Art. 5 Abs. 2 DSGVO stellt klar, dass der Verantwortliche für die Einhaltung der Pflichten zum Datenschutz verantwortlich ist – eigentlich eine Selbstverständlichkeit, aber im Verhältnis Arbeitgeber/Betriebsrat bzw. Dienststelle/Personalrat ein besonderes Problem.

Wie soll nämlich der Arbeitgeber all diesen Pflichten gerecht werden und die Verantwortung erfüllen, gar Rechenschaft darüber ablegen können, wenn er doch keinen Einfluss darauf hat, wie der Betriebsrat personenbezogene Daten verarbeitet? Das BAG hat ja in seinen bereits zitierten Entscheidungen auch stets festgestellt, dass der Betriebsrat in seiner Amtsführung autark und keinen Weisungen des Arbeitgebers unterworfen sei.

Wenn der Verantwortliche sicherzustellen hat, dass die Pflichten erfüllt werden und dafür auch zur Rechenschaft gezogen werden kann, muss er steuern und kontrollieren können, wie personenbezogene Daten verarbeitet werden. Das kann nur, wer die Befugnis hat, Weisungen zu erteilen und deren Einhaltung auch durchsetzen kann. Der Arbeitgeber hat diese Befugnis gegenüber einer Arbeitnehmervertretung nicht. Dieses Problem muss gelöst werden, und deshalb müssen die Rolle des Betriebsrats beim Datenschutz und das Verhältnis zwischen Arbeitgeber und Betriebsrat in dieser Frage neu bewertet werden. Insofern ist fraglich, ob die Einschätzung des LAG Hessen (16 TaBV 130/18), es gebe keinen Anlass, dieses Verständnis zu ändern, Bestand haben kann.

Es kann aber auch nicht gewünscht sein, dass der Betriebsrat zum Empfänger von Weisungen des Arbeitgebers wird. Das widerspricht dem Verständnis der Rolle des Betriebsrats als Korrektiv, das sich gelegentlich eben auch im Widerspruch und Konflikt mit dem Arbeitgeber befindet. Der Betriebsrat muss diese Rolle eigenständig und unabhängig ausüben können.

Betrachten wir also zunächst einmal genauer, was die Rolle des „Verantwortlichen“ im Sinne des neu gefassten Art. 4 Nr. 7 der DSGVO kennzeichnet.

Hier muss man zwischen den Begriffen „andere Stelle“ (Art. 4 Nr. 7 DSGVO) und „nichtöffentliche Stelle“ (§ 2 Abs. 4 BDSG) unterscheiden.

Ist der Betriebsrat eine Stelle?

Art. 4 Nr. 7 DSGVO sagt, Verantwortlicher könne eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ sein. Ohne Zweifel ist ein Betriebsrat weder natürliche noch juristische Person, er ist auch keine Behörde und keine Einrichtung.

Wer unter keine der „Entitäten“, die in Art. 4 Nr. 7 DSGVO fällt, kann auch nicht Verantwortlicher sein. Also stellt sich die Frage, ob ein Betriebsrat eine „andere Stelle“ ist – ist er es nicht, ist die Frage nach der Rolle des Betriebsrats als Verantwortlicher schon beantwortet.

Der Betriebsrat ist keine „nichtöffentliche Stelle“

Das BAG hat in einer Entscheidung (7 ABR 15/08) festgestellt:

Nicht öffentliche Stellen müssen zwar nach § 2 Abs. 4 BDSG natürliche und juristische Personen sein. Deshalb ist aufgrund seiner fehlenden Rechtsfähigkeit nicht der Betriebsrat Adressat des BDSG, sondern der Arbeitgeber. BAG 7 ABR 15/08

In § 2 Abs. 4 der Neufassung des BDSG findet sich diese Begriffsbestimmung der „nichtöffentlichen Stelle“ wieder:

Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts […]. § 2 Abs. 4 BDSG

Die Begriffsbestimmungen des BDSG gelten allerdings nur für das BDSG. Der Begriff der „nichtöffentlichen Stelle“ wird im BDSG z. B. in § 22, in § 24, § 33 und § 38 verwendet.

Ein Betriebsrat ist also gem. der Definition in § 2 Abs. 4 BDSG keine „nichtöffentliche Stelle“. Dort, wo Regelungen für nichtöffentliche Stellen getroffen werden (z. B. in §§ 22 und 24 BDSG), gelten diese Regeln demnach nicht für einen Betriebsrat.

Demnach hätte ein Betriebsrat z. B. nicht die Pflicht, einen Datenschutzbeauftragten zu bestellen (§ 38 BDSG), weil diese Pflicht „nichtöffentliche Stellen“ trifft.

Weil es aber im BDSG keine Begriffsbestimmung für den Begriff „Verantwortlicher“ gibt, ist dort, wo das BDSG diesen Begriff verwendet, von der Begriffsbestimmung der DSGVO auszugehen. Das DBSG jedenfalls schränkt den Begriff des Verantwortlichen nicht in gleicher Weise ein wie den Begriff der „nichtöffentlichen Stelle“.

