Innerhalb einer Einrichtung ist die Mitarbeitervertretung ein organisatorischer Sonderfall: Sie ist kein eigener Rechtsträger, aber organisiert sich selbst. Sie ist Teil der Einrichtung, aber nicht der Leitung unterstellt. Das zieht sich auch datenschutzrechtlich durch: Sie ist keine eigene verantwortliche Stelle, aber für den eigentlichen Verantwortlichen eine Black box.

Das führt zu Herausforderungen, wenn es an den Datenschutz geht: Die MAV muss sich darum kümmern, dass sie angemessen, sorgfältig und rechtskonform mit den Daten umgeht, die sie im Rahmen ihrer Tätigkeit verarbeitet. Wie macht man das? Und welche Verantwortung hat eine Mitarbeitervertretung überhaupt?

Rechtlicher Rahmen

Der Betriebsrat als Teil der verantwortlichen Stelle

Seit das Betriebsverfassungsgesetz 2021 mit dem Betriebsrätemodernisierungsgesetz novelliert wurde, ist die früher streitige Frage geklärt, ob der Betriebsrat Teil der verantwortlichen Stelle oder selbst eine eigene verantwortliche Stelle ist. Ein neuer § 79a BetrVG klärt das Verhältnis von Arbeitgeber und Betriebsrat:

»Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.«

Aus dieser Regelung folgt:

1. Datenschutz betrifft auch den Betriebsrat. (Das ist keine Überraschung.)
2. Der Arbeitgeber ist datenschutzrechtlich verantwortlich. Auch für die Datenverarbeitungen des Betriebsrats.
3. Weil der Arbeitgeber aber nicht in den eigenständig und vertraulich arbeitenden Betriebsrat durchregieren kann, braucht es die Zusammenarbeit von Arbeitgeber und Betriebsrat, um die datenschutzrechtlichen Pflichten zu erfüllen. Der Arbeitgeber ist darauf angewiesen, dass der Betriebsrat datenschutzkonform arbeitet, und der Betriebsrat ist darauf angewiesen, dass der Arbeitgeber ihm dafür die Ressourcen zur Verfügung stellt.
4. Betriebliche Datenschutzbeauftragte sind auch für den Betriebsrat zuständig – sowohl was Kontrolle als auch was Beratung angeht. Sie sind aber gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet in Bezug auf das, was bei Kontrollen oder Beratungen die inhaltliche Arbeit betrifft. Die Geheimhaltungspflicht des Betriebsrats bleibt also auch dann gewahrt, wenn bDSB Einblicke in die Arbeit erlangen.

Die MAV als Teil der verantwortlichen Stelle

Dass die MAV keine eigene verantwortliche Stelle ist, ist je nach Rechtsrahmen unterschiedlich klar. Eindeutig ist es überall dort, wo § 79a BetrVG ins kirchliche Mitarbeitungsvertretungsrecht übernommen wurde.

Das ist im evangelischen Bereich weitgehend der Fall, wo § 22 Abs. 3 MVG-EKD mit Ausnahme der Landeskirchen Baden und Württemberg die entsprechende Regelung aus dem Betriebsverfassungsrecht nachvollzieht. Abweichungen im Wortlaut ändern nichts an der Auslegung. In Baden und Württemberg lautet § 22 Abs. 2a knapp »Die Mitarbeitendenvertretung hat für die Einhaltung des Datenschutzes in ihren Angelegenheiten zu sorgen«.

In der katholischen MAVO fehlt eine eindeutige Regelung leider noch, die Parallelnorm zu § 22 MVG-EKD, § 20 MAVO, bezieht sich nur auf die Schweigepflicht, Datenschutz wird gar nicht erwähnt. Es ist aber zu erwarten, dass bei der anstehenden MAVO-Novelle (und bei Novellierungen in den beiden fehlenden Landeskirchen) ebenso wie im MVG-EKD § 79a BetrVG ins kirchliche Recht überführt wird.

Schon vor dem Betriebsrätemodernisierungsgesetz war wohl herrschende Meinung, dass der Betriebsrat Teil der verantwortlichen Stelle ist. § 79a BetrVG regelt das, was vorher schon als geltend angenommen wurde. Für die kirchlichen Rechtsregime, die noch keine explizite Regelung haben, tut man daher gut daran, sich an § 79a BetrVG zu orientieren – das dürfte angesichts der zu erwartenden Änderungen an den MVG in Baden und Württemberg und der MAVO auch zukunftssicher sein. Schließlich hat es auch das Kirchliche Arbeitsgericht für die Bayerischen (Erz-)Diözesen so gesehen (Urteil vom 9. Dezember 2022 – 1 MV 21/22).

