Verteilung der Verantwortung zwischen Arbeitgeber und Betriebsrat
Die Frage „ist der Betriebsrat Verantwortlicher oder ist er es nicht“ ist genau betrachtet gar nicht korrekt gestellt. Sie unterstellt, dass man schlechthin immer Verantwortlicher ist oder nie. Tatsächlich muss man die einzelnen Verarbeitungsvorgänge differenziert betrachten. Daher muss die Frage richtigerweise jeweils lauten: „Wer ist für diese Verarbeitung personenbezogener Daten verantwortlich?“ – und das kann dann in bestimmten Fällen durchaus auch ein Betriebsrat sein.
Ein Beispiel
Ein Betriebsrat erhält vom Arbeitgeber per E-Mail einen Anhörungsbogen wegen einer Einstellung als PDF-Datei. Der Betriebsrat druckt diesen Bogen mehrfach aus, legt den Mitgliedern die Ausdrucke in deren Ablagefächer und nimmt das Thema auf die Tagesordnung. Er speichert das PDF-Dokument auf dem SharePoint-Server des Arbeitgebers.
Nach der Beschlussfassung löscht der Betriebsrat den Anhörungsbogen vom SharePoint-Server. Er nimmt den Beschluss ins Protokoll auf und speichert das Protokoll als Word-Dokument und als PDF-Datei auf dem SharePoint-Server des Arbeitgebers. Es ist geregelt, dass die Betriebsratsmitglieder das Protokoll jederzeit einsehen, aber nicht z. B. per E-Mail an ihre private Mail-Adresse weiterleiten dürfen.
Verantwortlich: Zumindest überwiegend der Arbeitgeber
Hier dürfte die Verantwortung für die Verarbeitung der personenbezogenen Daten des Betroffenen überwiegend beim Arbeitgeber liegen, weil er die Daten erfasst, verarbeitet und sie dem Betriebsrat für einen bestimmten Zweck zur Verfügung stellt, außerdem das Mail-System und den SharePoint-Server betreibt.
Aber der Betriebsrat auch…
Allerdings kann man auch hier schon vermuten, dass den Betriebsrat zumindest eine Mitverantwortung trifft. Wer kann denn regeln, dass die Betriebsratsmitglieder das Protokoll nicht per E-Mail an privaten Mail-Adressen schicken dürfen? Das wäre ja eine Weisung, und der Arbeitgeber kann Betriebsratsmitgliedern hinsichtlich ihrer Amtsführung keine Weisungen erteilen. Das könnte nur der Betriebsrat selbst durch einen Beschluss zur Geschäftsordnung, und dann wäre zumindest für diesen Aspekt der Verarbeitung der Betriebsrat verantwortlich. Oder Arbeitgeber und Betriebsrat vereinbaren das in einer Betriebsvereinbarung oder Regelungsabrede, die dann auch den Betriebsrat und seine Mitglieder bindet.
Außerdem: Der SharePoint-Server mag ja vom Arbeitgeber eingerichtet worden sein und betrieben werden. Die Site, in der der Betriebsrat seine Dokumente speichert, wird aber ja möglicherweise von einem Mitglied des Betriebsrats administriert, das vom Betriebsrat auch damit beauftragt wurde. Und wer ist jetzt verantwortlich?
Und auch für das Protokoll, in dem ja auch personenbezogene Daten der Arbeitnehmer verarbeitet werden, ist der Betriebsrat verantwortlich, weil er ja entscheidet, wie ausführlich er das Protokoll schreibt, welches Mittel er dafür verwendet und wie und wo er es speichert. Diese Fragen entziehen sich der Regelungsbefugnis durch den Arbeitgeber, und deshalb kann er dafür auch nicht verantwortlich sein.
Weiteres Beispiel
Ein Betriebsrat beschließt, dass er bestimmte personenbezogene Daten aus dem Anhörungsbogen zusätzlich in eine Excel-Tabelle einträgt, die er auf dem SharePoint-Server ablegt. Das tut er, um nach einer gewissen Zeit prüfen zu können, ob der betroffene Arbeitnehmer nach wie vor so beschäftigt wird, wie das im Anhörungsbogen angegeben war und wie der Betriebsrat dem zugestimmt hat. Das ist eine andere Verarbeitungstätigkeit, weil sie einen anderen Zweck verwirklichen soll. Und die muss separat betrachtet werden.
Das kann ein legitimer Zweck sein, und der Betriebsrat verfolgt damit nicht nur das berechtigtes Interesse, zu kontrollieren, ob der Arbeitgeber korrekt gem. § 99 BetrVG handelt (Art. 6 Abs. 1 lit f DSGVO), sondern es gehört auch zu seinen rechtlichen Pflichten, z. B. die Einhaltung des anzuwendenden Tarifvertrags zu prüfen (§ 80 Abs. 1 Nr. 1 BetrVG und § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 lit c DSGV). Diese „Zweckerweiterung“ kann gem. Art. 6 Abs. 4 DSGVO auch zulässig sein.
Nur: Das entscheidet ja der Betriebsrat, nicht der Arbeitgeber. Und auch über die Excel-Tabelle als Mittel der Verarbeitung entscheidet der Betriebsrat. Also kann doch der Arbeitgeber gar nicht der Verantwortliche für diese Verarbeitungstätigkeit sein – er kennt sie ja nicht einmal (und wenn er von ihr erfährt, wird er vermutlich sogar das Interesse haben, sie zu unterbinden).
Dass der Arbeitgeber den SharePoint-Server betreibt, ist hier nachrangig. Der SharePoint-Server ist ja nicht das wesentliche Mittel der Verarbeitung, sondern die Excel-Tabelle, die der Betriebsrat anlegt und befüllt (und demnach auch nicht das Programm „Excel“, das der Arbeitgeber zur Verfügung stellt).
Betriebsrat, Arbeitgeber oder beide?
Man sieht also: Es ist kompliziert. Einfach pauschal zu sagen „der Betriebsrat kann nicht Verantwortlicher sein, weil er nicht über die Zwecke und Mittel entscheiden kann und außerdem keine nichtöffentliche Stelle i. S. d. § 2 Abs. 4 BDSG ist“, wird nicht funktionieren. Aber auch die Aussage „der Betriebsrat ist jedenfalls Verantwortlicher, weil er ja die Zwecke (wenn auch im Rahmen seiner gesetzlichen Aufgaben) und die Mittel (jedenfalls was die Verwendung der Mittel betrifft) bestimmen kann“ trifft nicht immer zu. Die Verantwortlichkeit bei einer ganzen Reihe von Verarbeitungstätigkeiten ist zwischen Arbeitgeber und Betriebsrat verteilt.
Vermutlich wird es auf das Konstrukt einer „gemeinsamen Verantwortung“ hinauslaufen, wie es in Art. 4 Nr. 7 und Art. 26 DSGVO vorgesehen ist. Das allerdings setzt voraus, dass Arbeitgeber und Betriebsrat eine Regelung treffen, wie sie in Art. 26 Abs. 1 und 2 DSGVO verlangt wird. Diese Regelung wäre aber nicht „einigungsstellenfähig“ (außer, die Parteien einigen sich auf eine freiwillige Einigungsstelle). Die Frage, die sich aufdrängt, ist natürlich: Was geschieht, wenn die Parteien sich nicht einig werden?
Erfahren Sie mehr!
Das passende Seminar zu diesem Thema:
Datenschutz in der Arbeitnehmervertretung
