Datenschutz aus Betriebsratsperspektive
DSGVO und Beschaeftigtendatenschutz bei KI: Betriebsratsrolle, DSFA-Beteiligung und Datenverarbeitungs-Kontrolle.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In Lektion 5 hast du vier Praxis-Szenarien zur KI-Mitbestimmung durchgearbeitet. Jetzt nehmen wir die Datenschutzperspektive ein — ein Bereich, in dem der Betriebsrat eine besonders starke Rolle hat.
KI und Datenschutz sind untrennbar verbunden: Jedes KI-System verarbeitet Daten — und wenn es Beschaeftigtendaten sind, hat der Betriebsrat eine doppelte Rolle: Mitbestimmung (BetrVG) und Ueberwachung der DSGVO-Einhaltung (§80 Abs. 1 Nr. 1).
Die doppelte Rolle des Betriebsrats
| Rolle | Rechtsgrundlage | Was der BR tut |
|---|---|---|
| Mitbestimmung | §87 Abs. 1 Nr. 6 BetrVG | Technische Einrichtung → Zustimmungspflicht |
| Datenschutz-Ueberwachung | §80 Abs. 1 Nr. 1 BetrVG | Prueft, ob Arbeitgeber DSGVO einhaelt |
| BVA als Rechtsgrundlage | §26 Abs. 4 BDSG | BVA kann Datenverarbeitung legitimieren |
| Beschaeftigtenschutz | §75 Abs. 2 BetrVG | Persoenlichkeitsrecht der Beschaeftigten |
Die BVA als Rechtsgrundlage (§26 Abs. 4 BDSG)
Eine Betriebsvereinbarung kann Rechtsgrundlage fuer die Verarbeitung von Beschaeftigtendaten sein — das ist eine Besonderheit des deutschen Rechts.
Voraussetzung: Die BVA muss selbst DSGVO-konform sein:
- Grundsatz der Verhaeltnismaessigkeit
- Datenminimierung
- Zweckbindung
- Informationspflichten
- Loeschfristen
Risiko: Wenn der Betriebsrat einer BVA zustimmt, die DSGVO-widrige Datenverarbeitung erlaubt, ist die BVA insoweit unwirksam. Der Betriebsrat traegt also indirekte Verantwortung fuer den Datenschutz in BVAs.
✅ Quick Check: Eine BVA erlaubt die “umfassende Auswertung aller Nutzungsdaten des KI-Systems”. Welches DSGVO-Prinzip verletzt diese Klausel? (Tipp: Art. 5 Abs. 1 lit. c DSGVO — Datenminimierung.)
Datenschutz-Checkliste fuer den Betriebsrat
Bei jedem KI-System, das Beschaeftigtendaten verarbeitet, sollte der Betriebsrat pruefen:
1. Rechtsgrundlage
- Auf welcher Basis werden die Daten verarbeitet?
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder BVA (§26 Abs. 4 BDSG)?
- Einwilligung? (Achtung: Im Arbeitsverhaeltnis problematisch wegen Machtasymmetrie)
2. Datenumfang
- Welche Daten werden erhoben?
- Werden nur die wirklich nötigen Daten verarbeitet (Datenminimierung)?
- Gibt es eine Datenkategorisierung (personenbezogen / pseudonymisiert / anonym)?
3. Speicherung und Loeschung
- Wo werden die Daten gespeichert (EU / Drittland)?
- Wie lange werden sie gespeichert?
- Gibt es automatische Loeschfristen?
4. Zugriff und Weitergabe
- Wer hat Zugriff auf die Daten?
- Werden Daten an den KI-Anbieter uebermittelt?
- Gibt es einen AVV (Auftragsverarbeitungsvertrag)?
5. Betroffenenrechte
- Koennen Beschaeftigte Auskunft verlangen (Art. 15)?
- Gibt es ein Widerspruchsrecht (Art. 21)?
- Funktioniert die Loeeschung auf Anfrage (Art. 17)?
Internationale Datenuebermittlung bei KI
Viele KI-Systeme verarbeiten Daten ausserhalb der EU. Der Betriebsrat sollte wissen:
| Anbieter | Server | Rechtsgrundlage |
|---|---|---|
| OpenAI (ChatGPT) | USA | EU-US DPF + SCCs |
| Microsoft (Copilot) | EU + USA | EU Data Boundary (EU-Server moeglich) |
| Google (Gemini) | USA + EU | EU-US DPF + SCCs |
| SAP (Joule) | EU | EU-Server Standard |
BVA-Klausel-Empfehlung: “Beschaeftigtendaten werden ausschliesslich auf Servern innerhalb der EU/des EWR verarbeitet. Eine Verarbeitung in Drittlaendern ist nur mit dokumentierter Rechtsgrundlage (Angemessenheitsbeschluss oder SCCs + TIA) und vorheriger Information des Betriebsrats zulaessig.”
DSFA-Beteiligung des Betriebsrats
Die DSGVO verlangt die Beteiligung des DSB bei der DSFA, nicht des Betriebsrats. Trotzdem sollte der Betriebsrat beteiligt werden:
Warum?
- Der Betriebsrat kennt die tatsaechliche Arbeitsrealitaet
- Er weiss, welche Daten wirklich erhoben werden (vs. was der Anbieter sagt)
- Seine Beteiligung reduziert spaetere Konflikte
Wie?
- BVA-Klausel: “Der Betriebsrat wird bei DSFAs fuer Systeme, die Beschaeftigtendaten verarbeiten, konsultiert”
- Informationsrecht: DSFA-Ergebnisse werden dem Betriebsrat vorgelegt
- Massnahmen: Betriebsrat kann Massnahmen vorschlagen
Key Takeaways
- Doppelte Rolle: Der Betriebsrat ist Mitbestimmer (BetrVG) UND Datenschutz-Waechter (§80 Abs. 1 Nr. 1)
- Die BVA kann Rechtsgrundlage fuer Datenverarbeitung sein (§26 Abs. 4 BDSG) — muss aber selbst DSGVO-konform sein
- Datenschutz-Checkliste: Rechtsgrundlage, Datenumfang, Speicherung, Zugriff, Betroffenenrechte
- Internationale Datenuebermittlung: EU-Server als Standard, Drittland nur mit Rechtsgrundlage
- DSFA-Beteiligung des Betriebsrats ist Best Practice — auch wenn nicht gesetzlich vorgeschrieben
Up Next
In der naechsten Lektion geht es um die proaktive Strategie: Wie wird der Betriebsrat zum Gestalter der KI-Transformation statt zum Bremser?
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!