Übermüdete IT-Teams und schlecht vorbereitete Mitarbeiter verlieren den Kampf gegen Phishing

Phishing-Angriffe steigen deutlich in Zahl und Raffinesse und nehmen, laut einer Umfrage von Ivanti unter 1.000 IT-Experten aus Unternehmen in Deutschland, Großbritannien, Frankreich, Australien, Japan und den USA, besonders Mitarbeiter in den IT-Abteilungen ins Visier.

  • Unter allen Befragten gaben 74% an, im letzten Jahr Opfer eines Phishing-Angriffes geworden zu sein. 40% sogar innerhalb des letzten Monats.
  • Darunter richteten sich 73% der Angriffe speziell gegen IT-Mitarbeiter.
  • 47% dieser Angriffe waren sogar erfolgreich.

Gerade im Home-Office nehmen die Angriffe zu und sind auf mobilen Endgeräten auch erfolgreicher als auf Servern.

  • 37% der Befragten sehen mangelhafte Technologie und Mitarbeiteraufmerksamkeit als Hauptursache für erfolgreiche Phishing-Angriffe an.
  • 34% nennen fehlendes Gefahrenbewusstsein als Hauptursache.
  • 96% der Unternehmen bieten nach eigenen Angaben Schulungen in Sachen Cybersecurity an.
  • Allerdings bestätigen nur 30%, dass ein Großteil (mehr als 80%) der Mitarbeiter diese Schulungen tatsächlich abschließen.

52% der Unternehmen gaben außerdem einen Mangel an IT-Fachkräften im vergangenen Jahr an, wodurch Phishing-Angriffe zusätzlich begünstigt werden.
Hierbei müssen Experten sowohl den Angreifern als auch den eigenen Mitarbeitern einen Schritt voraus sein.
Als Gegenmaßnahmen sollte eine einheitliche Verwaltung der Endgeräte  zusammen mit einer internen Bedrohungserkennung eingerichtet werden. Außerdem sollten biometrische Zugänge auf mobilen Endgeräten anstatt Passwörtern zum Einsatz kommen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/uebermuedete-it-teams-und-schlecht-vorbereitete-mitarbeiter-verlieren-den-kampf-gegen-phishing-18049

Überblick über den Staatstrojaner Pegasus

Bei dem Trojaner Pegasus handelt es sich um eine Schadsoftware, die von der Firma NSO Group aus Israel zur Überwachung von wichtigen Personen wie Journalisten, Politikern und Anwälten in 11 Ländern eingesetzt wurde:

  • Aserbaidschan
  • Bahrain
  • Ungarn
  • Indien
  • Kasachstan
  • Mexiko
  • Marokko
  • Ruanda
  • Saudi-Arabien
  • Togo
  • die Vereinigten Arabischen Emiraten

Pegasus wird entweder über einen unauffälligen Link heruntergeladen oder durch eine Sicherheitslücke mit einer unsichtbaren Nachricht auf dem Smartphone installiert, um Zugriff von außen zu ermöglichen. Danach können mittels des Trojaners Anrufe, E-Mails, SMS und Chatnachrichten überwacht, sowie auf das Mikrofon und die Kamera des betroffenen Gerätes zugegriffen werden.

Aufgedeckt wurde dies von „Projekt Pegasus“, in das Recherchearbeit von über 80 Journalisten aus 10 Ländern in Zusammenarbeit mit Amnesty International und dem Medienprojekt Forbidden Stories geflossen sind.

Zusätzlich zu den 11 betroffenen Ländern unterhält die NSO Group Geschäftsbeziehungen zu zahlreichen weiteren Ländern.
Auch in Deutschland stand eine Nutzung der Software in Frage, denn sie wurde sowohl 2017 dem Bundeskriminalamt als auch 2019 dem bayrischen CSU-Innenminister Joachim Herrmann vorgestellt (aber nicht gekauft).

Zu den bekanntesten Betroffen zählen der französische Präsident Emmanuel Macron, EU-Ratspräsident Charles Michel und die Familie des ermordeten Jamal Khashoggi.

