Die Streitfrage der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat ist entschieden. Der Gesetzgeber hat diese Verantwortung mit der neuen Vorschrift des § 79a BetrVG dem Arbeitgeber zugewiesen. Damit sind die Probleme aber nicht gelöst. Im Gegenteil: Neue Streifragen und Konfliktfelder werden sogleich erkennbar und erfordern sorgfältiges Vorgehen des Arbeitgebers in der Zusammenarbeit mit Betriebsräten in dessen datenschutzrechtlichen Angelegenheiten.
Die neue Vorschrift des § 79a BetrVG
Lange Zeit stand fest: Der Betriebsrat steht datenschutzrechtlich nicht außerhalb des Unternehmens als für die Datenverarbeitung verantwortlichen Stelle, sondern wurde als Teil dieser Stelle angesehen. Das BAG hatte dies bereits im Jahr 2012 entschieden (vgl. BAG v. 07.02.2012 – 1 ABR 46/10). Diese Gewissheit ist mit Inkrafttreten der DSGVO im Jahr 2018 verloren gegangen und die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrates wurde im Arbeitsrecht und im Datenschutzrecht kontrovers diskutiert. Nun hat der Gesetzgeber vordergründig Klarheit geschaffen. Die neue Vorschrift des § 79a BetrVG – mit dem Betriebsrätemodernisierungsgesetz vom 14. Juni 2021 eingeführt und mit der Überschrift „Datenschutz“ versehen – lautet auszugsweise wie folgt:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Der Gesetzgeber bestätigt damit die Rechtsprechung des BAG zur Rechtslage vor Inkrafttreten der DSGVO. Die neue Regelung stellt klar, dass es im Unternehmen nun einen datenschutzrechtlich Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO gibt. Dies ist der Arbeitgeber – nicht nur mit Blick auf die eigene Datenverarbeitung, sondern auch dann, wenn der Betriebsrat personenbezogene Daten der Mitarbeiter im Rahmen seiner betriebsverfassungsrechtlichen Tätigkeit verarbeitet.
Konfliktlage des Arbeitgebers
So einfach und naheliegend die Entscheidung des Gesetzgebers erscheint, wird doch schnell erkennbar, dass der Arbeitgeber durch die Neuregelung in eine Konfliktlage versetzt wird. Auf der einen Seite muss er die datenschutzrechtlichen Vorschriften der DSGVO auch im Hinblick auf die Datenverarbeitung des Betriebsrats einhalten bzw. verantworten. So muss er z.B. die Verarbeitungsvorgänge des Betriebsrats ins Verarbeitungsverzeichnis aufnehmen sowie die Pflicht zur Information nach Art. 13 DSGVO, zur Auskunft nach Art. 15 DSGVO oder zur Löschung nach Art. 17 DSGVO auch dann erfüllen, wenn der Betriebsrat personenbezogene Daten von Mitarbeitern verarbeitet. Auf der anderen Seite darf der Arbeitgeber dem Betriebsrat wegen des im Betriebsverfassungsrecht verankerten Grundsatzes der unabhängigen Amtsführung keinerlei Vorgaben machen. Der Gesetzgeber weist dem Arbeitgeber somit die datenschutzrechtliche Verantwortung zu, ohne ihn jedoch mit entsprechenden Befugnissen gegenüber dem Betriebsrat (z. B. zur Kontrolle oder Anweisung) in Bezug auf den Umgang mit Beschäftigtendaten auszustatten.
Der Gesetzgeber trägt dieser Konfliktlage nur sehr zurückhaltend Rechnung, indem er schlicht festlegt, „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften“. Der Betriebsrat ist demgemäß dazu gehalten, dem Arbeitgeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten „unter die Arme zu greifen“. In der Praxis führt dies dazu, dass der Arbeitgeber z.B. unmittelbar an ihn gerichtete datenschutzrechtliche Anfragen von Mitarbeitern an den Betriebsrat weiterleitet und ihn um Zurverfügungstellung der erforderlichen Informationen oder unmittelbare Beantwortung bittet. Im Fall der unmittelbaren Beantwortung erfüllt der Betriebsrat seine Unterstützungspflicht (und zugleich die datenschutzrechtliche Verpflichtung des Arbeitgebers gegenüber dem Arbeitnehmer), indem er die datenschutzrechtlich relevante Handlung direkt gegenüber dem betroffenen Mitarbeiter vornimmt.
Geldbuße / Schadensersatz bei Verstößen des Betriebsrats ?
