Datenschutz im kollektiven ... / 1 Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat

Adressat des alten wie des neuen Datenschutzrechts ist der "Verantwortliche"[1], also etwa eine juristische Person, die personenbezogene Daten verarbeitet. Der Verantwortliche ist u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte.[2] Er muss die Einhaltung des Datenschutzes nachweisen (vgl. Art. 5 Abs. 2, 24 DSGVO) und für Verstöße geradestehen, denn Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO) und – mit der DSGVO massiv erhöhte – Bußgelder seitens der Aufsichtsbehörden[3] richten sich primär gegen den Verantwortlichen.[4] Daneben kommt jedenfalls im deutschen Ordnungswidrigkeitenrecht auch stets eine Haftung der einzelnen handelnden Person in Betracht.

Der für die Systematik des Datenschutzrechts zentrale Begriff des Verantwortlichen soll zunächst näher erörtert werden, um die Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat aufzuzeigen.

[1] Leicht abweichend war bisher die Terminologie im nationalen BDSG, das von „verantwortlicher Stelle“ (§ 3 Abs. 7 BDSG a. F.) sprach. Die Datenschutz-Richtlinie 95/46/EG hat hingegen – wie nun die DSGVO – den Begriff "Verantwortlicher" verwendet.
[4] Vgl. hierzu auch den nach § 14 OWiG für Deutschland geltenden Einheitstäterbegriff.

1.1 "Verantwortlicher" im Sinne des neuen Datenschutzrechts

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".

Nach dieser Definition ist jedenfalls der Arbeitgeber als juristische Person Adressat des Datenschutzrechts für alle im Unternehmen stattfindenden Verarbeitungen personenbezogener Daten.[1] Rechtlich unselbstständige Untergliederungen einer juristischen Person oder leitend tätige Personen des Unternehmens, die selbst über die Zwecke und Mittel von bestimmten Verarbeitungsvorgängen entscheiden, sind hingegen nach der Auffassung der Fachliteratur nicht Verantwortlicher, sondern nur als Teil der juristischen Person zur Einhaltung des Datenschutzes verpflichtet.[2]

[1] Zum Begriff der Verarbeitung s. Art. 4 Nr. 2 DSGVO, zum Begriff des personenbezogenen Datums s. Art. 4 Nr. 1 DSGVO.
[2] Im Ausgangspunkt wohl unstreitig, s. etwa Raschauer, in: Sydow, DSGVO, 2. Aufl. 2018, Art. 4 Rz. 129.

1.2 Bindung des Betriebsrats an das Datenschutzrecht

Schwierigkeiten bereitet hingegen im Rahmen der DSGVO die Einordnung des Betriebsrats. Nach bisherigem Recht ging das BAG in ständiger Rechtsprechung davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der verantwortlichen Stelle zur Einhaltung des Datenschutzrechts verpflichtet ist.[1]

Ohne also selbst eine eigenständige verantwortliche Stelle zu bilden, war der Betriebsrat bereits vor Inkrafttreten der DSGVO und des BDSG Normadressat des Datenschutzrechts. Er musste also auch bisher die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Betriebsratsmitglieder gewährleisten.[2] Zu den Pflichten des Betriebsrats gehört nach dem BAG z. B. die Wahrung des Datengeheimnisses.[3]

Auch die bisherige Rechtslage hat damit aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats bereits zu Friktionen bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes geführt. Dass sich aus seiner Unabhängigkeit und aus seinem Selbstverständnis als "Gegenspieler" des Arbeitgebers insofern Konflikte ergeben können, liegt auf der Hand. Mit der DSGVO wurde dieses Spannungsfeld weiter aufgeladen. Einerseits ist nun wieder unsicher, ob der Betriebsrat nicht doch selbst Verantwortlicher i. S. d. Datenschutzrechts ist; andererseits stellt die DSGVO unabhängig von dieser Frage inhaltlich neue Pflichten auf, die eine verstärkte Kooperation zwischen Arbeitgeber und Betriebsrat, zumindest aber in der Praxis eine klare interne Aufteilung der Verantwortung und Aufgaben erfordern.[4]

Zunächst zur Frage der Rolle des Betriebsrats im neuen Datenschutzrecht: Mit der DSGVO steht die bisherige Rechtsprechung des BAG erneut auf dem Prüfstand, denn Art. 4 Nr. 7 DSGVO ist durchaus offen für eine Auslegung, nach der auch der Betriebsrat selbst Verantwortlicher ist.[5]

Der vom Arbeitgeber grundsätzlich unabhängig agierende Betriebsrat legt selbst Zwecke und Mittel für Datenverarbeitungen fest – dies spricht zunächst für seine Verantwortlichkeit. Andererseits lässt die Wendung "juristische Person, Behörde oder andere Stelle" auch die Sicht zu, dass bei einer juristischen Person ausschließlich diese verantwortlich sein soll. Art. 3 Abs. 1 DSGVO legt den Schluss nahe, dass selbstständig agierende Untergliederungen einer juristischen Person nicht selbst automatisch auch Verantwortliche sind, denn in dieser Vorschrift wird der Begriff der Niederlassung von dem des Verantwortlichen unterschieden. Die Schadensersatzansprüche von Bet...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge