13. Februar 2012
Datenschutz, Betriebsrat
Arbeitsrecht Datenschutzrecht

Arbeitnehmer-Datenschutz aus einem anderem Blickwinkel: Was darf der Betriebsrat?

Datenschutz und Betriebsrat: Probleme treten bei der Datenverarbeitung ohne konkreten Aufgabenbezug auf. Wir zeigen, worauf zu achten ist.

Häufig rügen Arbeitnehmervertreter den Umgang mit Mitarbeiterdaten durch den Arbeitgeber. Aber welche Grenzen hat der Betriebsrat beim Datenschutz selbst zu beachten? Darf er eigenständig Mitarbeiterlisten speichern? Darf er Privatadressen von Mitarbeitern verarbeiten? Welche Handlungsmöglichkeiten hat der Arbeitgeber, wenn der Betriebsrat gegen das Datenschutzrecht verstößt?

Hier der Versuch einiger Antworten:

Datenspeicherung bei Wahrnehmung konkreter Aufgaben

Die Frage ist relativ unproblematisch zu beantworten, wenn der Betriebsrat auf diese Daten im Rahmen der Wahrnehmung konkreter betriebsverfassungsrechtlicher Aufgaben zurückgreift. So etwa bei der Einsicht in die Personalakten, der Bearbeitung von Beschwerden, einer Anhörung zur Einstellung oder Versetzung oder bei Abschluss eines Interessenausgleichs oder Sozialplans.

Zweifelhaft ist allerdings, inwiefern der Betriebsrat im Sinne des Datenschutzrechts zur Datenerhebung, -verarbeitung und/oder -nutzung berechtigt ist, wenn kein Bezug zu einer konkreten betriebsverfassungsrechtlichen Aufgabe besteht. Die Praxis zeigt, dass Betriebsräte oftmals umfassende (digitale) Datenbanken mit personenbezogenen Daten der Mitarbeiter anlegen. Die Erhebung der Daten erfolgt dabei durch den Betriebsrat selbst, indem er sich an die betreffenden Arbeitnehmer wendet.

Häufig greift der Betriebsrat jedoch auch auf die vom Arbeitgeber oder vom Konzern-/Gesamtbetriebsrat im Hinblick auf einen konkreten Verhandlungsgegenstand zur Verfügung gestellte Datensätze zurück. Im ersten Fall stellt sich die Frage, ob im Rahmen der Überlassung von personenbezogenen Daten eine wirksame Einwilligung zur Datenverarbeitung und -nutzung vorliegt. Im zweiten Fall ist fraglich, ob der Betriebsrat nach Abschluss des konkreten betriebsverfassungsrechtlichen Vorgangs berechtigt ist, den vorhandenen Datenbestand noch darüber hinaus „allgemein“ und „auf Vorrat“ für seine Zwecke zu nutzen. Ein besonders Augenmerk gilt hierbei dem Verhältnis vom Betriebsverfassungsgesetz (BetrVG) zum Bundesdatenschutzgesetz (BDSG).

Problem mit dem Datenschutzrecht beim Betriebsrat: Datenverarbeitung ohne konkreten Aufgabenbezug

Bei der Erhebung, Verarbeitung und Nutzung der Daten durch den Betriebsrat ohne Zusammenhang mit einer betriebsverfassungsrechtlichen Aufgabenstellung richtet sich die Zulässigkeit der Maßnahme nach den Regelungen des BDSG. Nach allgemeiner Auffassung ist der Betriebsrat dabei – mangels Rechtsfähigkeit – nicht unmittelbar Adressat des Gesetzes. Grundsätzlich ist der Arbeitgeber die dem Datenschutz unterworfene verantwortliche Stelle i. S.v. § 3 Abs. 7 BDSG. Als Teil dieser verantwortlichen Stelle ist der Betriebsrat aber gleichfalls dem Datenschutz verpflichtet. In diesem Sinne hat er eigenständig Maßnahmen zu beschließen, um einem Datenmissbrauch in seinem Verantwortungsbereich zu begegnen. Außerdem muss der Betriebsrat die jeweils geltenden (betrieblichen) Datenschutzbestimmungen einhalten und diese – soweit wie möglich – ergänzen. Demgemäß ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten der Arbeitnehmer durch den Betriebsrat nur möglich, wenn das BDSG dies erlaubt.

1. Erlaubnisnormen im BetrVG

Betriebsverfassungsrechtliche Vorschriften können legitimierende Wirkung im Hinblick auf die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten haben. Dies gilt allerdings nicht für Regelungen, die lediglich einen allgemeinen Informations- und Unterrichtungsanspruch gewähren. Diese sind weder als vorrangige Norm des Bundesrechts i.S.v. § 1 Abs. 3 BDSG zu qualifizieren, noch ist der Erlaubnistatbestand des § 4 Abs. 1, 2. Var. BDSG einschlägig, da diese keine konkrete Aussage bezüglich der Datenspeicherung, -verarbeitung oder -nutzung treffen.  Nach zutreffender Auffassung in der Literatur liegt nämlich keine vorrangige Erlaubnisnorm vor, wenn lediglich eine Betriebsratsaufgabe beschrieben wird, zu deren Erfüllung personenbezogene Daten verarbeitet werden müssen.

Eine ausdrückliche Norm zur Erhebung von Daten findet sich zwar in § 80 Abs. 2 S. 2 BetrVG. Die Norm gewährt dem Betriebsrat das Recht, in Listen über Bruttolöhne und -gehälter Einsicht zu nehmen. Insofern trifft die Norm eine konkrete Aussage zu einer der in § 3 BDSG genannten Phasen datenschutzrechtlich relevanten Verhaltens. § 80 Abs. 2 S. 2 BetrVG schließt aber das Anfertigen von Abschriften oder Fotokopien, andere Vervielfältigungen oder das Aushändigen der Listen aus. Bei der Einsichtnahme sollen allenfalls Notizen erlaubt sein. Eine Vorlage der Listen berechtigt den Betriebsrat folglich nicht, eine Speicherung vorzunehmen oder die erhaltenen Informationen weiterzugeben oder zu veröffentlichen. Ferner ist § 80 Abs. 2 S. 2 BetrVG explizit auf Lohn- und Gehaltsdaten beschränkt. Eine Erlaubnisnorm für das Führen einer allgemeinen Arbeitnehmerdatenbank liegt daher nicht vor.

Im Übrigen bestehen keine betriebsverfassungsrechtlichen Vorschriften, die eine Erhebung, Verarbeitung oder Nutzung von personenbezogenen Arbeitnehmerdaten „auf Vorrat“ ausdrücklich anordnen oder erlauben.

2. Erlaubnisnormen im BDSG

Ist eine betriebsverfassungsrechtliche Regelung, die zur allgemeinen Erlaubnis der Datenverarbeitung führt, nicht vorhanden, kommt eine solche nur in Betracht, wenn das BDSG diese ausdrücklich erlaubt.

Die Zulässigkeit einer Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Betriebsrat kann sich dabei aus § 32 BDSG ergeben, wenn die Datenerhebung, -verarbeitung bzw. –nutzung zur Durchführung des Arbeitsverhältnisses erforderlich ist. Zwar dienen die Verarbeitung und Nutzung von Personaldaten durch den Betriebsrat im weiteren Sinne einer einheitlichen arbeitsrechtlichen Zweckbestimmung. Dabei sind Nutzungen zu Arbeitgeberzwecken aber andere als solche, die der Erfüllung der Aufgaben der Mitarbeitervertretung dienen. Fraglich ist insofern, ob eine anlassunabhängige Datenerhebung, -verarbeitung bzw. -nutzung durch den Betriebsrat zur Durchführung des Arbeitsverhältnisses noch erforderlich ist.

