Das Thema
Mit der Einführung des § 79a BetrVG im Juni 2021 ist die Diskussion um die datenschutzrechtliche Einordnung des Betriebsrates in den Unternehmen nochmals angekurbelt worden. Bereits die DSGVO hatte ab 2018 hier für weitere Unsicherheit zu einem Thema gesorgt, das trotz seiner betrieblichen Relevanz weder vom Gesetzgeber noch von der Rechtsprechung oder den Datenschutzbehörden verlässlich behandelt worden ist.
Mit zwei Beiträgen – hier lesen Sie Teil 1 – will der Autor auf die datenschutzrechtlichen Rechte und Pflichten des Betriebsrats eingehen und zugleich auf die Kontrollmöglichkeiten des Arbeitgebers sowie auf mögliche Regelungen zum Thema in der Praxis, etwa durch Betriebsvereinbarungen.
Das Dilemma der datenschutzrechtlichen Verantwortung im Betrieb
Das Dilemma um die datenschutzrechtliche Einordnung des Betriebsrats ist misslich, da der datenschutzrechtlich Verantwortliche die Einhaltung der Vorgaben von DSGVO und BDSG sicherstellen muss, insbesondere die Artikel 5 (Strukturprinzipien), 12-14 (Information), 15 (Auskunft), 24 (TOM/Datenschutzvorkehrungen), 30 (VVT), 32 (Sicherheit), 33 (Meldung Datenschutzverletzung) und 37 DSGVO (Benennung DSB). Die Strukturprinzipien für Datenverarbeitungen in Art. 5 DSGVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) muss der datenschutzrechtlich Verantwortliche nicht nur unter Bußgeldandrohung (vgl. Art. 83 Abs. 5 lit. a DSGVO – bis zu 20 Mio. EUR) einhalten; er muss deren Einhaltung im Rahmen seiner Rechenschaftspflicht nach Maßgabe des Art. 5 Abs. 2 DSGVO auch nachweisen (Dokumentationspflicht).
Sorgfältige Arbeitgeber haben ihre datenschutzrechtlichen Pflichten und notwendige Prozesse (z.B. zur Erfüllung von Auskunftsverlangen, Löschanfragen oder Reaktion auf Datenschutzverletzungen) in ihrem Compliance-Management-System (CMS) oder einem eigenen Datenschutz-Management System (DSMS), z.B. gemäß ISO/IEC 27701 oder aufbauend auf ISO/IEC 27001, verankert.
Der Streit um die datenschutzrechtlichen Pflichten des Betriebsrats
Die datenschutzrechtliche Stellung des Betriebsrats und damit seine Pflichten ist in Rechtsprechung, Literatur und den Publikationen der Datenschutzbeauftragten der Länder (DPA) umstritten, mit nachvollziehbaren Argumenten auf beiden Seiten. Die einen sehen den Betriebsrat als eigenen Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO. Die anderen ordnen den Betriebsrat als unselbständigen Teil des Arbeitgebers als dem einzig datenschutzrechtlich Verantwortlichen ein. Die Konsequenzen dieser Einordnung könnten unterschiedlicher nicht sein, einschließlich des datenschutzrechtlichen Pflichtenkatalogs des Betriebsrats und der Frage der Sanktionierung datenschutzrechtlicher Non-Compliance.
Hilft die Neuregelung im Betriebsrätemodernisierungsgesetz?
Hier setzt nun § 79a BetrVG an. Nach § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten „die Vorschriften über den Datenschutz einzuhalten“. Gemäß S. 2 ist der Betriebsrat nicht selbst datenschutzrechtlich verantwortlich, wenn er aufgabenbezogen HR-Daten verarbeitet, sondern der Arbeitgeber („Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“). Nach S. 3 der Vorschrift unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.
