Betriebsrat – eigene Verantwortung für den Datenschutz?
Hintergrund
Nahezu jede Betriebsratsarbeit beinhaltet eine Verarbeitung personenbezogener Daten. Es verwundert daher nicht, dass Arbeitgeber bisweilen versuchen, betriebsverfassungsrechtlichen Ansprüchen datenschutzrechtliche Bedenken entgegenzusetzen. In diesen Konstellationen stellt sich die spannende Frage, wie Datenschutzrecht (v.a. Europäische Datenschutzgrundverordnung, kurz: DSGVO; Bundesdatenschutzgesetz: BDSG) und Betriebsverfassungsrecht in Einklang gebracht werden kann.
BAG bisher: Betriebsrat = datenschutzrechtlich Teil des Arbeitgebers als verantwortliche Stelle
Das Bundesarbeitsgericht vertrat bislang in ständiger Rechtsprechung (z.B. Urteil vom 11.11.1997 – 1 ABR 21/97, Urteil vom 07.02.2012 – 1 ABR 46/10) die Auffassung, dass der Betriebsrat nicht selbst für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sei; der Betriebsrat sei vielmehr Teil des Arbeitgebers als datenschutzrechtlich verantwortliche Stelle. Infolgedessen stünden einer Übermittlung personenbezogener Daten an den Betriebsrat keine Bedenken in den Bezug auf den Datenschutz entgegen.
In datenschutzrechtlicher Hinsicht wurde der Betriebsrat daher mit anderen Worten wie eine „Abteilung“ des Arbeitgebers angesehen. Aufgrund seiner gesetzlichen Rolle als unabhängiger Interessenvertreter der Belegschaft wurden dieser „Abteilung“ jedoch in Bezug auf den Datenschutz Sonderrechte eingeräumt. So unterlag der Betriebsrat bisher nicht der Kontrolle des betrieblichen Datenschutzbeauftragten. Auch hatte der Arbeitgeber keine Handhabe, auf den Betriebsrat einzuwirken, um die Einhaltung datenschutzrechtlicher Vorgaben im Rahmen der Betriebsratsarbeit sicherzustellen.
DSGVO: Betriebsrat eigener Verantwortlicher iSd Art. 4 Nr. 7 DSGVO?
Seit Inkrafttreten der DSGVO ist fraglich, ob an dieser Rechtsprechung festgehalten werden kann. Grund hierfür ist, dass die DSGVO eine gegenüber dem bisherigen BDSG weitergehende Definition des datenschutzrechtlich Verantwortlichen enthält. Nach Art. 4 Nr. 7 DSGVO richten sich die datenschutzrechtlichen Vorgaben nun an jede „Stelle“, die „über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten entscheidet.“ Ob dies beim Betriebsrat der Fall ist, ist eine der Streifragen, die seit Inkrafttreten der DSGVO in Rechtsprechung und Literatur intensiv diskutiert werden.
Während das LAG Niedersachsen, Beschluss vom 22.10.2018 – 12 TaBV 23/18 und das LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18 den Betriebsrat auch unter Geltung der DSGVO weiterhin als Teil der verantwortlichen Stelle Arbeitgeber ansehen, ist das LAG Sachsen-Anhalt, Beschluss vom 18.12.2018 – 4 TaBV 19/17 sowie die Mehrzahl der Landesdatenschutzaufsichtsbehörden (vgl. z.B. Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg 34. Tätigkeitsbericht 2018, S. 37 f.) der Ansicht, dass der Betriebsrat selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sei, da er eigenständig über die Zwecke und Mittel seiner Datenverarbeitung entscheide, und der Arbeitgeber gerade nicht entscheiden kann, auf welche Art und Weise der Betriebsrat personenbezogene Daten verarbeitet.
Konsequenzen einer eigenen Verantwortlichkeit des Betriebsrats
Sollte der Betriebsrat zukünftig tatsächlich als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, hätte dies weitreichende Konsequenzen:
Der Betriebsrat selbst wäre Adressat sämtlicher datenschutzrechtlicher Verpflichtungen und Vorgaben. Er müsste daher selbst Maßnahmen zur Umsetzung der Vorgaben aus der DSGVO ergreifen, beispielsweise müsste er die betroffenen Mitarbeiter über seine Datenverarbeitung informieren (Art. 13, 14 DSGVO), er müsste ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 DSVGO), die Betroffenenrechte auf Auskunft etc. müsste der Betriebsrat selbst erfüllen, er müsste ein eigenes Löschkonzepte entwerfen etc.
Infolge der eigenen Verantwortlichkeit hätte der Betriebsrat bzw. hätten einzelne Betriebsratsmitglieder auch für Datenschutzverstöße zu haften; ihnen gegenüber könnte möglicherweise sogar ein Bußgeld ausgesprochen werden. Kurzum: Auf den Betriebsrat käme eine datenschutzrechtliche Revolution zu!
Für den Arbeitgeber wäre eine Einordnung des Betriebsrats als eigenständiger Verantwortlicher zwar insoweit vorteilhaft, als er zukünftig nicht mehr für Datenschutzverstöße aus dem Bereich des Betriebsrats haftbar gemacht werden könnte. Doch hätte eine solche Entwicklung auch für den Arbeitgeber eine nicht unerhebliche finanzielle Schattenseite:
Bekanntlich hat der Arbeitgeber die erforderlichen Kosten der Betriebsratsarbeit zu tragen. Sollte der Betriebsrat tatsächlich selbst für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sein, müsste der Arbeitgeber auch die im Zusammenhang mit der Erfüllung dieser Pflichten entstehenden Kosten tragen. Zu denken wäre insofern an Schulungskosten und Kosten für externe Rechts-/IT-Beratung.
BAG, Beschluss vom 09.04.2019 – 1 ABR 51/17: Betriebsrat muss zumindest bei sensitiven Daten selbst Schutzmaßnahmen ergreifen
Vor diesem Hintergrund wäre es zu begrüßen, dass diese Streitfrage möglichst zeitnah geklärt wird.
Im Rahmen seines Beschlusses vom 09.04.2019 – 1 ABR 51/17 hat das Bundesarbeitsgericht indes die Frage, ob der Betriebsrat selbst Verantwortlicher im Sinne der DSGVO ist, ausdrücklich offen gelassen und lediglich klargestellt, dass der Betriebsrat jedenfalls selbst verpflichtet ist, Schutzmaßnahmen zu ergreifen, wenn er besondere personenbezogene Daten nach Art. 9 Abs. 1 DSGVO bzw. § 26 Abs. 3 BDSG (sog. sensitive Daten, insbesondere Gesundheitsdaten) verarbeitet.
Praxistipp
Die Betriebsparteien müssen daher zunächst weiterhin mit dieser unklaren Rechtslage leben. Sie können jedoch selbst Abhilfe schaffen, indem sie im Rahmen einer Betriebsvereinbarung zum Beschäftigtendatenschutz bei der Betriebsratsarbeit verbindliche Regeln zur datenschutzrechtlichen Stellung des Betriebsrats und dessen Datenverarbeitung aufstellen. Art. 88 Abs. 1 DSGVO sieht nämlich vor, dass die Betriebsparteien durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext aufstellen können.
In einer solchen Betriebsvereinbarung kann beispielsweise vorgesehen werden, dass der Betriebsrat weiterhin Teil der verantwortlichen Stelle des Arbeitgebers ist und fortan der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegt. Auch kann geregelt werden, dass der Betriebsrat berechtigt ist, die bestehenden Datenschutzstrukturen des Arbeitgebers mit zu nutzen.
Sollten Sie insofern Hilfe benötigen, stehen wir Ihnen jederzeit gerne mit Rat und Tat zur Seite.
Im Rahmen des Blogs werden wir Sie über die weitere Entwicklung in dieser Angelegenheit auf dem Laufenden halten.