Seit dem Inkrafttreten der DSGVO ist umstritten, ob der Betriebsrat als Verantwortlicher im Sinne des Datenschutzes gilt oder ob allein der Arbeitgeber Verantwortlicher sein kann. Mit dem Betriebsrätemodernisierungsgesetz, welches unter anderem den § 79a BetrVG schuf, sollte dieser Streit beendet werden. Leider hat die neue Norm nur mehr Fragen und Unklarheit hervorgerufen.
Der Inhalt im Überblick
- Die Rechtslage vor der DSGVO
- Die Norm, die den Streit beenden sollte: § 79a BetrVG
- Keine echte Lösung
- Ein Problem nicht gelöst, dafür umso mehr geschaffen
- Die Rolle des Datenschutzbeauftragten
- Die Frage der Haftung
- Die Möglichkeiten von Arbeitgeber und Betriebsrat
- § 79a BetrVG verursacht mehr Probleme, als das er sie löst
Die Rechtslage vor der DSGVO
Vor Inkrafttreten der DSGVO im Mai 2018 galt laut ständiger Rechtsprechung des Bundesarbeitsgerichts der Betriebsrat als Teil der verantwortlichen Stelle und er war nicht selbst Verantwortlicher. Nach altem BDSG konnten nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein. Da nach der damals vertretenen Rechtsauffassung der Betriebsrat nicht rechtsfähig war, konnten keine aufsichtsbehördlichen Maßnahmen gegen ihn verhängt werden. Als „Teil der verantwortlichen Stelle“ war er jedoch zumindest verpflichtet, Daten innerhalb seines Zuständigkeitsbereichs angemessen zu schützen.
Seit Inkrafttreten der DSGVO ist es nunmehr höchst umstritten, ob der Betriebsrat selbst Verantwortlicher im datenschutzrechtlichen Sinn ist oder nicht. Über die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats hatten wir in der Vergangenheit bereits berichtet.
Die Norm, die den Streit beenden sollte: § 79a BetrVG
Mit dem Betriebsrätemodernisierungsgesetz sollte unter anderem die Gründung von Betriebsräten erleichtert und der Schutz der daran beteiligten Arbeitnehmer gestärkt werden. Darüber hinaus sollte der Betriebsrat stärkere Mitbestimmungsrechte beim Einsatz Künstlicher Intelligenz bekommen, die Ausgestaltung mobiler Arbeit in den Betrieben sollte gestärkt und die Arbeit der Betriebsräte insgesamt erleichtert werden. Unter die Zielsetzung des letzten Punktes fällt auch der neu geschaffene § 79a BetrVG. Dieser sollte den oben erwähnten Streit über die Verantwortlichkeit des Betriebsrats beenden.
Die Regelung lautet:
„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.
Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.
Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“
Zunächst einmal darf hier schon hinterfragt werden, ob es wirklich nötig war klarzustellen, dass auch der Betriebsrat und seine Mitglieder an die Vorgaben des Datenschutzrechts gebunden sind. Eine solche Verpflichtung konnte schon durch eine unionsrechtliche Auslegung des § 75 Abs. 2 BetrGV hergeleitet werden. Auch das BAG hatte bereits einmal entschieden, dass Betriebsräte das Datenschutzrecht einzuhalten haben.
Ist abgesehen davon der Streit über die Verantwortlichkeit des Betriebsrats damit hinfällig? Im Gesetz heißt es immerhin ausdrücklich, dass für Datenverarbeitungen des Betriebsrats der Arbeitgeber der Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften ist. Mit § 79a BetrVG hat man aber leider der Hydra den Kopf abgeschlagen: anstatt ein Problem zu lösen, hat man mit dieser Regelung nur noch mehr geschaffen.
Keine echte Lösung
Zunächst einmal verursacht es schon Bedenken, dass die Regelung die datenschutzrechtliche Verantwortlichkeit strikt festlegt. Denn eigentlich verbietet sich im Datenschutzrecht eine formalistische Betrachtung der Einordnung von Verantwortlichkeit. Ob nun der Betriebsrat nur nach innen oder nach außen auftritt, ist dabei unerheblich. In der DSGVO kommt es allein darauf an, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet.
Der Betriebsrat ist zwar ein institutionell unselbstständiger Teil des Arbeitgebers, er entscheidet innerhalb seiner Zuständigkeit jedoch vollkommen frei. Die Verarbeitung von Beschäftigtendaten durch den Betriebsrat erfolgt weder im Namen des Arbeitgebers, noch liegt es in seinem Interesse (sie dient vielmehr der Wahrnehmung von Beteiligungsrechten) und vor allem darf der Arbeitgeber dem Betriebsrat keine Weisungen erteilen. Dadurch ergibt sich mit der neuen Regelung die Situation, dass der Arbeitgeber für den Betriebsrat zwar haftet aber hilflos dabei zusehen muss, wie der Betriebsrat Verstöße begeht, ohne dass er über eine effektive Handlungsmöglichkeit verfügt. Als Verantwortlicher müsste der Arbeitgeber den Betriebsrat anweisen können, bestimmte Datenverarbeitungen vorzunehmen oder zu unterlassen, um seine Rolle als Verantwortlicher auszufüllen. Dem steht jedoch die betriebsverfassungsrechtliche Unabhängigkeit des Betriebsrats entgegen. Der Arbeitgeber hat am Ende trotz bußgeldbewährter Verantwortlichkeit, keine uneingeschränkte Kontrollmöglichkeit. Damit ist er einem unkalkulierbaren Risiko ausgesetzt.
Denkbar ist etwa das Szenario, dass sich der Arbeitgeber Auskunfts- oder Löschansprüchen ausgesetzt sieht, die sich auf vom Betriebsrat verarbeitete Daten beziehen. Verweigert der Betriebsrat seine Mithilfe, wäre der Arbeitgeber Schadenersatzansprüchen Betroffener gem. Art. 82 DSGVO ausgesetzt und könnte diesen eine fehlende Mithilfe des Betriebsrats nicht entgegenhalten. Hier zeigt sich, dass die Regelung die betriebsverfassungsrechtlichen Strukturen fast vollkommen ignoriert.
Laut der Gesetzesbegründung muss der Betriebsrat zudem in seinem Zuständigkeitsbereich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO sicherstellen. Das ist insoweit schon seltsam, als dass die dort geregelten Pflichten ausdrücklich den Verantwortlichen und den Auftragsverarbeiter adressieren, den ja auch die Kosten der Implementierung sowie die Pflicht zur Ausstattung mit Sachmitteln treffen.
Ein Problem nicht gelöst, dafür umso mehr geschaffen
§ 79a BetrVG enthält gegenseitige Unterstützungspflichten für den Arbeitgeber und den Betriebsrat. Der Betriebsrat könnte demnach zum Beispiel verpflichtet sein, bei der Erstellung eines Verarbeitungsverzeichnisses, bei der Erfüllung von Informationspflichten und Betroffenenrechten, bei Datenschutzvorfällen und Fragen der Datensicherheit zu unterstützen. Hierzu müsste er dem Arbeitgeber jedoch seine eigenen Datenverarbeitungen vollständig offenlegen oder über eigene Fehler berichten. Durch die damit auftretende Transparenz würde die Freiheit der Arbeit des Betriebsarbeit erheblich gefährdet. Im Betriebsrat werden bekanntlich auch Daten verarbeitet, an denen der Betriebsrat, besonders gegenüber dem Arbeitgeber, ein Geheimhaltungsinteresse hat. Der Arbeitgeber soll zum Beispiel keine Kenntnis davon erlangen, wenn der Betriebsrat einer Kündigung widersprechen möchte oder wenn er personenbezogene Daten speichert, um die Einhaltung von Gesetzen im Betrieb zu überwachen.
Darüber hinaus fehlt es der Regelung an einer Konkretisierung, gerade im Hinblick auf die Konsequenzen, wenn das Kooperationsgebot nicht befolgt wird. Es ist hier vollkommen offen, wie weit die Unterstützungspflichten reichen sollen und welche Folgen ein Verstoß hätte, gerade in den Fällen, in denen wegen fehlender Unterstützung ein Bußgeld droht.
Einige Autoren halten die Regelung des § 79a BetrVG sogar für unionsrechtswidrig, da es für das Gesetz keine Öffnungsklausel gebe. Das Gesetz stützt sich auf Art. 4 Nr. 7 DSGVO als Öffnungsklausel. Dieser erfordert jedoch, dass die Zwecke und Mittel der Datenverarbeitung entweder ausdrücklich gesetzlich festgelegt sind oder sich zumindest aus der dem Verantwortlichen übertragenen Aufgabe ergeben. Vorliegend fehle es jedoch an beidem und keine Vorschrift des BDSG oder BetrVG genüge den Anforderungen von Art. 4 Nr. 7 DSGVO. Andere ziehen Art. 88 DSGVO als Öffnungsklausel heran. Dieser lässt nur nationale Regelungen zu, welche materielle Voraussetzungen und Grenzen einer Datenverarbeitung im Beschäftigungskontext regeln. Haftungsfragen und Fragen der Verantwortlichkeit seien jedoch in Art. 82, 83 DSGVO abschließend bestimmt. Darüber hinaus fehle es an den in Art. 88 Abs. 2 DSGVO geforderten „angemessenen und besonderen Maßnahme zur Wahrung der menschlichen Würde, der berechtigten Interesse und der Grundrechte der betroffenen Person“, so dass auch die Anforderungen dieser Öffnungsklausel nicht erfüllt seien.
