Ist der Betriebsrat Verantwortlicher im Sinne der DSGVO?

Ein Betriebsrat verarbeitet in aller Regel besonders schützenswerte personenbezogene Daten. Doch ist der Betriebsrat selbst Verantwortlicher – oder nur Teil des Arbeitgebers? Während es für beide Lesarten gute Argumente gibt, gilt es für Unternehmen vor allem darauf zu achten, dass beim Betriebsrat kein Datenschutzvakuum entsteht.

Update April 2021

Am 31. März 2021 wurde der Regierungsentwurf des bald zu verkündenden Betriebsrätemodernisierungsgesetz (BMAS) verabschiedet. Der derzeitige Umsetzungsstand kann hier eingesehen werden.

Datenschutzrechtlich relevant ist der Entwurf auch mit Hinblick auf die darin beabsichtigte Klarstellung der datenschutzrechtlichen Verantwortlichkeit. Im Sinne der Rechtssicherheit soll § 79 a S. 2 BMAS die in der Rechtspraxis durchaus umstrittene Frage beantworten, wonach nunmehr der Arbeitgeber als alleiniger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO gelten soll.

Konkrete Folgen werden (falls in der Praxis umgesetzt) die organisatorische Entlastung des Betriebsrates sein. Dieser wird künftig keinen eigenen Datenschutzbeauftragten bestellen, kein Verzeichnis der Verarbeitungstätigkeiten und keine eigenen Informationspflichten gegenüber den Beschäftigten erfüllen müssen. Betroffene wird er mit datenschutzrechtlichen Anfragen an den Arbeitgeber verweisen können. Vielmehr erschöpft sich die Erfüllung datenschutzrechtlicher Anforderungen in der im Gesetz postulierten gegenseitigen Unterstützungspflicht (vgl. § 79 a S. 3 BMAS).

Datenschutzrechtliche Einschätzung

Kritisch zu sehen ist diese Regelung vor dem Hintergrund der Definition der datenschutzrechtlichen Verantwortlichkeit in Art. 4 Nr. 7 DSGVO. Denn letztlich ist hierfür nicht ein Gesetz konstituierend, sondern die in der Praxis rein faktische Bestimmungsmöglichkeit über Zweck und Mittel der Verarbeitung. Gerade eine formalisierte Einordung ist zu vermeiden, ausschlaggebend ist vielmehr das wesentliche Merkmal der tatsächlichen Entscheidungsgewalt. Denn gerade hieraus leiten sich alle datenschutzrechtlichen Pflichten ab, die der Verordnungs- bzw. Gesetzgeber von einem Verantwortlichen fordert.

Will der Betriebsrat künftig weiterhin für originäre Betriebsratsaufgaben weisungsunabhängig auch personenbezogene Daten verarbeiten, dann bleibt er qua dieser Definition zwar Verantwortlicher, wird dann aber wie ein Konstrukt eigener Art behandelt, wonach er dennoch die Vorschriften über den Datenschutz einzuhalten hat. Die Einordung des Arbeitsgebers als alleinigen Verantwortlichen auch für Verarbeitungen, die dem Betriebsrat zuzuordnen sind, darf nicht dazu führen, dass der Betroffene seiner Möglichkeit beraubt wird, seine Rechte gegen genau derjenigen Stelle geltend zu machen, die den faktisch größten Einfluss auf die Verarbeitung ausübt.

Auch die festgeschriebene gegenseitige Unterstützungspflicht kann nicht über die Schwäche des Konstrukts hinwegtäuschen. Da der Betriebsrat laut Entwurfsbegründung des Gesetzgebers selbst „(…) innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen im Sinne der Artikel 24 und 32 DSGVO“ sicherzustellen (…)“ hat, wird die Schwäche spätestens hier offenbar. Denn diese Verpflichtung trifft qua Gesetz ausschließlich den Verantwortlichen selbst.

Ein rechtliches Vakuum, welches durch die Rechtsprechung ausgefüllt werden muss, bleibt uns auch mit BMAS erhalten.

Die Sichtweise von Gerichten und Aufsichtsbehörden

In der Vergangenheit hat das Bundesarbeitsgericht (BAG) den Betriebsrat vornehmlich als Teil des Arbeitgebers als Verantwortlichen und nicht als eigenständigen (datenschutzrechtlich) Verantwortlichen eingestuft. Seit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) wird vermehrt über die Frage der Verantwortlichkeit des Betriebsrats gestritten und darüber, ob diese Frage im Lichte der neuen gesetzlichen Grundlagen anders als bisher zu beurteilen ist.