Die NSGO Group rechtfertigt den Einsatz ihrer Software mit dem Kampf gegen Terrorismus und streitet weite Teile der Aufdeckungen durch Projekt Pegasus ab.
Die Länder, in denen Pegasus eingesetzt wurde, streiten den Einsatz der Software ebenfalls ab oder drücken Desinteresse aus. Frankreich hat eine Untersuchung angekündigt.

Allgemein werden Untersuchungen und Verbote solcher und vergleichbarer Software gefordert, etwa von Reportern, Politikern und dem Whistleblower Edward Snowden.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/pegasus-der-staatstrojaner-skandal-im-ueberblick/

Sicherheitsfalle Passwort

Das Unternehmen Beyond Identity hat eine Studie unter insgesamt 1008 Mitarbeitern aus verschiedenen, US-ansässigen Firmen zum Umgang mit Passwörtern durchgeführt.
Befragt wurden zu 57,6% Männer und 42% Frauen im Durchschnittsalter von 37,9 Jahren.

  • 1 von 4 Mitarbeitern kann nach wie vor auf die Konten früherer Arbeitsplätze zugreifen.
  • 41,7% geben Passwörter an Kollegen weiter.
    Am häufigsten wird hier eine vereinfachte Zusammenarbeit im Team zitiert. Dies wird besonders häufig in mittelständigen Unternehmen praktiziert.
  • 42,5% halten die Weitergabe von Passwörtern für einen Kündigungsgrund.
  • 45% sind der Meinung, dass die selbstgewählten Passwörter sicher sind.
    26.3% halten ihre Passwörter sogar für sehr sicher.
    34% notieren ihre Passwörter allerdings nach wie vor auf Papier.
  • 38% der Mitarbeiter verwenden einen Passwort-Manager.
    Über ein Viertel verlassen sich lieber auf ihr Gedächtnis.
  • 73% halten Protokolle und Richtlinien in Bezug auf Passwörter im eigenen Unternehmen für ausreichend.
    Bei 10,8% werden sie als schwach und bei 16,3% als zu streng bewertet.

Aus den Ergebnissen lässt sich in erster Linie folgern, dass die Bequemlichkeit im Umgang mit Passwörtern den größten Risikofaktor repräsentiert.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/sicherheitsfalle-passwort-18042

Digitaler Fatalismus Made in Germany

Heinz-Peter Meidiger, Präsident des Deutschen Lehrerverbandes, sieht den Bildungsauftrag „massiv gefährdet“ und fordert zusammen mit zehntausend Schülern den Wiedereinsatz von Microsoft Teams an Schulen – trotz erheblicher Datenschutzbedenken, da es keine klare Rechtsgrundlage gibt, um die Weitergabe personenbezogener Daten an Microsofts Server in die USA zu rechtfertigen.

Während der Pandemie waren schnelle Lösungen für den Distanzunterricht gefragt, wodurch man überwiegend auf kommerzielle Software von großen Anbietern wie Microsoft kam. Übergangsweise war Teams daher erlaubt, sollte aber wegen datenschutzrechtlicher Bedenken verboten werden.
Stattdessen sind sogar Rückschritte zu verzeichnen – so müssen Schulen, die in Baden-Württemberg Netze für Moodle, Big Blue Button und Nextcloud eingerichtet haben, diese wieder verlassen.

Statt im Lauf des letzten Jahres Open-Source-Alternativen wie etwa Big Blue Button oder Jitsi zu etablieren, wurde allen Anschein nach nur abgewartet und weitergemacht wie bisher.
Deutschland droht, unter solchen Umständen den Anschluss an die Digitalisierung zu verlieren.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/bildung-digitaler-fatalismus-made-in-germany-2107-158066.html

Brexit – Angemessenheitsbeschlüsse der UK angenommen

Die Europäische Kommission hat am 28.06.21 die Angemessenheitsbeschlüsse, mit der personenbezogene Daten an das Vereinigte Königreich übermittelt werden dürfen, angenommen.

Unabhängig davon ist noch zu prüfen, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2021/11_Annahme-Angemessenheitsbeschl%C3%BCsse-UK.html

Behörden müssen ihre Facebook-Pages abschalten

Der Datenschutzbeauftragte Ulrich Kelber hat bereits vor zwei Jahren darauf hingewiesen, dass deutsche Behörden keine Fanpages datenschutzkonform betreiben können.

Dies hat den Hintergrund, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten weitergegeben werden dürfen, wenn dort ein mit der EU vergleichbares Datenschutzniveau herrscht. Da das in den USA nicht der Fall ist, hätte es mit Facebook eine Vereinbarung geben müssen. Bei einer Kontaktaufnahme der Bundesregierung verwies Facebook lediglich auf deren öffentliches Addendum zur Datenverarbeitung: https://www.facebook.com/legal/terms/page_controller_addendum

Angekündigt ist nun in einem neuen Schreiben von Kelber (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2021/Facebook-Auftritte-Bund.pdf?__blob=publicationFile&v=1), dass sämtliche Facebook-Fanpages von den Behörden abgeschaltet werden sollen. Ferner würden jetzt Instagram, TikTok und Clubhaus auf deren Datenschutzverarbeitung geprüft.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dsgvo-behoerden-muessen-ihre-facebook-pages-abschalten-2106-157719.html

Datenschutz – Änderungen im Betriebsverfassungsgesetz

Mit Datum 17. Juni 2021 wurde das neue Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) im Gesetzblatt verkündet. Es gilt seit dem 18.06.2021.

https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl121s1762.pdf%27]#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1762.pdf%27%5D__1624259636403

Hierin wurden einige gerade auch für den Datenschutz bedeutsame Änderungen beschlossen, die insbesondere das Betriebsverfassungsgesetz betreffen und damit für Unternehmen und Ihre Betriebsräte von erheblicher Bedeutung sind.

Direkt oder indirekt auch für den Datenschutz und die Informationssicherheit von Bedeutung sind Änderungen hinsichtlich der Stärkung von Rechten des Betriebsrates beim Einsatz von künstlicher Intelligenz, der Mitbestimmung bei der inhaltlichen Ausgestaltung von mobiler Arbeit, der Unterzeichnung von Betriebsvereinbarungen in elektronischer Form per elektronische Signatur und der Möglichkeit unter bestimmten Voraussetzungen zukünftig auch dauerhaft Betriebsratssitzungen per Videokonferenz durchzuführen.

Eingefügt wurde ein neuer § 79 a BetrVG, auf den wir hier im Wesentlichen eingehen wollen.

Hierin heißt es unter der Überschrift Datenschutz:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Das Thema Datenschutz im Betrieb wird zwischen den Betriebsparteien dadurch weiter aufgewertet und ist nun mit einer eigenen Norm zentraler Bestandteil des BetrVG.

Welche Fragen werden hier konkret angesprochen, bzw. welche Konsequenzen ergeben sich aus den Änderungen?

1. Wer ist verantwortlich für die Umsetzung des Datenschutzes im Unternehmen und damit Adressat von Rechten und Pflichten?

Die Regelung im neuen § 79 a BetrVG ist hochaktuell und bedeutsam, entscheidet Sie doch einen Streit darüber, ob der Betriebsrat als eigene verantwortliche Stelle verpflichtet ist den Datenschutz umzusetzen. Wäre dies der Fall, müsste er sämtliche Regelungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) für seine Tätigkeit umsetzen und dokumentieren. Er müsste z. B. ein eigenes Verarbeitungsverzeichnis führen, Auskunftsansprüche und weitere Betroffenenrechte persönlich erfüllen, Meldungen bei Datenschutzverletzungen gegenüber der Behörde abgegeben, er wäre Adressat von gegen ihn gerichteten Ansprüchen, z. B. auf Schadenersatz seitens betroffener Personen.

Die neue Regelung besagt nunmehr eindeutig, dass verantwortlich im Sinne der datenschutzrechtlichen Vorschriften allein der Arbeitgeber, also das Unternehmen ist, was auch die Datenverarbeitungen des Betriebsrates einschließt.

Diese Klarstellung des Gesetzgebers ist auf jeden Fall begrüßenswert, weil dadurch eine Klärung der sowohl für den Betriebsrat als auch für den Arbeitgeber praktisch relevanten Frage der Datenschutzorganisation herbeigeführt wurde.

