Ein wichtiges Argument für die Antwort auf die Frage, ob der Betriebsrat Verantwortlicher für den Datenschutz sein könne, ergibt sich aus der Entscheidung 7 ABR 23/11 des BAG. Dort argumentiert das BAG:

Für die Beachtung des Datenschutzes beim Zugang zu einem von allen Betriebsratsmitgliedern genutzten PC, auf dem personenbezogene Daten verarbeitet werden, hat der Betriebsrat in eigener Verantwortung zu sorgen. Es ist nicht Sache des Arbeitgebers, ihm insoweit Vorschriften zu machen. BAG 7 ABR 23/11

Art. 5 Abs. 2 DSGVO lautet jedoch

Der Verantwortliche ist für die Einhaltung des Absatzes 1 [in dem die Grundsätze des Datenschutzes bestimmt sind] verantwortlich […]. Art. 5 Abs. 2 DSGVO

Wenn (nur) der Verantwortliche verantwortlich ist und lt. BAG der Betriebsrat verantwortlich für den Datenschutz in seinem Gremium ist, muss der Betriebsrat logischerweise auch Verantwortlicher sein.

In der Entscheidung 1 ABR 21/97 hat das BAG argumentiert:

Das in diesem Zusammenhang vorgetragene Argument, der Arbeitgeber müsse sich davor schützen können, daß er von Betroffenen wegen Gesetzesverstößen des Betriebsrats in Haftung genommen werde, verfängt nicht. Das Bundesdatenschutzgesetz enthält für private Arbeitgeber keine Haftungsnorm; […] Nur die allgemeinen zivilrechtlichen Haftungsgrundlagen (z.B. aus unerlaubter Handlung oder aus positiver Forderungsverletzung) kommen in Betracht; diese setzen aber sämtlich voraus, daß der Haftende den Rechtsverstoß zu vertreten hat. Danach ist eine Haftung des Arbeitgebers für Handlungen des Betriebsrats, die er nicht beeinflussen kann, ausgeschlossen. BAG 1 ABG 21/97

Auch hier hat sich etwas geändert: Die DSGVO enthält in Art. 82 die Bestimmung

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Art. 82 Abs. 1 DSGVO

Also enthält die DSGVO jetzt eine Haftungsnorm, die unmittelbar für die Verarbeitung personenbezogener Daten greift. Wäre der Arbeitgeber und nicht der Betriebsrat Verantwortlicher für die Verarbeitung personenbezogener Daten durch den Betriebsrat, würde den Arbeitgeber nach der Neuregelung der Haftungspflichten in der DSGVO eben doch für Verstöße gegen Bestimmungen dieser Verordnung durch den Betriebsrat in Haftung genommen werden.

Ebenso würde der Arbeitgeber das Risiko einer Geldbuße tragen müssen, wäre er der Verantwortliche auch für die Verarbeitung personenbezogener Daten durch den Betriebsrat.

Es ist natürlich überhaupt nicht wünschenswert, dass eine Arbeitnehmervertretung die Risiken von Schadensersatz und Geldbußen zu tragen hat. Daher ist hier eine möglichst schnelle Klärung vonnöten. Aber aus den Bestimmungen der DSGVO ergibt sich eben nicht zwingend, dass eine Arbeitnehmervertretung nicht Verantwortlicher für den Datenschutz sein kann.

Rechenschaftspflicht

Ein weiterer Grund, weshalb es schwierig wird, nur den Arbeitgeber als Verantwortlichen zu verstehen, ist die in Art. 5 Abs. 2 DSGVO begründete Rechenschaftspflicht. Dort heißt es

Der Verantwortliche […] muss dessen [des Abs. 1] Einhaltung nachweisen können („Rechenschaftspflicht“). Art. 5 Abs. 2 DSGVO

Im Einzelnen wird in verschiedenen Artikeln der DSGVO detailliert bestimmt, was notwendig ist, um diese Rechenschaft erbringen zu können, z. B. in Art. 30 („Verzeichnis der Verarbeitungstätigkeiten“).

Auch hier entsteht das Problem: Wenn der Arbeitgeber der Verantwortliche auch für die Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung ist, wie soll er dokumentieren und Rechenschaft darüber ablegen können, ob, wie und für welche Zwecke die Arbeitnehmervertretung personenbezogene Daten verarbeitet, und wie soll er insbesondere den Nachweis dafür erbringen können, dass dies gemäß den Grundsätzen, wie sie in Art. 5 Abs. 1 DSGVO bestimmt sind, geschieht? Das ist faktisch ausgeschlossen, ohne die Arbeitnehmervertretung in ihrem Tun zu kontrollieren.

Transparenzpflichten

Schließlich hat der Verantwortliche auch eine Reihe von Transparenzpflichten zu erfüllen, die in Art. 5 Abs. 1 lit. a begründet und in den Art. 12 bis 15 der DSGVO detailliert beschrieben werden. Der Verantwortliche muss die Betroffenen nicht nur grundsätzlich und ganz allgemein darüber informieren, ob und welche personenbezogenen Daten er über sie zu welchen Zwecken und auf welchen Rechtsgrundlagen verarbeitet. Er muss auf Wunsch insbesondere auch eine Kopie der jeweils verarbeiteten Daten bereitstellen.

Diese Pflicht trifft den Verantwortlichen, und es fragt sich: Wie soll ein Arbeitgeber den Betroffenen Auskunft über die Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung geben, die er doch gar nicht kennt? Und erst recht: Wie soll er den Betroffenen eine Kopie der Daten beschaffen, die der Betriebsrat oder Personalrat verarbeitet?

Fazit und Schlussfolgerungen

Das BAG hat in der Entscheidung 1 ABR 21/97 argumentiert:

Die Anwendung von § 36 Abs. 5 und § 37 BDSG in der geforderten Weise würde dazu führen, daß dem Arbeitgeber eine Verantwortung für die Rechtmäßigkeit der Amtsausübung des Betriebsrats erwüchse, die ihm nach dem Betriebsverfassungsgesetz nicht zukommt. BAG 1 ABR 21/97

Der Arbeitgeber soll also den Betriebsrat nicht kontrollieren und für die Amts- und Geschäftsführung des Betriebsrats nicht verantwortlich sein. Es ist ihm auch schlicht nicht möglich. Gleiches gilt für den Personalrat. Vielmehr muss die Arbeitnehmervertretung in eigener Verantwortung für die Einhaltung des Datenschutzes sorgen.

Das hätte aber die Konsequenz, dass die Arbeitnehmervertretung Verantwortlicher im Sinne des Art. 4 Nr. 7 der DSGVO wäre. Demnach treffen die Pflichten der DSGVO die Arbeitnehmervertretung. Das ist durchaus zumutbar, denn ein Betriebsrat und Personalrat hat ja auch andere Pflichten zu erfüllen, die ihm der Gesetzgeber ohne weiteres zumutet.

Nicht zumutbar sind aber die wirtschaftlichen Risiken, die den Mitgliedern der Arbeitnehmervertretungen daraus entstehen. Natürlich kann man argumentieren, dass die Risiken ja nur bestehen, wenn die Arbeitnehmervertretung gegen Bestimmungen der DSGVO verstößt. Aber auch ein nicht schuldhaftes Verhalten kann die Schadensersatzforderungen oder Geldbußen auslösen, und damit wird das Risiko schwer kalkulierbar.

Der Gesetzgeber hat das BetrVG und die Personalvertretungsgesetze so angelegt, dass – abgesehen von schuldhaftem Fehlverhalten (z. B. in den Fällen der §§ 119 und 120 BetrVG) – keine persönlichen Risiken für Mitglieder von Arbeitnehmervertretungen entstehen sollen. Äußerstenfalls ist bei groben Verstößen gegen gesetzliche Pflichtgen eine Amtsenthebung eines Mitglieds oder die Auflösung des Gremiums vorgesehen (z. B. gem. § 23 Abs. 1 BetrVG).

Der BGH hat Betriebsräten eine begrenzte Rechtsfähigkeit zugesprochen (III ZR 266/11), was bedeutet, dass Betriebsräte auch in wirtschaftlicher Hinsicht für Konsequenzen ihres Handelns in Anspruch genommen werden können.

Ist eine Arbeitnehmervertretung also Verantwortlicher für den Datenschutz, entstehen ihren Mitgliedern erhebliche persönliche Risiken. Ob es unter diesem Aspekt noch wünschenswert ist, für solch ein Amt zu kandidieren, ist fraglich. Daher ist die Position der Gewerkschaften verständlich, die auf keinen Fall akzeptieren wollen, dass Betriebs- oder Personalräte Verantwortliche sind.

Die AutorInnen der DSGVO haben offensichtlich Arbeitnehmervertretungen in Deutschland nicht im Blick, als sie die Verordnung verfasst haben. Der deutsche Gesetzgeber hätte bei der Neufassung des BDSG die Möglichkeit gehabt, hier für eine Klarstellung zu sorgen. Das hat er aber nicht getan, und das ist bedauerlich. Er hat im Gegenteil eine Lücke zwischen den Begriffen „andere Stelle“ (Art. 4 Nr. 7 DSGVO) und „nichtöffentliche Stelle“ (§ 2 Abs. 4 BDSG) geschaffen. Zu erwarten ist vom Gesetzgeber aber – zumindest kurzfristig – wohl keine Lösung dieses Problems.

Nun sind alle Beteiligten darauf angewiesen, abzuwarten, wie das BAG – voraussichtlich nach einer Anfrage an den EuGH – in dieser Angelegenheit entscheidet.

Hier geht’s weiter…

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Datenschutz in der Arbeitnehmervertretung