Menu Expand

Beschäftigtendatenschutz als Aufgabe des Betriebsrats

Cite BOOK

Style

Flink, M. (2021). Beschäftigtendatenschutz als Aufgabe des Betriebsrats. Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz. Duncker & Humblot. https://doi.org/10.3790/978-3-428-58291-4
Flink, Maike. Beschäftigtendatenschutz als Aufgabe des Betriebsrats: Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz. Duncker & Humblot, 2021. Book. https://doi.org/10.3790/978-3-428-58291-4
Flink, M (2021): Beschäftigtendatenschutz als Aufgabe des Betriebsrats: Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-58291-4

Format

Beschäftigtendatenschutz als Aufgabe des Betriebsrats

Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz

Flink, Maike

Schriften zum Sozial- und Arbeitsrecht, Vol. 366

(2021)

Additional Information

Book Details

Pricing

About The Author

Maike Flink studierte als Stipendiatin der Konrad-Adenauer-Stiftung von Oktober 2013 bis August 2018 Rechtswissenschaften an der Rheinischen Friedrich-Wilhelms-Universität Bonn. Schon während des Studiums arbeitete sie als studentische Hilfskraft am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit, Lehrstuhl von Prof. Dr. Gregor Thüsing, LL.M. (Harvard), an der Rheinischen Friedrich-Wilhelms-Universität Bonn. Nach dem erfolgreichen Abschluss des ersten Staatsexamens setzte sie ihre dortige Tätigkeit als wissenschaftliche Mitarbeiterin fort und nahm die Arbeit an ihrem Promotionsvorhaben auf. Seit Februar 2021 ist sie Rechtsreferendarin am Landgericht Bonn.

Abstract

Die Arbeit behandelt die datenschutzrechtliche Rolle des Betriebsrats, wobei aufbauend auf einer Darstellung der rechtlichen Grundlagen des Beschäftigtendatenschutzes das Zusammenspiel von Datenschutz- und Betriebsverfassungsrecht beleuchtet wird. Dies bildet die Grundlage für die Herausarbeitung der dem Betriebsrat auf diesem Gebiet zustehenden Kompetenzen, seiner Gestaltungsmöglichkeiten, sowie der ihn treffenden Verantwortung. Zentrale Fragen sind dabei, welche inhaltlichen Anforderungen an datenschutzrechtliche Betriebsvereinbarungen zu stellen sind, ob der Betriebsrat selbst datenschutzrechtlich Verantwortlicher ist, welchen Grenzen er selbst bei der Verarbeitung personenbezogener Beschäftigtendaten unterliegt und wie sein Verhältnis zum betrieblichen Datenschutzbeauftragten ausgestaltet ist. Ziel ist es, die datenschutzrechtliche Rolle des Betriebsrats inhaltlich zu konturieren, um die künftige Zusammenarbeit von Mitarbeitervertretung und Arbeitgeber zu erleichtern.»Employee Data Protection as a Task of the Works Council. Competencies and Responsibility of the Works Council for Data Protection«

The thesis contours the role of the works council in data privacy law. First depicting the legal foundations for data processing in the context of employment, the author goes on to illustrate the interplay of data privacy law and the Works Constitution Act. On these grounds, the workers’ councils competencies, scope of action as well as their legal responsibility in this regard is examined.

