Der Betriebsrat als verantwortliche Stelle im Datenschutz

Vor DSGVO keine eigene Verantwortlichkeit des Betriebsrats

Seit dem 25. Mai 2018 gelten bereits die Datenschutzregeln der Verordnung (EU) 2016/679, kurz der DSGVO. Seither ist einige Zeit vergangen und manche Probleme in der Auslegung der neuen Vorschriften sind bereits geklärt. Andere Fragen hingegen sind von neuem in der Diskussion und noch nicht abschließend beantwortet. Darunter etwa die praktisch relevante Frage, ob der Betriebsrat als selbstständige verantwortliche Stelle für die Einhaltung der Datenschutznormen zu sehen ist.

Zu den wichtigsten Aufgaben des Betriebsrates gehören die Interessenvertretung der Arbeitnehmer, die Förderung der Eingliederung und das Stellen von Anträgen im Sinne der Arbeitnehmer beim Arbeitgeber. Außerdem ist er in verschiedenen Fragen der Mitbestimmung anzuhören. Auch vor einer Arbeitgeberkündigung ist der Betriebsrat einzubeziehen. All diese Aufgaben erfordern eine Datenverarbeitung, beispielsweise die Erhebung von Daten wie dem Namen des Betroffenen, der  Dauer der Betriebszugehörigkeit, Gehalt, etc. 

Soweit der Betriebsrat personenbezogene Daten verarbeitet, muss diese Verarbeitung den Anforderungen von DSGVO und Bundesdatenschutzgesetz (BDSG) entsprechen. Die Frage ist aber, wer hat für deren Einhaltung Sorge zu tragen? Wer ist Adressat der Datenschutzpflichten und im Verletzungsfall der aufsichtsrechtlichen Maßnahmen?

Zum alten Recht vor Geltung der DSGVO war diese Frage in ständiger Rechtsprechung des Bundesarbeitsgerichtes mit der alleinigen Verantwortlichkeit des Arbeitgebers beantwortet worden (BAG, Urteil vom 11.11.1997 – 1 ABR 21/97, https://www.jurpc.de/jurpc/show?id=19980039) . Zur Begründung führte das Gericht aus, nach dem Wortlaut des Gesetzes könne nur eine natürliche oder juristische Person Verantwortlicher sein. Der Betriebsrat sei aber nicht rechtsfähig.

Mit Inkrafttreten der DSGVO hat sich die Definition der verantwortlichen Stelle aber geändert. Nach Art. 4 Nr. 7 DSGVO können nämlich neben juristischen und natürlichen Personen ausdrücklich auch Behörden, Einrichtungen oder andere Stellen verantwortlich sein, sofern sie über die Mittel und Zwecke der Datenverarbeitung (mit-)bestimmen. Dadurch ist die Diskussion zu dieser vormals geklärten Frage von Neuem entflammt.

Verantwortliche Stelle – Betriebsrat oder das Unternehmen?

Es wird in Literatur und Rechtsprechung unter Heranziehung verschiedener Argumente darüber nachgedacht, den Betriebsrat selbst als verantwortliche Stelle anzusehen und ihm damit eigene Verpflichtungen zur Einhaltung des Datenschutzes aufzuerlegen.Argumente für eine eigene Verantwortlichkeit des Betriebsrats

Argumente für eine eigene Verantwortlichkeit des Betriebsrats

Dafür spricht nach dieser Auffassung v.a. die Stellung des Betriebsrats im Verhältnis zum Arbeitgeber. Der Betriebsrat solle gerade eine Opposition zum Arbeitgeber einnehmen und die Interessen der Arbeitnehmer vertreten. Diese Stellung würde erheblich geschwächt, wenn der Arbeitgeber Mittel und Zwecke der Datenverarbeitung vorschreiben könnte. Es sei daher gewünscht und in der Praxis auch gelebt, dass der Betriebsrat selbst über die Datenverarbeitung entscheidet. Einige Aufsichtsbehörden, beispielsweise die Landesdatenschutzbeauftragten für Baden-Württemberg und Thüringen, und das Landesarbeitsgericht Sachsen-Anhalt (Urteil vom 18.12.2018 – 4 TaBV 19/17) sehen im Betriebsrat daher eine selbstständige verantwortliche Stelle.

Argumente gegen eine eigene Verantwortlichkeit des Betriebsrats

Andere Stimmen behandeln den Betriebsrat nicht als eigenen Verantwortlichen, sondern als Teil des Unternehmens. Dieses ist dann Adressat der datenschutzrechtlichen Vorgaben und hat für deren Einhaltung einzustehen. Das wesentliche Argument ist die fehlende bzw. eingeschränkte Vermögens- und Rechtsfähigkeit des Betriebsrats. Nach außen könne der Betriebsrat eben nicht eigenständig handeln, weswegen insbesondere die Mittel der Datenverarbeitung durch den Arbeitgeber gestellt würden und dieser somit über deren Anschaffung und konkrete Verwendung entscheide. Auch die Kosten hierfür habe der Arbeitgeber zu tragen. Außerdem stelle sich im Falle eines Verstoßes gegen das Datenschutzrecht die Frage, gegen wen diesbezüglich Sanktionen durchgesetzt werden können. Entsprechend sieht beispielsweise der Landesdatenschutzbeauftragte Rheinland-Pfalz die Verantwortlichkeit beim Arbeitgeber.

Fazit

Derzeit ist der Streitpunkt, der weitreichende Folgen für die Tätigkeit des Betriebsrates hat, noch nicht höchstrichterlich geklärt.

Sollte sich die höchstrichterliche Rechtsprechung für eine Verantwortlichkeit des Betriebsrates entscheiden hätte dies insbesondere Konsequenzen für die Haftung des Betriebsrats für Datenschutzverstöße. Ihn würden sämtliche Pflichten nach der DSGVO treffen. Beispielsweise hätte er bei mehr als 10 Mitgliedern regelmäßig einen eigenen Datenschutzbeauftragten zu benennen und bei einem gewissen Umfang der Datenverarbeitung eine Datenschutzfolgenabschätzung vorzunehmen. Will der Betriebsrat (etwa ein Konzernbetriebsrat) personenbezogene Daten an Drittländer – z.B. die USA – übermitteln, müsste er selbst für einen angemessenen Schutz sorgen, was ihm mangels Rechtsfähigkeit nahezu unmöglich sein dürfte (insbesondere nach der Unwirksamkeit des EU-US-Privacy Shield hier). Und dies ist nur ein kleiner Ausschnitt aus einer ganzen Reihe von Verpflichtungen nach DSGVO und BDSG.

Vorerst ist zu empfehlen eine (Rahmen-)Betriebsvereinbarung zur Regelung der Datenverarbeitung mit dem Arbeitgeber zu treffen. Dort könnten konkrete Vereinbarungen niedergeschrieben werden, die für Klarheit sorgen und im beiderseitigen Interesse das Risiko von Verstößen reduzieren und eine rechtlich zulässige Datenverarbeitung durch den Betriebsrat gewährleisten.