Betriebsräte verarbeiten bei ihrer Tätigkeit viele und häufig sensible personenbezogene Daten. Dabei müssen natürlich die Anforderungen des Datenschutzrechts beachtet werden. Die entscheidende Frage für den Betriebsrat, die Betriebsratsmitglieder und den Arbeitgeber ist dabei, wer rechtlich verantwortlich und in letzter Konsequenz haftbar ist. § 79 a BetrVG trifft hier nun eine Regelung. Die Probleme bleiben aber die selben und sollten durch die Betriebsparteien angegangen und gelöst werden. Wie das gelingen kann beschreibt dieser Beitrag.
1. Die Ausgangslage
Mit dem Betriebsrätemodernisierungsgesetz hat der Gesetzgeber die Regelung in 79 a BetrVG geschaffen. Damit wird – angeblich klarstellend – geregelt, dass
- der Betriebsrat den Datenschutz bei seiner Tätigkeit einhalten muss,
- der Arbeitgeber für die Tätigkeit des Betriebsrates im Rahmen dessen Zuständigkeit datenschutzrechtlich verantwortlich ist,
- Arbeitgeber und Betriebsrat sich beim Datenschutz unterstützen sollen und
- der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet ist, soweit der Meinungsbildungsprozess des Betriebsrates betroffen ist.
Aus § 79 a BetrVG ergibt sich zudem, dass
- der Arbeitgeber nicht verantwortlich ist, wenn der Betriebsrat außerhalb seiner Zuständigkeit tätig wird und
- der Datenschutzbeauftragte auch für den Datenschutz beim Betriebsrat zuständig ist.
Für die Beteiligten (Betriebsrat, Betriebsratsmitglieder und Arbeitgeber) entscheidende Fragen und Probleme bleiben durch § 79 a BetrVG aber ungelöst, nämlich:
- Wer haftet, wenn es beim Betriebsrat zu Datenschutzverstößen kommt?
- Wer ist verantwortlich, wenn der Betriebsrat außerhalb seiner Zuständigkeit personenbezogene Daten verarbeitet?
- Wie erfüllt der Arbeitgeber (Dokumentations-)pflichten, Betroffenenrechte und andere Pflichten für Vorgänge beim Betriebsrat?
Lesen Sie selbst, das steht in § 79 a BetrVG:
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.
2. Die Probleme: Haftung
Mit der Datenschutzgrundverordnung wurde ein drastisches Sanktionsregime geschaffen, um den Datenschutz effektiv durchsetzen zu können. Das Datenschutzrecht sollte kein zahnloser Tiger mehr sein. So können Datenschutz-Aufsichtsbehörden Bußgelder in Höhe von EUR 20 Mio. und mehr pro Verstoß verhängen und Betroffene können materiellen und immateriellen Schadensersatz verlangen.
Adressat von Bußgeldern und Schuldnern für Schadensersatzansprüche ist der Verantwortliche. Von der Regelung in § 79 a BetrVG ausgehend, ist der Arbeitgeber datenschutzrechtlich auch für die Tätigkeit des Betriebsrates verantwortlich. Das ist für den Arbeitgeber unbefriedigend, weil er die Verantwortung für Prozesse aus der Sphäre des Betriebsrates trägt, die er aufgrund der Autonomie des Betriebsrates nur sehr bedingt beeinflussen kann. Der Arbeitgeber hat daher ein klares Interesse, seine Sorgfaltspflichten zu erfüllen und die Voraussetzungen zu schaffen, um sich gegen entsprechende Sanktionen oder Ansprüche zu verteidigen.
Einen Ansatz dafür bietet § 79 a BetrVG, indem die Verantwortlichkeit des Arbeitgebers auf Tätigkeiten in der Zuständigkeit des Betriebsrates beschränkt ist. Bei Überschreitung der Kompetenzen des Betriebsrates durch diesen könnte der Arbeitgeber dies als Einwand geltend machen und so die eigene Verantwortlichkeit ausschließen. Der andere Ansatz ist die Delegation von Verantwortlichkeit und die Erfüllung von Sorgfaltspflichten. Soweit der Arbeitgeber ohne Verletzung der betriebsverfassungsrechtlichen Rechte des Betriebsrates einen Rahmen von Verhaltenspflichten im Umgang mit IT und personenbezogenen Daten definiert und der Datenschutzverstoß unter Verstoß gegen diese Vorgaben erfolgte, dürfte das Verschulden des Arbeitgebers ausschließen und damit auch die Haftung.
