Betriebsrat oder Personalrat als Verantwortlicher? Die Analyse im Detail
Eine Arbeitnehmervertretung verarbeitet personenbezogene Daten
Dass eine Arbeitnehmervertretung in erheblichem Umfang personenbezogene Daten von Arbeitnehmern verarbeitet, kann nicht ernsthaft bestritten werden. „Verarbeitung“ personenbezogener Daten ist lt. Art. 4 Nr. 2 EU-Datenschutzgrundverordnung (DSGVO) jeder Umgang mit personenbezogenen Daten, ganz gleich ob es sich um Erheben, Erfassen, Organisieren, Ordnen, Speichern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Bereitstellen, Abgleichen, Verknüpfen mit anderen Daten oder auch Löschen handelt.
Ein Betriebsrat z. B.
- erhält vom Arbeitgeber personenbezogene Daten über Arbeitnehmer, die Beteiligte einer personellen Einzelmaßnahme sein sollen; er legt die Daten z. B. auf seinem Laufwerk auf dem Server ab („Speichern“), stellt sie den Mitgliedern für die Vorbereitung der Sitzung zur Verfügung („Übermitteln“ oder „Bereitstellen“), prüft evt., ob eine andere Maßnahme in der Vergangenheit etwas mit dieser personellen Einzelmaßnahme zu tun hat („Abgleichen“), übernimmt Teile davon in die Vorlage für den Beschluss, den er ebenfalls auf dem Laufwerk speichert („Verwenden“ und „Speichern“), fasst den Beschluss, dokumentiert ihn im Protokoll, das ebenfalls auf dem Laufwerk abgelegt wird („Verwenden“ und „Speichern“, evt. auch „Bereitstellen“), teilt den Beschluss dem Arbeitgeber mit („Übermitteln“) und löscht (hoffentlich) den Anhörungsbogen, wenn der Vorgang endgültig abgeschlossen ist;
- prüft regelmäßig die Dienstpläne; dafür erhält er vom Arbeitgeber z. B. die Dienstpläne als PDF- oder Excel-Dateien, speichert sie, gleicht sie mit anderen Daten ab, stellt Gründe fest, warum ein Dienstplan nicht seine Zustimmung finden kann etc.;
- prüft regelmäßig die Ist-Arbeitszeiten von Arbeitnehmern; dafür erhält er vom Arbeitgeber Tabellen mit Ist-Arbeitszeiten oder liest sie selbst aus dem Zeiterfassungssystem aus, kontrolliert die tatsächlichen Arbeitszeiten, die Stände der Arbeitszeitkonten etc.;
- nimmt Beschwerden von Arbeitnehmern entgegen, Dokumentiert die Beschwerden, nimmt sie auf die Tagesordnung, bespricht sie im Betriebsrat, beschließt über die Maßnahmen, die er daraufhin ergreifen will etc.;
- wird bei BEM-Verfahren hinzugezogen;
- entscheidet u. U. bei Gefährdungsbeurteilungen und den daraus abzuleitenden Maßnahmen zum Gesundheitsschutz darüber mit, ob bestimmte körperliche Beeinträchtigungen eines Arbeitnehmers es erfordern, bestimmte Maßnahmen durchzuführen; dazu muss er Erkenntnisse über gesundheitliche Probleme des betroffenen Arbeitnehmers berücksichtigen;
- muss über die Anträge des Arbeitgebers, dass bestimmte Arbeitnehmer Mehrarbeit leisten sollen, entscheiden;
- muss bei Streitigkeiten über Urlaubsanträge einzelner Arbeitnehmer, bei denen keine Einigkeit erzielt wird, mitentscheiden;
- bestimmt über Vergütungsfragen, z. B. die Prämierung von Sonderleistungen, mit;
- überwacht die Einhaltung der Tarifverträge;
- Nimmt Einblick in die Bruttovergütungen aller Arbeitnehmer.
Dies ist nur eine kleine Auswahl der Fälle, in denen der Betriebsrat seine Aufgaben ohne die Verarbeitung personenbezogener Daten gar nicht erfüllen kann – entsprechendes gilt natürlich auch für Personalräte.
Frühere Entscheidungen des BAG
Das BAG hat in einigen Entscheidungen (z. B. 1 ABR 46/10, 1 ABR 54/12) stets festgestellt, dass datenschutzrechtliche Gründe einer Weitergabe von Daten an den Betriebsrat und deren Verwendung bzw. Verarbeitung durch ihn nicht entgegenstehen, wenn diese Daten erforderlich sind, damit der Betriebsrat seine Aufgaben erfüllen kann.
