Das Thema
Die Datenschutzgrundverordnung (DS-GVO) bringt ab dem 25. Mai 2018 zahlreiche Neuerungen, die sich unmittelbar auf den Personalbereich auswirken. Nach der neuen DS-GVO müssen Arbeitgeber u.a. beweisen, dass sie deren komplexe Vorgaben richtig umgesetzt haben. Gelingt dies nicht, drohen neben Beweisverwertungsverboten hohe Bußgelder und Schadensersatzforderungen. Zu den neuen Vorgaben gehört insbesondere die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DS-GVO, die unter ihrer englischen Bezeichnung “Data Protection Impact Assessment” (DPIA) in der HR-Szene bereits viel Diskussion erfahren hat. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Arbeitnehmern, muss der Arbeitgeber als Verantwortlicher vorab eine Abschätzung der Folgen der geplanten Verarbeitung für den Schutz der Beschäftigtendaten durchführen
Ist der Betriebsrat zwingend im Rahmen der Datenschutz-Folgenabschätzung zu beteiligen?
Artikel 35 DS-GVO und die Erwägungsgründe 84, 89 bis 96 machen hierzu eine Reihe von Vorgaben. Im Fokus steht dabei die Regelung in Artikel 35 Abs. 9 DS-GVO. Danach holt der Arbeitgeber im Rahmen der Datenschutz-Folgenabschätzung “gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung […] ein.“. Aus dieser Regelung leiten in der Praxis nunmehr einige Betriebsräte ein zwingendes Beteiligungsrecht (Information und Anhörung) im Rahmen der Datenschutz-Folgenabschätzung ab. Trifft das zu? Ist der Betriebsrat zwingend im Rahmen der DPIA zu beteiligen?
Die Antwort vorneweg: Nein, der Betriebsrat muss vom Arbeitgeber in den Prozess der Datenschutz-Folgenabschätzung nicht zwingend eingebunden werden. Artikel 35 Abs. 9 DS-GVO begründet kein Informations-, Anhörungs- oder sonstiges Mitbestimmungsrecht des Betriebsrats.
Warum der Betriebsrat nicht zwingend zu beteiligen ist
Nach Artikel 35 Abs. 9 DS-GVO holt der Verantwortliche “gegebenenfalls” den Standpunkt der betroffenen Personen “oder” ihrer Vertreter zu der beabsichtigten Datenverarbeitung ein. Wann und wie eine solche Einbindung zu erfolgen hat, ist weder in Artikel 35 DS-GVO noch in den relevanten Erwägungsgründen zur DS-GVO ausgeführt. Auch finden sich keinerlei Vorgaben, ob und inwiefern der Standpunkt solcher Personen in die Risikobewertung im Rahmen der DPIA einzubeziehen ist. Der Arbeitgeber hat die Stellungnahme der Betroffenen oder ihrer Vertreter nach dem Wortlaut der Vorschrift nur dann einzuholen, wenn er dies für sachgemäß erachtet (“gegebenenfalls” oder in der englischen Version “where appropriate“). Die Einbeziehung liegt somit in der freien Entscheidung des Verantwortlichen. Eine Verpflichtung zur Einbeziehung besteht nicht, erst recht nicht zur Einbeziehung des Betriebsrats.
Auch systematisch ist ein Beteiligungsrecht des Betriebsrats nicht herzuleiten. Auf eine Stellungnahme nach Artikel 35 Abs. 9 DS-GVO haben nicht einmal die betroffenen Datensubjekte ein Recht. Die DS-GVO sieht ein solches Recht auf Stellungnahme in Kapitel III “Rechte der betroffenen Personen” nicht vor. Wenn Artikel 35 Abs. 9 DS-GVO schon kein Betroffenenrecht ist, kann es auch kein Recht der betrieblichen Interessenvertretung dieser Betroffenen sein. Eine Verpflichtung zur Einbindung Dritter in die Datenschutz-Folgenabschätzung regelt die DS-GVO, wie ein Blick in Artikel 35 Abs. 2 DS-GVO zeigt, zudem anders: Absatz 2 sieht die Verpflichtung (!) des Arbeitgebers vor, den Datenschutzbeauftragen bei der Durchführung der DPIA einzubinden (“holt […] den Rat des Datenschutzbeauftragten […] ein“). Die Pflicht des Datenschutzbeauftragten, an der Datenschutz-Folgenabschätzung mitzuwirken, ergibt sich korrespondierend aus Artikel 39 Abs. 1 c DS-GVO und statuiert die Rechtspflicht damit eindeutig. Daran fehlt es im Hinblick auf den Betriebsrat oder andere Arbeitnehmervertretungen.
Die Meinung der Datenschutzbehörden und anderer
Von Datenschutzbehörden wird keine zwingende Einbeziehung oder Information des Betriebsrats gemäß Artikel 35 Abs. 9 DS-GVO gefordert. Insbesondere fordert das weder die Artikel 29 Gruppe in ihrem ausführlichen Papier zum DPIA Prozess, noch die deutschen Datenschutzbehörden in dem Kurzpapier der Datenschutzkonferenz. Dort wird der Betriebsrat lediglich als ein Beispiel für eine Interessenvertretung genannt.
Eine zwingende Einbindung des Betriebsrats in jedem Fall einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Abs. 9 DS-GVO wird auch in der Literatur nicht vertreten. Die hier vertretene Auffassung, dass sich für den Betriebsrat aus Artikel 35 DS-GVO keine neuen Rechte auf Information, Anhörung oder sonstige Beteiligung ergeben, findet sich hingegen explizit in der datenschutzrechtlichen Fachliteratur (vgl. Baumgartner/Ehmann/Selmayr, 2017, DS-GVO, Art. 35 Rn. 47, Fn. 62; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Auflage 2016, § 7 Rn. 98).
Was das für die Praxis heißt
Aus datenschutzrechtlicher Sicht gibt es keine Pflicht, den Betriebsrat bei einer Datenschutz-Folgenabschätzung zu beteiligen. Dies gilt insbesondere für Verarbeitungsvorgänge, die keine Arbeitnehmerdaten betreffen. Selbst bei kollektiver Betroffenheit der Arbeitnehmer durch den Verarbeitungsvorgang sieht Artikel 35 Abs. 9 DS-GVO keine verpflichtende Beteiligung des Betriebsrats bei der Durchführung der Datenschutz-Folgenabschätzung vor. Vielmehr kann der Arbeitgeber als Verantwortlicher entscheiden, die Stellungnahme der betroffenen Arbeitnehmer direkt, eine Stellungnahme anderer Interessenvertreter oder gar keine Stellungnahme einzuholen. Der Arbeitgeber muss insofern nur sicherstellen, dass die Entscheidung über die Einbindung bzw. das Unterlassen der Einbindung der betroffenen Personen oder ihrer Vertreter dokumentiert wird. So erfüllt der Arbeitgeber seine Rechenschaftspflicht aus Artikel 5 Abs. 2 DS-GVO.
Das bedeutet nun aber nicht, den Betriebsrat per se nicht in den DPIA-Prozess zu involvieren. Gerade dort, wo die Datenschutz-Folgenabschätzung Prozesse betrifft, die gemäß § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig sind, rate ich dringend zur Einholung der Stellungnahme des Betriebsrats bereits im frühen Stadium der Datenschutz-Folgenabschätzung, um für die betroffenen Beschäftigten wirksame und effiziente Prozesse zu schaffen und diese in Betriebsvereinbarungen zu verankern.