Datenschutz im kollektiven ... / 1.2 Bindung des Betriebsrats an das Datenschutzrecht

Schwierigkeiten bereitet hingegen im Rahmen der DSGVO die Einordnung des Betriebsrats. Nach bisherigem Recht ging das BAG in ständiger Rechtsprechung davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der verantwortlichen Stelle zur Einhaltung des Datenschutzrechts verpflichtet ist.[1]

Ohne also selbst eine eigenständige verantwortliche Stelle zu bilden, war der Betriebsrat bereits vor Inkrafttreten der DSGVO und des BDSG Normadressat des Datenschutzrechts. Er musste also auch bisher die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Betriebsratsmitglieder gewährleisten.[2] Zu den Pflichten des Betriebsrats gehört nach dem BAG z. B. die Wahrung des Datengeheimnisses.[3]

Auch die bisherige Rechtslage hat damit aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats bereits zu Friktionen bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes geführt. Dass sich aus seiner Unabhängigkeit und aus seinem Selbstverständnis als "Gegenspieler" des Arbeitgebers insofern Konflikte ergeben können, liegt auf der Hand. Mit der DSGVO wurde dieses Spannungsfeld weiter aufgeladen. Einerseits ist nun wieder unsicher, ob der Betriebsrat nicht doch selbst Verantwortlicher i. S. d. Datenschutzrechts ist; andererseits stellt die DSGVO unabhängig von dieser Frage inhaltlich neue Pflichten auf, die eine verstärkte Kooperation zwischen Arbeitgeber und Betriebsrat, zumindest aber in der Praxis eine klare interne Aufteilung der Verantwortung und Aufgaben erfordern.[4]

Zunächst zur Frage der Rolle des Betriebsrats im neuen Datenschutzrecht: Mit der DSGVO steht die bisherige Rechtsprechung des BAG erneut auf dem Prüfstand, denn Art. 4 Nr. 7 DSGVO ist durchaus offen für eine Auslegung, nach der auch der Betriebsrat selbst Verantwortlicher ist.[5]

Der vom Arbeitgeber grundsätzlich unabhängig agierende Betriebsrat legt selbst Zwecke und Mittel für Datenverarbeitungen fest – dies spricht zunächst für seine Verantwortlichkeit. Andererseits lässt die Wendung "juristische Person, Behörde oder andere Stelle" auch die Sicht zu, dass bei einer juristischen Person ausschließlich diese verantwortlich sein soll. Art. 3 Abs. 1 DSGVO legt den Schluss nahe, dass selbstständig agierende Untergliederungen einer juristischen Person nicht selbst automatisch auch Verantwortliche sind, denn in dieser Vorschrift wird der Begriff der Niederlassung von dem des Verantwortlichen unterschieden. Die Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO) und die behördlichen Befugnisse zur Verhängung von Bußgeldern (Art. 83 DSGVO) setzen hingegen eine Rechtsfähigkeit des Verantwortlichen voraus, schon um eine effektive Durchsetzung des Datenschutzes zu gewährleisten. Gleiches gilt für die Betroffenenrechte: Hier muss klar sein, an wen sich der Betroffene wenden kann. Eine Durchsetzung dieser Rechte und Sanktionen wäre gegenüber einem Betriebsrat kaum möglich.

Die bisherige Rechtsprechung lässt keine einheitliche Linie erkennen. Während die Instanzgerichte teilweise den Betriebsrat als Teil des Arbeitgebers als verantwortlicher Stelle einordnen[6], positionieren sich andere Gerichte gegenläufig und halten den Betriebsrat – jedenfalls soweit es um sein Einsichtsrecht in Bruttoentgeltlisten nach § 80 Abs. 2 Satz 2 Hs. 2 BetrvG geht – für gemäß Art. 4 Nr. 7 DSGVO verantwortlich.[7] An einer eindeutigen Positionierung des BAG fehlt es bislang.[8] Gleichwohl scheint das BAG der Ansicht zuzuneigen, den Betriebsrat nicht als Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO einzuordnen. So bezeichnete das BAG die Erfüllung des betriebsverfassungsrechtlichen Auskunftsanspruchs[9] als "betriebsinterne Datenverarbeitung", was nicht zutreffen würde, wenn der Betriebsrat selbst Verantwortlicher ist.[10] Im Ergebnis lassen sich also gute Argumente in beide Richtungen finden. Bis zu einer höchstrichterlichen Entscheidung, und zwar im Zweifelsfall durch den EuGH, muss die Praxis Lösungen erarbeiten, um eine gesetzeskonforme Umsetzung des Datenschutzrechts zu realisieren und gleichzeitig die ebenfalls gesetzlich vorgegebene Unabhängigkeit des Betriebsrats zu wahren.

Der nationale Gesetzgeber hatte die Chance, insofern Klarheit zu schaffen, denn er kann die Verteilung der Verantwortlichkeit nach Art. 4 Nr. 7 Hs. 2 DSGVO im Einzelfall abweichend regeln. Danach kann der Verantwortliche konkret durch eine gesetzliche Regelung benannt werden, wenn die Zwecke und Mittel einer bestimmen Verarbeitung durch das einzelstaatliche Recht oder das Unionsrecht vorgegeben sind. Diese Chance hat der deutsche Gesetzgeber aber im BDSG nicht genutzt.[11] Die Ergänzung von § 26 Abs. 1 Satz 1 BDSG gegenüber § 32 Abs. 1 Satz 1 BDSG a. F., wonach nunmehr eine Datenverarbeitung zur Ausübung der Rechte und Pflichten einer Interessenvertretung ausdrücklich auch erforderlich sein muss, stellt nach Auffassung des Gesetzgebers ledigli...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge