Dass eine Arbeitnehmervertretung in erheblichem Umfang personenbezogene Daten von Arbeitnehmern verarbeitet, kann nicht ernsthaft bestritten werden. „Verarbeitung“ personenbezogener Daten ist lt. Art. 4 Nr. 2 EU-Datenschutzgrundverordnung (DSGVO) jeder Umgang mit personenbezogenen Daten, ganz gleich ob es sich um Erheben, Erfassen, Organisieren, Ordnen, Speichern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Bereitstellen, Abgleichen, Verknüpfen mit anderen Daten oder auch Löschen handelt.

Ein Betriebsrat z. B.

  • erhält vom Arbeitgeber personenbezogene Daten über Arbeitnehmer, die Beteiligte einer personellen Einzelmaßnahme sein sollen; er legt die Daten z. B. auf seinem Laufwerk auf dem Server ab („Speichern“), stellt sie den Mitgliedern für die Vorbereitung der Sitzung zur Verfügung („Übermitteln“ oder „Bereitstellen“), prüft evt., ob eine andere Maßnahme in der Vergangenheit etwas mit dieser personellen Einzelmaßnahme zu tun hat („Abgleichen“), übernimmt Teile davon in die Vorlage für den Beschluss, den er ebenfalls auf dem Laufwerk speichert („Verwenden“ und „Speichern“), fasst den Beschluss, dokumentiert ihn im Protokoll, das ebenfalls auf dem Laufwerk abgelegt wird („Verwenden“ und „Speichern“, evt. auch „Bereitstellen“), teilt den Beschluss dem Arbeitgeber mit („Übermitteln“) und löscht (hoffentlich) den Anhörungsbogen, wenn der Vorgang endgültig abgeschlossen ist;

  • prüft regelmäßig die Dienstpläne; dafür erhält er vom Arbeitgeber z. B. die Dienstpläne als PDF- oder Excel-Dateien, speichert sie, gleicht sie mit anderen Daten ab, stellt Gründe fest, warum ein Dienstplan nicht seine Zustimmung finden kann etc.;

  • prüft regelmäßig die Ist-Arbeitszeiten von Arbeitnehmern; dafür erhält er vom Arbeitgeber Tabellen mit Ist-Arbeitszeiten oder liest sie selbst aus dem Zeiterfassungssystem aus, kontrolliert die tatsächlichen Arbeitszeiten, die Stände der Arbeitszeitkonten etc.;

  • nimmt Beschwerden von Arbeitnehmern entgegen, Dokumentiert die Beschwerden, nimmt sie auf die Tagesordnung, bespricht sie im Betriebsrat, beschließt über die Maßnahmen, die er daraufhin ergreifen will etc.;

  • wird bei BEM-Verfahren hinzugezogen;

  • muss bei Gefährdungsbeurteilungen und den daraus abzuleitenden Maßnahmen zum Gesundheitsschutz darüber mitentscheiden, ob bestimmte körperliche Beeinträchtigungen eines Arbeitnehmers es erfordern, bestimmte Maßnahmen durchzuführen; dazu muss er Erkenntnisse über gesundheitliche Probleme des betroffenen Arbeitnehmers berücksichtigen;

  • muss über die Anträge des Arbeitgebers, dass bestimmte Arbeitnehmer Mehrarbeit leisten sollen, entscheiden;

  • muss bei Streitigkeiten über Urlaubsanträge einzelner Arbeitnehmer, bei denen keine Einigkeit erzielt wird, mitentscheiden;

  • bestimmt über Vergütungsfragen, z. B. die Prämierung von Sonderleistungen, mit;

  • überwacht die Einhaltung der Tarifverträge;

  • Nimmt Einblick in die Bruttovergütungen aller Arbeitnehmer.

Dies ist nur eine kleine Auswahl der Fälle, in denen der Betriebsrat seine Aufgaben ohne die Verarbeitung personenbezogener Daten gar nicht erfüllen kann – entsprechendes gilt natürlich auch für Personalräte.

Frühere Entscheidungen des BAG

Das BAG hat in einigen Entscheidungen (z. B. 1 ABR 46/10, 1 ABR 54/12) stets festgestellt, dass datenschutzrechtliche Gründe einer Weitergabe von Daten an den Betriebsrat und deren Verwendung bzw. Verarbeitung durch ihn nicht entgegenstehen, wenn diese Daten erforderlich sind, damit der Betriebsrat seine Aufgaben erfüllen kann.

