Datenschutz Betriebsrat: Das müssen Sie beachten

DSGVO, BDSG, BetrVG und viele mehr – das Zusammenspiel unterschiedlicher Datenschutzvorschriften im Kontext der Betriebsratsarbeit ist komplex. Für Betriebsräte besteht aus datenschutzrechtlicher Sicht Handlungsbedarf, insbesondere weil sie regelmäßig mit sensiblen personenbezogenen Daten arbeiten. Im folgenden Artikel erhalten Sie eine praxisnahe Darstellung der Datenschutzpflichten für Betriebsräte und konkrete Tipps zur rechtskonformen Umsetzung in der täglichen Gremienarbeit.

Datenschutz Betriebsrat: Gesetzliche Grundlagen

Mitarbeitende müssen sich darauf verlassen können, dass ihre sensiblen personenbezogenen Daten auch im Rahmen der Betriebsratsarbeit vertraulich behandelt werden. Datenschutz spielt daher auch für Betriebsräte eine wichtige Rolle. Während das Betriebsverfassungsgesetz (BetrVG) dem Gremium weitreichende Einsichtsrechte einräumt, ist gleichzeitig sicherzustellen, dass die folgenden Datenschutzgesetze eingehalten werden:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Betriebsverfassungsgesetz (BetrVG)

Wie gestaltet sich der Datenschutz für den Betriebsrat?

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten (§ 79a Satz 1 BetrVG). Betriebsräte sind verpflichtet, personenbezogene Daten der betroffenen Person, die sie im Rahmen ihrer Tätigkeit erhalten oder verarbeiten, vor unbefugtem Zugriff und Missbrauch zu schützen. Dabei gilt: Auch wenn der Betriebsrat, die betriebliche Interessenvertretung, als unabhängiges Organ eigenständig agiert, gelten für ihn die Datenschutzgrundsätze der DSGVO, insbesondere:

• Grundsatz der Rechtmäßigkeit
• Transparenzgebot
• Zweckbindungsgrundsatz
• Grundsatz der Speicherbegrenzung bzw. Datenminimierung
• Integrität und Vertraulichkeit

Das bedeutet: Der Betriebsrat darf personenbezogene Daten nur in dem Umfang verarbeiten, wie es zur Wahrnehmung seiner gesetzlichen Aufgaben erforderlich ist – beispielsweise bei der Mitbestimmung in personellen Einzelmaßnahmen oder der Überprüfung von Arbeitszeitregelungen. Zusätzlich müssen Beschäftigte – soweit nicht bereits durch den Arbeitgeber geschehen – über die Verarbeitung ihrer Daten durch den Betriebsrat informiert werden.

Betriebsrat DSGVO: Welche Daten müssen geschützt werden?

Im Rahmen seiner Tätigkeit verarbeitet der Betriebsrat regelmäßig eine Vielzahl personenbezogener Daten. Diese umfassen unter anderem:

• Name und Kontaktdaten von Mitarbeitenden
• Angaben zu Arbeitszeit, Gehalt und Sozialleistungen
• Gesundheitsdaten (z. B. bei Schwerbehindertenvertretung oder BEM-Verfahren)
• Angaben zu familiären Umständen (z. B. Kinderzahl bei Schichtplanung)
• Daten zur Gewerkschaftszugehörigkeit (z. B. bei BR-Wahlen oder in Verhandlungen)

Diese besonders sensiblen Daten unterliegen einem erhöhten Schutzbedarf. Ein datenschutzkonformer Umgang mit diesen Informationen spielt daher eine zentrale Rolle. Der Betriebsrat sollte genau festlegen, wie, wo und von wem diese Daten verarbeitet, gespeichert und ggf. gelöscht werden.

