Der Betriebsrat wacht darüber, dass Tarifverträge, Verordnungen, Gesetze und Betriebsvereinbarungen eingehalten werden. Er stellt also eine Art Bindeglied zwischen Arbeitgeber und Arbeitnehmer dar. Seine Stellung ist auch gesetzlich verankert (bspw. „Mitbestimmungsrecht“ nach § 87 BetrVG). Doch nicht immer ergibt sich eindeutig aus dem Gesetz, ob und wie der Betriebsrat an aktuellen Verfahren zu beteiligen ist. Ein Beispiel ist die Beteiligung des Betriebsrates bei einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO. Der nachfolgende Beitrag soll Aufschluss darüber geben, ob bezüglich der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 9 DSGVO stets der Standpunkt des Betriebsrates eingeholt werden muss.
Mögliche Einholung des Standpunktes des Betriebsrates gem. Art. 35 Abs. 9 DSGVO
Dass der Betriebsrat bei einer Datenschutz Folgenabschätzung mit involviert werden kann, ergibt sich bereits aus dem Wortlaut des. Art. 35 Abs. 9 DSGVO. Dieser besagt nämlich Folgendes:
„Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“
Der Betriebsrat fällt somit eindeutig unter den Begriff des Vertreters der betroffenen Personen im Sinne des Art. 35 Abs. 9 DSGVO.
Keine Verpflichtung zur Einholung des Standpunktes des Betriebsrates aus Art. 35 Abs. 9 DSGVO
Die spannende Frage ist jedoch, ob der Standpunkt des Vertreters – also des Betriebsrates – stets, also immer eingeholt werden muss. Der Wortlaut des Art. 35 Abs. 9 DSGVO gibt hierauf keine klare Antwort. Denn durch die Formulierung „Der Verantwortliche holt gegebenenfalls den Standpunkt […] ein“ wird deutlich, dass die Beteiligung des Betriebsrates nur unter gewissen Umständen – also gegebenenfalls – erforderlich ist. Dem Verantwortlichen – also dem Arbeitgeber – steht folglich ein gewisser Ermessensspielraum zu, ob er den Standpunkt des Betriebsrates bei der Datenschutz-Folgenabschätzung einholt oder nicht.
Den Ermessenspielraum, der durch den Gesetzgeber dem Verantwortlichen gegeben wurde, ist darüber hinaus auch nicht willkürlich gewählt. Dies ergibt sich z.B. aus dem Vergleich mit dem Wortlaut aus Art. 35 Abs. 2 DSGVO. Dort hat der Gesetzgeber die Beteiligung des Datenschutzbeauftragten wie folgt normiert:
„Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
Durch den Wegfall des Adverbs „gegebenenfalls“ ordnet der Gesetzgeber eindeutig an, dass der Rat des Datenschutzbeauftragten vom Verantwortlichen bei einer Datenschutz-Folgenabschätzung zwingend eingeholt werden muss.
Auch die Aufsichtsbehörden haben dazu keine gegenteilige Ansicht und sehen im Wort „gegebenenfalls“ keinen Fehler seitens des Gesetzgebers.
Korrekte Ausübung des Ermessens
Da nun feststeht, dass dem Arbeitgeber ein Ermessensspielraum hinsichtlich der Einholung des Standpunktes des Betriebsrates bei der Datenschutz-Folgenabschätzung zusteht, soll nun dargestellt werden, wie der Arbeitgeber in diesen Fällen sein Ermessen korrekt ausüben kann:
Zunächst sollte der Arbeitgeber sein Ermessen pflichtgemäß ausüben. Das bedeutet konkret, dass ihm kein Ermessensfehler (Ermessensnichtgebrauch, Ermessensüberschreitung und Ermessensfehlgebrauch) unterlaufen darf.
