Zum Inhalt springen Zur Navigation springen
Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?

Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?

Die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats, die seit jeher umstritten war, wollte der Gesetzgeber durch ein neues Gesetz eindeutig klären. Wie ist die Lage nach Inkrafttreten des Betriebsrätemodernisierungsgesetzes? Ob der Streit hinfällig ist oder es womöglich sogar neue Baustellen gibt, beleuchtet dieser Beitrag.

Eigene Verantwortlichkeit: Bisherige Rechtslage

Unter Anwendung des bis zum 25. Mai 2018 gültigen BDSG ist das Bundesarbeitsgericht in ständiger Rechtsprechung davon ausgegangen, dass der Betriebsrat als Teil der verantwortlichen Stelle (des Unternehmens) anzusehen sei. Diese vom Großteil der Literatur getragene Meinung wurde damit begründet, dass nach altem BDSG nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein konnten (§ 2 Abs. 4 BDSG a.F.; § 3 Abs. 7 BDSG a.F.).

Die Datenschutz-Grundverordnung hingegen definiert den Verantwortlichen in Art. 4 Nr. 7 DSGVO als

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Eine Beschränkung auf bestimmte Stellen findet sich in der Datenschutz-Grundverordnung demnach nicht mehr, wobei die Verarbeitung durch natürliche Personen zu rein persönlichen oder familiären Zwecken über den sachlichen Anwendungsbereich ausgenommen wird (Art. 2 Abs. 2 lit. c DSGVO).

Maßgeblich ist also nur noch, wer über die Mittel und Zwecke der Verarbeitung bestimmt. Aus der sich aus dem Betriebsverfassungsgesetz ergebenden Unabhängigkeit des Betriebsrats ließ sich ableiten, dass der Betriebsrat nur selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen könne. Aus dieser Eigenverantwortlichkeit folge die eigene Pflicht des Betriebsrats für die Einhaltung der Datenschutzvorschriften zu sorgen.

Das Bundesarbeitsgericht hat dabei in einem Urteil sogar die Kontrollmöglichkeit der Einhaltung der Datenschutzvorschriften durch den Datenschutzbeauftragten des Unternehmens verneint, da dieser als verlängerter Arm des Unternehmens anzusehen sei.

Betriebsrätemodernisierungsgesetz: Ändert sich etwas an der Verantwortlichkeit vom Betriebsrat?

Mit dem Betriebsrätemodernisierungsgesetz soll nun unter anderem die Gründung von Betriebsräten erleichtert und der Schutz der daran beteiligten Arbeitnehmer gestärkt werden. Darüber hinaus soll

  • der Betriebsrat stärkere Mitbestimmungsrechte beim Einsatz künstlicher Intelligenz bekommen,
  • die Ausgestaltung mobiler Arbeit in den Betrieben soll gestärkt
  • und die Arbeit der Betriebsräte insgesamt erleichtert werden.

Unter Zielsetzung des letzten Punktes fällt auch der neu geschaffene § 79a BetrVG.

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“

Keine Verantwortlichkeit für Betriebsrat – Neue Baustellen für Arbeitgeber

Damit hat der Gesetzgeber also festgelegt, dass der Betriebsrat kein eigener Verantwortlicher im Sinne der DSGVO ist. Ist der Streit über die Verantwortlichkeit des Betriebsrats damit also beendet? Im Gesetz heißt es immerhin ausdrücklich, dass für Datenverarbeitungen des Betriebsrats der Arbeitgeber der Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften ist. Doch der Regelung § 79a BetrVG begegneten schon während des Gesetzgebungsverfahrens einige Bedenken. Es wird etwa angemerkt, dass die Regelung die datenschutzrechtliche Verantwortlichkeit strikt festlegt, obwohl es sich im Datenschutzrecht eigentlich verbietet, die Verantwortlichkeit formalistisch einzuordnen. In der DSGVO kommt es hierfür grundsätzlich allein darauf an, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Der Betriebsrat entscheidet zudem innerhalb seiner Zuständigkeit vollkommen frei. Die Verarbeitung von Beschäftigtendaten durch den Betriebsrat erfolgt weder im Namen des Arbeitgebers, noch liegt es in seinem Interesse (sie dient vielmehr der Wahrnehmung von Beteiligungsrechten) und vor allem darf der Arbeitgeber dem Betriebsrat keine Weisungen erteilen. Nach der neuen Regelung haftet der Arbeitgeber aber für den Betriebsrat, obwohl er selbst kaum Einflussmöglichkeiten auf dessen Datenverarbeitungen und damit auch auf eventuelle Datenschutzverstöße bzw. deren Vermeidung hat. Der Arbeitgeber kann den Betriebsrat nicht anweisen bestimmte Datenverarbeitungen vorzunehmen oder zu unterlassen.