Das Bundesarbeitsgericht (BAG) lässt die Frage in kürzlich ergangenen Beschlüssen explizit offen (siehe diese Besprechung des Urteils). In der aufsichtsrechtlichen Wahrnehmung scheint sich hingegen die Tendenz durchzusetzen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist. Dies soll eine interne Umfrage der Aufsichtsbehörden ergeben haben. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg sprach sich in seinem Tätigkeitsbericht für das Jahr 2018 explizit für diese Auslegung aus.

Weder im Bundesdatenschutzgesetz (BDSG) noch die der DSGVO lassen sich hierzu Hinweise finden. In Art. 4 Abs. 7 DSGVO ist allerdings geregelt wer „Verantwortlicher“ ist. Nämlich jede „natürliche oder juristische Person (…), die allein oder mit andern über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Auswirkungen der Einordnung des Betriebsrates als Verantwortlicher

Die Einordnung ist insbesondere für die Frage nach den dem Verantwortlichen obliegenden Pflichten essenziell. Verarbeitet der Betriebsrat als eigenständiger Verantwortlicher teils sensible personenbezogene (Beschäftigten-)Daten, muss er alle rechtlichen Maßgaben aus der DSGVO sowie dem BDSG erfüllen. Hierunter fallen die Dokumentation der Verarbeitungstätigkeiten, das Erfüllen von Informationspflichten, die Bearbeitung von Betroffenenanfragen, Gewährleistung der Datensicherheit bis hin zur Bestellung eines eigenen Datenschutzbeauftragten.

Ebenfalls entscheidend ist die Haftung des Verantwortlichen für Datenschutzverstöße. Denkt man diesen Punkt zu Ende, müsste der Betriebsrat wie auch das Unternehmen im Falle eines Verstoßes gegen besagte Pflichten als Bußgeldadressat herangezogen werden können bzw. Schadenersatz leisten. Im Falle des Betriebsrats stellt sich dann die Frage nach der Bemessung bzw. ob überhaupt ein Rückgriff auf die Betriebsräte möglich ist (siehe unten).

Argumente gegen die Einordung des Betriebsrates als Verantwortlicher

Gegen eine Einordung des Betriebsrats als Verantwortlicher spricht vor allem die Definition in Art. 4 Abs. 7 DSGVO. Der Betriebsrat legt die Zwecke der Verarbeitung nicht eigenständig fest. Vielmehr sind die Zwecke aus dem Betriebsverfassungsgesetz oder aus der Kollektivvereinbarung vorgegeben. Innerhalb seiner gesetzlich bestehenden Aufgaben ist er zwar frei Entscheidungen zu treffen, der Rahmen, in dem er überhaupt Arbeitnehmerdaten verarbeiten kann, ist jedoch limitiert.

Auch die Entscheidungshoheit über die Mittel der Verarbeitung sind begrenzt auf die durch den Arbeitgeber bereitgestellten Ressourcen. Zum Beispiel wird der Betriebsrat sich bei der Auswahl der Kommunikations- und IT-Infrastruktur dem Willen des Arbeitgebers beugen und mit den Mitteln arbeiten müssen, die ihm dieser zur Verfügung stellt.

Neben der rechtlichen Komponente können auch praktische Erwägungen ins Feld geführt werden. Die Auslegung würde zu einem erheblichen bürokratischen Mehraufwand für den Betriebsrat führen, die zu Lasten der eigentlichen Aufgaben, dem Schutz von Arbeitnehmerinteressen, führt. Eingedenk der oft schwierigen rechtlichen Fragestellungen im Datenschutz, wird es in der Praxis oftmals an der notwendigen Fachkunde sowie Ressourcen fehlen, die Pflichten überhaupt erfüllen zu können.

Argumente für die Einordung des Betriebsrates als Verantwortlicher

Die Entscheidungshoheit innerhalb der Aufgaben des Betriebsrates kann auch für die Einordnung als Verantwortlicher herangezogen werden. So gibt es nicht nur eine gewisse freie Entscheidung über Zwecke zwecks innerer Organisation und die Vorbereitung von Betriebsratswahlen, sondern auch eine freie Entscheidung über den Einsatz von Mitteln. Der Rückgriff auf lediglich zur Verfügung gestellte, insbesondere technische Mittel ändert in der Praxis oftmals nichts an der freien Verwendung selbiger. Zu denken ist an analoge Listen und Kopien, eigens eingerichtete Laufwerke, eigene mobile Datenträger und oder betriebsratseigene Kommunikationsmittel.

