von Tim WybitulDr. Isabelle BramsAnne KleffmannDr. Tobias Leder

Der Bundesrat hat am 28. Mai 2021 dem „Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt“ (Betriebsrätemodernisierungsgesetz) zugestimmt. Das Gesetz wird damit noch vor der Bundestagswahl in Kraft treten. Die verabschiedete Gesetzesfassung sieht auch eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats vor. Auf Beschlussempfehlung des Ausschusses für Arbeit und Soziales wurde die geplante Regelung noch um klarstellende Formulierungen zum Verhältnis zwischen Betriebsrat und Datenschutzbeauftragtem ergänzt. Mit dem Betriebsrätemodernisierungsgesetz legt der Gesetzgeber fest, dass der Betriebsrat in datenschutzrechtlicher Hinsicht Teil des Unternehmens ist und seine Datenverarbeitungen der Kontrolle des Datenschutzbeauftragten unterliegen. Diese gesetzliche Klarstellung einer intensiv diskutierten und für die Praxis relevanten Rechtsfrage. Allerdings wirft die getroffene Regelung auch neue Fragen auf.

A.                Überblick über den bisherigen Diskussionsstand

Seit der Geltung der EU-Datenschutzgrundverordnung (DSGVO) hat die Frage der datenschutzrechtlichen Stellung des Betriebsrats erheblich an Relevanz gewonnen. Denn bislang war nicht abschließend geklärt, ob der Betriebsrat bei der Verarbeitung von Beschäftigtendaten als eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einzustufen ist. Nach der früheren Rechtslage unter der Fassung des bis 2018 geltenden BDSG war der Betriebsrat als Teil des datenschutzrechtlich verantwortlichen Arbeitgebers anzusehen. Maßgeblich für die Beantwortung dieser Frage ist nach heutigem Recht, ob der Betriebsrat gemäß Art. 4 Nr. 7 DSGVO eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Datenschutzbehörden waren sich bislang bei dieser Frage uneins. Der ehemalige Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) beispielsweise äußerte sich dahingehend, dass der Betriebsrat in datenschutzrechtlicher Hinsicht weiterhin Teil des Arbeitgebers sei (Interview Kranig/Wybitul, ZD 2019, 1 f.). Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ging hingegen bislang davon aus, dass dem Betriebsrat bei der Verarbeitung von Beschäftigtendaten eigene Entscheidungsbefugnisse zukämen (34. Datenschutz-Tätigkeitsbericht des LfDI BW 2018, S. 37 f.).

Auch in der Rechtsprechung hatte sich noch keine einheitliche Linie entwickelt. Während das LAG Hessen den Betriebsrat in datenschutzrechtlicher Hinsicht weiterhin als Teil des verantwortlichen Arbeitgebers einordnete, ging das LAG Sachsen-Anhalt von einer eigenständigen datenschutzrechtlichen Verantwortlichkeit des Betriebsrats aus (LAG  Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18; LAG Sachsen Anhalt, Beschluss vom 18.12.2018 – 4 TaBV 19/17).

Die datenschutzrechtliche Stellung des Betriebsrates ist für die Praxis von erheblicher Bedeutung. Sofern man den Betriebsrat als Teil des verantwortlichen Arbeitsgebers einordnet, könnten für Arbeitgeber bei Verstößen des Betriebsrats gegen die Vorgaben zum Datenschutz erhebliche Haftungsrisiken entstehen. Sähe man den Betriebsrat hingegen als eigenständigen Verantwortlichen an, so wäre er selbst Adressat datenschutzrechtlicher Vorgaben und gegebenenfalls auch Adressat von Bußgeldern nach Art. 83 DSGVO. Der Betriebsrat müsste sämtliche datenschutzrechtliche Vorgaben eigenständig umsetzen und erfüllen. Eine klarstellende gesetzliche Regelung zur datenschutzrechtlichen Stellung des Betriebsrats ist daher grundsätzlich zu begrüßen.

B.                Regelung im beschlossenen Betriebsrätemodernisierungsgesetz

Das nun verabschiedete Betriebsrätemodernisierungsgesetz führt die frühere Rechtslage fort. Es ordnet den Betriebsrat weiterhin als Teil des datenschutzrechtlich verantwortlichen Arbeitsgebers ein, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet (vgl. § 79 a BetrVG-neu):

1Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. 2Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. 3Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. 4Die §§ 6 Absatz 5 Satz 2, 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“

Aus der Gesetzesbegründung geht hervor, dass sich die Bundesregierung auf die in Art. 4 Nr. 7 Halbsatz 2 DSGVO vorgesehene Öffnungsklausel zu einer entsprechenden gesetzlichen Klarstellung stützt.

