Der Arbeitgeber ist nunmehr per Gesetz verantwortliche Stelle für die Verarbeitung personenbezogener Daten durch den Betriebsrat

Einleitendes:
Bei der Verarbeitung von personenbezogenen Daten durch den Betriebsrat im Rahmen der ihm vom Betriebsverfassungsgesetz zugewiesenen Aufgaben war strittig, ob er auch verantwortliche Stelle gemäß den Vorschriften der DSGVO und des BDSG ist, oder ob der Arbeitgeber diese rechtliche Stellung auch ihm gegenüber einnimmt. In erster Linie dafür sprach der Umstand, dass ihm gemäß dem Betriebsverfassungsgesetz eigene Kompetenzen zustehen. Dafür, den Arbeitgeber als verantwortliche Stelle anzusehen sprach die Tatsache, dass der Betriebsrat keine eigenständige Rechtsperson gegenüber Dritten ist.

Die Diskussion wurde nun durch den Gesetzgeber dadurch beendet, dass er im neuen § 79 a BetrVG den Arbeitgeber zum Verantwortlichen erklärt:
„ …„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften…..“

Diese Regelung schafft nunmehr formale Klarheit und kann als pragmatisch im Hinblick darauf angesehen werden, dass der Betriebsrat nach außen keine eigene Rechtspersönlichkeit entfaltet wie es etwa in den Motiven der Gesetzesbegründung heißt, löst aber nicht die mit der Fragestellung verbundenen Grundprobleme:

In Art. 4 Nr. 7 DSGVO heißt es nämlich:
…„Verantwortlicher (ist) die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“…

Kann also der Arbeitgeber, der ja nun per Gesetz Verantwortlicher ist, darüber entscheiden, welche Daten der Betriebsrat zu welchem Zweck verarbeitet? Dies wäre eigentlich die logische Konsequenz aus der neuen gesetzlichen Regelung.

Dem steht allerdings das Betriebsverfassungsgesetz entgegen, welches in seiner grundsätzlichen Tendenz dem Betriebsrat bei der Erfüllung seiner Aufgaben gegenüber dem Arbeitgeber weitgehende Unabhängigkeit einräumt. Dies betrifft sowohl die Inanspruchnahme seiner Mitbestimmungs- und Mitwirkungsrechte als auch beispielsweise den Ablauf und Inhalt von Betriebsratssitzungen und der dabei ggf. anfallenden Protokolle mit allfälligen personenbezogenen Daten.
Auch bei seiner Funktion als Ansprechpartner für Mitarbeitende ist ja gerade seine unabhängige Funktion gegenüber dem Arbeitgeber von ausschlaggebender Bedeutung.

Einzelne Fragestellungen:

In der Praxis resultieren aus diesem Spannungsfeld – der Arbeitgeber ist verantwortliche Stelle, der Betriebsrat jedoch autonom - eine Reihe von zumindest lösungsbedürftigen Fragestellungen:

In § 79 a BetrVG heißt es weiter: „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“
Dieser Gedanke ist sicher sehr hilfreich, wenn zwischen Betriebsrat und Arbeitgeber gutes Einvernehmen herrscht, aber schwer umzusetzen, wenn die Parteien relevante inhaltliche Differenzen haben. Dass es zu Konflikten kommen kann, sei hier an einigen Beispielen dargelegt:

Wer beurteilt die rechtlichen Grundlagen der personenbezogenen Datenverarbeitung des Betriebsrates?

Gemäß Art. 6 DSGVO darf die verantwortliche Stelle nur personenbezogene Daten verarbeiten, wenn eine in dieser Vorschrift genannte Bedingung erfüllt ist. Im Folgenden werden nur die für den Betriebsrat einschlägigen erörtert.

Es könnte eine Einwilligung gemäß Art. 6 lit. (a) DSGVO von dem Betroffenen als Rechtsgrundlage für die Verarbeitung seiner Daten eingeholt werden (z. B. für die Weitergabe von personenbezogenen Daten, die die betroffene Person dem Betriebsrat anvertraut hat an den Arbeitgeber selbst oder an Dritte wie etwa Betriebsärzte oder Sicherheitsbeauftragte etc.) Der Betriebsrat formuliert die inhaltliche Ausgestaltung, insbesondere Zweck und Tragweite, der Arbeitgeber soll jedoch die datenschutzrechtliche Verantwortung für die rechtliche Korrektheit übernehmen – eine praktische Herausforderung.

