….
ESG Neueste Beiträge

Nachhaltigkeit mit dem Betriebsrat umsetzen (Video)

In den Maßnahmen im Bereich ESG (Environmental Social Governance) stecken durchaus Beteiligungsrechte des Betriebsrats. Damit HR und Betriebsrat zum Treiber und nicht zum Bremser bei den für das Unternehmen imageträchtigen Nachhaltigkeitsthemen werden, sollte der Beteiligungsprozess von vornherein effizient aufgestellt werden. Dies kann mit einem ESG Cooperation Agreement gelingen. Was das ist, erklärt Dr. Jan Heuer in diesem Video.  
ESG Neueste Beiträge

Nachhaltig handeln: „Grüne“ Verhaltensrichtlinien und betriebliche Mitbestimmung

Neben den unternehmerischen Leitentscheidungen lässt sich nachhaltiges Verhalten der Mitarbeitenden auch durch die Einführung von Umwelt(ethik)richtlinien anregen. Unternehmen nutzen dieses Mittel, um Mitarbeitende über Umweltthemen zu informieren und sie für „richtige“ Verhaltensweisen zu sensibilisieren. Ob und wie der Betriebsrat im Vorfeld zu beteiligen ist, klärt dieser Beitrag. Grüne Verhaltensrichtlinien und die Mitbestimmung nach § 87 Abs. 1 Nr. 1 BetrVG Bereits in unseren Blog-Beiträgen vom…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.