Betriebsrat - eigener Datenschutzbeauftragter ja oder nein?

von Ass. Jur. Bernd Gehrig (Kommentare: 0)

Die Frage, ob der Betriebsrat eine eigene verantwortliche Stelle ist, ist von erheblicher praktischer Relevanz, da sich hieran eine Reihe von Pflichten knüpfen kann, u. A. diejenige, einen eigenen Datenschutzbeauftragten zu bestellen.

Ist der Betriebsrat verantwortliche Stelle?

Gegen die Sichtweise, dass der Betriebsrat eine eigene verantwortliche Stelle im Sinne der DSGVO sein kann, wird häufig angeführt, dass er auf Grund des Betriebsverfassungsgesetzes handeln müsse und daher sein Handlungsspielraum sehr stark eingeschränkt sei.

Hier zwei Beispiele für diese Argumentation:

datenschutzbeauftragter-info.de; Dr. Datenschutz:
„Über die Mittel der Verarbeitung personenbezogener Daten entscheidet der Betriebsrat also schon mal nicht so klar selbst. Aber wie sieht es mit den Zwecken aus? Werden wenigstens diese eindeutig durch den Betriebsrat festgelegt? Wohl eher auch nicht. Die Funktion und die Befugnisse des Betriebsrats werden durch das Betriebsverfassungsgesetz vorgeschrieben. Der Betriebsrat kann über seine Tätigkeiten und damit über die Zwecke der Verarbeitung personenbezogener Daten nur in einem sehr engen Rahmen entscheiden. Diese Überlegungen führen in Summe eher zu der Schlussfolgerung, dass der Betriebsrat kein eigener Verantwortlicher im Sinne der DSGVO ist.“

efarbeitsrecht.net; FAArb, RA Tim Wybitul:
„Muss man den Betriebsrat wirklich als Verantwortlichen einordnen? Nein, eigentlich nicht. Zur Erinnerung, Verantwortlicher ist, wer über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Das ist beim Betriebsrat gerade nicht der Fall. Denn anders als der Arbeitgeber kann der Betriebsrat letztlich nicht frei über seine Datenverarbeitungen und deren Zwecke entscheiden. Vielmehr sind die Zwecke der Datenverarbeitung durch Betriebsräte durch das Betriebsverfassungsgesetz geregelt. Auch über die Mittel der Datenverarbeitung kann der Betriebsrat nicht frei entscheiden. Vielmehr gibt hier normalerweise der Arbeitgeber die IT-Strukturen vor und der Betriebsrat kann sie mit nutzen, vgl. § 40 Abs. 2 BetrVG.“

Schließt das Befolgen von Gesetzen die Verantwortlichkeit aus?

Beide Autoren argumentieren etwa folgendermaßen:

Weil der Betriebsrat an das Betriebsverfassungsgesetz gebunden sei, könne er über die Zwecke seiner Verarbeitungen nicht selbst entscheiden, bzw. diese nicht selbst festlegen. Daher könne er nicht verantwortliche Stelle sein.

Dies würde aber dann logischerweise auch auf nahezu alle Behörden und Ämter zutreffen, da diese ja ebenfalls nur nach gesetzlichen Vorgaben (sog. Legalitätsprinzip des Grundgesetzes) handeln, sogar nur danach handeln dürfen:

  • Eine Finanzbehörde könnte keine verantwortliche Stelle sein, weil sie ja nach den Finanzgesetzen handeln muss.
  • Eine Arbeitsagentur könnte keine verantwortliche Stelle sein, weil sie ja nach den einschlägigen Sozialgesetzen handeln muss.
  • Eine Polizeibehörde könnte keine verantwortliche Stelle sein, weil sie ja nach den einschlägigen Polizeigesetzen handeln muss.

Diese Liste ließe sich gleichartig nahezu endlos fortsetzen.

Würde man also dieser Argumentation folgen, wären konsequenterweise nahezu alle Behörden und Ämter keine verantwortlichen Stellen, obwohl diese ja personenbezogene Daten verarbeiten. Wer wäre dann eigentlich die verantwortliche Stelle? Etwa der Gesetzgeber selbst, der ja demnach die Zwecke der Verarbeitung festlegt? Sicher ein wenig zufriedenstellendes Ergebnis.

Warum das Unternehmen nicht verantwortliche Stelle ist

Es ist also leicht einzusehen, dass der Umstand, bei der Verarbeitung personenbezogener Daten durch Gesetze eingeschränkt bzw. gebunden zu sein, kein geeignetes Kriterium für die Beantwortung der Frage sein kann, ob eine verantwortliche Stelle vorliegt. Im Übrigen schränken die DSGVO und das BDSG-neu selbst ja auch die „freie Datenverarbeitung“ ein.

