Die Frage nach der Rolle einer Arbeitnehmervertretung, wenn sie selbst personenbezogene Daten von Arbeitnehmern verarbeitet, wird derzeit intensiv diskutiert. Noch nicht einmal die Auffassungen der Aufsichtsbehörden stimmen in der Antwort, ob eine Arbeitnehmervertretung „Verantwortlicher“ für den Datenschutz ist, überein. Und auch in der Literatur werden unterschiedliche Meinungen vertreten.

Sowohl von Arbeitgeber- wie auch von Gewerkschaftsseite wird diese Frage entschieden verneint. Mein Eindruck ist allerdings, dass da eher „vom Ende her gedacht“ wird: Arbeitgeber scheuen die Kosten, die entstehen, wenn ein Betriebsrat als Verantwortlicher einen Datenschutzbeauftragten bestellt, seine Mitglieder umfassend zum Datenschutz schult und die notwendigen Mittel für die Umsetzung des Datenschutzes benötigt. Und Gewerkschaften fürchten natürlich den Aufwand und vor allem die Risiken, die Betriebsräten und Personalräten entstehen, wenn sich herausstellen sollte, dass sie als Verantwortliche für den Datenschutz haften sollen.

Was ist das Problem?

Wer der Verantwortliche ist, wird in Art. 4 Nr. 7 der EU-Datenschutzgrundverordnung (DSGVO) bestimmt:

„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;Art. 4 Nr. 7 DSGVO

Allerdings haben die Autoren dieser Verordnung die besondere Situation der Arbeitnehmervertretungen in Deutschland offenbar nicht berücksichtigt. Und der Gesetzgeber in Deutschland hat bei der Neufassung des Bundesdatenschutzgesetzes (BDSG) auch versäumt, die Frage nach der Rolle der Arbeitnehmervertretungen beim Datenschutz zu klären.

Wer Verantwortlicher für den Datenschutz ist, hat eine ganze Reihe von Pflichten zu erfüllen, und er trägt auch nicht unerhebliche Risiken. Deshalb muss dringend geklärt werden, ob auch Arbeitnehmervertretungen in den Kreis der Verantwortlichen gehören.

Die Ausgangslage:

Das BAG hat auf der Grundlage des alten BDSG mehrfach festgestellt, dass

  • das BDSG auch bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gilt,
  • der Betriebsrat nicht selbst „verantwortliche Stelle“ nach dem alten Verständnis des BDSG ist, sondern er als ein Teil des Arbeitgebers Teil der verantwortlichen Stelle „Arbeitgeber“ ist,
  • der Betriebsrat aber dennoch in eigener Verantwortung für die Einhaltung des Datenschutzes in seinem Gremium zu sorgen hat und deshalb
  • der Betriebsrat nicht vom betrieblichen Datenschutzbeauftragten oder dem Arbeitgeber kontrolliert wird, weil das im Widerspruch zur Autonomie des Betriebsrats steht.

Das Problem ist, dass die Bestimmung des Begriffs „Verantwortlicher“ in der DSGVO nicht mehr mit der früheren Definition der „verantwortlichen Stelle“ und insbesondere dem der „nichtöffentlichen Stelle“ des alten BDSG übereinstimmt.

Außerdem werden in der DSGVO sehr konkrete Aufgaben bestimmt, die der Verantwortliche zu erfüllen hat. Wäre der Arbeitgeber der Verantwortliche auch für die Verarbeitung personenbezogener Daten durch den Betriebsrat, müsste er diese Aufgaben auch hinsichtlich dieser Verarbeitung erfüllen – und das würde sich mit der Autonomie des Betriebsrats, die das BAG sehr richtig festgestellt hat, nicht mehr vereinbaren lassen.

„Der Verantwortliche ist verantwortlich“ (Art. 5 Abs. 2 DSGVO)

In Art. 5 Abs. 2 DSGVO steht der simple (Halb-)Satz

Der Verantwortliche ist verantwortlichArt. 5 Abs. 2 DSGVO

Geradezu episch in seiner schlichten Schönheit.

Nur der Verantwortliche ist also verantwortlich, niemand sonst. Wenn aber das BAG sagt, der Betriebsrat müsse den Datenschutz bei der Verarbeitung personenbezogener Daten in eigener Verantwortung sicherstellen, dann bedeutet das doch, dass der Betriebsrat für den Datenschutz verantwortlich ist. Dann muss er aber auch „Verantwortlicher“ sein. Ist aber der Arbeitgeber Verantwortlicher, dann muss er für eine datenschutzkonforme Verarbeitung personenbezogener Daten auch durch den Betriebsrat sorgen – wie bereits erwähnt ein Widerspruch zur Autonomie des Betriebsrats.