Was bedeutet das nun für den Arbeitgeber? Wo steht der Betriebsrat in der Datenschutz-Governance des Unternehmens? Wie bindet der Arbeitgeber den Betriebsrat verpflichtend in die Compliance mit seinen datenschutzrechtlichen Pflichten aus DSGVO und BDSG ein? Wie kontrolliert er das? Welche Rolle hat der Datenschutzbeauftragte in diesem Verhältnis? Und wie wird für Datenschutzverstöße gehaftet?
Dieser erste Beitrag unternimmt eine klare rechtliche Positionsbestimmung trotzt vieler Streitstände zu diesem Thema und gibt eine praktische Handreichung für die Betriebsparteien im Sinne einer Vereinbarungslösung.
Arbeitgeber datenschutzrechtlich verantwortlich – nicht der Betriebsrat!?
So scheint es § 79a S. 2 BetrVG klar vorzugeben. So einfach ist es rechtlich aber nicht. Gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der EuGH versteht den Begriff des Verantwortlichen weit, sodass bereits die bloße Mitwirkung oder die Einflussnahme hinsichtlich der Zwecke und Mittel der Datenverarbeitung (aus Eigeninteresse) ausreicht (vgl. EuGH, Urt. v. 29.07.2019 – C-40/17, Fashion-ID). Eine datenschutzrechtliche Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO ist für jede Verarbeitung personenbezogener Daten gesondert zu ermitteln.
Zunächst ist deshalb danach zu schauen, welche Datenverarbeitung durch den Betriebsrat überhaupt vorgenommen wird. § 79a S. 2 BetrVG sieht den Arbeitgeber nur bei aufgabenbezogener Datenverarbeitung des Betriebsrats in der Stellung des Verantwortlichen. Neben der aufgabenbezogenen Datenverarbeitung des Betriebsrats als Kollektivorgan (etwa im Rahmen von §§ 99, 102, 111 BetrVG oder weiterer Mitbestimmungsrechte), kommt eine Datenverarbeitung durch einzelne Betriebsratsmitglieder in Betracht, entweder getragen von einem Gremiumsbeschluss bzw. im Rahmen von Aufgabenzuweisungen nach dem BetrVG oder im Falle des Exzesses. Dieser liegt vor, wenn Betriebsratsmitglieder Daten pflichtwidrig (ohne Aufgabenbezug und nicht von einem Beschluss getragen) für eigene Zwecke verarbeiten, beispielsweise beim Erstellen einer Mitarbeiterdatenbank zur Kundenakquise für eine Nebentätigkeit eines Betriebsratsmitglieds. In diesen Sonderfällen ist es möglich, dass sich das jeweilige Betriebsratsmitglied für die konkrete (idR unzulässige) Datenverarbeitung selbst zum datenschutzrechtlichen Verantwortlichen aufschwingt und eine Verantwortlichkeit des Arbeitgebers ausscheidet.
Verarbeitung personenbezogener Daten durch den Betriebsrat
Der Regelfall ist jedoch der des § 79a S. 2 BetrVG, bei dem der Betriebsrat (kollegial oder einzeln durch seine Mitglieder) personenbezogene Daten aufgrund einer Aufgabenzuweisung (idR aus dem BetrVG) verarbeitet. Dann soll allein der Arbeitgeber Verantwortlicher nach Art. 4 Nr. 7 DSGVO sein. Diese gesetzgeberische Festlegung von datenschutzrechtlicher Verantwortlichkeit im BetrVG ist problematisch, weil sie gegen die Vorgaben der höherrangigen DSGVO verstoßen kann.
Verantwortlichkeit bestimmt sich nach Art. 4 Nr. 7 DSGVO und nicht durch nationalgesetzliche Festlegungen im BetrVG, es sei denn diese füllen Öffnungsklauseln der DSGVO aus, wie wir es für den Beschäftigtendatenschutz aus Art. 88 DSGVO iVm § 26 BDSG kennen. Daneben kommt Art 4 Nr. 7 HS 2 DSGVO als Öffnungs- bzw. Spezifizierungsklausel in Frage („sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“). Der Gesetzgeber stützt sich in der Gesetzesbegründung zu § 79a BetrVG in der Tat auch auf Art 4 Nr. 7 HS 2 DSGVO, der ihm eine Bestimmung des Verantwortlichen im Betriebsverfassungskontext erlaube: „Die Regelung legt die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat fest und weist diese dem Arbeitgeber zu“.
