• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • ArbeitsRecht Kurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Auf die Plätze! Fertig! Urlaub! – FAQ zum Urlaubsrecht (Teil 2)
    Quelle : Vangard 29.06.2022 - 10:14 Von Svenja Gaida, Kim Kleinert
  • Faktoren eines nachhaltigen Human Resources Managements (Teil I)
    Quelle : Küttner Feed 29.06.2022 - 09:00
  • Whistleblowing: Vorwürfe gegen die Geschäftsführung
    Quelle : KLIEMT.blog 29.06.2022 - 08:08 Von Dr. Jan Heuer
  • Auf die Plätze! Fertig! Urlaub! – FAQ zum Urlaubsrecht (Teil 1)
    Quelle : Vangard 28.06.2022 - 11:28 Von Svenja Gaida, Kim Kleinert
  • Wann verjähren Ansprüche auf Urlaubsabgeltung?
    Quelle : KLIEMT.blog 28.06.2022 - 08:00 Von Martin Wörle
  • Urlaub ohne Ende? Acht To Dos für Arbeitgeber beim Thema Vertrauensurlaub.
    Quelle : Buse 28.06.2022 - 08:00 Von Dr. Julia Bruck
  • Immer noch: Örtlich zuständige Arbeitsagentur (Air Berlin)
    Quelle : Beck-Blog 28.06.2022 - 06:00 Von Christian.Rolfs
  • Augen auf beim Abschluss von Betriebsvereinbarungen
    Quelle : KLIEMT.blog 27.06.2022 - 08:00 Von Dr. Jan L. Teusch 
  • BAG: Keine wirksame BV bei fehlendem Betriebsratsbeschluss
    Quelle : Beck-Blog 27.06.2022 - 06:00 Von Christian.Rolfs
  • Update: Gesetzliche Neuregelungen zur Anpassung von Arbeitsverträgen unverändert beschlossen
    Quelle : Vangard 24.06.2022 - 10:35 Von Christoph Kaul
  • Update: Gesetzliche Neuregelungen zur Anpassung von Arbeitsverträgen unverändert beschlossen
    Quelle : Vangard 24.06.2022 - 10:35 Von Christoph Kaul
  • Employers ‘of record’ – Are they allowed? What are the risks?
    Quelle : KLIEMT.blog 24.06.2022 - 08:00 Von Ius Laboris
  • Neufassung des Nachweisgesetzes: Handlungsbedarf bei Muster-Arbeitsverträgen ab dem 01.08.2022
    Quelle : Esche 24.06.2022 - 00:00
  • Bundestag verabschiedet Gesetz zur Änderung des Nachweisgesetzes – was Unternehmen jetzt beachten müssen
    Quelle : Küttner Feed 23.06.2022 - 19:57
  • Streik! Und jetzt? – Vier Tipps für Arbeitgeber zum Umgang mit Streikaufrufen
    Quelle : KLIEMT.blog 23.06.2022 - 08:04 Von Lena Fersch
  • Wer zu spät kommt ...
    Quelle : Beck-Blog 23.06.2022 - 06:00 Von Christian.Rolfs
  • Remote-Arbeit im Ausland
    Quelle : Esche 23.06.2022 - 00:00
  • Vertragsgestaltung im Arbeitsrecht – Einsatz von Freelancern im Rahmen moderner Arbeitsformen
    Quelle : Hogan Lovells 22.06.2022 - 15:28
  • Corporate Sustainability Reporting Directive (CSRD) – Die neue Nachhaltigkeitsberichtspflicht für Unternehmen
    Quelle : Küttner Feed 22.06.2022 - 10:36
  • Reformvorschlag zum DCGK: Unternehmensführung soll nachhaltiger werden
    Quelle : KLIEMT.blog 22.06.2022 - 08:00 Von Anabel Vogel

Betriebsrat selbst für Datenschutz verantwortlich: Sorgen Datenschutzbehörden bald für Paukenschlag?

  • 25. Juni 2018 |
  • Tim Wybitul

Verabschieden die Datenschutzbehörden bald einen Beschluss, nach dem ein Betriebsrats selbst für den Datenschutz verantwortlich ist? Folgen: viel Arbeit und Haftung für Betriebsräte, hohe Kosten für Arbeitgeber!

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Wahrscheinlich verabschieden die deutschen Datenschutzbehörden schon bald einen Beschluss, nach dem Betriebsräte selbst für den Datenschutz verantwortlich sind. Diese Entscheidung hätte erhebliche Folgen für die Praxis: viel Arbeit und Haftung für Betriebsräte, hohe Kosten für Arbeitgeber!

Denn Betriebsräte müssten dann bei den von ihnen verarbeiteten Daten selbst Maßnahmen zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) treffen. Sie müssten mit Bußgeldern von bis zu 20 Millionen Euro rechnen, wenn sie Daten unter Verstoß gegen die DSGVO verarbeiten. Zudem müssten Betriebsräte dann eigene DSGVO-Implementierungsprojekte durchführen, gegebenenfalls einen eigenen Datenschutzbeauftragten bestellen und in eigener Verantwortung Auskunftsanträge und andere Betroffenenrechte von Arbeitnehmern nach der DSGVO erfüllen. Und Arbeitgeber müssten die Kosten für die Umsetzung des neuen Datenschutzrechts durch den Betriebsrat tragen.

Der vorliegende Überblick zeigt, welche Gründe für und gegen eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats sprechen. Er beschreibt zudem, welche Folgen die Position der Datenschutzbehörden für die Praxis hat und wie Arbeitgeber und Betriebsräte mögliche daraus resultierende Risiken und Kosten vermeiden oder verringern können.

War der Betriebsrat bislang für seine Datenverarbeitungen verantwortlich?

In seiner bisherigen Rechtsprechung hat das BAG den Betriebsrat als stets Teil des Arbeitgebers als datenschutzrechtlich verantwortlichen Stelle gesehen; BAG v. 7.2.2012- 1 ABR 46/10 .  Das hatte zur Folge, dass der Betriebsrat in Bezug auf durch ihn verarbeiteten Daten selbst keine datenschutzrechtlichen Strukturen schaffen musste, sondern der Arbeitgeber in der Regel für den Betriebsrat diese Anforderungen mit erfüllt hat. Mitarbeiter konnten also beispielsweise keine Auskunftsanträge an den Betriebsrat richten, sondern mussten sich hiermit an den Arbeitgeber wenden. Dennoch durfte der Datenschutzbeauftragte die Datenverarbeitung des Betriebsrats nach der Rechtsprechung nicht kontrollieren, weil der Datenschutzbeauftragte nach Auffassung der Richter „als verlängerter Arm“ des Arbeitgebers handelte, vgl. BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97.

Anzeige

 

Datenschutzbehörden: Betriebsrat selbst für Datenschutz verantwortlich ?

Am 25. Mai 2018 sind die DSGVO und das am 30. Juni 2017 neu gefasste BDSG (BDSG n.F.) in Kraft getreten. Beide Regelungen verpflichten zunächst den für eine Datenverarbeitung „Verantwortlichen“, also beispielsweise ein Daten verarbeitendes Unternehmen. Immer mehr Aufsichtsbehörden für den Datenschutz neigen nun zu der Auffassung, dass der Betriebsrat nach der DSGVO ein datenschutzrechtlich eigener Verantwortlicher, also Normadressat der DSGVO des BDSG n.F. sein soll. Dem Vernehmen nach soll die Konferenz der Datenschutzbeauftragten des Bundes und der Länder genau das in den nächsten Tagen beschließen.

Wer für die Einhaltung des Datenschutzes „Verantwortlicher“ sein soll, regelt Art. 4 Nr. 7 DSGVO. Danach ist ein Verantwortlicher eine Stelle, die alleine oder mit anderen „über die Mittel und Zwecke der Verarbeitung von personenbezogenen Daten entscheidet“. Richtigerweise entscheidet der Arbeitgeber in aller Regel gerade nicht darüber, wie der Betriebsrat personenbezogene Daten von Arbeitnehmern und von Dritten verarbeitet. Hieraus folgern die Datenschutzbehörden nun, dass der Betriebsrat eigener Verantwortlicher sein soll. Denn nach der bisherigen Rechtsprechung vor Geltung der DSGVO konnte der Betriebsrat im Rahmen der Erfüllung seiner betriebsverfassungsrechtlichen recht frei darüber bestimmen, wie er personenbezogene Daten verarbeitete (BAG, Beschl. v. 18.07.2012 – 7 ABR 23/11).

