Wo immer es im Betrieb zur Verarbeitung personenbezogener Daten kommt, müssen vom jeweiligen Verantwortlichen die datenschutzrechtlichen Vorgaben eingehalten werden. Bei der Verletzung datenschutzrechtlicher Bestimmungen drohen hohe Bußgelder. In der Regel trifft dieses Bußgeld bei einem Verstoß den Arbeitgeber. Doch kann bei einer Verarbeitung durch den Betriebsrat auch dieser datenschutzrechtlich Verantwortlicher sein?
Inwiefern verarbeitet der Betriebsrat Daten?
In Betrieben, die einen Betriebsrat haben (mitbestimmte Betriebe), entfällt der Großteil an Verfügung über personenbezogene Daten auf diesen. Der Betriebsrat muss beteiligt werden, wenn neue Mitarbeiter eingestellt werden. Hierbei erhält er alle Bewerbungsunterlagen (§ 99 I BetrVG). Genauso wird der Betriebsart über Kündigungsgründe, längere Arbeitsunfähigkeit und Schwangerschaften informiert. Außerdem kann der Betriebsrat nicht-anonymisierte Lohn- und Gehaltslisten einsehen (§ 80 II 2 BetrVG). So werden nicht nur personenbezogene Daten, sondern sogar solche der besonderen Kategorie (Art. 9 DSGVO) vom Betriebsrat verarbeitet.
Wo sind Datenverarbeitung und Verantwortlichkeit geregelt?
Grundsätzlich regelt die DSGVO jede Datenverarbeitung in Europa. Für die Datenverarbeitung im Beschäftigungskontext enthält die DSGVO eine Öffnungsklausel (Art. 88 DSGVO). Das heißt, dass in diesem Bereich nationale Regelungen möglich sind. Der deutsche Gesetzgeber hat deshalb Art. 26 BDSG geschaffen. Dieser enthält aber keine Regelung dazu, ob der Betriebsrat Verantwortlicher sein kann. Die Bestimmung des Begriffes „Verantwortlicher“ liegt ganz bei der DSGVO. Zusammengefasst lässt sich sagen, dass Verantwortlicher derjenige ist, der personenbezogene Daten tatsächlich verarbeitet und über Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).
Kann der Betriebsrat Verantwortlicher sein?
Dass der Betriebsrat personenbezogene Daten verarbeitet, liegt wie bereits festgestellt auf der Hand.
Zudem müsste er als Verantwortlicher auch über Mittel und Zwecke der Verarbeitung entscheiden. Dieser Schritt steht gedanklich vor der eigentlichen Verarbeitung. Schließlich ist die Verarbeitung personenbezogener Daten nur zu vorher festgelegten Zwecken rechtmäßig (Art. 5 Ib DSGVO). Genauso entscheidet ein Verantwortlicher über die Mittel der Verarbeitung, also vor allem über technische Methoden.
Ein Betriebsrat entscheidet bei der Verarbeitung personenbezogener Daten nicht nur darüber, ob oder wozu er diese zur Kenntnis nimmt (Zweck), sondern auch wie oder was mit diesen Daten dann passiert (Mittel). Aus diesem Standpunkt heraus kann er als Verantwortlicher gesehen werden.
Arbeitsrechtliche Kritik
Kritik an dieser Ansicht wird vor allem von Arbeitsrechtlern laut. Sie betonen, dass das BetrVG dem Betriebsrat enge Grenzen in der Entscheidung über Ob und Wie der Datenverarbeitung steckt. So könne er nicht frei entscheiden und könne nicht Verantwortlicher sein.
Konsequenz dieser Ansicht wäre, dass alle Datenverarbeitungsvorgänge des Betriebsrates dem Arbeitgeber zugerechnet werden müssten. Allerdings verarbeitet der Betriebsrat in den durch das BetrVG gesteckten Rahmen die Daten gerade für sich selbst und nicht für den Arbeitgeber. Der Arbeitgeber hat bei den Entscheidungen des Betriebsrates über Ob und Wie der Verarbeitung kein Mitspracherecht. Die Restriktionen durch das BetrVG ändern an dieser Situation nichts.
Problem Rechtsfähigkeit
Zudem wird der Ansicht, die die Verantwortlichkeit bejaht, entgegengehalten, dass die Haftung als Verantwortlicher der Tätigkeit im Betriebsrat als unentgeltliches Ehrenamt widerspricht. Der Betriebsrat selbst habe keine Haftungsmasse und die Mitglieder sollen wegen der Ehrenamtlichkeit nicht persönlich haften müssen. Es könne kein effektiver Schadensersatz verlangt werden.
Nach der Ansicht des EuGH spielt die Rechtsfähigkeit des Verantwortlichen allerdings keine Rolle. Die Verantwortlichkeit soll demnach weit ausgelegt werden als derjenige, der entscheidungsfähig ist. Danach muss untersucht werden, wem dieses Handeln zuzurechnen ist, in wessen Interesse die Verarbeitung also erfolgt. Nach dem EuGH kommt der Betriebsrat in Form seiner Mitglieder also grundsätzlich als Verantwortlicher in Betracht, wenn sie eigenständig entscheiden. Er sei damit auch weder Auftragsverarbeiter (Art. 28 III DSGVO) noch unterstellte Person (Art. 29 DSGVO).
Folgen für den Betriebsrat
Der Betriebsrat unterliegt als Verantwortlicher damit den datenschutzrechtlichen Verpflichtungen. Diese sind ihm nach der Rechtsprechung auch zumutbar. Ebenso ist der Betriebsrat dann Adressat für Betroffenenrechte.
Erfüllt der Betriebsrat diese Pflichten nicht, können Untersuchungsmaßnahmen (Art. 58 I DSGVO), Abhilfemaßnahmen (Art. 58 II DSGVO) und als letztes Mittel bei entsprechend hohem Verstoß auch Geldbußen (Art. 83 DSGVO gegen das einzelne Mitglied) drohen. Der Arbeitgeber haftet bei Verstoßen grundsätzlich nicht neben dem Betriebsrat.
Sie wünschen Beratung zum Thema Datenschutz im Betrieb? Unser Team an Experten hilft Ihnen gerne weiter!