Da die Entscheidung über die Erfüllung der Aufgaben des Betriebsrates gerade mit dieser Autonomie einhergeht, die der Kontrolle des Arbeitgebers aber gleichzeitig entzogen ist, bedarf es einer Einordnung als Verantwortlicher. Denn durch die zusätzlichen Verarbeitungstätigkeiten des Betriebsrates besteht ein zusätzliches Risiko für die Rechte der Beschäftigten. Der Betriebsrat verarbeitet unter anderem sensible Daten wie Gehaltslisten, Gesundheitsdaten und andere Personaldaten. Treffen den Betriebsrat für den Schutz dieser Daten nicht die gleichen Verpflichtungen wie den Arbeitgeber, kann dies im Ergebnis zu einem datenschutzfreien Raum innerhalb des Unternehmens führen, da der Arbeitgeber nicht in der Lage ist, die Verarbeitungen gleichermaßen zu steuern, wie wenn dies in eigener Verantwortlichkeit geschieht.

Im schlimmsten Fall sind nämlich auch Datenschutzverstöße durch den Betriebsrat zu befürchten. Dies muss nicht etwa böswillig geschehen, sondern kann oftmals auf eine mangelnde Kenntnis, fehlende Ressourcen und Ausstattung zurückzuführen sein. Exemplarisch kann hierzu die Frage aufgeworfen werden, ob die dem Betriebsrat übermittelten personenbezogenen Daten ebenfalls den im Unternehmen üblicherweise geltenden Löschroutinen von Daten unterworfen sind.

Wer haftet im Falle eines Datenschutzverstoßes durch den Betriebsrat für Bußgelder und Schadensersatz?

Sieht man den Betriebsrat als eigenständigen Verantwortlichen an, kann dieser als Inhaber der Verpflichtungen aus der DSGVO auch Adressat eines Bußgelds sein. Wenn dieser dagegen als Teil des Arbeitgebers angesehen wird, ist Adressat primär der Arbeitgeber. Da der Arbeitgeber in der Praxis dem Betriebsrat zurechenbare Verarbeitungen bestenfalls mittelbar kontrollieren kann, würde dies zu einem unsachgerechten Ergebnis führen, zumal für die Berechnung der Höhe des Bußgeldes auch der Arbeitgeber herangezogen werden könnte.

Unabhängig von der Frage nach der generellen datenschutzrechtlichen Verantwortlichkeit hat der Arbeitgeber demgemäß für Datenschutzverstöße von Betriebsratsmitgliedern in deren Funktion gerade wegen der mangelnden Kontrollmöglichkeit sowohl für Schadensersatz (Art. 82 DSGVO) als auch für Bußgelder (Art. 83 DSGVO) nicht zu haften. Eine Haftung wäre – wenn überhaupt – im Rahmen eines Mit- bzw. Organisationsverschuldens denkbar.

Der Betriebsrat selbst dagegen ist weder vermögens- noch deliktsfähig. Bei einem Verstoß gegen Vorschriften aus der DSGVO muss demnach auf die Betriebsräte selbst zurückgegriffen werden. Bei einem offensichtlichen Datenmissbrauch durch ein Betriebsratsmitglied kommt nur eine persönliche Haftung der Betriebsräte in Betracht.

Tipps zur Vermeidung eines Datenschutzvakuums im Unternehmen

Gute Gründe sprechen für die eigene datenschutzrechtliche Verantwortlichkeit des Betriebsrates. Denn ein effektives Kontrollwerkzeug gegenüber dem Betriebsrat durch den Arbeitgeber fehlt. Die juristische Debatte hierüber ist so wenig ergiebig wie zielführend. Solange es keine klare Zu- oder Absage an eine eigene datenschutzrechtliche Verantwortlichkeit gibt, ist der Arbeitgeber gezwungenermaßen angehalten, dieses Kontrollvakuum mit Regelungen zu füllen. Denn wenn sich die Verpflichtungen nicht aus der Stellung des Betriebsrats als Verantwortlicher ergeben, müssen Verpflichtungen gegenüber dem Betriebsrat als „Quasi-Verantwortlichen“ erlassen werden.

