Der Betriebsrat als Verantwortlicher unter der DSGVO oder Teil des Verantwortlichen und Kontrolle durch den Datenschutzbeauftragten

Die Frage, ob der Betriebsrat (im Folgenden kurz BR) in einem Betrieb (= Arbeitgeber, kurz AG) nach der DSGVO selbst als Verantwortlicher oder als Teil des Verantwortlichen anzusehen ist, ist derzeit – auch unter den Datenschutzaufsichtsbehörden – umstritten. Die Aufsichtsbehörden haben eine Arbeitsgruppe zur Klärung dieser Fragen eingesetzt.1Ein erstes Meinungsbild unter den Aufsichtsbehörden ergab, dass die, die sich bereits eine Meinung zu der Frage gebildet haben, mehrheitlich den BR als Verantwortlichen ansehen.2 Die Auffassung muss nicht richtig sein; die Rechtsprechung kann ihre  eigene Auffassung entwicklen und der europäische Datenschutzausschuss kann die Frage abweichend von der Auffassung der deutschen Aufsichtsbehörden EU-weit einheitlich entscheiden. Die Entscheidung der Frage hat aber erheblichen praktische Konsequenzen für die datenschutzrechtlichen Pflichten des Betriebsrats, dessen Organisation und Haftung sowie die Kontrolle durch den betrieblichen Datenschutzbeauftragten. 

Auf diese Frage gehe ich im Folgenden ein, wobei zunächst die bisherige Rechtsprechung und Literaturmeinung zum Fragenkreis als Verständnishintergrund dargestellt wird:

Betriebsrat als Teil der verantwortlichen Stelle BDSG – alte Fassung (a.F.)

Der BR erhält im Rahmen seiner kollektivrechtlichen Tätigkeit zahlreiche personenbezogene Daten, vornehmlich Beschäftigtendaten.3

Das BDSG definiert die „verantwortliche Stelle“ in § 3 Abs. 7 BDSG a.F. Wer eine verantwortliche Stelle sein kann, ergibt sich aus § 1 II Nr. 3 und § 2 IV:

…alle am privaten Rechtsleben Beteiligten, also natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter § 1 II Nr. 1 und 2 sowie § 2 I bis III fallen. … Da der Betriebsrat nicht die Voraussetzungen einer nicht-öffentlichen Stelle erfüllt, sondern als Repräsentant der Belegschaft Aufgaben im Rahmen der Betriebsverfassung wahrnimmt, ist er als Teil der verantwortlichen Stelle im Unternehmen anzusehen. Unabhängig davon, ob man den Betriebsrat als Repräsentanten der Arbeitnehmer oder auch als Organ der Belegschaft ansieht, wird er dadurch weder zu einer juristischen Person noch zu einer anderen Personenvereinigung des privaten Rechts„4

Der Betriebsrat wird datenschutzrechtlich als Teil der verantwortlichen Stelle, also Teil des Unternehmens, angesehen und muss somit nach alter Auffassung keinen eigenen Datenschutzbeauftragten bestellen. Jedoch hat der betriebliche Datenschutzbeauftragte gegenüber dem Betriebsrat keine Kontrollbefugnisse. Gleichwohl hat der Betriebsrat die Verpflichtungen des Datenschutzrechts  nach BDSG zu erfüllen und ist an dessen Anforderungen und Vorgaben gebunden.5

Der Betriebsrat darf grundsätzlich keine eigene Personaldatei aufbauen; personenbezogene Daten werden nach dem Betriebsverfassungsrecht üblicherweise nur zur – dauerhaften oder zeitlich befristeten – Einsichtnahme zur Verfügung gestellt, was eine Speicherung nicht rechtfertigt.

BEISPIEL:

Der Betriebsrat hat ein bloßes Einsichtnahmerecht in Gehaltsdaten, darf diese aber nicht selber speichern oder verarbeiten. Wird dem Betriebsrat also gesetzlich nur Einsicht in Unterlagen gewährt, so darf er diese Unterlagen nicht speichern oder verarbeiten. Eine Verarbeitung von Personaldaten kommt ebenfalls nur dann und solange in Betracht, wie dies zur Ausübung des konkreten Informations- oderMitbestimmungsrechts des Betriebsrats erforderlich ist. Je nach Größe des Unternehmens wird es dem Betriebsrat aber nicht verwehrt sein, gewisse Grundinformationen auch auf Dauer automatisiert zu verarbeiten.

Soweit das Betriebsverfassungsgesetz ausnahmsweise eine automatisierte Verarbeitung nicht ausschließt, richtet sich die Zulässigkeit nach § 28 BDSG a.F., also vor allem nach der Zweckbestimmung des Arbeitsverhältnisses. Grundstammdaten wie Name, Arbeitsplatz, Betriebszugehörigkeitsdauer etc. dürfen hingegen gespeichert werden, ohne dass man von einer unzulässigen Vorratsspeicherung ausgehen muss, da der Betriebsrat wissen muss, wen er vertritt.“6

In einem Verfahren vor dem BAG beruft sich eine Arbeitgeberin darauf, dass sie gegenüber dem BR einen Anspruch habe, dass dieser sich von DSB kontrollieren lasse, um ihr zu ermöglichen, ihren Pflichten aus dem Datenschutzrecht nachzukommen. Sie sei gegenüber den Arbeitnehmern und der Aufsichtsbehörde für die Einhaltung des Datenschutzes verantwortlich. Das BAG hat jedoch festgestellt, dass dem DSB keine Kontrollbefugnis gegenüber dem BR zusteht.7Gleichwohl sei der BR nicht „Dritter“ i.S.d. BSDG, sondern selbst Teil der speichernden bzw. verantwortlichen Stelle.8

Die Zugehörigkeit des Betriebsrats zur speichernden Stelle ergibt sich daraus, dassim nicht-öffentlichen Bereich Stellen im Sinne des Bundesdatenschutzgesetzes nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts sind (§ 2 IV BDSG). Zu diesen gehören Betriebsräte nicht. … Dieser Auffassung wird entgegengehalten, das Betriebsverfassungsgesetz stehe einer Befugnis des Datenschutzbeauftragten entgegen, die Betriebsräte zu kontrollieren …. Der Datenschutzbeauftragte werde vom Arbeitgeber ausgewählt. Er sei daher ungeachtet der Freiheit von fachlichen Weisungen sowie des Schutzes vor Benachteiligungen der Arbeitgeberseite zuzurechnen, unter deren Verantwortung er handele. Mit der Unabhängigkeit der Betriebsräte vom Arbeitgeber sei die Kontrolle durch einen Beauftragten des Arbeitgebers unvereinbar. Zum Schutz der von den Betriebsräten verarbeiteten Daten reiche die behördliche Kontrolle nach § 38 BDSG aus. …. Die Betriebsräte – und damit auch der Gesamtbetriebsrat – unterliegen nicht der Kontrolle durch den betrieblichen Datenschutzbeauftragten … Ein Kontrollrecht des Datenschutzbeauftragten wäre mit der vom Betriebsverfassungsgesetz vorgeschriebenen Unabhängigkeit des Gesamtbetriebsrats von der Arbeitgeberin unvereinbar. …. Die insoweit bestehende Unabhängigkeit von Betriebsrat und Arbeitgeber ist ein Strukturprinzip der Betriebsverfassung, das in zahlreichen Regelungen des Betriebsverfassungsgesetzes zum Ausdruck kommt. Mit der gesetzlich geforderten Eigenständigkeit des Betriebsrats wären Kontrollrechte und Weisungsbefugnisse des Arbeitgebers hinsichtlich der Ausübung des Betriebsratsamtes nicht vereinbar …“

Das BAG führt 2009 für die Auffassung, dass der BR Teil der verantwortlichen Stelle ist, die fehlende Rechtsfähigkeit des BR an:

Deshalb ist auf Grund seiner fehlenden Rechtsfähigkeit nicht der Betriebsrat Adressat des BDSG, sondern der Arbeitgeber. Als Teil der verantwortlichen Stelle i.S. von § 3 VII BDSG ist der Betriebsrat aber ebenfalls dem Datenschutz verpflichtet … Er hat unter Beachtung des Strukturprinzips der Unabhängigkeit in der Betriebsverfassung eigenständig über Maßnahmen zu beschließen, um einem Missbrauch der Daten innerhalb seines Verantwortungsbereichs zu begegnen. Außerdem muss der Betriebsrat die jeweils geltenden betrieblichen Datenschutzbestimmungen einhalten und diese soweit wie möglich ergänzen (vgl. Simitis, BDSG, 6. Aufl., § 28 Rdnr. 55). Inwieweit er dazu durch den Arbeitgeber nach Maßgabe der Anlage zu § 9 S. 1 BDSG angemessene technische Vorkehrungen einrichten oder organisatorische Vorkehrungen treffen lässt, um gespeicherte Daten vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen zu schützen bzw. wie er eine wirksame Weitergabekontrolle sicherstellt, obliegt seinem pflichtgemäßen Ermessen.“9

Der BGH hat jedoch festgestellt, dass der BR durchaus im Verhältnis zu Dritten rechtsfähig sein kannund bezieht sich dabei auf die Rechtsprechung des BAG.10Voraussetzung ist, dass der BR „soweit er innerhalb des ihm vom Betriebsverfassungsgesetz zugewiesenen Wirkungskreises tätig wird“. Dies ist bei der Datenverarbeitung im Rahmen des BetrVG und des § 32 BDSG a.F. bzw. § 26 BDSG n.F. gegeben. Der BGH begründet dies mit dem Freistellungsanspruch des BR gegenüber dem AG bei Kosten für externe Berater, was wirksame Verträge11und damit eine Teilrechtsfähigkeit des BRvoraussetzt.

Betriebsrat als Dritter und verantwortliche Stelle, BDSG – alt

Nach Auffassung des BAG12gehört es zu den Aufgaben des BR zugunsten der AN über die Einhaltung des Datenschutzrechts zu achten. Der BR müsse dabei auch selbst überwacht werden, aber nicht zwingend durch den DSB:

Diesem Verständnis steht nicht entgegen, daß auch die Betriebsräte bei der Verarbeitung von Daten dem Bundesdatenschutzgesetz unterworfen sind, und daß hinsichtlich ihrer Datenverarbeitung im Interesse des Datenschutzes grundsätzlich auch eine Kontrolle angezeigt erscheint. Betriebsräte haben zwar nach § 80 I Nr. 1 BetrVG – ähnlich dem Datenschutzbeauftragten – die Aufgabe, über die Einhaltung des Bundesdatenschutzgesetzes zu wachen, denn es handelt sich hierbei um ein zugunsten der Arbeitnehmer geltendes Gesetz (BAGE 54, 278 [286f.] = NJW 1987, 2894 = NZA 1987, 747 = AP Nr. 29 zu § 80 BetrVG 1972 [zu B II 2a]). Dieser Kontrollauftrag schließt aber die Gefahr nicht aus, daß dem Betriebsrat beim eigenen Umgang mit personenbezogenen Daten Verstöße gegen Vorschriften des Datenschutzes unterlaufen. Die erforderliche Kontrolle der Betriebsräte muß aber nach der Konzeption des Bundesdatenschutzgesetzes nicht zwingend durch den betrieblichen Datenschutzbeauftragten erfolgen. … Schließlich führt dieVerneinung der Kontrollbefugnis des betrieblichen Datenschutzbeauftragtennicht etwa dazu, daß der Betriebsrat sich in einem datenschutzfreien Raum bewegen würde. Vielmehr bestehen ihm gegenüber in gleicher Weise Kontrollbefugnisse der Aufsichtsbehörde nach § 38 BDSG, wie dies gegenüber Unternehmen ohne Datenschutzbeauftragte der Fall ist.“

In einem Forumbeitrag vom 19.06.2009 schreibt Ulrich Dammann für den Bundesbeauftragten für Datenschutz:

Der Betriebsrat, genauer: die handelnden Personen, die Mitglieder des BR sind, werden erst dann wie Dritte behandelt, wenn sie außerhalb des Aufgabenbereichs des BR handeln, also etwa betriebliche Daten versilbern. Dann braucht der AG dafür nicht mehr einzustehen. Er ist dann Opfer, nicht Veranstalter. Das bedeutet aber nicht, dass jedes Tun, das rechtswidrig ist, etwa wegen Datenschutzverstoß, automatisch nicht mehr als „Organhandeln“ (Handeln als Betriebsteil) angesehen wird. Der Arbeitgeber kann dann aber verlangen, dass der BR die Gesetze einhält. Der Aufbau einer eigenen IT-Infrastruktur oder die Nutzung freier Dienstleister wird, vielleicht von krassen Ausnahmefällen abgesehen, unzulässig sein, wenn damit neue, evtl. unbeherrschbare Risiken den Betrieb oder seine Mitarbeiter begründet werden.“

Nach aktueller Rechtsauffassung wird bei der Datenverarbeitung durch den BR zwischen der zur Erfüllung von Kernaufgaben und der sonstigen „eigenen“ Erhebung und Verarbeitung von Arbeitnehmer-Daten unterschieden.13Bei eigener Datenverarbeitung wird der BR konsequenterweise auch nach aktueller Auffassung bereits als „verantwortliche Stelle“ i.S.D. § 3 Abs. 7 BDSG angesehen, so dass dann die Betroffenen ihrer Rechte direkt gegenüber dem BR geltend machen können. Der AG ist dann nicht mehr Herr der Daten und damit nicht als „verantwortliche Stelle“ i.S.v. § 3 Abs. 7 BDSG anzusehen.

Jedenfalls wird der BR als Dritter angesehen, wenn er personenbezogene Daten verarbeitet, die nicht zu seiner Aufgabe als Betriebsrat gehören.14

Zur Verantwortlichkeit im Sinne von „Verantwortungsbereich“ des BR hat das BAG bereits 2009 ausgeführt:

Er (der BR) hat unter Beachtung des Strukturprinzips der Unabhängigkeit in der Betriebsverfassung eigenständig über Maßnahmen zu beschließen, um einem Missbrauch der Daten innerhalb seines Verantwortungsbereichs zu begegnen. Außerdem muss der Betriebsrat die jeweils geltenden betrieblichen Datenschutzbestimmungen einhalten und diese soweit wie möglich ergänzen (vgl. Simitis BDSG 6. Aufl. § 28 Rn. 55). Inwieweit er dazu durch den Arbeitgeber nach Maßgabe der Anlage zu § 9 Satz 1 BDSG angemessene technische Vorkehrungen einrichten oder organisatorische Vorkehrungen treffen lässt, um gespeicherte Daten vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen zu schützen bzw. wie er eine wirksame Weitergabekontrolle sicherstellt, obliegt seinem pflichtgemäßen Ermessen.“15

In einer Entscheidung aus 201216stellt das BAG fest, dass der BR für die IT, die ihm zur Verfügung steht (bzw. gestellt wird) selbst „verantwortliche Stelle“ ist:

Bei einem dem Betriebsrat zur Verfügung stehenden PC hat dieser als verantwortliche Stelle nach § 3 Abs. 7 BDSG eigenverantwortlich für die Einhaltung des Datenschutzes zu sorgen. Es ist grundsätzlich nicht Sache des Arbeitgebers, dem Betriebsrat insoweit Vorschriften zu machen.“

Werden auf dem Rechner des BR personenbezogene Daten verarbeitet, sind technisch/organisatorische Maßnahmen zu ergreifen, die dem Datenschutz gerecht werden.

Die Verantwortung dafür trägt aber der Betriebsrat, der die geeigneten und erforderlichen Sicherungen festzulegen hat. Als Teil der verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG ist der Betriebsrat selbst dem Datenschutz verpflichtet und hat eigenständig über Maßnahmen zu beschließen, um den Anforderungen des BDSG Rechnung zu tragen (vgl. BAGE 131, 316, Rdnr. 27 m.w.Nw.). Aus der Eigenverantwortlichkeit des Betriebsrats folgt dessen Pflicht, u.a. für die in Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG vorgesehene Eingabekontrolle Sorge zu tragen ….“

Betriebsrat als Verantwortlicher nach DSGVO

Die DSGVO verwendet statt dem Begriff „verantwortliche Stelle“ den Begriff „Verantwortlicher“ und definiert den Begriff in Art. 4 Nr. 7 DSGVO. Danach ist „Verantwortlicher“ nicht nur eine natürliche oder juristische Person oder Behörde, sondern auch eine „Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.“ Wie gerade dargelegt, entscheidet der BR auch nach neuerer BAG-Rechtsprechung eigenverantwortlich, ob und welche Datenverarbeitung er im Rahmen seiner Aufgaben nach BetrVG für erforderlich hält und welche IT- und TK-Technik er hierzu benötigt, die ihm der AG zur Verfügung zu stellen hat. Die Definition des Begriffes „Verantwortlicher“ in der DSGVO ist also insofern weiter als die der „verantwortlichen Stelle“ im BDSG.