Haftung für Arbeitgeber, trotz fehlendem Einfluss…

Müsste der Arbeitgeber z.B. Auskunfts- oder Löschansprüchen erfüllen, die sich auf vom Betriebsrat verarbeitete Daten beziehen und verweigert dieser dann seine Mithilfe, würde dennoch der Arbeitgeber für den Verstoß gegen die Betroffenenrechte haften. Denn die fehlende Mithilfe des Betriebsrats kann er im Außenverhältnis nicht als Ausnahme vom Recht auf Auskunft oder Löschung geltend machen. Zwar schreibt die Norm bei Einhaltung der datenschutzrechtlichen Vorschriften eine gegenseitige Unterstützungspflicht vor, deren Reichweite ist jedoch unbestimmt. Zudem steht dieser laut Gesetzesbegründung die Verpflichtung des Betriebsrat gegenüber, innerhalb seines Zuständigkeitsbereichs die Umsetzung technischer und organisatorischer Maßnahmen im Sinne der Artikel 24 und 32 DSGVO selber sicherzustellen. Dabei handelt es sich um Pflichten, die dem Gesetzeswortlaut nach ausschließlich den Verantwortlichen treffen.

Auch werden Betroffene unter Umständen der Möglichkeit beraubt, ihre Rechte gegenüber der Stelle geltend zu machen, die faktisch den größten Einfluss auf die Datenverarbeitung ausübt. Hieraus wird deutlich, dass die neue Regelung die Angelegenheit nicht wie gehofft vereinfacht und den Streit vollumfänglich beendet. Es muss daher abgewartet werden wie die Aufsichtsbehörden diesbezüglich vorgehen werden und wie die Rechtsprechung die genannten Probleme angehen wird.

Ist die Norm EU-rechtswidrig?

Es gibt auch Stimmen in der Literatur, die den § 79a BetrVG gar für unionsrechtswidrig und damit unanwendbar halten. Maßgeblich soll damit allein Art. 4 Nr. 7 DSGVO sein. Es fehle an der erforderlichen Öffnungsklausel. Das Gesetz stützt sich auf Art. 4 Nr. 7 DSGVO als Öffnungsklausel, jedoch seien dessen Voraussetzungen gar nicht erfüllt. Dieser erfordert nämlich, dass die Zwecke und Mittel der Datenverarbeitung entweder ausdrücklich gesetzlich festgelegt sind oder sich zumindest aus der dem Verantwortlichen übertragenen Aufgabe ergeben. Vorliegend fehle es jedoch an beidem und keine Vorschrift des BDSG oder BetrVG genüge den Anforderungen von Art. 4 Nr. 7 DSGVO. Auch Art. 88 DSGVO sei als Öffnungsklausel ungeeignet. Dieser lässt nur nationale Regelungen zu, welche materielle Voraussetzungen und Grenzen einer Datenverarbeitung im Beschäftigungskontext regeln. Haftungsfragen und Fragen der Verantwortlichkeit seien in Art. 82, 83 DSGVO abschließend bestimmt. Es fehle außerdem an der geforderten

„geeignete und besonderen Maßnahme zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“,

da der Arbeitgeber für die Datenverarbeitung im Betriebsratsbüro die Rolle des Verantwortlichen einnimmt, ihm aber die Befugnisse fehlen, seinen Verpflichtungen nachzukommen. Auch hier wird man abwarten müssen, wie die Rechtsprechung vorgehen wird.

Was kann ich als Unternehmen tun?

