Der Betriebsrat – Verantwortlicher gemäß DSGVO?

Im Diskurs: die Verantwortlichkeit des Betriebsrates laut DSGVO

Seit geraumer Zeit diskutieren Experten innerhalb und außerhalb der Aufsichtsbehörden, ob der Betriebsrat auch nach der DSGVO weiterhin als Teil des Verantwortlichen oder ob er nun als eigenständig Verantwortlicher zu sehen ist. Als Datenschutzbeauftragter der BREDEX GmbH bin ich gespannt, wie diese Diskussion ausgehen wird. Denn dieser Schwebezustand ist für die Arbeit jedes Datenschutzbeauftragten kaum tragbar. Für Kunden noch weniger. Um handlungsfähig zu bleiben, muss deshalb eine praktikable Lösung her – und zwar jetzt.

Der Betriebsrat – Verantwortlicher gemäß DSGVO?

Vor dem 25. Mai 2018 galt der Betriebsrat einhellig als Teil der verantwortlichen Stelle. Der betriebliche Datenschutzbeauftragte hatte den Betriebsrat nicht zu kontrollieren. Dennoch war die verantwortliche Stelle für den Datenschutz verantwortlich. Mit dem außer Kraft treten des BDSG aF hat sich die Rechtslage geändert. Als unmittelbar geltendes Recht gibt nun die EU Datenschutz-Grundverordnung (DSGVO) folgendes vor: Neben natürlichen oder juristischen Personen (…) kann jetzt auch eine „andere Stelle" Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sein. Dies kann sich diese „andere Stelle" nicht aussuchen. Sie muss akzeptieren, dass sie Verantwortlicher ist, falls sie „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung [...] entscheidet" (Art. 4 Nr. 7 DSGVO). Doch soll hier weder eine juristische Auseinandersetzung über die Unterschiede von Art. 2 lit. d DSRL und § 3 Abs. 7 BDSG aF geführt werden noch soll gemutmaßt werden, ob und in welchem Umfang die bisherige Rechtsprechung weiterhin Bestand haben wird.

Arbeitgeber und Betriebsrat – gemeinsame Verantwortlichkeit

Der Betriebsrat erfüllt wichtige Aufgaben im Unternehmen. Diese sind durch das Betriebsverfassungsgesetz (BetrVG) vorgegeben oder ermöglicht. Das BetrVG erlegt dem Arbeitgeber und dem Betriebsrat Rechte und Pflichten auf. Beide verarbeiten eine erhebliche Menge sensibler, personenbezogener Daten. Beide Parteien können zudem durch Betriebsvereinbarungen gemeinsam entscheiden, wie und wozu in verschiedensten Fällen im Unternehmen u. a. personenbezogene Daten der Arbeitnehmer verarbeitet werden sollen.

Der Betriebsrat handelt als Interessenvertretung der Arbeitnehmer weisungsfrei und folglich als eigenständiges Gegenüber zum Arbeitgeber. Durch Betriebsvereinbarungen entscheiden demnach Arbeitgeber und Betriebsrat unter Umständen gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Damit wird regelmäßig das Kriterium der gemeinsamen Verantwortlichkeit erfüllt sein (Art. 26 Abs. 1 Satz 1 DSGVO): „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche." Der Betriebsrat ist neben dem Arbeitgeber hier offensichtlich eine "andere Stelle" mit eigenständiger Entscheidungskompetenz und übt diese durch das Schließen von Betriebsvereinbarungen tatsächlich aus.

Zum besseren Verständnis: Zwei oder mehr Verantwortliche (wie hier Arbeitgeber und Betriebsrat) können nicht wählen, ob sie gemeinsam verantwortlich sein wollen. Entscheiden sie gemeinsam über Zwecke und Mittel der Verarbeitung, dann sind sie gemeinsam verantwortlich, ob sie es wollen oder nicht. Des Weiteren: Schließen sie keine Vereinbarung gemäß Art. 26 DSGVO, dann drohen ihnen (beiden) Bußgelder der Aufsichtsbehörden gemäß Art. 83 Abs. 4 lit. a DSGVO.

Betrieblicher DSB kann Tätigkeit auf Betriebsrat ausdehnen

Als gemeinsam Verantwortliche müssen Arbeitgeber und Betriebsrat in einer Vereinbarung transparent festlegen, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt (Art. 26 Abs. 1 Satz 2 DSGVO). Eine große Chance, denn beide können dadurch ihre Zusammenarbeit im eigenen Interesse und dem der betroffenen Personen optimieren (z.B. durch die Regelung, wer die Informationspflichten gemäß Art. 13, 14 DSGVO gegenüber den Arbeitnehmern erfüllt). Die neue, durch die DSGVO gegenüber dem BDSG aF klarer definierte Stellung des Datenschutzbeauftragten (DSB) ermöglicht unserer Ansicht nach auch die Benennung eines gemeinsamen DSB für Arbeitgeber und Betriebsrat. Die Weisungsfreiheit des DSB zusammen mit seiner nun ausschließlich beratenden, überwachenden Tätigkeit und Verschwiegenheitspflicht ermöglichen dem betrieblichen DSB seine Tätigkeit auf den Betriebsrat auszudehnen, ohne die Unabhängigkeit des Betriebsrats zu gefährden. Nicht zuletzt verfolgen Betriebsrat und DSB beim Schutz von Arbeitnehmerinteressen durchaus gemeinsame Ziele.

Eine neue Sicht

Als Datenschutzbeauftragtem der BREDEX ist mir bewusst, dass wir mit unserer Anwendung des aktuellen Datenschutzrechts wahrscheinlich eine neue Sicht in die allgemeine Diskussion über die datenschutzrechtliche Verantwortlichkeit von Betriebsräten einbringen. Wir würden uns freuen, wenn wir so einen Beitrag zur Klärung der Rechtslage leisten können. Unabhängig davon bieten wir unseren Kunden durch unsere Beratung weiterhin die nötige Sicherheit.

Michael Beier,
Datenschutzbeauftragter der BREDEX GmbH

Kontakt-Icon