Gola räumt dem BR aufgrund der Interpretation des BetrVG durch das BAG eine eigenständige Verantwortlichkeit über die bei ihm stattfindende Datenverarbeitung und damit die Funktion eines (Co-)-Verantwortlichen gem. Art. 4 Nr. 7 DSGVO ein.17Die Datenverarbeitung des BR muss sich nach der Erforderlichkeitsprüfung des § 26 Abs. 1 S. 1 BDSG n.F. sowie den Vorgaben der DSGVO und dem BetrVG richten.

Der weite Begriff des „Verantwortlichen“ i.S.v. Art. 4 Nr. 7 DS-GVO spricht indessen dafür, zukünftig den Betriebsrat als eigenständig datenschutzrechtlich Verantwortlichen anzusehen. … Jedenfalls bei eigener Datenverarbeitung muss sich die Tätigkeit des Betriebsrats an § 26 BDSG-neu messen lassen.“18

§ 26 Abs. 1 S. 1 BDSG n.F. schafft ausdrücklich eine gesetzliche Erlaubnis zur Datenverarbeitung für die Interessenvertretung der Beschäftigten, also für den BR.19

Die Regelung des § 26 I 1 BDSG-E zielt darauf ab, es Arbeitgebern und Betriebsräten zu erlauben, personenbezogene Daten von Beschäftigten zu verarbeiten, soweit dies für die Erfüllung betriebsverfassungs- und kollektivrechtlicher Rechte und Pflichten erforderlich ist.“20

Pötters / Gola plädieren für eine Regelung der hier aufgeworfenen Fragen zwischen Betriebsrat und Arbeitgeber in einer Betriebsvereinbarung, halten den Betriebsrat weiterhin nicht für verantwortlich im Sinne der DSGVO, sondern für einen Teil des Verantwortlichen, halten aber die BAG-Rechtsprechung, wonach der BR nicht der Kontrolle des DSB unterliegt, unter der DSGVO nicht mehr für haltbar.31

Der Landesdatenschutzbeauftragte von Baden-Württemberg, Herr Brink, plädiert in seinem 34. Tätigkeitsbericht für 2018 auf S. 37 für den BR als eigenen Verantwortlichen nach der DSGVO.32

Kontrollrecht des betrieblichen Datenschutzbeauftragten beim BR

Die Stellung des Datenschutzbeauftragten ergibt sich aus dem Datenschutzrecht und nicht aus dem Betriebsverfassungsrecht.21Die Aufgaben und Stellung des BR hingegen ergeben sich aus dem BetrVG.

Wenn der AG dem BR nicht durch das BetrVG und § 32 BDSG a.F. bzw. § 26 BDSG n.F. gedeckte Daten übermittelt, stellt die Erteilung der Information einen Datenschutzverstoß des AG dar, deshalb der AG jede Datenübermittlung an den BR auch datenschutzrechtlich auf Zulässigkeit prüfen muss. Dies gilt in Anbetracht der deutlich erhöhten Sanktionen unter der DSGVO noch mehr als schon unter dem alten BDSG. Zudem ist das BetrVG nicht mehr als Vorrangig zum BDSG anzusehen, da die DSGVO Anwendungsvorrang hat. Daher ist also nicht nur ein Informationsanspruch des BR aus BetrVG zu prüfen, sondern auch die datenschutzrechtliche Zulässigkeit der Datenübermittlung nach Art. 88 DSGVO, § 26 BDSG n.F.22Jedoch erlaubt Art. 6 Abs. 1 lit c. DSGVO die Datenweitergabe zur Erfüllung rechtlicher Pflichten, wozu auch das BetrVG gehört. Diese Norm wird durch den neuen § 26 Abs. 1 S. 1 BDSG n.F. noch präzisiert.

