Seit Längerem wird darüber diskutiert, ob nun unter der Geltung der Datenschutzgrundverordnung (DSGVO) sich die Rolle des Betriebsrates datenschutzrechtlich geändert hat oder nicht.
Früher galt nach der Rechtsprechung des BAG, dass der Betriebsrat Teil der verantwortlichen Stelle ist (also Teil des Betriebes) und damit eben kein Dritter. Aber durch die Besonderheiten des BetrVG und die Tatsache, dass das ehemalige Bundesdatenschutzgesetz (BDSG) hinter anderen Gesetzen zurücktrat, ist angenommen worden, dass der Betriebsrat z.B. weder durch den Arbeitgeber selbst noch durch dessen Datenschutzbeauftragten in Bezug auf die Einhaltung datenschutzrechtlicher Bestimmungen kontrolliert werden durfte. Andersherum war es aber möglich, dass sich der Betriebsrat, so er denn wollte, Rat bei dem betrieblichen Datenschutzbeauftragten holen konnte.
Bei seiner Amtsausübung verfügt der Betriebsrat zwangsläufig über eine erhebliche Menge an personenbezogenen Daten. So erhält er unter anderem bereits vor der Einstellung einer neuen Mitarbeiterin oder eines neuen Mitarbeiters die Bewerbungsunterlagen, hat während des Arbeitsverhältnisses eine Einsichtsmöglichkeit in Brutto-Gehaltslisten und empfängt Schilderungen von Kündigungsgründen. Nicht selten erhält er Einsicht in sensible Daten iSd Art. 9 DSGVO, beispielsweise aufgrund einer Arbeitsunfähigkeit, einer Schwangerschaft oder im Rahmen der Durchführung eines BEM – Verfahrens. Im Lichte des Datenschutzrechtes werfen sich dabei einige Fragen auf, insbesondere ob der Betriebsrat als „Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO anzusehen ist.
Nach Art. 4 Nr. 7 DSGVO gilt als Verantwortlicher für die Verarbeitung die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Hierfür maßgeblich ist die rein faktische Entscheidungsgewalt, wie auch der Wortlaut des Art. 4 Nr. 11 DSGVO bestimmt. Es ist somit unerheblich, ob jemand über die Verarbeitung grundsätzlich entscheiden darf, erforderlich ist stets eine tatsächlich getroffene Entscheidung. Zusätzlich muss bei der Bestimmung der jeweilige Verarbeitungsschritt herangezogen werden. Die Verantwortlichkeit richtet sich danach, wer in der betroffenen Phase in welchem Ausmaß zuständig war, nicht wer üblicherweise über die Zwecke und Mittel der Datenverarbeitung entscheidet. Zweifellos liegen diese Voraussetzungen bei der Tätigkeit des Betriebsrates vor. Er ist weder als Auftragsverarbeiter i. S. d. Art. 28 III DSGVO, noch als „unterstellte Person“ i. S. d Art. 29 DSGVO zu qualifizieren, weil er die Daten nicht im Auftrag oder nach den Weisungen des Arbeitgebers verarbeitet. Zwar erfolgt die Datenverarbeitung nicht im Interesse für das jeweilige Betriebsratsmitglied selbst, sondern für die Wahrnehmung der Beteiligungsrechte. Der EuGH nimmt eine Verantwortlichkeit aufgrund der tatsächlichen Entscheidungsgewalt an bzw. meint, dass die Betriebsratsmitglieder auch als Privatpersonen als Verantwortliche zumindest in Betracht kommen (10.7.2018, C-25/17; Zeugen-Jehovas-Entscheidung).
Würde man dieses annehmen, würde dieses so erheblichen Aufwänden und letztlich Kostensteigerungen des Arbeitgebers (vgl. § 40 BetrVG) führen. Denn der Betriebsrat müsste jedenfalls ab einer gewissen Größe (mehr als 20) oder in dem Fall, in dem die sonstigen Voraussetzungen des § 38 BDSG vorliegen (Vornahme einer Datenschutz – Folgenabschätzung etc.), dann hätte also das Gremium selbst einen Datenschutzbeauftragten zu bestellen.
Ferner müsste das Gremium selbst sich um die Einhaltung der datenschutzrechtlichen Bestimmungen, inklusive Datenschutzinformation (Art. 12,13, 14 DSGVO), Bearbeitung von Anfragen von Betroffenen (vgl. Art. 15 ff. DSGVO), Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO) und schließlich Prüfung und Einhaltung des Datenschutzes durch technische sowie organisatorische Maßnahmen (vgl. Art. 25 sowie 32 DSFVO) sicherstellen und gewährleisten. Dieses muss unweigerlich dazu führen, dass mit dem Arbeitgeber über (weitere) Freistellungen von Betriebsratsmitgliedern zu sprechen ist, da ansonsten diese Aufgaben nicht bewerkstelligt werden können. Auch sind jedenfalls jene Mitglieder, die möglicherweise innerhalb des Gremiums für die Datenschutzfragen zuständig ist (Datenschutz – Ausschuss innerhalb des Gremiums?) regelmäßig zu Schulungen und Weiterbildungen zu schicken. Zu guter Letzt wäre es das Recht des Betriebsrates selbst die Technikgestaltung zu bestimmen. Eigene Server, Rechner, Rechenzentrumsplatz sowie eigene Dienstleister losgelöst von der IT – Landschaft des Arbeitgebers wären die Folge.
Und hier meine ich, dass ein wichtiges Argument gegen die Annahme, der Betriebsrat sei Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO liegt. Denn der Betriebsrat mag zwar in engen Grenzen selbst bestimmen können, was mit den bei ihm bestehenden personenbezogenen Daten passiert, gleichwohl leitet er letztlich insbesondere etwaige technische sowie organisatorische Maßnahmen gerade nicht selbst her und kann hier eine losgelöste Risikoabschätzung treffen. Vielmehr muss er aufgrund von § 40 BetrVG sowie der hierzu bisher ergangenen Rechtsprechung dieses alles vom Arbeitgeber „übernehmen“. Ist der Arbeitgeber hier „schlecht“ aufgestellt, ist es der Betriebsrat zwangsläufig auch.
Fazit:
Die Frage ist nach wie vor – auch über 2 Jahre nach der Gültigkeit der DSGVO – stark umstritten. Die Folgen wären meiner Ansicht nach fatal. Bisher hat vermutlich deshalb aus gutem Grund weder die Datenschutzkonferenz noch der europäische Datenschutzausschuss etc. hierzu Stellung genommen bzw. sich hier festgelegt.
Aktuell wird z.T. empfohlen, z.B. in Betriebsvereinbarungen zu dem Thema Datenschutz zu regeln, dass Arbeitgeber und Betriebsrat beide der Auffassung sind, dass der Betriebsrat nicht selbst Verantwortlicher sondern Teil des Verantwortlichen ist. Ferner soll die bisherige Rechtsprechung diesbezüglich (keine Kontrolle des BR durch den betrieblichen Datenschutzbeauftragten etc.) weiter gelten.
Für Fragen zu diesem Thema kontaktieren Sie mich gerne.
Mitgeteilt von
RA Karsten Klug
Fachanwalt für Arbeitsrecht
Ext. Datenschutzbeauftragter (TÜV zert.)