Ist ein Betriebsrat oder Personalrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO?

Derzeit wird intensiv darüber diskutiert, welche datenschutzrechtliche Rolle eine Arbeitnehmervertretung innehat. Dass eine Arbeitnehmervertretung in erheblichem Umfang personenbezogene Daten verarbeitet, ist unstreitig. Die Frage ist aber: Wer ist im gesetzlichen Sinne dafür verantwortlich, die Einhaltung des Datenschutzes zu gewährleisten – der Arbeitgeber oder die Arbeitnehmervertretung? Noch nicht einmal die Auffassungen der Aufsichtsbehörden stimmen darin überein, ob eine Arbeitnehmervertretung „Verantwortlicher“ für den Datenschutz ist. Und auch in der Literatur werden unterschiedliche Meinungen vertreten.

Sowohl von Arbeitgeber- wie auch von Gewerkschaftsseite wird Frage entschieden verneint, dass eine Arbeitnehmervertretung Verantwortlicher im Sinne des Art. 4 Nr. 7 EU-Datenschutz-Grundverordnung („DSGVO“) sei. Mein Eindruck ist allerdings, dass da eher „vom Ende her gedacht“ wird: Arbeitgeber scheuen die Kosten, die entstehen, wenn ein Betriebsrat als Verantwortlicher einen Datenschutzbeauftragten bestellt, seine Mitglieder umfassend zum Datenschutz schult und die notwendigen technischen und organisatorischen Mittel für die Umsetzung des Datenschutzes benötigt. Und Gewerkschaften fürchten natürlich den Aufwand und vor allem die Risiken, die Betriebsräten und Personalräten entstehen, wenn sich herausstellen sollte, dass sie als Verantwortliche für den Datenschutz haften sollen.

Was ist das Problem?

Die bisherige Auffassung des Bundesarbeitsgerichts, der zufolge ein Betriebsrat nicht „verantwortliche Stelle“ für den Datenschutz sei, lässt sich nicht mehr widerspruchsfrei mit der Rolle des „Verantwortlichen“, wie sie die DSGVO bestimmt, in Übereinstimmung bringen.

Das BAG hat auf der Grundlage des alten Bundesdatenschutzgesetzes („BDSG 1982“) mehrfach festgestellt, dass

  • das BDSG auch bei der Verarbeitung personenbezogener Daten durch einen Betriebsrat gilt,
  • ein Betriebsrat nicht selbst „verantwortliche Stelle“ nach dem alten Verständnis des BDSG ist, sondern er als ein Teil des Arbeitgebers Teil der verantwortlichen Stelle „Arbeitgeber“ ist,
  • ein Betriebsrat aber dennoch in eigener Verantwortung für die Einhaltung des Datenschutzes in seinem Gremium zu sorgen hat und deshalb
  • ein Betriebsrat sich nicht vom betrieblichen Datenschutzbeauftragten oder dem Arbeitgeber kontrollieren lassen muss, weil das im Widerspruch zur Autonomie des Betriebsrats steht.

Das Problem ist, dass die Bestimmung des Begriffs „Verantwortlicher“ in der DSGVO (Art. 4 Nr. 7) nicht mehr mit dem früheren Verständnis der „verantwortlichen Stelle“ des BDSG 1982 übereinstimmt. Insbesondere gibt es eine Lücke zwischen dem Begriff der „nichtöffentlichen Stelle“ des (alten und neuen) BDSG und dem Begriff des „Verantwortlichen“ aus der DSGVO. Deshalb ist fraglich, ob die bisherige Auffassung des BAG Bestand haben kann.

Die DSGVO bestimmt inzwischen sehr konkret, welche Pflichten der Verantwortliche zu erfüllen und welche Risiken er zu tragen hat. Diesen Pflichten kann ein Arbeitgeber nicht gerecht werden, wenn er allein der Verantwortliche ist, die Arbeitnehmervertretung aber personenbezogene Daten in eigener Verantwortung verarbeitet. Und auch die neu gefassten Risiken, die sich aus der Rolle des Verantwortlichen ergeben – insbesondere aus Schadensersatz und Bußgeld –, setzen voraus, dass er vollständige Kontrolle über die Datenverarbeitung hat.

Aktuelle Entscheidung

Das LAG Hessen hat in einer Entscheidung vom Dezember 2018 (16 TaBV 130/18 vom 10.12.2018) auf die Entscheidungen des BAG aus der Zeit vor Inkrafttreten der DSGVO verwiesen und die Auffassung vertreten, dass ein Betriebsrat nach wie vor dem Arbeitgeber zuzuordnen sei und nur der die Rolle des Verantwortlichen innehabe. Es erkennt keinen Anlass, dieses Verständnis zu ändern. Ob diese Entscheidung Bestand haben wird, bleibt abzuwarten.