Nach § 40 Abs. 2 BetrVG hat der Arbeitgeber dem BR u.a. IT-Technik zur Verfügung zu stellen. Unter die Grundsätze der Behandlung von Betriebsangehörigen nach § 75 BetrVG kann man auch das datenschutzgerechte Verhalten gegenüber den Beschäftigten verstehen, denn das Datenschutzrecht gehört zu den „Grundsätzen von Recht …“ (§ 75 Abs. 1 BetrVG) und das Datenschutzrecht ist Ausdruck des Schutzes der Persönlichkeitsrechte (§ 75 Abs. 2 BetrVG). Demnach gehört es auch zu den Aufgaben des BR über das Datenschutzrecht bzgl. der Beschäftigtendaten zu wachen.23Nach § 78 BetrVG darf die Tätigkeit des BR nicht gestört oder behindert werden. Der BR hat nach § 80 Abs. 2 BetrVG24einen Anspruch darauf, die für die Durchführung seiner Aufgaben erforderlichen Unterlagen einschließlich Gehaltslisten (da nur Einsichtnahmerecht) und Arbeitsverträgen zur Verfügung gestellt zu bekommen. Nach § 99 BetrVG sind dem BR Bewerbungsunterlagen vorzulegen und nach § 102 BetrVG ist der BR bei Kündigungen anzuhören. Nach § 79 Abs. 1 BetrVG besteht für den BR eine Geheimhaltungspflicht bzgl. Betriebs- oder Geschäftsgeheimnissen. Dem Datenschutzrecht unterliegende Informationen sind nicht ausdrücklich geregelt, da sich der Schutz ohnehin aus dem Datenschutzrecht ergibt. Jedoch ist in § 120 Abs. 2 BetrVG die Verletzung von fremden Geheimnissen eines Arbeitnehmers mit Geld- und Freiheitsstrafe sanktioniert. Bzgl. des Inhalts der Personalakte, in die ein BR-Mitglied zusammen mit dem Arbeitnehmer (AN) Einblick hat, hat er nach § 84 BetrVG stillschweigen zu wahren.

Nach Auffassung des BAG steht dem DSB gegenüber dem BR kein Kontrollrecht zu.25Diese würde „dessen gesetzlich vorgeschriebene Unabhängigkeit von der Arbeitgeberin beeinträchtigen. Die Kontrollmaßnahmen wären der Arbeitgeberin zuzurechnen. Zutreffend hat das LAG erkannt, daß der betriebliche Datenschutzbeauftragte keine „neutrale Stellung” zwischen Arbeitgeberin und Gesamtbetriebsrat einnimmt.“ Der DSB werde vom AG ohne Mitbestimmungsrecht des BR ausgewählt und bestellt und handele als „verlängerter Arm“ des AG.26

Die Sonderrolle des BR mit Blick auf die Kontrollfreiheit durch den DSB kann nach einer Literaturmeinung nicht mehr unter der DSGVO aufrechterhalten werden,27da derartige Sonderregelungen nicht durch Art. 88 DSGVO gedeckt sind. Nach dieser Auffassung wird sich also künftig der BR durch den DSGB kontrollieren lassen müssen. Klarstellend ist jedoch anzumerken, dass dann, wenn man den BR als „Verantwortlichen“ ansieht, es keine Sonderregelung darstellen, wenn er nicht durch den DSB des AG datenschutzrechtlich kontrolliert wird. Ob der BR einen eigenen DSB benennt, hängt von der Größe des BR ab.

Ergänzend ist anzumerken, dass auch unter der DSGVO der BR durch die Datenschutzaufsicht kontrolliert werden kann, also nicht in einem kontrollfreien Raum agiert.28

Haftung des Unternehmens für Fehlverhalten des Betriebsrats

Zur Haftung des Unternehmens / Arbeitgeber für unerlaubte Handlungen des BR führt das BAG29noch unter Geltung des BDSG a.F. aus, dass der Arbeitgeber Dritten gegenüber nicht hafte.

Mit der gesetzlich geforderten Eigenständigkeit des Betriebsrats wären Kontrollrechte und Weisungsbefugnisse des Arbeitgebers hinsichtlich der Ausübung des Betriebsratsamtes nicht vereinbar (BAGE 43, 109 [113] = AP Nr. 45 zu § 37 BetrVG 1972 [zu II 2]). Dem entspricht auch, daß der Arbeitgeber Dritten gegenüber nicht für unerlaubte Handlungen des Betriebsrats haftet (Fitting/Kaiser/Heither/Engels, § 1 Rdnr. 198; v. Hoyningen-Huene, in: Münchener Hdb. z. ArbeitsR § 291 Rdnr. 24). … Das in diesem Zusammenhang vorgetragene Argument, der Arbeitgeber müsse sich davor schützen können, daß er von Betroffenen wegen Gesetzesverstößen des Betriebsrats in Haftung genommen werde, verfängt nicht. Das BDSG enthält für private Arbeitgeber keine Haftungsnorm; auch § 8 BDSG begründet trotz der mißverständlichen Überschrift keinen Schadenersatzanspruch (Auernhammer, § 8 Rdnr. 1; Klebe, in: Däubler/Klebe/Wedde, Rdnr. 1; Gola/Schomerus, § 8 Nr. 1). Nur die allgemeinen zivilrechtlichen Haftungsgrundlagen (z.B. aus unerlaubter Handlung oder aus positiver Forderungsverletzung) kommen in Betracht; diese setzen aber sämtlich voraus, daß der Haftende den Rechtsverstoß zu vertreten hat. Danach ist eine Haftung des Arbeitgebers für Handlungen des Betriebsrats, die er nicht beeinflussen kann, ausgeschlossen.“

