Der Betriebsrat erfährt als Beschäftigtenvertretung eine besondere Rolle im Unternehmen. Damit einher gehen ebenfalls in der datenschutzrechtlichen Betrachtung Besonderheiten, die es sowohl zwischen Arbeitgeber und Betriebsrat als auch zwischen Datenschutzbeauftragten und Betriebsrat zu beachten gilt – dies geht insbesondere aus dem neuen § 79a des Betriebsverfassungsgesetzes (BetrVG) hervor. Der Beitrag befasst sich mit den wichtigsten Eckpunkten und gibt zentrale Handlungsempfehlungen an die Hand.
DER BETRIEBSRAT ALS TEIL DER VERANTWORTLICHEN STELLE
Lange Zeit umstritten war die Frage, ob es sich bei dem Betriebsrat um eine eigene verantwortliche Stelle handelt oder ob dieser dem Unternehmen als verantwortliche Stelle zuzurechnen ist. Eine besondere Bedeutung erlangt(e) diese Fragestellung, da sich die datenschutzrechtlichen Verpflichtungen der Datenschutz-Grundverordnung (DS-GVO) stets an die verantwortliche Stelle richten. Hiervon umfasst sind beispielsweise die umfangreichen Dokumentationspflichten, z.B. das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO oder die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DS-GVO.
Wie wir bereits in unserem Beitrag zum Betriebsrätemodernisierungsgesetz umfangreich darlegten, hat der Gesetzgeber über die neugeschaffene Regelung des § 79a BetrVG für eine Klarstellung gesorgt. § 79a Satz 2 BetrVG macht deutlich, dass der Arbeitgeber der datenschutzrechtlich Verantwortliche für die Verarbeitung der Beschäftigtendaten im Sinne der DS-GVO ist. Entgegen der Eigenverantwortung des Betriebsrates bei der Wahrnehmung ihrer Aufgaben, ist der Betriebsrat im datenschutzrechtlichen Sinne lediglich als Teil der verantwortlichen Stelle einzustufen, soweit dieser zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben Beschäftigtendaten verarbeitet.
Mit der Regelung in § 79a BetrVG folgt der Gesetzgeber der Auffassung der diesbezüglichen ständigen Rechtsprechung des Bundesarbeitsgerichtes (BAG). Demnach wurde der Betriebsrat noch vor Inkrafttreten der DS-GVO vom BAG lediglich als institutionell unselbständiger Teil der verantwortlichen Stelle des Arbeitgebers eingestuft.
ZUSAMMENARBEIT VON BETRIEBSRAT UND VERANTWORTLICHER STELLE
Gemäß § 79a Satz 3 BetrVG unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Satz 3 verpflichtet den Betriebsrat und den Arbeitgeber zur Kooperation und zur gegenseitigen Unterstützung. Diese gegenseitige Pflicht zur Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ist mit der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers auf der einen Seite und der innerorganisatorischen Selbständigkeit und Wertungsfreiheit des Betriebsrats auf der anderen Seite begründet.
Im Umkehrschluss bedeutet dies jedoch auch, dass der Betriebsrat nicht Adressat der weitreichenden datenschutzrechtlichen Pflichten der DS-GVO sein kann. Dementsprechend obliegt dem Betriebsrat beispielsweise keine Pflicht zur Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten und ebenfalls keine Pflicht zur Benennung eines eigenen Datenschutzbeauftragten. Aus § 79a Satz 3 BetrVG lässt sich jedoch schlussfolgern, dass der Betriebsrat dem Verantwortlichen entsprechende Angaben übermitteln muss, die der verantwortlichen Stelle eine Erstellung der Verzeichnisse der Verarbeitungstätigkeiten für die Betriebsratstätigkeiten ermöglicht. Auch hinsichtlich etwaiger Verletzungen des Schutzes personenbezogener Daten oder im Rahmen der Geltendmachung von Betroffenenrechten ist der Betriebsrat gegenüber dem Verantwortlichen zur unverzüglichen Meldung und Zuarbeit verpflichtet.
Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Insoweit ist dieser innerhalb seines Zuständigkeitsbereichs verpflichtet, die ausreichende Umsetzung technischer und organisatorischer Maßnahmen nach Art. 24 und Art. 32 DS-GVO sicherzustellen sowie gegebenenfalls Nachbesserungen durch die verantwortliche Stelle einzufordern. Dieser muss den Betriebsrat zwingend mit den erforderlichen Mitteln, wie beispielsweise geeigneter Sicherungseinrichtungen für Dokumente mit personenbezogenen Daten, bereitstellen. Bei Beratungsbedarf zu datenschutzrechtlichen Sachverhalten darf der Betriebsrat ebenso die Beratungsleistungen des Datenschutzbeauftragten der verantwortlichen Stelle in Anspruch nehmen.
ZUSAMMENARBEIT VON BETRIEBSRAT UND DATENSCHUTZBEAUFTRAGTEN
Insofern bietet sich ebenfalls eine Zusammenarbeit zwischen dem Betriebsrat und dem Datenschutzbeauftragten an. Beispielsweise kann dieser die Beschäftigtenvertretung regelmäßig zu spezifischen datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Betriebsratstätigkeit schulen oder datenschutzrechtliche Beratungen zu (geplanten) Tätigkeiten des Betriebsrates vornehmen.
In den Fokus rückt hierbei das notwendige Vertrauensverhältnis zwischen Betriebsrat und Datenschutzbeauftragten, welches auch durch den Gesetzgeber gesehen wurde. § 79a Satz 4 BetrVG regelt hierzu, dass der oder die Datenschutzbeauftragte gegenüber dem Arbeitgeber zu sämtlichen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen, zur Verschwiegenheit verpflichtet ist. Weiterhin regelt § 79a Satz 5 BetrVG ebenfalls die Verschwiegenheitsverpflichtung hinsichtlich der Identitäten betroffener Personen gegenüber dem Arbeitgeber. Der vertrauensvollen Zusammenarbeit steht insoweit auch nicht die Stellung des Datenschutzbeauftragten durch den Arbeitgeber als Verantwortlichen entgegen.
FAZIT
Um den Anforderungen des § 79a BetrVG sowie den allgemeinen datenschutzrechtlichen Anforderungen nachkommen zu können, empfiehlt sich der Abschluss einer Vereinbarung oder die Anwendung einer Richtlinie zwischen dem Arbeitsgeber als Verantwortlichen sowie dem Betriebsrat hinsichtlich der datenschutzrechtlichen Zusammenarbeit. Hierbei sollten insbesondere die Unterstützung bei der Geltendmachung von Betroffenenrechten, die unverzüglichen Meldeverpflichtungen im Fall von Datenschutzverletzungen sowie etwaige Zuarbeiten hinsichtlich des Verzeichnisses der Verarbeitungstätigkeiten geregelt werden. Weiterhin sollten Regelungen aufgenommen werden, welche ein Mindestmaß an technischen und organisatorischen Maßnahmen festlegen, um die Sicherheit der Verarbeitung durch den Betriebsrat zu gewährleisten. Der Datenschutzbeauftragte ist auf seine besondere Stellung und die sich in diesem Zusammenhang aus § 79a Satz 4 und 5 BetrVG ergebenden besonderen Verschwiegenheitsverpflichtungen zu sensibilisieren.
Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.
