Datenschutz im kollektiven Arbeitsrecht nach DSGVO, BDSG ... / 1 Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat

Adressat des alten wie des seit 2018 geltenden Datenschutzrechts ist der "Verantwortliche"^[1], also etwa eine juristische Person, die personenbezogene Daten verarbeitet. Der Verantwortliche ist u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte.^[2] Er muss die Einhaltung des Datenschutzes nachweisen^[3] und für Verstöße geradestehen, denn Schadensersatzansprüche von Betroffenen^[4] und – mit der DSGVO massiv erhöhte – Bußgelder seitens der Aufsichtsbehörden^[5] richten sich primär und unmittelbar gegen den Verantwortlichen.^[6] Daneben kommt jedenfalls im deutschen Ordnungswidrigkeitenrecht auch stets eine Haftung der einzelnen handelnden Person in Betracht.

Der für die Systematik des Datenschutzrechts zentrale Begriff des "Verantwortlichen" soll zunächst näher erörtert werden, um die Verteilung der Verantwortlichkeit für den Datenschutz zwischen Arbeitgeber und Betriebsrat aufzuzeigen.

[1] Leicht abweichend war bisher die Terminologie im nationalen BDSG, das von "verantwortlicher Stelle" (§ 3 Abs. 7 BDSG a. F.) sprach. Die Datenschutz-Richtlinie 95/46/EG hat hingegen – wie nun die DSGVO – den Begriff "Verantwortlicher" verwendet.

[2] Art. 12 ff. DSGVO.

[3] Vgl. Art. 5 Abs. 2, 24 DSGVO.

[4] Art. 82 DSGVO.

[5] Art. 83 DSGVO.

[6] Vgl. hierzu auch den nach § 14 OWiG für Deutschland geltenden Einheitstäterbegriff.

1.1 "Verantwortlicher" im Sinne des Datenschutzrechts

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".

Nach dieser Definition ist jedenfalls der Arbeitgeber selbst als juristische Person Adressat des Datenschutzrechts für alle im Unternehmen stattfindenden Verarbeitungen personenbezogener Daten.^[1] Eine allgemeine und pauschale "Konzernverantwortung", also eine Verantwortlichkeit des herrschenden Unternehmens eines Konzerns, für alle Verarbeitungen in den (abhängigen) Konzernunternehmen, kennt das Datenschutzrecht nicht. Rechtlich unselbstständige Untergliederungen einer juristischen Person oder leitend tätige Personen des Unternehmens, die selbst über die Zwecke und Mittel von bestimmten Verarbeitungsvorgängen entscheiden, sind hingegen nach der Auffassung der Fachliteratur nicht Verantwortlicher, sondern nur als Teil der juristischen Person zur Einhaltung des Datenschutzes verpflichtet.^[2]

[1] Zum Begriff der Verarbeitung s. Art. 4 Nr. 2 DSGVO, zum Begriff des personenbezogenen Datums s. Art. 4 Nr. 1 DSGVO.

[2] Im Ausgangspunkt wohl unstreitig, s. etwa Raschauer, Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 4 Rz. 129.

1.2 Bindung des Betriebsrats an das Datenschutzrecht

Schwierigkeiten bereitete lange Zeit im Rahmen der DSGVO die Einordnung der datenschutzrechtlichen Rolle des Betriebsrats. Nach bisherigem Recht ging das BAG tendenziell davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der verantwortlichen Stelle zur Einhaltung des Datenschutzrechts verpflichtet ist.^[1]

Ohne also selbst eine eigenständige verantwortliche Stelle zu bilden, war der Betriebsrat bereits vor Inkrafttreten der DSGVO, des BDSG und des neuen § 79a BetrVG Normadressat des Datenschutzrechts. Er musste also auch schon früher die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Betriebsratsmitglieder gewährleisten.^[2] Zu den Pflichten des Betriebsrats gehört nach dem BAG z. B. die Wahrung des Datengeheimnisses.^[3]

Auch die frühere Rechtslage hat damit aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats bereits zu Reibungen bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes geführt. Dass sich aus seiner Unabhängigkeit und aus seinem Selbstverständnis als "Gegenspieler" des Arbeitgebers insofern Konflikte ergeben können, liegt auf der Hand. Mit der DSGVO wurde dieses Spannungsfeld weiter aufgeladen. Auch wenn § 79a BetrVG nun das Thema der Verantwortlichkeit ausdrücklich regelt und die bisherige Position der Rechtsprechung bestätigt, stellt das geltende Datenschutzrecht trotzdem beiderseitige Pflichten auf, die in der Praxis eine verstärkte Kooperation zwischen Arbeitgeber und Betriebsrat erfordern.^[4]

Zunächst zur Frage der Rolle des Betriebsrats im neuen Datenschutzrecht, die im Grundsatz zumindest für die Praxis^[5] geklärt ist: Der neue § 79a Satz 2 BetrVG weist im Ausgangspunkt lediglich dem Arbeitgeber die Rolle des Verantwortlichen zu. Wie die Wendung des Art. 4 Nr. 7 DSGVO schon vermuten lässt, liegt die Verantwortlichkeit also bei der juristischen Person selbst, und nicht bei ihren Untergliederungen – auch, wenn sie wie der Betriebsrat selbständig agieren. Der Betriebsrat ist also nicht Verantwortlicher im Sinne des Datenschutzes. Ansichten in der Literatur, die bislang eine andere Position vertreten haben, sind damit obsolet.^[6]

Trotz der Verantwortlichkeit des Arbeitgebers muss...