Das Thema
Mit Beschluss vom 09.05.2023 (1 ABR 14/22) greift das BAG neben arbeitsrechtlichen Fragen auch datenschutzrechtliche Probleme auf und schafft Klarheit zu den Pflichten des Betriebsrates aufgrund seiner Stellung nach § 79a BetrVG. So bezieht der 1. Senat Stellung zum Auskunftsrecht des Betriebsrates zur Schwerbehinderung von leitenden Angestellten. Dem BAG zufolge hat der Betriebsrat auch bezüglich leitenden Angestellten ein umfassendes Auskunftsrecht, da dieses Informationsrecht dem Betriebsrat durch das 9. Sozialgesetzbuch übertragen wurde. Daneben stellt das BAG klar, welche Regelungen im BDSG auch noch nach der Entscheidung des EuGH (Urt. v. 30.03.2023 – C-34/21) weiterhin mit Europarecht zu vereinbaren sind. Zuletzt führt das BAG aus, welche Maßnahmen der Betriebsrat aufgrund seiner Stellung nach §79a BetrVG ergreifen muss, damit er vom Arbeitgeber Daten verlangen kann.
Der Fall
Der Betriebsrat forderte vom Arbeitgeber eine Liste mit den Namen aller schwerbehinderten und diesen gleichgestellten Arbeitnehmern zu übermitteln. Dabei sollte die Liste auch die Namen der leitenden Angestellten beinhalten, die ebenfalls schwerbehindert sind. Die Arbeitgeberin lehnte dies ab und erteilte lediglich die Auskunft, dass der Schwellenwert für die Wahl einer Schwerbehindertenvertretung erreicht sei. Die Namen der Arbeitnehmer wollte die Arbeitgeberin nicht herausgeben, da nicht alle in die Weitergabe ihrer Daten an den Betriebsrat eingewilligt hatten.
Das LAG Baden-Württemberg hat mit Beschluss vom 20.05.2022 (12 TaBV 4/21) dem Auskunftsbegehren des Betriebsrates umfassend stattgegeben. Das Gericht sah in § 80 Abs. 2 Satz 1 BetrVG sowie in § 80 Abs. 1 Nr. 4 BetrVG i.V.m. § 176 SGB IX eine Rechtsgrundlage für den Betriebsrat zum Erhalt aller Namen der im Betrieb schwerbehinderten Arbeitnehmer. Das Gremium habe eine gesetzlich statuierte Überwachungs- und aktive Förderungspflicht schwerbehinderter Menschen. Den Einwand der Arbeitgeberin, dass der Betriebsrat kein ausreichendes Datenschutzkonzept habe, da man nicht alle Schutzmaßnahmen nach § 22 Abs. 2 Satz 2 Nr. 1 bis Nr. 10 BDSG eingehalten werde, wies das Gericht dabei zurück. Zwar würde ein Fehlen von ausreichenden Maßnahmen grundsätzlich den Anspruch des Betriebsrates ausschließen, im vorliegenden Fall habe er jedoch ausreichende Schutzmaßnahmen dargelegt. Die Maßnahmen des Kataloges in § 22 Abs. 2 Satz 2 BDSG seien lediglich Regelbeispiele optional vorgesehener Schutzvorkehrungen, die nicht alle zu erfüllen seien.
Umfang der Auskunftsrechte des Betriebsrates
Das BAG hat den Beschluss des LAG Baden-Württemberg bestätigt. Der Betriebsrat dürfe auch die Namen der leitenden Angestellten verarbeiten, die schwerbehindert sind. Rechtsgrundlage hierfür sei § 26 Abs. 1 Satz 1 BDSG i.V.m. § 80 Abs. 2 Satz 1 Hs. 1 BetrVG, § 176 SGB IX. Diese Rechtsgrundlage sei auch europarechtskonform. Zudem habe der Betriebsrat ein ausreichendes Datenschutzkonzept für die Weitergabe der Daten vorgelegt.
