Neuregelung des § 79a BetrVG (Betriebsverfassungsgesetz) zur datenschutzrechtlichen Verantwortung für die Verarbeitung personenbezogener Daten durch den Betriebsrat
„Haftungsrisiko des Arbeitgebers ohne jede Kontroll- und Weisungsbefugnis?“
§ 79a BetrVG lautet:
„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“
Bisherige Rechtslage
Die datenschutzrechtliche Verantwortlichkeit des Betriebsrates bei der Verarbeitung personenbezogener Beschäftigtendaten war nach Inkrafttreten der DSGVO umstritten und wurde zuletzt vom BAG ausdrücklich offengelassen (BAG, Beschluss vom 9.4.2019, Az. 1 ABR 51/17). Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI Ba-Wü) vertrat hierzu bislang die Ansicht, dass der Betriebsrat bei der Datenerhebung und -verarbeitung eigenverantwortlich handele und deshalb folgerichtig „Verantwortlicher im Sinne der DS-GVO“ sei.
Ausgangspunkt ist dabei folgender:
Die Weitergabe von Beschäftigtendaten an den Betriebsrat ist eine Datenverarbeitung durch den Arbeitgeber und kann insbesondere nach § 26 Abs. 1 S. 1 BDSG zulässig sein. Eine betriebsverfassungsrechtlich gebotene Weitergabe von Daten an den Betriebsrat ist nach Ansicht des BAG regelmäßig auch ohne weitere Abwägung datenschutzrechtlich zulässig (BAG, Beschluss vom 7.5.2019, Az. 1 ABR 53/17). Die anschließende Verarbeitung der Daten durch den Betriebsrat richtet sich im Wesentlichen nach § 26 Abs. 1 S. 1 BDSG und kann zur Ausübung der Beteiligungs- und Mitbestimmungsrechte zulässig sein.
Art. 4 Nr. 7 DSGVO bestimmt hierzu, dass „Verantwortlicher“ jede Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Neuregelung des § 79a BetrVG schafft nunmehr hinsichtlich der datenschutzrechtlichen Einordnung des Betriebsrates und der Befugnisse des Datenschutzbeauftragten Klarheit, lässt zugleich aber Folgefragen offen.
Klarstellung in § 79a S. 1 BetrVG: Beachtung der datenschutzrechtlichen Vorschriften
Unabhängig von der Frage, ob der Betriebsrat selbst als Verantwortlicher einzustufen ist, müssen datenschutzrechtliche Vorgaben durch den Betriebsrat eingehalten werden (so bereits BAG, Beschluss vom 12.8.2009, Az. 7 ABR 15/08). Damit kommt § 79a S. 1 BetrVG allenfalls eine klarstellende Rolle zu. Weitergehende Pflichten treffen den Betriebsrat bei der Verarbeitung von sensiblen Beschäftigtendaten (Art. 9 Abs. 1 DSGVO), etwa Gesundheitsdaten. Insofern muss der Betriebsrat bei der Geltendmachung eines auf solche Daten gerichteten Auskunftsbegehrens das Vorhandensein von „angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person“ darlegen (§ 26 Abs. 3 S. 3 BDSG in Verbindung mit § 22 Abs. 2 BDSG). Dazu zählen insbesondere die Darlegung, dass die Daten (bei der Erhebung und Verarbeitung durch den Betriebsrat) vor dem Zugriff Dritter geschützt sind, der Kreis der Zugriffsberechtigten beschränkt ist und ein Löschkonzept besteht und umgesetzt wird (vgl. BAG, Beschluss vom 9.4.2019, Az. 1 ABR 51/17).
§ 79a S. 2 BetrVG: Arbeitgeber als Verantwortlicher – Haftung ohne Kontrolle?
Die Neuregelung in § 79a S. 2 BetrVG konkretisiert die Vorgaben der DSGVO dahingehend, dass die datenschutzrechtliche Verantwortlichkeit beim Arbeitgeber liegt. Diese „Zuordnung“ zum Arbeitgeber erfolgt allerdings nur, sofern der Betriebsrat „zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben“ handelt, was bedeutet:
Erhebt der Betriebsrat außerhalb seiner gesetzlich zugewiesenen Aufgaben Beschäftigtendaten, kann eine solche Datenverarbeitung nicht dem Arbeitgeber „zugeordnet“ werden. Vielmehr disponiert der Betriebsrat eigenverantwortlich selbst über die Zwecke der Verarbeitung. Die Folgefrage ist, ob im Fall von Datenschutzverstößen eine eigene Haftung der Mitglieder des Betriebsrats in Betracht kommen kann – das ist (von den Landesdatenschutzbeauftragten bzw. den Gerichten) bislang noch nicht entschieden.
Das Gesetz stellt ferner klar, dass der Betriebsrat innerhalb seiner Zuständigkeit selbstständig die technischen und organisatorischen Maßnahmen zur Datensicherheit gewährleisten muss, was der bisherigen Rechtsprechung des BAG entspricht (BAG, Beschluss vom 12.8.2009, Az. 7 ABR 15/08). Auch innerhalb einer verantwortlichen Stelle können einzelne intern verantwortliche Organisationseinheiten benannt werden.
