Der Arbeitgeber ist verantwortlich!

Der Bundesrat hat am 28.5.2021 das Betriebsrätemodernisierungsgesetz gebilligt. Das Gesetz sieht diverse Änderungen im Betriebsverfassungsgesetz (BetrVG) vor, u.a. soll dort auch ein völlig neuer Paragraf zum Datenschutz eingefügt werden: Der neue § 79a BetrVG.

Bislang war umstritten, wer im Sinne der europäischen Datenschutz-Grundverordnung (DSGVO) Verantwortlicher ist. Nach Art. 4 Nr. 7 DSGVO ist das die Stelle, die »über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet«. Einige Jurist:innen vertraten bisher die Ansicht, der Betriebsrat sei selbst »Verantwortlicher«. Dahinter stand die Überlegung, dass so Konflikte zwischen Betriebsrat und Arbeitgeber wegen der Datenverarbeitung vermieden würden und der Arbeitgeber von Pflichten und eventuell gar von Sanktionen im Fall von Verstößen, auf die er keinen Einfluss nehmen konnte, verschont wird. Die meisten Expert:innen waren aber schon bisher der Ansicht, dass der Betriebsrat als Teil des Arbeitgebers nur eine abgeleitete Verantwortung hat.

Mitunter wird die Frage aufgeworfen, ob der deutsche Gesetzgeber überhaupt entscheiden kann, wer im Sinne der DSGVO »verantwortlich« ist, da es sich bei der DSGVO um Europarecht handelt. Artikel 4 Nr. 7 DSGVO sieht allerdings gerade vor, dass Konkretisierungen zur Verantwortlichkeit durch die Mitgliedstaaten geregelt werden können. Von dieser Spezifizierungsmöglichkeit macht der deutsche Gesetzgeber mit § 79a BetrVG Gebrauch.

Was ändert sich jetzt?

Die Gesetzesbegründung verweist auf die »innerorganisatorische Selbständigkeit und Weisungsfreiheit des Betriebsrats« und erklärt, dass Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen sind. Wer nun welche datenschutzrechtlichen Anforderungen zu erfüllen hat, geht daraus nicht hervor.

Die Stellung des Arbeitgebers als Verantwortlicher hat datenschutzrechtlich u.a. zur Folge, dass der Arbeitgeber das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führt. Das ist insoweit unproblematisch, als dass der Betriebsrat das Verzeichnis erstellen und dem Arbeitgeber zur Verfügung stellen kann. Ein solches Vorgehen berührt die Unabhängigkeit des Gremiums auch nicht, da hier nur formale sowie technisch-organisatorische Angaben aufzunehmen sind.

Die Wahrnehmung der Betroffenenrechte, etwa des Auskunftsrechts, stellt auch kein Problem in der Praxis dar: Diese Aufgabe wird durch die Unabhängigkeit des Betriebsrats quasi per Gesetz an den Betriebsrat delegiert. Entsprechendes gilt auch für die Umsetzung der technischen und organisatorischen Maßnahmen (Art. 24, 32 DSGVO). Dem Betriebsrat sind gemäß § 40 Abs. 2 BetrVG die hierfür notwendigen Mittel zur Verfügung zu stellen. Auch die Inanspruchnahme der Beratung durch den Datenschutzbeauftragten tangiert die Unabhängigkeit des Betriebsrats nicht (Art. 39 Abs. 1 a), c), e) DSGVO).

Gibt es nun ein Kontrollrecht des DSB?

Problematisch ist aber, wenn dem Datenschutzbeauftragten (DSB) ein umfassendes Kontrollrecht gegenüber der Datenverarbeitung des Betriebsrats zugestanden wird. Die Begründung des Regierungsentwurfs zu § 79a BetrVG verweist generell auf die Art. 38, 39 DSGVO. Gemäß Art. 39 Abs. 1 b) und c) DSGVO obliegt dem Datenschutzbeauftragten die »Überwachung der Einhaltung« der Datenschutzvorschriften. (...)

Weiterlesen?

Den vollständigen Beitrag von Thilo Weichert lesen Sie in »Computer und Arbeit« 7-8/2021.

© bund-verlag.de (ct)