Der Betriebsrat hat in Sachen Datenschutz bisher eine Sonderrolle eingenommen. Bevor die DSGVO in Kraft trat, hatte das Bundesarbeitsgericht entschieden, dass der Betriebsrat aufgrund seiner fehlenden Rechtsfähigkeit keine verantwortliche Stelle sei. Gleichwohl sei der Betriebsrat aber zur Einhaltung des Datenschutzrechts verpflichtet und müsse eigenständig Schutzmaßnahmen ergreifen (wir berichteten). Dazu, ob diese Bewertung auch unter der DSGVO weiter Bestand haben kann, herrscht jedoch Uneinigkeit. Über die Einordnung des Betriebsrats im Rahmen der DSGVO und praktische Erwägungen zur Umsetzung der Pflichten nach der DSGVO durch den Betriebsrat haben wir bereits ausführlich berichtet.
Das Bundeskabinett/die Bundesregierung hat Ende März den Regierungsentwurf zum Betriebsrätemodernisierungsgesetz verabschiedet.
Dieser Entwurf sieht unter anderem in einem neuen § 79a BetrVG vor, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften des Datenschutzes einzuhalten habe. Der Arbeitgeber sei Verantwortlicher im Sinne datenschutzrechtlicher Vorschriften, soweit der Betriebsrat zur Erfüllung seiner Aufgaben personenbezogene Daten verarbeite. Die anhaltende Diskussion darüber, ob Betriebsräte selbst datenschutzrechtlich Verantwortliche sind oder nicht, würde damit beendet.
Nach der Begründung der Regierung wird dabei von einer Öffnungsklausel in Art. 4 Nr. 7 der DSGVO Gebrauch gemacht, die es den Mitgliedstaaten ermöglicht, den Verantwortlichen zu bestimmen. In der Begründung wird darauf verwiesen, dass der Betriebsrat keine „nach außen rechtlich verselbständigte Institution“ und daher unselbständiger Teil des verantwortlichen Arbeitgeber sei. Mit dem Verweis auf die gegenseitige Unterstützungspflicht solle der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits Rechnung getragen werden.
Ohne dass es im Regierungsentwurf ausdrücklich erwähnt wird, versucht er die Rechtsprechung des Bundesarbeitsgerichtes umzusetzen, wie er es schon beim § 32 BDSG-alt und dessen identischer Übernahme in § 26 BDSG getan hat. Damals hatte der Paragraph eine Platzhalterfunktion für einen kodifizierten Beschäftigtendatenschutz. Eine Realisierung hat aber bis heute nicht stattgefunden.
So bleibt anzunehmen, dass auch diese Regelung länger bestehen bleibt.
Unklar bleibt bisher, wie der Betriebsrat seine datenschutzrechtlichen Pflichten umsetzen und die Betriebsparteien sich gegenseitig unterstützen sollen.
So kritisiert der Gesellschaft für Datenschutz und Datensicherheit e.V., dass weiter unklar bleibe, ob der Datenschutzbeauftragte des Verantwortlichen auch den Betriebsrat überwachen darf. Ebenso bleibe unklar, wie die gegenseitige Unterstützung aussehen könne und verweist auf den Persönlichkeitsschutz der Beschäftigten, die sich im Vertrauen an den Betriebsrat gewendet haben und deren Daten gegenüber dem Arbeitgeber möglicherweise offengelegt werden, wenn zum Beispiel der Arbeitgeber Auskunftsbegehren bearbeite, die sich auch auf Daten des Betriebsrats bezögen. Auch könne der Arbeitgeber darüber mittelbar Einsicht in die Betriebsratsarbeit erlangen.
Ähnlich kritisiert der Bitkom e.V. die Unklarheit der Aufgabenverteilung bzw. Verantwortlichkeitsregelung. So solle der Betriebsrat „eigenverantwortlich“ Pflichten der Datensicherheit umsetzen, wobei diese Pflichten aber nicht auf innerbetriebliche Einheiten delegiert werden könnten. Konsequent wäre dann die eigene Verantwortlichkeit des Betriebsrats.
