Ist der Betriebsrat Verantwortlicher im Sinne der DSGVO?

Ein Betriebsrat verarbeitet in aller Regel besonders schützenswerte personenbezogene Daten. Doch ist der Betriebsrat selbst Verantwortlicher – oder nur Teil des Arbeitgebers? Während es für beide Lesarten gute Argumente gibt, gilt es für Unternehmen vor allem darauf zu achten, dass beim Betriebsrat kein Datenschutzvakuum entsteht.

Die Sichtweise von Gerichten und Aufsichtsbehörden

In der Vergangenheit hat das Bundesarbeitsgericht (BAG) den Betriebsrat vornehmlich als Teil des Arbeitgebers als Verantwortlichen und nicht als eigenständigen (datenschutzrechtlich) Verantwortlichen eingestuft. Seit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) wird vermehrt über die Frage der Verantwortlichkeit des Betriebsrats gestritten und darüber, ob diese Frage im Lichte der neuen gesetzlichen Grundlagen anders als bisher zu beurteilen ist.

Das Bundesarbeitsgericht (BAG) lässt die Frage in kürzlich ergangenen Beschlüssen explizit offen (siehe diese Besprechung des Urteils). In der aufsichtsrechtlichen Wahrnehmung scheint sich hingegen die Tendenz durchzusetzen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist. Dies soll eine interne Umfrage der Aufsichtsbehörden ergeben haben. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg sprach sich in seinem Tätigkeitsbericht für das Jahr 2018 explizit für diese Auslegung aus.

Weder im Bundesdatenschutzgesetz (BDSG) noch die der DSGVO lassen sich hierzu Hinweise finden. In Art. 4 Abs. 7 DSGVO ist allerdings geregelt wer „Verantwortlicher“ ist. Nämlich jede „natürliche oder juristische Person (…), die allein oder mit andern über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Auswirkungen der Einordnung des Betriebsrates als Verantwortlicher

Die Einordnung ist insbesondere für die Frage nach den dem Verantwortlichen obliegenden Pflichten essenziell. Verarbeitet der Betriebsrat als eigenständiger Verantwortlicher teils sensible personenbezogene (Beschäftigten-)Daten, muss er alle rechtlichen Maßgaben aus der DSGVO sowie dem BDSG erfüllen. Hierunter fallen die Dokumentation der Verarbeitungstätigkeiten, das Erfüllen von Informationspflichten, die Bearbeitung von Betroffenenanfragen, Gewährleistung der Datensicherheit bis hin zur Bestellung eines eigenen Datenschutzbeauftragten.

Ebenfalls entscheidend ist die Haftung des Verantwortlichen für Datenschutzverstöße. Denkt man diesen Punkt zu Ende, müsste der Betriebsrat wie auch das Unternehmen im Falle eines Verstoßes gegen besagte Pflichten als Bußgeldadressat herangezogen werden können bzw. Schadenersatz leisten. Im Falle des Betriebsrats stellt sich dann die Frage nach der Bemessung bzw. ob überhaupt ein Rückgriff auf die Betriebsräte möglich ist (siehe unten).

Argumente gegen die Einordung des Betriebsrates als Verantwortlicher

Gegen eine Einordung des Betriebsrats als Verantwortlicher spricht vor allem die Definition in Art. 4 Abs. 7 DSGVO. Der Betriebsrat legt die Zwecke der Verarbeitung nicht eigenständig fest. Vielmehr sind die Zwecke aus dem Betriebsverfassungsgesetz oder aus der Kollektivvereinbarung vorgegeben. Innerhalb seiner gesetzlich bestehenden Aufgaben ist er zwar frei Entscheidungen zu treffen, der Rahmen, in dem er überhaupt Arbeitnehmerdaten verarbeiten kann, ist jedoch limitiert.

Auch die Entscheidungshoheit über die Mittel der Verarbeitung sind begrenzt auf die durch den Arbeitgeber bereitgestellten Ressourcen. Zum Beispiel wird der Betriebsrat sich bei der Auswahl der Kommunikations- und IT-Infrastruktur dem Willen des Arbeitgebers beugen und mit den Mitteln arbeiten müssen, die ihm dieser zur Verfügung stellt.

Neben der rechtlichen Komponente können auch praktische Erwägungen ins Feld geführt werden. Die Auslegung würde zu einem erheblichen bürokratischen Mehraufwand für den Betriebsrat führen, die zu Lasten der eigentlichen Aufgaben, dem Schutz von Arbeitnehmerinteressen, führt. Eingedenk der oft schwierigen rechtlichen Fragestellungen im Datenschutz, wird es in der Praxis oftmals an der notwendigen Fachkunde sowie Ressourcen fehlen, die Pflichten überhaupt erfüllen zu können.