Das BAG hat dabei stets betont, dass
- der Betriebsrat Teil des Betriebs bzw. des Unternehmens sei, es sich deshalb auch nicht um eine „Weitergabe an Dritte“ handelt;
- diese Form der Nutzung nach datenschutzrechtlichen Bestimmungen zulässig sei, sei es, weil sie für die Begründung eines Beschäftigungsverhältnisses erforderlich sei (§ 32 Abs. 1 im alten BDSG, jetzt in § 26 Abs. 1 BDSG zu finden), sei es, weil das BetrVG als Rechtsvorschrift diese Verarbeitung erlaubt oder anordnet (§ 4 Abs. 1 im alten BDSG, jetzt entsprechend in Art. 6 Abs. 1 lit c DSGVO zu finden);
- der Betriebsrat aber jedenfalls nicht selbst „verantwortliche Stelle“ (§ 3 Abs. 7 im alten BDSG), sondern Teil des Arbeitgebers als „verantwortliche Stelle“ sei.
Die Begriffe: „verantwortliche Stelle“, „nichtöffentliche Stelle“, „Verantwortlicher“ und „andere Stelle“
Im alten Datenschutzrecht („BDSG 1982“) gab es den Begriff der „verantwortlichen Stelle“. Er war in § 3 Abs. 7 BDSG 1982 definiert:
Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
§ 3 Abs. 7 BDSG 1982
Die verantwortliche Stelle hatte die Pflichten zu erfüllen, die sich aus dem BDSG ergaben, also vor allem sicherzustellen, dass personenbezogene Daten nur zu den im BDSG bestimmten Bedingungen verarbeitet werden.
Das BAG hat wie erwähnt stets betont, dass der Betriebsrat nicht selbst eine verantwortliche Stelle, sondern dem Arbeitgeber zuzurechnen sei, der die Rolle der verantwortlichen Stelle innehabe (z. B. in 1 ABR 19/02, 1 ABR 46/10). Es hat das schon formell damit begründet, dass das BDSG (1982) in § 2 Abs. 4 eine weitere Begriffsbestimmung vorgenommen hat:
Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. […]
§ 2 Abs. 4 BDSG 1982 und BDSG 2018
Das BAG hat in einer Entscheidung (7 ABR 15/08) festgestellt:
Nicht öffentliche Stellen müssen nach § 2 Abs. 4 BDSG natürliche und juristische Personen sein. Deshalb ist aufgrund seiner fehlenden Rechtsfähigkeit nicht der Betriebsrat Adressat des BDSG, sondern der Arbeitgeber.
BAG 7 ABR 15/08
Dieser Begriff der „nicht-öffentlichen Stelle“ findet sich auch im neuen BDSG, ebenfalls in § 2 Abs. 4.
Ein Betriebsrat ist weder eine natürliche noch eine juristische Person, und er ist auch keine Gesellschaft oder andere Personenvereinigungen des privaten Rechts. Also ist ein Betriebsrat keine nichtöffentliche Stelle. Weil aber nach dem Verständnis des BDSG 1982 eine verantwortliche Stelle entweder eine öffentliche oder eine nichtöffentliche Stelle war, hat das BAG ganz richtig entschieden, dass ein Betriebsrat, weil er weder öffentliche noch nichtöffentliche Stelle ist, auch nicht verantwortliche Stelle sein kann.
Der Begriff der „verantwortlichen Stelle“ aus dem BDSG 1982 wurde durch den Begriff des „Verantwortlichen“ in der DSGVO abgelöst. Wer der Verantwortliche ist, wird in Art. 4 Nr. 7 der EU-Datenschutzgrundverordnung (DSGVO) bestimmt:
„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Art. 4 Nr. 7 DSGVO
Die DSGVO kennt den Begriff der „öffentlichen Stelle“ und der „nichtöffentlichen Stelle“ nicht. Im Gegenteil werden in Art. 4 Nr. 7 aufgezählt
- natürliche Person,
- juristische Person,
- Behörde,
- Einrichtung und
- andere Stelle.
Die DSGVO inkludiert also neben natürlichen und juristischen Personen ausdrücklich auch „andere Stellen“ in den Kreis der potentiell Verantwortlichen – anders als das BDSG 1982, das jedenfalls für „nichtöffentliche Stellen“ alle Stellen, die nicht natürliche oder juristische Personen, Gesellschaften oder andere Personenvereinigungen des privaten Rechts bestimmt hat, von der Rolle als „verantwortliche Stelle“ ausgenommen hat.
Bestimmung durch nationales Recht?
Die Frage ist, ob die Begriffsbestimmungen des BDSG nur für das BDSG gelten, oder nicht möglicherweise auch für die Anwendung des Begriffs des „Verantwortlichen“ in der DSGVO. In Art. 4 Nr. 7 DSGVO steht auch:
[…] sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Art. 4 Nr. 7 DSGVO
Demnach könnte ein Mitgliedsstaat durch nationales Recht bestimmen, wer Verantwortlicher sein kann (und wer nicht). Das setzt allerdings voraus, dass die Zwecke und Mittel durch das Recht des jeweiligen Mitgliedsstaats in diesen Fällen vorgegeben sind. Das ist bei der Verarbeitung personenbezogener Daten durch eine Arbeitnehmervertretung nicht erfüllt – zumindest über die Mittel kann sie selbst entscheiden, sie sind nicht durch deutsches Recht vorgegeben – diese Frage werde ich später behandeln.
