Verantwortlichkeit des Betriebsrates für die Verarbeitung personenbezogener Daten
(Stuttgart) Das Betriebsverfassungsgesetz weist dem Betriebsrat zum Teil weitreichende Beteiligungsrechte und Aufgaben zu, die zwangsläufig mit der Verarbeitung von personenbezogenen Daten der Arbeitnehmer*innen einhergehen (z.B. die Einsichtnahme in Lohn- und Gehaltslisten, die Mitbestimmung in personellen Angelegenheiten, die Anhörung bei Kündigungen usw.).
Damit, so der Bremer Fachanwalt für Arbeitsrecht und Gewerblichen Rechtsschutz Klaus-Dieter Franzen, Landesregionalleiter „Bremen“ des VDAA Verband deutscher ArbeitsrechtsAnwälte e. V. mit Sitz in Stuttgart, stellt sich die Frage, ob der Betriebsrat in datenschutzrechtlicher Sicht als (eigenständiger) Verantwortlicher oder als Teil des Verantwortlichen Arbeitgeber anzusehen ist.
Das Bundesarbeitsgericht vertrat bislang die Auffassung, dass der Betriebsrat nicht selbst für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sei; der Betriebsrat sei vielmehr Teil des Arbeitgebers als datenschutzrechtlich verantwortliche Stelle (Urteil vom 11. November 1997 – 1 ABR 21/97, Urteil vom 07. Februar 2012 – 1 ABR 46/10). Das Gericht sah den Betriebsrat also als eine „Abteilung“ des Arbeitgebers an, ohne aber, dass diese der Kontrolle des betrieblichen Datenschutzbeauftragten unterliege.
Das LAG Niedersachsen, (Beschluss vom 22. Oktober 2018 – 12 TaBV 23/18 und das LAG Hessen (Beschluss vom 10. Dezember 2018 – 16 TaBV 130/18) ordnen den Betriebsrat auch unter Geltung der DSGVO weiterhin dem Arbeitgeber als Teil der verantwortlichen Stelle zu. Danach habe der Betriebsrat keine freie Entscheidung über die Mittel der Verarbeitung, sondern könne nur im Rahmen der vom Arbeitgeber vorgegebenen IT-Infrastruktur agieren. Außerdem könne der Betriebsrat die Zwecke der von ihm vorzunehmenden Datenverarbeitung nicht in freier Eigenverantwortung bestimmen, sondern sei an gesetzlichen Vorgaben gebunden.
Es bestehen starke Zweifel, ob unter der Ägide der DSGVO tatsächlich an dieser Auffassung festgehalten werden kann.
Denn nach Art. 4 Nr. 7 DSGVO richten sich die datenschutzrechtlichen Vorgaben an jede „Stelle“, die „über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten entscheidet.“ Die DSGVO sieht auch keine Einschränkungen der Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten vor. Sie genießt schließlich auch Anwendungsvorrang gegenüber dem Betriebsverfassungsgesetz.
So verwundert es nicht, dass die Mehrheit der datenschutzrechtlichen Aufsichtsbehörden der Bundesländer (vgl. z.B. Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg 34. Tätigkeitsbericht 2018, S. 37 f.) den Betriebsrat datenschutzrechtlich als eigener Verantwortlicher einstufen. Zur Begründung wird angeführt, dass der Betriebsrat eigenständig über die Zwecke und Mittel seiner Datenverarbeitung entscheide und der Arbeitgeber keinen Einfluss darauf habe, auf welche Art und Weise er personenbezogene Daten verarbeite.
Diese Ansicht wird in der Rechtsprechung vom LAG Sachsen-Anhalt (Beschluss vom 18. Dezember 2018 – 4 TaBV 19/17) geteilt.
Der Meinungsstreit ist nicht akademischer Natur. Vielmehr drohen erhebliche praktische Konsequenzen, für den Arbeitgeber, wie für die laufende Betriebsratstätigkeit.
Denn wenn eine eigenständige Verantwortlichkeit des Betriebsrates besteht, dann wäre das Gremium Adressat sämtlicher datenschutzrechtlicher Verpflichtungen und Vorgaben. Der Betriebsrat selbst müsste Sorge dafür tragen, dass alle gesetzlichen Vorgaben erfüllt werden. Dann wären etwa die Arbeitnehmer*innen darüber zu informieren, welche personenbezogene Daten von dem Gremium zu welchem Zweck und wie lange verarbeitet werden, welche Rechte den Arbeitnehmer*innen zustehen und diese ggf. erfüllen. Der Betriebsrat müsste ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen und in eigener Verantwortung geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergreifen. Das Bundesarbeitsgericht hat in seinem Beschluss vom 09. April 2019 – 1 ABR 51/17 bereits ausdrücklich klargestellt, dass der Betriebsrat jedenfalls dann selbst verpflichtet sei, Schutzmaßnahmen zu ergreifen, wenn er besondere personenbezogene Daten nach Art. 9 Abs. 1 DSGVO bzw. § 26 Abs. 3 BDSG (sog. sensitive Daten, insbesondere Gesundheitsdaten) verarbeite. Der Betriebsrat hätte für eigene Datenschutzverstöße zu haften. Schließlich wäre zumindest bei großen Gremien die Benennung eines eigenen Datenschutzbeauftragten in Betracht zu ziehen.
Bekanntlich hat der Arbeitgeber die erforderlichen Kosten der Betriebsratsarbeit zu tragen. Sollte der Betriebsrat tatsächlich selbst für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sein, müsste der Arbeitgeber auch die im Zusammenhang mit der Erfüllung dieser Pflichten entstehenden Kosten tragen. Zu denken wäre insofern an Schulungskosten und Kosten für externe Rechts-/IT-Beratung.
Es ist mit einer baldigen Klärung der Frage durch das Bundesarbeitsgericht zu rechnen. Wo auch immer die Reise hingehen mag, wird eines mehr als deutlich: Betriebsräte werden sich künftig deutlich häufiger und intensiver mit datenschutzrechtlichen Fragen befassen müssen. Für die Mitglieder des Betriebsrates wird es deshalb unumgänglich sein, sich zumindest die erforderlichen datenschutzrechtliche Grundkenntnisse anzueignen. Bis zur endgültigen rechtlichen Klärung des datenschutzrechtlichen Status‘ des Gremiums sollte die Betriebsparteien zumindest eine Betriebsvereinbarung mit Rahmenregelungen für den Datenschutz bei der Betriebsratsarbeit abschließen. Art. 88 Abs. 1 DSGVO lässt diese Möglichkeit ausdrücklich zu.
Franzen empfahl, dies zu beachten und riet bei Fragen Rechtsrat in Anspruch zu nehmen, wobei er u. a. auch auf den VDAA Verband deutscher ArbeitsrechtsAnwälte e. V. – www.vdaa.de – verwies.
Für Rückfragen steht Ihnen zur Verfügung:
Klaus-Dieter Franzen
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Fachanwalt für Gewerblichen Rechtsschutz
--- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
FranzenLegal
Altenwall 6
D-28195 Bremen
Telefon: +49 (0) 421 33 78 413
Telefax: +49 (0) 421 33 78 416
www.franzen-legal.de
« zurück