Des Weiteren muss der Arbeitgeber seine Entscheidung über die fehlende Einholung des Standpunktes des Betriebsrates bei der Datenschutz-Folgenabschätzung ausreichend begründen können. D.h. dass der Arbeitgeber fundierte Gründe nachweisen muss, aus denen sich logisch und nachvollziehbar ergibt, warum der Betriebsrat bei einer bestimmten Datenschutz-Folgenabschätzung nicht beteiligt ist.
Ferner muss die Entscheidung des Arbeitgebers, den Betriebsrat nicht zu beteiligen, verhältnismäßig sein. Das bedeutet, dass der Arbeitgeber den Betriebsrat bspw. nur nicht an der Datenschutz-Folgenabschätzung beteiligt, weil er keine Kritik am Verfahren, für welches die Datenschutz-Folgenabschätzung durchgeführt wird, seitens des Betriebsrates hören möchte. Es sollten weitaus gewichtigere Gründe vorliegen, als rein subjektive Gründe. Bei Verfahren welche eine ständige Beteiligung des Betriebsrates voraussetzen, wie z.B. durch das Mitbestimmungsrecht nach § 87 BetrVG, kann eine zusätzliche Beteiligung des Betriebsrates bei der Datenschutz-Folgenabschätzung deshalb nicht mehr erforderlich sein, da der Betriebsrat während der Etablierung des Verfahrens bereits ausreichend über sämtliche datenschutzrechtliche Risiken aufgeklärt wurde. Folglich konnte er schon vor Durchführung der Datenschutz-Folgenabschätzung seine Bedenken äußern und damit auch seine Rechte als Interessensvertretung der Arbeitnehmer ausreichend wahrnehmen.
Zuletzt sollte die begründete Ermessensentscheidung ausreichend dokumentiert werden. Denn ein möglicher Verstoß ist bußgeldbehaftet (vgl. Art. 83 Abs. 4 lit. a) DSGVO). Der Arbeitgeber sollte also seine Entscheidungsgründe schriftlich dokumentieren und diese bei den Unterlagen zur Datenschutz-Folgenabschätzung mit ablegen, sodass er seine Entscheidung gegenüber den Aufsichtsbehörden stets nachweisen kann.
Fazit
Trotz des umfassenden Mitsprache- und Kontrollrechts des Betriebsrates muss dieser nicht bei jedem Verfahren beteiligt werden. Das zeigt sich anhand von Art. 35 Abs. 9 DSGVO. Bei einer Nichtbeteiligung sollten aber dennoch die Entscheidungsgründe von dem Verantwortlichen schriftlich dokumentiert werden, sodass im Falle einer Kontrolle nachgewiesen werden kann, dass die Entscheidung darüber den Betriebsrat in diesem bestimmten Fall nicht miteinzubeziehen, nicht willkürlich getroffen wurde, sondern dass die Entscheidung erst nach erfolgter Abwägung und Beachtung der Verhältnismäßigkeit getroffen wurde.
JS
12. Januar 2024 @ 17:01
Es erscheint mir datenschutzrechtlich aus zwei Gründen verfehlt, auf die korrekte Ermessenausübung des Arbeitgebers abzustellen. (i) Die angesprochene Ermessenslehre beruht auf deutscher Verwaltungsrechtsdogmatik und ist dem EU-Recht in dieser Form fremd. (ii) Die Anwendung verkennt, dass es sich um ein Privatsubjekt handelt, die Ermessenslehre aber zur Beurteilung staatlichen Verhaltens entwickelt wurde. Die Anwendung würde zur unverhältnismäßigen Einschränkung des Weisungsrechts des Arbeitgebers und somit von dessen Berufsausübungsfreiheit führen.
Im Ergebnis stimme ich jedoch zu.
MC DSGVO
28. Dezember 2023 @ 11:25
Systeme für die ich eine DSFA brauche haben in der Regel etwas mit Leistungs- und Verhaltenskontrolle und Berechtigungen zu tun. Mir fällt da kaum ein Anwendungsfall ein, bei dem die Personalvertretung nicht über das BVG oder das MVG zu involvieren wäre.