Der Betriebsrat als Teil der verantwortlichen Stelle (?)

In sozialen Einrichtungen und Industrieunternehmen mit Betriebsrat oder Mitarbeitervertretungen (im Folgenden nur Betriebsrat) wird derzeit häufig die Frage diskutiert, inwieweit der Betriebsrat als eigene „Institution“ innerhalb einer Einrichtung oder eines Unternehmens auftreten kann / muss und dementsprechend selbst als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DS-GVO) zu betrachten ist. Diese Frage ist durchaus berechtigt, da Meinungen der Datenschutzaufsichtsbehörden, Rechtsprechung und Expertenmeinung zu dieser Fragestellung sehr divergent sind. Eine Befürwortung der Ansicht, dass der Betriebsrat selbst Verantwortlicher sei, hat erhebliche Konsequenzen hinsichtlich Erfüllung der Anforderungen durch die DS-GVO und wirft zudem die Frage auf, wer bei Verfehlungen haftet und damit Adressat von Bußgeldern wird.

In diesem Beitrag sollen die unterschiedlichen Für und Wider der Meinungsdifferenz wiedergegeben werden und letztendlich auch eine Lösung aufgezeigt werden, wie verargumentiert werden kann, dass der Betriebsrat als Teil der verantwortlichen Stelle angesehen werden kann.

Verantwortlicher im Sinne der DS-GVO

Adressat zur Erfüllung der Anforderungen der DS-GVO und Empfänger von Bußgeldern bei Verfehlungen ist der Verantwortliche nach Artikel 4 Nr. 7 DS-GVO. Die Verordnung definiert diesen als denjenigen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das kann eine natürliche oder juristische Person, Behörde, Einrichtung oder eine sogenannte „andere Stelle“ sein (siehe Art. 4 Nr. 7 DS-GVO).

Die Auslegung dieser Definition lässt wie andere Regelungsinhalte der DS-GVO Interpretationsspielraum, was sich in der o.g. Unsicherheit widerspiegelt. Hinsichtlich der betriebsverfassungsrechtlichen Aufgaben verarbeitet auch der Betriebsrat personenbezogene Daten und agiert dabei weisungsfrei und eigenverantwortlich.

Die Datenschutzbehörden sind sich nicht einig

Der Landesbeauftragte für Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg beantwortet die Frage zur Verantwortlichkeit in seinem 34. Tätigkeitsbericht 2018¹: „Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.“

Der Präsident des Bayrischen Landesamtes für Datenschutzaufsicht wiederum verneinte die Verantwortlichkeit des Betriebsrates hingegen. Er bestätigte jedoch auch, dass das Meinungsbild der deutschen Datenschutzbehörden in dieser Frage recht uneinheitlich ist (ZD, 1/2019, Interview 1²).

Ebenso keine einheitliche Meinung durch die Rechtsprechung

Auch die unterschiedlichen Rechtsprechungen wirken nicht erhellend in diesem Meinungs“streit“. Das Bundesarbeitsgerichts (BAG) war bislang in seiner Rechtsprechung zum Datenschutzrecht davon ausgegangen, dass der Betriebsrat nicht selbst Verantwortlicher, sondern nur Teil des primär verantwortlichen Arbeitsgebers ist.³

Diese Rechtsprechung ist jedoch mit Gültigkeit der DSGVO nicht mehr maßgeblich, da das Urteil Bezug zum „alten“ Bundesdatenschutzgesetz nahm.

In einem jüngeren Urteil des Landesarbeitsgericht (LAG) Sachsen-Anhalt in seinem Beschluss vom 18.12.2018 (Az. 4 TaBV 19/17)⁴ urteilte das Gericht: „Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.“

Hingegen folgt das LAG Hessen in seinem Beschluss vom 10.12.2018 (Az. 16 TaBV 130/18)⁵ der bisherigen Rechtsprechung und sieht den Betriebsrat als „Teil der verantwortlichen Stelle“ an.

Was könnten die Konsequenzen sein?

Bei einer Einstufung des Betriebsrats als Verantwortlicher im Sinne der DS-GVO hätte dieser die Anforderungen der DS-GVO selbst umzusetzen. Das beträfe die Beachtung aller Grundsätze der Verarbeitung von personenbezogenen Daten und insbesondere die Erfüllung von Betroffenenrechten nach Art. 12 ff DS-GVO. Nicht außer Acht zu lassen, sind die umfangreichen Dokumentationsaufgaben durch Verarbeitungsverzeichnis und vieles mehr.

Aber auch die Unternehmen und Einrichtungen selbst wären bei dieser Positionierung nicht „fein raus“. Sie hätten nach § 40 BetrVG alle notwendigen Ressourcen zur Verfügung zu stellen und entstandene Kosten zu tragen, die durch die Betriebsratstätigkeit entstehen.

Und wer haftet?

Gegebenenfalls wäre der Betriebsrat als Verantwortlicher auch Adressat von Bußgeldern bei rechtlichen Versäumnissen. Dies bedingt die Rechtsfähigkeit des Betriebsrats, die im Urteil des BGH⁶ vom 25.10.2012 zumindest partiell angenommen wird.

Doch müsste der Betriebsrat als Verantwortlicher auch tatsächlich Bußgeld zahlen? Einiges spricht dagegen, da der Betriebsrat über kein eigenes Vermögen verfügt und das Ordnungswidrigkeiten-gesetz (OWiG) hinsichtlich der Haftung für Vertreterorgane auf juristische Personen zugeschnitten ist. Dem Urteil des BGH ist jedoch zu entnehmen, dass die Vertretung der juristischen Person nur vorliegt, wenn innerhalb des BetrVG gehandelt wird.

Lösungsvorschlag

Der unklaren Rechtslage könnte durch eine Gestaltung begegnet werden, bei der die Ansicht „Der Betriebsrat ist Teil der verantwortlichen Stelle“, plausibel argumentierbar ist. Gemeint ist eine Betriebsvereinbarung zur Betriebsratsarbeit, die die Zusammenarbeit des Betriebsrates und der Geschäftsführung dahingehend klärt, dass der Betriebsrat Teil der Datenschutzprozesse beim Beschäftigtendatenschutz darstellt und damit eine Verarbeitung für eigene Zwecke klar aus-geschlossen wird.

Eine solche Vereinbarung hätte große Vorteile für alle Beteiligten, da sie zusätzlichen Arbeitsauf-wand reduziert und die Risiken für einen Datenschutzverstoß nebst möglicher Haftung verringert.

Eben  – Datenschutz besser machen –

 

Von Thorsten Jordan

Bildquelle: Bild von rawpixel auf Pixabay

 

1 34. Tätigkeitsbericht des LfDI Baden-Württemberg

2 Interview mit Thomas Kranig in ZD – Zeitschrift für Datenschutz, Ausgabe 1/2019

3 BAG, Beschluss vom 14.1.2014 – 1 ABR 54/12

4 Urteil des LAG Sachsen-Anhalt; Beschluss vom 18.12.2018 (AZ. 4 TaBV 19/17)

5 Urteil des LAG Hessen; Beschluss vom 10.12.2018 (AZ. 16 TaBV 130/18)

6 Urteil des BGH vom 25.10.2012 (AZ III ZR 266/11)

No Comments

Post a Comment