Zum Inhalt springen Zur Navigation springen
Betriebsrat und Datenschutz: Anforderungen der DSGVO

Betriebsrat und Datenschutz: Anforderungen der DSGVO

Seit Inkrafttreten der DSGVO im Jahr 2018 wurden zum Thema Datenschutz beim Betriebsrat viele neue Problemfelder aufgeworfen. Zuletzt sorgte ein Versuch des Gesetzgebers, eine altumstrittene Frage endgültig zu klären, für eine weitere Diskussion. Welche Rolle der Datenschutz bei den Tätigkeiten des Betriebsrates spielt und auf welche Probleme er stößt, haben wir in diesem Beitrag kurz zusammengefasst.

Bei welchen Tätigkeiten spielt der Datenschutz beim Betriebsrat eine Rolle?

Bei den Tätigkeiten des Betriebsrates spielt der Datenschutz in zweierlei Hinsicht eine Rolle:

Auf der einen Seite überwacht der Betriebsrat die Datenverarbeitung durch den Arbeitgeber. Letztgenannter muss sich dabei nämlich an die geltenden Vorschriften halten, die zugunsten der Arbeitnehmer gelten. Das können neben dem normierten Datenschutzrecht auch individuell abgeschlossene Betriebsvereinbarungen sein. Auf der anderen Seite kommt der Betriebsrat bei der Ausübung seiner Tätigkeiten auch selbst mit Beschäftigtendaten in Berührung. In seinem eigenen Tätigkeits- und Verantwortungsbereich hat er daher selbst für einen datenschutzkonformen Umgang mit Beschäftigtendaten zu sorgen.

Beleuchten wir die Tätigkeiten des Betriebsrates etwas genauer, die beim Thema Datenschutz eine zentrale Rolle spielen.

Betriebsrat: Überwachung der Einhaltung der DSGVO und Unterrichtungspflicht

Die Überwachungspflicht des Betriebsrats ist in § 80 Abs. 1 Nr. 1 BetrVG normiert. Sie ist zentrale Aufgabe des Betriebsrates und verlangt, dass die Einhaltung der zugunsten der Arbeitnehmer geltenden Vorschriften im Betrieb überwacht werden. Darunter sind auch die Vorschriften der DSGVO und des BDSG zu verstehen. Im Beschäftigtendatenschutz spielen die gesetzlichen Erlaubnistatbestände zur Verarbeitung von Beschäftigtendaten des § 26 BDSG eine große Rolle. Neben ihnen kommt den individuell verhandelten Betriebsvereinbarungen eine immense Bedeutung zu, auf die später näher eingegangen wird. Als unternehmensspezifische Regelung können sie ebenfalls Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten sein.

Zur Erfüllung der Überwachungspflicht ist der Betriebsrat auf die dafür notwendigen Informationen vom Arbeitgeber angewiesen. Die den Arbeitgeber treffende Unterrichtungspflicht ist in § 80 Abs. 2 BetrVG statuiert. Hiernach hat er dem Betriebsrat auf dessen Verlangen jederzeit die zur Erfüllung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen – also auch Beschäftigtendaten. Das Auskunftsrecht des Betriebsrats ist damit Erlaubnistatbestand für die Weitergabe von Arbeitnehmerdaten durch den Arbeitgeber.

