Bereits am 18. Juni 2021 ist das Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) in Kraft getreten. Mit diesem Gesetz sind zahlreiche Änderungen des Betriebsverfassungsgesetzes (BetrVG) verbunden, etwa bezüglich der Gründung von Betriebsräten und deren Wahl, der Ausgestaltung mobiler Arbeit und der Einbindung des Betriebsrates bei dem Einsatz von künstlicher Intelligenz. Mit dem durch die Gesetzesinitiative neu geschaffenen § 79a BetrVG werden außerdem klarstellende Aussagen zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrates getroffen, deren rechtliche und praktische Implikationen wir überblicksartig darstellen möchten.
I. Einführung
Unternehmen haben nicht nur gegenüber ihren Kunden, sondern auch gegenüber ihren Mitarbeitenden die Einhaltung datenschutzrechtlicher Bestimmung sicherzustellen. Hinsichtlich der Regelung der datenschutzrechtlichen Anforderungen im Beschäftigtenverhältnis belässt die Datenschutzgrundverordnung (DSGVO) den nationalen Gesetzgebern einen gewissen Gestaltungsspielraum, dem der Bundesgesetzgeber insbesondere mit § 26 Bundesdatenschutzgesetz (BDSG) ausgefüllt hat.
In § 26 Abs. 6 BDSG heißt es „Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt“. Datenschutzrechtliche Verpflichtungen einerseits und Beteiligungsrechte des Betriebsrates andererseits sind damit in Einklang zu bringen. Dies betrifft etwa die Einführung und Anwendung technischer Einrichtungen durch den Arbeitgeber, die zumindest theoretisch dazu geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen, z. B. Systeme zur Zeiterfassung, Anwendung zum Austausch von Dokumenten oder bestimmte Telefonanlagen, vgl. § 87 Abs. 1 Nr. 6 BetrVG. Allerdings waren der Umfang der datenschutzrechtlichen Pflichten, die dem Betriebsrat obliegen, und die Frage, inwiefern dem Betriebsrat eine eigenständige datenschutzrechtliche Verantwortlichkeit zukommt, bislang umstritten.
II. Verantwortlichkeit und Haftung
Die Frage, wem eine (eigenständige) datenschutzrechtliche Verantwortlichkeit zukommt, hat insbesondere im Hinblick auf die Erfüllung von Betroffenenansprüchen und die Haftung für die Verletzung datenschutzrechtlicher Anforderungen Bedeutung. Allgemein ist diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, als verantwortlich im datenschutzrechtlichen Sinne zu qualifizieren, vgl. Art. 4 Nr. 7 DSGVO. Aufgrund des Schutzzwecks des Datenschutzrechts ist tendenziell von einem weiten Begriff der Verantwortlichkeit auszugehen. Ob bzw. inwiefern dem Betriebsrat im Verhältnis zum Arbeitgeber eine eigenständige datenschutzrechtliche Verantwortlichkeit zukommt, ist umstritten und wurde bislang auch noch nicht verbindlich bzw. umfassend durch die Rechtsprechung geklärt. Zuletzt hatte das Bundesarbeitsgericht in einem Verfahren, in dem die Klärung dieser Frage nahegelegen hätte, diese ausdrücklich offen gelassen (siehe BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17).
Demgegenüber ist bereits seit langem in der Rechtsprechung anerkannt, dass der Betriebsrat, wenn er personenbezogene Daten verarbeitet, auch an die Einhaltung datenschutzrechtlicher Vorgaben gebunden ist, etwa dem Zweckbindungsgrundsatzes und die Pflicht zur Etablierung hinreichender technischer und organisatorischer Schutzmaßnahmen (vgl. BAG, Beschl. v. 12.08.2009 – 7 ABR 15/08). Die Bindung des Betriebsrates an datenschutzrechtliche Vorschriften greift nunmehr auch § 79a S. 1 BetrVG ausdrücklich auf. Die Zulässigkeit der Verarbeitung personenbezogener Daten durch den Betriebsrat richtet sich im Wesentlichen nach § 26 Abs. 1 S. 1 BDSG und damit u. a. nach der Frage, ob die jeweilige Datenverarbeitung durch den Betriebsrat erforderlich ist für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses oder zur Ausübung oder Erfüllung von gesetzlichen oder vertraglichen Rechten und Pflichten des Betriebsrates.