Fazit
Ein Betriebsrat ist also gem. der Definition in § 2 Abs. 4 BDSG keine „nichtöffentliche Stelle“, aber diese Definition schränkt nur die Verwendung des Begriffs des „Verantwortlichen“ im BDSG ein. Dort, wo im BDSG Regelungen für nichtöffentliche Stellen getroffen werden (z. B. in §§ 22, 24 und 38 BDSG), gelten diese Regeln demnach nicht für eine Arbeitnehmervertretung. Ein Problem entsteht allerdings daraus, dass das BDSG die Begriffe „Verantwortlicher“ und „nichtöffentliche Stelle“ teilweise synonym verwendet (z. B. in § 38 BDSG).
Weil es aber im BDSG keine Begriffsbestimmung für den Begriff „Verantwortlicher“ gibt, ist dort, wo das BDSG diesen Begriff verwendet, von der Begriffsbestimmung der DSGVO auszugehen. Das BDSG jedenfalls schränkt den Begriff des Verantwortlichen nicht in gleicher Weise ein wie den Begriff der „nichtöffentlichen Stelle“.
Die Pflichten des Verantwortlichen ergeben sich vorrangig aus der DSGVO, nicht aus dem BDSG. Das heißt, dass nur dort, wo ergänzend besondere Pflichten einer „nichtöffentlichen Stelle“ im BDSG bestimmt werden, dieser Begriff maßgeblich ist, ansonsten ist es der Begriff des „Verantwortlichen“, und das kann eben auch eine „andere“ Stelle sein.
Zu klären ist also:
Muss ein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO immer eine „öffentliche Stelle“ oder „nichtöffentliche Stelle“ im Sinne des BDSG sein, oder kann eine „andere Stelle“ nicht auch etwas anderes sein? Kann also auch ein Betriebsrat oder Personalrat eine „andere Stelle“ sein, wie sie Art. 4 Nr. 7 DSGVO nennt?
Ist der Betriebsrat eine „andere Stelle“?
Art. 4 Nr. 7 DSGVO sagt, Verantwortlicher könne eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ sein. Ohne Zweifel ist ein Betriebsrat weder natürliche noch juristische Person, er ist auch keine Behörde und keine Einrichtung.
Wer unter keine der „Entitäten“, die in Art. 4 Nr. 7 DSGVO fällt, kann auch nicht Verantwortlicher sein. Also stellt sich die Frage, ob ein Betriebsrat eine „andere Stelle“ ist – ist er es nicht, ist die Frage nach der Rolle des Betriebsrats als Verantwortlicher schon beantwortet.
Dass ein Betriebsrat keine „nichtöffentliche Stelle“ im Sinne des § 2 Abs. 4 BDSG ist, haben wir bereits geklärt.
Der Betriebsrat kann eine „andere Stelle“ sein.
Art. 4 Nr. 7 der DSGVO lautet:
„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Art. 4 Nr. 7 DSGVO
Die DSGVO hat den Vorrang vor dem BDSG. Und dort findet sich keine Bestimmung darüber, wer eine „Stelle“ im Sinne der „anderen Stelle“ des Art. 4 Nr. 7 DSGVO ist. Eine Einschränkung im Sinne von „Stellen sind natürliche oder juristische Personen“ (analog § 2 Abs. 4 BDSG) oder dergleichen findet sich dort nicht – im Gegenteil werden ja in Art. 4 Nr. 7 DSGVO neben natürlichen oder juristischen Personen ausdrücklich auch beliebige „andere Stellen“ genannt.
„Stelle“ kann eine organisatorische oder räumliche Einheit sein. Sie braucht keine juristische oder natürliche Person und keine Körperschaft öffentlichen Rechts zu sein, denn die sind ja schon explizit in Art. 4 Nr. 7 DSGVO genannt. Sie muss handlungsfähig sein, und sie muss Trägerin von Rechten und/oder Pflichten sein, denn nur dann kann sie die Pflichten der DSGVO ausüben und die Entscheidungen treffen und Handlungen vornehmen, die die DSGVO vom Verantwortlichen verlangt. Auf einen Betriebsrat und Personalrat trifft dies zu: Er ist handlungsfähig, trifft Entscheidungen, fasst Beschlüsse, übt Rechte aus und erfüllt Pflichten.
