Der Betriebsrat wacht darüber, dass Tarifverträge, Verordnungen, Gesetze und Betriebsvereinbarungen eingehalten werden. Er stellt also eine Art Bindeglied zwischen Arbeitgeber und Arbeitnehmer dar. Seine Stellung ist auch gesetzlich verankert (bspw. „Mitbestimmungsrecht“ nach § 87 BetrVG). Doch nicht immer ergibt sich eindeutig aus dem Gesetz, ob und wie der Betriebsrat an aktuellen Verfahren zu beteiligen ist. Ein Beispiel ist die Beteiligung des Betriebsrates bei einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO. Der nachfolgende Beitrag soll Aufschluss darüber geben, ob bezüglich der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 9 DSGVO stets der Standpunkt des Betriebsrates eingeholt werden muss.

Mögliche Einholung des Standpunktes des Betriebsrates gem. Art. 35 Abs. 9 DSGVO

Dass der Betriebsrat bei einer Datenschutz Folgenabschätzung mit involviert werden kann, ergibt sich bereits aus dem Wortlaut des. Art. 35 Abs. 9 DSGVO. Dieser besagt nämlich Folgendes:

„Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“

Der Betriebsrat fällt somit eindeutig unter den Begriff des Vertreters der betroffenen Personen im Sinne des Art. 35 Abs. 9 DSGVO.

Keine Verpflichtung zur Einholung des Standpunktes des Betriebsrates aus Art. 35 Abs. 9 DSGVO

Die spannende Frage ist jedoch, ob der Standpunkt des Vertreters – also des Betriebsrates – stets, also immer eingeholt werden muss. Der Wortlaut des Art. 35 Abs. 9 DSGVO gibt hierauf keine klare Antwort. Denn durch die Formulierung „Der Verantwortliche holt gegebenenfalls den Standpunkt […] ein“ wird deutlich, dass die Beteiligung des Betriebsrates nur unter gewissen Umständen – also gegebenenfalls – erforderlich ist. Dem Verantwortlichen – also dem Arbeitgeber – steht folglich ein gewisser Ermessensspielraum zu, ob er den Standpunkt des Betriebsrates bei der Datenschutz-Folgenabschätzung einholt oder nicht.

Den Ermessenspielraum, der durch den Gesetzgeber dem Verantwortlichen gegeben wurde, ist darüber hinaus auch nicht willkürlich gewählt. Dies ergibt sich z.B. aus dem Vergleich mit dem Wortlaut aus Art. 35 Abs. 2 DSGVO. Dort hat der Gesetzgeber die Beteiligung des Datenschutzbeauftragten wie folgt normiert:

„Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“

Durch den Wegfall des Adverbs „gegebenenfalls“ ordnet der Gesetzgeber eindeutig an, dass der Rat des Datenschutzbeauftragten vom Verantwortlichen bei einer Datenschutz-Folgenabschätzung zwingend eingeholt werden muss.

Auch die Aufsichtsbehörden haben dazu keine gegenteilige Ansicht und sehen im Wort „gegebenenfalls“ keinen Fehler seitens des Gesetzgebers.

Korrekte Ausübung des Ermessens

Da nun feststeht, dass dem Arbeitgeber ein Ermessensspielraum hinsichtlich der Einholung des Standpunktes des Betriebsrates bei der Datenschutz-Folgenabschätzung zusteht, soll nun dargestellt werden, wie der Arbeitgeber in diesen Fällen sein Ermessen korrekt ausüben kann:

Zunächst sollte der Arbeitgeber sein Ermessen pflichtgemäß ausüben. Das bedeutet konkret, dass ihm kein Ermessensfehler (Ermessensnichtgebrauch, Ermessensüberschreitung und Ermessensfehlgebrauch) unterlaufen darf.

Des Weiteren muss der Arbeitgeber seine Entscheidung über die fehlende Einholung des Standpunktes des Betriebsrates bei der Datenschutz-Folgenabschätzung ausreichend begründen können. D.h. dass der Arbeitgeber fundierte Gründe nachweisen muss, aus denen sich logisch und nachvollziehbar ergibt, warum der Betriebsrat bei einer bestimmten Datenschutz-Folgenabschätzung nicht beteiligt ist.

Ferner muss die Entscheidung des Arbeitgebers, den Betriebsrat nicht zu beteiligen, verhältnismäßig sein. Das bedeutet, dass der Arbeitgeber den Betriebsrat bspw. nur nicht an der Datenschutz-Folgenabschätzung beteiligt, weil er keine Kritik am Verfahren, für welches die Datenschutz-Folgenabschätzung durchgeführt wird, seitens des Betriebsrates hören möchte. Es sollten weitaus gewichtigere Gründe vorliegen, als rein subjektive Gründe. Bei Verfahren welche eine ständige Beteiligung des Betriebsrates voraussetzen, wie z.B. durch das Mitbestimmungsrecht nach § 87 BetrVG, kann eine zusätzliche Beteiligung des Betriebsrates bei der Datenschutz-Folgenabschätzung deshalb nicht mehr erforderlich sein, da der Betriebsrat während der Etablierung des Verfahrens bereits ausreichend über sämtliche datenschutzrechtliche Risiken aufgeklärt wurde. Folglich konnte er schon vor Durchführung der Datenschutz-Folgenabschätzung seine Bedenken äußern und damit auch seine Rechte als Interessensvertretung der Arbeitnehmer ausreichend wahrnehmen.

Zuletzt sollte die begründete Ermessensentscheidung ausreichend dokumentiert werden. Denn ein möglicher Verstoß ist bußgeldbehaftet (vgl. Art. 83 Abs. 4 lit. a) DSGVO). Der Arbeitgeber sollte also seine Entscheidungsgründe schriftlich dokumentieren und diese bei den Unterlagen zur Datenschutz-Folgenabschätzung mit ablegen, sodass er seine Entscheidung gegenüber den Aufsichtsbehörden stets nachweisen kann.

Fazit

Trotz des umfassenden Mitsprache- und Kontrollrechts des Betriebsrates muss dieser nicht bei jedem Verfahren beteiligt werden. Das zeigt sich anhand von Art. 35 Abs. 9 DSGVO. Bei einer Nichtbeteiligung sollten aber dennoch die Entscheidungsgründe von dem Verantwortlichen schriftlich dokumentiert werden, sodass im Falle einer Kontrolle nachgewiesen werden kann, dass die Entscheidung darüber den Betriebsrat in diesem bestimmten Fall nicht miteinzubeziehen, nicht willkürlich getroffen wurde, sondern dass die Entscheidung erst nach erfolgter Abwägung und Beachtung der Verhältnismäßigkeit getroffen wurde.