Das BAG hat dabei stets betont, dass

  • der Betriebsrat Teil des Betriebs bzw. des Unternehmens sei, es sich deshalb auch nicht um eine „Weitergabe an Dritte“ handelt;

  • diese Form der Nutzung nach datenschutzrechtlichen Bestimmungen zulässig sei, sei es, weil sie für die Begründung eines Beschäftigungsverhältnisses erforderlich seien (§ 32 Abs. 1 im alten BDSG, jetzt in § 26 Abs. 1 BDSG zu finden), sei es, weil das BetrVG als Rechtsvorschrift diese Verarbeitung erlaubt oder anordnet (§ 4 Abs. 1 im alten BDSG, jetzt entsprechend in Art. 6 Abs. 1 lit. c DSGVO zu finden);

  • der Betriebsrat aber jedenfalls nicht selbst „verantwortliche Stelle“ (§ 3 Abs. 7 im alten BDSG), sondern Teil des Arbeitgebers als „verantwortliche Stelle“ sei.

Die spannende Frage ist nun: hat sich die Rolle des Betriebsrats nach der Neuregelung des Datenschutzes in der DSGVO und der entsprechenden Anpassung des Bundesdatenschutzgesetzes (BDSG) geändert?

Im alten Datenschutzrecht war von einer „verantwortlichen Stelle“ die Rede, die bestimmte Pflichten zu erfüllen hat. Das BAG hat wie erwähnt stets betont, dass der Betriebsrat nicht selbst eine verantwortliche Stelle, sondern dem Arbeitgeber zuzurechnen sei, der die Rolle der verantwortlichen Stelle innehabe (z. B. in 1 ABR 19/02, 1 ABR 46/10).

Neue Rolle mit Einführung der DSGVO?

Diese Frage nach der neuen Rolle stellt sich, weil

  • die Definition des Verantwortlichen in Art. 4 Nr. 7 der DSGVO gegenüber der früheren Definition der verantwortlichen Stelle in § 3 Abs. 7 BDSG (alt) erheblich geändert wurde und

  • die Aufgaben und die Verantwortung des Verantwortlichen in der DSGVO gegenüber früheren Bestimmungen deutlich erweitert, präzisiert und konkretisiert wurden.

Das LAG Hessen hat in einer Entscheidung vom Dezember 2018 (16 TaBV 130/18 vom 10.12.2018) auf die Entscheidungen des BAG aus der Zeit vor Inkrafttreten der DSGVO verwiesen und die Auffassung vertreten, dass der Betriebsrat nach wie vor dem Arbeitgeber zuzuordnen sei und nur der die Rolle des Verantwortlichen innehabe. Es erkennt keinen Anlass, dieses Verständnis zu ändern. Ob diese Entscheidung Bestand haben wird, bleibt abzuwarten. Immerhin ist das alte Verständnis der „verantwortlichen Stelle“ mit dem des „Verantwortlichen“ nach neuem Recht nicht mehr identisch.

Warum ist das Problem bedeutsam?

Der Verantwortliche für den Datenschutz hat eine Fülle von Pflichten zu erfüllen und trägt auch ein erhebliches Risiko, wenn er nicht korrekt handelt.

Die Pflichten des Verantwortlichen sind vor allem:

  • Er hat sicherzustellen, dass personenbezogene Daten ausschließlich auf rechtmäßige Weise verarbeitet werden (Art. 5 Abs. 1 lit a und Art. 6 DSGVO).

  • Er hat die Transparenz für die Betroffenen sicherzustellen (Art. 5 Abs. 1 lit a und Art. 12 ff DSGVO)

  • Er hat sicherzustellen, dass personenbezogene Daten stets für bestimmte, im Voraus eindeutig festgelegte und legitime Zwecke verarbeitet werden (Art. 5 Abs. 1 lit b DSGVO).

  • Er hat sicherzustellen, dass personenbezogene Daten immer nur in dem Umfang verarbeitet werden, der für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit c DSGVO).

  • Er hat sicherzustellen, dass Daten, wenn sie nicht mehr benötigt werden oder wenn andere Voraussetzungen erfüllt sind, gelöscht werden (Art. 5 Abs. 1 lit c und e sowie Art. 17 DSGVO).

  • Er hat sicherzustellen, dass personenbezogene Daten stets richtig sind (Art. 5 Abs. 1 lit e DSGVO).

  • Er hat sicherzustellen, dass personenbezogene Daten auf eine Weise verarbeitet werden, die die Integrität und Vertraulichkeit dieser Daten und deren Verarbeitung gewährleistet (Art. 5 Abs. 1 lit f und Art. 32 ff DSGVO).

  • Er hat zu dokumentieren, für welche Zwecke und in welcher Weise er welche personenbezogenen Daten verarbeitet (Art. 30 DSGVO).

Dies ist nur die Zusammenstellung der wichtigsten Pflichten des Verantwortlichen. Vor allem aber trifft ihn die Pflicht aus Art. 5 Abs. 2 DSGVO: Er muss in der Lage sein, nachzuweisen, dass er die in Art. 5 Abs. 1 DSGVO zusammengefassten Pflichten zum Datenschutz erfüllt („Rechenschaftspflicht“).

Es muss also geklärt werden, wen diese Pflichten treffen und wer dafür die Verantwortung übernimmt, dass sie erfüllt werden.

Hier geht’s weiter…

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Datenschutz in der Arbeitnehmervertretung