Trotz oder gerade wegen der Probleme der aktuellen Regelung können und sollten der Betriebsrat und das Unternehmen Maßnahmen treffen, um das Risiko eines Bußgeldes zu minimieren und Unklarheiten auszuräumen:

  • Regeln Sie zwischen Betriebsrat und Unternehmen eindeutig die Überlassung der IT-Systeme und der Nutzung dieser (soweit im Rahmen des BetrVG möglich).
  • Regeln Sie die datenschutzrechtliche Einordnung als Teil des Verantwortlichen (des Unternehmens) in einer Betriebsvereinbarung. Mit einer solchen können nämlich gem. Art. 88 Abs. 1 DSGVO spezifischere Vorschriften zum Datenschutz geschaffen werden Hiermit könnten etwa Verantwortungsbereiche festgelegt, Prozesse für Melde- und Informationswege etabliert und Pflichten konkretisiert werden.
  • Fordern Sie die Unterstützung des Betriebsrats bei der Erfüllung ihrer Pflichten als datenschutzrechtlich Verantwortlicher ein und dokumentieren Sie das entsprechend.
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • „Beratungskompetenz des DSB nutzen“. Wie soll das denn gehen?
    Unterstellt, man geht tatsächlich einmal davon aus, dass der BR eine eigene und damit andere verantwortliche Stelle ist, wo bitte ist dann der Bestellungsakt für den DSB? Wo nimmt der nicht bestellte DSB die Befugnis her, rechtsberatend tätig zu werden? Das RDG behält die Rechtsberatung eindeutig den Anwälten vor; die Ausnahmen des § 5 RDG liegen nicht vor. Und selbst wenn ein Anwalt tätig würde, geht die gleichzeitige Beratung zweier Parteien, die quasi bestimmungsgemäß Gegenpole bilden, schon deutlich in die Richtung Prävarikation.
    Last, not least, wer haftet denn dann? Der DSB wird in dem Moment dann als externer DSB ohne Haftungsvergünstigungen tätig.
    Dem hier gegeneben Rat blind zu folgen, kann böse ins Auge gehen!

  • Frage: Können sich Verantwortliche und der Betriebsrat von demselben (externen) Datenschutzbeauftragten beraten lassen (Interessenskonflikt nach Art. 38, 6 DSGVO?)?

    • Diese Frage ist m. E. Gegenstand der Diskussion, ob der Betriebsrat eigener Verantwortlicher oder nur Teil der verantwortlichen Stelle ist. Letzterenfalls sehen z.B. Wybitul und Kranig dann keine Probleme einen gemeinsamen DSB zu benennen, wenn dadurch nicht die Rechte des Betriebsrates ausgehebelt werden. Zur Vertiefung sei das Interview mit den Vorgenannten in ZD 2019, 1 ff. empfohlen.

  • Die Argumentation zu der Frage, ob Betriebsräte über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden ist reichlich irritierend. Ja, Betriebsräte nutzen die IKT, die ihnen durch das Unternehmen bereitgestellt wird/werden muss. Aber entscheidend ist doch, dass Betriebsräte zwar das Recht haben, durch die Unternehmen, zu denen sie gehören, IKT zur Verfügung gestellt zu bekommen und betriebliche IKT zu verwenden, aber keineswegs verpflichtet sind, betriebliche IKT zu nutzen. Die Entscheidung, die bereitgestellten betrieblichen Mittel zu verwenden ist natürlich naheliegend, aber diese Entscheidung treffen Betriebsräte selbst (Betriebsräte könnten durchaus entscheiden, die betriebliche IKT nicht zu nutzen). Aus der verbreiteten Praxis der Nutzung betrieblicher IKT durch Betriebsräte zu schließen, Betriebsräten wäre die selbständige Entscheidung über die Mittel der Datenverarbeitung verwehrt, geht fehl.