Auch das zweite Argument, dem Betriebsrat würden häufig die Mittel (EDV-Equipment) vom Arbeitgeber zur Verfügung gestellt vermag nicht zu überzeugen. Der Betriebsrat entscheidet ja gegenüber dem Arbeitgeber selbst wie und in welcher Weise er diese „Betriebsmittel“ nutzt. Dies ist wohl entscheidender als die rein technischen Beschränkungen die durch die zur Verfügung gestellten Mittel bestehen könnten. Würde der Betriebsrat sein EDV-Equipment von einem externen Anbieter beziehen bliebe er ja auch selbst für die Datenverarbeitung verantwortlich und nicht der Anbieter. Wo genau wäre hier der datenschutzrechtlich relevante Unterschied zu sehen?

Weiterhin ist die gesetzliche Regelung in § 40 BetrVG wonach der Arbeitgeber die Kosten der Betriebsratstätigkeit zu tragen, und ihm die Sachmittel zur Verfügung zu stellen hat, nicht geeignet, den Arbeitgeber zur verantwortlichen Stelle für die Verarbeitung der Betriebsratsdaten zu erklären, denn beides hat im Grunde keinen Bezug zu der eigentlichen Verarbeitung der Daten.

Im Ergebnis ist daraus die Schlussfolgerung zu ziehen, dass die Definition der verantwortlichen Stelle in der DSGVO gerade beim Betriebsrat nahelegt, diesen als eigenständige verantwortliche Stelle zu behandeln. Es wäre schwer nachzuvollziehen, warum der Arbeitgeber für die Daten des Betriebsrats verantwortliche Stelle sein soll, obwohl laut BetrVG der Betriebsrat ja gerade unabhängig von einer Einflussnahme durch den Arbeitgeber ist, und vor allem gegenüber dem Arbeitgeber völlig eigenständig über die bei ihm verarbeiteten Daten verfügt.

Ein eigener Datenschutzbeauftragter für den Betriebsrat?

In praktischer Hinsicht bedeutet dies, dass der Betriebsrat bei entsprechender Größe oder dem Vorliegen anderer Voraussetzungen einen eigenen Datenschutzbeauftragten zu benennen hat, und auch die weiteren Pflichten einer verantwortlichen Stelle erfüllen muss, wie etwa die Informationen gemäß Art. 13 DSGVO oder die Umsetzung von technischen und organisatorischen Maßnahmen.

Dass die Kosten hierfür - wie alle Kosten des Betriebsrats - stets vom Arbeitgeber zu tragen sind (§ 40 BetrVG), ändert hieran grundsätzlich nichts, da nicht ersichtlich ist wie eine reine Kostentragungspflicht direkt eine datenschutzrechtliche Verantwortlichkeit des Arbeitgebers begründen soll. Ebenso wenig wie der Umstand, dass der Betriebsrat bei der Umsetzung in technischer Hinsicht die Hilfe der IT-Abteilung des Unternehmens in Anspruch nehmen könnte (möglich wäre ja auch ein (teurerer) externer Dienstleister).

Bei der Umsetzung kann es durchaus Spielraum für den Betriebsrat geben: So könnte beispielsweise ein Betriebsratsmitglied zum internen DSB nach vorheriger Schulung benannt werden und bei den technischen Maßnahmen eine Wartungsvereinbarung inkl. AV-Komponenten (u. U. in Form einer Betriebsvereinbarung) mit Einbeziehung der IT-Abteilung des Unternehmens geschlossen werden, um hierdurch weitere Kosten zu vermeiden.

Fazit

Abschließend ist also festzuhalten: Der Betriebsrat ist verantwortliche Stelle und verarbeitet seine Daten unabhängig von einer Einflussnahme durch den Arbeitgeber. Dass seine Aufgaben gesetzlich vorgegeben sind ändert hieran nichts, ebenso wenig wie der Umstand, dass ihm häufig Hard- und Software zur eigenverantwortlichen Nutzung vom Arbeitgeber / Unternehmen zur Verfügung gestellt wird.

Sollte sich die hier erläuterte Auffassung, der auch die Aufsichtsbehörden zuneigen, durchsetzen, dann hätte auch der Betriebsrat als verantwortliche Stelle einen Datenschutzbeauftragten zu benennen, wenn die sonstigen Voraussetzungen vorliegen:

  • mindestens 10 Betriebsrats-Mitglieder oder
  • die Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO

Umsetzen liese sich dies, indem der Betriebsrat ein Mitglied als internen Datenschutzbeauftragten bennent, einen externen DSB bestellt oder sich zur Umsetzung die Unterstützung des (internen oder externen) Datenschschutzbeauftragten der Firma holt.

Die dacuro arbeitet mit ihrem Team als externer Datenschutzbeauftragter im Rhein-Neckar-Kreis und darüber hinaus auch deutschlandweit. Wir betreuen jegliche Branchen, von Pharma, Produktion, Lebensmittel oder öffentliche Stellen. Zudem unterstützen wir interene Datenschutzbeauftragte bei der Umsetzung der DSGVO in ihren Unternehmen.

Tags zu diesem Beitrag:

Zurück

Einen Kommentar schreiben