DSGVO: Betriebsrat bald “eigener Verantwortlicher”?
Die EU-Datenschutz-Grundverordnung (DSGVO) sorgt erneut für Aufregung: Kaum haben sich die Gemüter etwas beruhigt, wird es wieder turbulent um die neue DSGVO. Wenn es nach den Aufsichtsbehörden geht, sollen die Betriebsräte Berichten zufolge eigenverantwortlich für die Datenschutzgrundverordnung sein. Diese Ansicht steht auf sehr wackeligen Füßen, trotzdem sollten sich Unternehmen und Betriebsräte rechtlich absichern.
Falls sich diese Auffassung durchsetzt, müssten Betriebsräte für die von ihnen verarbeiteten Daten selbständig Maßnahmen zur Umsetzung der DSGVO umsetzen. Verstöße könnten Bußgelder von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes nach sich ziehen. Damit hätten Betriebsräte in ihrer Eigenschaft als Verantwortliche aber noch nicht das Ende der Fahnenstange erreicht: Sie müssten u. a. einen eigenen Datenschutzbeauftragten bestellen, eigene DSGVO-Umsetzungsprojekte vollziehen und in eigener Verantwortung Betroffenenrechte von Arbeitnehmern entsprechend der DSGVO erfüllen. Die Kosten für all diese Maßnahmen würden wiederum beim Arbeitgeber anlaufen.
Wie kommen die Aufsichtsbehörden zu ihrer Einschätzung?
Die neue DSGVO hat am 25. Mai 2018 das bis dahin gültige BDSG abgelöst. Die bisherige Rechtsprechung war der Meinung, dass lediglich natürliche oder juristische Personen, Personenvereinigungen des privaten Rechts oder Gesellschaften für die Einhaltung der Vorschriften verantwortlich sind. Geregelt wurde das in den §§ 2 Abs. 4 BDSG a.F. und 3 Abs. 7 BDSG a.F. In der neuen DSGVO werden die Verantwortlichen im Art. 4 Nr. 7 anders definiert (vgl. aber auch § 2 BDSG-neu). Entscheidend ist in diesem Zusammenhang der Zusatz “oder andere Stellen”. Damit könnten künftig prinzipiell alle Stellen in der Pflicht stehen, die personenbezogene Daten verarbeiten und darüber entscheiden, welche Zwecke und Mittel der Verarbeitung eingesetzt werden.
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […]
Die DSGVO weitet die Grenzen des Begriffs also aus und beinhaltet grundsätzlich keine Beschränkung mehr auf bestimmte Stellen.
Von Belang ist demnach nur, wer über die Mittel und Zwecke der Verarbeitung entscheidet, sprich: das Sagen hat. Da der Betriebsrat laut Betriebsverfassungsgesetz (BetrVG) unabhängig ist, ist eine Schlussfolgerung der Datenschutzbehörden dahingehend, dass der Betriebsrat eigenständig über die Mittel und Zwecke der Verarbeitung persönlicher Daten bestimmt, durchaus möglich. Damit würde dem Betriebsrat die Pflicht entstehen, für die Einhaltung der Datenschutzvorschriften einzustehen.
Wie sieht die rechtliche Lage aus?
Laut der DSGVO ist derjenige für die Einhaltung des Datenschutzes verantwortlich, der über die Mittel und Zwecke der Verarbeitung der Daten auch bestimmt. In der Praxis ist das Ganze allerdings nicht so einfach. Bei der Zusammenarbeit zwischen Betriebsrat und Unternehmen kann der Betriebsrat die personenbezogenen Daten nicht in vollständiger Eigenverantwortlichkeit verarbeiten. Das liegt zum Teil daran, dass die Betriebsräte in aller Regel die IT-Landschaft des Unternehmens mitnutzen und sich dabei nach den technisch-organisatorischen Maßnahmen des Unternehmens richten. Das Unternehmen ist dementsprechend gem. § 40 Abs. 2 BetrVG dazu verpflichtet, dem Betriebsrat die benötigte Informations- und Kommunikationstechnik zur Verfügung zu stellen. Daher ist es m. E. gut vertretbar, dem Betriebsrat nicht die alleinige Entscheidungshoheit über die Mittel der Verarbeitung personenbezogener Daten zuzusprechen. Dies deckt sich mit der bisherigen Rechtsprechung des Bundesarbeitsgerichts, wonach der Betriebsrat stets Teil des Arbeitgebers als datenschutzrechtlich verantwortliche Stelle anzusehen sei.1
Ähnlich dürfte es sich auch bei dem Zweck der Verarbeitung personenbezogener Daten verhalten. Den Rahmen der Befugnisse des Betriebsrats bildet das BetrVG. Dieser Rahmen ist grundsätzlich eng gesetzt, so dass der Betriebsrat über seine Maßnahmen und damit auch über die Zwecke der Verarbeitung personenbezogener Daten nur in diesem sehr engen Rahmen entscheiden kann. Es könnte natürlich auch vertreten werden, dass diesbezüglich nur das finale “Ob” der alleinigen Entscheidungskraft des Betriebsrats maßgeblich ist, nicht dagegen Umstände wie z. B. der gesetzliche Rahmen in Form des Betriebsverfassungsgesetzes. Doch auch in diesem Fall fehlte m. E. die erste kumulative Voraussetzung der alleinigen Entscheidungsfindung des Betriebsrats über die Mittel der Verarbeitung personenbezogener Daten.