Auskunftsrecht auch über sensible Daten

Das allgemeine Auskunftsrecht des Betriebsrats erstreckt sich auch auf sensible Daten der Arbeitnehmer. Im Jahr 2019 urteilte das BAG (BAG, Urteil vom 9.4.2019 – 1 ABR 51/17), dass die Weitergabe besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) durch den Arbeitgeber an den Betriebsrat auch gegen den Willen der betroffenen Person erfolgen kann. Konkret handelte es sich um die bestehende Schwangerschaft einer Beschäftigten. Zwecks Überwachung des Mutterschutzes kann die Weitergabe zur Aufgabenerfüllung des Betriebsrates erforderlich sein – sofern sie, mangels Einwilligung, aufgrund anderweitiger Rechtsvorschrift oder Kollektivvereinbarung gerechtfertigt ist. Bei sensiblen Daten kommt eine Weitergabe und damit eine Verarbeitung aufgrund § 26 Abs. 3 BDSG in Betracht. Doch neben dem Erfordernis eine konkrete Schutzvorschrift zu benennen, dessen Einhaltung der Betriebsrat überwachen will, muss dieser auch die Umsetzung angemessener und spezifischer Maßnahmen treffen, um die sensiblen Beschäftigtendaten in seinem eigenen Tätigkeits- und Aufgabenbereich ausreichend vor Missbrauch zu schützen. Das verlangt schließlich § 26 Abs. 3 S. 3 BDSG i.V.m. § 22 Abs. 2 BDSG. Erst dann besteht das Auskunftsrecht auch über sensible Daten.

Mitbestimmungsrecht bei Überwachung der Mitarbeiter

Neben den allgemeinen Aufgaben aus § 80 BetrVG steht dem Betriebsrat eine Vielzahl von gesetzlich normierten Mitbestimmungsrechten zu. Im Rahmen des Arbeitnehmerdatenschutzes ist das Mitbestimmungsrecht bei der Überwachung des Arbeitnehmerverhaltens durch technische Einrichtungen gem. § 87 Abs. 1 Nr. 6 BetrVG von zentraler Bedeutung. Für sein Greifen genügt bereits, dass die technische Einrichtung objektiv geeignet ist das Arbeitnehmerverhalten zu überwachen. Auf die tatsächliche Absicht des Arbeitgebers kommt es – trotz widersprüchlichen Wortlauts des § 87 Abs. 1 Nr. 6 BetrVG – nicht an.

Entscheidend ist, dass die technische Einrichtung individualisierte / individualisierbare Verhaltens- oder Leistungsdaten erhebt. Wird bspw. ein Tabellenkalkulationsprogramm als Zeiterfassungstool genutzt, ist dies der Fall und dem Betriebsrat steht ein Mitbestimmungsrecht bei dessen Einführung und Anwendung zu. Dient gleiches, in der Praxis häufig genutztes Tabellenkalkulationsprogramm einzig zur Verfahrensübersicht, greift das Mitbestimmungsrecht mangels Verhaltens- oder Leistungsüberwachung nicht ein.

Ein praxisrelevanter Anwendungsfall des Mitbestimmungsrechts i.S.d. § 87 Abs. 1 Nr. 6 BetrVG dürfte die Einführung von Personalinformationssystemen sein, die heute in einem Großteil aller Unternehmen Einzug gefunden haben. Obwohl sich die einzelnen Systeme in ihrer konkreten Ausgestaltung unterscheiden, ermöglichen sie i.d.R. die systematische Verarbeitung von Arbeitnehmerdaten. Das bereits dadurch ausgelöste Mitbestimmungsrecht des Betriebsrats bezieht sich sowohl auf die Modalitäten als auch die Verwendung der dadurch erhobenen Daten von Beschäftigten (bspw. hinsichtlich Aufbewahrungs- und Löschfristen). Gleiches gilt nach Auffassung des BAG (Az.: 1 ABR 20/21) bei der Einführung des Softwarepakets Microsoft 365, weil die im Zusammenhang mit einer Verwendung der einzelnen Diensten anfallenden oder erhobenen Daten für eine Leistungs- oder Verhaltenskontrolle der Arbeitnehmer genutzt werden können.