Die Rolle einer Arbeitnehmervertretung wird überdacht werden müssen. Die bisherige Rechtsprechung jedenfalls passt nicht mehr mit den geänderten gesetzlichen Regeln beim Datenschutz zusammen.

Warum ist das Problem bedeutsam?

Der Verantwortliche für den Datenschutz hat eine Fülle von Pflichten zu erfüllen und trägt auch ein erhebliches Risiko, wenn er nicht korrekt handelt.

Die Pflichten des Verantwortlichen sind vor allem:

  • Er hat sicherzustellen, dass personenbezogene Daten ausschließlich auf rechtmäßige Weise verarbeitet werden (Art. 5 Abs. 1 lit a und Art. 6 DSGVO).
  • Er hat die Transparenz für die Betroffenen sicherzustellen (Art. 5 Abs. 1 lit a und Art. 12 ff DSGVO).
  • Er hat sicherzustellen, dass personenbezogene Daten stets für bestimmte, im Voraus eindeutig festgelegte und legitime Zwecke verarbeitet werden (Art. 5 Abs. 1 lit b DSGVO).
  • Er hat sicherzustellen, dass personenbezogene Daten immer nur in dem Umfang verarbeitet werden, der für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit c DSGVO).
  • Er hat sicherzustellen, dass Daten, wenn sie nicht mehr benötigt werden oder wenn andere Voraussetzungen erfüllt sind, gelöscht werden (Art. 5 Abs. 1 lit c und e sowie Art. 17 DSGVO).
  • Er hat sicherzustellen, dass personenbezogene Daten stets richtig sind (Art. 5 Abs. 1 lit e DSGVO).
  • Er hat sicherzustellen, dass personenbezogene Daten auf eine Weise verarbeitet werden, die die Integrität und Vertraulichkeit dieser Daten und deren Verarbeitung gewährleistet (Art. 5 Abs. 1 lit f und Art. 32 ff DSGVO).
  • Er hat zu dokumentieren, für welche Zwecke und in welcher Weise er welche personenbezogenen Daten verarbeitet (Art. 30 DSGVO).

Dies ist nur die Zusammenstellung der wichtigsten Pflichten des Verantwortlichen. Vor allem aber trifft ihn die Pflicht aus Art. 5 Abs. 2 DSGVO: Er muss in der Lage sein, nachzuweisen, dass er die in Art. 5 Abs. 1 DSGVO zusammengefassten Pflichten zum Datenschutz erfüllt („Rechenschaftspflicht“).

Es muss also geklärt werden, wen diese Pflichten treffen und wer die Verantwortung dafür übernimmt, dass sie erfüllt werden.

Das „dogmatische“ Problem – eine Frage der Begriffe:

Im BDSG 1982 gab es den Begriff der „verantwortlichen Stelle“, die entweder eine „öffentliche Stelle“ oder eine „nichtöffentliche Stelle“ war. Dass ein Betriebsrat keine öffentliche Stelle ist, stand außer Frage. Lt. § 2 Abs. 4 BDSG war eine „nichtöffentliche Stelle“ eine natürliche oder juristische Person oder eine Gesellschaft oder andere Personenvereinigungen des privaten Rechts. Ein Betriebsrat ist nichts davon, und deshalb hat das BAG in der Vergangenheit ganz richtig festgestellt, dass ein Betriebsrat keine nichtöffentliche Stelle sei und deshalb auch keine verantwortliche Stelle sein könne.

In der DSGVO ist aber von einer „nichtöffentlichen Stelle“ nirgendwo die Rede. Stattdessen heißt es in Art. 4 Nr. 7, Verantwortlicher könne auch eine „andere Stelle“ sein. Die Frage ist also: Trifft das auf eine Arbeitnehmervertretung zu?

Zwar findet sich der Begriff der nichtöffentlichen Stelle in § 2 Abs. 4 des BDSG auch in der Fassung von 2018 mit der gleichen Definition wieder. Aber dieser Begriff ist ein Begriff des BDSG, nicht der DSGVO. Hat also der Begriff der „anderen Stelle“ der DSGVO den Vorrang vor dem der „nichtöffentlichen Stelle“ des BDSG? Oder schränkt der Begriff der „nichtöffentlichen Stelle“ aus dem BDSG den Anwendungsbereich der DSGVO insofern ein, dass Stellen, die keine öffentlichen und keine nichtöffentlichen Stellen sind, keine „anderen Stellen“ im Sinne des Art. 4 Nr. 7 DSGVO sein können und deshalb auch nicht „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO sind?

Hier sind das BAG und der EuGH gefragt.

Das „pragmatische“ Problem – eine Frage der Anwendbarkeit:

Wir haben oben die Pflichten gesehen, die ein Verantwortlicher zu erfüllen hat. Diese Pflichten sind sehr konkret bestimmt, und der Verantwortliche hat sie zu erfüllen. Tut er das nicht, drohen ihm Bußgelder und Schadensersatzforderungen.

Bleibt der Arbeitgeber Verantwortlicher, wie soll er die Pflichten bei der Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung erfüllen? Man kann doch nur steuern, was man unter Kontrolle hat. Wenn aber der Arbeitgeber bzw. dessen Datenschutzbeauftragter nicht kontrollieren dürfen, wie die Arbeitnehmervertretung personenbezogene Daten verarbeitet, hat er keinen Einfluss auf die Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung.

Art. 5 Abs. 2 der DSGVO verlangt:

Der Verantwortliche […] muss dessen [des Art. 5 Abs. 1] Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 5 Abs. 2 DSGVO

Der Verantwortliche muss also die Einhaltung der Grundsätze zum Datenschutz nachweisen können, die in Art. 5 Abs. 1 DSGVO bestimmt sind. Nachweisen kann man nur, was man selbst weiß, und Rechenschaft kann man nur ablegen über etwas, das man selbst steuern kann. Wenn aber der Arbeitgeber der Verantwortliche ist, und nicht der Betriebsrat, wie soll der Arbeitgeber die Einhaltung der Datenschutzgrundsätze durch den Betriebsrat nachweisen können, wenn der Betriebsrat den Datenschutz in eigener Verantwortung gewährleistet? Nur der Betriebsrat weiß doch, wie er seine Geschäfte führt, und das will das BAG auch sichergestellt wissen.

„Der Verantwortliche ist verantwortlich“ (Art. 5 Abs. 2 DSGVO)

In Art. 5 Abs. 2 DSGVO steht der simple (Halb-)Satz

Der Verantwortliche ist verantwortlich […]

Art. 5 Abs. 2 DSGVO

Geradezu episch in seiner schlichten Schönheit.

Der Verantwortliche ist also verantwortlich, niemand sonst. Wenn aber das BAG sagt, der Betriebsrat müsse den Datenschutz bei der Verarbeitung personenbezogener Daten in eigener Verantwortung sicherstellen, dann bedeutet das doch, dass der Betriebsrat für den Datenschutz verantwortlich ist. Dann muss er aber auch „Verantwortlicher“ sein. Bleibt aber der Arbeitgeber Verantwortlicher, dann muss er für eine datenschutzkonforme Verarbeitung personenbezogener Daten auch durch den Betriebsrat sorgen – wie bereits erwähnt ein Widerspruch zur Autonomie des Betriebsrats.

Erstes Fazit

Zwischen der neuen DSGVO und der bisherigen Rechtsprechung über die Verantwortung einer Arbeitnehmervertretung beim Datenschutz ist eine Lücke entstanden. Sicher wird die Frage nach der Verantwortung eines Betriebsrats in naher Zukunft neu vom BAG zu entscheiden sein, und voraussichtlich wird das BAG den EuGH fragen, wer die Rolle des Verantwortlichen bei einer Verarbeitung personenbezogener Daten durch den Betriebsrat zu tragen hat.

Aber wie das Ergebnis auch lautet: Entweder für den Arbeitgeber oder für den Betriebsrat bzw. Personalrat und seine Mitglieder entstehen schwer zu kalkulierende Risiken. Hier ist nicht zuletzt der deutsche Gesetzgeber gefordert, klarzustellen, wer wofür welche Verantwortung übernehmen und welche Haftungsrisiken zu tragen hat.

Einfach die Position einzunehmen „Bei Betriebsräten gilt das alles nicht so ernsthaft“ ist keine Lösung. Datenschutz ist ein ernsthaftes Anliegen, und die Bestimmungen der DSGVO sind aus guten Gründen so, wie sie sind. Es kann nicht sein, dass bei Arbeitnehmervertretungen ein blinder Fleck beim Datenschutz entsteht. Und insbesondere muss geklärt werden, wer die Haftungsrisiken trägt.

Auf den folgenden Seiten erfahren Sie im Detail, welche Kriterien für die Frage nach der Rolle des Verantwortlichen relevant sind, welche Pflichten und Risiken daraus entstehen und wie Sie als Betriebsrat oder Personalrat mit der neuen Situation umgehen können.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Datenschutz in der Arbeitnehmervertretung

Nächstes Thema