Table of Contents

Section Title Page Action Price
Vorwort 5
Inhaltsverzeichnis 7
Abkürzungsverzeichnis 15
A. Worum es geht: Der Beschäftigtendatenschutz als aktuelle Herausforderung 19
I. Gang der Darstellung – zu beantwortende Fragestellungen und Problemkreise 20
II. Rechtliche Grundlagen des Datenschutzrechts 21
1. Völker- und europarechtliche Grundlagen des Datenschutzes 21
a) Art. 8 Abs. 1 EMRK 22
b) Art. 7, 8 GRCh 22
c) Art. 16 AEUV 24
2. Nationale verfassungsrechtliche Grundlagen des Datenschutzes 25
a) Das allgemeine Persönlichkeitsrecht 26
b) Das Recht auf informationelle Selbstbestimmung 26
aa) Grenzen des Rechts auf informationelle Selbstbestimmung 28
bb) Das Recht auf informationelle Selbstbestimmung im Arbeitsverhältnis 29
c) Weitere nationale grundrechtliche Gewährleistungen 30
3. Zusammenfassender Überblick über den Rechtsrahmen des Datenschutzes 31
4. Die Gesetzgebung zum Beschäftigtendatenschutz auf unionsrechtlicher und nationaler Ebene 32
a) Entwicklung des Beschäftigtendatenschutzrechts 32
aa) Europäische Ebene 33
bb) Nationale Ebene 34
b) Status quo: Die aktuellen Rechtsquellen des Beschäftigtendatenschutzes 36
aa) Unionsrechtliche Ebene 36
bb) Nationale Ebene 38
(1) BDSG 38
(2) Bereichsspezifischer Datenschutz im BetrVG 39
(a) Die Regelung des § 75 Abs. 2 S. 1 BetrVG als Ausgangspunkt 40
(b) Mitwirkungs- und Mitbestimmungsrechte des Betriebsrats 41
(c) Informationsrechte des Betriebsrats als Quelle bereichsspezifischen Datenschutzes 45
(d) Geheimhaltungspflichten des Betriebsrats als datenschutzrechtliche Regelungen 47
(e) Eine Sammlung der Ergebnisse: Bereichsspezifischer Beschäftigtendatenschutz im BetrVG 48
(3) Betriebsvereinbarungen als Rechtsquellen des Beschäftigtendatenschutzes 49
(a) Der unionsrechtliche Begriff der Kollektivvereinbarung 50
(b) Betriebsvereinbarungen als datenschutzrechtlicher Erlaubnistatbestand 51
(4) Datenschutz- und Betriebsverfassungsrecht als Grenze datenschutzrechtlicher Betriebsvereinbarungen 53
cc) Zusammenfassender Überblick über die nationalen Rechtsquellen des Beschäftigtendatenschutzes 53
c) Zusammenfassender Überblick über die aktuellen Rechtsquellen des Beschäftigtendatenschutzes auf nationaler und unionsrechtlicher Ebene 54
5. Eine Sammlung der Ergebnisse: Die Gesetzgebung zum Beschäftigtendatenschutz 54
III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes 55
1. Inhaltliche Grundstrukturen der DSGVO 56
2. Inhaltliche Grundstrukturen des BDSG – Vergleich zur DSGVO für den Bereich des Beschäftigtendatenschutzes 58
3. Bestand allgemeiner datenschutzrechtlicher Grundstrukturen im Betriebsverfassungsrecht? 61
4. Eine Ordnung der Argumente: Das Prinzip der Interessenabwägung als inhaltliche Grundstruktur des Beschäftigtendatenschutzes 62
IV. Die Betriebsratsarbeit als Gegenstand des Beschäftigtendatenschutzes 63
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel 66
I. Das Verhältnis von BDSG und DSGVO 67
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht 69
1. Das Verhältnis von DSGVO und Betriebsverfassungsrecht 69
2. Das Verhältnis von BDSG und Betriebsverfassungsrecht 72
a) Untersuchung der Vorrangstellung einzelner Vorschriften des BetrVG gegenüber dem BDSG 74
aa) Mitbestimmungs- und Mitwirkungsrechte des Betriebsrats als vorrangige Regelungen 74
bb) Informationsansprüche des Betriebsrats als vorrangige Regelungen 75
cc) Verschwiegenheitspflichten des Betriebsrats als vorrangige Regelungen 79
(1) Dogmatische Grundlage der Vorrangstellung der betriebsverfassungsrechtlichen Verschwiegenheitspflichten 81
