Örtlich Beauftragte für den Datenschutz dürfen auch Mitarbeitervertretungen kontrollieren

Lange Zeit war nicht abschließend geklärt, wie der Betriebsrat und damit auch die Mitarbeitervertretung in der Datenschutzorganisation einer Einrichtung einzuordnen sind.

Diese Frage wurde im staatlichen Bereich mit Schaffung des § 79a Betriebsverfassungsgesetz (BetrVG) im letzten Jahr abschließend geklärt. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber die für die Verarbeitung dieser personenbezogenen Daten verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften. Der Betriebsrat wird also als Teil der verantwortlichen Stelle eingeordnet und nicht als eigenständige verantwortliche Stellen qualifiziert.

Diese Ansicht hatte der BfD EKD für Mitarbeitervertretungen von kirchlichen und diakonischen Stellen bereits in der Vergangenheit vertreten. Auch die Tatsache, dass das Mitarbeitervertretungsgesetz EKD (MVG-EKD) den Mitarbeitervertretungen vorgibt, für die Einhaltung des Datenschutzes in den Angelegenheiten ihrer Geschäftsführung zu sorgen, steht dieser Wertung nicht entgegen. Fehler in der Verarbeitung personenbezogener Daten verantwortet letztlich immer die kirchliche oder diakonische Einrichtung als verantwortliche Stelle.

Daran schließt sich die Frage nach den Befugnissen der örtlich Beauftragten für den Datenschutz gegenüber einer Mitarbeitervertretung an. Schon bisher hat der BfD EKD die Ansicht vertreten, dass örtlich Beauftragte für den Datenschutz die verantwortliche Stelle, die Beschäftigten und somit auch die Mitarbeitervertretung beraten und weiterbilden dürfen. Nunmehr schließt sich der BfD EKD auch der im staatlichen Bereich vertretenen Auffassung an, dass örtlich Beauftragte für den Datenschutz die Möglichkeit haben müssen, auch Mitarbeitervertretungen zu kontrollieren. Zum einen weil die Einrichtung auch für die Datenverarbeitung der Mitarbeitervertretungen verantwortlich ist, zum anderen, weil es keine Bereiche ohne interne Datenschutz-kontrolle geben darf. Wie immer haben örtlich Beauftragte für den Datenschutz vertraulich mit Informationen umzugehen, die sie im Rahmen ihrer Aufgabenerfüllung erhalten. Dies gilt in dieser Konstellation insbesondere für Informationen, die Rückschlüsse auf den Meinungsbildungsprozess der Mitarbeitervertretung zulassen.