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Ebenso steht dort

Der Verantwortliche … muss dessen Einhaltung [des Art. 5 Abs. 1] nachweisen können („Rechenschaftspflicht“).Art. 5 Abs. 2 DSGVO

Der Verantwortliche muss also die Einhaltung der Grundsätze zum Datenschutz nachweisen können, die in Art. 5 Abs. 1 DSGVO bestimmt sind. Nachweisen kann man nur, was man kennt, und Rechenschaft kann man nur ablegen über etwas, das man unter Kontrolle hat. Wenn aber der Arbeitgeber der Verantwortliche ist, und nicht der Betriebsrat, wie soll der Arbeitgeber die Einhaltung der Datenschutzgrundsätze durch den Betriebsrat nachweisen können, wenn der Betriebsrat den Datenschutz in eigener Verantwortung gewährleistet? Nur der Betriebsrat weiß doch, wie er seine Geschäfte führt, und das will das BAG auch sichergestellt wissen. Also wäre nach diesem Grundsatz die Konsequenz zu ziehen, dass der Betriebsrat Verantwortlicher ist, nicht der Arbeitgeber.

Haftung und Recht auf Schadensersatz (Art. 80 DSGVO)

Die DSGVO enthält harte Bestimmungen zum Schadensersatz, jetzt auch im Hinblick auf immaterielle Schäden. Dieser Anspruch richtet sich gegen den Verantwortlichen. Wenn der Arbeitgeber der Verantwortliche auch für die Verarbeitung durch den Betriebsrat ist, er aber diese Verarbeitung wegen der Autonomie des Betriebsrats nicht kontrollieren oder gar steuern kann, muss er dann ein Haftungsrisiko für Handlungen auf sich nehmen, die er nicht beeinflussen kann, ja noch nicht einmal kennt? Wäre aber die Arbeitnehmervertretung der Verantwortliche, will der Gesetzgeber ihren Mitgliedern wirklich solch ein Haftungsrisiko zumuten?

Geldbußen (Art. 83 DSGVO)

Gegen den Verantwortlichen können bei Verstößen gegen wesentliche Bestimmungen der DSGVO empfindliche Geldbußen von bis zu 20.000.000 EUR oder 4% des Vorjahresumsatzes verhängt werden.

Ist der Arbeitgeber Verantwortlicher auch im Hinblick auf die Handlungen des Betriebsrats, würde ihn das Risiko der Geldbuße treffen, wenn der Betriebsrat gegen Bestimmungen zum Datenschutz verstößt. Auch hier stellt sich die Frage: Wie soll ein Arbeitgeber dieses Risiko tragen, wenn der Betriebsrat doch autonom ist, und er deshalb die Handlungen des Betriebsrats nicht steuern, noch nicht einmal kontrollieren kann?

Wenn aber die Arbeitnehmervertretung der Verantwortliche ist, sollen seine Mitglieder das Risiko der Geldbuße tragen, auch wenn z. B. ein einzelnes Mitglied in seiner Funktion als Betriebsratsmitglied gegen Bestimmungen zum Datenschutz verstoßen hat? Schließlich sind Mitglieder des Betriebsrats nicht an Weisungen gebunden – auch nicht an Weisungen durch den Betriebsrat selbst.

Erstes Fazit

Die DSGVO lässt sich mit der bisherigen Rechtsprechung des BAG nicht widerspruchsfrei in Einklang bringen. Sicher wird in naher Zukunft neu vom BAG zu entscheiden sein, und voraussichtlich wird das BAG den EuGH fragen, wer die Rolle des Verantwortlichen bei einer Verarbeitung personenbezogener Daten durch den Betriebsrat zu tragen hat.

Aber wie das Ergebnis auch lautet: Entweder für den Arbeitgeber oder für den Betriebsrat bzw. Personalrat und seine Mitglieder entstehen schwer zu kalkulierende Risiken. Hier ist nicht zuletzt der deutsche Gesetzgeber gefordert, klarzustellen, wer wofür welche Verantwortung übernehmen und welche Haftungsrisiken zu tragen hat.

Einfach auf die Position einzunehmen „Bei Betriebsräten gilt das alles nicht so ernsthaft“ ist keine Lösung. Datenschutz ist ein ernsthaftes Anliegen, und die Bestimmungen der DSGVO sind aus guten Gründen so, wie sie sind. Da müssen auch Arbeitnehmervertretungen in die Pflicht genommen werden, auch wenn’s Arbeit macht und lästig ist. Es kann aber nicht sein, dass bei Arbeitnehmervertretungen ein „toter Winkel“ beim Datenschutz entsteht. Und insbesondere muss geklärt werden, wer die Haftungsrisiken trägt.

Weitere Infos

Auf den folgenden Seiten wird die Frage der Verantwortlichkeit einer Arbeitnehmervertretung, deren Folgen und was das für die Mitglieder bedeutet, im Detail betrachtet

Hier geht’s weiter…

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Datenschutz in der Arbeitnehmervertretung