Der Betriebsrat habe nach § 80 Abs. 2 S. 1 Hs. 1 BetrVG einen Anspruch auf Auskunft über die Namen aller im Betrieb schwerbehinderten und diesen gleichgestellten Arbeitnehmern. Es bedürfe hierfür insbesondere nicht der Einwilligung der einzelnen Arbeitnehmer. Hiervon sind laut BAG auch die Namen der leitenden Angestellten erfasst. Zwar vertrete grundsätzlich der Sprecherausschuss und nicht der Betriebsrat die leitenden Angestellten, jedoch habe der Gesetzgeber die Aufgabe der Förderung der Eingliederung schwerbehinderter Menschen in § 176 SGB IX auch im Hinblick auf leitende Angestellte nicht dem Sprecherausschuss, sondern dem Betriebsrat zugewiesen. Daneben würde ein Ausschluss von leitenden Angestellten vom Informationsrecht des Betriebsrates den Schutzzweck des § 176 SGB IX nur unzureichend erfüllen. Zweck sei ein umfassender und lückenloser Schutz von schwerbehinderten Menschen. Diese Schutzbedürftigkeit der schwebehinderten Menschen bestehe dabei nur aufgrund besonderer Bedürfnisse und nicht aufgrund der Stellung im Unternehmen.
Dem Auskunftsrecht stehe auch nicht der Anwendungsbereich des BetrVG entgegen. Zwar seien leitende Angestellte nach § 5 Abs. 3 Satz 1 BetrVG vom Anwendungsgereich des BetrVG ausgenommen, jedoch sei § 80 Abs. 1 Nr. 4 BetrVG eine davon abweichende Bestimmung. Der Betriebsrat habe nach § 80 Abs. 1 Nr. 4 BetrVG i.V.m. § 176 Satz 1 SGB IX die Aufgabe, die Eingliederung schwerbehinderter Menschen zu fördern. Hierfür schließe er auch in Zusammenarbeit mit der Schwerbehindertenvertretung nach § 166 SGB IX eine Inklusionsvereinbarung ab, die nach auch die leitenden Angestellten einbezieht.
Den Einwand, dass die leitenden Angestellten den Betriebsrat nicht gewählt haben und es daher ein demokratisches Legitimationsdefizit gäbe, lehnt das BAG dabei ab. Zwar würden die leitenden Angestellten den Betriebsrat nicht wählen, jedoch habe dieser auch keine Befugnis der normativen Rechtssetzung für diese Gruppe. Seine Zuständigkeit ist lediglich eine Förderung des Abschlusses einer Inklusionsvereinbarung. Daher entsteht im Ergebnis kein solches Legitimationsdefizit. Die Schwerbehindertenvertretung, die auch die leitenden Angestellten wählen, ist hier in solchen Vereinbarungen Partei. Der Betriebsrat ist lediglich unterstützend tätig.
Rechtsgrundlage für die Datenverarbeitung durch den Betriebsrat
Laut BAG ist Rechtsgrundlage für die Weitergabe der verlangten Daten an den Betriebsrat § 26 Abs. 3 BDSG und § 26 Abs. 1 Satz 1 BDSG. Beide Normen entsprächen im Hinblick auf die Verarbeitung von personenbezogenen Daten durch Betriebsräte für die Erfüllung von gesetzlichen Pflichten, den Anforderungen des EuGH (v. 30.03.2023 – C-34/21) und damit auch der DSGVO. In § 26 Abs. 3 BDSG werde in erlaubter Weise der Wortlaut von Art. 9 Abs. 2 lit. b DSGVO wiederholt und darüber hinaus auch die Anforderungen von Art. 88 Abs. 2 DSGVO eingehalten. Eine solche Wiederholung sei zum einen nach Erwägungsgrund 8 der DSGVO erlaubt, um die Kohärenz zu wahren und nationale Rechtsvorschriften für die Betroffenen verständlicher zu machen, zum anderen sehe das BDSG auch geeignete Garantien für Grundrechte und Interessen der Betroffenen vor. Diese Garantien seien in § 22 Abs. 2 BDSG normiert. Dort habe der Gesetzgeber ausreichende Vorgaben für geeignete und besondere Maßnahmen nach Art. 88 Abs. 2 DSGVO gemacht.
Auch § 26 Abs. 1 Satz 1 BDSG sieht das BAG nicht als europarechtswidrig an, soweit es um die Verarbeitung von personenbezogenen Daten des Betriebsrates für die Erfüllung von rechtlichen Verpflichtungen geht. Zwar erfülle die Vorschrift nicht die Voraussetzungen des Art. 88 DSGVO, jedoch müsse die Vorschrift nur die Voraussetzungen des Art. 6 Abs. 3 DSGVO erfüllen. Dort wird geregelt, was in einer Rechtsgrundlage für eine Verarbeitung nach Art. 6 Abs. 1 lit. c DSGVO, die Erfüllung einer gesetzlichen Pflicht, zu regeln ist. Diese Anforderungen werden laut BAG in § 26 Abs. 1 Satz 1 BDSG für Verarbeitungen durch Betriebsräte auf Grund von rechtlichen Verpflichtungen erfüllt. So seien die spezifischen Regelungen unter anderem welche Personen betroffen sind und welche Daten für welchen Zweck gegenüber dem Betriebsrat zu offenbaren sind.
