Hintergrund
Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Bestimmung des datenschutzrechtlichen Verantwortlichen in einer Verarbeitung, an der mehrere Stellen beteiligt sind, ist zunächst der entscheidende Ausgangspunkt für jede datenschutzrechtliche Beratung.
Den Verantwortlichen treffen eine Vielzahl von Rechten und Pflichten: die Erfüllung von Informationspflichten (Art. 13, 14 DSGVO), die Erfüllung der Betroffenenrechte (Art. 15 ff. DSGVO), die Dokumentation der Verarbeitungstätigkeiten (Art. 30 DSGVO), das Vorhalten geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) oder auch die Meldung der Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO).
Seit Gültigkeit der DSGVO war umstritten, ob der Betriebsrat neben dem Arbeitgeber ebenfalls datenschutzrechtlich verantwortlich ist für die Verarbeitung personenbezogener Daten, die ihm zugänglich gemacht werden. Das Bundesarbeitsgericht hat diese Rechtsfrage in zwei Beschlüssen aus dem Jahr 2019 ausdrücklich offengelassen (BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17 sowie BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17). Vereinzelt hatten Landesarbeitsgerichte zuvor eine eigene Verantwortlichkeit des Betriebsrats angenommen (LAG Mecklenburg-Vorpommern, Beschluss vom 15.5.2019 – 3 TaBV 10/18; LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17).
Durch das am 16. Juni 2021 in Kraft getretene Betriebsrätemodernisierungsgesetz hat der Bundesgesetzgeber diese Frage nun scheinbar beantwortet. Nach § 79a S. 2 BetrVG ist der Arbeitgeber verantwortlich, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.
Einordnung
Nach § 79a S.1 BetrVG muss der Betriebsrat bei der Verarbeitung personenbezogener Daten den Datenschutz einhalten. Dies hat auch das BAG (Beschl. v. 7.5.2019 – 1 ABR 53/17) bereits festgestellt und betont, dass unabhängig von einer datenschutzrechtlichen Verantwortlichkeit der Betriebsrat bei einer Datenverarbeitung die DSGVO sowie das BDSG einzuhalten hat. In der Gesetzesbegründung zu § 79a BetrVG heißt es hierzu, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen hat.
Nach § 79a S.2 BetrVG ist der Arbeitgeber nun für die Verarbeitung personenbezogener Daten verantwortlich, soweit der Betriebsrat diese zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben verarbeitet. Der Bundesgesetzgeber hat dem Arbeitgeber also die grundsätzliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten zugewiesen. Diese Verantwortlichkeit hat er jedoch ausdrücklich unter einen Vorbehalt gestellt: die Verantwortlichkeit besteht nur soweit, wie der Betriebsrat personenbezogene Daten auch im Rahmen seiner Aufgaben, insbesondere nach BetrVG, verarbeitet. Die Norm lässt sich so interpretieren, dass der Arbeitgeber datenschutzrechtlich nicht verantwortlich ist, wenn der Betriebsrat personenbezogene Daten zu Zwecken verarbeitet, die nicht der Erfüllung der in seiner Zuständigkeit liegenden Aufgaben dient. Für solche Verarbeitungen könnte der Betriebsrat dann als selbständig verantwortlich angesehen werden. Mit der Konsequenz, dann auch für Datenschutzverstöße einstehen zu müssen.
Nach § 79a S.3 BetrVG müssen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen. Die Gesetzbegründung zu §79a BetrVG führt hierzu an, dass der Betriebsrat keiner Pflicht unterliegt, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwangsläufig auf die Unterstützung des Betriebsrats angewiesen.
In den Sätzen 4 und 5 enthält § 79a BetrVG auch Regelungen bzgl. des Datenschutzbeauftragen. Dieser unterliegt nun auch gegenüber dem Arbeitgeber in Bezug auf den Betriebsrat einer gesetzlichen Verschwiegenheitspflicht. Hieraus lässt sich folgern, dass der Datenschutzbeauftragte gerade auch gegenüber dem Betriebsrat seinen gesetzlich vorgesehenen Pflichten nachkommen soll.
Bewertung
§ 79a BetrVG hat bei genauerer Betrachtung nicht die Klarstellungsfunktion, die wünschenswert gewesen wäre, insbesondere im Hinblick auf die bereits ergangene Rechtsprechung.
Wir empfehlen als erste Maßnahme, das Verarbeitungsverzeichnis um die durch den Betriebsrat durchgeführten Verarbeitungen zu ergänzen., sofern dies noch nicht geschehen ist. Der Betriebsrat hat hier eine Pflicht zur Mitwirkung. Als weitere Maßnahme kommt der Abschluss einer Betriebsvereinbarung in Betracht, welche die Rechte und Pflichten zwischen Arbeitgeber und Betriebsrat abgrenzt und insbesondere die Stellung des Datenschutzbeauftragten gegenüber dem Betriebsrat eindeutig festlegt. Die Einbindung des Datenschutzbeauftragen kann Haftungsrisiken minimieren, indem er auch frühzeitig vom Betriebsrat konsultiert werden kann. Wir werden die weitere Entwicklung zu §79a im Auge behalten und Sie entsprechend informieren.