Die Rolle des Datenschutzbeauftragten
Ein weiterer problematischer Punkt ist die Rolle des Datenschutzbeauftragten. Eigentlich sollte nach bisheriger Rechtsprechung eine Kontrolle des Betriebsrats durch den Datenschutzbeauftragten unzulässig sein, da der Datenschutzbeauftragte dem Lager des Arbeitgebers zuzuordnen ist. Nun stellt § 79a BetrVG allerdings klar, dass der Betriebsrat Teil der verantwortlichen Stelle ist. Damit wäre der betriebliche Datenschutzbeauftragte auch für die Überwachung des Betriebsrats zuständig (Art. 39 Abs. 1 lit. b DSGVO). Er kann damit die Datenverarbeitungen und deren Dokumentation im Betriebsrat prüfen und Einblicke in vertrauliche Inhalte der Entscheidungsfindung bekommen. Die damit einhergehende Gefahr für die Unabhängigkeit des Betriebsrats sollte durch die in § 79a BetrVG enthaltene Verschwiegenheitsverpflichtung des Datenschutzbeauftragten gebannt werden. In der Praxis dürfte diese Verschwiegenheitsverpflichtung allerdings erhebliche Probleme aufwerfen.
Der Datenschutzbeauftragte darf demnach keine Informationen teilen, die „Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen“. Es ist jedoch kaum nachvollziehbar, wie der Datenschutzbeauftragte hier genau solche Informationen vernünftig herausfiltern und von anderen Informationen trennen soll, ohne dass seine Arbeit beeinträchtigt wird. Diese Situation ließe sich wohl nur vermeiden, wenn der Betriebsrat selbst Verantwortlicher wäre und damit einen eigenen Datenschutzbeauftragten benennen könnte.
Die Frage der Haftung
Nach dem § 79a S. 2 BetrGV soll im Außenverhältnis stets der Arbeitgeber haften, da der Betriebsrat eine unternehmensinterne Stelle ist. Es wäre allerdings eine Innenhaftung nach den Grundsätzen des „innerbetrieblichen Schadensausgleichs“ denkbar. Eine Haftungsprivilegierung von Betriebsratsmitgliedern gibt es grundsätzlich nicht (BGH, Urteil vom 25.10.2012, Az: III ZR 266/11 – Rn.45).
Kommt es zu einem Datenschutzverstoß außerhalb der Zuständigkeit des Betriebsrats, wäre der Arbeitgeber hingegen nicht verantwortlich. Das folgt aus Art. 82 Abs. 3 bzw. 28 Abs. 10 DSGVO. Zwar kann der Betriebsrat mangels Rechtspersönlichkeit nicht unmittelbar haften, allerdings ist eine persönliche Haftung von Betriebsratsmitgliedern möglich. Voraussetzung ist, dass diese auf Grund eines eigenen Entschlusses oder eines Betriebsratsbeschlusses außerhalb des Wirkungskreises des Betriebsrats tätig werden.
Stimmen, die die Regelung für unionsrechtswidrig halten, vertreten zudem die Ansicht, dass der Arbeitgeber überhaupt nicht für das datenschutzrechtliche Fehlverhalten des Betriebsrats haftet und man sich direkt an die Mitglieder des Betriebsrats als natürliche Personen halten könne.
Die Möglichkeiten von Arbeitgeber und Betriebsrat
Aufgrund der durch das Gesetz geschaffenen Unklarheiten, empfiehlt es sich, dass die betroffenen Parteien möglichst umfassende Regelungen selbst treffen. So kann sich der Betriebsrat intern durch seine Geschäftsordnung organisieren und der Arbeitgeber kann etwa die Bedingungen für die IT-Nutzung einmal faktisch und auch rechtlich bestimmen.
Ein Großteil der Themen muss jedoch gemeinschaftlich geregelt werden. Hier sollte unbedingt eine Betriebsvereinbarung über den Datenschutz beim Betriebsrat abgeschlossen werden, worin Verantwortungsbereiche festgelegt, Prozesse etabliert (z.B. für Melde- und Informationswege) und Pflichten konkretisiert werden, um die durch § 79a BetrVG geschaffenen Probleme zu lösen.
