70: Darf der Betriebsrat den Arbeitgeber verpetzen bei der Datenaufsichtsbehörde? | Podcast

70: Darf der Betriebsrat den Arbeitgeber verpetzen bei der Datenaufsichtsbehörde? | Podcast


Niklas Pastille: Dürfen Betriebsräte den
Arbeitgeber verpetzen bei der Datenaufsichtsbehörde? Betriebsratsarbeit leicht gemacht – dein Podcast
für erfolgreiche Arbeit im Betriebsrat. Los geht’s mit unserem heutigen Thema. Hallo und herzlich willkommen zu einer weiteren
Podcast-Folge Betriebsratsarbeit leicht gemacht. Mein Name ist Niklas Pastille und ich habe
heute einen Gast, Frau Rechtsanwältin Franziska Hurtado. Hallo. #00:00:28.5# Franziska Hurtado: Hallo Niklas, ich freue
mich. #00:00:30.0# Niklas Pastille: Liebe Franziska, ich weiß
von dir, du hast ein Faible für das Datenschutzrecht. #00:00:35.9# Franziska Hurtado: Ja, ich interessiere mich
auf jeden Fall sehr dafür. Ist sie auch ein brandaktuelles Thema im Moment. Aber es ist schon ein bisschen dubios immer. Wie kommt man eigentlich zum Thema Datenschutz? Das will doch eigentlich keiner und das will
keiner besprechen. #00:00:48.5# Niklas Pastille: Da ist was dran. #00:00:49.8# Franziska Hurtado: Was ist da los, Niklas. Erklär uns das. #00:00:51.3# Niklas Pastille: Ich weiß es auch nicht. Lange Zeit galt das Datenschutzrecht als absolutes
Nischenthema. Das war was für Freaks. Ich muss aber sagen, ich finde das ganz interessant. Ich komme ursprünglich, viele Jahrzehnte
ist es her, aus dem Strafrecht und aus dem Medizinrecht, spannende Rechtsgebiete, aber
in beiden Rechtsgebieten habe ich so eine Art Allergie entwickelt, eine Allergie gegen
das Datensammeln. Du weißt, die Staatsanwaltschaft, das sind
echte Profis im Sammeln von Daten, die machen eigentlich gar nichts anderes, Medizinrecht
ähnlich. Als ich dann im Arbeitsrecht unterwegs war
wie du, da hat mich vor allem interessiert das Gesundheitsmanagement, BEM zum Beispiel. Ich weiß auch nicht, woran es liegt, das
ist wie ein Naturgesetz, die Arbeitnehmer lassen sich gerne abfragen. Oft bringt der Arbeitgeber sie in so eine
Abfragesituation, so eine Verhörkonstellation, Name, Vorname, Geburtsdatum, Blutwerte und
da wird gar nicht lange nachgedacht. Auch in diesen Krankenrückkehrer-Gesprächen
und da werden einfach Auskünfte erteilt, höchst heikle Auskünfte. Der Arbeitgeber sammelt und sammelt und sammelt. Dann habe ich irgendwann gedacht, nein, Datenschutz
ist doch alles andere als ein langweiliges Thema. Es schützt uns und unsere Selbstbestimmung. #00:02:14.3# Franziska Hurtado: Apropos Schutz, wer fällt
denn jetzt alles überhaupt da drunter? Wie ist das mit Freiberuflern, kleine Unternehmen,
alle diese Randgruppen sage ich jetzt mal, wie ist das? Es gibt ja noch andere außer die Arbeitnehmer. #00:02:26.7# Niklas Pastille: Randgruppen wie uns, so Freiberufler,
Rechtsanwälte, Ärzte, Zahnärzte oder auch ganz kleine Unternehmen, werden die von der
Datenschutzgrundverordnung, die seit Mai 2018 jetzt gilt, werden die erfasst, ja oder nein? Klare Antwort, auch wenn das viele nicht hören
mögen: Ja. Es gibt keinen datenschutzrechtlichen Rabatt
für den kleinen Arbeitgeber, auch nicht für den Freiberufler. Eine andere Frage ist, was sich daraus ergibt. Viele sagen, na ja, so eine Art Rabatt mittelbar