Für die unternehmerische Praxis bedeutet dies folgende Punkte umzusetzen:

Schaffung einer datenschutzrechtlichen Erlaubnisnorm in Form einer Betriebsvereinbarung

Für den Betriebsrat ist die Verarbeitung von personenbezogenen Daten aufgrund einer Kollektivvereinbarung nach § 26 Abs. 4 BDSG mit der Maßgabe des Art. 88 Abs. 2 DSGVO zulässig. Hierin ist klarzustellen, dass diese Vereinbarung eine eigenständige datenschutzrechtliche Legitimationsgrundlage zur Datenverarbeitung zum Zwecke der Aufgaben des Betriebsrats darstellt.

Verpflichtungen aus der DSGVO schriftlich fixieren

Verarbeitungen des Betriebsrats sind unter den Vorbehalt der Rechtmäßigkeit der Datenverarbeitung stellen. Darunter fallen insbesondere die Grundsätze aus Art. 5 DSGVO sowie Verpflichtungen aus Art. 13 und 14 (Informationspflichten) und 32 DSGVO (Maßnahmen zur Datensicherheit).

Verpflichtung der Betriebsräte auf den Datenschutz

Die Betriebsräte sind zwar gesetzlich zur Geheimhaltung verpflichtet (vgl. § 79 BetrVG), sollten aber nicht nur in ihrer Funktion als Betriebsrat auf den Datenschutz verpflichtet werden. Auch erstreckt sich die Geheimhaltungspflicht nicht auf sämtliche Mitwirkungsbefugnisse, so dass es der zusätzlichen allgemeinen Verpflichtung bedarf.

Einschränkung der Datenweitergabe auf die dem Betriebsrat obliegenden Aufgaben

Zugriffsrechte und Datenverarbeitungen sind nach dem Need-to-Know-Prinzip zu beschränken. Ein Zugriffsrecht auf Personalinformationssysteme oder HR-Laufwerke etwa ist für die Aufgabenerfüllung nicht notwendig. Der Betriebsrat ist nur für die Dauer der konkreten Ausübung des jeweiligen Beteiligungsrechts berechtigt, überhaupt Beschäftigtendaten zu speichern oder einzusehen. Eine wie auch immer geartete „Speicherung auf Vorrat“ ist auch im Interesse des Betriebsrats nicht rechtmäßig. Soweit im BetrVG ausschließlich ein Recht auf Einsichtnahme gewährt wird, ist der Zugriff auf Leserechte zu beschränken. Sollte der Arbeitgeber hierzu technisch nicht in der Lage sein, sind etwaige Vorgaben organisatorisch umzusetzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

2 Comments

  1. Werner Christian Profile Picture
    Werner Christian

    Seid wann können Betriebsvereinbarungen eine datenschutzrechtliche Erlaubnis darstellen? Art. 88 DSGVO spricht von “spezifischeren Vorschriften”, nicht von erweiterten Verarbeitungsvorschriften.
    Und warum wird die Kompromissformel Empfänger ja, Verantwortlicher nein, nicht angesprochen?

    1. Martin Röleke Profile Picture
      Martin Röleke

      Guten Tag,

      danke für Ihre Fragen. Gerne nehmen wir dazu Stellung.
      Der Wortlaut des Art. 88 Abs. 1 DSGVO ist in der Tat etwas unglücklich formuliert. Nichts destotzotz stellt § 26 Abs. 1 S.1 und Abs. 4 BDSG klarstellend fest, was sich auch (un)mittelbar aus Art. 88 Abs. 1 DSGVO ergibt. Die Verarbeitung selbst ist auf Grundlage einer Kollektivvereinbarung zulässig und kann dementsprechend unter den datenschutzrechtlichen Voraussetzungen als eigene Rechtsgrundlage für die Verarbeitung dienen. Zu lesen ist die Vorschrift demnach als “spezifischere Vorschriften im Sinne von Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten”. Die Betriebsvereinbarung darf anderen datenschutzrechtlichen Erlaubnisnormen, insbesondere § 26 BDSG, nicht entgegenstehen.

      Einen Kompromiss stellt die angesprochene Einordung des Betriesrates als Empfänger mE nicht dar. Wie dem Wortlaut zu entnehmen ist, ist jemand, “unabhängig von der Einordung als Dritter” als Empfänger zu qualifizieren. Empfänger ist daher als Oberbegriff zu verstehen der sowohl Dritte, als auch Auftragsverarbeiter einschließt. Aus einer Einordnung des Betriebsrates als Empfänger würden sich keine rechtlichen Auswirkungen ableiten lassen. Dies ist nur dann der Fall, wenn man entweder eine eigene Verantwortlichkeit bejaht oder verneint.

      MfG
      Martin Röleke

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.