Der Betriebsrat stützt gemäß Art. 6 lit. (d) DSGVO die Verarbeitung von personenbezogenen Daten auf eine gesetzliche Erlaubnis, also auf das Betriebsverfassungsgesetz. Wer entscheidet hier, ob die als Rechtsgrundlage für einen bestimmten Verarbeitungsvorgang herangezogene Vorschrift hinreichend ist oder korrekt angewendet wird?

Wer bestimmt, welche Verarbeitungstätigkeiten durchgeführt werden und wer führt das Verzeichnis der Verarbeitungstätigkeiten?

Gemäß Art. 30 DSGVO hat die verantwortliche Stelle ein Verzeichnis der von ihr durchgeführten Verarbeitungstätigkeiten mit einer Reihe von spezifischen Angaben zu führen. Es wird hier u. A. festgelegt und beschrieben, zu welchem Zweck die personenbezogenen Daten verarbeitet werden. Den Zweck der Verarbeitung bestimmt die verantwortliche Stelle, also nach der neuen gesetzlichen Regelung eigentlich der Arbeitgeber. Andererseits ist der Betriebsrat in der Erfüllung seiner Aufgaben nach dem Betriebsverfassungsgesetz vom Arbeitgeber unabhängig, legt also die Zwecke für spezifische Verarbeitungen gemäß seinen Aufgaben selbst fest.

Wer ist für die Betroffenenrechte zuständig?

Für die Rechte der Betroffenen auf Information, Auskunft, Löschung usw. ist die verantwortliche Stelle zuständig. Die entsprechenden personenbezogenen Daten sind jedoch beim Betriebsrat.

Eine Betroffene richtet beispielsweise in korrekter Weise ein Auskunftsersuchen gemäß Art. 15 DSGVO an die verantwortliche Stelle (also den Arbeitgeber selbst) und begehrt Auskunft darüber, welche Daten über sie gespeichert sind. Die Auskunft müsste dann auch die Daten umfassen, die beim Betriebsrat ggf. vorhanden sind. Dieser ist jedoch nicht verpflichtet, Daten, die seine eigene Tätigkeit betreffen, an den Arbeitgeber weiterzugeben. Hier müsste dann eine praktikable Lösung gefunden werden, wie die Betroffene zu ihrer Auskunft gelangt. Oder ein Betroffener verlangt beim Arbeitgeber (verantwortlicher Adressat gem. DSGVO) die Löschung von Daten, die jedoch beim Betriebsrat verarbeitet werden. Kann der Arbeitgeber in diesem Fall die Löschung gegenüber dem Betriebsrat anordnen?

Lösung von Konflikten

Als Lösungsvorschlag wäre hier die Einbeziehung des betrieblichen Datenschutz-beauftragten als Brückenbauer oder Vermittler möglich und sinnvoll, um bei Differenzen rasch zu einer für beide Seiten akzeptablen Ausgestaltung des rechtlichen und inhaltlichen Rahmens der personenbezogenen Datenverarbeitung bei Betriebsräten zu gelangen.

Der betriebliche Datenschutzbeauftragte hätte hierfür die fachliche Kompetenz, ebenso ist er qua Gesetz eine unabhängige (Kontroll-) Institution.

Auch kann sich der Betriebsrat auf die Verschwiegenheit des Datenschutzbeauftragten gemäß § 79 a BetrVG verlassen:
„Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“

Fazit:

Auch wenn die neue gesetzliche Regelung den Widerspruch zwischen der dem Arbeitgeber zugewiesenen Verantwortung für die personenbezogene Datenverarbeitung des Betriebsrates einerseits und der unabhängigen Stellung des Betriebsrats andererseits nicht aufheben kann, ist doch die Bemühung des Gesetzgebers zu erkennen, praktische Umsetzungsmöglichkeiten bei Differenzen zu regeln.

Der betriebliche Datenschutzbeauftragte kann hier eine wesentliche Rolle einnehmen, da er aufgrund seiner ihm vom Gesetz zugewiesenen Stellung unabhängig ist und gegenüber beiden Parteien – Betriebsrat und Arbeitgeber – die Interessen der Betroffenen zuvorderst im Blick haben sollte.
Es steht gleichwohl zu erwarten, dass es künftig in der Praxis zu rechtlichen Auseinandersetzungen zwischen Arbeitgebern und Betriebsräten zu der Frage kommen wird, wieweit der Arbeitgeber auf Grund seiner Stellung als Verantwortlicher die personenbezogene Datenverarbeitung des Betriebsrates beeinflussen darf oder sogar  muss.