Datenschutz bei Betriebsrat und Personlrat. Das Thema ist in der täglichen Beratung immer wieder relevant; wir hatten dazu im vergangenen Jahr schon berichtet. Inzwischen liegen damals erwartete Entscheidungen des Europäischen Gerichtshofs vor und – vor allem – etwas überraschende Äußerungen des Bundesarbeitsgerichts. Anlass genug, den aktuellen Stand noch einmal zusammenzufassen:

So Viel ist sicher: Betriebs- und Personalräte sind keine eigenen verantwortlichen Stellen

Beim DS-GVO-Start wurde noch heftig gestritten, ob Beschäftigtenvertretungen (Betriebsräte, Personalräte, Mitarbeitervertretungen kirchlicher Einrichtungen) als eigene verantwortliche Stellen anzusehen sind. Dafür ist nach Art. 4 Nr. 7 DS-GVO wichtig, ob sie selbst über „Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“. Mittlerweile besteht Einigkeit, auch unter den Aufsichtsbehörden: Verantwortliche Stelle ist die jeweilige Behörde, das Unternehmen, … . Begründet wird dies damit, dass die Beschäftigtenvertretungen nicht selbständig über Zweck und Mittel der Datenverarbeitung bestimmen können, sondern insbesondere die Verarbeitungszwecke gesetzlich vorgegeben sind. Der Bundesgesetzgeber hat das vorsichtshalber für den Betriebsrat in § 79a Satz 2 BetrVG ausdrücklich festgehalten.

Ähnliches gilt für interne Datenschutzbeauftragte in Unternehmen und in Behörden. Auch bei ihnen begründet die fachliche Unabhängigkeit begründet keine Eigenständigkeit im Datenschutz als verantwortliche Stelle. Dies lässt sich auf Geldwäschebeauftragte, Strahlenschutzbeauftragte, … übertragen.

Ganz klar: Die Datenschutzbeauftragten überwachen auch die Datenverarbeitung der Beschäftigtenvertretung

Aus der datenschutzrechtlichen Zugehörigkeit ergibt sich, dass die Datenschutzbeauftragten der Einrichtung auch für die Datenverarbeitung der Beschäftigtenvertretung zuständig sind, also nach Art. 39 Abs. 1 lit. b) DS-GVO überwachen, ob die Datenschutzvorschriften eingehalten werden.

Bei der Überwachung der Datenverarbeitung des Betriebs-/Personalrats ist die Unabhängigkeit der Datenschutzbeauftragten von Weisungen des Arbeitgebers besonders wichtig. Ob, wann und wie Datenschutzbeauftragte die Datenverbindungen der Personalvertretung prüfen, kann vom Arbeitgeber nicht nachgewiesen werden. Bei ihrer Tätigkeit können und müssen die Datenschutzbeauftragten die besondere Situation und die Aufgaben der Beschäftigtenvertretung berücksichtigen (Interessenvertretung gegenüber dem Arbeitgeber). Auch hier taugt § 79a BetrVG als Merkzettel: „Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“

Wohl nur in Thüringen: Zusätzlich eigene Datenschutzbeauftragte für den Personalrat

Wahrscheinlich bundesweit einmalig regelt § 80 Abs. 1 S. 2 des Thüringer Personalvertretungsgesetzes, dass die Personalräte in Thüringen einen eigenen Datenschutzbeauftragten zu bestellen haben. Das darf im Einvernehmen mit der Dienststelle auch die/der behördliche Datenschutzbeauftragte sein – aus unserer Sicht absolut empfehlenswert. Diese Person soll für die Einhaltung des Datenschutzes in der Personalvertretung und in der Dienststelle sorgen. Macht nicht genau dasselbe schon die/der behördliche Beauftragte nach DS-GVO zwingend? Allerdings.

Es spricht viel dafür, dass die Vorschrift wegen Widersprüchlichkeit zur DS-GVO europarechtlich unzulässig ist. Ein Sinn ist jedenfalls nicht erkennbar. Vielleicht findet der Landesgesetzgeber bei Gelegenheit den Mut, die Regelung wieder zu streichen. Sind Ihnen ähnliche Normen für andere Bundesländer bekannt? Danke für Hinweise!

In der mittlerweile zwanzigjährigen Diskussion über ein Beschäftigtendatenschutzgesetz (wir berichteten) war ebenfalls hin und wieder die Idee aufgetaucht, einen gesonderten „Beschäftigtendatenschutzbeauftragten“ einzuführen (z.B. § 28 Abs. 1 Satz 1 und Abs. 2-5 des Entwurfes BÜNDNIS 90/DIE GRÜNEN vom 22.02.2011, Bundestagsdrucksache 17/4853, S. 12). Für den Datenschutz ist eine derartige Beauftragten-Häufung nicht sinnvoll. Sie verbraucht Ressourcen und schafft unter anderem die Gefahr, dass verschiedene Beauftragte unterschiedliche Auffassungen vertreten. Die Position der betrieblichen/behördlichen Beauftragten würde geschwächt.

Plötzlich nicht mehr möglich: Mitglied der Beschäftigtenvertretung zugleich Datenschutzbeauftragter?

Vor Inkrafttreten der DS-GVO hatte das Bundesarbeitsgericht (BAG) gleichzeitige Amtsausübung erlaubt (Urt. v. 13.3.2011, 10 AZR 562/99). Ein schädlicher, verbotener Interessengegensatz liege nicht vor. In neueren Fällen – aber immer noch „altes“ BDSG – wurde die Frage vom BAG dem EuGH vorgelegt und der erklärte (Urt. v. 9.2.2023, Rs. C-453/21 und C-560/21), dass Personalunion zwischen Betriebs-/Personalräten sowie Datenschutzbeauftragten jedenfalls nicht von vornherein verboten ist, sondern im Einzelfall und nach nationalem Recht geprüft werden muss, ob ein Interessengegensatz vorliegt.

Grünes Licht für das BAG, sollte man denken – die Linie aus dem Urteil 2011 kann beibehalten werden. Umso überraschender ist, dass das BAG in den beiden Fällen mit Urteilen vom 6.6.2023 (Az. 9 AZR 383/19 und Az. 9 AZR621/19 – wir berichteten) die Unvereinbarkeit der Funktionen angenommen hat. Die Urteilsbegründungen liegen noch nicht vor. Klar ist aber: Der jetzt entscheidende neunte Senat des BAG entfernt sich vom oben genannten Urteil des zehnten Senats aus dem Jahr 2011. In der Pressemitteilung zum Verfahren 383/19 heißt es: „Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.“

Wenn man das für alte Fälle vor Mai 2018 so sieht, spricht alles dafür, es beim Datenschutzbeauftragten nach DS-GVO genauso zu beurteilen. Und das hat Konsequenzen: Wenn man – wie offenbar jetzt das Bundesarbeitsgericht – einen Interessenkonflikt zwischen den Funktionen typischerweise annimmt, dann ist der Arbeitgeber nicht nur arbeitsrechtlich berechtigt, die Funktion des Datenschutzbeauftragten zu entziehen, sondern zum Widerruf der Bestellung des Datenschutzbeauftragten sogar datenschutzrechtlich verpflichtet. Bleiben Datenschutzbeauftragte trotz eines bestehenden Interessenkonflikts in ihrer Funktion, dann wäre ein solcher Datenschutzbeauftragter nicht mehr wirksam bestellt. Der Arbeitgeber würde also als verantwortliche Stelle gegen die DS-GVO verstoßen.

Damit kann Arbeitgebern nur empfohlen werden, in solchen Fällen die Bestellung zu widerrufen und andere, nicht dem Betriebs-/Personalrat angehörende Personen als Datenschutzbeauftragte zu bestellen. Spiegelbildlich muss internen Datenschutzbeauftragten – wenn sie ihre Funktion behalten möchten – davon abgeraten werden, sich für den Betriebs-/Personalrat zu bewerben…

Zusammenarbeit zwischen BEschäftigtenvertretung und Datenschutzbeauftragten

Natürlich gehört zu den Aufgaben der Beschäftigtenvertretung auch, die Datenschutzrechte der Beschäftigten zu verteidigen. Bestenfalls sollten beim Beschäftigtendatenschutz Beschäftigtenvertretung und Datenschutzbeauftragte also Hand in Hand arbeiten. Nicht selten entwickeln sich einzelne Betriebs-/Personalräte zu Spezialisten für Datenschutzfragen. Das ist sinnvoll und erfreulich. Ein transparentes Miteinander, das der Belegschaft und dem Datenschutz dient, ist optimal.

Was Datenschutzbeauftragte dazu beitragen können:

• Auf Beschäftigtenvertretungen aktiv zugehen. Nachfragen, ob die persönliche Vorstellung in einer Sitzung des Betriebs-/Personalrats möglich und gewünscht ist.
• Vertraulichkeit der Kommunikation – auch gegenüber der Arbeitgeberseite – zusagen und einhalten.
• Unkomplizierte, neutrale und zuverlässige Beratung der Beschäftigtenvertretung bei Datenschutzfragen, z.B. auch bei der Vorbereitung von Betriebs-/Dienstvereinbarungen zu datenschutzrelevanten Themen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gegenwärtig finden in zahlreichen Unternehmen die Betriebsratswahlen statt. Dies nehmen wir zum Anlass, um im Rahmen unseres aktuellen Blog-Beitrages einen Überblick über datenschutzrechtliche Themen mit Bezug zur Betriebsratstätigkeit zu geben. Gerade aufgrund der besonderen Stellung und der damit einhergehenden Vertrauensposition des Betriebsrates, ist es für alle Angehörigen des Betriebsrates wichtig, sowohl die datenschutzrechtlichen Rechte und Pflichten als auch die jeweiligen Grenzen der jeweiligen Datenverarbeitungen zu kennen.

WER IST DATENSCHUTZRECHTLICH VERANTWORTLICH?

Für die Gewährleistung der Einhaltung der datenschutzrechtlichen Normierungen ist grundsätzlich die verantwortliche Stelle im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) zuständig. Als verantwortliche Stelle versteht die DS-GVO jene Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Zeit war umstritten, ob der Betriebsrat nach dieser Definition eine eigene verantwortliche Stelle bildet. Klarstellung erfolgte im Jahr 2021 durch den § 79a Betriebsverfassungsgesetz (BetrVG). In der Norm heißt es: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

WELCHE DATENSCHUTZRECHTLICHEN MITWIRKUNGSPFLICHTEN BESTEHEN?

Auch wenn der Arbeitgeber zunächst als verantwortliche Stelle zu bezeichnen ist, treffen den Betriebsrat Mitwirkungspflichten. Einerseits hat sich der Betriebsrat gemäß § 79a Satz 1 BetrVG an die jeweils geltenden datenschutzrechtlichen Normen zu halten. Andererseits besteht gemäß § 79a Satz 3 BetrVG die Pflicht zur gegenseitigen Unterstützung zwischen Arbeitgeber und Betriebsrat. Eine solche Unterstützung kann durch den Betriebsrat beispielsweise im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO erfolgen: Der Betriebsrat fertigt eine entsprechende Dokumentation der – aus Sicht des Betriebsverfassungsgesetztes – in seiner Verantwortung liegenden Verarbeitungstätigkeiten an. Der Arbeitgeber unterstützt den Betriebsrat beispielsweise wiederum in der Schaffung ausreichend technischer und organisatorischer Maßnahmen, z.B. die Bereitstellung abschließbarer Schränke. Darüber ist es ratsam auch bei der Umsetzung der datenschutzrechtlichen Anforderungen eine vertrauensvolle Zusammenarbeit im Sinne des § 2 Abs. 1 BetrVG zu wahren.

IST DER DATENSCHUTZBEAUFTRAGTE DES UNTERNEHMENS AUCH FÜR DEN BETRIEBSRAT ZUSTÄNDIG?

Die Aufgabe des Datenschutzbeauftragten umfasst, insbesondere hinsichtlich Art. 39 Abs. 1 lit. a) DS-GVO, ebenfalls die Unterrichtung und Beratung des Betriebsrates. Dabei ist die besondere Verschwiegenheitsverpflichtung gemäß § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zu beachten. Diese umfasst sämtliche Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen. Ergänzend hierzu gelten § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz (BDSG) sowie § 38 Abs. 2 BDSG im Verhältnis zwischen Datenschutzbeauftragten und Arbeitgeber. Der Datenschutzbeauftragte des Unternehmens kann somit auch durch den Betriebsrat in Anspruch genommen werden.

KÖNNEN ANGEHÖRIGE DES BETRIEBSRATES DATENSCHUTZBEAUFTRAGTE SEIN?

Dem Datenschutzbeauftragten obliegen die Überwachung und Kontrolle der Einhaltung des Datenschutzrechts innerhalb der verantwortlichen Stelle. Wie bereits dargestellt, umfasst dies neben der Beratung aller Beschäftigten ebenfalls der Beratung des Betriebsrates. Hierin wird teilweise eine Interessenkollision gesehen, wenn eine Person zugleich die Positionen des Datenschutzbeauftragten und des Betriebsratsmitgliedes innehat. Während das Bundearbeitsgericht im Jahr 2011 (Urteil vom 23. März 2011 – AZR 562/09) eine solche Interessenkollision verneinte, wurde in einem aktuellen Verfahren des Bundesarbeitsgerichts dem Europäischen Gerichtshof unter anderem die Frage vorgelegt, ob die gleichzeitige Ausübung der Position des Datenschutzbeauftragten und des Betriebsratsmitglieds zu einer Interessenkollision führen können. Eine rechtssichere Beantwortung der Frage ist demnach erst nach einer Entscheidung des Europäischen Gerichtshof möglich.

MUSS DER BETRIEBSRAT GESONDERT ZUR VERSCHWIEGENHEIT VERPFLICHTET WERDEN?

Zwar ergibt sich nicht direkt aus den Normen der DS-GVO die Pflicht zur Verpflichtung von Beschäftigten auf Verschwiegenheit, jedoch kann eine solche mittelbar aus Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) sowie Art. 29 DS-GVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) herausgelesen werden. Darüber hinaus gilt für Angehörige des Betriebsrates eine gesetzliche Verschwiegenheitsverpflichtung aus § 79 Abs. 1 BetrVG sowie aus § 79a BetrVG. Einer zusätzlichen Verpflichtung bedarf es darüber hinaus nicht zwingend. Zu empfehlen ist jedoch die Sensibilisierung der Angehörigen des Betriebsrates mittels Sensibilisierungen und Schulungen zum Thema Datenschutz im Betriebsrat.

WELCHE PERSONENBEZOGENEN DATEN DÜRFEN DURCH DEN BETRIEBSRAT VERARBEITET WERDEN?

Grundsätzlich dürfen durch den Betriebsrat all diejenigen personenbezogenen Daten verarbeitet werden, welche zur Wahrnehmung der Aufgaben des Betriebsrates zwingend benötigt werden, vgl. § 26 Abs. 1 Satz 1 BDSG. Erforderlich ist hierbei jedoch, dass die Aufgabenzuweisung an den Betriebsrat einen konkreten Informationsfluss zu Gegenstand hat, z.B. § 80 Abs. 2 Satz 2 Hs. 2 BetrVG oder § 102 Abs. 1 BetrVG. In diesem Zusammenhang sind insbesondere der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO), der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Nicht immer ist es zwingend erforderlich, dass der Betriebsrat zur Wahrnehmung seiner Aufgaben personenbezogene Daten erhält. Beispielsweise im Rahmen der Überprüfung von Arbeitszeiten sind im ersten Schritt Übersichten ohne Personenbezug ausreichend. Sollten daraufhin Abweichungen oder Gesetzesverstöße festgestellt werden, kann der Betriebsrat im zweiten Schritt eine personenbezogene Arbeitszeitübersicht der betreffenden Abteilung erhalten. Außerdem besteht im Rahmen des § 26 Abs. 4 BDSG die Möglichkeit, dass zur Verarbeitung personenbezogener Daten von Beschäftigten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat geschlossen werden.

WELCHE AUFBEWAHRUNGSFRISTEN GELTEN FÜR UNTERLAGEN DES BETRIEBSRATES?

Zunächst ist festzuhalten, dass keine spezialgesetzlich vordefinierten Aufbewahrungsfristen für Betriebsratsunterlagen bestehen. Die Handhabung richtet sich somit nach den allgemeinen datenschutzrechtlichen Bestimmungen und ist hinsichtlich des jeweiligen Einzelfalls entsprechend auszulegen. Anzuführen sind hierbei insbesondere die Grundsätze für die Verarbeitung personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO sowie das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Betriebsräte dürfen damit personenbezogene Daten so lange verarbeiten, wie es zwingend erforderlich ist. Anschließend besteht eine rechtliche Verpflichtung zur Löschung (Art. 17 Abs. 1 lit. a) DS-GVO), sofern nicht gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen (Art. 17 Abs. 3 lit. b) DS-GVO). Konkret kann damit beispielsweise Folgendes argumentiert werden:

– Wahlunterlagen sind bis zum Ende der jeweiligen Amtsperiode aufzubewahren.

– Protokolle sind aufzubewahren, solange sie eine rechtliche Bedeutung besitzen (z.B. Betriebsvereinbarungen). Im Rahmen von Protokollen sollten möglichst wenig personenbezogene Daten angegeben werden. Dementsprechend kann somit auch eine Übergabe an den nachfolgenden Betriebsrat argumentiert werden. Gegebenenfalls hat der neue Betriebsrat zu überprüfen, ob eine weitere Aufbewahrung erforderlich ist.

– Dokumentationen zu Maßnahmen sind in der Regeln nach Beendigung der Maßnahmen zu löschen, sofern diese nicht gegebenenfalls im Rahmen einer Beweisführung mit hoher Wahrscheinlichkeit voraussichtlich benötigt werden (Art. 17 Abs. 3 lit. e) DS-GVO) oder eine gesetzliche Aufbewahrungspflicht besteht. Nur dann kann eine Weitergabe an den neuen Betriebsrat im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgen.

Sofern Unterlagen (z.B. zu abgeschlossenen Maßnahmen) aufbewahrt werden müssen, sind diese getrennt von aktuellen Unterlagen (z.B. laufender Maßnahmen) aufzubewahren (sogenannte „Einschränkung der Verarbeitung“, auch „Archivierung“). Eine Vernichtung von personenbezogenen Unterlagen darf ausschließlich über ein Entsorgungsunternehmen oder eigenständig mittels eines Aktenvernichters (Schutzstufe P-4) erfolgen.

WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN SIND UMZUSETZEN?

Art. 32 DS-GVO fordert eine der Datenverarbeitung sowie der damit einhergehenden Risiken angemessene Sicherheit der Verarbeitung. Da die im Rahmen der Betriebsratstätigkeit verarbeiteten personenbezogenen Daten in der Regel als besonders schützenswert anzusehen sind, sind diese bestmöglich vor einer Zugriffsmöglichkeit Unbefugter zu sichern. Dies umfasst beispielsweise die Nutzung abschließbarer Räumlichkeiten, die Verwahrung von Unterlagen in abschließbaren Schränken sowie die Verwendung gesonderter, zugriffsgeschützter Laufwerke. Der Betriebsrat als Gremium sollte über ein gesondertes E-Mail-Funktionspostfach verfügen, die Übermittlung von Unterlagen per E-Mail sollte zumindest in Form passwortgeschützter Anlagen erfolgen, wobei die Passwörter nicht über das gleiche Medium zu übermitteln sind. Die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen obliegt der Verantwortung des Arbeitgebers, die entsprechende Handhabung der Verantwortung des Betriebsrates.

