Das Thema
Auch Betriebsräten drohen Bußgelder, wenn sie personenbezogene Daten unter Verstoß gegen die komplexen Vorgaben der DSGVO verarbeiten. Betriebsräte und Arbeitgeber, aber auch Datenschützer und Arbeitsrechtler sprechen oft darüber, ob der Betriebsrat für seine eigene Datenverarbeitung datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) ist oder nicht. Für beide Ansichten sprechen gute Argumente. Die datenschutzrechtliche Einordnung des Betriebsrats hat auch Konsequenzen für eine mögliche Haftung von Betriebsräten bei Datenschutzverstößen.
Ebenso wie Unternehmen oder Manager möchten auch Betriebsräte in aller Regel nicht dem Risiko ausgesetzt sein, dass eine Datenschutzbehörde gegen sie ein hohes Bußgeld verhängt, wenn sie Fehler beim Datenschutz machen. Gerade in den sozialen Medien findet man in diesem Zusammenhang immer wieder das Argument, der Betriebsrat sei vermögenslos – daher könne man gegen den Betriebsrat möglicherweise gar keine Bußgelder verhängen. Das ist eine interessante (und für die Praxis wichtige) Fragestellung. Um sie zu beantworten, muss man sich das anwendbare Bußgeldrecht einmal genauer ansehen.
Der Betriebsrat als eigener Verantwortlicher oder nicht?
Es gibt durchaus einige Aspekte, die dafür sprechen, dass der Betriebsrat selbst über die Zwecke und Mittel der Datenverarbeitung bei der Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben entscheidet. Einen guten Überblick hierzu gibt der aktuelle Tätigkeitsbericht des baden-württembergischen Landesdatenschutzbeauftragten Dr. Stefan Brink (ab Seite 37). Einige Gegenargumente, die eher dafür sprechen, den Betriebsrat als eigenen Verantwortlichen nach Art. 4 Nr. 7 DSGVO einzuordnen, finden man in einem gratis abrufbaren ZD-Interview unter anderem mit dem Präsidenten des Bayerischen Landesamts für Datenschutz. Im EFAR-Blog gibt es zu diesem Thema auch immer wieder sehr informative Beiträge wie etwa den von Dr. Carlo Piltz.
Um es klar zu sagen: Beide Ansichten sind vertretbar, für beide Meinungen sprechen gute Argumente. Ein klares Richtig oder Falsch gibt es hier nicht. Denn der Wortlaut und die sonstigen anwendbaren Auslegungsmethoden lassen beide Interpretationen zu. Das ist auch nicht überraschend. Denn der Gesetzgeber der DSGVO hat bei der Definition des Verantwortlichen nach Art. 4 Nr. 7 DSGVO erkennbar schlicht nicht an unsere deutschen Betriebsräte gedacht. Verständlich, die EU-Kommission, das EU-Parlament, der Ministerrat und die anderen Mütter und Väter der DSGVO hatten schließlich auch noch an einige andere Mitgliedsstaaten und deren Rechtstraditionen zu denken.
Der deutsche Gesetzgeber hätte zwar das regeln können. Das hat er aber leider nicht. So bleibt Betriebsräten und Arbeitgebern derzeit nur ein guter Weg, um Rechtssicherheit zu schaffen. Sie regeln die Frage der datenschutzrechtlichen Einordnung des Betriebsrats in einer Betriebsvereinbarung. Art. 88 DSGVO sieht ja gerade vor, dass Kollektivvereinbarungen spezifische Vorschriften zur Datenverarbeitung im Beschäftigungskontext regeln.
Bußgelder nach der DSGVO
Verantwortung geht oft mit Haftung einher. So auch im Datenschutz. Verarbeitet ein Verantwortlicher personenbezogene Daten, ohne die Vorgaben der DSGVO umzusetzen, drohen bekanntlich hohe Bußgelder. Art. 83 DSGVO sieht Geldbußen in Höhe von bis zu 20 Millionen Euro vor. Oder bei Unternehmen bis zu vier Prozent des globalen Umsatzes, ja nachdem, welcher Betrag höher ist. Einen Überblick und eine umfangreiche Materialsammlung hierzu habe ich hier zusammengestellt.
Ebenso wie Unternehmen oder Manager möchten auch Betriebsräte in aller Regel nicht dem Risiko ausgesetzt sein, dass eine Datenschutzbehörde gegen sie ein hohes Bußgeld verhängt, wenn sie Fehler beim Datenschutz machen. Gerade in den sozialen Medien findet man in diesem Zusammenhang immer wieder das Argument, der Betriebsrat sei vermögenslos – daher könne man gegen den Betriebsrat möglicherweise gar keine Bußgelder verhängen. Das ist eine interessante (und für die Praxis wichtige) Fragestellung. Um sie zu beantworten, muss man sich das anwendbare Bußgeldrecht einmal genauer ansehen.
Haftung nach dem deutschen Ordnungswidrigkeitenrecht
Ob und unter welchen Voraussetzungen Datenschutzbehörden Bußgelder verhängen können, ist in Deutschland im Ordnungswidrigkeitengesetz (OWiG) geregelt. Art. 83 Abs. 8 DSGVO verweist in Bezug auf das Bußgeldverfahren bei Datenschutzverstößen unter anderem ins deutsche Recht. § 41 Abs. 1 BDSG stellt klar, dass die meisten Vorschriften des OWiG gelten. Lediglich die deutschen Regelungen zur Bußgeldbemessung und zu Verwarnungen finden keine Anwendung. Hierzu enthält die DSGVO bereits eigene Regelungen.
Klicken Sie auf den unteren Button, um den Inhalt von rcm-eu.amazon-adsystem.com zu laden.
Vermögenslosigkeit schützt nicht vor Bußgeldern
Für die Frage, ob eine Behörde ein Bußgeld verhängt, ist es nicht relevant, ob der Täter einer Ordnungswidrigkeit (das OWiG spricht hier vom „Betroffenen“) vermögenslos oder steinreich ist. Diese Frage spielt allenfalls bei der Bußgeldzumessung eine Rolle. Alles andere wäre auch ziemlich unlogisch. Sonst könnte man sich nach einer Privatinsolvenz ein Auto leihen und damit ungestraft mit 100 km/h durch eine Innenstadt fahren.
Kann jemand ein Bußgeld tatsächlich nicht zahlen, weil er vermögenslos ist, droht Ersatzhaft. Nur weil man kein Vermögen hat, schützt das somit nicht vor Bußgeldern. Das wäre auch ein Widerspruch zu Art. 83 Abs. 1 DSGVO. Danach – und auch nach dem europarechtlichen Effektivitätsgrundsatz – müssen Bußgelder “wirksam” sein.
Im Übrigen wäre auch nicht der Betriebsrat primärer Adressat eines Bußgelds, sondern das oder die handelnden Betriebsratsmitglieder. Denn das deutsche Ordnungswidrigkeitenrecht knüpft in erster Linie an das Handeln natürlicher Personen an. Eine wichtige Ausnahme gilt, wenn eine natürliche Person als Vertreter oder in delegierter Verantwortung für ein Unternehmen oder einen Betrieb handelt. Dann kann das bußgeldbewehrte Handeln nach § 30 OWiG auch dem Unternehmen oder Betrieb zugerechnet werden. Eine Zurechnung ordnungswidrigen Handelns gegenüber einem Betriebsrat sieht das OWiG hingegen nicht vor.
Drohen Bußgelder tatsächlich nur dem datenschutzrechtlich Verantwortlichen?
Liest man Art. 83 DSGVO genau, so stellt man fest, dass die hier genannten Pflichten sich an datenschutzrechtlich Verantwortliche oder an Auftragsverarbeiter richten. Tauglicher Täter (oder Betroffener) einer Ordnungswidrigkeit nach Art. 83 DSGVO kann somit zunächst nur ein Verantwortlicher nach Art. 4 Nr. 7 DSGVO oder ein Auftragsverarbeiter sein. Derartige Bußgeldtatbestände (oder Straftaten), die sich nur an bestimmte Täter richten, nennt man Sonderdelikte. Beteiligen sich mehrere Täter beziehungsweise Betroffene an einer Ordnungswidrigkeit, kann Ihnen auch die nur bei einem Täter vorliegende sogenannte Sondertätereigenschaft nach § 9 OWiG zugerechnet werden.
