Personenbezogene Daten sind in Zeiten der Digitalisierung bislang ungeahnten Gefahren ausgesetzt. Dies gilt auch für die Daten von Beschäftigten. Der Gesetzentwurf fordert daher ein echtes Mitbestimmungsrecht im Datenschutz. Auch bei der Bestellung und Abberufung von Beauftragten für den Datenschutz soll er mitbestimmen.

von Dr. Till Bender

Spätestens seit der Keylogger-Entscheidung des Bundesarbeitsgerichts (Urteil vom 27. Juli 2017 – 2 AZR 681/16) dürfte dem arbeitsrechtlichen Fachpublikum klar sein, welche Gefährdungen die Digitalisierung für die Beschäftigten bereithält. Die Arbeitgeberin hatte ihren Arbeitnehmer über einen längeren Zeitraum mithilfe einer Software überwacht, das sämtliche Tastatureingaben erkannte und dauerhaft speicherte sowie regelmäßig Screenshots vom PC erstellte. Die Arbeitgeberin erfuhr dadurch unter anderem die Kreditkartennummer inklusive Prüfziffer.

Überwachungsdruck wächst durch Digitalisierung

Aber auch bei Software, die nicht explizit dazu eingesetzt wird, Beschäftigte auszuspionieren, fallen erhebliche Mengen personenbezogener Daten an, ohne dass Beschäftigte sich hiergegen wehren können oder auch nur davon erfahren. Umso wichtiger ist eine effektive Kontrolle zum Schutze der Beschäftigten.

Der DGB-Entwurf sieht daher im Katalog des § 87 Abs. 1 BetrVG gleich zwei neue Mitbestimmungstatbestände vor, nämlich zum einen bei Maßnahmen zum Schutz der Würde und der Persönlichkeitsrechte einzelner sowie bei Maßnahmen des betrieblichen Datenschutzes.

Zudem soll der Betriebsrat bei der Bestellung und Abberufung der*des Datenschutzbeauftragten mitbestimmen (§ 79a Abs. 3 S. 1 BetrVG-E). Können sich Arbeitgeber und Betriebsrat nicht einigen, entscheidet die Einigungsstelle (§ 79a Abs. 3 S. 2, 3 BetrVG-E).

Beauftragte für Datenschutz werden nur noch mit Beteiligung des Betriebsrats bestellt und abberufen

Durch diese Regelung werden Datenschutzbeauftragte Betriebsärzten und Fachkräften für Arbeitssicherheit gleichgestellt. Diese sind mit Zustimmung des Betriebsrats zu bestellen und abzuberufen, § 87 und § 76 BetrVG gelten entsprechend (§ 9 Abs. 3 ASiG).

Die Gleichstellung ist sachdienlich, da Datenschutzbeauftragte ebenso fachlich weisungsfrei agieren und damit eine objektive Kontrollfunktion gegenüber dem Arbeitgeber ausüben, die zudem mit einem Sonderkündigungsschutz abgesichert ist. In der betrieblichen Realität werden Datenschutzbeauftragte jedoch oft als im Lager des Arbeitgebers stehend betrachtet. Die Bestellung gleichermaßen durch Arbeitgeber und Betriebsrat ist geeignet, diesem Eindruck entgegenzuwirken und die Akzeptanz zu erhöhen.

Zur Frage der Verantwortlichkeit für den Datenschutz hat das Betriebsrätemodernisierungsgesetz erst kürzlich eine Klarstellung vorgenommen. Der Arbeitgeber ist datenschutzrechtlich verantwortlich für die Verarbeitung personenbezogener Daten durch den Betriebsrat. Den eklatanten Widerspruch der darin besteht, dass dem Betriebsrat zuweilen Daten vorliegen, von denen der Arbeitgeber nichts wissen darf, hat der Gesetzgeber durch eine recht schwache Vorschrift zu lösen versucht, nach der Arbeitgeber und Betriebsrat sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen haben (§ 79a Abs. 1 S. S. 2 BetrVG). Diese missglückte Vorschrift soll gestrichen werden. Stattdessen soll der Betriebsrat berechtigt werden, Datenschutzbeauftragte oder für den Datenschutz Zuständige zur Unterstützung hinzu zu ziehen.