Betriebsvereinbarung: Möglicher Erlaubnistatbestand für Datenverarbeitungen

Neben dem gesetzlichen Erlaubnistatbestand des § 26 Abs. 1 BDSG kann eine zwischen den Betriebsparteien ausgehandelte Betriebsvereinbarung als Rechtsgrundlage für die Datenverarbeitung dienen. Sie kann weiter, aber insbesondere spezifischer gefasst werden, da alle betrieblichen Prozesse Regelungsgegenstand sein können, in denen Beschäftigtendaten verarbeitet werden. Das erlaubt Art. 88 Abs. 1 DSGVO. Im Erwägungsgrund 155 sind beispielhafte, nicht abschließende Aufzählungen zu den Regelungsmöglichkeiten genannt.

Der Gesetzgeber hat von der in Art. 88 Abs. 1 DSGVO enthaltenen Möglichkeit, den Beschäftigtendatenschutz den Betriebsparteien im Rahmen von Kollektivvereinbarungen zu überlassen, mit der Einführung des § 26 Abs. 4 BDSG Gebrauch gemacht. Inhaltliche Anforderungen an die Betriebsvereinbarung stellt Art. 88 Abs. 2 DSGVO, auf den § 26 Abs. 4 S. 2 BDSG verweist. Betriebsvereinbarungen müssen für eine rechtmäßige Datenverarbeitung demnach dem Bestimmtheits- und Transparenzgebot genügen; sie müssen insbesondere den maßgeblichen Verwendungszweck der Beschäftigtendaten präzise festlegen. Das geltende Datenschutzniveau darf dabei nicht zulasten der Arbeitnehmer herabgesenkt werden.

Sie können dann sogar als Rechtsgrundlagen für nicht erforderliche Verarbeitungen von Beschäftigtendaten eingesetzt werden. Für die Erforderlichkeit eines Datenverarbeitungsvorgangs sind grundsätzlich die widerstreitenden Interessen der Parteien anhand des Verhältnismäßigkeitsgrundsatzes abzuwägen. Die Verarbeitung muss folglich geeignet sein, einen legitimen Zweck zu erreichen, ohne dass eine weniger einschneidende Maßnahme ergriffen werden kann.

Das Landesarbeitsgericht Baden-Württemberg hat in seinem Urteil vom 25. Februar 2020 (Az. 17 Sa 37/20) die generelle Möglichkeit bejaht, dass Datenverarbeitungsvorgänge, die nicht nach § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich und damit grundsätzlich unzulässig sind, aufgrund einer Betriebsvereinbarung, die § 26 Abs. 4 BDSG erfüllt, rechtmäßig sein können. Ob für diese Option ein Raum geschaffen werden musste oder in konkreten Fällen nicht bereits die Erforderlichkeit aufgrund überwiegender Interessen des Arbeitgebers bejaht werden könnte, bleibt dem Einzelfall vorbehalten.

Datenschutz im Betriebsratsbüro

Neben der Aufgabe, den Arbeitgeber bei der Einhaltung des Arbeitnehmerdatenschutzes zu kontrollieren, muss der Betriebsrat selbst für eine datenschutzkonforme Verarbeitung in seinem Betriebsratsbüro sorgen. Das BetrVG enthält zu dem Umgang mit Arbeitnehmerdaten durch den Betriebsrat nur wenige Vorgaben, sodass die Regelungen des BDSG und der DSGVO zum Tragen kommen.

Besonders der datenschutzrechtliche Grundsatz der Erforderlichkeit (Art. 5 Abs. 1 lit. c DSGVO, „Datenminimierung“) ist im Betriebsratsbüro zu beachten. An diesem Grundsatz muss bspw. die Weitergabe von Beschäftigtendaten im Rahmen des Mitbestimmungsverfahrens gemessen werden. Zwar ist der Betriebsrat zur Ausübung seiner Mitbestimmungsrechte aus den §§ 87, 99, 102 BetrVG darauf angewiesen, Zugriff auf Beschäftigtendaten zu erhalten, es muss sich vor einer Weitergabe jedoch stets die Frage gestellt werden, ob nicht auch bspw. anonymisierte Daten zur selben Effektivität der Überwachungsaufgabe beitragen würden.

Verwendet der Betriebsrat zur Ausübung seiner Tätigkeiten zulässigerweise Beschäftigtendaten, hat dieser festzulegen, durch welche technischen und organisatorischen Maßnahmen die Daten vor Missbrauch geschützt werden. Als Beispiel hierzu kann eine betriebsratsinterne Geschäftsordnung dienen, die konkrete und geeignete Maßnahmen benennt und die der Betriebsrat nach pflichtgemäßem Ermessen umzusetzen hat. Ist das Mitbestimmungsverfahren beendet, hat der Betriebsrat die diesbezüglich zur Verfügung gestellten Beschäftigtendaten unverzüglich zu löschen oder dem Arbeitgeber zurückzugewähren. Eine weitergehende, ohne konkreten Anlass stattfindende Aufbewahrung der Daten durch den Betriebsrat ist rechtswidrig.

Doch welche Stellung kommt dem Betriebsrat eigentlich zu, wenn er die Beschäftigtendaten verarbeitet?

Ist der Betriebsrat Verantwortlicher im Sinne der DSGVO?

Diese Frage, mit der wir uns bereits hier ausführlicher auseinandergesetzt haben, war nicht erst mit Einführung der DSGVO im Jahr 2018 umstritten. Vor Inkrafttreten der DSGVO sah die ständige Rechtsprechung des BAG den Betriebsrat lediglich als institutionell unselbstständigen Teil des Arbeitgebers. Mangels eigener Rechtskraft konnte demzufolge nur der Arbeitgeber auch Verantwortlicher sein.

Seit Inkrafttreten der DSGVO können nun aber auch andere Stellen (Art. 4 Nr. 7 DSGVO) Verantwortliche sein. Da der Betriebsrat eigenverantwortlich und unabhängig vom Arbeitgeber fungieren sollte, wurde seine Stellung als Verantwortlicher seither kontrovers und von beiden Seiten gut vertretbar diskutiert – bis zur Einführung des Betriebsrätemodernisierungsgesetzes im Juni 2021.

Keine eigene Verantwortlichkeit nach dem Betriebsrätemodernisierungsgesetz

Mit Einführung des § 79a BetrVG, der aufgrund des Betriebsrätemodernisierungsgesetzes erlassen wurde, kehrte der Gesetzgeber wieder zur Rechtslage vor Inkrafttreten der DSGVO zurück. In § 79a S. 2 BetrVG heißt es:

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Datenschutzrechtlicher (Allein-) Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO ist also der Arbeitgeber. Ziel des Modernisierungsgesetzes war es, die Arbeit von Betriebsräten zu erleichtern. Der Gesetzgeber sah Handlungsbedarf die Verantwortlichkeitsfrage des Arbeitgebers auf mitgliedsstaatlicher Ebene zu regeln, weil der Betriebsrat ein unselbstständiger Teil des Arbeitsgebers sei, der nicht nach außen hin rechtlich selbstständig handele. Damit sollte die kontroverse Diskussion nun beendet sein – oder nicht?

Ganz im Gegenteil: Die Regelung stieß unmittelbar auf Kritik. Wir berichteten bereits ausführlich zum Betriebsrätemodernisierungsgesetz. Als größter Kritikpunkt wird angeführt, dass der Arbeitgeber mit der Neuregelung in eine Konfliktlage geriete. Er müsse (nun) die Verarbeitung von Beschäftigtendaten durch den Betriebsrat verantworten, obwohl der Betriebsrat betriebsverfassungsrechtlich unabhängig vom Arbeitgeber entscheide. Weisungen könne er dem Betriebsrat aufgrund seiner Unabhängigkeit nicht erteilen; seine Einflussnahme auf die Verarbeitungsvorgänge fehle gänzlich. Ihm komme damit die Rolle des Verantwortlichen ohne Entscheidungsbefugnis zu.