Mit den im Laufe des Gesetzgebungsverfahrens neu eingefügten Sätzen 3 und 4 stellt der Gesetzgeber klar, dass der Datenschutzbeauftragte grundsätzlich solche Erkenntnisse vertraulich behandeln muss, die er bei der Überprüfung der durch den Betriebsrat durchgeführten Datenverarbeitungen erlangt hat.

Unklar bleibt in diesem Zusammenhang jedoch, welche Informationen „Rückschlüsse auf den Meinungsprozess des Betriebsrats zulassen“. Diese Frage dürfte in der Praxis wohl für Diskussionsbedarf sorgen. Eine mögliche Auslegung wäre, dass der Datenschutzbeauftragte im Rahmen seines gesetzlichen Kontrollauftrages überprüfen kann, ob Betriebsräte bei ihrer Datenverarbeitung (also etwa auch in Bezug auf IT-Security) die Vorgaben der DSGVO und des BDSG umsetzen. Eine Weitergabe von dabei gegebenenfalls auch erlangten Informationen über Abstimmungen, Inhalte von Betriebsratsbeschlüssen oder die Meinungsbildung im Gremium unterliegen auch gegenüber dem Arbeitgeber dagegen der Verschwiegenheit.

Zudem muss der Datenschutzbeauftragte Anfragen von Betriebsratsmitgliedern mit Bezug zum Datenschutz gegenüber dem Arbeitgeber vertraulich behandeln. Dies ergibt sich aus dem Verweis in § 79a Satz 4 BetrVG n.F. auf die §§ 38 Abs. 2, 6 Abs. 5 Satz 2 BDSG, welche die Verschwiegenheitspflicht des Datenschutzbeauftragten regeln. Danach muss der Datenschutzbeauftragte Verschwiegenheit über die Identität der anfragenden Personen wahren sowie über Umstände, die Rückschlüsse auf diese Personen zulassen.

Aus den vorstehenden Regelungen wird im Umkehrschluss aber auch deutlich, dass der Datenschutzbeauftragte nach Art. 39 Abs. 1 lit. b DSGVO dazu verpflichtet ist, die vom Betriebsrat durchgeführten Datenverarbeitungen zu kontrollieren. Nach dieser Vorschrift obliegt dem Datenschutzbeauftragten die Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze. Die Frage einer solchen Kontrollbefugnis war bislang noch weitgehend umstritten. Unter dem BDSG a.F. lehnte die Rechtsprechung entsprechende Kontrollbefugnisse des Datenschutzbeauftragten ab (vgl. BAG, Beschluss vom 11.11.1997 – 1 ABR 21–97). Die Erfahrung aus der Praxis zeigt, dass viele Betriebsräte einer Kontrolle der Zulässigkeit der von ihnen vorgenommenen Datenverarbeitungen kritisch gegenüber stehen. Daher wird § 79a BetrVG n.F. voraussichtlich zeitnah zu ersten Entscheidungen durch Arbeitsgerichten führen. Denn die Neuregelung wirft im Ergebnis mehr Fragen auf als sie beantwortet. Beispielsweise wäre eine klarere Regelung des Rechtsverhältnisses zwischen Betriebsrat und Datenschutzbeauftragtem sinnvoll gewesen.

C.                Fazit und Ausblick

Die verabschiedete Regelung zur datenschutzrechtlichen Stellung des Betriebsrats beseitigt die seit Geltung der DSGVO bestehende Unsicherheit in Rechtsprechung und Praxis nur teilweise. Zwar können Unternehmen an den bislang etablierten Prozessen und Strukturen bei der Verarbeitung von Beschäftigtendaten durch den Betriebsrat festhalten. Die Einzelheiten der datenschutzrechtlichen Behandlung des Betriebsrats lässt das Gesetz jedoch weitgehend offen.

Zudem kommen mit der Regelung auch mögliche Haftungsrisiken auf Arbeitgeber zu. Es bestehen noch zu viele Unklarheiten im Hinblick auf die beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften. Hierfür bieten sich auch klarstellende Betriebsvereinbarungen an. Denn Art. 88 DSGVO erlaubt es den Betriebsparteien, spezifische Vorschriften zum Datenschutz im Betrieb zu regeln. Dabei ist es dann wichtig, klare und ausgewogene Detailregelungen darüber zu treffen, wie die Kontrollpflichten, aber auch andere Pflichten des Datenschutzbeauftragten im Betrieb nach Art. 39 Abs. 1 DSGVO im Rechtsverhältnis zum Betriebsrat konkret umgesetzt werden sollen.