für den kleinen Arbeitgeber gibt es doch, der muss nämlich vielleicht kein Verarbeitungsverzeichnis
führen. Du weißt, das ist so die datenschutzrechtliche
Bibel, jeder Arbeitgeber ab sofort mit einer gewissen Größe mehr als 250 Mitarbeiter,
der muss ein Verarbeitungsverzeichnis erstellen, ist hoch aufwendig. In einem Satz gesagt, der muss sich überlegen
mithilfe seines Datenschutzbeauftragten und mit Hilfe des Betriebsrats, welche Daten erhebe
ich hier eigentlich zu welchem Zweck, auf welche Weise und mit welcher rechtlichen Rechtfertigung? Das dokumentiert meine Datenverarbeitung. Das führt auch so zu einer Selbstdisziplinierung. Zugleich kann ich aber mit diesem Verarbeitungsverzeichnis
nachweisen, dass ich mich jedenfalls bemühe, bemühe, alles richtig zu machen. Der kleine Arbeitgeber, also der kleinste
Arbeitgeber, der wird dieses Verarbeitungsverzeichnis nicht führen müssen. Insoweit dann schon einen Rabatt, obwohl wenn
man ganz genau hinschaut und das müssen wir, stimmt das auch wieder nicht so ganz. Auch der ganz kleine Arbeitgeber, zum Beispiel
die Zahnarztpraxis um die Ecke, wenn dieser Arbeitgeber mit heiklen Daten arbeitet, wenn
das also sein Geschäftsmodell ist, personenbezogene Daten auszuwerten, besondere Kategorien, sagt
das Gesetz, dann muss auch dieser Kleinstarbeitgeber ein Verarbeitungsverzeichnis führen. Wenn wir einen Strich drunter ziehen, nein,
also der Freiberufler, der hat eigentlich keinen Vorteil, auch wenn er ganz klein ist
und der kleine Arbeitgeber auch nicht. Eine Ausnahme ist wohl der Einzelanwalt oder
der einzelne Arzt, der ist er tatsächlich ausgenommen, aber auch nur von dieser Pflicht,
ein Verarbeitungsverzeichnis zu führen. #00:05:00.6# Franziska Hurtado: Das klingt jetzt echt alles
schon sehr, sehr komplex muss ich sagen. Super spannend, aber auch sehr komplex. Erstmal würde ich natürlich auch allen Betriebsräten
raten, klar, auf jeden Fall ein Seminar zu besuchen. Bei uns WAF, waf-seminar.de, gibt’s wirklich
intensive Seminare über mehrere Teile dann tatsächlich auch, wo man das alles nochmal
genau aufdröselt und dann natürlich auch richtig praktische Tipps einfach an die Hand
bekommen, damit ich dann wirklich auch weiß, was muss ich als Betriebsrat überhaupt beachten. Vielleicht kannst du uns da schon mal so einen
kleinen Einblick geben, was muss ich als Betriebsrat beachten? #00:05:35.6# Niklas Pastille: Du sprichst von Seminaren,
wir haben ein ganz spannendes Webinar auch zur Datenschutzgrundverordnung. Das geht einigermaßen in die Tiefe und da
geht es zum Beispiel um die Frage: Ich als Betriebsrat, bin ich denn auch verpflichtet
mich hier an das Datenschutzrecht zu halten? Was bedeutet das eigentlich in der Praxis? Vor allem aber, wie schaue ich meinem Arbeitgeber
auf die Finger, wenn der jetzt die Datenschutzgrundverordnung umsetzt, was er ja muss? Du weißt, der häufigste Zankapfel sind die
bestehenden Betriebsvereinbarungen, die müssen alle ausnahmslos … #00:06:12.5# Franziska Hurtado: Alle aktualisiert werden
natürlich. #00:06:13.4# Niklas Pastille: Genau. Wir müssen uns jede BV vorlegen als Betriebsrat
und uns immer wieder neu fragen, das ist sehr aufwendig, entspricht dieser Vertrag, einer
