Bis zum Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 war der Betriebsrat lediglich als „Teil der verantwortlichen Stelle“ verpflichtet, personenbezogene Daten innerhalb seiner Zuständigkeit angemessen zu schützen. Allerdings konnten gegen ihn mangels Rechtsfähigkeit keine aufsichtsbehördlichen Maßnahmen verhängt werden.
Das Betriebsrätemodernisierungsgesetz sollte u.a. durch die Regelung des § 79a BetrVG abschließend klären, ob der Betriebsrat als Verantwortlicher i.S.d. DSGVO gilt oder ob nur der Arbeitgeber Verantwortlicher sein kann. Damit gingen indes weitere Fragen und Probleme einher.
Wie zuvor schon durch die unionsrechtliche Auslegung des § 75 Abs. 2 BetrVG sowie entsprechend der bisherigen Rechtsprechung des BAG, haben der Betriebsrat sowie dessen Mitglieder nach § 79a S. 1 BetrVG die Vorschriften über den Datenschutz einzuhalten. Weiterhin heißt es allerdings, dass für Datenverarbeitungen des Betriebsrats der Arbeitgeber der Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften ist.
In der DSGVO kommt es nämlich für die Stellung als Verantwortlicher allein darauf an, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet. Gemäß § 79a BetrVG soll nun der Arbeitgeber zwar für etwaige Datenschutzverstöße haften, darf aber aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats diesen weder kontrollieren noch Weisungen erteilen.
Solange der Betriebsrat als unternehmensinterne Stelle innerhalb seiner Zuständigkeit gegen den Datenschutz verstößt, haftet somit stets der Arbeitgeber im Außenverhältnis nach § 79a S. 2 BetrVG. Eine Innenhaftung über den innerbetrieblichen Schadensausgleich erscheint indes möglich.
Sollte der Betriebsrat allerdings außerhalb seiner gesetzlich zugewiesenen Aufgaben Beschäftigtendaten oder sonstige personenbezogene Daten erheben, kann eine solche Datenverarbeitung nicht dem Arbeitgeber zugerechnet werden. Denn gemäß Art. 82 Abs. 3 DSGVO scheidet eine Haftung aus, wenn der Verantwortliche nachweist, dass er nicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Mangels Rechtsfähigkeit des Betriebsrats haften in der Konsequenz die Betriebsratsmitglieder persönlich, sofern sie auf Grund eines eigenen Entschlusses oder eines Betriebsratsbeschlusses außerhalb des Wirkungskreises des Betriebsrats tätig werden, da es für sie keine Haftungsprivilegierung gibt.
Durch das Kooperationsgebot in § 79a S. 3 BetrVG wird nunmehr versucht, die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers einerseits und die innerorganisatorische Weisungsfreiheit des Betriebsrats andererseits in Bezug auf die Einhaltung der datenschutzrechtlichen Vorschriften gemeinschaftlich zu regulieren. Einer Erläuterung über die konkrete Ausgestaltung der Zusammenarbeit etwa bei etwaigen Auskunftsansprüchen o.ä. bleibt der Gesetzgeber dabei allerdings schuldig und bedarf bestenfalls einer betriebsinternen Regelung. Insgesamt wirft die Neuregelung mehr Fragen auf als sie zur Beilegung der bisherigen Diskussion beiträgt.
Da die Verarbeitung von personenbezogenen Daten durch den Betriebsrat nun qua Gesetz der Zuständigkeit der verantwortlichen Stelle zugewiesen ist, ist der Datenschutzbeauftragte gemäß Art. 39 Abs. 1 lit. b DSGVO auch für dessen Überwachung zuständig. § 79a S. 4, 5 BetrVG sollte dem Risiko einer Unterwanderung der Unabhängigkeit des Betriebsrats durch die gesetzliche Verschwiegenheitsverpflichtung des Datenschutzbeauftragten v.a. im Hinblick auf solche Informationen entgegenwirken, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Wie dies in der Praxis zu bewerkstelligen sein soll, ohne dass dessen Arbeit beeinträchtigt wird, bleibt allerdings problematisch und ungeklärt.
Fazit:
Im Ergebnis ist zu empfehlen, dass der Arbeitgeber und der Betriebsrat umfassende interne Regelungen treffen, die die einzelnen Verantwortungsbereiche und Pflichten explizit innerhalb einer (Rahmen-)Betriebsvereinbarung festlegen, um so die durch den neuen § 79a BetrVG aufgeworfenen Zweifelsfragen im Sinne einer konstruktiven Zusammenarbeit zwischen „verantwortlichem“ Arbeitgeber und Betriebsrat zu lösen. Hierzu kann insbesondere der Datenschutzbeauftragte als quasi „neutrale Instanz“ oder eine auf den Datenschutz und das Arbeitsrecht spezialisierte Rechtsanwaltskanzlei qualifiziert beitragen und unterstützen, ohne dass dadurch die betriebsverfassungsrechtlichen Rechte des Betriebsrates beeinträchtigt werden.
Jennifer Schild Sarah Kieczewsky
Rechtsanwältin stud. Hilfskraft
