Diese spezialisierte Compliance-Checkliste richtet sich gezielt an die gesetzlichen Interessenvertretungen in Baden-Württemberg. Da im öffentlichen Sektor das Landespersonalvertretungsrecht (LPVG BW) und in der Privatwirtschaft das Betriebsverfassungsgesetz (BetrVG) gilt, ist die Liste strikt nach den beiden Gremien getrennt.

Beide Gremien haben beim Datenschutz eine Doppelrolle: Sie sind Kontrollorgan zur Einhaltung des Datenschutzes und selbst datenverarbeitende Stelle, die die DSGVO einhalten muss.

Checkliste für den Betriebsrat (Privatwirtschaft - BetrVG & BDSG)

In privatwirtschaftlichen Unternehmen (z. B. kommunalen GmbHs oder Zweckverbänden in privater Rechtsform) gelten das BetrVG und das Bundesdatenschutzgesetz (BDSG).

Rolle als Kontrollorgan (Überwachungspflicht)

• Allgemeine Aufgaben (§ 80 Abs. 1 Nr. 1 BetrVG): Der Betriebsrat wacht über die Einhaltung der DSGVO und des § 26 BDSG (Datenverarbeitung für Beschäftigtendatenschutz) im Betrieb.
• Zwingende Mitbestimmung bei technischer Überwachung (§ 87 Abs. 1 Nr. 6 BetrVG): Die Einführung und Anwendung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, erfordert die zwingende Zustimmung des Betriebsrats.
• Betriebsvereinbarungen als DSGVO-Garantie: Verhandelte Betriebsvereinbarungen müssen die Anforderungen von Art. 88 DSGVO erfüllen (Festlegung von konkreten Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der Beschäftigten).

Eigener Datenschutz im Betriebsratsbüro

Sonderregelung § 79a BetrVG (Neu seit dem BetrAnpG-EU): Der Betriebsrat ist bei der Verarbeitung von personenbezogenen Daten nicht selbst Verantwortlicher, sondern die Überwachung der Einhaltung obliegt dem Arbeitgeber. Aber: Der Arbeitgeber und der Betriebsrat müssen sich gegenseitig bei der Einhaltung des Datenschutzes unterstützen.

Unabhängigkeit bei Kontrollen: Der betriebliche Datenschutzbeauftragte (DSB) ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet, wenn es um Daten geht, die ihm durch den Betriebsrat zugänglich gemacht wurden.

Technische Schwellen: Auch hier gilt das Prinzip der Vertraulichkeit: Der Betriebsrat muss eigene, vor dem Zugriff des Arbeitgebers geschützte IT-Infrastrukturen und abschließbare Räume/Schränke nutzen können.

Compliance-Dashboard

Um Mandanten und Webseitenbesuchern die Arbeit mit diesen komplexen rechtlichen Verpflichtungen zu erleichtern, empfiehlt sich eine Visualisierung der Pflichtenstruktur und erlaubt die Filterung nach Gremium und Handlungsfeld:

Checkliste / Aufgabe / Bereich:

Überwachung der Einhaltung - § 80 Abs. 1 Nr. 1 BetrVG - Überwachungsfunktion

Mitbestimmung IT-Systeme - § 87 Abs. 1 Nr. 6 BetrVG - Überwachungsfunktion

Datengeheimnis wahren - § 79 BetrVG - Eigener Datenschutz

Verarbeitungsverzeichnis - Art. 30 DSGVO i.V.m. § 79a BetrVG - Eigener Datenschutz

Löschkonzept prüfen - § 80 Abs. 1 BetrVG - Überwachungsfunktion

Beispiel-Verstoß:

Viele Gremien übersehen, dass Datenschutz im Betriebsrats- oder Personalratsbüro bereits bei der Protokollführung von Sitzungen beginnt. Werden dort beispielsweise Gesundheitsdaten unverschlüsselt auf dem allgemeinen Fileserver der Verwaltung abgelegt, kann bereits ein handfester Datenschutzverstoß der gesamten Organisation vorliegen.