Frag den Datenschützer: Wie ist die datenschutzrechtliche Einordnung der Stellung und Verantwortlichkeit des Betriebsrats?
Seit Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) ist es nicht mehr ausgeschlossen, dass Aufsichtsbehörden oder Gerichte einen Betriebsrat im Unternehmen als eigenen Verantwortlichen einstufen. Diese Entscheidung hat aber weitreichende Folgen – sowohl für den Arbeitgeber als auch für den Betriebsrat. So wäre z.B. der Betriebsrat nicht nur für alle Datenverarbeitungen in seiner Sphäre zuständig und müsste gegenüber den Betroffenen die Informationspflichten erfüllen, sondern ihn würden sämtliche weiteren Organisationspflichten treffen.
Im Folgenden soll die Frage nach der datenschutzrechtlichen Einordnung der Stellung und Verantwortlichkeit des Betriebsrates näher erörtert werden.
Nach dem bisherigen Verständnis unter dem BDSG a.F. hatten das Bundesarbeitsgericht (BAG) und die herrschende Literaturmeinung den Betriebsrat nicht als eigene verantwortliche Stelle eingeordnet, sondern als Teil der verantwortlichen Stelle. Dies ließ sich aus dem Gesetzeswortlaut des § 2 Abs. 4 BDSG a.F. ableiten, da der Betriebsrat nicht in der dort genannten Auflistung erfasst war.
Doch mit Inkrafttreten der DSGVO stellt sich nunmehr die Frage, inwieweit diese Auffassung des BAG noch haltbar ist. Da der deutsche Gesetzgeber von der Möglichkeit, den Verantwortlichen ausdrücklich zu bestimmen, keinen Gebrauch gemacht hat, ist diese Frage nicht eindeutig zu beantworten. Teilweise wird in der Literatur vertreten, dass der Betriebsrat, gleichermaßen wie der Arbeitgeber selbst, nunmehr als eigener Verantwortlicher anzusehen sei. Dieser Auffassung schließen sich die Aufsichtsbehörden mehrheitlich an, allerdings ist eine Positionierung der DSK trotz interner Diskussion hierzu noch nicht ergangen.
Dem Wortlaut des Art. 4 Abs. 7 DSGVO folgend, bemisst sich die Frage nach der Einordnung des Betriebsrats als Verantwortlicher danach, ob der Betriebsrat über Zwecke und Mittel der Verarbeitung von Arbeitnehmerdaten entscheidet. So könnte sich der Betriebsrat unter dem Begriff „andere Stelle“ subsumieren lassen. Jedoch muss beachtet werden, dass sich der Betriebsrat hinsichtlich der Bestimmung der „Zwecke“ der Verarbeitung nur in den durch das Betriebsverfassungsgesetz und § 26 Abs. 1 BDSG gestreckten Grenzen bewegt, sodass dem Betriebsrat die Zwecke der Verarbeitung dadurch vorgegeben sind. Zwar hat der Betriebsrat die Möglichkeit diese Zwecke selbstständig auszugestalten, aber er kann diese nicht eigenständig über die gesetzlich vorgegebenen Grenzen hinaus erweitern. Der Mangel der Möglichkeit einer freien Zweckbestimmung durch die Betriebsräte führt bereits dazu, dass eine eigene Verantwortlichkeit i.S.d. Art. 4 Abs. 7 DSGVO nicht anzunehmen ist.
Auch hinsichtlich der Frage, ob der Betriebsrat eigenverantwortlich über die Mittel der Datenverarbeitung entscheidet, bestehen Bedenken. Üblicherweise hat der Betriebsrat hinsichtlich der Mittel wenig Entscheidungsspielraum, sondern nutzt die IT-Infrastruktur des Arbeitgebers. Selbst wenn der Betriebsrat eigene Mittel nutzen sollte, kommt diesem Umstand in Bezug auf die Einordnung als Verantwortlicher nur indizielle Bedeutung zu.
Soweit man den Betriebsrat allerdings auch unter der DSGVO als Teil des Verantwortlichen betrachtet, führt dies zu einem Spannungsverhältnis in Bezug auf die dem Betriebsrat nach dem Betriebsverfassungsgesetz (BetrVG) zugeschriebene Rolle. Nach der bisherigen Rechtsprechung des Bundesarbeitsgerichts kann der Datenschutzbeauftragte des Verantwortlichen keine Kontrollrechte gegenüber dem Betriebsrat und dessen Datenverarbeitungen ausüben, da dies mit dessen Rolle als unabhängiges und eigenständiges Organ kollidieren würde. Das BetrVG ging jedoch dem bisherigen deutschen Datenschutz nach § 1 Abs. 3 BDSG a.F. vor. Diese Rechtsprechung lässt sich seit dem 25.5.2018 aber nicht mehr aufrechterhalten, denn die Kontrollaufgaben des Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b DS-GVO gehen dem BetrVG nach Art. 288 Abs. 2 AEUV vor.
Allerdings kann das nicht die informationelle Unabhängigkeit des Betriebsrats aushebeln. Der Datenschutzbeauftragte hat eine gesetzliche Verpflichtung zur Verschwiegenheit und ist in Fragen des Datenschutzes gegenüber dem Arbeitgeber als Verantwortlichem weisungsfrei.
Welche Rechtsauffassung in Anbetracht der DSGVO nun von den Gerichten vertreten wird, bleibt abzuwarten, wobei dann auch die Frage der Haftung des Betriebsrats je nach Ausgang des Meinungsstreits zu diskutieren wäre.