Das Thema
Wahrscheinlich verabschieden die deutschen Datenschutzbehörden schon bald einen Beschluss, nach dem Betriebsräte selbst für den Datenschutz verantwortlich sind. Diese Entscheidung hätte erhebliche Folgen für die Praxis: viel Arbeit und Haftung für Betriebsräte, hohe Kosten für Arbeitgeber!
Denn Betriebsräte müssten dann bei den von ihnen verarbeiteten Daten selbst Maßnahmen zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) treffen. Sie müssten mit Bußgeldern von bis zu 20 Millionen Euro rechnen, wenn sie Daten unter Verstoß gegen die DSGVO verarbeiten. Zudem müssten Betriebsräte dann eigene DSGVO-Implementierungsprojekte durchführen, gegebenenfalls einen eigenen Datenschutzbeauftragten bestellen und in eigener Verantwortung Auskunftsanträge und andere Betroffenenrechte von Arbeitnehmern nach der DSGVO erfüllen. Und Arbeitgeber müssten die Kosten für die Umsetzung des neuen Datenschutzrechts durch den Betriebsrat tragen.
Der vorliegende Überblick zeigt, welche Gründe für und gegen eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats sprechen. Er beschreibt zudem, welche Folgen die Position der Datenschutzbehörden für die Praxis hat und wie Arbeitgeber und Betriebsräte mögliche daraus resultierende Risiken und Kosten vermeiden oder verringern können.
War der Betriebsrat bislang für seine Datenverarbeitungen verantwortlich?
In seiner bisherigen Rechtsprechung hat das BAG den Betriebsrat als stets Teil des Arbeitgebers als datenschutzrechtlich verantwortlichen Stelle gesehen; BAG v. 7.2.2012- 1 ABR 46/10 . Das hatte zur Folge, dass der Betriebsrat in Bezug auf durch ihn verarbeiteten Daten selbst keine datenschutzrechtlichen Strukturen schaffen musste, sondern der Arbeitgeber in der Regel für den Betriebsrat diese Anforderungen mit erfüllt hat. Mitarbeiter konnten also beispielsweise keine Auskunftsanträge an den Betriebsrat richten, sondern mussten sich hiermit an den Arbeitgeber wenden. Dennoch durfte der Datenschutzbeauftragte die Datenverarbeitung des Betriebsrats nach der Rechtsprechung nicht kontrollieren, weil der Datenschutzbeauftragte nach Auffassung der Richter „als verlängerter Arm“ des Arbeitgebers handelte, vgl. BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97.
Datenschutzbehörden: Betriebsrat selbst für Datenschutz verantwortlich ?
Am 25. Mai 2018 sind die DSGVO und das am 30. Juni 2017 neu gefasste BDSG (BDSG n.F.) in Kraft getreten. Beide Regelungen verpflichten zunächst den für eine Datenverarbeitung „Verantwortlichen“, also beispielsweise ein Daten verarbeitendes Unternehmen. Immer mehr Aufsichtsbehörden für den Datenschutz neigen nun zu der Auffassung, dass der Betriebsrat nach der DSGVO ein datenschutzrechtlich eigener Verantwortlicher, also Normadressat der DSGVO des BDSG n.F. sein soll. Dem Vernehmen nach soll die Konferenz der Datenschutzbeauftragten des Bundes und der Länder genau das in den nächsten Tagen beschließen.
Wer für die Einhaltung des Datenschutzes „Verantwortlicher“ sein soll, regelt Art. 4 Nr. 7 DSGVO. Danach ist ein Verantwortlicher eine Stelle, die alleine oder mit anderen „über die Mittel und Zwecke der Verarbeitung von personenbezogenen Daten entscheidet“. Richtigerweise entscheidet der Arbeitgeber in aller Regel gerade nicht darüber, wie der Betriebsrat personenbezogene Daten von Arbeitnehmern und von Dritten verarbeitet. Hieraus folgern die Datenschutzbehörden nun, dass der Betriebsrat eigener Verantwortlicher sein soll. Denn nach der bisherigen Rechtsprechung vor Geltung der DSGVO konnte der Betriebsrat im Rahmen der Erfüllung seiner betriebsverfassungsrechtlichen recht frei darüber bestimmen, wie er personenbezogene Daten verarbeitete (BAG, Beschl. v. 18.07.2012 – 7 ABR 23/11).
Folgen der Einordnung des Betriebsrats als Verantwortlicher: Löschkonzept und Co.
Die Positionierung der Datenschutzbehörden ist deshalb für die Praxis so wichtig, weil sie Betriebsräte und Arbeitgeber mit erheblichen Herausforderungen konfrontiert. Denn kaum ein Betriebsrat hat die DSGVO im Rahmen der Verarbeitung personenbezogener Daten für seine Betriebsratstätigkeit bislang umgesetzt.
Beispielsweise haben – wenn überhaupt – nur sehr wenige Betriebsräte Datenschutzinformationen nach Art. 13, 14 DSGVO an die von ihnen vertretenen Beschäftigten geschickt oder sonstige strukturelle Vorgaben der DSGVO umgesetzt. Hierfür müssen Betriebsräte beispielsweise die Zwecke ihrer jeweiligen Datenverarbeitungen nach Maßgabe von Art. 5 Abs. 1 lit. b DSGVO genau festlegen und Löschkonzepte (Art. 17 DSGVO) umsetzen. Sie müssen zudem in der Lage sein, Auskunftsansprüche (Art 15 DSGVO) betroffener Personen zu beantworten und ein Verarbeitungsverzeichnis (Art 30 DSGVO) führen. Und größere Betriebsräte mit zehn oder mehr Mitgliedern werden wohl einen Datenschutzbeauftragten für den Betriebsrat bestellen müssen. In Deutschland müssen Verantwortliche einen Datenschutzbeauftragten bestellen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, § 38 Abs. 1 Satz 1 BDSG n.F. .
Betriebsrat trifft volles Risiko – auch vor Gericht
Wenn man Betriebsräte als eigenständige Verantwortliche einordnet, müssen sie die DSGVO nicht nur umsetzen, sondern gegebenenfalls auch vor Gericht oder gegenüber Behörden in der Lage sein, dies auch zu beweisen. Auch Betriebsräten droht dann künftig das Risiko, Gerichtsverfahren zu verlieren, nur weil sie nicht beweisen können, dass sie die vielfältigen und umfassenden Vorgaben des neuen Datenschutzrechts richtig umgesetzt haben. Dies könnte den einen oder anderen mit der Arbeit des Betriebsrats gegebenenfalls etwas unzufriedenen Arbeitnehmer dazu bewegen, beim Betriebsrat Anträge auf Auskunft nach Art. 15 DSGVO, auf Löschung nach Art. 17 DSGVO zu stellen, Beschwerden bei den Datenschutzbehörden einzureichen oder gleich bei Gericht auf Unterlassung oder auf Schadensersatz zu klagen.
Drohen Betriebsräten künftig hohe Bußgelder und Schadensersatzansprüche?
Betriebsräte dürften wenig erfreut darüber sein, dass ihnen nun bis zu 20 Millionen Euro Bußgeld drohen, wenn sie die Vorgaben der DSGVO nicht oder nicht richtig umsetzen. Es steht zwar nicht zu erwarten, dass deutsche Aufsichtsbehörden gerade bei Datenschutzverstößen von Betriebsratsmitgliedern hart durchgreifen werden. Aber bei offensichtlichen oder wiederholten Verstößen wird den Behörden kaum etwas anderes übrig bleiben, als nach Bußgelder zu verhängen, die – wie in Art. 83 Abs. 1 DSGVO gefordert – „wirksam“ und „abschreckend“ sind.
Zudem bietet die DSGVO betroffenen Personen umfassende Möglichkeiten, Verantwortliche allein deshalb auf Schadensersatz zu verklagen, weil diese ihre personenbezogenen Daten nicht nach den Vorgaben der DSGVO verarbeiten. Als Verantwortliche im Sinne des Datenschutzrechts werden sich auch Betriebsräte künftig häufiger als Beklagte vor Gericht wiederfinden.
Was wären die Folgen der Positionierung der Datenschutzbehörden für Unternehmen?
Aber auch für Arbeitgeber wäre die Einordnung von Betriebsräten als Verantwortlich nicht gerade lustig. Denn viele Betriebsräte könnten nun vorschlagen, dass sie eigene DSGVO-Projekte anstoßen, sich externen Rechtsrat holen und interne oder sogar externe Datenschutzbeauftragte bestellen. Das alles würde Unternehmen eine Menge Geld kosten. Am Ende dieses Beitrages finden Arbeitgeber noch einige Tipps, um entsprechende Kosten zu verringern oder zu vermeiden.
Muss man den Betriebsrat wirklich als Verantwortlichen einordnen?
Nein, eigentlich nicht. Zur Erinnerung, Verantwortlicher ist, wer über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Das ist beim Betriebsrat gerade nicht der Fall. Denn anders als der Arbeitgeber kann der Betriebsrat letztlich nicht frei über seine Datenverarbeitungen und deren Zwecke entscheiden. Vielmehr sind die Zwecke der Datenverarbeitung durch Betriebsräte durch das Betriebsverfassungsgesetz geregelt. Auch über die Mittel der Datenverarbeitung kann der Betriebsrat nicht frei entscheiden. Vielmehr gibt hier normalerweise der Arbeitgeber die IT-Strukturen vor und der Betriebsrat kann sie mit nutzen, vgl. § 40 Abs. 2 BetrVG.
Müssen Gerichte der Auffassung der Datenschutzbehörden folgen?