Betriebsrat kein eigener Verantwortlicher im Sinne der DSGVO

In der Praxis stellte sich lange die Frage, ob der Betriebsrat für den datenschutzkonformen Umgang eigenständig verantwortlich ist oder ob der Arbeitgeber diese Rolle übernimmt. Der Gesetzgeber hat mit der Einführung des § 79a BetrVG im Jahr 2021 nun für rechtliche Klarheit beim Thema Datenschutz gesorgt:

§ 79a Satz 2 BetrVG stellt ausdrücklich klar, dass der Arbeitgeber datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist – auch für die Datenverarbeitung durch den Betriebsrat.

Das bedeutet:

• Der Betriebsrat ist Teil der verantwortlichen Stelle, also organisatorisch und rechtlich eingebunden in den Verantwortungsbereich des Arbeitgebers.
• Der Betriebsrat handelt nicht als eigenständiger Verantwortlicher und ist insbesondere kein Auftragsverarbeiter.
• Die datenschutzrechtliche Gesamtverantwortung – inklusive Rechenschaftspflicht, Betroffenenrechte und Dokumentation – liegt beim Arbeitgeber.

Somit ist der Arbeitgeber als Verantwortlicher anzusehen. Trotz dieser Einordnung trägt der Betriebsrat weiterhin eine Mitverantwortung bei der Einhaltung des Datenschutzes im Rahmen seiner Tätigkeit. Er ist verpflichtet, datenschutzgerechtes Verhalten sicherzustellen und mit dem Datenschutzbeauftragten des Unternehmens zusammenzuarbeiten, um eine rechtskonforme Verarbeitung personenbezogener Daten zu gewährleisten.

Datenschutzrechtliche Einflussmöglichkeiten des Betriebsrats

Betriebsräte haben laut § 75 Abs. 2 Satz 1 BetrVG die Pflicht, die freie Entfaltung der Persönlichkeit der Beschäftigten im Betrieb zu schützen und zu fördern. Sie müssen darauf achten, dass die Arbeitsbedingungen die Persönlichkeitsrechte der Mitarbeitenden nicht verletzen. Zudem unterstützen sie den Arbeitgeber bei der Einhaltung arbeitnehmerschützender Gesetze. Diese Verantwortung umfasst auch den Schutz personenbezogener Daten, insbesondere bei Maßnahmen, die in das Persönlichkeitsrecht oder das Verhalten von Beschäftigten eingreifen.

Erstellung von Personalfragebögen 

Die Erstellung und Nutzung von Personalfragebögen durch den Arbeitgeber ist nach § 94 Abs. 1 BetrVG zustimmungspflichtig. Der Gesetzgeber schränkt damit das Fragerecht des Arbeitgebers bewusst ein, um die betroffenen Personen vor übermäßiger oder unzulässiger Datenerhebung im Rahmen des Bewerbungsverfahrens zu schützen. Der Betriebsrat kann und muss mitentscheiden, welche Informationen abgefragt werden. Er sollte dabei stets die Grundsätze der Datenminimierung und Zweckbindung im Blick behalten. Nur solche Fragen, die für das konkrete Arbeitsverhältnis objektiv erforderlich sind, dürfen zugelassen werden. So unterstützt der Betriebsrat aktiv die Wahrung der informationellen Selbstbestimmung der Mitarbeitenden.

Aufstellung allgemeiner Beurteilungsgrundsätze 

Bei der Aufstellung allgemeiner Beurteilungsgrundsätze hat der Betriebsrat ein Mitbestimmungsrecht (§ 94 Abs. 2 BetrVG). Es geht um Regelungen zur Bewertung von Leistung und Verhalten der Beschäftigten. Mitbestimmungspflichtig sind sowohl die Beurteilungskriterien (z. B. Fachwissen, Teamfähigkeit, Zuverlässigkeit) als auch die Beurteilungsgrundlagen (z. B. Mitarbeitergespräche, Zielvereinbarungen, Kennzahlen, Selbsteinschätzungen). Ebenso umfasst die Mitbestimmung im Datenschutz das Beurteilungsverfahren, also etwa die Festlegung des Beurteilungszeitraums, der Bewertungsmethode, der Dokumentation und der Einspruchsmöglichkeiten. Ziel ist es, eine faire, transparente und nachvollziehbare Beurteilung sicherzustellen – im Interesse der Beschäftigten und zum Schutz ihrer Persönlichkeitsrechte.

