Ist der Betriebsrat eine eigene verantwortliche Stelle?
Die Datenschutz-Grundverordnung (DSGVO) hat im Bereich des Beschäftigtendatenschutzes einiges Neue mit sich gebracht. Das betrifft auch und gerade den Betriebsrat (BR) und seine Verarbeitung von personenbezogenen Daten von Beschäftigten.
Denn nach früherem Recht etwa konnte das Betriebsverfassungsgesetz (BetrVG) Datenverarbeitungen im Sinne einer gesetzlichen Datenverarbeitungserlaubnis legitimieren, weil das alte Bundesdatenschutzgesetz (BDSG-alt) insofern nachrangig war.
Durch die DSGVO ist dies genau umgekehrt: Die DSGVO ist das vorrangige Gesetz, nicht mehr das BetrVG. Eine maßgebliche Frage ist daher nun auch, welche Rolle der Betriebsrat hat:
- Ist der BR weiterhin „nur“ Teil des Unternehmens, das allein der Verantwortliche ist – so im bisherigen Recht die überwiegende Meinung?
- Oder aber ist er durch die DSGVO zu einem eigenen datenschutzrechtlich Verantwortlichen geworden – mit allen Konsequenzen, also beispielsweise einer eigenen Haftung oder der Pflicht, einen eigenen Datenschutzbeauftragten (DSB) zu bestellen?
Rechtlicher Hintergrund
Nach BDSG-alt konnten nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein (§ 2 Abs. 4 BDSG-alt, § 3 Abs. 7 BDSG-alt).
Insofern war herrschende Meinung, dass der Betriebsrat datenschutzrechtlich „nur“ ein Teil des Verantwortlichen „Unternehmen“ sein konnte.
Die DSGVO definiert den datenschutzrechtlich Verantwortlichen anders (Art. 4 Nr. 7 DSGVO): Verantwortlicher ist danach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Es sind also ausdrücklich nunmehr auch „andere Stellen“ genannt. Insofern stellt sich die Frage, ob ein BR darunterfällt oder nicht.
Wie ist die Formulierung in Art. 4 DSGVO auszulegen?
Was der EU-Gesetzgeber genau unter „andere Stelle“ versteht, bleibt offen. Auch die Erwägungsgründe schweigen sich dazu aus. Insofern muss die Formulierung in Art. 4 Nr. 7 DSGVO europarechtlich ausgelegt werden.
So ließe sich etwa aufgrund der Formulierung „oder“ die Meinung vertreten, dass entweder eine juristische Person (Behörde oder Einrichtung) oder eine „andere Stelle“ verantwortliche Stelle sein kann, nicht aber beide.
Da der Arbeitgeber als Unternehmen Verantwortlicher ist und es keinen zweiten Verantwortlichen nach dieser Ansicht geben kann, fiele der BR als eigener Verantwortlicher weg.
Diese Ansicht übersieht aber einerseits, dass der Begriff „oder“ nur im Sinne einer Auflistung zu verstehen ist, also auch „und“ dort stehen könnte, andererseits, dass die DSGVO gerade auch „gemeinsam Verantwortliche“ kennt (Art. 26 DSGVO).
Entscheidet der BR allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung?
Ist man anderer Ansicht, stellt sich die Frage, ob der Betriebsrat „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Auch diese Formulierung darf nur – und zwar europäisch – datenschutzrechtlich verstanden werden, nicht etwa nach dem ohnehin nur nationalen und daher aus Sicht der DSGVO untergeordneten BetrVG.
Insofern ist es so, dass nach dem BetrVG der Unabhängigkeit des Betriebsrats eine hohe Bedeutung zukommt und er in deren Folge eigenständig arbeitet.
Einerseits sind dies aber nur nationale Vorgaben: Die DSGVO kennt weder einen BR noch dessen Unabhängigkeit. Andererseits ist es selbst nach deutschem Recht so, dass ein Betriebsrat keine eigene Rechtspersönlichkeit hat, sondern dessen Mitglieder stets Beschäftigte des Unternehmens sein müssen.
Die Datenverarbeitung erfolgt über die Infrastruktur des Unternehmens, nicht mit privaten Mitteln der BR-Mitglieder – und eine eigene Rechtspersönlichkeit weist der BR nicht auf.
Er kann somit zwangsläufig juristisch keine eigenen Mittel haben. Die Mittel der Datenverarbeitung stellt das Unternehmen.