BV ist ein Vertrag, entspricht dieser Vertrag der neuen Datenschutzgrundverordnung, ja oder
nein? Und wenn wir zu dem Ergebnis gelangen, nein,
das wird häufig der Fall sein, dann muss diese BV nachverhandelt werden. Gelingt das nicht, gibt es Streit. Streit heißt in vielen Fällen, die Sache
landet vor der Einigungsstelle. Das wird in diesem Webinar, aber auch in dem
Präsenzseminar, das du erwähnt hast, das immerhin drei Teile sogar aufweist, also mehrtägig
ist, wird gut untersucht, richtig in die Tiefe, auch von einem echten Datenschutzexperten. #00:07:01.9# Franziska Hurtado: Brauche ich dann auch für
den Betriebsrat eigentlich einen Datenschutzbeauftragten? #00:07:05.7# Niklas Pastille: Das ist eine spannende Frage. Nein. Der Arbeitgeber, der benennt einen Datenschutzbeauftragten
in seinem Betrieb, jedenfalls fast jeder Arbeitgeber muss das tun, da geht es wieder um die Größe
des Unternehmens mittelbar, wenn mindestens zehn Personen Daten auswerten, automatisiert,
personenbezogen, dann muss es einen Datenschutzbeauftragten geben. Aber ich habe gesagt, auch der Betriebsrat
unterliegt dem Datenschutzrecht. Da sollte es schon eine Person geben, die
informell innerhalb des Betriebsrats sich um Datenschutz kümmert. Ich finde schon, einer muss sich verantwortlich
zeichnen dafür, Datenschutzbeauftragter kann man das aber nicht nennen. Der Datenschutzbeauftragte ist unabhängig
vom Betriebsrat, unabhängig allerdings auch vom Arbeitgeber, absolut weisungsfrei und
der zusammenarbeiten mit dem Betriebsrat, wobei er dem Betriebsrat nicht etwa irgendwie
weisungsbefugt ist. #00:08:06.2# Franziska Hurtado: Alles klar. Was es eigentlich mit dieser Datenschutzfolgeabschätzung? Da ist schon irgendwie so ein ganz skurriles
Wort. Was hat es damit auf sich? #00:08:16.7# Niklas Pastille: Ich hatte erwähnt, es gibt
ein Verarbeitungsverzeichnis, das der Arbeitgeber führen muss. Das ist sozusagen die datenschutzrechtliche
Bibel. Genau gesehen gibt es aber zwei Bibeln. Neben diesem Verarbeitungsverzeichnis … #00:08:31.1# Franziska Hurtado: Es wird immer komplizierter,
Niklas. #00:08:31.5# Niklas Pastille: … da gibt es jetzt eine
Datenschutzfolgeabschätzung. Da geht es wieder nicht um die Größe so
sehr des Arbeitgebers, sondern wenn ein Arbeitgeber besonders heikle Daten verarbeitet, wenn er
das auch weiß, zum Beispiel Gesundheitsdaten, dann muss er, bevor er das tut, nicht erst
hinterher, systematisch darüber nachdenken mithilfe des Datenschutzbeauftragten, ob Risiken
entstehen hier für die Personen, deren Daten er verarbeitet. Diese Risiken, die müssen klar benannt werden
wieder in einer Art Aufstellung, die nennt man Datenschutzfolgeabschätzung. Aber deine Frage ist sehr berechtigt, es gibt
nämlich keine klaren Anleitungen in der Praxis bisher für das Abfassen dieses wichtigen
Dokuments, das auch immer aktuell sein muss und es gibt auch fast keine Rechtsprechung
dazu. Das heißt, noch machen die Arbeitgeber hier
sozusagen, was sie wollen, aber diese Party, die könnte schnell beendet sein, denn du
weißt, es drohen erhebliche Bußgelder, wenn der Arbeitgeber etwas falschmacht. Falsch könnte zum Beispiel sein, dass er