Folgen der Einordnung des Betriebsrats als Verantwortlicher: Löschkonzept und Co.

Die Positionierung der Datenschutzbehörden ist deshalb für die Praxis so wichtig, weil sie Betriebsräte und Arbeitgeber mit erheblichen Herausforderungen konfrontiert. Denn kaum ein Betriebsrat hat die DSGVO im Rahmen der Verarbeitung personenbezogener Daten für seine Betriebsratstätigkeit bislang umgesetzt.

Beispielsweise haben – wenn überhaupt – nur sehr wenige Betriebsräte Datenschutzinformationen nach Art. 13, 14 DSGVO an die von ihnen vertretenen Beschäftigten geschickt oder sonstige strukturelle Vorgaben der DSGVO umgesetzt. Hierfür müssen Betriebsräte beispielsweise die Zwecke ihrer jeweiligen Datenverarbeitungen nach Maßgabe von Art. 5 Abs. 1 lit. b DSGVO genau festlegen und Löschkonzepte (Art. 17 DSGVO) umsetzen. Sie müssen zudem in der Lage sein, Auskunftsansprüche (Art 15 DSGVO) betroffener Personen zu beantworten und ein Verarbeitungsverzeichnis (Art 30 DSGVO) führen. Und größere Betriebsräte mit zehn oder mehr Mitgliedern werden wohl einen Datenschutzbeauftragten für den Betriebsrat bestellen müssen. In Deutschland müssen Verantwortliche einen Datenschutzbeauftragten bestellen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, § 38 Abs. 1 Satz 1 BDSG n.F. .

Betriebsrat trifft volles Risiko – auch vor Gericht

Wenn man Betriebsräte als eigenständige Verantwortliche einordnet, müssen sie die DSGVO nicht nur umsetzen, sondern gegebenenfalls auch vor Gericht oder gegenüber Behörden in der Lage sein, dies auch zu beweisen. Auch Betriebsräten droht dann künftig das Risiko, Gerichtsverfahren zu verlieren, nur weil sie nicht beweisen können, dass sie die vielfältigen und umfassenden Vorgaben des neuen Datenschutzrechts richtig umgesetzt haben. Dies könnte den einen oder anderen mit der Arbeit des Betriebsrats gegebenenfalls etwas unzufriedenen Arbeitnehmer dazu bewegen, beim Betriebsrat Anträge auf Auskunft nach Art. 15 DSGVO, auf Löschung nach Art. 17 DSGVO zu stellen, Beschwerden bei den Datenschutzbehörden einzureichen oder gleich bei Gericht auf Unterlassung oder auf Schadensersatz zu klagen.

Drohen Betriebsräten künftig hohe Bußgelder und Schadensersatzansprüche?

Betriebsräte dürften wenig erfreut darüber sein, dass ihnen nun bis zu 20 Millionen Euro Bußgeld drohen, wenn sie die Vorgaben der DSGVO nicht oder nicht richtig umsetzen. Es steht zwar nicht zu erwarten, dass deutsche Aufsichtsbehörden gerade bei Datenschutzverstößen von Betriebsratsmitgliedern hart durchgreifen werden. Aber bei offensichtlichen oder wiederholten Verstößen wird den Behörden kaum etwas anderes übrig bleiben, als nach Bußgelder zu verhängen, die – wie in Art. 83 Abs. 1 DSGVO gefordert – „wirksam“ und „abschreckend“ sind.

Zudem bietet die DSGVO betroffenen Personen umfassende Möglichkeiten, Verantwortliche allein deshalb auf Schadensersatz zu verklagen, weil diese ihre personenbezogenen Daten nicht nach den Vorgaben der DSGVO verarbeiten. Als Verantwortliche im Sinne des Datenschutzrechts werden sich auch Betriebsräte künftig häufiger als Beklagte vor Gericht wiederfinden.

Was wären die Folgen der Positionierung der Datenschutzbehörden für Unternehmen?

Aber auch für Arbeitgeber wäre die Einordnung von Betriebsräten als Verantwortlich nicht gerade lustig. Denn viele Betriebsräte könnten nun vorschlagen, dass sie eigene DSGVO-Projekte anstoßen, sich externen Rechtsrat holen und interne oder sogar externe Datenschutzbeauftragte bestellen. Das alles würde Unternehmen eine Menge Geld kosten. Am Ende dieses Beitrages finden Arbeitgeber noch einige Tipps, um entsprechende Kosten zu verringern oder zu vermeiden.