Auch die Datenschutzkonferenz (DSK) ist dieser Auffassung und zieht noch Art. 88 DSGVO hinzu. Es gibt hingegen auch überzeugende Argumente, dass die Öffnungsklauseln der DSGVO die Bestimmung des Verantwortlichen in § 79a S. 2 BetrVG nicht tragen und dieser damit unionsrechtswidrig ist, weil das BetrVG die Zwecke und Mittel der Verarbeitung eben nicht vorgibt und eine Verantwortlichenbestimmung eine Schutzniveauabsenkung darstellt, die über Art. 88 DSGVO nicht zulässig ist.
Für die betriebliche Praxis ist das auszublenden und § 79a S. 2 BetrVG dahingehend anzuwenden, dass der Betriebsrat bei rechtmäßiger Aufgabenerfüllung nicht Verantwortlicher iSv Art. 4 Nr. 7 DSGVO ist, sondern allein der Arbeitgeber. Das Ergebnis entspricht der Rechtsprechung des Bundesarbeitsgerichts (BAG) zum Datenschutzrecht vor Inkrafttreten der DSGVO; eine aktuelle Einschätzung des BAG steht aus.
Was bedeutet das für die datenschutzrechtliche Stellung des Betriebsrats?
Mit der Verantwortlichkeit des Arbeitgebers im Rahmen der aufgabenbezogenen Datenverarbeitung des Gremiums ist noch nicht viel über die datenschutzrechtliche Stellung des Betriebsrats gesagt.
Ausschließen kann man die Einordnung des Betriebsrats als Auftragsverarbeiter nach Art. 28 DSGVO und als unterstellte Person nach Art. 29 DSGVO, jeweils aufgrund der eigenständigen Stellung und Rolle des Betriebsrats nach dem BetrVG. Im Verständnis des § 79a S. 2 BetrVG und der Gesetzesbegründung ist der Betriebsrat ein institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Der Betriebsrat wird damit praktisch wie eine Unternehmensabteilung des Arbeitgebers behandelt, die nach DSGVO/BDSG auch keine eigenständige Stellung hat. Wichtig ist abschließend die Feststellung, dass der Betriebsrat nicht „Dritter“ gemäß Art. 4 Nr. 10 DSGVO ist. Der Begriff des Dritten beschreibt eine der drei Rollen, die eine Stelle in der DSGVO haben kann. Auf den Dritten beziehen sich die verarbeiteten Daten nicht und der Dritte ist an der Verarbeitung der Daten auch nicht beteiligt sind; er ist vielmehr Außenstehender ohne spezielle Pflichten oder Verantwortlichkeiten in der DSGVO. Betriebsräte als Teil des Verantwortlichen sind folglich keine Dritten im Verhältnis zu dem verantwortlichen Arbeitgeber.
Was bedeutet das für die datenschutzrechtlichen Pflichten des Betriebsrats?
Welche datenschutzrechtlichen Pflichten treffen dann den Betriebsrat als unselbständigen Teil des nach Art. 4 Nr. 7 DSGVO verantwortlichen Arbeitgebers?