Aber auch die Ausübung von Betroffenenrechte könnte unter der neuen Vorschrift leiden. Den Informations-, Auskunfts- und Löschpflichten aus Art. 13, Art. 15 und Art. 17 DSGVO müsste der Arbeitgeber als Verantwortlicher trotzdem nachkommen, obwohl der Betriebsrat die Beschäftigtendaten verarbeitet. Mangels Weisungsrechts des Arbeitgebers könnte der Datenschutz im Betriebsratsbüro schlimmstenfalls gänzlich leerlaufen.

In Satz 3 der neuen Vorschrift heißt es zwar

„Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“

Die Konfliktlage zwischen Verantwortlichkeit und tatsächlichem Verarbeitungsvorgang kann dazu führen, dass der Betriebsrat die relevanten Handlungen, damit zugleich die datenschutzrechtlichen Pflichten des Arbeitgebers gegenüber dem Betroffenen vornehmen wird. Zwar ist er im Rahmen der Unterstützungspflicht dazu angehalten, dem Verantwortlichen in diesem Rahmen zuzuarbeiten, von der gesetzlichen Unterstützungspflicht kann es damit aber auch zu einer eigentlichen Aufgabenübernahme kommen. Und das, obwohl die neue Vorschrift die Betriebsräte entlasten sollte.

Europarechtswidrigkeit der Regelung des § 79 a BetrVG?

Neben der kritisierten Sachwidrigkeit der neuen Vorschrift kommt hinzu, dass viele Stimmen die Auffassung vertreten, die Vorschrift sei aufgrund mangelnder Öffnungsklausel europarechtswidrig und deshalb gar nicht anwendbar. Die Möglichkeit zur Regelung der Verantwortlichkeitsrolle durch die einzelnen Mitgliedstaaten ist zwar grundsätzlich möglich. Diese müssen sich dann aber an die Vorgaben des Art. 4 Nr. 7 DSGVO halten, somit den Zweck und die Mittel der Verarbeitung durch den Verantwortlichen regeln, sofern sich diese nicht bereits konkret aus seinen ihn übertragenen Aufgaben ergeben.

Daran fehle es dieser Auffassung nach, da weder Vorschriften aus dem BetrVG noch aus dem BDSG diese Anforderungen erfüllen würden. Auch Art. 88 DSGVO scheide als Öffnungsklausel aus, da sie zum einen ihrem Wortlaut nach keine mitgliedsstaatlichen Regelungen zur Verantwortlichkeit, sondern lediglich Regelungen im Beschäftigungskontext zulasse. Zum anderen müsste sich die Regelung des § 79a S. 2 BetrVG an Art. 88 Abs. 2 DSGVO messen lassen. An den in Abs. 2 geeigneten Maßnahmen fehle es, wenn der Arbeitgeber als Verantwortlicher anzusehen sei, obwohl er keinerlei Einfluss auf die Datenverarbeitung im Betriebsbüro habe.

Bußgelder und arbeitsrechtliche Konsequenzen bei Datenschutzvorfällen

Was aber passiert nun bei Verstößen gegen die DSGVO? Muss der Arbeitgeber eine Geldbuße (Art. 83 DSGVO) oder Schadensersatz (Art. 82 DSGVO) nur deshalb zahlen, weil er Verantwortlicher ist, obwohl der Betriebsrat datenschutzrechtliche Vorschriften verletzt? Ist der Betriebsrat fortan von jeglichen Haftungen befreit, weil die Vorschriften an die Verantwortlichkeitseigenschaft anknüpfen?