Dass eine Arbeitnehmervertretung nicht rechtsfähig im zivilrechtlichen Sinne ist, spielt dabei keine Rolle, denn bei der Frage nach der Verantwortlichkeit beim Datenschutz geht es ja nicht darum, ob ein Betriebsrat oder Personalrat Verträge abschließen, Eigentum erwerben oder vergleichbare zivilrechtliche Rechte ausüben kann.
Auch das Argument, dass einer Arbeitnehmervertretung ausschließlich Rechte oder Pflichten aus dem BetrVG oder dem jeweils anzuwendenden Personalvertretungsgesetz entstehen, vermag nicht zu überzeugen. Es gibt auch andere Normen, die Rechte oder Pflichten von Arbeitnehmervertretungen begründen, z. B. das AGG und das ASiG.
Damit ist ein Betriebsrat oder ein Personalrat eine „Stelle“, kann also auch eine „andere Stelle“ i. S. d. Art. 4 Nr. 7 DSGVO sein.
Zusammenfassung
Eine Arbeitnehmervertretung ist keine „nichtöffentliche Stelle“ i. S. d. § 2 Abs. 4 BDSG. Da das BDSG aber den Begriff „Verantwortlicher“ nicht definiert und die DSGVO Vorrang vor dem BDSG hat, ist beim Verständnis des Begriffs „Verantwortlicher“ i. S. d. Art. 4 Nr. 7 DSGVO ausschließlich von der Definition der DSGVO auszugehen. Die Rechtsprechung des BAG hinsichtlich nichtöffentlicher Stellen ist insofern nicht anwendbar.
Eine Arbeitnehmervertretung kann durchaus eine „andere Stelle“ sein. Der Begriff der „anderen Stelle“ in der DSGVO ist weiter gefasst als der der „nichtöffentlichen Stelle“ im BDSG. Ob der Betriebsrat „Rechtssubjekt“ im zivilrechtlichen Sinne ist, ist in der DSGVO ohne Belang.
Besonderheit im öffentlichen Dienst – gilt für Personalräte etwas anderes?
Der Bayerische Landesbeauftragte für den Datenschutz hat in einer Veröffentlichung Zweifel daran geäußert, ob Personalräte, die aufgrund des Bayerischen Personalvertretungsgesetzes gebildet sind, Verantwortliche im Sinne der DSGVO seien. Er ist sich offenbar nicht ganz sicher, tendiert aber dazu, Personalräte nicht zu den Verantwortlichen zu zählen.
In der Tat gibt es hinsichtlich des öffentlichen Dienstes (in Bayern) eine Besonderheit: In der DSGVO ist zweimal von einer „öffentlichen Stelle“ die Rede, nämlich im Zusammenhang mit der Bestellung von Datenschutzbeauftragten (Art. 37 DSGVO). Außerdem wird in Art. 3 Abs. 2 des Bayerischen Datenschutzgesetzes ausdrücklich bestimmt:
Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist die für die Verarbeitung zuständige öffentliche Stelle, soweit nichts anderes bestimmt ist.
Art. 3 Abs. 2 BayDSG
Der Bayerische Gesetzgeber hat also in der Tat ausdrücklich von seinem Recht Gebrauch gemacht, den Verantwortlichen zu benennen. Ob dies dazu führt, dass Bayerische Personalräte nicht als Verantwortliche zu behandeln sind, bleibt abzuwarten, ist aber durchaus möglich. Allerdings hat der Bayerische Gesetzgeber die Zwecke und Mittel der Verarbeitung personenbezogener Daten durch Personalräte nicht bestimmt, also sind die Eingangsvoraussetzungen des Art. 4 Nr. 7 2. Halbsatz DSGVO nicht erfüllt.
Für Betriebsräte gilt diese Besonderheit aber nicht.
Kann eine Arbeitnehmervertretung über die Mittel entscheiden?
Ein weiteres Merkmal des Verantwortlichen ist, dass er (allein oder mit anderen) über die Mittel der Verarbeitung entscheidet. Trifft dies auf den Betriebsrat oder Personalrat zu, ist dieses Merkmal erfüllt.
Eine Arbeitnehmervertretung verwendet die Mittel, die der Arbeitgeber ihr zur Verfügung stellt (z. B. gem. § 40 Abs. 2 BetrVG), ausdrücklich einschließlich der IT-Mittel. Und der Arbeitgeber entscheidet grundsätzlich, welche IT-Systeme er in seinem Betrieb einsetzt. In der Regel wird eine Arbeitnehmervertretung auch die IT-Systeme (z. B. Server, PCs, Programme etc.) verwenden, die der Arbeitgeber einsetzt.
Das spräche dagegen, dass eine Arbeitnehmervertretung über die Mittel entscheiden kann.
§ 40 Abs. 2 BetrVG begründet aber nur einen Anspruch des Betriebsrats, vom Arbeitgeber bestimmte Sachmittel zu erhalten. Er begründet kein Verbot gegen den Betriebsrat, andere Sachmittel zu verwenden.
