Gerichte und Behörden könnten Betriebsräte künftig als datenschutzrechtlich eigenständig Verantwortliche einordnen. Für Arbeitgeber hieße dies "Steine statt Brot".
Der Betriebsrat verarbeitet im Rahmen seiner Tätigkeit personenbezogene Daten und hat dabei die Vorgaben der DSGVO und des BDSG zu beachten. Ob er darüber hinaus auch als „Verantwortlicher″ für die eigene Datenschutz-Compliance einzustehen hat, steht seit Geltung der DSGVO (erneut) auf dem juristischen Prüfstand.
BAG: Betriebsrat Teil des Arbeitgebers als verantwortlicher Stelle
Vor Geltung der DSGVO urteilte das BAG in ständiger Rechtsprechung, dass der Betriebsrat nicht eigener Verantwortlicher, sondern Teil des Arbeitgebers als verantwortliche Stelle ist. Stützen konnte sich das BAG bei dieser Beurteilung auf den damaligen Wortlaut des BDSG, der Gremien wie den Betriebsrat nicht als verantwortliche Stelle erfasste.
In Folge wurde der Betriebsrat datenschutzrechtlich wie eine Abteilung des Unternehmens behandelt. Allerdings eine Abteilung mit Sonderrechten, denn in einem weiteren Urteil betonte das BAG die Unabhängigkeit des Betriebsrats und entschied, dass das Gremium nicht der Kontrolle des Datenschutzbeauftragten des Arbeitgebers unterliegt.
Diese ambivalent anmutende Beurteilung stieß bereits in der Vergangenheit auf Kritik, da der Arbeitgeber in Konsequenz als „Schlussverantwortlicher″ für Datenschutzverstöße des Betriebsrats einzustehen, gleichzeitig aber nur sehr beschränkte Möglichkeiten hatte, die Einhaltung der Datenschutzvorgaben durch den Betriebsrat zu beeinflussen.
Rechtsprechungswechsel nach Geltung der DSGVO?
Die der Rechtsprechung des BAG zu Grunde liegende Rechtslage erfuhr mit Geltung der DSGVO insoweit eine Änderung, als nach deren Wortlaut nun jede Stelle Verantwortlicher ist, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Ob dies beim Betriebsrat der Fall ist, wird derzeit leidenschaftlich diskutiert. Zwar ergibt sich der Zweck der Datenverarbeitung durch den Betriebsrat aus seinen Aufgaben nach dem Betriebsverfassungsgesetz (BetrVG) und die Mittel der Datenverarbeitung (etwa die IT-Systeme) werden in der Regel vom Arbeitgeber vorgegeben. Andererseits entscheidet der Betriebsrat in der Praxis in aller Regel selbst darüber, in welcher konkreten Form er mit den an ihn übermittelten Daten umgeht und seinen nach dem BetrVG nur abstrakt vorgegebenen Rechten und Pflichten im Alltag nachkommt.
Die seit Geltung der DSGVO mit der Frage befassten Gerichte sprachen sich bislang überwiegend dafür aus, dass der Betriebsrat weiterhin als Teil des verantwortlichen Arbeitsgebers anzusehen ist. Für die Gegenauffassung streitet bislang nur ein einzelnes Urteil des LAG Sachsen-Anhalt vom 18. Dezember 2018 (Az.: 4 TaBV 19/17), nach dem der Betriebsrat über den Zweck einer von ihm vorgenommenen Einsicht in Bruttoentgeltlisten selbst entscheidet und daher auch Verantwortlicher im Sinne des DSGVO ist. Eine Entscheidung des BAG bzw. EuGH zur Verantwortlichkeit des Betriebsrats nach Geltung der DSGVO steht aus.
Praktisch relevant: Positionierung der Datenschutzbehörden
Neben dem LAG Sachsen-Anhalt sprachen sich seit Geltung der DSGVO auch mehrere Aufsichtsbehörden dafür aus, Betriebsräte künftig als eigenständig Verantwortliche zu behandeln. In einer behördeninternen Umfrage war dies wohl sogar die Mehrheit der teilnehmenden Behörden. Besonders deutlich positionierte sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg in seinem 34. Tätigkeitsbericht 2018: „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!″
Eine abschließende Entscheidung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) zur Frage der Verantwortlichkeit des Betriebsrats steht allerdings nach wir vor aus. Eine solche Entscheidung hätte zwar – wie auch die Positionierungen der einzelnen Landesdatenschutzbeauftragten – rechtlich keine generelle Bindungswirkung, möglicherweise aber eine Signalwirkung für die Gerichte.
Eigene Verantwortlichkeit des Betriebsrats hätte weitreichende Folgen
Wäre der Betriebsrat zukünftig als eigener Verantwortlicher im Sinne der DSGVO bzw. des BDSG anzusehen, hätte dies für die Praxis weitreichende Folgen:
- Der Betriebsrat wäre Adressat zahlreicher datenschutzrechtlicher Verpflichtungen, müsste also beispielsweise selbst die Mitarbeiter über seine Datenverarbeitung informieren, ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen, an ihn gerichtete Auskunftsansprüche der Mitarbeiter beantworten und eigene Löschkonzepte umsetzen.
- Jedenfalls größere Betriebsräte mit zehn oder mehr Mitgliedern müssten einen eigenen Datenschutzbeauftragten bestellen.
- Der Betriebsrat wäre als datenschutzrechtlich Verantwortlicher insoweit auch als rechtsfähig einzustufen und könnte im Falle eines Datenschutzverstoßes Adressat eines entsprechenden Bußgeldbescheides sein. Zwar ist der Betriebsrat als Gremium grundsätzlich nicht vermögensfähig, die Haftung könnte allerdings zumindest bei grob fahrlässigen Datenschutzverstößen einzelne Betriebsratsmitglieder treffen.
Steine statt Brot: Kostenfolge für Arbeitgeber
Eine eigene datenschutzrechtliche Verantwortlichkeit des Betriebsrats verspricht Arbeitgebern auf den ersten Blick eine vergleichsweise klare Verantwortungsverteilung und erscheint daher vor dem Hintergrund der derzeitigen, ambivalent anmutenden Rechtsprechung des BAG begrüßenswert.
Auf den zweiten Blick aber hätte eine dahingehende Einordnung durch Behörden und Gerichte nicht nur weitreichende Konsequenzen für die datenschutzrechtlichen Pflichten und Haftungsrisiken des Betriebsrats, sondern auch negative (Kosten)Folgen für den Arbeitgeber: Der Arbeitgeber hat die erforderlichen Kosten der Betriebsratsarbeit zu tragen. Sollte der Betriebsrat tatsächlich als datenschutzrechtlich Verantwortlicher einzustufen sein, wären folglich auch die (dann erforderlichen) Kosten für die Erfüllung der damit einhergehenden Pflichten des Betriebsrats vom Arbeitgeber zu tragen. Insbesondere durch die Beauftragung externer Rechtsberater (beispielsweise für den Abschluss eigener Datenverarbeitungsverträge seitens des Betriebsrats) und die Bestellung externer Datenschutzbeauftragter durch den Betriebsrat würde eine eigene Verantwortlichkeit des Betriebsrats aus Unternehmenssicht daher teuer erkauft werden.
Handlungsempfehlung: (Rahmen-) Betriebsvereinbarung zum Beschäftigtendatenschutz
Um der dargestellten Rechtsunsicherheit mit Transparenz zu begegnen, das Haftungs- und Kostenrisiko zu verringern und (nicht zuletzt im Sinne der betroffenen Arbeitnehmer*) eine datenschutzkonforme Betriebsratsarbeit sicherzustellen, empfiehlt sich der Abschluss einer entsprechenden (Rahmen-) Betriebsvereinbarung zum Beschäftigtendatenschutz bei der Betriebsratsarbeit.
Neben Vorgaben zum gesetzeskonformen Umgang mit Beschäftigtendaten (auch der Festlegung von Prüf- und Löschroutinen) in der Betriebsratsarbeit könnte hierin beispielsweise vereinbart werden, dass der Betriebsrat die beim Arbeitgeber implementierten Datenschutzstrukturen mit nutzt und der Datenschutzbeauftragte des Arbeitgebers auch für die Kontrolle der Datenverarbeitung durch den Betriebsrat zuständig ist. Die datenschutzrechtliche Stellung des Betriebsrats (nur) als Teil des verantwortlichen Arbeitgebers könnte hierdurch bis zur Klärung durch die Rechtsprechung abgesichert werden.
Nachdem eine solche Vereinbarung den Arbeitgeber vor zusätzlichen Betriebsratskosten bewahren, den zusätzlichen Arbeitsaufwand für den Betriebsrat zumindest reduzieren und zugleich das Risiko eines Datenschutzverstoßes samt der damit einhergehenden Haftung für Arbeitgeber und Betriebsrat verringern kann, dürfte ein echter Interessenkonflikt zwischen Arbeitgeber und Betriebsrat bei Abschluss einer dahingehenden Betriebsvereinbarung (ausnahmsweise) nicht bestehen.
*Gemeint sind Beschäftigte jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.