Eine Geldbuße des Arbeitgebers scheidet mangels Verschuldens eigentlich aus, wenn der Verstoß allein durch den Betriebsrat erfolgt. Eigentlich – sie ist aber nicht sicher auszuschließen. Denn die Datenschutzbehörden und die überwiegende Rechtsprechung (a.A. LG Berlin) lehnen eine Anwendung des § 30 OWiG bei Bußgeldverfahren gegen juristische Personen bisher ab. Die juristische Person haftet dieser Vorschrift nach eigentlich nur dann, wenn ein Organ oder eine Leitungsperson (bspw. der Vorstand) die Pflichtverletzung begangen haben. Ohne die Anwendung des § 30 OWiG aber käme es zu einer verschuldensunabhängigen Haftung des Arbeitgebers als Verantwortlicher, und zwar auch dann, wenn der Betriebsrat eigentlich die Pflichtverletzung begangen hätte. Ausgenommen davon bliebe lediglich ein Exzess durch den Betriebsrat, in dem das jeweilig handelnde Betriebsratsmitglied haften würde.

Beim Schadensersatzanspruch gem. Art. 82 DSGVO hingegen gilt eine Verschuldensvermutung des Verantwortlichen. Als Verantwortlicher müsste der Arbeitgeber in diesem Fall gem. Art. 82 Abs. 3 DSGVO beweisen, dass er nicht

„für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Das bedeutet aber nicht, dass der Betriebsrat und seine einzelnen Mitglieder einen Freifahrtsschein im Thema Datenschutzvorfälle hätten. Ganz im Gegenteil: Im Falle eines Datenschutzverstoßes sieht sich das jeweilige Betriebsratsmitglied weitreichender arbeitsrechtlicher Konsequenzen ausgesetzt. So entschied das LAG Baden-Württemberg (Urteil vom 25.03.2022, 7 Sa 63/21), dass ein Verstoß gegen datenschutzrechtliche Vorschriften die außerordentliche fristlose Kündigung eines Betriebsratsmitgliedes durch den Arbeitgeber rechtfertigen kann.

Gerichtliche Klärung der Probleme wird noch dauern

Es bleibt wohl abzuwarten wie sich die einzelnen Problemfelder, welche die DSGVO zum Vorschein gebracht hat, durch die Rechtsprechung klären werden. Gerade zum neuen § 79 a BetrVG und der damit verbundenen Verantwortlichkeitsfrage bleibt spannend, ob die einhergehenden Unstimmigkeiten beseitigt werden können.

Festzuhalten bleibt, dass der Betriebsrat nicht nur die Umsetzung des Datenschutzes durch den Arbeitgeber zu überwachen, sondern ihn auch selbst in seinem Tätigkeitsbereich umzusetzen hat. Schließlich ist er in vielen seiner Tätigkeiten darauf angewiesen (auch sensible) Beschäftigtendaten zu verarbeiten. Im Falle von Verstößen muss er zwar nicht zwingend mit Sanktionen rechnen. Vor arbeitsrechtlichen Konsequenzen sind einzelne Betriebsratsmitglieder aber nicht geschützt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • „Neben dem gesetzlichen Erlaubnistatbestand des § 26 Abs. 1 BDSG kann eine zwischen den Betriebsparteien ausgehandelte Betriebsvereinbarung als Rechtsgrundlage für die Datenverarbeitung dienen.“

    Sollte dies nicht der § 26 Abs. 4 BDSG sein?

    • § 26 Abs. 4 BDSG ist die Erlaubnisnorm, die es nach Art. 88 Abs. 1 DSGVO auf nationaler Ebene ermöglicht, Kollektivvereinbarungen als unmittelbare datenschutzrechtliche Erlaubnistatbestände einzusetzen. Die Kollektivvereinbarung (bspw. Betriebsvereinbarung oder Dienstvereinbarung) begründen unter den Voraussetzungen des Art. 88 DSGVO dann einen selbstständigen Erlaubnistatbestand der Datenverarbeitung. Rechtsgrundlage der Datenverarbeitung ist dann also die jeweilige Kollektivvereinbarung.

      Gleich im nächsten Absatz dieses Blogbeitrages wird auf die Bedeutung des § 26 Abs. 4 BDSG näher eingegangen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.