Ein Betriebsrat oder (Bundes-)Personalrat ist nicht Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO
Nach Inkrafttreten der DSGVO wurde intensiv darüber diskutiert, welche datenschutzrechtliche Rolle eine Arbeitnehmervertretung innehat. Dass eine Arbeitnehmervertretung in erheblichem Umfang personenbezogene Daten verarbeitet, ist unstreitig. Die Frage war: Wer ist im gesetzlichen Sinne dafür verantwortlich, die Einhaltung des Datenschutzes zu gewährleisten – der Arbeitgeber oder die Arbeitnehmervertretung? Noch nicht einmal die Auffassungen der Aufsichtsbehörden stimmten darin überein, ob eine Arbeitnehmervertretung „Verantwortlicher“ für den Datenschutz ist. Und auch in der Literatur wurden unterschiedliche Meinungen vertreten.
Die DSGVO bestimmt sehr konkret, welche Pflichten der Verantwortliche zu erfüllen und welche Risiken er zu tragen hat. Diesen Pflichten kann ein Arbeitgeber nicht gerecht werden, wenn er allein der Verantwortliche ist, die Arbeitnehmervertretung aber personenbezogene Daten in eigener Verantwortung verarbeitet. Und auch die neu gefassten Risiken, die sich aus der Rolle des Verantwortlichen ergeben – insbesondere aus Schadensersatz und Bußgeld –, setzen voraus, dass er vollständige Kontrolle über die Datenverarbeitung hat.
Aktuelle Entscheidungen
Das LAG Hessen hat in einer Entscheidung vom Dezember 2018 (16 TaBV 130/18 vom 10.12.2018) auf die Entscheidungen des BAG aus der Zeit vor Inkrafttreten der DSGVO verwiesen und die Auffassung vertreten, dass ein Betriebsrat nach wie vor dem Arbeitgeber zuzuordnen sei und nur der die Rolle des Verantwortlichen innehabe. Es erkennt keinen Anlass, dieses Verständnis zu ändern. Ob diese Entscheidung Bestand haben wird, bleibt abzuwarten.
Die Rolle einer Arbeitnehmervertretung wird überdacht werden müssen. Die bisherige Rechtsprechung jedenfalls passt nicht mehr mit den geänderten gesetzlichen Regeln beim Datenschutz zusammen.
Das LAG Sachsen-Anhalt hat das bereits getan, und sich in der Entscheidung 4 TaBV 19/17 vom 18.12.2018 deutlich geäußert:
Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.
LAG Sachsen-Anhalt, 4 TaBV 19/17 vom 18.12.2018
Jetzt ist das BAG gefragt, und unter dem Aktenzeichen 1 ABR 15/19 liegt die Rechtsbeschwerde dort vor. Wir sind gespannt.
Warum ist das Problem bedeutsam?
Der Verantwortliche für den Datenschutz hat eine Fülle von Pflichten zu erfüllen und trägt auch ein erhebliches Risiko, wenn er nicht korrekt handelt.
Die Pflichten des Verantwortlichen sind vor allem:
- Er hat sicherzustellen, dass personenbezogene Daten ausschließlich auf rechtmäßige Weise verarbeitet werden (Art. 5 Abs. 1 lit a und Art. 6 DSGVO).
- Er hat die Transparenz für die Betroffenen sicherzustellen (Art. 5 Abs. 1 lit a und Art. 12 ff DSGVO).
- Er hat sicherzustellen, dass personenbezogene Daten stets für bestimmte, im Voraus eindeutig festgelegte und legitime Zwecke verarbeitet werden (Art. 5 Abs. 1 lit b DSGVO).
- Er hat sicherzustellen, dass personenbezogene Daten immer nur in dem Umfang verarbeitet werden, der für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit c DSGVO).
- Er hat sicherzustellen, dass Daten, wenn sie nicht mehr benötigt werden oder wenn andere Voraussetzungen erfüllt sind, gelöscht werden (Art. 5 Abs. 1 lit c und e sowie Art. 17 DSGVO).
- Er hat sicherzustellen, dass personenbezogene Daten stets richtig sind (Art. 5 Abs. 1 lit d DSGVO).