Im Übrigen verlangen Stimmen in der Literatur eine “eigene Rechtspersönlichkeit” vom Verantwortlichen, die im Falle des Betriebsrats zu verneinen sein dürfte.
Exkurs: Verhältnis zwischen Betriebsrat und Datenschutzbeauftragten
Wie bereits erwähnt, sieht das BAG den Betriebsrat seit jeher als Teil des Arbeitgebers als verantwortliche Stelle an. Andererseits habe der Datenschutzbeauftragte des Unternehmens jedoch keine Kontrollmöglichkeit zur Einhaltung der Datenschutzvorschriften durch den Betriebsrat.2 Begründet wird diese ambivalente Wertung damit, dass der Datenschutzbeauftragte als “verlängerter Arm des Arbeitgebers” handele, der Betriebsrat laut Betriebsverfassungsgesetz jedoch unabhängig sei. Aus diesem Grund war eine Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten bis zum 25. Mai 2018 unzulässig.
Mit Ablauf der Schonfrist stellt sich die Situation diesbezüglich ein wenig anders dar: Das Verhältnis des Datenschutzbeauftragten zum Betriebsrat wird in der DSGVO nicht angesprochen. Auf Grundlage der BAG-Rechtsprechung und der DSGVO können somit aktuell zwei Grundannahmen getroffen werden:
- Der Datenschutzbeauftragte ist für den Verantwortlichen zuständig.
- Der Betriebsrat ist Teil der Verantwortlichen Stelle.
Da die DSGVO aber Vorrang gegenüber nationalen Vorschriften genießt, kann die Unabhängigkeit des Betriebsrats nach dem BetrVG diesen m. E. nicht mehr vor der Kontrollzuständigkeit des betrieblichen Datenschutzbeauftragten schützen. Eine weitere potenzielle Folge dieser Wertung könnte darin bestehen, dass ein Betriebsratsmitglied – aufgrund einer Interessenkollision – nicht zugleich der betriebliche Datenschutzbeauftragte sein darf.
Wie bindend sind Beschlüsse der Aufsichtsbehörde?
Die Beschlüsse der Aufsichtsbehörde sind nicht bindend. Die Aufsichtsbehörden haben keine rechtsgebende und auch keine rechtsfortbildende Wirkung. Aus diesem Grund sind Unternehmen oder Gerichte nicht gezwungen, sich an die Auslegungen der Aufsichtsbehörde zu halten. Allerdings haben die Beschlüsse Vorbildcharakter. Richter nehmen die Auslegungen der Aufsichtsbehörde oft als Grundlage für ihre Urteile, auch wenn sie andere Entscheidungen treffen können.
Wenn die Verantwortlichen den Beschlüssen der Aufsichtsbehörden nicht folgen, müssen sie – wie in Art. 83 DSGVO vorgesehen – ein “wirksames, verhältnismäßiges und abschreckendes” Bußgeld zumindest in Betracht ziehen. Das Bußgeld kann zwar gerichtlich angefochten werden, aber dieser regelmäßig langwierige Weg ist im Prinzip ergebnisoffen und vom jeweiligen Richter abhängig.
Welche Möglichkeiten haben Unternehmen?
Um es gar nicht erst so weit kommen zu lassen, sollten Betriebsrat und Unternehmen einige Maßnahmen treffen, um sich rechtlich abzusichern. Dazu gehört zum Beispiel eine eindeutige Regelung der Überlassung der IT-Systeme und deren Nutzung. Eine weitere Möglichkeit ist es zu vereinbaren, dass der Datenschutzbeauftragte nicht nur für das Unternehmen arbeitet, sondern seine Expertise auch dem Betriebsrat zur Verfügung stellt.
Die Datenschutzbehörden lassen durchblicken, dass es Betriebsräten und Arbeitgebern freistehen wird, die datenschutzrechtliche Einordnung des Betriebsrats als als Teil des Arbeitgebers oder als eigener Verantwortlicher im Rahmen einer Betriebsvereinbarungen verbindlich zu regeln. Art. 88 Abs. 1 DSGVO ermöglicht es, durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext vorzusehen. Dies hat zur Folge, dass Arbeitgeber und Betriebsrät in Betriebsvereinbarungen zur Umsetzung der DSGVO einschlägige Regelungen vorsehen können, demzufolge der Arbeitgeber ungeachtet der grundsätzlichen Position der Datenschutzaufsichtsbehörden für die datenschutzrechtlichen Pflichten des Betriebsrats einsteht.
Zum Zeitpunkt der Veröffentlichung dieses Artikels hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder noch keinen Beschluss veröffentlicht, der die hier diskutierte Sichtweise bestätigt. Der Artikel wird aber selbstverständlich aktualisiert, sobald eine entsprechende Stellungnahme vorliegt.
(17 Bewertung(en) , durchschnittlich: 4,82 von 5)
Erläuterung:
1: BAG, Beschl. v. 7.2.2012, Az.: 1 ABR 46/10.
2: BAG, Beschl. v. 11.11.1997, Az.: 1 ABR 21/97.
(Bild-)Quellen: © SergeyNivens, depositphotos