Muss man den Betriebsrat wirklich als Verantwortlichen einordnen?

Nein, eigentlich nicht. Zur Erinnerung, Verantwortlicher ist, wer über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Das ist beim Betriebsrat gerade nicht der Fall. Denn anders als der Arbeitgeber kann der Betriebsrat letztlich nicht frei über seine Datenverarbeitungen und deren Zwecke entscheiden. Vielmehr sind die Zwecke der Datenverarbeitung durch Betriebsräte durch das Betriebsverfassungsgesetz geregelt. Auch über die Mittel der Datenverarbeitung kann der Betriebsrat nicht frei entscheiden. Vielmehr gibt hier normalerweise der Arbeitgeber die IT-Strukturen vor und der Betriebsrat kann sie mit nutzen, vgl. § 40 Abs. 2 BetrVG.

Müssen Gerichte der Auffassung der Datenschutzbehörden folgen?

Nein, Gerichte sind an die Meinungen und Positionen der Aufsichtsbehörden nicht gebunden. Oftmals orientieren sie sich bei ihren Entscheidungen aber an den Vorgaben der Datenschutzbehörden. Allerdings haben Arbeitsrichter in der Vergangenheit in Fragen des Datenschutzes auch regelmäßig andere Ansichten als die Behörden vertreten. Angesichts der guten Argumente, die gegen eine Einordnung von Betriebsräten als eigene datenschutzrechtlich Verantwortliche sprechen, ist es wahrscheinlich , dass deutsche Arbeitsgerichte an ihrer bisherigen Rechtsprechung festhalten werden und Betriebsräte datenschutzrechtlich auch weiter als Teil des Arbeitgebers bewerten werden.

Der Betriebsrat bleibt übrigens auch dann kein (datenschutz-)rechtsfreier Raum, wenn man ihn nicht als Verantwortlichen nach Art. 4 Nr. 7 DSGVO einordnet. Auch bei einer anderen rechtlichen Bewertung müssen Betriebsräte mit ernsten Sanktionen rechnen, wenn sie die DSGVO nicht umsetzen und die Vorgaben des Datenschutzes nicht umsetzen. Zwar richtet sich eine zivilrechtliche Haftung grundsätzlich nur an die an einer Verarbeitung beteiligten Verantwortlichen, Art 82 Abs. 2 S. 1 DSGVO.

Sofern Arbeitgeber aber wegen unzulässigen Datenverarbeitungen durch Betriebsräte Schadensersatz an betroffene Personen zahlen müssen, werden sie ihren Betriebsrat wohl in Regress nehmen. Prozessual kann es hier empfehlenswert sein, den beteiligten Betriebsratsmitgliedern den Streit zu verkünden. Zudem drohen Betriebsräten auch dann hohe Bußgelder, wenn sie als Teil des Arbeitgebers unrechtmäßig personenbezogene Daten verarbeiten (§ 14 OWiG).

Was können Arbeitgeber und Betriebsräte tun, um Risiken und Kosten zu vermeiden?

Arbeitgeber müssen ihren Betriebsräten bekanntlich diejenigen Kosten erstatten, die für die Betriebsratsarbeit erforderlich sind (§ 40 BetrVG). Zum müssen die Unternehmen ihren Arbeitnehmervertretern auch die Sachmittel zur Verfügung stellen, die für die Erfüllung der Aufgaben nach dem Betriebsverfassungsgesetz und anderen für Betriebsräte relevanten Gesetzen erforderlich sind. Auch beim Datenschutz gilt diese Erstattungspflicht des Arbeitgebers nicht uneingeschränkt. Daher sind Arbeitgeber gut beraten, Betriebsräten anzubieten, bei der Umsetzung der DSGVO die entsprechenden Datenschutzstrukturen des Unternehmens mit zu nutzen. In einer solchen Situation dürfte es richtigerweise nicht betriebsverfassungsrechtlich erforderlich sein, dass der Betriebsrat Externe einschaltet.