(2) Inhaltliche Voraussetzungen der Vorrangstellung i.S.v. § 1 Abs. 2 S. 1 BDSG 82
(3) Vorrangige Verschwiegenheitspflichten des BetrVG 84
(4) Möglichkeit des Rückgriffs auf die Vorschriften des BDSG 85
dd) Überblick über die Besonderheiten der Verschwiegenheitspflichten 87
b) Folgerungen für das Verhältnis von BetrVG und BDSG 87
3. Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zum Datenschutzrecht 88
a) Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zur DSGVO 89
b) Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zum BDSG 92
4. Überblick über die Stellung datenschutzrechtlicher Betriebsvereinbarungen im System des Datenschutzes 94
III. Ein erstes Zwischenergebnis: Ein Nebeneinander der Regelungskomplexe 94
C. Kompetenzen des Betriebsrats – Kontrolle der Einhaltung des Datenschutzrechts 96
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats 97
1. Mitbestimmung in sozialen Angelegenheiten 98
2. Mitbestimmung in personellen Angelegenheiten 103
a) Mitbestimmung in allgemeinen personellen Angelegenheiten 103
b) Mitbestimmung bei personellen Einzelmaßnahmen 105
c) Überblick über die Mitbestimmung in personellen Angelegenheiten 107
3. Unterlassungs- und Beseitigungsansprüche als Folge der Verletzung datenschutzrechtlicher Mitbestimmungsrechte 107
4. Eine Ordnung der Erkenntnisse: Mitbestimmungsrechte als Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats 109
II. Pflicht zur Überwachung der Einhaltung der Vorschriften des Datenschutzrechts, § 80 Abs. 1 Nr. 1 BetrVG 110
1. Recht des Betriebsrats zur Hinzuziehung Dritter bei der Erfüllung seiner Überwachungsaufgabe 111
a) Der betriebliche Datenschutzbeauftragte als Sachverständiger i.S.v. § 80 Abs. 3 BetrVG 112
b) Anwendbarkeit des Grundsatzes der vorrangigen Nutzung betriebsinternen Sachverstandes bei externen betrieblichen Datenschutzbeauftragten 114
2. Überwachungsbefugnisse gegenüber vom Arbeitgeber eingesetzten Auftragsverarbeitern 116
3. Handlungsmöglichkeiten des Betriebsrats bei der Begehung von Datenschutzverstößen durch den Arbeitgeber 118
a) Unterlassungsansprüche des Betriebsrats 119
aa) Kein Unterlassungsanspruch unmittelbar aus § 80 Abs. 1 Nr. 1 BetrVG 119
bb) Sonstige betriebsverfassungsrechtliche Unterlassungsansprüche 120
(1) Unterlassungsanspruch gem. § 23 Abs. 3 S. 1 BetrVG 121
(2) Unterlassungsanspruch des Betriebsrats bei Verstoß gegen datenschutzrelevante Regelungen einer Betriebsvereinbarung 123
cc) Folgerung: Das Betriebsverfassungsrecht als maßgebliche Grundlage betriebsratsseitiger Unterlassungsansprüche 126
b) Recht des Betriebsrats zur Meldung von Datenschutzverstößen gegenüber der Aufsichtsbehörde – Der Betriebsrat als datenschutzrechtlicher Whistleblower 127
aa) Bestandsaufnahme: Der Betriebsrat als Whistleblower im Betriebsverfassungsrecht 127
bb) Geltung der anerkannten Grundsätze auch für den Beschäftigtendatenschutz 129
cc) Keine abweichende Beurteilung angesichts von DSGVO und BDSG 130
c) Zusammenfassender Überblick über die Handlungsmöglichkeiten des Betriebsrats 133
4. Zusammenfassender Überblick über die Überwachungsaufgabe des Betriebsrats 134
III. Informations- und Einsichtsrechte des Betriebsrats 135
1. Betriebsverfassungsrechtliche Grenzen des § 80 Abs. 2 S. 1 BetrVG 137
2. Datenschutzrechtliche Grenzen betriebsratsseitiger Informationsrechte 139
3. Spezielle betriebsverfassungsrechtliche Informationsansprüche und ihre Grenzen 140
IV. Möglichkeit der Erweiterung der Kompetenzen des Betriebsrats durch Betriebsvereinbarung 142
V. Ein zweites Zwischenergebnis 144
D. Gestaltung des Datenschutzes durch den Betriebsrat 148
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung 149
1. Die Öffnungsklausel des Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 4 BDSG als Rechtsgrundlage 150
2. Personelle Reichweite datenschutzrechtlicher Betriebsvereinbarungen 151
a) Nationale Grenzen 152
b) Der Beschäftigtenbegriff der DSGVO 153
c) Der betriebsverfassungsrechtliche Arbeitnehmerbegriff als Maßstab 156
3. Sachliche Reichweite datenschutzrechtlicher Betriebsvereinbarungen 156
a) Datenverarbeitung im „Beschäftigungskontext“ oder ausschließlich für „Zwecke des Beschäftigungsverhältnisses“? 157
aa) Der Beschäftigungskontext als Maßstab der DSGVO 158
bb) „Zwecke des Beschäftigungsverhältnisses“ als nationale Beschränkung der Regelungskompetenz? 160
cc) Betriebliche Reichweite datenschutzrechtlicher Betriebsvereinbarungen: Legitimation der Datenweitergabe an Dritte 162
b) Umfassende Regelungsbefugnis der Betriebspartner oder ausschließliches Recht zur Schaffung von Erlaubnistatbeständen? 163
4. Folgerung: Betriebsvereinbarungen als weitreichende Rechtsgrundlage im Beschäftigtendatenschutz 164
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen 166
1. Betriebsverfassungsrechtliche Anforderungen 167
2. Inhaltliche Vorgaben der DSGVO 170
a) Anforderungen des Art. 88 Abs. 1 DSGVO 171
b) Anforderungen des Art. 88 Abs. 2 DSGVO 172
aa) „Besondere“ und „angemessene“ Regelungen 172
bb) Konkret zu regelnde Fragestellungen 175
cc) Insbesondere: Transparenz 176
c) Sonstige Vorgaben der DSGVO 179
d) Vergleich der inhaltlichen Voraussetzungen des BetrVG und der DSGVO 182
3. Keine zusätzlichen inhaltlichen Vorgaben im BDSG 185
4. Zwingende Anforderungen vs. Empfehlungen für eine rechtssichere Gestaltung 186
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau der DSGVO 189
1. Zuungunsten des Arbeitnehmers 190
a) Bestandsaufnahme des Streitstandes zur bisherigen Rechtslage 190
b) Neue Akzentuierung des Streites durch die DSGVO 192
c) Stellungnahme 194
2. Zugunsten des Arbeitnehmers 197
3. Überblick über die Abweichungsmöglichkeiten datenschutzrechtlicher Betriebsvereinbarungen vom Schutzniveau der DSGVO 199
4. Zulässigkeit der Abweichungen vom gesetzlichen Datenschutzniveau des BDSG 200
IV. Ein kritischer Blick auf die praktische Relevanz datenschutzrechtlicher Betriebsvereinbarungen 201
V. Ein drittes Zwischenergebnis 202
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts 205
I. Der Betriebsrat als Verantwortlicher 205
1. Die Rechtslage nach § 3 Abs. 7 BDSG a.F. als Ausgangspunkt der Überlegungen 206
2. Veränderung der bisherigen Beurteilung auf Grundlage von Art. 4 Nr. 7 DSGVO? 207
a) Der Begriff des tauglichen Adressaten 208
aa) Eine systematische Betrachtung 209
bb) Eine teleologische Betrachtung 209
cc) Keine unzumutbare Beeinträchtigung der Interessen des Arbeitgebers 211
dd) Folgerung: Der Betriebsrat ist selbst kein tauglicher Adressat 214
b) Der Begriff der Entscheidungsbefugnis 214
aa) Entscheidungsbefugnis über die Zwecke der Verarbeitung 214
bb) Entscheidungsbefugnis über die Mittel der Verarbeitung 216
cc) Keine Einzelfallbetrachtung 217
c) Keine gemeinsame Verantwortlichkeit von Betriebsrat und Arbeitgeber 219
3. Keine abweichende Beurteilung für den Konzernbetriebsrat 220
4. Keine abweichende Beurteilung aufgrund nationaler Regelungen 222
5. Eine Sammlung der Ergebnisse: Der Betriebsrat ist kein eigenständiger Verantwortlicher 223
II. Haftung für Datenschutzverstöße des Betriebsrats 224
1. Haftung des Arbeitgebers 225