§ 79a BetrVG verursacht mehr Probleme, als das er sie löst
Abschließend dürfte die Regelung des § 79a BetrVG weder Arbeitgeber, wegen der drohenden Haftung, noch Betriebsräte, wegen etwaiger Offenlegungspflichten, sonderlich erfreut haben. Eine anvisierte Rechtssicherheit wurde durch die Norm kaum erreicht, da die dort getätigte Klarstellung betriebsverfassungsrechtliche Grundsätze nicht ausreichend berücksichtigt. Dies haben zwar bereits im Gesetzgebungsverfahren diverse Stellungnahmen, unter anderem der GDD, kritisiert, letztlich jedoch ohne großen Erfolg.
Wenn der Betriebsrat aufgrund seiner Weisungsfreiheit Verantwortlicher sein soll, dann stellt sich aber auch die Frage, ob nicht auch der betriebliche Datenschutzbeauftragter als Verantwortlicher einzustufen ist. Schließlich ist er ebenfalls weisungsunabhängig und wird auch personenbezogene Daten – z. B. Hinweise auf Datenschutzverstöße durch die Geschäftsführung – verarbeiten, von denen der Arbeitgeber keine Kenntnis erlangen soll. Mit der Argumentation wird man wahrscheinlich auch andere interne Stellen als Verantwortliche einstufen müssen. Es stellt sich auch die Frage, wie die Stellung als Verantwortlicher in der Praxis umgesetzt werden soll: Dürfte der Betriebsrat die IT des Arbeitgebers nutzen und müsste er ggf. Auftragsverarbeitungsverträge abschließen (obwohl er gar nicht rechtsfähig ist)?
Die Weisungsfreiheit des Betriebsrats führt nur zu den im Artikel beschriebenen Problemen (z.B. Haftung des Arbeitgebers ohne Kontrollmöglichkeit) und hat per Se erst einmal nichts mit der datenschutzrechtlichen Verantwortlichkeit zu tun. Stimmen, die für eine Verantwortlichkeit des Betriebsrats plädieren, stellen nicht auf die Weisungsfreiheit ab, sondern verweisen darauf, dass der Betriebsrat über Zwecke und Mittel der Datenverarbeitung bestimmt (vgl. Art. 7 Nr. 4 DSGVO). Zudem ist der Betriebsrat der betriebsverfassungsrechtliche „Gegenspieler“ des Arbeitgebers. Auf den Datenschutzbeauftragten trifft das nicht zu. Dieser prüft lediglich die Datenverarbeitungen der verantwortlichen Stelle und legt nicht selbst Zwecke und Mittel der Datenverarbeitung fest.
Anderen Stellen innerhalb von Unternehmen wird der Arbeitgeber regelmäßig Weisungen erteilen können.
In der Tat wirft die praktische Umsetzung einer Verantwortlichkeit des Betriebsrats einige Probleme auf. Hier gab es zum Beispiel in der Literatur den Vorschlag, dem Betriebsrat einen vom restlichen Firmennetzwerk „entkoppelten“ PC zur Verfügung zu stellen. Auftragsverarbeitungsverträge müssen jedoch nicht abgeschlossen werden, da der Betriebsrat, wäre er selbst Verantwortlicher, Daten nicht im Auftrag des Arbeitgebers, sondern zu eigenen Zwecken verarbeiten würde. Eine ausführliche Rechtsberatung hierzu, können wir hier in diesem Rahmen leider nicht anbieten.
Ich stimme in viele Bereichen dem Artikel nicht zu. Die Ausführungen rücken die/den betriebliche/n Datenschutzbeauftragte/n (bDSB) in die Rolle des Erfüllungsgehilfen des Arbeitgebers bzw. des Verantwortlichen. Das ist die/der bDSB schon qua Definition nicht. Weiterhin, wenn die/der bDSB ihre/seine Aufgabe entsprechend des gesetzlichen Auftrages wahrnimmt schließe das viele der dargestellten Konfliktsituationen aus. Auch werden im Artikel inhaltliche Aufgeben des Betriebsrates mit formalen datenschutzrechlichten Rechten und Pflichten vermischt. Die dadurch heraufbeschworenen Konfliktsituation würde bei entsprechender Trennung ebenfalls nicht auftreten. Meiner Meinung nach ließen sich auf Basis eines entsprechend ausgestalteten DSMS, was eben nicht nur Technik sondern vor allem Organisation und Prozesse umfasst, die Herausforderungen des Betriebsrätemodernisierungsgesetzes durchaus umsetzen.