Folgen

Die Arbeit der MAV ist ohne die Verarbeitung personenbezogener Daten nicht möglich. Das beginnt bei ganz einfachen Vollzügen: Die Wahlunterlagen müssen aufbewahrt werden, im Protokoll steht mindestens eine Anwesenheitsliste. Heikler sind die Daten, die bei der Erfüllung von Kernaufgaben verarbeitet werden müssen, etwa bei Einstellung und Eingruppierung, bei der Begleitung von BEM-Verfahren oder der Einsicht in Entgeltlisten. Betroffenenrechte wie das Auskunftsrecht umfassen auch die Datenverarbeitung der MAV.

Sich um den Datenschutz in der MAV zu kümmern, ist daher nicht optional: Es braucht ein Datenschutzkonzept. Die MAV muss klären, wie sie die zu ihrer Aufgabenerfüllung notwendigen Verarbeitungen rechtskonform gestaltet – und wie sie dem Dienstgeber gegenüber darlegt, dass sie das tut.

Fehlt ein Datenschutzkonzept, drohen Konsequenzen. Datenschutzrechtliche Konsequenzen wie Sanktionen durch die Aufsicht richten sich zwar – wie immer – gegen die verantwortliche Stelle, also gerade nicht gegen die MAV oder ihren Vorsitz. (Einzelne MAV-Mitglieder können dann aber belangt werden, wenn es sich um einen Fall eines Mitarbeiterexzesses handelt, wenn also Daten zu eigenen Zwecken verwendet werden. Ein Beispiel: Aus Unterlagen zur Einstellung gehen private Kontaktdaten hervor; diese werden von einem MAV-Mitglied genutzt, weil man den betreffenden künftigen Kollegen gerne auch privat kennenlernen möchte.)

Der Dienstgeber kann aber verlangen, dass ein Datenschutzkonzept eingehalten wird, und ansonsten eigentlich mitzuteilende Informationen zurückhalten. Einen derartigen Fall hatte das Bundesarbeitsgericht zu entscheiden (BAG 1 ABR 51/17 vom 9. April 2019). Dort ging es um besondere Kategorien, es kann aber davon ausgegangen werden, dass bei allen personenbezogenen Daten der Betriebsrat »angemessene und spezifische Schutzmaßnahmen« zu treffen sind, bevor die Datenübermittlung zur Erfüllung von Beteiligungsrechten erfolgen kann. Zurückgehalten werden können die Informationen aber nur dann, wenn die Datenschutzdefizite auch der MAV zuzurechnen sind. (So das KAG Bayern im oben zitierten Urteil.) Im schlimmsten Fall können Datenschutzverstöße auch eine Auflösung des Betriebsrats begründen.

Umsetzung

Beim Datenschutzkonzept der MAV gilt wie bei jedem Datenschutzmanagement: Es braucht zunächst einen Überblick über das, was man tut, um dann eine Regelung zu treffen.

MAV-Büro-Inventur

In einem ersten Schritt sollte man die Infrastruktur überprüfen. Das ist vor allem das MAV-Büro, betrifft aber auch die Kommunikationsinfrastruktur und die Arbeitsplätze und -mittel der MAV-Mitglieder. Folgende Kontrollfragen sollte man sich stellen:

• Wer darf wann ins MAV-Büro oder an den MAV-Schrank? (Gibt es ein MAV-Büro? Welche Alternativen werden genutzt?)
• Was steht im MAV-Büro? Was ist offen zugänglich? Was ist wie geschützt?
• Welche Computer- und Kommunikationssysteme benutzt die MAV? Wie kommuniziert die MAV mit Dienstgeber und Kolleg*innen?
• Wo werden Daten gespeichert, welche Datenträger, Endgeräte und Drucker verwendet die MAV?
• Welche MAV-Tätigkeiten werden am üblichen Arbeitsplatz und im mobilen Arbeiten wahrgenommen? Wie werden diese Arbeitsorte für die MAV-Arbeit geschützt?