3. Die Probleme: Tätigkeit des Betriebsrates außerhalb seiner Zuständigkeit
Handelt der Betriebsrat außerhalb seiner Zuständigkeit, ist eine Verantwortlichkeit des Arbeitgebers gemäß § 79 a S. 2 BetrVG ausgeschlossen. In den Fokus der Haftungsdrohung geraten dann der Betriebsrat als Organ und dessen Mitglieder einzeln oder als Gruppe. Das gleiche dürfte gelten, wenn der Arbeitgeber zulässig die Rahmenbedingung der IT-Nutzung definiert hat und der Betriebsrat dagegen verstößt.
Einer Haftung des Betriebsrates als Organ steht in diesen Fällen entgegen, dass dieser keine Rechtspersönlichkeit hat und vermögenslos ist. Nach der Rechtsprechung von BAG und BGH kommt dann aber jedenfalls im Grundsatz eine persönliche Haftung von Betriebsratsmitgliedern einzeln oder als Gruppe in Betracht, nämlich wenn diese auf Grund eigenen Entschlusses oder eines Betriebsratsbeschlusses außerhalb des Wirkungskreises des Betriebsrats tätig werden. Ob und in welchen Fällen sich danach eine datenschutzrechtliche Verantwortlichkeit von Betriebsratsmitgliedern für Datenschutzverstöße ergibt ist in der Rechtsprechung jedoch noch weitgehend ungeklärt.
Das Interesse der Betriebsratsmitglieder muss daher darauf gerichtet sein, den Rahmen ihrer Pflichten zu klären und zu beachten, um rechtliche Unsicherheit zu vermeiden.
4. Die Probleme: Datenschutz-Compliance für Betriebsratsprozesse
Aus der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers ergeben sich zahlreiche Pflichten, etwa die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO oder die Pflicht zur Erteilung einer Auskunft gemäß Art. 15 DSGVO bei entsprechenden Anfragen von Betroffenen. Diese und weitere Pflichten kann der Arbeitgeber in vielen Fällen für die Tätigkeiten des Betriebsrates alleine nicht erfüllen. So ist etwa die Erteilung einer vollständigen und richtigen Auskunft an Betroffene im Hinblick auf Prozesse des Betriebsrates nur denkbar, wenn der Betriebsrat den Arbeitgeber dabei unterstützt. Es ist denkbar, dass der Arbeitgeber sich hier auf Mitwirkungspflichten des Betriebsrates berufen kann. Das dürfte im Konfliktfall aber ein steiniger Weg sein. Sein Interesse muss daher auf eine Klärung der gegenseitigen Rechte und Pflichten bei der Datenschutz-Organisation sein.
6. Lösung in Sicht?
Trotz der angeblich klarstellenden Regelung des Art. 79 a BetrVG ist für die Frage der datenschutzrechtlichen Verantwortlichkeit der Tätigkeit des Betriebsrates das Entscheidende offen geblieben. Den Beteiligten (Betriebsrat, Betriebsratsmitglieder und Arbeitgeber) muss daran gelegen sein, hier klare Zuständigkeiten und Verantwortlichkeiten zu schaffen, um eigene Pflichten effizient erfüllen zu können, der eigenen Verantwortung gerecht zu werden und schließlich um drohende Haftung abwenden zu können.
Die Betriebsparteien können Teilaspekte dieser anzustrebenden Klärung von Verantwortlichkeit alleine und ohne die jeweils andere Betriebspartei regeln. So kann der Betriebsrat sich intern durch seine Geschäftsordnung selbst organisieren. Der Arbeitgeber als IT-Infrastruktur-Provider des Betriebsrates kann Rahmenbedingungen der IT-Nutzung faktisch und bedingt rechtlich bestimmen.
Viele Themen werden sich aber nur gemeinsam regeln und im Rahmen der gegenseitigen Unterstützung lösen lassen. Das spricht klar für den Abschluss einer Betriebsvereinbarung über den Datenschutz beim Betriebsrat. Damit lassen sich Verantwortungssphären abgrenzen, Pflichten konkretisieren und Prozesse etablieren, um Probleme zu lösen, die § 79 a BetrVG nicht gelöst hat.