Bereits vor Inkrafttreten der DSGVO vertrat das BAG sehr klar die Geltung der datenschutzrechtlichen Regeln des BDSG für die Datenverarbeitung durch Betriebsräte (BAG, Beschluss vom 11.11.1997 – 1 ABR 21/97). Als Teil der verantwortlichen Stelle „Arbeitgeber“ sei der Betriebsrat dem Datenschutz verpflichtet und habe unter Beachtung des Strukturprinzips der Unabhängigkeit in der Betriebsverfassung eigenständig über Maßnahmen zu beschließen, um einem Missbrauch der Daten innerhalb seines Verantwortungsbereichs zu begegnen. Außerdem müsse der Betriebsrat die jeweils geltenden betrieblichen Datenschutzbestimmungen einhalten und diese so weit wie möglich ergänzen. Inwieweit er dazu durch den Arbeitgeber angemessene technische Vorkehrungen einrichten oder organisatorische Vorkehrungen treffen lasse, um gespeicherte Daten vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen zu schützen bzw. wie er eine wirksame Weitergabekontrolle sicherstelle, obliege seinem pflichtgemäßen Ermessen (BAG, Beschluss vom 12. 8. 2009 – 7 ABR 15/08). Jedwede Datenverarbeitung des Betriebsrats hat damit die datenschutzrechtlichen Standards zu erfüllen.
Etwas anderes ergibt sich auch nicht aus der Entscheidung des BAG vom 9.4.2019 (1 ABR 51/17), wie vereinzelt angenommen wird. Zunächst bestätigte das BAG nun auch für die DSGVO, dass der Betriebsrat bei aufgabenbezogener Datenverarbeitung (im Rahmen gesetzlicher Beteiligungsrechte) die Anforderungen des Datenschutzes beachten muss. Es reicht für den Betriebsrat – wie im Urteil gefordert – auch nicht allgemein aus, sicherzustellen, dass verarbeitete Daten verschlossen vor dem Zugriff Dritter sind, der Kreis der Zugriffsberechtigten nach dem Prinzip der Erforderlichkeit beschränkt bzw. eingeschränkt ist und ein Löschkonzept besteht und umgesetzt wird. Diese Erfordernisse resultieren vielmehr aus einer Verarbeitung besonderer personenbezogener Daten (Art. 9 DSGVO) auf Grundlage des datenschutzrechtlichen Erlaubnistatbestands des § 26 Abs. 3 S.1 und S. 3 iVm. § 22 Abs. 2 BDSG. Gemäß § 22 Abs. 2 BDSG sind zur Wahrung der Interessen der betroffenen Personen (zusätzliche) angemessene und spezifische Maßnahmen vorzusehen. Darauf stellte das Urteil im Wesentlichen ab, ohne die grundsätzlich für den Betriebsrat geltenden datenschutzrechtlichen Pflichten zu detaillieren.
Neuregelung im BetrVG entlässt den Betriebsrat nicht aus der datenschutzrechtlichen Pflichtenbindung
Die Neuregelung des 79a S. 1 BetrVG greift die Rechtsprechung des BAG sowie die nach der DSGVO für unselbständige Unternehmensteile eines Verantwortlichen ohnehin geltende Rechtslage auf und ordnet an, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat.
Die Gesetzesbegründung nennt hier DSGVO und BDSG, dort insbesondere § 26. Bereits vor Einführung von § 79a BetrVG ergab sich diese datenschutzrechtliche Pflichtenbindung des Betriebsrats aus § 75 Abs. 1 (Bindung an Recht und Billigkeit) sowie aus Abs. 2 BetrVG (allg. Persönlichkeitsrecht/Recht auf informationelle Selbstbestimmung) BetrVG. Schließlich führt § 26 Abs. 6 BDSG, wonach die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben, zu keiner Einschränkung der datenschutzrechtlichen Stellung oder der Pflichten des Betriebsrats.
Datenverarbeitung durch den Betriebsrat und Kontrolle durch den Arbeitgeber – Ausblick
In einer zeitnahen Fortsetzung dieses Beitrages geht der Autor u.a. auf die Frage ein, wann (und wie) die Datenverarbeitung durch den Betriebsrat zulässig ist. Auch werden die DSGVO-Compliance-Pflichten des Betriebsrats konkretisiert, die Kontrollmöglichkeiten für Arbeitgeber erläutert und die Rolle des Datenschutzbeauftragten thematisiert.
Schlussendlich folgen Hinweise auf Regelungen in der Praxis etwa durch Betriebsvereinbarungen oder Regelungsabreden, welche die rechtlichen Einschätzungen und Bewertungen umsetzen.
