ZAP 17/2021, Modernisierung der Betriebsratsarbeit durch ... / III. Datenschutzrechtliche Verantwortlichkeit zwischen dem Arbeitgeber und Betriebsrat

Nach der Einführung der DSGVO war es ungeklärt, ob der Betriebsrat, wenn er Beschäftigtendaten verarbeitet, dies als eigenverantwortliche Stelle i.S.d. Art. 4 Nr. 7 DSGVO tut. Das BetrVG ist daher um die folgende Vorschrift des § 79a zum Datenschutz ergänzt:

Zitat

„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.”

Grundsätzlich kann der deutsche Gesetzgeber Bestimmungen dazu erlassen, wer Verantwortlicher i.S.d. DSGVO ist, Art. 4 Nr. 7 DSGVO. Das hat er mit dieser Bestimmung gemacht, um eine Klarstellung herbeizuführen (Entwurf eines Gesetzes zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt – Betriebsrätemodernisierungsgesetz, BT-Drucks 19/28899 v. 21.4.2021, nachfolgend: Gesetzesbegründung, S. 11, 14). Mit dieser Klarstellung wird es aber wesentliche Probleme geben.

Zunächst hat der betriebliche Datenschutzbeauftragte ein eigenes Prüf- und Kontrollrecht, das nun auch gegenüber dem Betriebsrat besteht, Art. 39 Abs. 1 lit. b, 37 Abs. 1 DSGVO. Der Betriebsrat erhält hier keine Privilegien, da insoweit das EU-Recht vorrangig ist (Schulze, Entwurf des Betriebsrätemodernisierungsgesetzes, in: ArbRAktuell 2021, S. 211, 213). Der Datenschutzbeauftragte hat also auch Zugang zu vertraulichen Dateien und Dokumentationen des Betriebsrats. Das ist eine konfliktträchtige Zone, die auch nicht durch die Verschwiegenheitspflicht des Datenschutzbeauftragten gelöst wird, § 79a S. 4 BetrVG. Wenn man insoweit den Betriebsrat von diesem Konflikt hätte entlasten wollen, hätte man ihn (ggf. ab einer bestimmten Größenordnung) selbst als verantwortliche datenverarbeitende Stelle mit einem eigenen Datenschutzbeauftragten benennen müssen (Bundesverband der Arbeitsrechtler in Unternehmen in den Materialien zur öffentlichen Anhörung von Sachverständigen, BT-Ausschuss für Arbeit und Soziales, Ausschussdrucks 19(11)1135 v. 12.5.2021, nachfolgend: Materialien, S. 32). Das Bundesarbeitsgericht hatte den Betriebsrat noch als eigenständig verantwortliche Stelle für seine Datensicherheit angesehen, der der Arbeitgeber diesbezüglich keine Vorschriften zu machen habe (BAG, Beschl. v. 18.7.2012 – 7 ABR 23/11). Das ist mit dem neuen § 79a BetrVG nicht mehr der Fall. Stattdessen hat sich der Gesetzgeber für eine komplizierte Doppelstruktur entschieden, die die Unabhängigkeit des Betriebsrats beeinträchtigen kann.

Einerseits ist der Arbeitgeber nach außen auch für seinen Betriebsrat der Datenverantwortliche. Andererseits ist er bei der Erfüllung dieser Aufgabe auf den Betriebsrat angewiesen. Der Gesetzgeber sieht die Lösung des Konflikts darin, dass sich Arbeitgeber und der Betriebsrat intern gegenseitig unterstützen, damit der Arbeitgeber seine Aufgaben als Datenverantwortlicher nach außen erfüllen kann, § 79a S. 3 BetrVG. Im Endeffekt besteht die Gefahr, dass sich der Arbeitgeber dadurch ein Bild von den Betriebsratsaktivitäten machen kann. Denn er kann als Verantwortlicher vom Betriebsrat deren Verarbeitungsverzeichnis als Teil des betrieblichen Gesamtverzeichnisses verlangen, Art. 30 DSGVO (Gesetzesbegründung S. 21). Wenn der Arbeitgeber seine Informationspflichten, Art. 12 DSGVO, oder z.B. Auskunftsrechte von Betroffenen, Art. 15 DSGVO erfüllen, Fragen nach der Datensicherheit, Art. 25, 32 DSGVO oder im Falle von Datenpannen, Art. 34 f. DSGVO beantworten will, kann er das in Bezug auf den Betriebsratsarbeit nur, wenn er die vollständigen Informationen dazu vom Betriebsrat erhält. Diese Offenlegung bedeutet eine massive Einschränkung der vertraulichen Betriebsratsarbeit und dürfte erhebliche Auswirkungen auf die vertrauensvolle Zusammenarbeit der Betriebspartner haben.

Obwohl nun der Arbeitgeber auch für den Betriebsrat „verantwortliche Stelle” i.S.d. Art. 4 Nr. 7 DSGVO ist, bleibt die Mitarbeitervertretung auch weiterhin als datenverarbeitende Stelle eigenverantwortlich für die Datensicherheit zuständig, Art. 24, 32 DSGVO.

Hinweis:

Hierfür kann der Betriebsrat gem. § 40 Abs. 2. BetrVG die erforderlichen Sachmittel vom Arbeitgeber beanspruchen, etwa Sicherungseinrichtungen für personenbezogene Daten. Auch die Beratung durch den betrieblichen Datenschutzbeauftragten steht ihm zu.

Letztlich hat die Regelung zur Folge, dass der Betriebsrat selbst für seine Datensicherheit einstehen muss, andererseits aber gegenüber dem Arbeitgeber und dem betrieblichen Datenschutzbeauftragten offenlegungs- und kooperationspflichtig ist.