Dieses Ergebnis wird durch die neuere Auffassung des BAG, dass der BR eigenverantwortlich für „seine“ Datenverarbeitung ist, gestützt. Wenn der BR und nicht der AG für die Datenverarbeitung des Betriebstags verantwortlich ist, der Betriebsrat „Verantwortlicher“ ist, haftet der AG auch nicht.

Verschafft sich ein BR-Mitglied ohne Zustimmung der AN und damit datenschutzwidrig Zugriff auf elektronische Personalakten, verwendet die gewonnenen Erkenntnisse jedoch ausschließlich für die Betriebsratsarbeit, so rechtfertigt dies keine fristlosen Kündigung, sondern den Ausschluss aus dem Betriebsrat.30

Wenn der AG kein eigenes Kontrollrecht bzgl. der Datenverarbeitung des BR hat und auch nicht der DSB des AG, hat er auch keinenEinfluss auf die Datenverarbeitung des BR, weshalb er auch nicht für etwaige Datenschutzverstöße des BR haftet. Der AG kann jedoch – ausgehend davon, dass der BR im Wesentlichen vom AG personenbezogene Daten der Beschäftigten erhält, die eigen Verantwortung wahrnehmen und prüfen, ob und welche Daten er unter datenschutzrechtlicher Sicht überhaupt an den BR geben darf. Hier ist von beiden Seiten, AG und BR, zu prüfen, ob und welche Daten der BR wie lange zur Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben benötigt. Dabei ist auch der Grundsatz der Datenminimierung, Art. 5 Abs. 1 c) DSGVO, zu beachten. Hierzu gehört es die Möglichkeiten der Anonymisierung und Pseudonymisierung zu prüfen.

Stellungnahme zur Position des Betriebsrats als Verantwortlicher

Im Ergebnis spricht also die erweiterte Begriffsdefinition des „Verantwortlichen“ nach der DSGVO, die Teilrechtfähigkeit des BR nach Auffassung vom BGH und BAG und die auch vom BAG in der neueren Rechtsprechung gesehenen Eigenverantwortlichkeit des BR für „seine“ Datenverarbeitung dafür, den BR jedenfalls ab dem 25.05.2018 unter der DSGVO als „Verantwortlichen“ anzusehen. Dieses Ergebnis ist auch konsistenter zur dargestellten Auffassung des BAG, dass dem DSB des AG kein Kontrollrecht beim BR zusteht. Die Betroffenenrechte richten sich dann auch gegen den die Daten verarbeitenden BR und nicht an den AG, der mangels Kontrollbefugnisse wenn überhaupt nur unzureichend Auskünfte geben könnte.

Wenn der AG nicht für die Datenverarbeitung des BR verantwortlich ist, da der BR selbst „Verantwortlicher ist, und die Datenverarbeitung des BR auch nicht durch den DSB kontrollieren (lassen) darf, muss der AG folgerichtig auch nicht für etwaige Datenschutzverletzungen des BR haften. Sowohl etwaige Klagerechte der Betroffenen nach Art. 79 DSGVO als auch Schadensersatzansprüche nach Art. 82 DSGO und Geldbußen nach Art. 83 DSGVO richten sich gegen den Verantwortlichen (also den BR und nicht den AG) oder den Auftragsverarbeiter (für dessen Pflichtverletzungen).

David Seiler

Rechtsanwalt, Cottbus den 16.09.2019

Fußnoten

1Brams/Möhle, Die Stellung des Betriebsrats unter der DS-GVO, ZD 2018, 570. Die Autoren plädieren für den BR als Teil des Verantwortlichen, fordern eine gesetzgeberischer Klarstellung und regen zwischenzeitlich eine Betriebsvereinbarung an.

2Krranig, Wybitul, Zimmer-Helfrich, Sind Betriebsräte für den Datenschutz selbst verantwortlich?, ZD 2019, 1.

3Simitis, BDSG, 8. Auflg. 2014, § 32 Rn 169.

