Update Datenschutz Nr. 42
Datenschutz und der Betriebsrat
Von der Datenschutzgrundverordnung (DSGVO) ist auch die Zusammenarbeit zwischen Arbeitgeber und dem Betriebsrat betroffen. Dies tangiert u.a. die Nutzung von Betriebsvereinbarungen als Rechtsgrundlage, die (mögliche) datenschutzrechtliche Verantwortlichkeit des Betriebsrats sowie die Kontrollbefugnis des betrieblichen Datenschutzbeauftragten gegenüber dem Betriebsrat.
Betriebsvereinbarung als Information gemäß Art. 13, 14 DSGVO?
Werden Beschäftigtendaten auf Grundlage einer Betriebsvereinbarung verarbeitet, trifft den Verantwortlichen, in diesem Fall den Arbeitgeber, trotzdem die Informationspflichten gemäß Art. 13 bzw. Art. 14 DSGVO gegenüber den betroffenen Arbeitnehmern. Zugleich hat der Arbeitgeber die Betriebsvereinbarung gemäß § 77 Abs. 2 S. 2 Betriebsverfassungsgesetz (BetrVG) an geeigneter Stelle im Betrieb auszulegen. Dies muss so geschehen, dass die Arbeitnehmer von ihr Kenntnis nehmen können. In der Praxis bedeutet dies zumeist einen Aushang am Schwarzen Brett. Der Arbeitgeber könnte nun versucht sein, durch das Aushängen am Schwarzen Brett anzunehmen, dass er dadurch bereits auch seine Informationspflichten nach der DSGVO ordnungsgemäß erfüllt hat.
Um der Informationspflicht zu genügen, muss die Betriebsvereinbarung aber zunächst alle in Art. 13 bzw. Art. 14 DSGVO vorgegebenen Informationen zur Datenverarbeitung in der gesetzlich vorgesehenen Weise enthalten. Selbst wenn diese Voraussetzung erfüllt ist, ist dem Arbeitgeber aber trotzdem zu einer aktiven Information der Belegschaft zu raten. Das bloße Zugänglichmachen der Informationen ist datenschutzrechtlich nicht ausreichend. Die Arbeitnehmer müssen vielmehr aktiv vom Arbeitgeber auf die Betriebsvereinbarung hingewiesen werden. Eine Auslegung der Betriebsvereinbarung ist nicht ausreichend. Für die Erfüllung der datenschutzrechtlichen Informationspflichten können verschiedene andere Mittel genutzt werden: Verteilung/Versendung einer Abschrift der Betriebsvereinbarung an die betroffenen Personen, Aufnahme der Betriebsvereinbarung in das Intranet und Versendung eines Links per E-Mail. Ob dies im jeweiligen Betrieb praktikabel ist, muss im Einzelfall geprüft werden.
Betriebsrat als Verantwortlicher?
Unabhängig davon, ob mit dem Betriebsrat eine Betriebsvereinbarung für einen gewissen Datenverarbeitungsprozess abgeschlossen wurde oder nicht, verarbeitet der Betriebsrat im Rahmen seiner Tätigkeit personenbezogene Daten. Dies ist z.B. bei der Anhörung vor Kündigungen gemäß § 102 BetrVG der Fall. Logischerweise müssen dem Betriebsrat für eine ordnungsgemäße Anhörung die relevanten Beschäftigtendaten mitgeteilt werden. Den Betriebsrat treffen daher sowohl datenschutzrechtliche Rechte, im speziellen Kontrollrechte gegenüber dem Arbeitgeber, aber auch Pflichten. Er ist in seiner Arbeit an die Regelungen der DSGVO und des BDSG gebunden und unterliegt auch der Kontrolle durch die zuständige Aufsichtsbehörde. Gemäß Art. 58 Abs. 1 lit. f) DSGVO, § 40 Abs. 5 BDSG sind die Aufsichtsbehörden befugt, zur Erfüllung ihrer Aufgaben auch Geschäftsräume zu betreten und Zugang zu allen Datenverarbeitungsanlagen bzw. -geräten zu erhalten. Dies umschließt auch Betriebsratsbüros. Stellen die Aufsichtsbehörden bei einer solchen Kontrolle jedoch Verstöße gegen das Datenschutzrecht fest, stellt sich die Frage, wer in einem solchen Fall haftet bzw. wem das Bußgeld auferlegt werden kann. Ist dies der Arbeitgeber oder ist der Betriebsrat als eigene verantwortliche Stelle zu betrachten?
Die Aufsichtsbehörden überlegen, Betriebsräte als eigene Verantwortliche im Sinne der DSGVO zu betrachten. Dies könnte man eventuell damit begründen, dass in der Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO nun auch „andere Stellen“ als mögliche Verantwortliche genannt werden. Hierfür müsste der Betriebsrat jedoch auch über Mittel und Zwecke der Verarbeitung bestimmen können. Die Tätigkeit des Betriebsrats ist aber durch die Definition der Aufgaben des Betriebsrats im Gesetz bereits stark eingeschränkt. Nur zur Erfüllung dieser Aufgaben darf der Betriebsrat personenbezogene Daten nutzen. Die Betriebsräte sind zudem auf die Infrastruktur, insbesondere hinsichtlich IT, des Unternehmens angewiesen. Sie sind daher schon faktisch dem Großteil der technischen und organisatorischen Maßnahmen des Arbeitgebers unterworfen. Aus unserer Sicht handelt es sich bei dem Betriebsrat daher nicht um eine eigene verantwortliche Stelle.
Kontrolle des Betriebsrats durch den Datenschutzbeauftragten?
Wenn der Betriebsrat aber Teil der verantwortlichen Stelle, dem Unternehmen, ist, muss der betriebliche Datenschutzbeauftragte in der Lage sein, den Betriebsrat zu überprüfen. Hierbei agiert der Datenschutzbeauftragte nicht, wie von einigen befürchtet, als verlängerter Arm des Arbeitgebers. Der Datenschutzbeauftragte ist vielmehr per Gesetz weisungsfrei und unabhängig. Die bisherige Rechtsprechung hat die Kontrollmöglichkeit zwar verneint, allerdings wird abzuwarten sein, ob diese Meinung angesichts der DSGVO und dem Vorrang des Europarechts noch haltbar ist.
Um eine Haftung des Arbeitgebers zu vermeiden, sollte dieser Richtlinien zum datenschutzkonformen Umgang mit Beschäftigtendaten erlassen. Insbesondere sollte der Arbeitgeber den Betriebsrat bei Überlassung von personenbezogenen Daten, z.B. bei Einstellungsverfahren, auf seine datenschutzrechtlichen Pflichten hinweisen. Dies umfasst u.a. die Löschpflichten nach Art. 17 DSGVO wenn die Daten nicht mehr benötigt werden. Werden diese Hinweise nicht befolgt, beruht ein datenschutzrechtlicher Verstoß des Betriebsrats auf einem eigenmächtigen und rechtswidrigen Handeln. In diesem Fall trifft den Arbeitgeber kein Verschulden.
Zurzeit ist der Betriebsrat nicht als eigene verantwortliche Stelle zu sehen. Ein anderslautender Beschluss der Aufsichtsbehörden wurde bisher weder erlassen noch haben Gerichte ihn bestätigt. Da der Betriebsrat daher weiterhin Teil der verantwortlichen Stelle ist, muss der Arbeitgeber darauf achten, dass der Betriebsrat sich umfassend bezüglich des Datenschutzrechts informiert und instruiert wird.