Indes ist der Arbeitgeber als Verantwortlicher verpflichtet, die Dokumentations- und Rechenschaftspflichten nach der DSGVO zu erfüllen. Dabei wird die Haftung des Arbeitgebers für mögliche Datenschutzverstöße auf Betriebsratsseite relevant. § 79a BetrVG verhält sich dazu nicht, indes kann Art. 82 Abs. 3 DSGVO einen „Ausweg“ bereithalten: Danach scheidet eine Haftung aus, wenn der Verantwortliche nachweist, dass er nicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Auch wenn dies dogmatisch auf Grundlage der DSGVO nur schwierig begründet werden kann, müssen im Ergebnis die Besonderheiten des BetrVG berücksichtigt werden. Wenn der Arbeitgeber dem Betriebsrat aufgrund seiner Unabhängigkeit als Strukturprinzip der Betriebsverfassung keine Vorgaben zum Datenschutz machen kann (BAG, Beschluss vom 9.4.2019, Az. 1 ABR 51/17), muss eine Haftung des Arbeitgebers für Datenschutzverstöße des Betriebsrats ausscheiden. Insofern wäre eine gesetzgeberische Klarstellung wünschenswert gewesen, die so aber nicht erfolgt ist.
§ 79a S. 3 BetrVG: „Kooperationsgebot“
Der Gesetzgeber versucht den Konflikt zwischen datenschutzrechtlicher Verantwortlichkeit des Arbeitgebers und innerbetrieblicher Weisungsfreiheit des Betriebsrats vielmehr durch ein Kooperationsgebot in § 79a S. 3 BetrVG aufzufangen. Wie dieses in der Praxis umzusetzen ist, lässt sich dem Gesetz nicht entnehmen. Virulent wird dies etwa im Bereich der Auskunftsansprüche, der Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) oder der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) – allesamt Pflichten, die den Arbeitgeber treffen. Der Arbeitgeber ist bspw. gehalten, die Verarbeitungsvorgänge des Betriebsrates in das Verarbeitungsverzeichnis des Betriebs zum Umgang mit betrieblichen Daten aufzunehmen. Es bleiben also Spielräume für die Praxis, weshalb es sich empfiehlt, die vom Gesetzgeber vorausgesetzte Kooperation im Wege einer Rahmenbetriebsvereinbarung – unter Einbeziehung des Datenschutzbeauftragten (soweit vorhanden) – zu konkretisieren.
Folgen für die Praxis
Aus der alleinigen datenschutzrechtlichen Verantwortung des Arbeitgebers können folgende Schlussfolgerungen gezogen werden:
- Der Arbeitgeber muss die Datenweitergabe verweigern, wenn der Betriebsrat nicht das vom BAG geforderte Schutzniveau proaktiv darlegen kann. Andernfalls bestehen haftungsrechtliche Risiken (Art. 82 DSGVO).
- Der Arbeitgeber sollte das Thema „Datenschutz“ gemeinsam mit dem Betriebsrat angehen und konkrete Festlegungen für das Schutzniveau im Rahmen der betriebsverfassungsrechtlichen Zusammenarbeit treffen (Rahmenbetriebsvereinbarung). Dies macht schon deshalb Sinn, weil andernfalls arbeitgeberseitige Maßnahmen, die einer Beteiligung des Betriebsrats mit unvermeidbarer Weitergabe von Beschäftigtendaten unterliegen (z. B. Anhörungen zu geplanten Versetzungen und Kündigungen, §§ 99, 102 BetrVG) verzögert würden.
- Haftungsrechtlich besteht bei kompetenzwidriger Datenverarbeitung durch den Betriebsrat außerhalb seiner gesetzlichen Pflichten keine datenschutzrechtliche Verantwortlichkeit des Arbeitgebers und er kann grundsätzlich nicht Adressat von Bußgeldern sein. Allerdings kann es erforderlich sein, dass der Arbeitgeber das fehlende Verschulden gegenüber der Datenschutzbehörde nachweisen muss. Dieser Nachweis kann in der Praxis nur gelingen, wenn – bestenfalls – auf entsprechende (Betriebs-)Vereinbarungen mit dem Betriebsrat oder – hilfsweise – sonstige Hinweise gegenüber dem Betriebsrat, soweit diese hinreichend dokumentiert sind, zurückgegriffen werden kann.
Fazit:
Der Betriebsrat ist also – trotz oder gerade wegen § 79a BetrVG – seinerseits zur Kooperation verpflichtet; der Arbeitgeber sollte das Einfordern dieser Unterstützung – soweit nicht schon eine Rahmen-BV geschlossen wird – stets dokumentieren, indem er den Betriebsrat zumindest auf die Grundsätze der DSGVO hinweist und auf Vorlage entsprechende Nachweise durch den Betriebsrat besteht.
RA Matthias Wonschik, Fachanwalt für Arbeitsrecht