Das Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt - kurz "Betriebsrätemodernisierungsgesetz" - fügt einen neuen § 79a in das Betriebsverfassungsgesetz ein. Dort geht es um die datenschutzrechtliche Verantwortung für die Verarbeitung personenbezogener Daten durch den Betriebsrat. Rechtsanwalt Thomas Köllmann erläutert die neue Vorschrift und zeigt auf, welche praktischen Fragen trotz der gesetzlichen Regelung unbeantwortet bleiben.
Die datenschutzrechtliche Verantwortlichkeit des Betriebsrates bei der Verarbeitung personenbezogener Beschäftigtendaten war nach Inkrafttreten der DSGVO umstritten und wurde zuletzt vom BAG ausdrücklich offengelassen (BAG, Beschluss vom 9.4.2019, Az. 1 ABR 51/17). Art. 4 Nr. 7 DSGVO bestimmt, dass Verantwortlicher jede Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Neuregelung des § 79a BetrVG schafft hinsichtlich der datenschutzrechtlichen Einordnung des Betriebsrates und der Befugnisse des Datenschutzbeauftragten Klarheit, lässt zugleich aber Folgefragen offen.
Klarstellung in § 79a S. 1 BetrVG: Beachtung der datenschutzrechtlichen Vorschriften
Unabhängig von der Frage, ob der Betriebsrat selbst als Verantwortlicher einzustufen ist, müssen datenschutzrechtliche Vorgaben eingehalten werden (BAG, Beschluss vom 12.8.2009, Az. 7 ABR 15/08). Damit kommt § 79a S. 1 BetrVG allenfalls eine klarstellende Rolle zu. Die Weitergabe von Beschäftigtendaten an den Betriebsrat ist eine Datenverarbeitung durch den Arbeitgeber und kann insbesondere nach § 26 Abs. 1 S. 1 BDSG zulässig sein. Eine betriebsverfassungsrechtlich gebotene Weitergabe von Daten an den Betriebsrat ist nach Ansicht des BAG regelmäßig auch ohne weitere Abwägung datenschutzrechtlich zulässig (BAG, Beschluss vom 7.5.2019, Az. 1 ABR 53/17). Die anschließende Verarbeitung der Daten durch den Betriebsrat richtet sich im Wesentlichen nach § 26 Abs. 1 S. 1 BDSG und kann zur Ausübung der Beteiligungs- und Mitbestimmungsrechte zulässig sein.
Weitere Pflichten treffen den Betriebsrat bei der Verarbeitung von sensiblen Beschäftigtendaten (Art. 9 Abs. 1 DSGVO), etwa Gesundheitsdaten. Insofern muss der Betriebsrat bei der Geltendmachung eines auf solche Daten gerichteten Auskunftsbegehrens das Vorhandensein von "angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person" darlegen (§ 26 Abs. 3 S. 3 BDSG in Verbindung mit § 22 Abs. 2 BDSG). Dazu zählen insbesondere die Darlegung, dass die Daten vor dem Zugriff Dritter geschützt sind, der Kreis der Zugriffsberechtigten beschränkt ist und ein Löschkonzept besteht und umgesetzt wird (vgl. BAG, Beschluss vom 9.4.2019, Az. 1 ABR 51/17).
§ 79a S. 2 BetrVG: Arbeitgeber als Verantwortlicher – Haftung ohne Kontrolle?
Die Neuregelung in § 79a S. 2 BetrVG konkretisiert die Vorgaben der DSGVO dahingehend, dass die datenschutzrechtliche Verantwortlichkeit beim Arbeitgeber liegt und knüpft damit an die Rechtslage vor Geltung der DSGVO an. Die "Zuordnung" zum Arbeitgeber erfolgt nur, sofern der Betriebsrat "zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben" handelt, was konsequent ist: Erhebt der Betriebsrat außerhalb seiner gesetzlich zugewiesenen Aufgaben Beschäftigtendaten, kann eine solche Datenverarbeitung nicht dem Arbeitgeber "zugeordnet" werden. Vielmehr disponiert der Betriebsrat dann vollständig selbst über die Zwecke der Verarbeitung. Die Folgefrage ist, ob im Fall von Datenschutzverstößen eine eigene Haftung der Mitglieder des Betriebsrats in Betracht kommen kann.
Der Gesetzentwurf stellt klar, dass der Betriebsrat innerhalb seiner Zuständigkeit selbstständig die technischen und organisatorischen Maßnahmen zur Datensicherheit gewährleisten muss, was der bisherigen Rechtsprechung des BAG entspricht (BAG, Beschluss vom 12.8.2009, Az. 7 ABR 15/08). Auch innerhalb einer verantwortlichen Stelle können einzelne intern verantwortliche Organisationseinheiten benannt werden. Indes ist der Arbeitgeber als Verantwortlicher verpflichtet, die Dokumentations- und Rechenschaftspflichten nach der DSGVO zu erfüllen. Dabei wird die Haftung des Arbeitgebers für mögliche Datenschutzverstöße auf Betriebsratsseite relevant. § 79a BetrVG verhält sich dazu nicht, indes kann Art. 82 Abs. 3 DSGVO einen "Ausweg" bereithalten. Danach scheidet eine Haftung aus, wenn der Verantwortliche nachweist, dass er nicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Auch wenn dies dogmatisch auf Grundlage der DSGVO schwierig begründet werden kann, müssen im Ergebnis die Besonderheiten des BetrVG berücksichtigt werden. Wenn der Arbeitgeber dem Betriebsrat aufgrund seiner Unabhängigkeit als Strukturprinzip der Betriebsverfassung keine Vorgaben zum Datenschutz machen kann (BAG, Beschluss vom 9.4.2019, Az. 1 ABR 51/17), muss eine Haftung des Arbeitgebers für Datenschutzverstöße des Betriebsrats ausscheiden. Insofern wäre eine gesetzgeberische Klarstellung wünschenswert und unter Berücksichtigung des Art. 88 DSGVO europarechtlich zulässig gewesen.