In dieser Entscheidung hat das BAG jedoch offengelassen, ob die übrigen Tatbestände von § 26 Abs. 1 Satz 1 BDSG noch den Anforderungen der DSGVO entsprechen. Von seiner allgemeinen Einschätzung, dass diese Vorschrift insgesamt den Anforderungen des Art. 88 DSGVO genügt, ist es jedoch ausdrücklich abgerückt.
Voraussetzungen einer Weitergabe der Daten an den Betriebsrat
Auch wenn der Betriebsrat aufgrund von § 79a BetrVG kein eigenständiger Verantwortlicher ist, muss er laut BAG die Vorgaben von § 22 Abs. 2 BDSG einhalten, um vom Arbeitgeber die Gesundheitsdaten der Arbeitnehmer und leitenden Angestellten zu erhalten. § 79a BetrVG befreie den Betriebsrat nämlich nicht von der Pflicht, die Datensicherheit und -sparsamkeit eigenverantwortlich durch technische und organisatorische Maßnahmen in seinem Zuständigkeitsbereich sicherzustellen.
Damit der Betriebsrat daher besonders sensible Daten vom Arbeitgeber erhält, muss er diesem gegenüber nachweisen, dass er hinreichende Schutzvorkehrungen nach § 22 Abs. 2 BDSG getroffen hat. Sonst kann der Arbeitgeber die Weitergabe der Daten ablehnen.
Laut BAG hatte der Betriebsrat im vorliegenden Fall ausreichende Schutzvorkehrungen getroffen, selbst wenn er keine spezifischen Maßnahmen aufgenommen hat. Er habe im Prozess ausreichende Maßnahmen nach § 22 Abs. 2 BDSG dargelegt. Dabei sei auch unbeachtlich, dass der Betriebsrat keine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchgeführt hat und auch kein Verarbeitungsverzeichnis nach Art. 30 DSGVO führt. Diese Vorgaben seien keine geeigneten Garantien für die Grundrechte und die Interessen der betroffenen Person nach Art. 9 Abs. 2 lit. b DSGVO und seien daher für die Frage der ausreichenden Schutzvorkehrungen unbeachtlich.
Fazit und Praxistipps
Das BAG bringt weiter Klarheit in die Anwendbarkeit von § 26 BDSG nach der Entscheidung des EuGH vom 30.03.2023 zu § 23 HDSIG. § 26 Abs. 3 BDSG ist weiterhin anwendbar. Daneben ist auch § 26 Abs. 1 Satz 1 BDSG weiterhin anwendbar, soweit es um die Verarbeitung von personenbezogenen Daten durch einen Betriebsrat auf Grundlage einer gesetzlichen Verpflichtung geht. Ob daneben aber die anderen Regelungen auch weiterhin anwendbar sind, ist fraglich. Das BAG hat sich in diesem Beschluss ausdrücklich von seiner alten Rechtsprechung, dass § 26 Abs. 1 Satz 1 BDSG insgesamt DSGVO-konform ist, distanziert.
Darüber hinaus ist der Entscheidung des BAG nur teilweise zuzustimmen. Während sie zu den datenschutzrechtlichen Maßnahmen des Betriebsrates auf Basis von § 79a BetrVG zu begrüßen ist, ist die Entscheidung zur namentlichen Auskunft über schwerbehinderte leitende Angestellte abzulehnen.
Datenschutzrechtliche Pflichten des Betriebsrates
Mit Einführung des § 79a BetrVG hatte der Gesetzgeber Klarheit bezüglich der datenschutzrechtlichen Stellung des Betriebsrates gegenüber dem Arbeitgeber geschaffen (im Detail dazu der EFAR-Beitrag „Betriebsrat: Datenschutzrechtliche Stellung und Pflichten nach der Betriebsverfassung, DSGVO und BDSG“). Der Betriebsrat ist Teil des Arbeitgebers und kein eigenständiger Verantwortlicher. Um die sich hieraus ergebene Kollision zwischen der Selbstständigkeit und Weisungsfreiheit des Betriebsrates und der Überwachungspflicht des Arbeitgebers als datenschutzrechtlich Verantwortlicher aufzulösen, hat der Gesetzgeber eine gegenseitige Unterstützungspflicht normiert und den Datenschutzbeauftragten als Stelle eingerichtet, die aufgrund seiner Verschwiegenheit auch den Betriebsrat unabhängig überwachen kann.