Die Entscheidung des Gesetzgebers gegen eine eigene Verantwortlichkeit des Betriebsrates ist nachvollziehbar, da der Betriebsrat, auch wenn er in seinem Bereich über eigene Rechte und eine gewisse Selbstständigkeit verfügt, Teil des Gesamtunternehmens und damit eine unternehmensinterne Stelle ist. Nach Außen hin trägt dann auch das Unternehmen bzw. die Unternehmensleitung die Gesamtverantwortung.

2. Was gilt für den Betriebsrat beim Datenschutz?

Auch der Betriebsrat muss, wenn auch nicht als Verantwortlicher, selbstverständlich den Datenschutz einhalten. Der neue § 79 a BetrVG weist auch ausdrücklich darauf hin, in dem es heißt:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.

Insbesondere darf der BR nur dann personenbezogene Daten verarbeiten, sofern das zur Erfüllung seiner Aufgaben, insbesondere nach dem Betriebsverfassungsgesetz, erforderlich ist. Er muss personenbezogene Daten durch technische und organisatorische Maßnahmen vor unbefugten Zugriff schützen. Er muss sich über grundsätzliche Dinge zur Umsetzung des Datenschutzes, angefangen von der rechtmäßigen Erhebung bis zur Löschung der Daten, in seinem Bereich Gedanken machen.

Auch für seine praktische Tätigkeit ist das wichtig, wie ein Beispiel aus der Rechtsprechung zeigt. So können Auskünfte über sensible Informationen, die dem BR nach dem Gesetz zustehen, durch den Arbeitgeber verweigert werden, sofern es beim Betriebsrat an angemessenen Maßnahmen zum Schutz dieser Daten fehlt (BAG, Beschluss v. 09.04.2020, 1 ABR 51/17).

Unabhängig davon erwarten natürlich auch die Kolleginnen und Kollegen vom Betriebsrat, dass dieser vertrauliche Informationen angemessen schützt und gesetzeskonform verarbeitet.

Darüber hinaus gibt es weitere Tätigkeiten auf die sich Arbeitgeber und Betriebsräte im Datenschutz einzustellen haben, dazu siehe nachfolgend.

3. Wie setzt man den Datenschutz im Betrieb und beim Betriebsrat um?

Hierzu heißt es im neuen § 79 a BetrVG:
Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Es wird ausdrücklich klargestellt, dass sich Arbeitgeber und Betriebsrat hier gegenseitig unterstützen. Doch wie kann eine gegenseitige Unterstützung in der Praxis aussehen? Hierzu sagt das Gesetz konkret leider nichts. Allerdings lassen sich aus den allgemeinen gesetzlichen Vorschriften sowie aus der Gesetzesbegründung doch einige Dinge herausstellen.

Hierzu gehört sicherlich der Abschluss von Betriebsvereinbarungen durch die Betriebsparteien, in denen die automatisierte Verarbeitung von personenbezogenen Daten von Beschäftigten durch Informations- und Kommunikationstechnik (IuK) im Unternehmen ausdrücklich unter Beachtung des Datenschutzes geregelt werden.

Punkte, die in der Gesetzesbegründung ausführlich genannt werden, sind:

  • Unterstützung des Betriebsrates bei der Erstellung eines Verarbeitungsverzeichnisses. Der Betriebsrat ist nicht verpflichtet ein Verarbeitungsverzeichnis zu führen, wohl aber der Arbeitgeber als Verantwortlicher, hierzu zählt dann aber auch die Verarbeitungstätigkeit des Betriebsrates.
  • Unterstützung des Betriebsrates im Rahmen der Auskunftserteilung sowie der Umsetzung weiterer Betroffenenrechte. Auskunftspflichtig ist der Arbeitgeber, sofern sich die Auskunft auch auf Daten des Betriebsrates bezieht, ist er auf dessen Unterstützung angewiesen, damit das verantwortliche Unternehmen binnen Monatsfrist antworten kann.
  • Unterstützung des Arbeitgebers bei der Anschaffung von angemessenen Betriebsmitteln zum Schutz von personenbezogenen Daten im Betriebsratsbüro

Es gibt noch viele weitere Punkte, z. B.