    Auch das Argument, das BetrVG schreibe dem Betriebsrat die Zwecke der Datenverarbeitung vor und daher könne ein Betriebsrat auch über diese nicht selbst entscheiden, scheint mir in seiner Auswirkung, würde es allgemein anerkannt, nicht zu Ende gedacht. Denn liest man das BetrVG als Vorgabe für die Zweckbestimmung der Verarbeitung personenbezogener Daten, dann müsste das genauso für die Sozialgesetzbücher gelten, in denen die Verarbeitungen von Sozialdaten teilweise deutlich konkreter bestimmt sind als Verarbeitungen von Beschäftigtendaten im BetrVG. Demnach könnten alle, die Sozialdaten gemäß den SGB verarbeiten, keine Verantwortlichen im Sinne der DSGVO sein. Arbeitgeber, die Beschäftigtendaten vor allem auf Grundlage der Sozial- und Arbeitsrechtssätze verarbeiten, wären für diese zu gesetzlich fixierten Zwecken vorgenommenen Verarbeitungen keine Verantwortlichen. Und auch Behörden, die ja in der Regel personenbezogene Daten auf Grundlage gesetzlicher Vorgaben verarbeiten, könnten gemäß dieser Argumentation keine Verantwortlichen im Sinne der DSGVO sein.

    Doch das Gegenteil ist richtig, denn aus dem Wortlaut in Art. 6 Abs. 1 lit. c) DSGVO geht klar hervor, dass diejenigen, die aufgrund gesetzlicher Regelungen personenbezogene Daten verarbeiten, Verantwortliche sind. Das BetrVG (genau wie die SGB und zahlreiche weitere Gesetze) enthält Erlaubnistatbestände gemäß Art. 6 Abs. 1 lit. c) DSGVO (nicht mehr und nicht weniger) und diejenigen, die aufgrund der Erlaubnistatbestände personenbezogene Daten verarbeiten, sind Verantwortliche. Das gilt auch für Betriebsräte, die deshalb unter der DSGVO datenschutzrechtlich eine andere Rolle innehaben als unter BDSG a.F.; daran ändert auch der Umstand nichts, dass es für die Aufsichtsbehörden Sanktionierungsschwierigkeiten bei Datenschutzverstößen durch Betriebsräte geben kann, sofern nicht einzelne Betriebsratsmitglieder für einen zu ahndenden Verstoß verantwortlich gemacht werden können.

  • Hallo Dr. Datenschutz

    Wir haben von unserer Geschäftsleitung die Vorgabe bekommen unsere BR Daten vom Firmen Server Auszulagern.
    Welche Möglichkeiten gibts es für uns BR diese Daten nach DSGVO und BetrVG sicher Intern oder Extern zu speichern ohne gegen den Datenschutzrecht zu verstoßen.

    Danke

    Mit freundlichen Grüßen
    BR

    • Ihre Frage ist sehr allgemein und umfasst eine Vielzahl von Detailfragen im Datenschutz- und Arbeitsrecht. Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Es sind uns nur allgemeine Hinweise möglich:

      Wenn Sie Daten extern bei einem Dienstleister speichern wollen, gibt Ihnen unser Artikel „Auswahl neuer Auftragsverarbeiter – Was gilt es zu beachten?“ einen Überblick über Erwägungen, die dabei angestellt werden sollten.

      Bei einer internen Speicherung auf einem eigenen System, muss darauf geachtet werden, dass diese die Vorgaben an die Datensicherheit erfüllt. Hierzu gibt es allgemeine Handreichungen der Aufsichtsbehörden.

      Logischerweise müssen bei jeder Verarbeitung (Erheben, Speichern, Auslesen, Abfragen, etc.) von personenbezogenen Daten durch den externen Dienstleister oder dem internen System die Vorgaben der Datenschutz-Grundverordnung beachtet werden.

      Zudem interpretiere ich in Ihre Fragen unter diesem Thema einfach hinein, dass es Spannungen in dem Verhältnis mit dem Arbeitgeber gibt. Daher möchte ich Sie auch noch auf den im Artikel verlinkten Beitrag des Kollegen Wybitul und insbesondere seine Ausführung verweisen, dass auch für den Arbeitgeber die Einordnung des Betriebsrats als Verantwortliche Stelle nicht gerade lustig ist. Daher liegt es grundsätzlich im Interesse beider Parteien bei dieser Thematik zu einer sinnvollen Lösung zu kommen, wenn es sein muss auch unter zu Zuhilfenahme von Expertise eines Dritten (Rechtsanwalt, Berater).

  • Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
    Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.