Der Entwurf der Regierung hat mehr Fragen aufgeworfen als beantwortet. Immerhin scheint die Entscheidung gefallen zu sein, dass der Betriebsrat kein Verantwortlicher im Sinne der DSGVO ist. Die daraus entstehenden Umsetzungsschwierigkeiten beginnen damit aber erst. Es wird ein Spannungsverhältnis zwischen Arbeitgeber und Betriebsrat aufgebaut, welches sich ohne klare Regeln nicht auflösen lassen wird. Folgende Beispiele drängen sich geradezu auf:
Verzeichnis für Verarbeitungstätigkeiten nach Art. 30 DSGVO
Nach der Regierungsbegründung hat der Arbeitgeber dieses zu führen. Unklar bleibt aber, wie genau die eigenständigen Verarbeitungstätigkeiten ihren Weg in das Verzeichnis finden und aktuell gehalten werden sollen. Bei Unvollständigkeit des Verzeichnisses können Bußgeldbescheide der Aufsichtsbehörde drohen, sodass die Erstellung des Verzeichnisses im Interesse des Arbeitgebers liegt, der dabei auf Informationen des Betriebsrats angewiesen ist. Wer entscheidet also, wenn Arbeitgeber und Betriebsrat über den Prozess der Erstellung uneinig sind?
Verpflichtung zur Datenlöschung aus Art. 17 DSGVO
Der Arbeitgeber ist Verantwortlicher und muss demnach nach Art. 24 DSGVO sicherstellen, dass die Datenverarbeitung datenschutzkonform erfolgt. Hier hatte bereits das BAG dem Betriebsrat eine eigene Verantwortlichkeit im Rahmen der technischen und organisatorischen Maßnahmen zugewiesen, die auch von der Aufsichtsbehörde geprüft werden kann. Bei wem liegt also nun die Verantwortlichkeit für die technischen und organisatorischen Maßnahmen?
Datenpanne nach Art. 33 DSGVO
Eine andere praktische Frage stellt sich, wenn sich in der Sphäre des Betriebsrats eine Datenpanne nach Art. 33 DSGVO ereignet. Ebenso bestehen hier eigenständige Verpflichtungen des Betriebsrats, diese zu erkennen und schnellstmöglich dem Arbeitgeber mitzuteilen, damit dieser wiederum innerhalb von 72 Stunden die Datenpanne melden kann. Andernfalls kann auch hier die Aufsichtsbehörde gegen die Betriebsparteien tätig werden.
Auskunftsrecht nach Art. 15 DSGVO
Auch bei einer Auskunft einer betroffenen Person, werden die Betriebsparteien aufeinander angewiesen sein. Damit der Arbeitgeber als Verantwortlicher vollständig beauskunften kann, ist er darauf angewiesen, dass der Betriebsrat ihm die erforderlichen Angaben zur Verfügung stellt. Wie aber soll die Vertraulichkeit der Beschäftigten sichergestellt werden, die möglicherweise Angaben gemacht haben, die nur der Betriebsrat sehen soll?
So kann man zahllose weitere praktische Umsetzungsfragen aufwerfen, die zu mehr Unsicherheit führen. Es bleibt abzuwarten und zu wünschen, dass im Gesetzgebungsverfahren von Bundestag und Bundesrat auf diese Problematiken eingegangen und vielleicht sogar gelöst wird.
Anonymous
9. Juni 2021 @ 11:32
Es gibt auch Betriebsräte, die aus Unwissenheit oder sogar mit Absicht ihre Zugriffsrechte auf Mitarbeiterdaten mißbrauchen. Insofern ist eine konsequente Anwendung der DSGVO – ganz besonders die Pflicht zu Transparenz und Auskunft gegenüber den Betroffenen – durch Arbeitnehmervertretungen beleibe keine ausgefallene Forderung.
anonymous
1. Juni 2021 @ 11:54
Bei Whistleblowing und Betriebsärzten sehe ich keine Probleme.
Der Gesetzgeber hat also alles Verschlimmbessert. Toll.
Jetzt ist es noch unklarer als vorher. Der DSB steht alleine dar.
K. Strasser
26. Mai 2021 @ 15:35
Ähnliche Vertrauensfragen stellen sich für die Whistleblower-Hotline (Compliance-Ombudsmann) und angestellte Betriebsärzte, welche die Unternehmens-IT nutzen.