Mit diesen Kontrollfragen gelingt ein Überblick über die Arbeitsweise und -orte der MAV. Allein schon das Nachdenken dürfte einige Selbstverständlichkeiten offenbaren: Vertrauliche Unterlagen gehören auch im MAV-Büro in einen abschließbaren Schrank, damit Kolleg*innen bei Beratungsgesprächen nicht versehentlich Einsicht nehmen können. Im Großraumbüro werden keine vertraulichen Telefonate geführt. Verlässt man den Arbeitsplatz mit dem Computer, der auf MAV-Daten zugreifen kann, wird der Zugang stets gesperrt (⊞+L unter Windows oder Strg+⌘+Q unter MacOS). Der MAV-Briefkasten ist abschließbar. Wenn Unterlagen ausgedruckt werden, dürfen die Ausdrucke nicht unbeaufsichtigt bis zur Abholung im Drucker liegen (gibt es eine Funktion am Abteilungsdrucker, mit der erst nach Pin-Eingabe am Drucker der Druck gestartet wird?), Unterlagen und Fehldrucke werden geshreddert oder in die Datentonne geworfen und nicht einfach so in den Papiermüll.

Durch die Kontrollfragen wird auch deutlich, welche Infrastruktur die MAV vom Dienstgeber benötigt. Das ist heute nicht mehr nur das abschließbare Büro oder der abschließbare Schrank, sondern auch Dateiablagen, E-Mail-Systeme und Drucker mit Zugangskontrollen, Aktenvernichter und Datentonnen, Videokonferenz- und andere Kommunikationssysteme, die rechtskonform verwendet werden können.

Abstand halten sollte man von durch die MAV beschaffte Infrastruktur und Schatten-IT, etwa komplett eigene E-Mail- und Cloudspeichersysteme oder die Verwendung von Online-Tools auf eigene Faust. Auch wenn die IT des Dienstgebers Zugriff auf dienstliche E-Mail- und Speichersysteme hat, ist die Nutzung dieser IT zu bevorzugen. Hier gilt dasselbe wie für das MAV-Büro oder den MAV-Schrank: Es braucht vertrauensvolle Zusammenarbeit. Wenn der Verdacht besteht, dass der Dienstgeber auf MAV-E-Mails oder den MAV-Schrank zugreift, muss man das rechtlich lösen, nicht technisch. Bei der Verwendung MAV-eigener Infrastruktur besteht wie bei jeder Schatten-IT die Gefahr, dass der Datenschutz nicht mehr sichergestellt werden kann. Ohnehin wäre auch in diesem Fall der Dienstgeber datenschutzrechtlich verantwortlich, nicht die MAV.

Dateninventur

Sammlung

In einem zweiten Schritt werden alle Kategorien von personenbezogenen Daten gesammelt, die die MAV verarbeitet. Das ist mehr, als man auf den ersten Blick denkt: Nicht nur offensichtliche Fälle wie die Informationen, die man zur Einstellung und Eingruppierung erhält, fallen darunter. Auch Protokolle (in denen mindestens eine Anwesenheitsliste steht) und Kommunikationsdaten fallen darunter. Bei jeder Kategorie wird markiert, ob es sich um besondere Kategorien handelt. (Dies betrifft in der Regel Gesundheitsdaten, aber auch andere besondere Kategorien sind denkbar.) Außerdem wird notiert, wie diese Daten verarbeitet werden.

Rechtsgrundlagen

Für jede Kategorie wird dann überprüft, zu welchem Zweck und auf welcher Rechtsgrundlage man sie verarbeitet. In der Regel ist das recht einfach: Der allergrößte Teil der Datenverarbeitung der MAV erfolgt auf gesetzlicher Grundlage. (Wenn Protokolle geführt werden, dann geschieht das etwa aufgrund der Regelung in § 14 Abs. 6 MAVO oder § 27 MVG-EKD, die eine hinreichende datenschutzrechtliche Rechtsgrundlage darstellen.) Dabei ist stets zu überprüfen, ob der jeweils festgestellte Umfang für die Umsetzung der gesetzlichen Grundlage auch tatsächlich erforderlich ist. Gerade bei der Verwendung von Standardformularen für Beteiligungsrechte lohnt es sich, jedes einzelne Formularfeld durchzugehen: Braucht es das wirklich? Ist das erforderlich, um den Zweck zu erreichen?