Mit dem vorliegenden Urteil hat das BAG nun konkretisiert, wie weit die Pflichten des Betriebsrates im Hinblick auf Datensicherheit reichen und in welchem Umfang der Arbeitgeber diese überprüfen kann. So muss der Betriebsrat Maßnahmen ergreifen, die sich an § 22 Abs. 2 BDSG orientieren. Dabei muss er aber nicht alle dort genannten Maßnahmen ergreifen. Die Maßnahmen müssen dem Risiko angepasst sein, wobei die Maßnahmen in § 22 Abs. 2 BDSG Beispiele für mögliche Maßnahmen sind. Bei der Frage, welche Maßnahmen ergriffen werden müssen, ist das BAG jedoch sehr zurückhaltend. Da hier Art. 9-Daten verarbeitet werden, hätte das BAG konkretere Anforderungen an die Maßnahmen stellen müssen. Allgemeine und generische Maßnahmen sind hier nicht ausreichend. Im Ergebnis ist aber richtig, dass ein Betriebsrat, der keine ausreichenden Maßnahmen zur Datensicherheit vorweist, vom Arbeitgeber auch keine besonders sensible personenbezogenen Daten erhalten kann. Es würde sonst zu einer Datenschutzverletzung kommen, die der Arbeitgeber als Verantwortlicher nach Art. 33 DSGVO der Datenschutzbehörde anzeigen müsste.
Regelungsvereinbarung zwischen Arbeitgeber und Betriebsrat
Damit der Arbeitgeber seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllen kann und der Betriebsrat weiterhin auch besondere Kategorien von personenbezogenen Daten (insb. Gesundheitsdaten) erhalten kann, sollten die Betriebsparteien eine Regelungsvereinbarung abschließen. In einer solche Vereinbarung kann man die Zusammenarbeit zwischen Arbeitgeber und Betriebsrat in datenschutzrechtlicher Hinsicht umfassend regeln. Aufgrund des vorliegenden BAG-Beschlusses sollten hierbei insbesondere die technischen und organisatorischen Maßnahmen des Betriebsrates und deren Überprüfung durch den Datenschutzbeauftragten geregelt werden. Daneben sollten aber auch die Pflichten des Arbeitgebers im Hinblick auf die Datenverarbeitungen des Betriebsrates berücksichtigt werden. So müssten diese Verarbeitungstätigkeiten auch in das Verarbeitungsverzeichnis nach Art. 30 DSGVO des Arbeitgebers eingefügt werden und ggf. Datenschutzfolgenabschätzungen nach Art. 35 DSGVO durchgeführt werden.
Umfang der Informationsrechte des Betriebsrates
Die Entscheidung des BAG zu den Informationsrechten des Betriebsrates ist abzulehnen. Dass dieser auch gegenüber dem Arbeitgeber Auskunft zur Schwerbehinderung von leitenden Angestellten verlangen kann, geht zu weit. Leitende Angestellte werden nicht vom Betriebsrat vertreten, sondern verhandeln oft für den Arbeitgeber mit dem Gremium. Zwar sieht das BAG in der fehlenden Vertretung kein Legitimationsdefizit, da die Schwerbehindertenvertretung alle Schwerbehinderten vertritt, jedoch erhält der Betriebsrat Gesundheitsdaten von Personen, die unter Umständen mit ihm verhandeln. Daher hatten vorliegend auch die leitenden Angestellten auf Nachfrage des Arbeitgebers nicht in die Weitergabe ihrer Daten an den Betriebsrat eingewilligt. Zwar sieht das Datenschutzrecht keinen Vorrang des Willens der betroffenen Person vor, jedoch hätte das BAG zum einen das allgemeine Spannungsverhältnis zwischen leitenden Angestellten und Betriebsräten und zum anderen auch den Willen der leitenden Angestellten berücksichtigen müssen. Ein Mittelweg – etwa die vom Arbeitgeber zur Verfügung gestellte anonyme Liste – hätte schon ausreichen können. Die Schwerbehinderten selbst werden ausreichend von der Schwerbehindertenvertretung gegenüber dem Arbeitgeber vertreten. In diesem Zusammenhang hat der Betriebsrat zwar nach dem 9. Sozialgesetzbuch gewisse Auskunftsrechte, jedoch überspannt das BAG diese in seiner Entscheidung.