In diesem Zusammenhang drohen Betriebsräten, die personenbezogene Daten von Arbeitnehmern oder Dritten unter Verstoß gegen die DSGVO verarbeiten, durch aus einige Risiken.
Haftet der Betriebsrat oder der Arbeitgeber für Datenschutzverstöße?
Da Bußgelder an die Einordnung als Verantwortlichem anknüpfen, kann man annehmen, einem Betriebsrat würden nur dann Bußgelder drohen, wenn er eigener Verantwortlicher sei. Wenn er hingegen nur Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem sei, müsse nur der Arbeitgeber haften. Das ist aber nicht so. Das zeigt sich besonders deutlich am Beispiel möglicher pflichtwidriger Datenverarbeitungen.
Der Arbeitgeber ist bekanntlich nur für solche Datenverarbeitungen verantwortlich, für die er Zwecke und Mittel festlegt. Verarbeitet ein Betriebsratsmitglied hingegen rechtswidrig personenbezogene Daten, geschieht dies in aller Regel gerade nicht auf Weisung oder mit Billigung des Arbeitgebers.
Späht etwa ein Kandidat einer Betriebsratswahl die Kandidaten anderer Listen aus, so legt er selbst die Mittel und Zwecke dieser Datenverarbeitung fest und ist selbst für seine Handlungen datenschutzrechtlich verantwortlich. Die Datenschutzbehörden nennen einen solchen Fall, in dem ein Mitarbeiter die IT-Systeme des Arbeitgebers pflichtwidrig für eigene Zwecke nutzt, von einem sogenannten „Exzess“. In solchen Fällen haftet grundsätzlich nicht der Arbeitgeber, sondern der handelnde Mitarbeiter – unabhängig davon, ob der Betriebsrat als Ganzes nun Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem ist.
Zusätzliche Haftung des Betriebsrats durch Einordnung als eigener datenschutzrechtlich Verantwortlicher?
Sofern man den Betriebsrat (oder auch andere betriebsverfassungsrechtliche Gremien wie Gesamt- oder Konzernbetriebsrat) als eigenen Verantwortlichen bewertet, hat das einige Folgen. Unter anderem muss der Betriebsrat bei der Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben selbst dafür sorgen, das er die DSGVO umsetzt.
Der Betriebsrat ist dann eigenständig dafür verantwortlich, dass er Arbeitnehmer und Dritte von der Verarbeitung ihrer Daten nach Art. 13 ff. DSGVO informiert, muss Anfragen von betroffenen Personen erfüllen, muss ein Verarbeitungsverzeichnis führen, Datenschutz-Folgenabschätzungen durchführen und für die Umsetzung sonstiger Vorgaben der DSGVO in eigener Verantwortung sorgen. Beispielsweise müssen sie dann auch Löschkonzepte nach Art. 17 DSGVO für die Löschung solcher personenbezogenen Daten umsetzen, die für die Betriebsratsarbeit nicht mehr erforderlich sind.
Kommt es hier zu Fehlern, so kommt aus ordnungswidrigkeitenrechtlicher Sicht eine Haftung von Betriebsräten durchaus in Betracht. In diesem Fall wäre Normadressat von Art. 83 DSGVO zunächst der Betriebsrat als Gremium. Aber hier wäre eine Vollstreckung von Bußgeldern gegen den Betriebsrat als Gremium in der Tat problematisch. Auch die Verhängung einer Ersatzhaft gegen den Betriebsrat als Gremium ist jedenfalls in dieser Form im OWiG nicht vorgehenden. Denn das OWiG richtet sich – wie bereits angesprochen – zunächst an die handelnden Personen.
