Beschäftigtendatenschutz

Die Rolle des Betriebsrats

EU Datenschutz
Quelle: © bluedesign / Foto Dollar Club

Die neue Datenschutzverordnung lässt den Betriebsrat nicht ruhen. Im Fokus steht die Frage, ob das Gremium neuerdings datenschutzrechtlich als Teil des Betriebs oder in Eigenregie verantwortlich ist. Erste Arbeitgeber plädieren für »eigenständig« und weigern sich, Betriebsräten Beschäftigtendaten zu übermitteln. Prof. Dr. Peter Wedde klärt auf.

1. Worum geht es eigentlich?

Für die Einhaltung und Sicherstellung der datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist der in Art. 4 Nr. 7 DSGVO definierte »Verantwortliche« zuständig. Dies kann nach dem Wortlaut der Vorschrift neben einer »natürlichen« oder »juristischen Person« auch eine »andere Stelle« sein, die über »Zwecke und Mittel der Verarbeitung« entscheidet.

Betriebsräte sollen die notwendige eigenständige Entscheidungsbefugnis insbesondere deshalb haben, weil sie nach der Rechtsprechung des BAG zum Schutz ihrer Unabhängigkeit nicht der Kontrolle des (einseitig vom Arbeitgeber eingesetzten) betrieblichen Datenschutzbeauftragten unterliegen.

2. Welche Konsequenzen hätte eine solche Einordnung?

Wären Betriebsräte »Verantwortliche« nach Art. 4 Nr. 7 DSGVO, müssten sie beispielsweise die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgeführten Grundsätze, etwa zur Datenminimierung, eigenständig sicherstellen und im Streitfall auch beweisen können. Weiterhin wären sie nach den Regeln in den Art. 12 ff. DSGVO gegenüber den einzelnen Beschäftigten etwa zur Erteilung von individuellen Auskünften über vorhandene Daten verpflichtet.

Gremien mit mehr als neun Mitgliedern müssten einen eigenen Datenschutzbeauftragten bestellen. Verstöße gegen datenschutzrechtliche Vorgaben könnten mit Geldbußen belegt werden, die statt des »vermögenslosen« Betriebsrats allerdings letztlich der Arbeitgeber zahlen müsste.

3. Wie bewerten Sie die Situation?

Eine juristische »Auftrennung« von Betrieb und Betriebsrat stand bisher nicht ernsthaft zur Diskussion. Für den datenschutzrechtlichen Bereich hat das Bundesarbeitsgericht (BAG) hingegen am 7.2.2012 (1 ABR 46/10) ausdrücklich festgestellt, dass der Betriebsrat zum Betrieb gehört und damit »Teil der verantwortlichen Stelle« ist. In der DSGVO steht einer eigenständigen »Verantwortlichkeit« des Betriebsrats bereits der Wortlaut der Definition in Art. 4 Nr. 7 DSGVO entgegen. Voraussetzung der Verantwortlichkeit ist hiernach die Entscheidungsmöglichkeit sowohl über die Zwecke als auch über die Mittel einer Verarbeitung.

Beide Voraussetzungen erfüllen Betriebsräte nicht: Betriebsräte entscheiden nicht eigenständig über die technischen Mittel einer Verarbeitung, denn sie könnnen nur im Einzelfall vom Arbeitgeber den erforderlichen Sachaufwand verlangen (§ 40 Abs. 2 BetrVG). Die Rechtsprechung verweist hier Betriebsräte regelmäßig auf die Nutzung der im Betrieb verwendeten Informations- und Kommunikationstechnik. Für welche Zwecke Betriebsräte Beschäftigtendaten zulässigerweise verarbeiten dürfen, legt das Betriebsverfassungsgesetz (BetrVG) fest und nicht Betriebsräte. Sie dürfen Beschäftigtendaten nur zur Erledigung der ihnen durch das BetrVG vorgegebenen Aufgaben verarbeiten.

4. Was raten Sie Betriebsräten?

Das neue Datenschutzrecht muss auch von Betriebsräten beachtet werden. Sie müssen deshalb ihre internen Arbeitsprozesse überprüfen und ggf. mit Blick auf einschlägige datenschutzrechtliche Vorgaben neu strukturieren.

Die streitige Frage der Verantwortlichkeit lässt sich allerdings nicht dadurch klären, dass Betriebsräte sich zur Vermeidung einer »eigenständigen Verantwortlichkeit« der Kontrolle des betrieblichen Datenschutzbeauftragten unterwerfen. Das schlagen arbeitgebernahe Datenschutzexperten vor.

Dieser Weg ist ist ebenso ungeeignet wie die Idee, eine datenschutzrechtliche »Einordnung« des Betriebsrats in die betrieblichen Datenschutzstrukturen per Betriebsvereinbarung festschreiben, die zugleich die Festlegung enthält, ausschließlich die internen Möglichkeiten zu nutzen, die letztlich allein der Arbeitgeber vorgibt. Derartige Gestaltungen sind schon deshalb ungeeignet, weil sie die gesetzlich garantierte Unabhängigkeit von Betriebsräten gefährden.

© bund-verlag.de (ck)

Im Gespräch mit

Wedde_Peter_klein

Dr. Peter Wedde

Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences und wissenschaftlicher Leiter des Instituts für Datenschutz, Arbeitsrecht und Technologieberatung in Eppstein.
AiB-Banner Viertel Quadratisch - Anzeige -

Das könnte Sie auch interessieren

Lieferkette Produktion Transport Logistik supply chain
Lieferkettengesetz - Aktuelles

Europäisches Lieferkettengesetz kommt

Brille Tastatur Computer Bildschirmarbeit
Gesundheitsschutz - Aus den Fachzeitschriften

7 Fragen zur Bildschirmbrille