- Er hat sicherzustellen, dass personenbezogene Daten auf eine Weise verarbeitet werden, die die Integrität und Vertraulichkeit dieser Daten und deren Verarbeitung gewährleistet (Art. 5 Abs. 1 lit f und Art. 32 ff DSGVO).
- Er hat zu dokumentieren, für welche Zwecke und in welcher Weise er welche personenbezogenen Daten verarbeitet (Art. 30 DSGVO).
Dies ist nur die Zusammenstellung der wichtigsten Pflichten des Verantwortlichen. Vor allem aber trifft ihn die Pflicht aus Art. 5 Abs. 2 DSGVO: Er muss in der Lage sein, nachzuweisen, dass er die in Art. 5 Abs. 1 DSGVO zusammengefassten Pflichten zum Datenschutz erfüllt („Rechenschaftspflicht“).
Es muss also geklärt werden, wen diese Pflichten treffen und wer die Verantwortung dafür übernimmt, dass sie erfüllt werden.
Das „dogmatische“ Problem – eine Frage der Begriffe:
Im BDSG 1982 gab es den Begriff der „verantwortlichen Stelle“, die entweder eine „öffentliche Stelle“ oder eine „nichtöffentliche Stelle“ war. Dass ein Betriebsrat keine öffentliche Stelle ist, stand außer Frage. Lt. § 2 Abs. 4 BDSG war eine „nichtöffentliche Stelle“ eine natürliche oder juristische Person oder eine Gesellschaft oder andere Personenvereinigungen des privaten Rechts. Ein Betriebsrat ist nichts davon, und deshalb hat das BAG in der Vergangenheit ganz richtig festgestellt, dass ein Betriebsrat keine nichtöffentliche Stelle sei und deshalb auch keine verantwortliche Stelle sein könne.
In der DSGVO ist aber von einer „nichtöffentlichen Stelle“ nirgendwo die Rede. Stattdessen heißt es in Art. 4 Nr. 7, Verantwortlicher könne auch eine „andere Stelle“ sein. Die Frage ist also: Trifft das auf eine Arbeitnehmervertretung zu?
Zwar findet sich der Begriff der nichtöffentlichen Stelle in § 2 Abs. 4 des BDSG auch in der Fassung von 2018 mit der gleichen Definition wieder. Aber dieser Begriff ist ein Begriff des BDSG, nicht der DSGVO. Hat also der Begriff der „anderen Stelle“ der DSGVO den Vorrang vor dem der „nichtöffentlichen Stelle“ des BDSG? Oder schränkt der Begriff der „nichtöffentlichen Stelle“ aus dem BDSG den Anwendungsbereich der DSGVO insofern ein, dass Stellen, die keine öffentlichen und keine nichtöffentlichen Stellen sind, keine „anderen Stellen“ im Sinne des Art. 4 Nr. 7 DSGVO sein können und deshalb auch nicht „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO sind?
Oder um es mit den Begriffen der Mengenlehre zu erklären: Bisher füllten die öffentlichen Stellen und die nichtöffentlichen Stellen die Menge der verantwortlichen Stellen vollständig aus, es gab keinen Raum für anders geartete Stellen, die verantwortlichen Stellen waren also gewissermaßen die Vereinigungsmenge von öffentlichen und nichtöffentlichen Stellen. Weil ein Betriebsrat aber weder öffentliche noch nichtöffentliche Stelle ist, konnte er auch nicht verantwortliche Stelle i. S. d. BDSG 1982 sein. Nach der Neufassung der DSGVO stellt sich aber die Frage, ob es neben den öffentlichen und nichtöffentlichen Stellen auch andere Stellen geben kann (die ja in Art. 4 Nr. 7 DSGVO genannt sind), und die zusätzlich in die Menge der Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO gehören. Wäre das so, dann könnte ein Betriebsrat in diese „dritte Menge“ gehören.
Hier sind das BAG und der EuGH gefragt.
Das „pragmatische“ Problem – eine Frage der Anwendbarkeit:
Wir haben oben die Pflichten gesehen, die ein Verantwortlicher zu erfüllen hat. Diese Pflichten sind sehr konkret bestimmt, und der Verantwortliche hat sie zu erfüllen. Tut er das nicht, drohen ihm Bußgelder und Schadensersatzforderungen.