Eine Haftung des Arbeitgebers kommt richtigerweise ebenfalls nicht in Betracht. Weder ist das Unternehmen Täter noch kann man ihm Handlungen des Betriebsrats nach § 30 OWiG zurechnen. Auch eine Haftung des Management des Arbeitgebers nach § 130 OWiG kommt richtigerweise nicht in Frage. Denn den Arbeitgeber können in Bezug auf die Datenverarbeitung des Betriebsrats je gerade keine Aufsichtspflichten treffen, wenn der Betriebsrat datenschutzrechtlich ein eigener Verantwortlicher sein soll.
Haftung einzelner Betriebsratsmitglieder
Neben einer möglichen Haftung des Betriebsrats als Gremium kommt aber die Haftung einzelner Betriebsratsmitglieder in Frage. Hier muss man einige ordnungswidrigkeitenrechtliche Vorgaben kennen, um das Risiko möglicher Bußgelder realistisch einschätzen zu können.
Im deutschen Ordnungswidrigkeitenrecht haften die handelnden Personen nach § 14 OWiG grundsätzlich als sogenannte Einheitstäter. Bei Bußgeldern differenziert man daher nicht zwischen Tätern, Anstiftern, Gehilfen usw. Vielmehr können Datenschutzbehörden nach dem weiten Einheitstäterbegriff gegen jede Person ein Bußgeld verhängen, die an der Begehung einer Ordnungswidrigkeit – durch ein Tun oder Unterlassen – mitwirkt.
Versäumen es Betriebsratsmitglieder, die Vorgaben der DSGVO umzusetzen, kommt nach § 8 OWiG auch eine Haftung wegen der Begehung einer Ordnungswidrigkeit durch Unterlassen in Betracht. Jedenfalls in Bezug auf Arbeitnehmer könnte die hierfür nötige Garantenstellung sich möglicherweise aus § 80 Abs. 1 Nr. 1 BetrVG oder aus § 75 Abs. 2 BetrVG ergeben.
Fazit: Vermögenslosigkeit des Betriebsrats ist kein Schutz vor Bußgeldern
Nach Art. 83 DSGVO und dem OWiG können Datenschutzbehörden durchaus Bußgelder nach Art. 83 DSGVO gegen Betriebsratsmitglieder verhängen, wenn diese gegen Rechtspflichten In Bezug auf den Datenschutz verstoßen. Die Vermögenslosigkeit des Betriebsrats ist kein Schutz vor Bußgeldern. Mögliche Risiken drohen aber einzelnen handelnden Betriebsratsmitgliedern, die gegen die DSGVO verstoßen. In solchen Fällen können die Datenschutzbehörden tatsächlich Bußgelder verhängen.
Wenn Betriebsräte tatsächlich als eigene datenschutzrechtliche Verantwortliche einzuordnen sein sollten, kommt erst einmal viel Arbeit auf sie zu. Denn dann müssen sie für die Datenverarbeitung zur Erfüllung ihrer betriebsverfassungsrechtlichen Aufgaben sämtliche anwendbaren Vorgaben der DSGVO und des BDSG umsetzen.
Für Betriebsräte, die sich ernsthaft bemühen, die komplexen Vorgaben der DSGVO richtig umzusetzen, dürften die Risiken dennoch allenfalls sehr gering sein. Denn viele Datenschutzbehörden haben bereits klar gesagt, dass Betriebsräte nicht im Fokus ihrer Ermittlungstätigkeit stehen werden. Allerdings müssen die Behörden jedenfalls im Falle von Beschwerden betroffener Personen tätig werden.
Man muss feststellen, dass Art. 83 DSGVO und das deutsche OWiG kaum aufeinander abgestimmt sind. Gerade Fragen wie die datenschutzrechtliche Einordnung des Betriebsrats oder Details zur Haftung nach Art. 83 DSGVO hätte der deutsche Gesetzgeber präziser klären können. Daher kommt nun auf Behörden und Gerichte einige Arbeit bei der Klärung offener Rechtsfragen zu. Die bis dahin bestehenden Unsicherheiten sollten aber weder zu Lasten von Betriebsräten noch von Arbeitgebern gehen.
Partner bei Latham & Watkins LLP (Büro Frankfurt)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