Auswahlrichtlinien

Richtlinien zur personellen Auswahl bei Einstellungen, Versetzungen, Umgruppierungen oder Kündigungen unterliegen ebenfalls der Mitbestimmung (§ 95 Abs. 1 BetrVG). Diese Regeln legen abstrakte Kriterien fest, die bei der Auswahl unter mehreren Bewerbenden oder Beschäftigten angewendet werden sollen – etwa Betriebszugehörigkeit, soziale Gesichtspunkte oder fachliche Qualifikation. Solche Auswahlrichtlinien beeinflussen zwangsläufig den Umgang mit Beschäftigtendaten: Liegen die nötigen Daten nicht vor, müssen sie erhoben werden. Der Betriebsrat bestimmt also mit, welche Daten erhoben und wie sie verwendet werden.

Mitbestimmung bei der Überwachung des Arbeitnehmerverhaltens

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Systeme zur Überwachung von Verhalten oder Leistung der Beschäftigten. Dazu zählen etwa Zeiterfassungssysteme, GPS-Tracking, Videoüberwachung oder Software zur Protokollierung von Arbeitsvorgängen. Schon die bloße Möglichkeit der Leistungs- oder Verhaltenskontrolle genügt, um die Mitbestimmung auszulösen. Der Betriebsrat kann hier datenschutzfreundliche Lösungen mitverhandeln und sicherstellen, dass Maßnahmen verhältnismäßig und transparent umgesetzt werden. So trägt er aktiv dazu bei, die Persönlichkeitsrechte der Mitarbeitenden im digitalen Arbeitsumfeld zu schützen.

Datenschutzrechtliche Pflichten des Betriebsrats

Dem Betriebsrat kommt nach § 80 Abs. 1 Nr. 1 BetrVG eine umfassende Überwachungsaufgabe zu. Er hat darüber zu wachen, dass die zu Gunsten der Arbeitnehmer geltenden Rechtsvorschriften durchgeführt werden. Zu diesen Vorschriften gehören auch die Bestimmungen des BDSG sowie der unmittelbar geltenden DSGVO, soweit diese auch Arbeitnehmer schützen. Nachstehend ein Überblick der datenschutzrechtlichen Pflichten des Betriebsrats im Verhältnis zum Arbeitgeber: 

• Unterstützung bei der Erfüllung von Betroffenenrechten, z.B. bei der Beantwortung von Auskunftsersuchen oder Löschanfragen
• Unverzügliche Meldung von (potenziellen) Datenschutzverletzungen, die innerhalb des Einflussbereiches des Betriebsrates, an den Datenschutzbeauftragten
• Mitwirkung bei der Erstellung von Datenschutzinformationen für Beschäftigte.
• Zurverfügungstellung von Informationen für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
• Mitwirkung bei der Durchführung von ausgewählten Datenschutz-Folgenabschätzungen
• Sichere Übertragung sensibler Beschäftigungsdaten (kein unverschlüsselter E-Mail-Austausch) 
• Einschränkung der Zugriffsrechte auf Unterlagen des Betriebsrats (Berechtigungskonzept)
• Prüfung, dass Beschäftigtendaten insgesamt ausreichend durch Schutzmaßnahmen abgesichert werden (technische und organisatorische Maßnahmen);
• Erstellung Löschkonzept: Rechtzeitige und umfassende Löschung der Daten nach Wegfall des Zwecks

Künstliche Intelligenz am Arbeitsplatz – Datenschutz und neue Rechte für den Betriebsrats

Der Einsatz von Künstlicher Intelligenz (KI) am Arbeitsplatz stellt Betriebsräte vor neue Herausforderungen – insbesondere in datenschutzrechtlicher Hinsicht. KI-Systeme können personenbezogene Daten in großem Umfang analysieren, Entscheidungen vorbereiten oder gar automatisiert treffen. Das betrifft etwa Leistungsbewertungen, Schichtplanung oder Bewerbungsverfahren. Damit sind grundlegende Rechte der Beschäftigten – etwa auf Datenschutz und informationelle Selbstbestimmung – potenziell berührt.