Bei einer anlassunabhängigen Datenspeicherung durch den Betriebsrat fehlt es meines Erachtens allerdings an den Voraussetzungen der Erforderlichkeit i. S. d. § 32 BDSG. Die Durchführung des Arbeitsverhältnisses ist auch ohne Erhebung anlassunabhängig erhobener Daten möglich. Die mangelnde Erforderlichkeit ergibt sich bereits daraus, dass der Betriebsrat für den Fall, dass die Kenntnis der entsprechenden Daten notwendig ist, ohnehin berechtigt ist, den Arbeitgeber um entsprechende Auskunft zu ersuchen.

Mit der Erforderlichkeit der Datenerhebung, -verarbeitung bzw. –nutzung beschäftigt sich – im weiteren Sinne – das Bundesverwaltungsgericht in einer Entscheidung aus dem Jahr 1990. Das Gericht führt dazu aus, dass der Betriebsrat in der Regel nur für die Dauer der konkreten Ausübung des Beteiligungsrechtes berechtigt sei, personenbezogene Daten der Arbeitnehmer einzusehen oder zu speichern, nicht jedoch darüber hinaus. Insofern das BVerwG wörtlich:

In der Regel ist es ausreichend (…), wenn der Personalrat die jeweils erforderlichen [Daten] etwa in Form einer aktuellen Liste vom Dienststellenleiter erhält. Auf diese Weise lässt sich sowohl dem Recht des einzelnen Beschäftigten auf informationelle Selbstbestimmung als auch dem aufgabenbezogenen Informationsrecht des Personalrats im Rahmen der dabei erforderlichen Abwägung bestmöglich Rechnung tragen.

Selbst wenn das BVerwG im Weiteren andeutet, dass allgemein eine dauerhafte Speicherung bestimmter, arbeitsplatzbezogener Daten – möglicherweise in größeren Betrieben – in Betracht komme, ist diesem Ansatz nicht zu folgen. Gleiches gilt für die Ansicht einiger Autoren, die offenbar in Anlehnung an die Entscheidung des BVerwG darauf hinweisen, dass „ab einer gewissen Größe des Betriebs“ der Mitarbeitervertretung „Grundstammdaten“ der Arbeitnehmer dauerhaft zu überlassen sind. Im Zeitalter der elektronischen Datenübermittlung spielt aber die Betriebsgröße letztlich keine Rolle. Große Datenmengen können ebenso gut wie kleine durch den Arbeitgeber in kürzester Zeit elektronisch versendet und kurzfristig an den Betriebsrat übermittelt werden. Es ist daher völlig unproblematisch, dass sich der Betriebsrat bei Wahrnehmung seiner Aufgaben nach dem BetrVG an den Arbeitgeber wendet und die Überlassung der jeweiligen Daten verlangt.

Eine „Erforderlichkeit“ zu einer dauerhaften Speicherung durch die Mitarbeitervertretung ist daher offensichtlich nicht gegeben. Dafür spricht auch der datenschutzrechtliche Grundsatz der Datenvermeidung und -sparsamkeit. Danach sollen Daten nur erhoben, verarbeitet und genutzt werden, soweit dies notwendig ist; die Verwendung von personenbezogenen Daten soll dabei auf ein Mindestmaß beschränkt werden. Es ist nicht angezeigt, dass personenbezogene Arbeitnehmerdaten zweifach – nämlich beim Arbeitgeber und beim Betriebsrat – hinterlegt werden, da der Arbeitgeber nach betriebsverfassungsrechtlichen Vorschriften ohnehin zu deren Herausgabe verpflichtet ist, wenn und soweit der Betriebsrat von seinen Beteiligungsrechten Gebrauch macht. In diesem Sinne ist der Betriebsrat darauf zu verweisen, die bereits beim Arbeitgeber gespeicherten Daten einzusehen.