FAZIT

Mit der Tätigkeit im Betriebsrat geht auch im Rahmen des Datenschutzrechts eine besondere Verantwortung einher. Das jeweilige Unternehmen und der Betriebsrat haben sich bei der Einhaltung des Datenschutzrechts gegenseitig zu unterstützen, hierbei wird auch der Datenschutzbeauftragte des Unternehmens tätig. Zur Gewährleistung der jeweiligen Anforderungen ist eine spezielle Schulung der Betriebsratsmitglieder zu empfehlen. Sie wünschen sich eine Beratung oder Schulung zum Thema Datenschutz im Betriebsrat? Sprechen Sie uns gerne an!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DER BETRIEBSRAT ALS TEIL DER VERANTWORTLICHEN STELLE

Lange Zeit umstritten war die Frage, ob es sich bei dem Betriebsrat um eine eigene verantwortliche Stelle handelt oder ob dieser dem Unternehmen als verantwortliche Stelle zuzurechnen ist. Eine besondere Bedeutung erlangt(e) diese Fragestellung, da sich die datenschutzrechtlichen Verpflichtungen der Datenschutz-Grundverordnung (DS-GVO) stets an die verantwortliche Stelle richten. Hiervon umfasst sind beispielsweise die umfangreichen Dokumentationspflichten, z.B. das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO oder die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DS-GVO.

Wie wir bereits in unserem Beitrag zum Betriebsrätemodernisierungsgesetz umfangreich darlegten, hat der Gesetzgeber über die neugeschaffene Regelung des § 79a BetrVG für eine Klarstellung gesorgt. § 79a Satz 2 BetrVG macht deutlich, dass der Arbeitgeber der datenschutzrechtlich Verantwortliche für die Verarbeitung der Beschäftigtendaten im Sinne der DS-GVO ist. Entgegen der Eigenverantwortung des Betriebsrates bei der Wahrnehmung ihrer Aufgaben, ist der Betriebsrat im datenschutzrechtlichen Sinne lediglich als Teil der verantwortlichen Stelle einzustufen, soweit dieser zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben Beschäftigtendaten verarbeitet.

Mit der Regelung in § 79a BetrVG folgt der Gesetzgeber der Auffassung der diesbezüglichen ständigen Rechtsprechung des Bundesarbeitsgerichtes (BAG). Demnach wurde der Betriebsrat noch vor Inkrafttreten der DS-GVO vom BAG lediglich als institutionell unselbständiger Teil der verantwortlichen Stelle des Arbeitgebers eingestuft. 

ZUSAMMENARBEIT VON BETRIEBSRAT UND VERANTWORTLICHER STELLE

Gemäß § 79a Satz 3 BetrVG unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Satz 3 verpflichtet den Betriebsrat und den Arbeitgeber zur Kooperation und zur gegenseitigen Unterstützung. Diese gegenseitige Pflicht zur Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ist mit der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers auf der einen Seite und der innerorganisatorischen Selbständigkeit und Wertungsfreiheit des Betriebsrats auf der anderen Seite begründet.

Im Umkehrschluss bedeutet dies jedoch auch, dass der Betriebsrat nicht Adressat der weitreichenden datenschutzrechtlichen Pflichten der DS-GVO sein kann. Dementsprechend obliegt dem Betriebsrat beispielsweise keine Pflicht zur Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten und ebenfalls keine Pflicht zur Benennung eines eigenen Datenschutzbeauftragten. Aus § 79a Satz 3 BetrVG lässt sich jedoch schlussfolgern, dass der Betriebsrat dem Verantwortlichen entsprechende Angaben übermitteln muss, die der verantwortlichen Stelle eine Erstellung der Verzeichnisse der Verarbeitungstätigkeiten für die Betriebsratstätigkeiten ermöglicht. Auch hinsichtlich etwaiger Verletzungen des Schutzes personenbezogener Daten oder im Rahmen der Geltendmachung von Betroffenenrechten ist der Betriebsrat gegenüber dem Verantwortlichen zur unverzüglichen Meldung und Zuarbeit verpflichtet.

Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Insoweit ist dieser innerhalb seines Zuständigkeitsbereichs verpflichtet, die ausreichende Umsetzung technischer und organisatorischer Maßnahmen nach Art. 24 und Art. 32 DS-GVO sicherzustellen sowie gegebenenfalls Nachbesserungen durch die verantwortliche Stelle einzufordern. Dieser muss den Betriebsrat zwingend mit den erforderlichen Mitteln, wie beispielsweise geeigneter Sicherungseinrichtungen für Dokumente mit personenbezogenen Daten, bereitstellen. Bei Beratungsbedarf zu datenschutzrechtlichen Sachverhalten darf der Betriebsrat ebenso die Beratungsleistungen des Datenschutzbeauftragten der verantwortlichen Stelle in Anspruch nehmen.

ZUSAMMENARBEIT VON BETRIEBSRAT UND DATENSCHUTZBEAUFTRAGTEN

Insofern bietet sich ebenfalls eine Zusammenarbeit zwischen dem Betriebsrat und dem Datenschutzbeauftragten an. Beispielsweise kann dieser die Beschäftigtenvertretung regelmäßig zu spezifischen datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Betriebsratstätigkeit schulen oder datenschutzrechtliche Beratungen zu (geplanten) Tätigkeiten des Betriebsrates vornehmen.

In den Fokus rückt hierbei das notwendige Vertrauensverhältnis zwischen Betriebsrat und Datenschutzbeauftragten, welches auch durch den Gesetzgeber gesehen wurde. § 79a Satz 4 BetrVG regelt hierzu, dass der oder die Datenschutzbeauftragte gegenüber dem Arbeitgeber zu sämtlichen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen, zur Verschwiegenheit verpflichtet ist. Weiterhin regelt § 79a Satz 5 BetrVG ebenfalls die Verschwiegenheitsverpflichtung hinsichtlich der Identitäten betroffener Personen gegenüber dem Arbeitgeber. Der vertrauensvollen Zusammenarbeit steht insoweit auch nicht die Stellung des Datenschutzbeauftragten durch den Arbeitgeber als Verantwortlichen entgegen.

FAZIT

Um den Anforderungen des § 79a BetrVG sowie den allgemeinen datenschutzrechtlichen Anforderungen nachkommen zu können, empfiehlt sich der Abschluss einer Vereinbarung oder die Anwendung einer Richtlinie zwischen dem Arbeitsgeber als Verantwortlichen sowie dem Betriebsrat hinsichtlich der datenschutzrechtlichen Zusammenarbeit. Hierbei sollten insbesondere die Unterstützung bei der Geltendmachung von Betroffenenrechten, die unverzüglichen Meldeverpflichtungen im Fall von Datenschutzverletzungen sowie etwaige Zuarbeiten hinsichtlich des Verzeichnisses der Verarbeitungstätigkeiten geregelt werden. Weiterhin sollten Regelungen aufgenommen werden, welche ein Mindestmaß an technischen und organisatorischen Maßnahmen festlegen, um die Sicherheit der Verarbeitung durch den Betriebsrat zu gewährleisten. Der Datenschutzbeauftragte ist auf seine besondere Stellung und die sich in diesem Zusammenhang aus § 79a Satz 4 und 5 BetrVG ergebenden besonderen Verschwiegenheitsverpflichtungen zu sensibilisieren.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.