§ 79a S. 3 BetrVG: Kooperationsgebot
Der Gesetzgeber versucht diesen Konflikt zwischen datenschutzrechtlicher Verantwortlichkeit des Arbeitgebers und innerorganisatorischer Weisungsfreiheit des Betriebsrats durch ein Kooperationsgebot in § 79a S. 3 BetrVG aufzufangen. Es wäre zu begrüßen gewesen, wenn der Gesetzgeber die Bereiche der Zusammenarbeit spezifiziert hätte. Virulent wird dies etwa im Bereich der Auskunftsansprüche, der Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) oder der Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Dies klingt allenfalls in der Gesetzesbegründung an (BT-Drucks. 19/28899, S. 22). Es bleiben viele Spielräume für die Praxis, weshalb es sich empfiehlt, die Zusammenarbeit etwa im Wege einer Rahmenbetriebsvereinbarung zu konkretisieren.
Die Rolle des betrieblichen Datenschutzbeauftragten
Die Gesetzesbegründung stellt klar, dass sich die Aufgaben des Datenschutzbeauftragten nach der DSGVO richten und somit auch gegenüber dem Betriebsrat bestehen. § 79a S. 4, 5 BetrVG konkretisiert sodann die Verschwiegenheitspflichten. Das BAG hat die Kontrollbefugnis des betrieblichen Datenschutzbeauftragten gegenüber dem Betriebsrat in der Vergangenheit mit Blick auf dessen Unabhängigkeit verneint (BAG, 11.11.1997, 1 ABR 21/97). Daran konnte vor dem Hintergrund des Art. 39 Abs. 1 lit. b DSGVO nicht mehr festgehalten werden. Die vom BAG zur alten Rechtslage geäußerten Bedenken konnten durch die in Art. 38 Abs. 5 DSGVO und den im BDSG geregelten Verschwiegenheitspflichten abgefedert werden. Diese werden nun durch § 79a S. 4 BetrVG nochmals hinsichtlich solcher Informationen konkretisiert, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Auf welche Informationen sich dies erstreckt, kann nur durch eine Einzelfallbewertung ermittelt werden.
Regelung zum Datenschutz im Betriebsverfassungsgesetz: Folgen für die Praxis
§ 79a BetrVG regelt einige der bislang umstrittenen Vorgaben, lässt die wirklich drängenden – weil haftungsträchtigen – Themen unberücksichtigt. Für die Praxis sei auf einige Aspekte hingewiesen:
Aus der alleinigen datenschutzrechtlichen Verantwortung des Arbeitgebers folgt eine wichtige Erkenntnis für die Weitergabe von sensiblen Daten an den Betriebsrat: Der Arbeitgeber muss die Datenweitergabe verweigern, wenn der Betriebsrat nicht das vom BAG geforderte Schutzniveau proaktiv darlegen kann. Andernfalls bestehen haftungsrechtliche Risiken (Art. 82 DSGVO). Der Arbeitgeber sollte das Thema Datenschutz gemeinsam mit dem Betriebsrat angehen und konkrete Festlegungen für das Schutzniveau im Rahmen der betriebsverfassungsrechtlichen Zusammenarbeit treffen. Dies macht schon deshalb Sinn, weil andernfalls arbeitgeberseitige Maßnahmen, die einer Beteiligung des Betriebsrats mit unvermeidbarer Weitergabe von Beschäftigtendaten unterliegen (z. B. Anhörungen zu geplanten Versetzungen und Kündigungen, §§ 99, 102 BetrVG) verzögert würden.
Wünschenswert wäre eine gesetzliche Verankerung einer Haftungsregelung gewesen, die den Gedanken des Art. 82 Abs. 3 DSGVO aufgreift, wenn der in Rede stehende Verstoß gegen die DSGVO auf eine unterbliebene oder ungenügende Unterstützung des Arbeitgebers seitens des Betriebsrats zurückzuführen ist. Jedenfalls besteht bei kompetenzwidriger Datenverarbeitung durch den Betriebsrat außerhalb seiner gesetzlichen Pflichten keine datenschutzrechtliche Verantwortlichkeit des Arbeitgebers und er kann nicht Adressat von Bußgeldern sein.
Das könnte Sie auch interessieren:
Bundestag beschließt Betriebsrätemodernisierungsgesetz
EuGH soll Voraussetzungen für Abberufung von Datenschutzbeauftragten klären
Betriebsrat darf bei Videoüberwachung von Corona-Schutzvorschriften mitbestimmen