In unserem Beitrag vom 5. Juni 2019 hatten wir bereits berichtet, dass der Arbeitnehmer von seinem Arbeitgeber Auskunft über seine vom Arbeitgeber gespeicherten personenbezogenen Daten verlangen kann. Die Geltendmachung von Auskunftsansprüchen obliegt jedoch nicht allein nur Arbeitnehmern, auch dem Betriebsrat ist ein allgemeiner Auskunftsanspruch gegenüber dem Arbeitgeber eingeräumt.
Damit der Betriebsrat seine Aufgaben gemäß § 80 BetrVG durchführen kann, ist der Arbeitgeber vom Gesetzgeber dazu verpflichtet worden, den Betriebsrat rechtzeitig und umfassend mit allen dazu nötigen, Information zu versorgen (§ 80 Abs. 2 Satz 1 BetrVG). Aus dieser dem Arbeitgeber auferlegten allgemeinen Informationspflicht folgt das Recht des Betriebsrats, die Unterrichtung verlangen zu können – ihm ist ein einklagbarer Auskunftsanspruch eingeräumt. Angesichts der aktuellen Diskussion um die DSGVO stellt sich die Frage nach der Reichweite eines solchen Anspruchs. Kann der Betriebsrat ohne genaue Angabe zu seinen konkreten Überwachungsabsichten vom Arbeitgeber Auskunft bspw. darüber fordern, welche Mitarbeiter schwanger sind? Oder darf der Arbeitgeber auf die Unterrichtung des Betriebsrats mit Verweis auf Datenschutzrechtsverletzungen verzichten?
Mit diesen Fragen hatte sich das Bundesarbeitsgericht kürzlich auseinanderzusetzen. Es befasste sich in seiner Entscheidung vom 9. April 2019 (Az.: 1 ABR 51/17) mit dem Verhältnis von betriebsverfassungsrechtlichen Auskunftsansprüchen und datenschutzrechtlichen Grundsätzen.
Worum ging es?
In dem zu entscheidenden Fall hatte der Arbeitgeber schwangeren Arbeitnehmerinnen in seinem Betrieb das Recht eingeräumt, der Weiterleitung der Informationen bezüglich ihrer Schwangerschaft an den Betriebsrat fristgebunden zu wiedersprechen.
In diesem Vorgehen sah der Betriebsrat eine unzulässige Behinderung der Wahrnehmung seiner Aufgaben aus § 80 BetrVG. Dieser müsse darüber wachen können, ob geltende Gesetze zum Schutz der Schwangeren (wie z.B. das Mutterschutzgesetz) vom Arbeitgeber eingehalten werden. Seine Informations- und Kontrollrechte seien gegenüber dem Vertraulichkeitsinteresse einer widersprechenden Arbeitnehmerin vorrangig.
Da dem Antrag des Betriebsrats in erster und zweiter Instanz Recht gegeben wurde, legte die Arbeitgeberin Revision ein.
Arbeitnehmerdatenschutz vs. betriebsverfassungsrechtlicher Auskunftsanspruch
Zunächst bestätigte das BAG die jüngere Entscheidung vom 24. April 2018 (Az.: 1 ABR 6/16), nach der erhöhte Anforderungen an die Begründetheit des Auskunftsanspruchs nach § 80 Abs. 2 Satz 1 BetrVG zu stellen sind. Anspruchsvoraussetzung sei damit zum einen, dass überhaupt eine Aufgabe des Betriebsrats gegeben ist, und zum anderen, dass im Einzelfall die begehrte Information zur Wahrnehmung der Aufgaben erforderlich ist. Hinsichtlich der Aufgabe müsse der Betriebsrat die
- „konkrete normative (Arbeitsschutz-)Vorgabe, deren Durchführung er zu überwachen hat und die sein Auskunftsverlangen tragen soll, aufzeigen.“
Allerdings stellte das BAG fest, dass der Auskunftsanspruch nicht von einer vorherigen Einwilligung der Arbeitnehmer abhängig sei und nach der betriebsverfassungsrechtlichen Konzeption nicht zu deren Disposition stehe.
Die Ausübung von Beteiligungsrechten sei nicht von vornherein unzulässig, weil sie mit der Verarbeitung personenbezogener Daten einhergehe; die Betriebsparteien müssten hierbei jedoch die Anforderungen des Datenschutzes beachten. Es müsse jeweils einzelfallabhängig geprüft werden, ob dem Auskunftsanspruch datenschutzrechtliche Gründe entgegenstehen.
Berücksichtigung von Datenschutzanforderungen
Als Rechtsgrundlage für die streitbefangene Auskunft kommt datenschutzrechtlich § 26 Abs. 3 BDSG n.F. (in Abweichung von Art. 9 Abs. 1 DS-GVO) in Betracht, so der 1. Senat. Hiernach ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Die vom Betriebsrat geforderte Weitergabe von Gesundheitsdaten, d.h. Angaben zu Schwangerschaften, unterfalle dem Geltungsbereich der DSGVO nach deren Art. Art. 2 Abs. 1 und 3 Abs. 1 sowie dem BDSG nach dessen § 1 Abs. 1 Satz 2. Das Verlangen des Betriebsrats betreffe die Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 i.V.m. Art. 4 Nr. 15 DSGVO. Die Verarbeitung von sensitiven Daten sei „erforderlich“ nach § 26 Abs. 3 BDSG, sofern der Betriebsrat hierauf einen Anspruch nach § 80 Abs. 2 BetrVG hat. Hierfür verlangen die Erfurter Richter wie bereits dargestellt konkrete Darlegungspflichten. Außerdem müsse der Betriebsrat gemäß § 26 Abs. 3 BDSG i.V.m. § 22 Abs. 2 BDSG nachweisen, dass die dort beschriebenen technischen und organisatorischen Schutzmaßnahmen bei ihm gewährleistet seien. Ist diese spezifische Schutzpflicht beim Betriebsrat nicht erfüllt, sei die Verarbeitung sensitiver Daten unzulässig.
Da die Vorinstanzen hierzu keine Feststellungen getroffen haben, wurde die Sache an das LAG München zurückverwiesen.
Konsequenzen für die Praxis
Der Betriebsrat hat bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens konkret die Überwachungsaufgabe zu benennen und darlegen, welche Datenschutzvorkehrungen er getroffen hat. Fehlen sie oder sind sie unzulänglich, steht das seinem Auskunftsbegehren entgegen.
Arbeitgeber sind nun dazu angehalten, bei der Weitergabe sensitiver Daten seiner Mitarbeiter darauf zu achten, dass auch beim Betriebsrat als Empfänger dieser Daten entsprechende Datenschutzvorkehrungen getroffen sind. An dieser Stelle wird es für den Arbeitgeber schwierig, da ihm hierauf bezogenen Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt sind. Jedenfalls sollten Arbeitgeber den Betriebsrat für die Ergreifung von Datenschutzmaßnahmen sensibilisieren. Solche Maßnahmen könnten bspw. das Beschränken von Zugriffsmöglichkeiten oder das planmäßige Löschen sein (vgl. hierzu auch unseren Blogbeitrag vom 4. Juni 2019).