Und selbstverständlich verwenden Arbeitnehmervertretungen auch andere als vom Arbeitgeber bereitgestellte Sachmittel:
- Ich erlebe häufig, dass Betriebsratsmitglieder private Notebooks für Ihre Amtsführung verwenden;
- nicht wenige Arbeitnehmervertretungen gründen Chatgruppen, womöglich sogar bei Whatsapp/Facebook (sie „können“ das – ob sie es aus datenschutzrechtlicher Sicht auch „dürfen“, ist ja eine andere Frage);
- unsere geschätzten Wettbewerber streuen großzügig mehr oder minder taugliche Tablets mit verschiedenen Apps unter ihre Seminarteilnehmer – die Mitglieder oder der Betriebsrat entscheiden dann ggf. selbst, ob und wofür sie sie nutzen (ich habe allerdings noch nie ein Betriebsratsmitglied ein solches Tablet für Betriebsratsarbeit nutzen gesehen);
- Mitglieder von Arbeitnehmervertretungen verwenden ihre privaten Smartphones oder Tablets, z. B. um die Betriebsratsarbeit zu koordinieren, sich Nachrichten zu schicken, sich Notizen zu machen, Adressen und Telefonnummern zu speichern etc., und sie verarbeiten dabei personenbezogene Daten;
- Mitglieder von Arbeitnehmervertretungen verwenden Software, die sie selbst installieren oder die im Internet bzw. Browser verwendet wird (z. B. Google Tabellen), um Unterstützung für ihre Aufgaben zu erhalten.
Was ist ein „Mittel“ der Verarbeitung?
Vor allem aber ist eine Frage zu berücksichtigen: Was ist eigentlich das „Mittel“ im Sinne der DSGVO? Ist Excel das Mittel, oder ist die Tabelle, die mit Excel angelegt und befüllt wird, und die in einer Datei abgespeichert wird, das Mittel?
Es spricht einiges dafür, dass das Mittel nicht Excel ist, denn Excel ist nur ein Werkzeug. Das eigentliche Mittel der Datenverarbeitung ist die Tabelle, die mit personenbezogenen Daten gefüllt und für Auswertungen etc. verwendet wird. Schon der Umstand, dass diese Tabelle ja z. B. auch mit Google Tabellen, OpenOffice, LibreOffice und anderen Produkten geöffnet und bearbeitet werden kann, macht deutlich, dass nicht Excel das Mittel der Verarbeitung ist, sondern die jeweilige Datei. Und selbstverständlich kann eine Arbeitnehmervertretung nach eigenem Ermessen Dateien in beliebiger Zahl und Art erzeugen und mit unterschiedlichsten – auch personenbezogenen – Daten befüllen. Also entscheidet die Arbeitnehmervertretung über die Mittel der Verarbeitung personenbezogener Daten.
Dafür spricht auch, dass eine Arbeitnehmervertretung ja jeweils selbst entscheidet, welches Mittel sie jeweils für welchen Zweck nutzt. Wenn sie z. B. einen Anhörungsbogen für eine personelle Einzelmaßnahme erhält, entscheidet die Arbeitnehmervertretung im Rahmen ihrer autonomen Geschäftsführung, ob sie ihn per E-Mail an die Mitglieder verteilt, auf einem Server, einer lokalen Festplatte oder in einer Cloud zum Zugriff für andere Mitglieder bereitstellt, kopiert und in Ablagefächer der verschiedenen Mitglieder legt etc. Auch das macht deutlich, dass eine Arbeitnehmervertretung selbst über die Mittel der Verarbeitung entscheidet.
Fazit
Das Merkmal „Entscheidung über die Mittel“ ist bei Arbeitnehmervertretungen erfüllt, weil sie selbst entscheiden, welche Programme, Apps oder Internetdienste und vor allem welche Dateien mit welchen Inhalten sie verwenden, um ihre Aufgaben zu erfüllen.
Kann eine Arbeitnehmervertretung über die Zwecke entscheiden?
Die Vertreter der Position, der zufolge eine Arbeitnehmervertretung nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO sei, begründen dies auch damit, dass sie ja ausschließlich gesetzliche Pflichten zu erfüllen und darüber hinaus keine eigenen Interessen hat. Demzufolge kann sie nicht selbst über die Zwecke entscheiden, sondern hat stets ausschließlich die Zwecke zu verfolgen, die das jeweilige Gesetz ihr aufgibt. Das trifft ohne Zweifel zu.
Andererseits kann eine Arbeitnehmervertretung durchaus über Zwecke der Verarbeitung personenbezogener Daten entscheiden. Sie ist ja darin frei, welche Aufgaben sie auf welche Weise erfüllt, und ob sie dafür Verfahren der Verarbeitung personenbezogener Daten zu Hilfe nimmt.