• Gemäß § 90 Abs. 1 Nr. 3 BetrVG ist der Arbeitgeber verpflichtet, den Betriebsrat frühzeitig über geplante KI-Anwendungen zu informieren und die notwendigen Unterlagen vorzulegen. 
• Zudem hat der Gesetzgeber mit § 80 Abs. 3 S. 2 und 3 BetrVG ausdrücklich klargestellt, dass der Betriebsrat bei KI-Projekten Sachverständige hinzuziehen darf – auch ohne Zustimmung des Arbeitgebers, wenn es um die ordnungsgemäße Durchführung der Beteiligungsrechte geht.
• Das KI-Systemen kann als „technische Einrichtung“ nach § 87 Abs. 1 Nr. 6 BetrVG zu qualifizieren sein. In diesem Fall ist vor der Einführung eine verbindliche Regelung in Form einer Betriebsvereinbarung erforderlich. Der Betriebsrat sollte daher technische Entwicklungen aktiv begleiten, um die Interessen der Beschäftigten rechtzeitig zu wahren.

Praxistipp: IT-Rahmenbetriebsvereinbarung abschließen 

Das Mitbestimmungsrecht des Betriebsrats bei der Überwachung von Verhalten oder Leistung durch technische Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG) ist besonders praxisrelevant für den Beschäftigtendatenschutz. Die Rechtsprechung des Bundesarbeitsgerichts legt diese Norm weit aus: Mitbestimmungspflichtig sind beispielsweise Zeiterfassungssysteme, Videokameras, E-Mail-Software, biometrische Zugangskontrollen (z. B. Fingerabdruckscanner), die Auswertung von Telefondaten sowie Feedbackfunktionen auf unternehmenseigenen Social-Media-Plattformen.

In der Praxis bedeutet das: Jedes neue IT-System, das zur Kontrolle oder Bewertung von Beschäftigten geeignet ist, erfordert die frühzeitige Einbindung des Betriebsrats. Um die regelmäßige Abstimmung zu erleichtern und rechtssichere Grundlagen für die Datenverarbeitung zu schaffen, empfiehlt sich der Abschluss einer IT-Rahmenbetriebsvereinbarung.

Eine solche Vereinbarung sollte in enger Zusammenarbeit mit dem Datenschutzbeauftragten und dem Betriebsrat erstellt werden. Sie regelt unter anderem Zugriffsrechte, Speicherfristen, Kontrollmechanismen und die Nutzung von Protokolldaten. Gleichzeitig dient sie als datenschutzrechtliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Eine klare, transparente und vorausschauende Vereinbarung fördert das Vertrauen der Mitarbeitenden und reduziert Konfliktpotenziale bei der Einführung neuer digitaler Systeme.

Datenschutz im Betriebsrat rechtssicher gestalten – wir unterstützen Sie dabei

Die Anforderungen an den Datenschutz im Kontext der Betriebsratsarbeit sind komplex und rechtlich anspruchsvoll. Als spezialisierte Unternehmensberatung im Datenschutz unterstützen wir Betriebsräte und Arbeitgeber dabei, gesetzliche Pflichten praxistauglich und rechtssicher umzusetzen. Ob bei der Gestaltung datenschutzkonformer Betriebsvereinbarungen, der Einführung neuer IT-Systeme oder der Abgrenzung von Verantwortlichkeiten – unsere externen Datenschutzbeauftragten beraten Sie fundiert, unabhängig und lösungsorientiert. Profitieren Sie von unserer Erfahrung an der Schnittstelle von Arbeitsrecht, Datenschutz und Technik. Gemeinsam schaffen wir Klarheit, minimieren Risiken und fördern eine vertrauensvolle Zusammenarbeit im Betrieb. Sprechen Sie uns gerne an – wir freuen uns auf Ihre Anfrage!

FAQ Datenschutz Betriebsrat