Das Thema
Wie muss der Betriebsrat aus datenschutzrechtlichen Gründen mit Unterlagen und Informationen umgehen, die dieser vom Arbeitgeber zur Verfügung gestellt bekommt?
Aufgrund der zunehmenden Digitalisierung in verschiedensten Lebensbereichen und dem damit einhergehenden stärkeren Einsatz von IT-Systemen rückt der Schutz personenbezogener Daten von Beschäftigten stärker in den Fokus der Arbeitgeber, der Beschäftigten und – der Betriebsräte!
Während die unternehmensinternen Prozesse Datenfluten produzieren, wünscht sich der Datenschutz keine Big Data, sondern den sparsamen und minimalistischen Umgang mit personenbezogenen Daten. Arbeitgeber sind daher angehalten, die unternehmensinternen Prozesse so zu gestalten, dass alle erforderlichen Maßnahmen zur rechtskonformen Verarbeitung und zum Schutz der personenbezogenen Daten ihrer Beschäftigten eingeführt und eingehalten werden.
Pflichten des Betriebsrates nach DS-GVO und BDSG
Um die Pflichten des Betriebsrates nach der Datenschutzgrundverordnung („DS-GVO“) und dem neuen Bundesdatenschutzgesetz („BDSG“) beurteilen zu können, bedarf es zunächst der Klärung der Frage, ob der Betriebsrat als Teil des Unternehmens und damit Teil des für die Verarbeitung der personenbezogenen Daten Verantwortlichen (Art. 4 Nr. 7 DS-GVO) anzusehen ist, oder ob der Betriebsrat vielmehr selbst Verantwortlicher und damit Normadressat der DS-GVO ist.
Gemäß der Legaldefinition in Art. 4 Nr. 7 DS-GVO bezeichnet der Ausdruck „Verantwortlicher“ „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es kommt somit maßgeblich darauf an, wer über die Zwecke (das „Wofür“) und Mittel (das „Wie“) der Verarbeitung entscheidet. Fraglich ist, ob der Betriebsrat hierunter fällt, da diese Norm sich auf eine juristische Person und andere Stellen richtet.
Es gibt starke Stimmen – insbesondere innerhalb der Datenschutzbehörden – wonach Betriebsräte gleichermaßen wie Arbeitgeber als Verantwortliche („andere Stellen“) anzusehen sind. Eine solche Einordnung hätte weitreichende Konsequenzen.
Auch Betriebsrat muss datenschutzrechtliche Vorgaben beachten
Naheliegender dürfte es sein, die Betriebsräte als Teil des Unternehmens und damit als Teil des eigentlichen Verantwortlichen anzusehen. Denn bei genauer Betrachtung der Legaldefinition des Art. 4 Nr. 7 DS-GVO ist festzustellen, dass dessen Voraussetzungen in Bezug auf den Betriebsrat nicht vorliegen. Da nämlich die Bestimmung der Zwecke der Datenverarbeitung für die Betriebsräte im Betriebsverfassungsgesetz verankert sind, ist davon auszugehen, dass Betriebsräte diese Zweckbestimmung nicht selber festlegen können; vielmehr ergeben sich diese aus dem Betriebsverfassungsgesetz. Dies betrifft auch die Mittel der Datenverarbeitung, über die der Betriebsrat ebenso wenig allein entscheiden kann.
Eine Stellungnahme der deutschen Datenschutzbehörden zu dieser Frage dürfte im Januar 2019 vorliegen.
Unabhängig von dieser Vorfrage sollten daher auch Betriebsräte im Umgang mit Unterlagen und Informationen vom Arbeitgeber die datenschutzrechtlichen Vorgaben beachten und insbesondere den internen Schutz personenbezogener Daten sicherstellen. Entsprechend dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO) dürfen die Beschäftigtendaten insbesondere nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Dem Betriebsrat ist es untersagt, personenbezogene Daten unbefugt zu einem anderen Zweck zu verarbeiten.
Was ändert sich an der bisher bekannten Rechtslage durch die DS-GVO?
Nach dem bis zum 25. Mai 2018 geltenden Recht war der Betriebsrat nicht selbst Verantwortlicher, sondern wurde stets als Teil des Arbeitgebers und damit als Teil der datenschutzrechtlich verantwortlichen Stelle angesehen.
Da die Pflichten nach der DS-GVO an den „Verantwortlichen“ anknüpfen, wird die abzuwartende Entscheidung der Datenschutzbehörden möglicherweise erhebliche Folgen für die Praxis haben. Sollten die Betriebsräte tatsächlich als „Verantwortlicher“ anzusehen sein, so wären sie künftig im Hinblick auf die von ihnen verarbeiteten Beschäftigtendaten angehalten, selbst Maßnahmen zur Umsetzung der DS-GVO zu treffen. Insbesondere müssten sie die Einhaltung der in Art. 5 Abs. 1 DS-GVO enthaltenen Grundsätze (Datensparsamkeit, begrenzte Speicherung, etc.) eigenständig sicherstellen. Auch müssten Gremien mit mehr als neun Mitgliedern grundsätzlich nach § 38 BDSG einen eigenen Datenschutzbeauftragten bestellen.
Verstöße gegen datenschutzrechtliche Vorschriften könnten mit Bußgeldern von bis zu 20 Millionen Euro geahndet werden, die dann u.U. anstelle des partiell vermögenslosen Betriebsrates der Arbeitgeber tragen müsste. Denn der Betriebsrat als solcher ist nach der Rechtsprechung nur partiell – nämlich im Rahmen der Erfüllung seiner betriebsverfassungsmäßigen Aufgaben – vermögensfähig, so dass Schadensersatzansprüche gegen das Kollegialorgan Betriebsrat grundsätzlich ausgeschlossen sind. Wird jedoch grundsätzlich eine Haftung des Betriebsrats als Verantwortlicher und somit eine Bußgeldadressatenstellung bejaht, wird eine Haftung des Betriebsratsgremiums davon abhängig sein, ob die datenschutzrechtswidrige Verarbeitung auf Basis eines Betriebsratsbeschlusses erfolgt ist.
Betriebsrat und Datenschutz – Maßnahmen und Sanktionen
Um die Betriebsräte für die Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Beschäftigtendaten zu sensibilisieren, sind Arbeitgeber angehalten, präventive Maßnahmen zu ergreifen. Dies kann durch interne oder externe Schulungen erfolgen.
Zudem werden Betriebsräte künftig voraussichtlich durch den betrieblichen Datenschutzbeauftragten nach Art. 39 DS-GVO zu kontrollieren sein.
Wie wichtig die Einhaltung der Datenschutzvorschriften ist, zeigt auch die mit den Neuregelungen der DS-GVO einhergegangene erhebliche Verschärfung der Sanktionen bei Datenschutzverstößen.
Die mit der DS-GVO einhergehende Verantwortung verschärft sich – unabhängig von der derzeit noch offenen Frage der eigenständigen Verantwortlichkeit – auch für Betriebsräte. Von daher sind Arbeitgeber und Betriebsräte gut beraten, im Rahmen der vertrauensvollen Zusammenarbeit gemeinsam entsprechende datenschutzkonforme Betriebsvereinbarungen/Regelungen zu entwickeln.
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien