Datenschutz im kollektiven Arbeitsrecht nach DSGVO, BDSG ... / 1.2 Bindung des Betriebsrats an das Datenschutzrecht

Schwierigkeiten bereitete lange Zeit im Rahmen der DSGVO die Einordnung der datenschutzrechtlichen Rolle des Betriebsrats. Nach bisherigem Recht ging das BAG tendenziell davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der verantwortlichen Stelle zur Einhaltung des Datenschutzrechts verpflichtet ist.^[1]

Ohne also selbst eine eigenständige verantwortliche Stelle zu bilden, war der Betriebsrat bereits vor Inkrafttreten der DSGVO, des BDSG und des neuen § 79a BetrVG Normadressat des Datenschutzrechts. Er musste also auch schon früher die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Betriebsratsmitglieder gewährleisten.^[2] Zu den Pflichten des Betriebsrats gehört nach dem BAG z. B. die Wahrung des Datengeheimnisses.^[3]

Auch die frühere Rechtslage hat damit aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats bereits zu Reibungen bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes geführt. Dass sich aus seiner Unabhängigkeit und aus seinem Selbstverständnis als "Gegenspieler" des Arbeitgebers insofern Konflikte ergeben können, liegt auf der Hand. Mit der DSGVO wurde dieses Spannungsfeld weiter aufgeladen. Auch wenn § 79a BetrVG nun das Thema der Verantwortlichkeit ausdrücklich regelt und die bisherige Position der Rechtsprechung bestätigt, stellt das geltende Datenschutzrecht trotzdem beiderseitige Pflichten auf, die in der Praxis eine verstärkte Kooperation zwischen Arbeitgeber und Betriebsrat erfordern.^[4]

Zunächst zur Frage der Rolle des Betriebsrats im neuen Datenschutzrecht, die im Grundsatz zumindest für die Praxis^[5] geklärt ist: Der neue § 79a Satz 2 BetrVG weist im Ausgangspunkt lediglich dem Arbeitgeber die Rolle des Verantwortlichen zu. Wie die Wendung des Art. 4 Nr. 7 DSGVO schon vermuten lässt, liegt die Verantwortlichkeit also bei der juristischen Person selbst, und nicht bei ihren Untergliederungen – auch, wenn sie wie der Betriebsrat selbständig agieren. Der Betriebsrat ist also nicht Verantwortlicher im Sinne des Datenschutzes. Ansichten in der Literatur, die bislang eine andere Position vertreten haben, sind damit obsolet.^[6]

Trotz der Verantwortlichkeit des Arbeitgebers muss sich der Betriebsrat – wie früher vom BAG gefordert (s. o.) – gemäß § 79a Satz 1 BetrVG an die geltenden Datenschutzvorschriften halten. Satz 3 stellt zudem ein Gebot zur Zusammenarbeit auf. Damit schafft der Gesetzgeber einen gewissen Ausgleich für den Arbeitgeber, der zwar Verantwortlicher ist, jedoch das Handeln des Betriebsrats nur sehr begrenzt überwachen kann.

Zudem setzen die Schadensersatzansprüche von Betroffenen^[7] und die behördlichen Befugnisse zur Verhängung von Bußgeldern^[8] eine Rechtsfähigkeit des Verantwortlichen voraus, schon um eine effektive Durchsetzung des Datenschutzes zu gewährleisten. Gleiches gilt für die Betroffenenrechte: Hier muss klar sein, an wen sich der Betroffene wenden kann. Eine Durchsetzung dieser Rechte und Sanktionen wäre gegenüber einem Betriebsrat, der über kein eigenes Vermögen verfügt, kaum möglich. Eine Verantwortlichkeit des Betriebsrats hätte damit zu praktischen Umsetzungsproblemen geführt, die die Regelungen des neuen Datenschutzrechts hätten vereiteln können.

[1] BAG, Beschluss v. 14.1.2014, 1 ABR 54/12, NZA 2014 S. 738 (739); BAG, Urteil v. 18.7.2012, 7 AZR 23/11, NZA 1012 S. 764; BAG, Beschluss v. 7.2.2012, 1 ABR 46/10, NZA 2012 S. 744 (747); BAG, Beschluss v. 12.8.2009, 7 ABR 15/08, NZA 2009 S. 1218 (1221).

[2] BAG, Beschluss v. 14.1.2014, 1 ABR 54/12, NZA 2014 S. 738 (739); BAG, Beschluss v. 7.2.2012, 1 ABR 46/10, NZA 2012 S. 744 (747); BAG, Beschluss v. 12.8.2009, 7 ABR 15/08, NZA 2009 S. 1218 (1221).

[3] BAG, Beschluss v. 7.2.2012, 1 ABR 46/10, NZA 2012 S. 744 (747); BAG, Beschluss v. 12.8.2009, 7 ABR 15/08, NZA 2009 S. 1218 (1221); BAG, Beschluss v. 3.6.2003, 1 ABR 19/02, BAGE 106, 188.

[4] S. hierzu ausführlich unten, Abschn. 2.

[5] Aus rechtlicher Sicht wird teilweise diskutiert, inwieweit der deutsche Gesetzgeber zu einer solchen Regelung/Festlegung überhaupt befugt ist, vgl. etwa überblicksartig Fitting, 31. Aufl. 2022, § 79a BetrVG, Rz. 10 m. w. N. Es ist aber davon auszugehen, dass eine solche nationale Vorschrift ihre unionsrechtliche Grundlage in Art. 4 Nr. 7 Halbsatz 2 DSGVO findet.

[6] Bislang für eine eigenständige Verantwortlichkeit: Wybitul, NZA 2017, S. 413 (414); Kort, ZD 2017, S. 319 (323); Maschmann, NZA 2020, S. 1207 ff.; a. A. Gola/Pötters, RDV 2017, S. 111; Hartung, Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 4 Nr. 7 Rzn. 11 f.; Däubler, Gläserne Belegschaften, 7. Aufl. 2017, Rz. 640; offen gelassen Düwell/Brink, NZA 2017, S. 1081,

Gesetzentwurf der Bundesregierung. Entwurf eines Gesetzes zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), S. 3.

[7] Art. 82 DSGVO.

[8] Art. 83 DSGVO.