Bleibt der Arbeitgeber Verantwortlicher, wie soll er die Pflichten bei der Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung erfüllen? Man kann doch nur steuern, was man unter Kontrolle hat. Wenn aber der Arbeitgeber bzw. dessen Datenschutzbeauftragter nicht kontrollieren dürfen, wie die Arbeitnehmervertretung personenbezogene Daten verarbeitet, hat er keinen Einfluss auf die Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung.
Art. 5 Abs. 2 der DSGVO verlangt:
Der Verantwortliche […] muss dessen [des Art. 5 Abs. 1] Einhaltung nachweisen können („Rechenschaftspflicht“).
Art. 5 Abs. 2 DSGVO
Der Verantwortliche muss also die Einhaltung der Grundsätze zum Datenschutz nachweisen können, die in Art. 5 Abs. 1 DSGVO bestimmt sind. Nachweisen kann man nur, was man selbst weiß, und Rechenschaft kann man nur ablegen über etwas, das man selbst steuern kann. Wenn aber der Arbeitgeber der Verantwortliche ist, und nicht der Betriebsrat, wie soll der Arbeitgeber die Einhaltung der Datenschutzgrundsätze durch den Betriebsrat nachweisen können, wenn der Betriebsrat den Datenschutz in eigener Verantwortung gewährleistet? Nur der Betriebsrat weiß doch, wie er seine Geschäfte führt, und das will das BAG auch sichergestellt wissen.
„Der Verantwortliche ist verantwortlich“ (Art. 5 Abs. 2 DSGVO)
In Art. 5 Abs. 2 DSGVO steht der simple (Halb-)Satz
Der Verantwortliche ist verantwortlich […]
Art. 5 Abs. 2 DSGVO
Geradezu episch in seiner schlichten Schönheit.
Der Verantwortliche ist also verantwortlich, niemand sonst. Wenn aber das BAG sagt, der Betriebsrat müsse den Datenschutz bei der Verarbeitung personenbezogener Daten in eigener Verantwortung sicherstellen, dann bedeutet das doch, dass der Betriebsrat für den Datenschutz verantwortlich ist. Dann muss er aber auch „Verantwortlicher“ sein. Bleibt aber der Arbeitgeber Verantwortlicher, dann muss er für eine datenschutzkonforme Verarbeitung personenbezogener Daten auch durch den Betriebsrat sorgen – wie bereits erwähnt ein Widerspruch zur Autonomie des Betriebsrats.
Erstes Fazit
Zwischen der neuen DSGVO und der bisherigen Rechtsprechung über die Verantwortung einer Arbeitnehmervertretung beim Datenschutz ist eine Lücke entstanden. Sicher wird die Frage nach der Verantwortung eines Betriebsrats in naher Zukunft neu vom BAG zu entscheiden sein, und voraussichtlich wird das BAG den EuGH fragen, wer die Rolle des Verantwortlichen bei einer Verarbeitung personenbezogener Daten durch den Betriebsrat zu tragen hat.
Aber wie das Ergebnis auch lautet: Entweder für den Arbeitgeber oder für den Betriebsrat bzw. Personalrat und seine Mitglieder entstehen schwer zu kalkulierende Risiken. Hier ist nicht zuletzt der deutsche Gesetzgeber gefordert, klarzustellen, wer wofür welche Verantwortung übernehmen und welche Haftungsrisiken zu tragen hat.
Einfach die Position einzunehmen „Bei Betriebsräten gilt das alles nicht so ernsthaft“ ist keine Lösung. Datenschutz ist ein ernsthaftes Anliegen, und die Bestimmungen der DSGVO sind aus guten Gründen so, wie sie sind. Es kann nicht sein, dass bei Arbeitnehmervertretungen ein blinder Fleck beim Datenschutz entsteht. Und insbesondere muss geklärt werden, wer die Haftungsrisiken trägt.
Auf den folgenden Seiten erfahren Sie im Detail, welche Kriterien für die Frage nach der Rolle des Verantwortlichen relevant sind, welche Pflichten und Risiken daraus entstehen und wie Sie als Betriebsrat oder Personalrat mit der neuen Situation umgehen können.
Erfahren Sie mehr!
Das passende Seminar zu diesem Thema:
Datenschutz in der Arbeitnehmervertretung
