Nach langen Diskussionen, ob der Betriebsrat als (eigener) Verantwortlicher für den Datenschutz gilt, brachte das Betriebsrätemodernisierungsgesetz mit § 79 a S. 2 BetrVG nun Klarheit:
„nicht der Betriebsrat, sondern der Arbeitgeber ist für den Datenschutz im Betriebsratsbüro verantwortlich.“
Der neue § 79 a BetrVG begründet die alleinige Verantwortlichkeit des Arbeitgebers, obwohl der Betriebsrat grundsätzlich einen institutionell unselbstständigen Teil des Arbeitgebers darstellt. Da der Betriebsrat in seinem Zuständigkeitsbereich vollkommen frei entscheidet und eine Verarbeitung der Beschäftigtendaten nicht im Namen des Arbeitgebers erfolgt oder in dessen Interessen liegt, ist diese Bestimmung äußerst problematisch. Erschwert wird dies durch den Umstand, dass der Betriebsrat als unabhängiges Organ der Betriebsverfassung nicht den Weisungen des Arbeitgebers unterliegt. Der Arbeitgeber haftet daher für die Einhaltung des Datenschutzes in einem Bereich, den er aber weder kontrollieren kann, noch irgendeine Entscheidungsgewalt besitzt.
In Satz 3 des § 79 a BetrVG wird dieses Ergebnis durch die gegenseitige Unterstützungspflicht der Betriebsparteien abgeschwächt. Fraglich ist, wie sich diese Bestimmung in der Praxis anwenden ließe, beispielsweise wenn eine der Parteien die nötige Mithilfe verweigern würde – mangels genauer Regelung wäre der Arbeitgeber dennoch als Verantwortlicher Schadensersatz- und Schmerzensgeldansprüchen nach Art. 82 DS-GVO ausgesetzt. Als Lösung wird die Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten aufgezeigt, weil dieser nach Art. 39 Abs. 1 DS-GVO für Beratung und Überwachung aller Beteiligten zuständig ist. Problematisch ist allerdings, dass dies nach der bisherigen Rechtsprechung aber nicht für den Betriebsrat gelten soll. Gemäß der Begründung des Regierungsentwurfs wird nun aber ohne Weiteres angenommen, dass der betriebliche Datenschutzbeauftragte auch für den Betriebsrat zuständig ist – die ständige höchstrichterliche Rechtsprechung wird damit bedenkenlos aufgehoben.
Mit § 79 a Abs. 4 BetrVG wollte der Gesetzgeber der Gefährdung der Unabhängigkeit des Betriebsrats entgegentreten. Diese Regelung schafft jedoch erhebliche Schutzlücken, beispielsweise weil personenbezogene Daten während digitalen Betriebsratssitzungen, die nach § 30 Abs. 2 BetrVG ausdrücklich erlaubt sind, weitaus gefährdeter sind, aber vom betrieblichen Datenschutzbeauftragten nicht überwacht werden dürfen. Andererseits lässt sich eine genaue Trennung der geregelten Verschwiegenheitspflicht bezüglich Beschäftigtendaten und relevanter Prozessdaten in der Praxis kaum umsetzen.
Unabhängig von diesen Schwierigkeiten scheint § 79 a BetrVG bei genauerem Hinsehen aber unionsrechtswidrig zu sein: Mitgliedstaaten dürfen nämlich nach Art. 4 Nr. 7 Hs. 2 DS-GVO nur dann selbst bestimmen, wer für den Datenschutz verantwortlich ist, wenn bei der Verarbeitung zugleich Zwecke und Mittel entweder ausdrücklich vorgegeben werden oder sich aus der dem Verantwortlichen übertragenen Aufgaben ergeben. Hieran fehlt es aber bei der Verarbeitung durch den Betriebsrat. Auch die Vorgaben der Öffnungsklausel nach Art. 88 DS-GVO werden nicht eingehalten.
Fazit:
Grundsätzlich ist der Versuch des Gesetzgebers, hier für Klarheit zu sorgen, begrüßenswert. Man stelle sich einmal vor, welche Auswirkungen letztlich für beide Seiten (Betriebsrat und Arbeitgeber) entstanden wären, wenn der Betriebsrat selbst Verantwortlicher im Sinndes Art. 4 Ziffer 7 DS-GVO wäre. Bei größeren Gremien hätte dieses unter anderem bedeutet, das sie ggf. selbst einen eigenen Datenschutzbeauftragten benötigt hätten mit zusätzlichen Kosten für den Arbeitgeber. Die bisherige Regelung ist möglicherweise noch nicht besonders gelungen und wird hoffentlich nachgebessert werden. Bis dahin werden ggf. Gerichte hier eine DS-GVO – konforme Auslegung propagieren und anwenden müssen.
Mitgeteilt von RA Karsten Klug
Fachanwalt für Arbeitsrecht