a) Haftung gem. Art. 82 Abs. 1 DSGVO 226
b) Keine Exkulpationsmöglichkeit des Arbeitgebers nach Art. 82 Abs. 3 DSGVO 227
c) Haftung auf Grundlage anderer Sanktionstatbestände 229
2. Haftung des Betriebsrats 231
3. Haftung der Mitglieder des Betriebsrats 232
a) Unmittelbare Haftung der Betriebsratsmitglieder 232
aa) Haftung nach allgemeinen zivilrechtlichen Grundsätzen 233
bb) Kein Haftungsausschluss aufgrund datenschutzrechtlicher Wertungen 234
cc) Deliktische Haftung der Betriebsratsmitglieder 235
dd) Keine Haftungsprivilegierung 235
b) Mittelbare Haftung im Wege des Regresses durch den Arbeitgeber 237
4. Zusammenfassender Überblick zur Haftung für Datenschutzverstöße des Betriebsrats 238
III. Rechtliche Grenzen der Datenverarbeitung 239
1. Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten durch den Betriebsrat 240
a) Allgemeiner Erlaubnistatbestand für Datenverarbeitungen durch den Betriebsrat, § 26 Abs. 1 S. 1 BDSG 242
b) § 26 Abs. 3 BDSG als spezifische Rechtsgrundlage für den Umgang mit sensiblen Daten 243
aa) Pflichten des Betriebsrats beim Umgang mit sensiblen Daten 244
bb) Recht des Arbeitgebers zur Auskunftsverweigerung bei fehlender Pflichtwahrung durch den Betriebsrat 245
c) Bereichsspezifische Erlaubnistatbestände des BetrVG 246
d) Betriebsvereinbarungen 249
2. Umfang der Datenverarbeitung 251
a) Diskrepanz von datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit 252
b) Kritische Betrachtung der Rechtsprechung zur Einsicht in Bruttoentgeltlisten, § 80 Abs. 2 S. 2 Hs. 2 BetrVG 257
c) Kritische Betrachtung der Rechtsprechung zum betrieblichen Eingliederungsmanagement 260
aa) Schwachstellen der Rechtsprechung 262
bb) Bewertung allein am Maßstab der betriebsverfassungsrechtlichen Erforderlichkeit 263
cc) Abweichungen mit Blick auf die datenschutzrechtliche Erforderlichkeit 264
d) Folgerung: Datenschutzrechtliche Erforderlichkeit als maßgebliche Grenze für den Umfang der betriebsratsseitigen Datenverarbeitung 266
3. Zulässigkeit der Datenweitergabe innerhalb des Betriebsratsgremiums und an andere Betriebsratsgremien 266
4. Überblick über die rechtlichen Grenzen betriebsratsseitiger Datenverarbeitung 268
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten 270
1. Unterscheidung und Identität der Aufgaben beider Institutionen 270
a) Überwachungsaufgabe 271
b) Handlungsmöglichkeiten 274
c) Sonstige Kompetenzen für den Beschäftigtendatenschutz 275
d) Möglichkeit der Erweiterung der Aufgaben 276
e) Unabhängige Stellung im Betrieb 277
2. Möglichkeit und Pflicht der Zusammenarbeit von Betriebsrat und betrieblichem Datenschutzbeauftragten 277
a) Recht zur Zusammenarbeit 278
b) Pflicht zur Kooperation 279
3. Mitwirkung des Betriebsrats bei der Bestellung des Datenschutzbeauftragten 280
a) Zustimmungsverweigerungsrecht des Betriebsrats 282
b) Erweiterung der Mitbestimmungsrechte auf die Bestellung durch Betriebsvereinbarung 284
4. Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten 287
a) Kontrollmöglichkeiten unter Geltung des BDSG a.F. 287
b) Kontrollmöglichkeiten unter Geltung der DSGVO 289
c) Reichweite der Kontrollmöglichkeiten 291
d) Folgerung: Kontrolle des Betriebsrats durch den Datenschutzbeauftragten 291
5. Kontrolle des Datenschutzbeauftragten durch den Betriebsrat? 291
6. Bestellung eines Betriebsratsmitglieds zum Datenschutzbeauftragten 293
7. Ambivalentes Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat 296
V. Ein letztes Zwischenergebnis 298
F. Thesenartige Zusammenfassung der Ergebnisse 300
Literaturverzeichnis 307
Sachwortverzeichnis 320