In Kürze
Der Betriebsrat verarbeitet regelmäßig personenbezogene Daten von Beschäftigten und muss dabei die Datenschutzregeln einhalten. Verantwortlich im datenschutzrechtlichen Sinne bleibt jedoch stets der Arbeitgeber.
Definition
Im Rahmen seiner Arbeit erhält der Betriebsrat laufend personenbezogene Daten — etwa bei Einstellungen, Schichtplänen, Urlaubsplanung oder der Einsicht in Gehaltslisten. Seit dem Betriebsrätemodernisierungsgesetz 2021 ist in § 79a BetrVG ausdrücklich geregelt, dass der Betriebsrat bei der Verarbeitung dieser Daten die Datenschutzvorschriften einzuhalten hat. Daneben gelten DSGVO und BDSG.
Datenminimierung: Nach Art. 5 Abs. 1 c DSGVO dürfen nur so viele Daten verarbeitet werden, wie für den jeweiligen Zweck wirklich nötig sind. Wo möglich, sollten anonymisierte Daten ausreichen.
Schutzmaßnahmen: Der Betriebsrat muss technische und organisatorische Maßnahmen festlegen, um Daten vor Missbrauch zu schützen — zum Beispiel verschlossene Aktenschränke oder passwortgeschützte Ordner. Empfehlenswert ist eine betriebsratsinterne Geschäftsordnung, die diese Maßnahmen konkret beschreibt.
Weitergabe an Dritte: Personenbezogene Daten darf der Betriebsrat grundsätzlich nicht an Personen außerhalb des Betriebsrats weitergeben. Ausnahmen gelten nur mit ausdrücklicher Einwilligung der betroffenen Person nach Art. 7 DSGVO oder bei der Weitergabe an berufsrechtlich zur Verschwiegenheit verpflichtete Personen, etwa einen mandatierten Rechtsanwalt.
Besonders sensible Daten: Gesundheitsdaten oder andere besonders schutzwürdige Informationen — etwa aus betrieblichen Eingliederungsmanagement-Gesprächen (BEM) — unterliegen nach Art. 9 DSGVO einem grundsätzlichen Verarbeitungsverbot. Ausnahmen bestehen nur bei ausdrücklicher Einwilligung oder wenn die Verarbeitung zur Wahrung arbeitsrechtlicher Pflichten erforderlich ist. Wer solche Daten unbefugt offenbart, kann sich nach § 120 Abs. 2 BetrVG strafbar machen.
Speicherung und Löschung: Daten sind nach Art. 17 Abs. 1 a DSGVO zu löschen, sobald der Zweck ihrer Speicherung entfallen ist. Bewerbungsunterlagen etwa sind spätestens zwei bis drei Monate nach einer Absage zu löschen. Sitzungsprotokolle dürfen so lange aufbewahrt werden, wie ihr Inhalt rechtlich relevant ist — zum Beispiel solange eine zugehörige Betriebsvereinbarung gilt. Beim Löschen müssen Daten unwiederbringlich vernichtet werden; das bloße Verschieben in den digitalen Papierkorb genügt nicht.
Unterstützung durch den Datenschutzbeauftragten: Der betriebliche Datenschutzbeauftragte kann den Betriebsrat beraten und beim Aufbau eines eigenen Datenschutzkonzepts helfen. Nach § 79a Satz 4 BetrVG ist er gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet, soweit es um den internen Meinungsbildungsprozess des Betriebsrats geht.
Verantwortlichkeit: Auch wenn der Betriebsrat intern nicht vollständig datenschutzkonform handelt, trägt er selbst keine datenschutzrechtliche Verantwortung nach außen. Laut § 79a Satz 2 BetrVG bleibt der Arbeitgeber der datenschutzrechtlich Verantwortliche — auch für Datenverarbeitungen, die der Betriebsrat zur Erfüllung seiner Aufgaben vornimmt.