Argumente für die Einordung des Betriebsrates als Verantwortlicher

Die Entscheidungshoheit innerhalb der Aufgaben des Betriebsrates kann auch für die Einordnung als Verantwortlicher herangezogen werden. So gibt es nicht nur eine gewisse freie Entscheidung über Zwecke zwecks innerer Organisation und die Vorbereitung von Betriebsratswahlen, sondern auch eine freie Entscheidung über den Einsatz von Mitteln. Der Rückgriff auf lediglich zur Verfügung gestellte, insbesondere technische Mittel ändert in der Praxis oftmals nichts an der freien Verwendung selbiger. Zu denken ist an analoge Listen und Kopien, eigens eingerichtete Laufwerke, eigene mobile Datenträger und oder betriebsratseigene Kommunikationsmittel.

Da die Entscheidung über die Erfüllung der Aufgaben des Betriebsrates gerade mit dieser Autonomie einhergeht, die der Kontrolle des Arbeitgebers aber gleichzeitig entzogen ist, bedarf es einer Einordnung als Verantwortlicher. Denn durch die zusätzlichen Verarbeitungstätigkeiten des Betriebsrates besteht ein zusätzliches Risiko für die Rechte der Beschäftigten. Der Betriebsrat verarbeitet unter anderem sensible Daten wie Gehaltslisten, Gesundheitsdaten und andere Personaldaten. Treffen den Betriebsrat für den Schutz dieser Daten nicht die gleichen Verpflichtungen wie den Arbeitgeber, kann dies im Ergebnis zu einem datenschutzfreien Raum innerhalb des Unternehmens führen, da der Arbeitgeber nicht in der Lage ist, die Verarbeitungen gleichermaßen zu steuern, wie wenn dies in eigener Verantwortlichkeit geschieht.

Im schlimmsten Fall sind nämlich auch Datenschutzverstöße durch den Betriebsrat zu befürchten. Dies muss nicht etwa böswillig geschehen, sondern kann oftmals auf eine mangelnde Kenntnis, fehlende Ressourcen und Ausstattung zurückzuführen sein. Exemplarisch kann hierzu die Frage aufgeworfen werden, ob die dem Betriebsrat übermittelten personenbezogenen Daten ebenfalls den im Unternehmen üblicherweise geltenden Löschroutinen von Daten unterworfen sind.

Wer haftet im Falle eines Datenschutzverstoßes durch den Betriebsrat für Bußgelder und Schadensersatz?

Sieht man den Betriebsrat als eigenständigen Verantwortlichen an, kann dieser als Inhaber der Verpflichtungen aus der DSGVO auch Adressat eines Bußgelds sein. Wenn dieser dagegen als Teil des Arbeitgebers angesehen wird, ist Adressat primär der Arbeitgeber. Da der Arbeitgeber in der Praxis dem Betriebsrat zurechenbare Verarbeitungen bestenfalls mittelbar kontrollieren kann, würde dies zu einem unsachgerechten Ergebnis führen, zumal für die Berechnung der Höhe des Bußgeldes auch der Arbeitgeber herangezogen werden könnte.

Unabhängig von der Frage nach der generellen datenschutzrechtlichen Verantwortlichkeit hat der Arbeitgeber demgemäß für Datenschutzverstöße von Betriebsratsmitgliedern in deren Funktion gerade wegen der mangelnden Kontrollmöglichkeit sowohl für Schadensersatz (Art. 82 DSGVO) als auch für Bußgelder (Art. 83 DSGVO) nicht zu haften. Eine Haftung wäre – wenn überhaupt – im Rahmen eines Mit- bzw. Organisationsverschuldens denkbar.

Der Betriebsrat selbst dagegen ist weder vermögens- noch deliktsfähig. Bei einem Verstoß gegen Vorschriften aus der DSGVO muss demnach auf die Betriebsräte selbst zurückgegriffen werden. Bei einem offensichtlichen Datenmissbrauch durch ein Betriebsratsmitglied kommt nur eine persönliche Haftung der Betriebsräte in Betracht.

Tipps zur Vermeidung eines Datenschutzvakuums im Unternehmen

Gute Gründe sprechen für die eigene datenschutzrechtliche Verantwortlichkeit des Betriebsrates. Denn ein effektives Kontrollwerkzeug gegenüber dem Betriebsrat durch den Arbeitgeber fehlt. Die juristische Debatte hierüber ist so wenig ergiebig wie zielführend. Solange es keine klare Zu- oder Absage an eine eigene datenschutzrechtliche Verantwortlichkeit gibt, ist der Arbeitgeber gezwungenermaßen angehalten, dieses Kontrollvakuum mit Regelungen zu füllen. Denn wenn sich die Verpflichtungen nicht aus der Stellung des Betriebsrats als Verantwortlicher ergeben, müssen Verpflichtungen gegenüber dem Betriebsrat als „Quasi-Verantwortlichen“ erlassen werden.