Was ist aber die Rechtsfolge, wenn trotz wechselseitiger Bemühungen datenschutzrechtliche Vorschriften verletzt werden; oder wenn die Unterstützung des Arbeitgebers durch den Betriebsrat nicht funktioniert, wie der Gesetzgeber sich dies vorstellt? Kann der verantwortliche Arbeitgeber dann bei Verstößen gegen die Vorgaben der DSGVO zur Zahlung einer Geldbuße (Art. 83 DSGVO) oder zum Schadensersatz gegenüber dem betroffenen Mitarbeiter (Art 82 DSGVO) verpflichtet sein? Die Antwort scheint auf der Hand zu liegen: Hat der Arbeitgeber die Unterstützung des Betriebsrats eingefordert und weigert sich dieser, die datenschutzrechtlich erforderliche Handlung vorzunehmen, hat der Arbeitgeber seine Verpflichtung grundsätzlich erfüllt. Gleiches gilt, wenn der Verstoß allein durch Handlungen des Betriebsrats ausgelöst wird. Der Arbeitgeber kann dem Betriebsrat aufgrund dessen betriebsverfassungsrechtlicher Unabhängigkeit keine Weisungen erteilen. Mangels Verschuldens auf Seiten des Arbeitgebers für den Datenschutzverstoß sollten in diesen Fällen weder Schadensersatz noch Geldbuße in Betracht kommen.
Der Erfolg dieser Argumentation ist indes schon bei Schadensersatzansprüchen von Arbeitnehmern nicht gewiss. Ein Verschulden des Verantwortlichen – mithin des Arbeitgebers – wird bei einem geltend gemachten Schadensersatzanspruch eines betroffenen Arbeitnehmers gesetzlich vermutet. Bei Datenschutzverstößen des Betriebsrates wird der Arbeitgeber also den Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO antreten müssen (Keine Verantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist). In welchem Umfang er hierfür auf den Betriebsrat zur Erbringung der gegenseitigen Unterstützung eingewirkt haben muss, ist offen und ein erkennbares Konfliktfeld für die betriebliche Zusammenarbeit.
Bei Bußgeldern ist es an den Aufsichtsbehörden, weitere Konfliktfelder zu vermeiden. Denn bislang vertreten die Datenschutzbehörden durchgehend die Auffassung, nach der § 30 OWiG bei datenschutzrechtlichen Bußgeldverfahren nicht anwendbar sei (bestätigt durch LG Bonn Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG). Nach dieser Vorschrift kann eine Geldbuße gegen eine juristische Person grundsätzlich nur bei Nachweis einer konkreten Pflichtverletzung einer Leitungsperson (Vorstand, Gesellschafter, etc.) festgesetzt werden. Die Auffassung der Datenschutzbehörden führt im Ergebnis für den Unternehmer zu einer quasi verschuldensunabhängigen Haftung für datenschutzrechtliche Pflichtverletzungen in seinem Unternehmen. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Rechtsauffassung nicht auf Pflichtverletzungen des Betriebsrates erstrecken wird oder sich die gegenteilige – sicherlich zutreffende – Rechtsaufassung insgesamt durchsetzt. So hat mittlerweile etwa das LG Berlin in seinem Beschluss vom 18. Februar 2021 die Anwendbarkeit von § 30 OWiG und damit das Erfordernis eines schuldhaften Fehlverhaltens einer Führungskraft als Voraussetzung für ein Bußgeld auf Grundlage der DSGVO angenommen (LG Berlin, Beschluss vom 18.02.2021, Az. (526 OWi LG) 212 Js-OWi 1/20).
Vor dem Hintergrund der aktuellen Justierung der neuen Regelungen zu Schadensersatz und Bußgeldern verwundert es nicht, dass in der Literatur auch eine eigenständige Haftung des Betriebsrats oder seiner Mitglieder in Betracht gezogen wird – jedenfalls wenn diese beharrlich oder schwerwiegend gegen die DSGVO verstoßen. Die Annahme einer Haftung des Betriebsrates ist im Betriebsverfassungsrecht bekanntlich eine Rarität. Auch der Gesetzgeber dürfte bei der Einführung des § 79a BetrVG eine solche Haftung nicht im Sinn gehabt haben. Völlig ausgeschlossen erscheint eine solche Haftung des Betriebsrates oder seiner Mitglieder im Rahmen des DSGVO indes nicht.
Fazit
Wenn der Betriebsrat personenbezogene Daten verarbeitet,
- ist nicht der Betriebsrat, sondern der Arbeitgeber datenschutzrechtlich hierfür verantwortlich,
- muss der Betriebsrat den Arbeitgeber als Verantwortlichen bei der Erfüllung dessen datenschutzrechtlicher Pflichten aktiv unterstützen,
- ist völlig ungeklärt, wer bei Datenschutzverstößen von Betriebsräten für Bußgelder haftet oder auf Schadensersatz in Anspruch genommen werden kann.
Vor diesem Hintergrund ist Arbeitgebern bei Datenverarbeitungen des Betriebsrats dringend zu empfehlen, dessen Unterstützung zur Erfüllung ihrer Pflichten als datenschutzrechtlich Verantwortliche nicht nur einzufordern, sondern die Einforderung der „gegenseitigen Unterstützung“ vom Betriebsrat genau zu dokumentieren. Ohne eine solche Dokumentation kann weder in etwaigen Verfahren der Aufsichtsbehörden wegen Bußgeldern noch in einem arbeitsgerichtlichen Verfahren wegen Schadensersatzes eine erfolgreiche Rechtsverteidigung gelingen.