Nein, Gerichte sind an die Meinungen und Positionen der Aufsichtsbehörden nicht gebunden. Oftmals orientieren sie sich bei ihren Entscheidungen aber an den Vorgaben der Datenschutzbehörden. Allerdings haben Arbeitsrichter in der Vergangenheit in Fragen des Datenschutzes auch regelmäßig andere Ansichten als die Behörden vertreten. Angesichts der guten Argumente, die gegen eine Einordnung von Betriebsräten als eigene datenschutzrechtlich Verantwortliche sprechen, ist es wahrscheinlich , dass deutsche Arbeitsgerichte an ihrer bisherigen Rechtsprechung festhalten werden und Betriebsräte datenschutzrechtlich auch weiter als Teil des Arbeitgebers bewerten werden.
Der Betriebsrat bleibt übrigens auch dann kein (datenschutz-)rechtsfreier Raum, wenn man ihn nicht als Verantwortlichen nach Art. 4 Nr. 7 DSGVO einordnet. Auch bei einer anderen rechtlichen Bewertung müssen Betriebsräte mit ernsten Sanktionen rechnen, wenn sie die DSGVO nicht umsetzen und die Vorgaben des Datenschutzes nicht umsetzen. Zwar richtet sich eine zivilrechtliche Haftung grundsätzlich nur an die an einer Verarbeitung beteiligten Verantwortlichen, Art 82 Abs. 2 S. 1 DSGVO.
Sofern Arbeitgeber aber wegen unzulässigen Datenverarbeitungen durch Betriebsräte Schadensersatz an betroffene Personen zahlen müssen, werden sie ihren Betriebsrat wohl in Regress nehmen. Prozessual kann es hier empfehlenswert sein, den beteiligten Betriebsratsmitgliedern den Streit zu verkünden. Zudem drohen Betriebsräten auch dann hohe Bußgelder, wenn sie als Teil des Arbeitgebers unrechtmäßig personenbezogene Daten verarbeiten (§ 14 OWiG).
Was können Arbeitgeber und Betriebsräte tun, um Risiken und Kosten zu vermeiden?
Arbeitgeber müssen ihren Betriebsräten bekanntlich diejenigen Kosten erstatten, die für die Betriebsratsarbeit erforderlich sind (§ 40 BetrVG). Zum müssen die Unternehmen ihren Arbeitnehmervertretern auch die Sachmittel zur Verfügung stellen, die für die Erfüllung der Aufgaben nach dem Betriebsverfassungsgesetz und anderen für Betriebsräte relevanten Gesetzen erforderlich sind. Auch beim Datenschutz gilt diese Erstattungspflicht des Arbeitgebers nicht uneingeschränkt. Daher sind Arbeitgeber gut beraten, Betriebsräten anzubieten, bei der Umsetzung der DSGVO die entsprechenden Datenschutzstrukturen des Unternehmens mit zu nutzen. In einer solchen Situation dürfte es richtigerweise nicht betriebsverfassungsrechtlich erforderlich sein, dass der Betriebsrat Externe einschaltet.
Die Datenschutzbehörden haben bereits signalisiert, dass sie es Betriebsräten und Arbeitgebern freistellen, die datenschutzrechtliche Einordnung des Betriebsrats als eigener Verantwortlicher oder als datenschutzrechtlicher Teil des Arbeitgebers in Betriebsvereinbarungen verbindlich zu regeln. Denn Art. 88 Abs. 1 DSGVO erlaubt es, durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext vorzusehen. So können Unternehmen und Arbeitnehmervertreter in Betriebsvereinbarungen zur Umsetzung der DSGVO entsprechende Festlegungen treffen, dass der Arbeitgeber trotz der grundsätzlichen Position der Aufsichtsbehörden datenschutzrechtliche Pflichten des Betriebsrats mit erfüllt.
Zusammenfassung
Rechtlich sprechen gute Gründe dagegen, den Betriebsrat als eigenen datenschutzrechtlich Verantwortlichen einzuordnen. Sollte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder dennoch einen Beschluss fassen, nach dem Betriebsräte entgegen der bisherigen Rechtsprechung nicht mehr als Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem einzuordnen wären, kommt auf Betriebsräte viel Arbeit und Haftung zu und auf Arbeitgeber womöglich hohe Kosten.
Um unnötige Kosten zu vermeiden, können Unternehmen ihren Betriebsräten anbieten, die datenschutzrechtlichen Strukturen des Arbeitgebers mit zu nutzen. Vor allem sind Unternehmen und Betriebsräte gut beraten, entsprechende Betriebsvereinbarungen abzuschließen, nach denen die Arbeitnehmervertreter datenschutzrechtlich Teil des Arbeitgebers sind.
FAArb, RA Tim Wybitul
Partner bei Hogan Lovells International LLP (Büro Frankfurt)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
In der November Sitzung der Aufsichtsbehörden ist das Thema nicht besprochen worden. Bei direkten Nachfragen sind wohl 8 Behörden fur eine eigene Verantwortlichkeit und nur 4 dagegen. Ein einheitlicher Beschluss also in weiter Ferne und auf einer der nächsten Tagesordnungspunkte ist das Thema nicht zu finden.