Die Datenschutzbehörden haben bereits signalisiert, dass sie es Betriebsräten und Arbeitgebern freistellen, die datenschutzrechtliche Einordnung des Betriebsrats als eigener Verantwortlicher oder als datenschutzrechtlicher Teil des Arbeitgebers in Betriebsvereinbarungen verbindlich zu regeln. Denn Art. 88 Abs. 1 DSGVO erlaubt es, durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext vorzusehen. So können Unternehmen und Arbeitnehmervertreter in Betriebsvereinbarungen zur Umsetzung der DSGVO entsprechende Festlegungen treffen, dass der Arbeitgeber trotz der grundsätzlichen Position der Aufsichtsbehörden datenschutzrechtliche Pflichten des Betriebsrats mit erfüllt.

Zusammenfassung

Rechtlich sprechen gute Gründe dagegen, den Betriebsrat als eigenen datenschutzrechtlich Verantwortlichen einzuordnen. Sollte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder dennoch einen Beschluss fassen, nach dem Betriebsräte entgegen der bisherigen Rechtsprechung nicht mehr als Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem einzuordnen wären, kommt auf Betriebsräte viel Arbeit und Haftung zu und auf Arbeitgeber womöglich hohe Kosten.

Um unnötige Kosten zu vermeiden, können Unternehmen ihren Betriebsräten anbieten, die datenschutzrechtlichen Strukturen des Arbeitgebers mit zu nutzen. Vor allem sind Unternehmen und Betriebsräte gut beraten, entsprechende Betriebsvereinbarungen abzuschließen, nach denen die Arbeitnehmervertreter datenschutzrechtlich Teil des Arbeitgebers sind.

 

FAArb, RA Tim Wybitul
Partner bei Hogan Lovells International LLP (Büro Frankfurt)

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

 

Kategorien: #EFAR-Beiträge Tags: Betriebsrat, Datenschutz

  • Tim Wybitul

    FAArb, RA Tim Wybitul Partner bei Latham & Watkins LLP (Büro Frankfurt) #EFAR - Profil Twitter LinkedIn Xing

Ähnliche Beiträge

Betriebsrat
11. Mai 2022 - EFAR Redaktion

Mitbestimmung bei Einbindung betriebsfremder Führungskräfte

Welche Rechte hat der Betriebsrat bei der Einbindung einer betriebsfremden Führungskraft in den Betrieb und welche Rolle spielen Weisungsrecht und Entscheidungsbefugnis dabei? Diese Frage hat das LAG Niedersachsen entschieden.
Lesen
Betriebsrat
26. April 2022 - Klaus Thönißen

Wenn der Arbeitgeber dem Betriebsrat die Tablets bezahlt

Turnusgemäß nach den Betriebsratswahlen sind viele (neu) gewählte Betriebsratsmitglieder auf der Suche nach Einsteigerschulungen. Die Schulungsanbieter locken nicht nur mit guten Referenten, sondern häufig auch mit hochwertigen „Starter-Sets“. Wer diese „Beigaben“ letztendlich bezahlt, hat vor Kurzem das BAG entschieden.
Lesen
Betriebsrat
31. März 2022 - Tobias Neufeld, LL.M.

Betriebsrat: Datenschutzrechtliche Stellung und Pflichten nach der Betriebsverfassung, DSGVO und BDSG

Die datenschutzrechtliche Stellung des Betriebsrats und die daraus resultierenden Pflichten waren und sind auch nach der Einführung des § 79a BetrVG in der Diskussion. Zum aktuellen Stand eine Beitragsreihe mit Handlungsempfehlungen.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • ArbeitsRecht kurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Arbeitsbedingungen: Neue (?) Nachweispflichten in der betrieblichen Altersversorgung
  • Kein Geld für nicht genommenen Erholungsurlaub über 20 Tage
  • Urlaubsanspruch bei Wechselschichttätigkeit
  • Änderung des Nachweisgesetzes beschlossen – Handlungsbedarf für alle Unternehmen
  • Kein Zwangsgeld bei fehlendem Impfnachweis

#EFAR – Jobs

  • Taylor Wessing Referendar (w/m/d) Hamburg
  • Taylor Wessing Referendar (w/m/d) München
  • Taylor Wessing Referendar (w/m/d) Berlin
  • Taylor Wessing Referendar (w/m/d) Düsseldorf

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.