Z. B. kann eine Arbeitnehmervertretung ihre Aufgabe, die Einhaltung der anzuwendenden Schutzvorschriften zu überwachen, in unterschiedlicher Intensität und auf unterschiedliche Weise erfüllen. Der Betriebsrat eines Krankenhauses z. B. wird sich die Dienstpläne und die Ist-Arbeitszeiten sowie die Stände der Arbeitszeitkonten sicher sehr genau anschauen und ggf. auch Verstöße gegen Bestimmungen dokumentieren. Dies wird er kaum ohne die Verarbeitung personenbezogener Daten in erheblichem Umfang tun können. Andere Arbeitnehmervertretungen werden diese Aufgabe möglicherweise nur gelegentlich und stichprobenartig erfüllen. Also entscheidet eine Arbeitnehmervertretung durchaus darüber, ob sie für einen bestimmten (gesetzlichen) Zweck bestimmte Verarbeitungstätigkeiten durchführt oder nicht. Der Zweck rührt zwar aus dem jeweiligen Gesetz, aber ob und wie die Arbeitnehmervertretung für einen von ihr bestimmten Zweck personenbezogene Daten verarbeitet, entscheidet sie selbst.
Ein Betriebsrat, der Kunde von mir ist, hat z. B. festgestellt, dass sein Arbeitgeber es gelegentlich versäumt, die im dort geltenden Tarifvertrag bestimmte Regel, dass jeweils zwei Jahre nach einer Ein- oder Umgruppierung erneut geprüft werden muss, ob die Eingruppierung noch korrekt ist, zu erfüllen. Er hat sich deshalb zur Gewohnheit gemacht, bei jeder Eingruppierung und jeder Umgruppierung, an der er nach § 99 BetrVG beteiligt wird, einen Vermerk in einer Excel-Tabelle anzulegen, in dem er das Datum der Überprüfung und den betreffenden Arbeitnehmer festhält, um seiner Aufgabe aus § 80 Abs. 1 Nr. 1 BetrVG gerecht werden zu können. Dieser Zweck ist durchaus legitim (Art. 5 Abs. 1 lit b DSGVO) und mit dem ursprünglichen Zweck vereinbar (Art. 6 Abs. 4 DSGVO), und die Verarbeitung auch rechtmäßig (Art. 6 Abs. 1 lit c DSGVO). Damit hat dieser Betriebsrat entschieden, personenbezogene Daten für einen bestimmten Zweck zu verarbeiten. Das kann und darf er, und daher ist das Merkmal, dass der Betriebsrat über den Zweck der Verarbeitung entscheidet, erfüllt.
Außerdem: Auch eine Behörde darf personenbezogene Daten stets ausschließlich zur Erfüllung ihrer gesetzlichen Aufgaben verarbeiten. Sie darf sich also genauso wenig wie Arbeitnehmervertretungen selbst eigene Zwecke „ausdenken“ und sie mithilfe personenbezogener Daten verwirklichen. Sind Behörden deshalb keine Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO?
Fazit
Selbst wenn Arbeitnehmervertretungen hinsichtlich der Zwecke der Verarbeitung personenbezogener Daten auf ihre gesetzlichen Aufgaben beschränkt sind, können sie dennoch über die jeweiligen Verwendungszwecke der Verarbeitung personenbezogener Daten entscheiden.
„Der Verantwortliche ist verantwortlich“
Ein wichtiges Argument für die Antwort auf die Frage, ob der Betriebsrat Verantwortlicher für den Datenschutz sein könne, ergibt sich aus der Entscheidung 7 ABR 23/11 des BAG. Dort argumentiert das BAG:
Für die Beachtung des Datenschutzes beim Zugang zu einem von allen Betriebsratsmitgliedern genutzten PC, auf dem personenbezogene Daten verarbeitet werden, hat der Betriebsrat in eigener Verantwortung zu sorgen. Es ist nicht Sache des Arbeitgebers, ihm insoweit Vorschriften zu machen.
BAG 7 ABR 23/11
Art. 5 Abs. 2 DSGVO lautet jedoch
Der Verantwortliche ist für die Einhaltung des Absatzes 1 [in dem die Grundsätze des Datenschutzes bestimmt sind] verantwortlich […].
Art. 5 Abs. 2 DSGVO
Wenn (nur) der Verantwortliche verantwortlich ist und lt. BAG der Betriebsrat verantwortlich für den Datenschutz in seinem Gremium ist, muss der Betriebsrat logischerweise auch Verantwortlicher sein.