Aber auch bei den Zwecken ist es nicht so, dass der Betriebsrat über diese frei entscheidet oder entscheiden dürfte. Denn er darf nur diejenige Datenverarbeitung durchführen, die erforderlich ist, um die Aufgaben, die ihm etwa das BetrVG überträgt, zu erfüllen (§ 26 Abs. 1 S. 1 Var. 2 BDSG).
So sieht das BetrVG eine Reihe von Pflichtaufgaben vor, die abschließend ist.
Was, wenn der BR doch ein eigener Verantwortlicher ist?
Sollte ein Betriebsrat datenschutzrechtlich doch als eigener Verantwortlicher angesehen werden, müsste er alle Anforderungen eines Verantwortlichen erfüllen.
Der wesentlichste Punkt wäre die Haftung: Es müsste zumindest die Möglichkeit bestehen, gegen den BR als Verantwortlichen Geldbußen nach Art. 83 DSGVO zu verhängen.
Hier stellt sich die Frage, womit der Betriebsrat haftet. Denn er verfügt über kein eigenes Vermögen, vielmehr nur innerhalb des BetrVG über eine Art Rechtspersönlichkeit für die dort genannten Fälle, nicht aber im Bereich des Datenschutzes.
Es stellt sich die Folgefrage, ob dann jedes BR-Mitglied eine eigene verantwortliche Stelle wäre und persönlich haften müsste? Oder wäre der Arbeitgeber Verantwortlicher? Was aber nicht sein kann, wenn der BR ein eigenständiger Verantwortlicher sein soll.
Der BR müsste zudem eigene Datenschutzhinweise erstellen und verantworten, u.U. eine Joint-Controller-Vereinbarung mit dem Arbeitgeber sowie eigene Verträge zur Auftragsverarbeitung mit etwaigen IT-Unternehmen abschließen, die die IT-Systeme betreiben (wohl auch mit dem Arbeitgeber, wenn dieser die IT-Infrastruktur für den BR bereitstellt), diese auditieren etc.
Ferner träfen den BR die vollen Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO. Er müsste sich vor Gericht verteidigen, eigene Prozesse führen usw.
All dies wäre schwierig, hat der BR doch außerhalb des BetrVG keine eigene Rechtspersönlichkeit.
Ferner müsste der BR einen eigenen DSB bestellen, wenn er zehn bzw. elf Mitglieder oder mehr zählt. Der DSB wird nicht aus den eigenen Reihen stammen dürfen, da dann eine Interessenkollision vorläge.
Jede Datenweitergabe vom Arbeitgeber an den Betriebsrat oder umgekehrt wäre zudem eine Übermittlung, für die eine Erlaubnis nach Art. 6 DSGVO i.V.m. Art. 88 Abs. 1, Abs. 2 i.V.m. § 26 BDSG vorliegen müsste.
Viele dieser Punkte muss ein Betriebsrat rein praktisch zwar auch umsetzen, wenn er nicht selbst Verantwortlicher ist, wie etwa für seine Datenverarbeitung ein Verarbeitungsverzeichnis erstellen oder die Daten rechtskonform sperren und löschen.
Dies erfolgt dann aber nur als Teil des Verantwortlichen „Unternehmen“, nicht als eigener datenschutzrechtlich Verantwortlicher.
Was tun?
Solange die Rolle des BR nach der DSGVO ungeklärt ist, ist zu empfehlen, selbst eine Lösung zu schaffen.
Entscheidend ist, dass Unternehmen und Betriebsrat zu einer Meinung gelangen und diese dann konsequent umsetzen. Eine entsprechende Festlegung ließe sich in einer freiwilligen Betriebsvereinbarung regeln, die um eine Reihe von praktischen Themen zur Zusammenarbeit und zum Datenaustausch ergänzt werden kann.
Man könnte etwa regeln, dass auch dann, wenn der Betriebsrat keine eigene verantwortliche Stelle ist, er für seine Datenverarbeitungen den Beschäftigten eigene „BR-Datenschutz-Hinweise“ zur Verfügung stellt oder sich um Betroffenenanfragen kümmert, die an ihn gerichtet sind.
So würde der BR bei diesen Themen weiterhin seine Eigenständigkeit wahren, aber als Teil des Unternehmens als Verantwortlichen handeln.
Zudem hätte man in einigen Punkten vorgesorgt, sollte am Ende doch entschieden werden, dass der Betriebsrat datenschutzrechtlich eigenständiger Verantwortlicher ist. Wichtig ist, sich dem Thema zu stellen und eine eigene Lösung zu schaffen.