Für die unternehmerische Praxis bedeutet dies folgende Punkte umzusetzen:

Schaffung einer datenschutzrechtlichen Erlaubnisnorm in Form einer Betriebsvereinbarung

Für den Betriebsrat ist die Verarbeitung von personenbezogenen Daten aufgrund einer Kollektivvereinbarung nach § 26 Abs. 4 BDSG mit der Maßgabe des Art. 88 Abs. 2 DSGVO zulässig. Hierin ist klarzustellen, dass diese Vereinbarung eine eigenständige datenschutzrechtliche Legitimationsgrundlage zur Datenverarbeitung zum Zwecke der Aufgaben des Betriebsrats darstellt.

Verpflichtungen aus der DSGVO schriftlich fixieren

Verarbeitungen des Betriebsrats sind unter den Vorbehalt der Rechtmäßigkeit der Datenverarbeitung stellen. Darunter fallen insbesondere die Grundsätze aus Art. 5 DSGVO sowie Verpflichtungen aus Art. 13 und 14 (Informationspflichten) und 32 DSGVO (Maßnahmen zur Datensicherheit).

Verpflichtung der Betriebsräte auf den Datenschutz

Die Betriebsräte sind zwar gesetzlich zur Geheimhaltung verpflichtet (vgl. § 79 BetrVG), sollten aber nicht nur in ihrer Funktion als Betriebsrat auf den Datenschutz verpflichtet werden. Auch erstreckt sich die Geheimhaltungspflicht nicht auf sämtliche Mitwirkungsbefugnisse, so dass es der zusätzlichen allgemeinen Verpflichtung bedarf.

Einschränkung der Datenweitergabe auf die dem Betriebsrat obliegenden Aufgaben

Zugriffsrechte und Datenverarbeitungen sind nach dem Need-to-Know-Prinzip zu beschränken. Ein Zugriffsrecht auf Personalinformationssysteme oder HR-Laufwerke etwa ist für die Aufgabenerfüllung nicht notwendig. Der Betriebsrat ist nur für die Dauer der konkreten Ausübung des jeweiligen Beteiligungsrechts berechtigt, überhaupt Beschäftigtendaten zu speichern oder einzusehen. Eine wie auch immer geartete „Speicherung auf Vorrat“ ist auch im Interesse des Betriebsrats nicht rechtmäßig. Soweit im BetrVG ausschließlich ein Recht auf Einsichtnahme gewährt wird, ist der Zugriff auf Leserechte zu beschränken. Sollte der Arbeitgeber hierzu technisch nicht in der Lage sein, sind etwaige Vorgaben organisatorisch umzusetzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Werner Christian Profile Picture
    Werner Christian

    Seid wann können Betriebsvereinbarungen eine datenschutzrechtliche Erlaubnis darstellen? Art. 88 DSGVO spricht von „spezifischeren Vorschriften“, nicht von erweiterten Verarbeitungsvorschriften.
    Und warum wird die Kompromissformel Empfänger ja, Verantwortlicher nein, nicht angesprochen?

    1. Martin Röleke Profile Picture
      Martin Röleke

      Guten Tag,

      danke für Ihre Fragen. Gerne nehmen wir dazu Stellung.
      Der Wortlaut des Art. 88 Abs. 1 DSGVO ist in der Tat etwas unglücklich formuliert. Nichts destotzotz stellt § 26 Abs. 1 S.1 und Abs. 4 BDSG klarstellend fest, was sich auch (un)mittelbar aus Art. 88 Abs. 1 DSGVO ergibt. Die Verarbeitung selbst ist auf Grundlage einer Kollektivvereinbarung zulässig und kann dementsprechend unter den datenschutzrechtlichen Voraussetzungen als eigene Rechtsgrundlage für die Verarbeitung dienen. Zu lesen ist die Vorschrift demnach als „spezifischere Vorschriften im Sinne von Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten“. Die Betriebsvereinbarung darf anderen datenschutzrechtlichen Erlaubnisnormen, insbesondere § 26 BDSG, nicht entgegenstehen.

      Einen Kompromiss stellt die angesprochene Einordung des Betriesrates als Empfänger mE nicht dar. Wie dem Wortlaut zu entnehmen ist, ist jemand, „unabhängig von der Einordung als Dritter“ als Empfänger zu qualifizieren. Empfänger ist daher als Oberbegriff zu verstehen der sowohl Dritte, als auch Auftragsverarbeiter einschließt. Aus einer Einordnung des Betriebsrates als Empfänger würden sich keine rechtlichen Auswirkungen ableiten lassen. Dies ist nur dann der Fall, wenn man entweder eine eigene Verantwortlichkeit bejaht oder verneint.

      MfG
      Martin Röleke

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.