In der Entscheidung 1 ABR 21/97 hat das BAG argumentiert:
Das in diesem Zusammenhang vorgetragene Argument, der Arbeitgeber müsse sich davor schützen können, daß er von Betroffenen wegen Gesetzesverstößen des Betriebsrats in Haftung genommen werde, verfängt nicht. Das Bundesdatenschutzgesetz enthält für private Arbeitgeber keine Haftungsnorm; […] Nur die allgemeinen zivilrechtlichen Haftungsgrundlagen (z.B. aus unerlaubter Handlung oder aus positiver Forderungsverletzung) kommen in Betracht; diese setzen aber sämtlich voraus, daß der Haftende den Rechtsverstoß zu vertreten hat. Danach ist eine Haftung des Arbeitgebers für Handlungen des Betriebsrats, die er nicht beeinflussen kann, ausgeschlossen.
BAG 1 ABG 21/97
Auch hier hat sich etwas geändert: Die DSGVO enthält in Art. 82 die Bestimmung
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Art. 82 Abs. 1 DSGVO
Also enthält die DSGVO jetzt eine Haftungsnorm, die unmittelbar für die Verarbeitung personenbezogener Daten greift. Wäre der Arbeitgeber und nicht der Betriebsrat Verantwortlicher für die Verarbeitung personenbezogener Daten durch den Betriebsrat, würde den Arbeitgeber nach der Neuregelung der Haftungspflichten in der DSGVO eben doch für Verstöße gegen Bestimmungen dieser Verordnung durch den Betriebsrat in Haftung genommen werden.
Ebenso würde der Arbeitgeber das Risiko einer Geldbuße tragen müssen, wäre er der Verantwortliche auch für die Verarbeitung personenbezogener Daten durch den Betriebsrat.
Es ist natürlich überhaupt nicht wünschenswert, dass eine Arbeitnehmervertretung die Risiken von Schadensersatz und Geldbußen zu tragen hat. Daher ist hier eine möglichst schnelle Klärung vonnöten. Aber aus den Bestimmungen der DSGVO ergibt sich eben nicht zwingend, dass eine Arbeitnehmervertretung nicht Verantwortlicher für den Datenschutz sein kann.
Rechenschaftspflicht
Ein weiterer Grund, weshalb es schwierig wird, nur den Arbeitgeber als Verantwortlichen zu verstehen, ist die in Art. 5 Abs. 2 DSGVO begründete Rechenschaftspflicht. Dort heißt es
Der Verantwortliche […] muss dessen [des Abs. 1] Einhaltung nachweisen können („Rechenschaftspflicht“).
Art. 5 Abs. 2 DSGVO
Im Einzelnen wird in verschiedenen Artikeln der DSGVO detailliert bestimmt, was notwendig ist, um diese Rechenschaft erbringen zu können, z. B. in Art. 30 („Verzeichnis der Verarbeitungstätigkeiten“).
Auch hier entsteht das Problem: Wenn der Arbeitgeber der Verantwortliche auch für die Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung ist, wie soll er dokumentieren und Rechenschaft darüber ablegen können, ob, wie und für welche Zwecke die Arbeitnehmervertretung personenbezogene Daten verarbeitet, und wie soll er insbesondere den Nachweis dafür erbringen können, dass dies gemäß den Grundsätzen, wie sie in Art. 5 Abs. 1 DSGVO bestimmt sind, geschieht? Das ist faktisch ausgeschlossen, ohne die Arbeitnehmervertretung in ihrem Tun zu kontrollieren.
Transparenzpflichten
Schließlich hat der Verantwortliche auch eine Reihe von Transparenzpflichten zu erfüllen, die in Art. 5 Abs. 1 lit a begründet und in den Art. 12 bis 15 der DSGVO detailliert beschrieben werden. Der Verantwortliche muss die Betroffenen nicht nur grundsätzlich und ganz allgemein darüber informieren, ob und welche personenbezogenen Daten er über sie zu welchen Zwecken und auf welchen Rechtsgrundlagen verarbeitet. Er muss auf Wunsch insbesondere auch eine Kopie der jeweils verarbeiteten Daten bereitstellen.
Diese Pflicht trifft den Verantwortlichen, und es fragt sich: Wie soll ein Arbeitgeber den Betroffenen Auskunft über die Verarbeitung personenbezogener Daten durch die Arbeitnehmervertretung geben, die er doch gar nicht kennt? Und erst recht: Wie soll er den Betroffenen eine Kopie der Daten beschaffen, die der Betriebsrat oder Personalrat verarbeitet?
Fazit und Schlussfolgerungen
Das BAG hat in der Entscheidung 1 ABR 21/97 argumentiert:
Die Anwendung von § 36 Abs. 5 und § 37 BDSG in der geforderten Weise würde dazu führen, daß dem Arbeitgeber eine Verantwortung für die Rechtmäßigkeit der Amtsausübung des Betriebsrats erwüchse, die ihm nach dem Betriebsverfassungsgesetz nicht zukommt.
