Am 21.05.2021 wurde vom Bundestag das Betriebsrätemodernisierungsgesetz beschlossen. Neben der Förderung der Betriebsratswahlen und der Betriebsratsarbeit in der digitalen Arbeitswelt wird mit dem Betriebsrätemodernisierungsgesetz das Ziel verfolgt die datenschutzrechtliche Verantwortlichkeit nach der Datenschutz-Grundverordnung (DSGVO) bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich zu regeln. Nach Inkrafttreten der DSGVO war unklar, wem die datenschutzrechtliche Verantwortung nach Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Beschäftigtendaten obliegt. Auch das Bundesarbeitsgericht hatte diese Streitfragen in seinem Beschluss vom 09.04.2019 (1 ABR 51/17) offen gelassen. § 79a BetrVG n.F. wird künftig Abhilfe schaffen.
1. Gesetzliche Zuweisung der datenschutzrechtlichen Verantwortlichkeit
§ 79a S. 2 BetrVG n.F. normiert, dass soweit der Betriebsrat zur Erfüllung seiner Aufgaben personenbezogene Daten verarbeitet, der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der DSGVO ist, denn der Betriebsrat, so heißt es in der Gesetzesbegründung, sei keine nach außen rechtlich verselbstständigte Institution. Nichtsdestotrotz agiert ein Betriebsrat als institutionell selbständiger Teil des Arbeitgebers, und verarbeitet auch teils sensible Beschäftigtendaten im Sinne von Art. 9 DSGVO, weshalb der Betriebsrat gleichermaßen die Vorschriften über den Datenschutz einzuhalten hat. Dies geht aus § 79a S. 1 BetrVG n.F. hervor. Demzufolge hat der Betriebsrat die Vorschriften der DSGVO und des Bundesdatenschutzgesetzes (BDSG) zu achten.
2. Wechselseitige Unterstützungspflichten
Aufgrund der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers und der innenorganisatorischen Selbstständigkeit und Weisungsfreiheit des Betriebsrates wurde in § 79a S. 3 BetrVG n.F. ein Kooperationsgebot verankert, wonach sich Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften gegenseitig zu unterstützen haben.
Einer Zusammenarbeit von Arbeitgeber und Betriebsrat bedarf es unter anderem in folgenden Bereichen:
Nach Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Bezieht sich der Auskunftsanspruch auf die durch den Betriebsrat verarbeiteten Daten, so hat der Betriebsrat eine entsprechende Zuarbeit an den Arbeitgeber zu leisten.
Des Weiteren hat der Arbeitgeber als Verantwortlicher ein Verzeichnis über sämtliche Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, gem. Art. 30 DSGVO zu führen. Den Betriebsrat selbst obliegt die Pflicht zur Führung eines Verarbeitungsverzeichnisses nicht, jedoch muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten, weshalb auch an dieser Stelle der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen ist.
Zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO hat der Betriebsrat innerhalb seines Zuständigkeitsbereiches eigenverantwortlich die dafür erforderlichen technischen und organisatorischen Maßnahmen umzusetzen. Der Arbeitgeber wiederum ist verpflichtet den Betriebsrat mit den erforderlichen Sachmitteln auszustatten.
Die benannten Beispiele sind nicht abschließend. In der Praxis werden sich weitere Schnittstellen, aus denen wechselseitige Unterstützungspflichten resultieren, ergeben.
3. Die Rolle des Datenschutzbeauftragten
Aus der Gesetzesbegründung geht hervor, dass sich die Stellung und die Aufgaben des betrieblichen Datenschutzbeauftragten nach den Vorgaben der DSGVO richten, weshalb diese auch gegenüber des Betriebsrats als Teil der verantwortlichen Stelle bestehen. Der Betriebsrat kann den Datenschutzbeauftragten jederzeit konsultiert.
In § 79a S. 4 und 5 BetrVG n.F. konkretisiert der Gesetzgeber die Verschwiegenheitsverpflichtungen des Datenschutzbeauftragten. Demnach ist der Datenschutzbeauftragte dem Arbeitgeber zur Verschwiegenheit über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, verpflichtet. Welche Informationen dies betrifft kann nicht pauschal festgelegt werden, sondern bedarf einer Einzelfallbewertung. Des Weiteren kommen §§ 6 Abs. 5 S. 2, 38 Abs. 2 BDSG zur Anwendung und gelten auch im Hinblick auf das Verhältnis des Datenschutzbeauftragten zum Arbeitgeber.
4. Resümee für die Praxis
Mit dem Betriebsrätemodernisierungsgesetz wird die umstrittene Frage nach der datenschutzrechtlichen Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO geregelt, welche zukünftig dem Arbeitgeber obliegt. Damit gehen unter Umständen hohe Haftungsrisiken verbunden mit hohen Bußgeldern einher. Aufgrund dessen muss Sorge dafür getragen werden, dass seitens des Betriebsrats ein umfassendes Schutzniveau, insbesondere bei der Weitergabe von sensiblen Beschäftigtendaten an den Betriebsrat, gewährleistet wird. Der Arbeitgeber haftet folglich für Datenschutzverstöße des Betriebsrats. Eine Haftung könnte zwar gem. Art. 82 Abs. 3 DSGVO ausscheiden, jedoch wäre eine gesetzgeberische Konkretisierung des Haftungsumfangs des Arbeitgebers aufgrund von Datenschutzverstößen des Betriebsrates wünschenswert und im Hinblick auf Art. 88 Abs. 1 DSGVO auch möglich gewesen. Gemäß Art. 82 Abs. 3 DSGVO kommt eine Haftung nicht in Betracht, wenn der Verantwortliche nachweist, dass er nicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Ebenfalls sollte beachtet werden, dass aus dem Gesetzeswortlaut nicht hervor geht, auf welche Bereiche sich die Zusammenarbeit von Arbeitgeber und Betriebsrat erstreckt, weshalb empfohlen wird, das in § 79a S. 3 BetrVG n.F. normierte Kooperationsgebot im Wege einer Rahmenbetriebsvereinbarung zum Datenschutz zu konkretisieren.
Das Betriebsrätemodernisierungsgesetz ist seit 18.06.2021 in Kraft.
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024
- Fristlose Kündigung wegen Weiterleitung dienstlicher E-Mails an private E-Mail-Adresse - 23. September 2024