4Wächter, Datenschutz im Unternehmen, 4. Aufl. 2014, B. Datenschutzkontrolle Rn. 438-439.

5Schröder, Datenschutzrecht, 2. Auflg. 2016, 3. Kapitel, VII.1 Datenschutz in der Personalabteilung/ Arbeitnehmerdatenschutz, beck-online; Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 1. Auflage 2015, B.V.8.

6Schröder, Datenschutzrecht, 3. Kapitel VII.2 Datenschutz in der Personalabteilung/ Arbeitnehmerdatenschutz, beck-online.

7BAG, Az. 1 ABR 21/97 vom 11. 11. 1997, NZA 1998, 385, III.2

8Kort: Schranken des Anspruchs des Betriebsrats auf Information gem. § 80 BetrVG über Personaldaten der Arbeitnehmer, NZA 2010, 1267, dort auch zur datenschutzrechtlichen Kritik an dieser h.M.. Simitis, aaO. § 32 Rn 170.

9BAG, Beschluss vom 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218.

10BGH, 25.10.2012, III ZR 266/11.

11Siehe auch BAG, ZD 2013, 36.

12BAG, Az. 1 ABR 21/97 vom 11. 11. 1997, NZA 1998, 385, 389.

13Kort, NZA 2015, 1345, 1347.

14Kort: Schranken des Anspruchs des Betriebsrats auf Information gem. § 80 BetrVG über Personaldaten der Arbeitnehmer, NZA 2010, 1267.

15BAG, Beschluss vom 12. August 2009, Az. 7 ABR 15/08.

16BAG, Beschluss vom 18.7.2012 – 7 ABR 23/11, ZD 2013, 36.

17Gola, Pötters, Die Verarbeitung von Beschäftigtendaten, RDV, 2017, 115.

18Kort: Der Beschäftigtendatenschutz gem. § 26 BDSG-neu, ZD 2017, 319, 323.

19 § 26 Abs. 1 S. 1: „Personenbezogene Daten von Beschäftigten dürfen … verarbeitet werden, wenn dies… zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

20Wybitul: Der neue Beschäftigtendatenschutz nach § 26 BDSG und Art. 88 DSGVO, NZA 2017, 413.

21BAG, Az. 1 ABR 21/97 vom 11. 11. 1997, NZA 1998, 385, II.

22vgl. Wybitul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? ZD 2016, 203.

23BAG, B. v. 17.3.1987 – 1 ABR 59/85. LAG Berlin-Brandenburg, Beschluss vom 12.11.2012 – 17 TaBV 1318/12, ZD 2013, 239.

24Siehe hierzu ausführlich Kort: Schranken des Anspruchs des Betriebsrats auf Information gem. § 80 BetrVG über Personaldaten der Arbeitnehmer, NZA 2010, 1267.

25BAG, Az. 1 ABR 21/97 vom 11. 11. 1997, NZA 1998, 385ff; BAG ZD 2013, 36; LAG Berlin-Brandenburg, ZD 2013, 239. Zur Kritik und Regelungsvorschlägen siehe: Aßmus: Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten? – Unabhängigkeit der Kontrolle und Alternativen zur bestehenden Rechtslage, ZD 2011, 27; Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Auflage 2017, Teil IV, Kapitel 3. III.

26Andere Auffassung jedoch Wächter, aaO Rn 442, der den DSB in einer neutralen Stellung sieht und eine Beratung des BR durch den DSB fordert.

27Kort: Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO? ZD 2017, 3; zuvor schon ausführlich Kort, NZA 2015, 1345, 1349.

28Kort, ZD 2017, 3, 6.

29BAG, NZA 1998, 385, 388f.

30LAG Berlin-Brandenburg, Beschluss vom 12.11.2012 – 17 TaBV 1318/12, ZD 2013, 239.

31Pötters, Stephan / Gola, Peter, Wer ist datenschutzrechtlich „Verantwortlicher“ im Unternehmen? Betriebsrat und andere selbständige Einheiten als Adressaten des Datenschutzrechts, RDV, 2017, 279; so im Ergebnis auch Wybitul und Kranig, a.a.O. sowie Stück, Betriebsrat oder Geheimrat? ZD 2019, 256. Körner, Marita, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, 2019, S. 58 online:https://www.hugo-sinzheimer-institut.de/fileadmin/user_data_hsi/Veroeffentlichungen/HSI_Schriftenreihe/Koerner_Band_28.pdf