Klarstellend formuliert § 79a S. 2 BetrVG nunmehr, dass der Arbeitgeber als datenschutzrechtlich verantwortliche Stelle gilt, wenn der Betriebsrat zur Erfüllung der ihm obliegenden Aufgaben personenbezogene Daten verarbeitet. Der Gesetzgeber begründet diese Regelung mit der Erwägung, dass der Betriebsrat keine nach außen rechtlich verselbständigte Institution sei. Bei der Verarbeitung personenbezogener Daten agiere der Betriebsrat vielmehr als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers, vgl. BT-Drs. 19/28899, S. 22.
Im Umkehrschluss müsste dies konsequenterweise bedeuten, dass der Betriebsrat, soweit dieser personenbezogene Daten außerhalb der ihm obliegenden Aufgaben und damit entgegen des Grundsatzes der Rechtmäßigkeit der Verarbeitung verarbeitet, eine eigenständige datenschutzrechtlich verantwortliche Stelle bildet. Wünschenswert wäre eine gesetzgeberisch eindeutige Positionierung zu dieser praxisrelevanten Frage nach der Einschätzung der Haftung des Betriebsrates für Datenschutzverstöße. Eine eindeutige Klarstellung lassen allerdings der Wortlaut von § 79a BertVG sowie die Gesetzesbegründung vermissen.
Problematisch ist aus Sicht des Arbeitgebers, dass dieser lediglich einen verhältnismäßig beschränkten Einfluss auf die Arbeit des Betriebsrates hat, andererseits im Außenverhältnis ggf. für datenschutzwidrige Handlungen des Betriebsrates in Anspruch genommen werden könnte. Hier ist rein praktisch wohl eine Lösung über Art. 82 Abs. 3 DSGVO zu suchen, der auf die haftungsrechtliche Konstellation zwischen Arbeitgeber und Betriebsrat zumindest entsprechend Anwendung finden dürfte. Hiernach wird derjenige, der nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den ein Schaden entstanden ist, von der Haftung nach der DSGVO befreit. Entsprechend könnte eine Übermittlung personenbezogener Daten an den Betriebsrat, die dieser weder für die Erledigung seiner vertraglichen noch seiner gesetzlichen Pflichten zwingend benötigt, den Anknüpfungspunkt für ein eigenes Verschulden und damit eine (eigenständige) Haftung des Arbeitgebers bilden. Weist der Arbeitgeber allerdings nach, dass er personenbezogene Daten rechtmäßigerweise an den Betriebsrat übermitteln durfte, der Betriebsrat die Daten zweckentfremdet, was für den Arbeitgeber im Vorfeld jedoch nicht erkennbar war, dürfte eine Haftung des Arbeitgebers für die Zweckentfremdung durch den Betriebsrat ausgeschlossen sein – und zwar unabhängig von der Frage, ob der Betriebsrat selbstständig verantwortlich i. S. v. Art. 4 Nr. 7 DSGVO ist.
Da § 79a BetrVG bereits keine eindeutige Aussage zur Haftung des Betriebsrates an sich trifft, adressiert die Norm insofern konsequenterweise auch nicht die Frage, ob einzelne Mitglieder des Betriebsrates oder lediglich der Betriebsrat an sich Adressat datenschutzrechtlicher Verpflichtungen ist. Die Frage bleibt damit weiter offen.
III. Kooperation zwischen Arbeitgeber und Betriebsrat
Bei der Verwirklichung datenschutzrechtlicher Vorgaben sind Arbeitgeber und Betriebsrat oftmals aufeinander angewiesen, etwa im Zusammenhang mit der Erfüllung von Betroffenenansprüchen, der Erstellung und Pflege von Verfahrensverzeichnissen sowie der Implementierung technischer und organisatorischer Schutzmaßnahmen. Diesem praktischen Erfordernis folgend formuliert § 79a S. 3 BetrVG eine Kooperationspflicht beider Stellen. Konkrete Rechtsfolgen lassen sich dem BetrVG aber auch insoweit nicht entnehmen. Eine Konkretisierung der Zusammenarbeit beider Stellen sollte daher im Rahmen einer individuellen Betriebsvereinbarung getroffen werden, welche insbesondere das Verfahren der Zusammenarbeit hinreichend präzise abbildet.
IV. Die Beziehung zum Datenschutzbeauftragten
Schließlich bestimmt § 79a S. 4 BetrVG, dass die Verschwiegenheitspflicht des Datenschutzbeauftragten, die etwa in Bezug auf die Geltendmachung von Betroffenenanfragen anerkannt ist, auch im Verhältnis zum Arbeitgeber gilt, soweit die Arbeit des Betriebsrates betroffen ist, vgl. BT-Drs. 19/28899, S. 22. Aus der Gesetzesbegründung geht weiter hervor, dass der Betriebsrat – soweit erforderlich – die Beratung des Datenschutzbeauftragen in Anspruch nehmen kann.
Es dürfte davon auszugehen sein, dass die Verschwiegenheitspflicht des Datenschutzbeauftragten zugunsten des Betriebsrates zumindest für solche Prozesse, die die Willensbildung des Betriebsrates betreffen, gilt. Demgegenüber kann an der überkommenen Rechtsprechung des Bundesarbeitsgerichts, nach der die Kontrollrechte des betrieblichen Datenschutzbeauftragten nicht gegenüber dem Betriebsrat gelten (BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97), unter Geltung der DSGVO nicht mehr ohne weiteres berücksichtigt werden. Vielmehr ist im Grundsatz von der Pflicht des Datenschutzbeauftragten, auf die Einhaltung des Datenschutzrechts auch gegenüber dem Betriebsrat hinzuwirken, auszugehen, vgl. Art. 39 Abs. 1 lit. b) DSGVO. Letztlich wird die Rechtsprechung wohl erst schrittweise ausloten müssen, welche Grenzen insoweit bestehen. Die Modernisierung des Betriebsverfassungsgesetzes trägt jedenfalls kaum etwas zur Rechtsklarheit diesbezüglich bei.
V. Zusammenfassung und Empfehlungen
Zusammenfassend lässt sich feststellen, dass § 79a BetrVG verhältnismäßig wenig dazu beiträgt, die datenschutzrechtlichen Herausforderungen im Verhältnis zwischen Arbeitgeber und Betriebsrat zu bewältigen. Unternehmen werden in der Regel gut beraten sein, wenn Sie die grundsätzlichen datenschutzrelevanten Abläufe durch eine Rahmen-Betriebsvereinbarung gemeinsam mit dem Betriebsrat festlegen. Diese grundsätzliche Vereinbarung kann im Einzelfall durch speziellere Abreden, etwa in Form eines Anhanges, ergänzt werden. Eine solche Ergänzung kann sich etwa auf die Regelung des „Wie“ des mobilen Arbeitens beziehen. Denn soweit der Arbeitgeber von seinen Mitarbeitenden die Einhaltung bestimmter Sicherheitsstandards im Home-Office verlangt, was nicht zuletzt regelmäßig von Vertragspartnern bzw. Kunden erwartet wird, sind diese mit dem Betriebsrat spätestens seit dem Inkrafttreten der in Rede stehenden Gesetzesinitiative abzustimmen, vgl. § 80 Abs. 1 Nr. 14 BetrVG.
Allgemein ist darauf zu achten, dass sämtliche Datenverarbeitungsprozesse und insbesondere soweit diese sensible Daten betreffen, etwa Gesundheitsdaten oder Informationen über die religiöse, politische bzw. weltanschauliche Überzeugung von Mitarbeitenden, hinreichend datenschutzrechtlich abgesichert werden. Die weiterhin bestehende Unsicherheit hinsichtlich der Haftung des Arbeitgebers für Datenschutzverstöße des Betriebsrates kann im Einzelfall dazu führen, dass Übermittlungsprozesse unterbleiben sollten, solange nicht hinreichend sicher davon ausgegangen werden kann, dass die Anforderungen des Datenschutzrechts durch den Betriebsrat erfüllt werden.