Findet sich keine Rechtsgrundlage in einem Gesetz, muss besonders kritisch geprüft werden. In der Regel bleibt dann entweder die Einwilligung oder eine Interessenabwägung übrig. Generell sollte eine fehlende gesetzliche Grundlage für MAVen ein Warnzeichen sein: Ist das tatsächlich unsere Aufgabe, was wir da gerade tun? Sollte auf eine Einwilligung zurückgegriffen werden, gilt wie immer im Arbeitsrecht, dass auf die Freiwilligkeit besonders streng geachtet werden muss.

Umgang mit den Daten

Bei allen Verarbeitungen wird überprüft, welche Risiken bestehen und welche Schutzmaßnahmen erforderlich sind. Im Idealfall ist sehr vieles bereits durch die Erkenntnisse aus der MAV-Büro-Inventur abgedeckt. Hilfreich ist der Katalog der Grundsätze zum Umgang mit personenbezogenen Daten in § 7 KDG und § 5 DSG-EKD, der für die einzelnen verarbeiteten Kategorien durchgespielt werden sollte. Zu jeder Verarbeitung sollten die ergriffenen technischen und organisatorischen Maßnahmen zu ihrem Schutz festgehalten werden.

Spätestens bei diesem Schritt geht es nicht mehr ohne Grundkenntnisse des Datenschutzrechts. Es empfiehlt sich, entweder entsprechende Fortbildungen für MAV-Mitglieder wahrzunehmen, mindestens aber betriebliche Datenschutzbeauftragte in die Pflicht zu nehmen. (Einen dreiteiligen Crashkurs Datenschutz habe ich veröffentlicht.)

Eine Herausforderung ist häufig das Löschkonzept, da es für die meisten in der MAV anfallenden Daten keine explizite Löschfrist im Gesetz gibt. (Eine Ausnahme ist die Aufbewahrungsfrist der Wahlunterlagen.) Daher sollte die Liste der verarbeiteten Daten immer ausdrücklich um die jeweilige Löschfrist ergänzt werden. (Grundregel: nur so lange aufbewahren, wie es für den Zweck erforderlich ist.) Einfach ist das etwa bei der Beteiligung bei der Einstellung und Eingruppierung: Wenn die MAV den entsprechenden Beschluss zur Zustimmung getroffen hat, werden zur Verfügung gestellte Informationen in der Regel nicht mehr benötigt.

Hochgradig komplex ist die Frage, wie lange Protokolle der MAV-Sitzung benötigt werden; eine gesetzliche Aufbewahrungspflicht gibt es nicht, aber eine Pflicht, Protokolle anzufertigen. Praktikabel dürfte sein, parallel zu den Protokollen einen Wissensspeicher anzufertigen, der ohne personenbezogene Daten auskommt. (Darin können zum Beispiel die Entstehung und Beratung von Dienstvereinbarungen dokumentiert werden.) Für die Protokolle selbst einigt man sich dann auf eine moderate Löschfrist, mit der etwa die Protokolle der aktuellen und der vorigen Amtszeit vorgehalten werden. Der Rest wird dann entweder vernichtet oder in eine abgegrenzte Archivregistratur überführt, auf die nur nach MAV-Beschluss zugegriffen wird.

Absprachen mit dem Dienstgeber und Geschäftsordnung

In der Geschäftsordnung der MAV können grundlegende Vereinbarungen zu technischen und organisatorischen Maßnahmen aufgenommen werden, etwa zu Kommunikationswegen, zum Zugriff auf Unterlagen, zu Zugangsregelungen und über die Schlüsselgewalt.

Nach der Inventur stehen außerdem Absprachen mit dem Dienstgeber an. In der Regel ist die verantwortliche Stelle verpflichtet, ein Verarbeitungsverzeichnis zu führen. Die MAV hat diese Verpflichtung nicht, ihre Verarbeitungen müssen aber Teil des Verarbeitungsverzeichnisses der verantwortlichen Stelle sein. Daher sollte man – gemeinsam mit betrieblichen Datenschutzbeauftragten – die Ergebnisse aus den vorigen Schritten in der Form systematisieren, dass sie einfach ins Verarbeitungsverzeichnis der verantwortlichen Stelle überführt werden können.

Wahrscheinlich hat die MAV-Büro-Inventur ergeben, dass es noch weitere Ausstattung der MAV braucht. Hier sollte alles verlangt werden, was erforderlich ist – auch im eigenen Interesse des Dienstgebers, der schließlich verantwortlich ist, wenn aufgrund seiner Sparsamkeit Datenschutzverstöße bei der MAV entstehen.

Schließlich sollten bestehende Dienstvereinbarungen überprüft werden. Insbesondere Dienstvereinbarungen zur Nutzung von E-Mail und Internet sollten die nötige Vetraulichkeit der Arbeit der MAV berücksichtigen, vor allem, wenn Kontrollrechte des Dienstgebers geregelt sind. Sinnvoll ist auch, das Verfahren für den Umgang mit Betroffenenrechten zu regeln. Hier ist etwa möglich, dass bei Auskunftsanfragen die MAV die Informationen selbst herausgibt, die über eine betroffene Person vorliegen, so dass der Dienstgeber keine Einsicht erlangt.

Sensibilisierung der MAV

Das schönste Konzept nutzt nichts, wenn es nicht umgesetzt wird. Es braucht also eine Sensibilisierung der MAV. Im Idealfall waren alle Mitglieder bei der MAV-Büro- und der Daten-Inventur beteiligt. Der Prozess ist dann bereits die erste Schulung. Damit das Konzept aber nachhaltig ist, braucht es noch mehr. Ein kompaktes Merkblatt sollte Grundsätze zum Zugang und zur Sicherung des MAV-Büros, Hinweise zur Kommunikation und zum Umgang mit Daten und Unterlagen und zu den wichtigsten Beteiligungsprozessen enthalten. Neue Mitglieder der MAV (sei es nach einer Neuwahl, seien es Ersatzmitglieder) sollten ausdrücklich mit dem Konzept vertraut gemacht werden. Auch hier gilt wieder: Betriebliche Datenschutzbeauftragte können unterstützen – die Sensibilisierung gehört zu ihren Aufgaben.

Regelmäßige Überprüfung

Das hier vorgeschlagene Vorgehen geht von der Realität aus: Die tatsächlichen Gegebenheiten und Praktiken werden erfasst, analysiert und verbessert. Damit sollte das so entstandene Datenschutzkonzept deutlich praktikabler sein als ein allgemeines und theoretisches Konzept, das man der Realität überstülpt.

Dennoch braucht das Konzept eine regelmäßige Überprüfung. Wenn technische und organisatorische Maßnahmen sich nicht bewähren oder durch Entwicklungen veralten, müssen sie überprüft werden. Wenn neue Aufgaben dazukommen (etwa durch Gesetzesänderungen oder wenn die Einrichtung so wächst, dass neue Beteiligungsmöglichkeiten wie ein Wirtschaftsausschuss oder Gesamt-MAVen relevant werden), müssen sie ins Konzept aufgenommen werden.

Das Ziel sollte immer sein, dass das Konzept auch machbar ist. Wer die Latte so hoch legt, dass man es nur noch mit größter Mühe darüber schafft, kann umso gemütlicher darunter durchgehen. Ein machbares Schutzniveau, das noch ausreichend ist, ist besser als ein höheres Schutzniveau, das ignoriert wird, weil die Einhaltung zu kompliziert ist.

Weiterführende Literatur

• Das Standardwerk hat Matthias Ullrich mit »Beschäftigtendatenschutz der katholischen Kirche« verfasst. Ausführlich wird dort auch der Datenschutz der MAV thematisiert. Leider gibt es kein vergleichbares Werk für den evangelischen Rechtsrahmen – aber auch evangelische MAVen können viel aus dem Werk ziehen, wenn man zu den nötigen Transferleistungen auf die jeweils geltenden Normen bereit ist.
• Norbert Gescher und Adrian Kalb haben in der ZMV kürzlich einen Beitrag zu »Regelungsabreden zur IT-Ausstattung und zum Datenschutz« veröffentlicht, der auch ein Muster zur Verfügung stellt.
• Neben dem Kommentar zum einschlägigen kirchlichen Datenschutzgesetz empfiehlt es sich, den DSGVO-Kommentar von Däubler/Wedde/Weichert/Sommer anzuschaffen, der einen besonderen Schwerpunkt auf Beschäftigtendatenschutz legt.

Fazit

Die MAV braucht ein Datenschutzkonzept. Daran führt kein Weg vorbei. Es ist aber machbar nach dem guten alten Schema »Sehen–Urteilen–Handeln«: Erfassen und verstehen, was man tut und warum. Dann diese Erkenntnisse anhand der Grundsätze des Datenschutzes – Grundprinzipien, Rechtsgrundlagen – systematisieren und gestalten. Und schließlich das Konzept implementieren, anwenden und verbessern.