BAG 1 ABR 21/97
Der Arbeitgeber soll also den Betriebsrat nicht kontrollieren und für die Amts- und Geschäftsführung des Betriebsrats nicht verantwortlich sein. Es ist ihm auch schlicht nicht möglich. Das ist auch gut so. Gleiches gilt für den Personalrat. Vielmehr muss die Arbeitnehmervertretung in eigener Verantwortung für die Einhaltung des Datenschutzes sorgen.
Das hätte aber die Konsequenz, dass die Arbeitnehmervertretung Verantwortlicher im Sinne des Art. 4 Nr. 7 der DSGVO wäre. Demnach treffen die Pflichten der DSGVO die Arbeitnehmervertretung. Das ist durchaus zumutbar, denn ein Betriebsrat und Personalrat hat ja auch andere Pflichten zu erfüllen, die ihm der Gesetzgeber ohne weiteres zumutet.
Verantworten kann man nur, was man unter Kontrolle hat und Rechtenschaft kann man nur ablegen über etwas, das man kennt. Ein Arbeitgeber kann und soll aber die Verarbeitung personenbezogener Daten durch Arbeitnehmervertretung weder unter Kontrolle haben noch auch nur kennen. Also kann er weder verantwortlich sein noch Rechenschaft ablegen.
Wenn der Arbeitgeber der Verantwortliche auch für die Verarbeitung durch den Betriebsrat ist, er aber diese Verarbeitung wegen der Autonomie des Betriebsrats nicht kontrollieren oder gar steuern kann, muss er dann ein Haftungsrisiko für Handlungen auf sich nehmen, die er nicht beeinflussen kann, ja noch nicht einmal kennt? Wäre aber die Arbeitnehmervertretung der Verantwortliche, will der Gesetzgeber ihren Mitgliedern wirklich solch ein Haftungsrisiko zumuten?
Unzumutbare Risiken für Arbeitnehmervertretungen
Nicht zumutbar sind aber die wirtschaftlichen Risiken, die den Mitgliedern der Arbeitnehmervertretungen daraus entstehen. Natürlich kann man argumentieren, dass die Risiken ja nur bestehen, wenn die Arbeitnehmervertretung gegen Bestimmungen der DSGVO verstößt. Aber auch ein nicht schuldhaftes Verhalten kann die Schadensersatzforderungen oder Geldbußen auslösen, und damit wird das Risiko schwer kalkulierbar.
Der Gesetzgeber hat das BetrVG und die Personalvertretungsgesetze so angelegt, dass – abgesehen von schuldhaftem Fehlverhalten (z. B. in den Fällen der §§ 119 und 120 BetrVG) – keine persönlichen Risiken für Mitglieder von Arbeitnehmervertretungen entstehen sollen. Äußerstenfalls ist bei groben Verstößen gegen gesetzliche Pflichtgen eine Amtsenthebung eines Mitglieds oder die Auflösung des Gremiums vorgesehen (z. B. gem. § 23 Abs. 1 BetrVG).
Der BGH hat Betriebsräten eine begrenzte Rechtsfähigkeit zugesprochen (III ZR 266/11), was bedeutet, dass Betriebsräte auch in wirtschaftlicher Hinsicht für Konsequenzen ihres Handelns in Anspruch genommen werden können.
Ist eine Arbeitnehmervertretung also Verantwortlicher für den Datenschutz, entstehen ihren Mitgliedern erhebliche persönliche Risiken. Ob es unter diesem Aspekt noch wünschenswert ist, für solch ein Amt zu kandidieren, ist fraglich. Daher ist die Position der Gewerkschaften verständlich, die auf keinen Fall akzeptieren wollen, dass Betriebs- oder Personalräte Verantwortliche sind.
Zusammenfassung
Die AutorInnen der DSGVO hatten offensichtlich Arbeitnehmervertretungen in Deutschland nicht im Blick, als sie die Verordnung verfasst haben. Der deutsche Gesetzgeber hätte bei der Neufassung des BDSG die Möglichkeit gehabt, hier für eine Klarstellung zu sorgen. Das hat er aber nicht getan, und das ist bedauerlich. Er hat im Gegenteil eine Lücke zwischen den Begriffen „andere Stelle“ (Art. 4 Nr. 7 DSGVO) und „nichtöffentliche Stelle“ (§ 2 Abs. 4 BDSG) geschaffen. Zu erwarten ist vom Gesetzgeber aber – zumindest kurzfristig – wohl keine Lösung dieses Problems.
Nun sind alle Beteiligten darauf angewiesen, abzuwarten, wie das BAG – voraussichtlich nach einer Anfrage an den EuGH – in dieser Angelegenheit entscheidet. Auf der folgenden Seite erfahren Sie einiges darüber, wie man als Betriebsrat oder Personalrat jedenfalls schon jetzt Lösungen für dieses Problem finden kann.
Erfahren Sie mehr!
Das passende Seminar zu diesem Thema:
Datenschutz in der Arbeitnehmervertretung