  • Datenschutzverletzungen, die beim Betriebsrat passieren, müssen innerhalb einer sehr kurzen Frist an den Arbeitgeber gemeldet werden, damit dieser binnen 72 Stunden seiner Meldepflicht an die Behörde nachkommen kann.

Man sieht hier gibt es eine Menge Schnittstellen, die zwischen Arbeitgeber (Unternehmen) und Betriebsrat zu beachten sind und in praktischer Art und Weise gehandhabt werden müssen.

Es dürfte sich empfehlen Betriebsvereinbarungen oder zumindest Regelungen zu treffen welche die bestehenden Verpflichtungen, die sich aus der DSGVO und dem BetrVG ergeben, sowie konkrete Maßnahmen zur Umsetzung der gegenseitigen Unterstützungspflichten enthalten sollten. Bestenfalls enthalten diese auch etwas zur Kontrolle bzw. Unterstützung durch den betrieblichen Datenschutzbeauftragten. Dazu nachfolgend mehr.

4. Was kann/soll der Datenschutzbeauftragte tun?
a.
Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat?

Nicht ausdrücklich im neuen § 79 a BetrVG geregelt ist, die nach wie vor kontrovers diskutierte Frage, ob der Datenschutzbeauftragte zur Kontrolle des Betriebsrates berechtigt und verpflichtet ist. Das Gesetz enthält keine konkreten Hinweise, die das Verhältnis zwischen Betriebsrat, Arbeitgeber und Datenschutzbeauftragten unter Berücksichtigung der Unabhängigkeit des BR ausdrücklich beschreiben. Wohl hat sich der Gesetzgeber hierzu aber einige Gedanken gemacht.

Angesichts der Gesamtverantwortlichkeit des Unternehmens für den Datenschutz einschließlich verschärfter Sanktions- und Haftungsregelungen der neuen DSGVO besteht natürlich ein erhebliches Interesse des Arbeitgebers daran, dass der Betriebsrat den Datenschutz bei sich bestmöglich umsetzt und das auch durch den DSB kontrolliert wird.

Außerdem ist der Betriebsrat lediglich Teil der verantwortlichen Stelle ist und der Datenschutzbeauftragte hat den Datenschutz im gesamten Unternehmen nach Art 39 Abs. 1 b) DSGVO ohne Ausnahme zu überwachen hat. Auch der Gesetzgeber scheint davon auszugehen, wenn es in der Gesetzesbegründung zu § 79 a BetrVG heißt:

„Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der Datenschutz-Grundverordnung (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle“.

Andererseits ist die nach dem Betriebsverfassungsgesetz und die darauf basierende Rechtsprechung des Bundesarbeitsgerichts (BAG, Beschl. v. 11.11.1997 – 1 ABR 21/9) zu bedenken. Diese lehnte eine Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat aufgrund der nach dem Betriebsverfassungsgesetz garantierten Unabhängigkeit des Betriebsrats und der nach Auffassung des BAG nicht neutralen Position des Datenschutzbeauftragten seinerzeit ab und mahnte eine gesetzliche Regelung zu der Thematik an.

  • 79 a BetrVG beinhaltet nunmehr ausdrücklich auch Verschwiegenheitspflichten des Datenschutzbeauftragten gegenüber dem Arbeitgeber, deren fehlen ein Kritikpunkt in der seinerzeitigen BAG Entscheidung war.

So heißt es:

Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Der Datenschutzbeauftragte kann, auch wenn er organisatorisch dem Unternehmen und der Leitung gegenüber verantwortlich ist („Stabsstelle“), auch im Bereich des Betriebsrates vertraulich tätig sein.

Vertraulich zu behandeln sind neben konkreten Anfragen von Betriebsratsmitgliedern zu datenschutzrechtlichen Angelegenheiten nunmehr auch Informationen in Bezug auf die Meinungsbildung im Gremium zu datenschutzrechtlichen Fragen. Hier könnte es sich z. B. um Beschlüsse handeln aber auch um sonstige Meinungsäußerungen, die erkennbar für den Datenschutzbeauftragten vertraulichen Charakter haben.