Der Betriebsrat kann eine „andere Stelle“ sein.

Art. 4 Nr. 7 der DSGVO lautet:

„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; Art. 4 Nr. 7 DSGVO

Die DSGVO hat den Vorrang vor dem BDSG. Und dort findet sich keine Bestimmung darüber, wer eine „Stelle“ im Sinne der „anderen Stelle“ des Art. 4 Nr. 7 DSGVO ist. Eine Einschränkung im Sinne von „Stellen sind natürliche oder juristische Personen“ (analog § 2 Abs. 4 BDSG) oder dergleichen findet sich dort nicht – im Gegenteil werden ja in Art. 4 Nr. 7 DSGVO neben natürlichen oder juristischen Personen auch beliebige „andere Stellen“ genannt.

„Stelle“ kann eine organisatorische oder räumliche Einheit sein. Sie braucht keine juristische oder natürliche Person und keine Körperschaft öffentlichen Rechts zu sein, denn die sind ja schon explizit in Art. 4 Nr. 7 DSGVO genannt. Sie muss handlungsfähig sein, und sie muss Trägerin von Rechten und/oder Pflichten sein, denn nur dann kann sie die Pflichten der DSGVO ausüben und die Entscheidungen treffen und Handlungen vornehmen, die die DSGVO vom Verantwortlichen verlangt. Auf einen Betriebsrat und Personalrat trifft dies zu: Er ist handlungsfähig, trifft Entscheidungen, fasst Beschlüsse, übt Rechte aus und erfüllt Pflichten.

Dass eine Arbeitnehmervertretung nicht rechtsfähig im zivilrechtlichen Sinne ist, spielt dabei keine Rolle, denn bei der Frage nach der Verantwortlichkeit beim Datenschutz geht es ja nicht darum, ob ein Betriebsrat oder Personalrat Verträge abschließen, Eigentum erwerben oder vergleichbare zivilrechtliche Rechte ausüben kann.

Auch das Argument, dass einer Arbeitnehmervertretung ausschließlich Rechte oder Pflichten aus dem BetrVG oder dem jeweils anzuwendenden Personalvertretungsgesetz entstehen, vermag nicht zu überzeugen. Es gibt auch andere Normen, die Rechte oder Pflichten von Arbeitnehmervertretungen begründen, z. B. das AGG und das ASiG.

Damit ist ein Betriebsrat oder ein Personalrat eine „Stelle“, kann also auch eine „andere Stelle“ i. S. d. Art. 4 Nr. 7 DSGVO sein.

Gilt vielleicht doch die Einschränkung der „nichtöffentlichen Stelle“ auch für die Entscheidung, ob Arbeitnehmervetretungen „Verantwortliche“ sind?

In Art. 4 Nr. 7 DSGVO steht auch:

[…] sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; Art. 4 Nr. 7 DSGVO

Die DSGVO sieht also vor, dass die Mitgliedsstaaten die Bestimmung, wer „Verantwortlicher“ ist, nach eigenem Recht gestalten können. Fraglich ist, ob der Gesetzgeber das in § 2 Abs. 4 BDSG gemacht hat. Er hat es jedenfalls versäumt, dort klarzustellen, dass auch hinsichtlich der DSGVO „nichtöffentliche Verantwortliche“ nur natürliche oder juristische Personen sein können, sondern den Begriff der „nichtöffentlichen Stelle“ beibehalten.

Vor allem aber ist die Voraussetzung in Art. 4 Nr. 7 DSGVO nicht erfüllt: Zumindest die Mittel der Verarbeitung werden Arbeitnehmervertretungen durch deutsches Recht nicht vorgegeben – siehe den nächsten Abschnitt.

Zusammenfassung

Eine Arbeitnehmervertretung ist keine „nichtöffentliche Stelle“ i. S. d. § 2 Abs. 4 BDSG. Da das BDSG aber den Begriff „Verantwortlicher“ nicht definiert, die Begriffe „Verantwortlicher“ und „nichtöffentliche Stelle“ auch nicht synonym verwendet werden und außerdem die DSGVO Vorrang vor dem BDSG hat, ist beim Verständnis des Begriffs „Verantwortlicher“ i. S. d. Art. 4 Nr. 7 DSGVO ausschließlich von der Definition der DSGVO auszugehen. Die Rechtsprechung des BAG über nichtöffentliche Stellen ist insofern nicht anwendbar.

Eine Arbeitnehmervertretung kann durchaus eine „andere Stelle“ sein. Der Begriff der „anderen Stelle“ in der DSGVO ist weiter gefasst als der der „nichtöffentlichen Stelle“ im BDSG. Ob der Betriebsrat „Rechtssubjekt“ im zivilrechtlichen Sinne ist, ist in der DSGVO ohne Belang.

Hier geht’s weiter…

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Datenschutz in der Arbeitnehmervertretung