Die Entscheidung des BVerwG, die einen Sachverhalt im öffentlichen Dienst betraf, enthält auch keine verallgemeinerungsfähigen Aussagen, die auf die Privatwirtschaft übertragen werden könnten. Während im öffentlichen Dienst Beschäftigungsverhältnisse regelmäßig auf eine langjährige Dienstzugehörigkeit ausgerichtet sind und der Mitarbeiterstamm weitgehend gleich bleibt, sind viele Branchen im privatwirtschaftlichen Bereich von einer hohen Fluktuation durch häufige Neueinstellungen und Abgänge gekennzeichnet. Die generelle Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Betriebsrat birgt das Risiko, dass Datenbestände veraltet, unrichtig oder unvollständig sind, d. h. der Betriebsrat hat mittelfristig einerseits „zu wenig“, andererseits „zu viele“ Daten. Die Speicherung von Daten, die ohne Bezug zu einer konkreten Aufgabe in der Absicht erfolgt, im Bedarfsfall schnell auf diese zugreifen zu können, gerät damit zwingend in Konflikt zu der Verpflichtung, unrichtige Daten so schnell wie möglich zu berichtigen. Zudem ist zu berücksichtigen, dass die Gefahr besteht, dass Informationen von bereits ausgeschiedenen Arbeitnehmern verarbeitet werden, für die der Betriebsrat kein Mandat mehr hat und deren Interessen er nicht mehr wahrzunehmen befugt ist.

3. Einwilligung des Arbeitnehmers

Die Datenerhebung, -verarbeitung und -nutzung ist auch nach Einwilligung des Betroffenen zulässig. Wenn keine Rechtsnorm die Verarbeitung der Daten ermöglicht, ist die Erlaubnis durch den Betroffenen, d. h. seine vorherige Einverständniserklärung erforderlich. Die Einwilligung wird üblicherweise nur eingeholt, wenn ansonsten kein Erlaubnistatbestand zu finden ist, der einen datenschutzrechtlichen Eingriff rechtfertigen würde.

Der Beschäftigte muss die Entscheidung gem. § 4a Abs. 1 S. 1 BDSG jedoch freiwillig treffen und ist dabei über den Zweck der Datenerhebung, -verwendung und -nutzung aufzuklären. Ferner muss der Arbeitnehmer die Einwilligung vor der datenschutzrechtlichen Maßnahme abgeben; ansonsten ist diese unwirksam. Damit bleibt es dem Betriebsrat natürlich nicht grundsätzlich verwehrt, Daten mittels Einholung von Einwilligungserklärungen zu speichern, die nichts mit einer konkreten Aufgabenwahrnehmung nach dem BetrVG zu tun haben. Aber eine ordnungsgemäße Datenerhebung nach einer Einwilligung ermächtigt den Betriebsrat nicht, Arbeitnehmerdaten „auf Vorrat“ zu speichern. Die Datenerhebung unterliegt vielmehr einer konkreten Zweckbindung, die den Arbeitnehmern im Rahmen der Erhebung und vor Abgabe der Einwilligungserklärung mitgeteilt werden muss. Nach Zweckerreichung sind die Daten folglich zu löschen.

Betriebsrat muss Datenschutz genau beachten

Der Betriebsrat ist im Rahmen des Datenschutzrechts zwar berechtigt, personenbezogene Daten der Arbeitnehmer zu erheben, verarbeiten und nutzen, soweit dies unter Berücksichtigung des jeweiligen Beteiligungsrechtes notwendig ist. Nach Abschluss des betriebsverfassungsrechtlichen Vorgangs ist der Betriebsrat jedoch verpflichtet, die Daten zu löschen. Der Betriebsrat ist nicht befugt, allgemeine Datenbanken zu pflegen, in der „präventiv“ personenbezogene Daten archiviert werden und auf die er im Bedarfsfall zugreifen kann. Eine „Vorratsdatenspeicherung“ des Betriebsrats ist daher unzulässig.

Tags: Betriebsrat Datenschutzrecht Datenschutzrecht & Recht der IT-Sicherheit