Tillmanns/Heise/u.a., BetrVG § 79a Datenschutz | Haufe Personal Office Platin | Personal

Michael Korinth

1 Allgemeines

Rz. 1

§ 79a BetrVG wurde durch das am 18.6.2021 in Kraft getretene Betriebsrätemodernisierungsgesetz (BGBl. 2021 I Nr. 31, 1614-1648) eingefügt. Durch die europäische Datenschutzgrundverordnung und die dadurch notwendig gewordene Änderung des BDSG war die bisherige Rechtslage zweifelhaft geworden, wonach der Arbeitgeber die für den Datenschutz verantwortliche Stelle war und der Betriebsrat lediglich ein nicht eigenverantwortlicher Teil dieser Stelle (BAG v. 14.1.2014, 1 ABR 54/12). Der Gesetzgeber hat unter Nutzung der Öffnungsklausel in Art. 4 Nr. 7 Hs. 2 DSGVO diese Rechtslage beibehalten. Aufgrund der Vermögenslosigkeit des Betriebsrats wären Haftungsansprüche auch allenfalls gegen einzelne Betriebsratsmitglieder durchzusetzen gewesen. Diese wiederum haben nur begrenzten Einfluss auf die vom Arbeitgeber gestellten Datenverarbeitungsgeräte und -programme. Eine Eigenverantwortlichkeit des Betriebsrats hätte die Notwendigkeit eines eigenen Datenschutzbeauftragten nach sich gezogen.

Die Grundproblematik bleibt aber: Der Arbeitgeber ist datenschutzrechtlich verantwortlich, hat aber nur begrenzten Einfluss auf das Handeln des Betriebsrats. Den Arbeitgeber trifft also eine Verantwortlichkeit hinsichtlich der Beachtung des Beschäftigtendatenschutzes durch den Betriebsrat ohne Entscheidungsgewalt. Dieses Spannungsverhältnis versucht das Gesetz dadurch aufzulösen, dass es ausdrücklich bestimmt, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat (so bereits BAG v. 9.4.2019, 1 ABR 51/17). Arbeitgeber und Betriebsrat sollen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen. Hinsichtlich der Stellung des Datenschutzbeauftragten ist geregelt, dass er gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet ist über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. In der Gesetzesbegründung (BT-Drucks. 19/29819) wird herausgestellt, dass die Vertraulichkeit der Beratungen etwa bei der Verwendung von Video- und Telefonkonferenzen für Betriebsratssitzungen besonders zu schützen ist. Alle Informationen, die den Meinungsbildungsprozess des Betriebsrats betreffen, unterliegen einer besonderen Geheimhaltung. Dadurch soll die Unabhängigkeit des Betriebsrats vom Arbeitgeber gewährleistet sein. Die Tätigkeit des Datenschutzbeauftragten wird dadurch noch komplexer und verantwortungsvoller. Dies gilt insbesondere dann, wenn er in Bezug auf die genannten Tätigkeiten Verstöße des Betriebsrats oder einzelner seiner Mitglieder gegen datenschutzrechtliche Vorschriften feststellt. Dieser Grundkonflikt lässt sich aber bei der offenbar notwendigen Beibehaltung der Struktur, in der der Arbeitgeber allein die nach dem BDSG verantwortliche Stelle und der Betriebsrat nur ein Teil davon ist, nicht im Gesetz generell-abstrakt in einer Weise lösen, die mögliche Konflikte zuverlässig löst. Dies ist aber bei der allgemeinen Pflicht zur vertrauensvollen Zusammenarbeit nach § 2 Abs. 1 BetrVG nicht anders. Der Gesetzgeber hat immerhin Leitlinien gezogen, die von der Rechtsprechung für die Beurteilung etwaiger Konflikte herangezogen werden können.

2 Einhaltung datenschutzrechtlicher Vorschriften

Rz. 2

Die Pflicht zur Einhaltung datenschutzrechtlicher Vorschriften (Satz 1) beinhaltet Folgendes:

Innerhalb seines Zuständigkeitsbereichs muss der Betriebsrat eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit i. S. v. Art. 24, 32 DSGVO sicherstellen;
Bei der Verarbeitung von sensiblen Beschäftigtendaten i. S. v. Art. 9 Abs. 1 DSGVO (also z. B. Gesundheitsdaten) hat der Betriebsrat "angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person" zu ergreifen. Dies ist von extremer Wichtigkeit, insbesondere wenn der Betriebsrat im Zusammenhang mit dem Betrieblichen Eingliederungsmanagement (BEM) oder der Anhörung vor einer krankheitsbedingten Kündigung Kenntnis von sensiblen Daten erhält. Die Pflicht umfasst u. a. die Gewährleistung begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder, etwa wenn diese beim BEM-Gespräch dabei waren, sowie besondere Datensicherungsmaßnahmen und die Datenlöschung nach Beendigung der Mitbestimmungs- bzw. Überwachungsaufgabe.
Der Betriebsrat ist zur Erstellung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) verpflichtet.

3 Zulässigkeit der Datenerhebung

Rz. 3

Die Zulässigkeit der Datenerhebung, Datenverarbeitung oder Kenntnisnahme wird nicht in § 79a BetrVG geregelt. Vielmehr ist die materielle Zulässigkeit der Weitergabe von Daten an den Betriebsrat durch den Arbeitgeber gem. § 26 Abs. 1 Satz 1 BDSG zu beurteilen. Eine betriebsverfassungsrechtlich gebotene Weitergabe ist ohne weitere Abwägung zulässig. Die Verarbeitung der weitergegebenen Daten durch den Betriebsrat richtet sich ebenfalls nach dieser Vorschrift und dürfte in Bezug auf den Zweck der Ausübung der Beteiligungs- und Mitbestimmungsrechte in aller Regel zulässig sein, sofern...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen

Meistgelesene beiträge

Urlaub: Urlaubsentgelt und Urlaubsgeld / 1.5 Berechnungsbeispiele

4.223
Lohnabrechnung im Baugewerbe / 1.3 Lohn (§ 5 BRTV)

3.401
Praxis-Beispiele: Dienstwagen, 1-%-Regelung

2.640
Praxis-Beispiele: Rentnerbeschäftigung

2.639
Fahrtkostenzuschuss

2.542
Betriebsbedingte Kündigung: Sozialauswahl / 1.4 Auswahlschemata (z. B. Punktesysteme)

2.325
Erholungsbeihilfen

2.275
Urlaubsabgeltung

2.026
Kurzfristige Beschäftigung / Lohnsteuer

1.997
Praxis-Beispiele: GmbH-Geschäftsführer / 1 Zuschuss zur privaten Krankenversicherung

1.909