gar kein Verarbeitungsverzeichnis und gar keine Datenschutzfolgeabschätzung erstellt. Viele Arbeitgeber haben weder das eine noch
das andere oder haben uralte Dokumente, die müssen alle aktualisiert werden. #00:10:00.6# Franziska Hurtado: Und dafür natürlich am
besten auf ein Seminar fahren. #00:10:05.1# Niklas Pastille: Genau. #00:10:05.9# Franziska Hurtado: Da mache ich gleich mit,
würde ich sagen, wenn ich das so höre. #00:10:08.7# Niklas Pastille: Perfekt. #00:10:09.3# Franziska Hurtado: Wenn ich das jetzt merke,
kommen wir mal zurück zur Eingangsfrage, darf ich den Arbeitgeber verpetzen? Ganz klares Ja auf jeden Fall. #00:10:18.2# Niklas Pastille: Es gibt Datenschutzaufsichtsbehörden,
eine in jedem Bundesland und die soll den Arbeitgebern helfen die Datenschutzvorgaben
umzusetzen, aber die soll den Arbeitgeber doch auch kontrollieren. Die nimmt auch Hinweise entgegen, du weißt,
so das Thema Anzeigerecht, darf ich den Arbeitgeber anzeigen, darf ihn anschwärzen, Whistleblowing
und so weiter? Das ist alles höchst problematisch, du weißt,
es gibt eine jahrzehntelange Rechtsprechung etlicher Gerichte zur Frage, darf ich meinen
Arbeitgeber, wenn er etwas falschgemacht hat, melden gegenüber den Behörden oder gegenüber
der Staatsanwaltschaft? Antwort: Ja, das darfst du schon als Betriebsrat
und auch als Arbeitnehmer, aber bitte, du musst vorher unternommen haben einen Erklärungsversuch,
man nennt das einen innerbetrieblichen Erklärungsversuch. Also rede doch erst mit deinem Arbeitgeber
bevor du ihn anzeigst. Dazu will ich auch geraten haben. Du weißt, wir müssen vertrauensvoll mit
dem Arbeitgeber zusammenarbeiten. Steht so als Kooperationsmaxime im § 2 Betriebsverfassungsgesetz. Dennoch, die Datenschutzaufsicht gibt es dafür,
dass man sie nutzt. Wenn ich mit diesem Gespräch scheitere, darf
ich mich sehr wohl an die Behörden wenden und ich darf es wohl, wenn es um Datenschutzverstöße
geht, auch gleich so. Jedenfalls gibt es dazu noch keine neue eindeutige
Rechtsprechung. Das heißt die Position des Betriebsrats ist
einigermaßen stark. #00:11:59.4# Franziska Hurtado: Das ist schon mal gut zu
wissen. Aber wie ist das als Arbeitnehmer, wenn ich
sage, ach, mir ist das eigentlich alles egal, was mit meinen Daten passiert, mich interessiert
das alles nicht so, soll halt jeder wissen … #00:12:11.4# Niklas Pastille: Habe nichts zu verbergen,
heißt es immer. #00:12:13.4# Franziska Hurtado: … dass ich krank bin. Genau, das ist auch immer ein schöner Spruch. Kann ich auf meine Auskunftsrechte verzichten,
wenn ja, aus welchem Grund, wie lange? Kann ich das irgendwann widerrufen? #00:12:21.9# Niklas Pastille: Schöne Frage, klare Antwort. Ein Verzicht ist nicht möglich. Manche Arbeitgeber werden jetzt panisch, nachdem
sie irgendwelche Seminare besucht haben und lassen es sich vom Arbeitnehmer schriftlich
geben, dass dieser auf seine betroffenen Rechte verzichtet. Zum Beispiel, ich werde niemals eine Auskunft
von dir verlangen, lieber Arbeitgeber. Das unterschreiben dann die Arbeitnehmer. Das ist grob rechtswidrig, also unwirksam. Wir können uns merken, ein Verzicht auf meine
Rechte, auf meine datenschutzrechtlichen Rechte, gibt es nicht und wo dieser Verzicht erklärt
wird, ist er unwirksam. Übrigens nochmal so ein Griff in die Trickkiste,
die anwaltliche Trickkiste. Ich würde den Arbeitgeber ohne diesen innerbetrieblichen
Klärungsversuch niemals anzeigen. Ich finde das nicht sehr klug. Wollte ich den Arbeitgeber ärgern und dafür
kann es hier und da mal einen Grund geben, dann würde ich eher spielen mit diesen betroffenen
Rechten. Ich würde zum Beispiel meine Kollegen dazu
anhalten, ständig Auskünfte vom Arbeitgeber zu verlangen, welche Daten er denn jetzt gerade
auf welcher Rechtsgrundlage zu welchem Zweck wie lange durch wen verarbeitet. Du ahnst es, diese Auskunftsrechte, die gehen
sehr weit in der Praxis und die müssen sofort beantwortet werden, jedenfalls unverzüglich. Meistens, gibt ein paar Ausnahmen, innerhalb
nur eines Monats. Das ist ein aufwendiges Verfahren und es erinnert
den Arbeitgeber daran, dass er diese Datenverarbeitung auf datenschutzrechtlich saubere Füße stellen
muss. Ich finde, das ist viel effektiver als anzeigen. #00:14:07.9# Franziska Hurtado: Das ist schon mal ein wertvoller
Tipp auf jeden Fall. #00:14:11.1# Niklas Pastille: Wer zahlt die ganze Party,
das ist ja aufwendig? Natürlich der Arbeitgeber. Wer denn sonst? Betriebsrat hat kein Vermögen, darf keins
haben. Die Arbeitnehmer dürfen nicht zur Kasse gebeten
werden, jedenfalls im Normalfall nicht, dafür, dass sie Auskunftsrechte auch geltend machen. Also muss es der Arbeitgeber zahlen. Jetzt hat mir neulich ein kleinerer Arbeitgeber
gesagt, dafür hätte ich Geld zurücklegen müssen oder irgendwelche Ressourcen einplanen
müssen. Die Antwort ist, hättest du mal tun müssen. Schade, dass du das nicht gemacht hast, mach
es lieber jetzt. #00:14:46.7# Franziska Hurtado: Tja, aber das ist wie bei
uns auf den Seminaren. Wenn ich ein Seminar besuche, darf das auch
der Arbeitgeber bezahlen. #00:14:55.5# Niklas Pastille: Ja, zu Recht. Gibt auch was geboten. #00:14:57.7# Franziska Hurtado: Ist auch dringend erforderlich
wie wir heute gelernt haben, so ein Seminar zum Datenschutz. #00:15:02.5# Niklas Pastille: Das hat Spaß gemacht heute,
danke Franziska. #00:15:06.0# Franziska Hurtado: Danke, dass ich dabei sein
durfte, lieber Niklas. Ich habe viel mitgenommen, viel gelernt. Wenn Sie noch Fragen haben sollten, schauen
sie gerne vorbei auf betriebsrat.com. Wir verabschieden uns von heute und kommen
Sie gut durch die Woche, Ihre Franziska Hurtado. #00:15:21.0# Niklas Pastille: Niklas Pastille. #00:15:22.2# Lieber Hörer, wir hoffen, es hat dir heute
Spaß gemacht und es war etwas Interessantes für dich dabei. Wenn dir gefallen hat, was du gehört hast,
dann bewerte diesen Podcast. Dein Feedback ist uns sehr wichtig und hilft
uns noch bessere Inhalte für dich und diesen Podcast zu produzieren. Den Link für die Bewertung findest du in
der Beschreibung. Wir wünschen dir einen erfolgreichen Tag
und bis bald.

1 thought on “70: Darf der Betriebsrat den Arbeitgeber verpetzen bei der Datenaufsichtsbehörde? | Podcast

  1. Hat dir die Folge gefallen? Was können wir besser machen?

    Lass es uns gerne wissen, hier in den Kommentaren!

    dein W.A.F. YouTube Team

Leave a Reply

Your email address will not be published. Required fields are marked *