Was letztlich genau unter dem Punkt „Meinungsbildungsprozess des Betriebsrates“ fällt führt das Gesetz nicht im Einzelnen auf. Gleichwohl dürfte dies aber eine Grundlage für die vertrauensvolle Zusammenarbeit mit dem Datenschutzbeauftragten darstellen.

Ob zukünftig eine gesetzliche Kontrollpflicht- bzw. Berechtigung des Datenschutzbeauftragten gegenüber dem Betriebsrat anzunehmen ist und sich die Rechtsprechung des BAG demnächst ändert bleibt abzuwarten. Zumindest der Gesetzgeber scheint hiervon aber auszugehen, leider beschreibt er das Verhältnis des Datenschutzbeauftragten zum Betriebsrat aber im Gesetz selber nicht eindeutig.

b. Unterstützung des Betriebsrates durch den Datenschutzbeauftragten

Unabhängig von juristischen Spitzfindigkeiten sollte man die Angelegenheit im Interesse beider Betriebsparteien allerdings pragmatisch angehen, denn die Unterstützung des Betriebsrates durch den betrieblichen Datenschutzbeauftragten ist auf jeden Fall sinnvoll und geboten.

Zur Umsetzung des Datenschutzes wird der Betriebsrat aufgrund eigener Expertise auch unter Berücksichtigung von Schulungen nur bedingt in der Lage sein. Der Datenschutzbeauftragte hat außerdem den Überblick über die Umsetzung des Datenschutzes für das gesamte Unternehmen und kann dafür sorgen, dass man hier entsprechend abgestimmt und einheitlich agiert.

Der Gesetzgeber weist in seiner Gesetzesbegründung zum neuen § 79 a BetrVG ausdrücklich darauf hin, dass der BR sich der Unterstützung des betrieblichen Datenschutzbeauftragten bedienen kann und falls erforderlich sogar soll. Arbeitgeber, Betriebsräte und Datenschutzbeauftragte sollten daher die Unterstützung und Beratung des Betriebsrates bei der Umsetzung der DSGVO als festen Bestandteil des betrieblichen Datenschutzmanagements betrachten und regelmäßig zusammen kommen bzw. Termine vereinbaren.

Die Prüfung und Etablierung von angemessenen technischen und organisatorischen Maßnahmen, das Erstellen eines Verarbeitungsverzeichnisses, die weiteren Unterstützungspflichten des Betriebsrates bei den Betroffenenrechte werden ohne Mithilfe des betrieblichen Datenschutzbeauftragten nur schwer umsetzen sein. Soweit der Betriebsrat ggf. Ängste hat, dass Internas bei der Meinungsbildung zu datenschutzrechtlichen Themen an den Arbeitgeber herangetragen werden könnten, bestehen Vertraulichkeitspflichten.

5. Ausblick

Das Thema Datenschutz wird auch weiterhin im Fokus stehen und gerade das Verhältnis Arbeitgeber zum Betriebsrat wird verstärkt in den Blickpunkt genommen werden. Dazu wird auch der neue § 79 a BetrVG beitragen. Dabei liegt die Beachtung des Datenschutzes sowohl im Interesse des Arbeitgebers als Verantwortlicher als auch im Interesse des Betriebsrates als Teil des Verantwortlichen. Die Betriebsparteien werden daher auch auf diesem Gebiet, wie es im Betriebsverfassungsgesetz an anderer Stelle heißt vertrauensvoll zusammen arbeiten müssen und sich gegenseitig unterstützen.

Dabei spielt auch der Datenschutzbeauftragte eine zentrale Rolle. Andernfalls werden Arbeitgeber und Betriebsrat die jeweils bestehenden Verpflichtungen, die sich aus der DSGVO und dem BDSG sowie aus dem BetrVG ergeben nicht zufriedenstellend umsetzen können.

Hier gibt es noch viel zu tun. Ihr Datenschutzbeauftragter unterstützt Sie auf diesem komplexen Aufgabenfeld.

Jörg Conrad
Datenschutzbeauftragter/Fachanwalt für Arbeitsrecht
GINDAT GmbH