Wie der Betriebsrat nach den Vorgaben der DSGVO einzuordnen ist – ob als eigene verantwortliche Stelle oder als Bestandteil einer verantwortlichen Stelle – ist nach wie vor ungeklärt und bleibt weiterhin eine rege Diskussion. In einem Beschluss kommt das Bundesarbeitsgericht (BAG) zu dem Ergebnis, dass für die Einsichtnahme von nicht anonymisierten Bruttoentgeltlisten die Frage nach der Einordnung des Betriebsrats keine Rolle spielt.
Der Inhalt im Überblick
Was ist passiert?
In dem Fall ging es um das Einblicksrecht des Betriebsrats in Bruttoentgeltlisten. Der Arbeitgeber betreibt eine Klinik, die einem gekündigtem Manteltarifvertrag unterfällt. Die Klinik führte seit einiger Zeit die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthielten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Dem Betriebsrat gewährte der Arbeitgeber nur Einsicht in eine anonymisierte Fassung dieser Listen.
Der Betriebsrat verlangt für seinen Betriebsausschuss Einblick in eine ungeschwärzte Fassung der Bruttoentgeltliste – mit sämtlichen Klarnamen. Nur so ließe sich feststellen, ob der Arbeitgeber die Vergütungsgrundsätze eingehalten hat.
Das Datenschutzrecht gilt so oder so
Die Entscheidung des BAGs fiel in diesem Fall zugunsten des Betriebsrats aus. Der Arbeitgeber ist nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Die streitbefangene Einsichtnahme ist zwar auf eine Verarbeitung personenbezogener Daten gerichtet. Diese sei aber zulässig. Das Gericht begründete seine Entscheidung wie folgt:
Zunächst definierte das BAG den Begriff Verarbeitung und griff dabei auf die gesetzliche Definition des Art. 4 Nr. 2 DSGVO zurück. Man stellt fest, dass in der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss eine Verarbeitung dieser Daten liege.
Weiterhin führt das BAG an, dass die Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstelle, unabhängig davon ob dieser als Dritter oder Empfänger im Sinne der DSGVO sei und stützt sich dabei auf die gesetzliche Definition des Art. 4 Nr. 9 DSGVO.
„Der Begriff der Verarbeitung bezeichnet nach Art. 4 Nr. 2 DS-GVO u.a. jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“, also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DS-GVO folgt – kein Dritter sein muss. Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DS-GVO ist.“
Es spiele in diesem Fall also gar keine Rolle, ob der Betriebsrat „Dritter“ ist, da er zumindest immer Empfänger sei. Dies reiche aus, damit eine erlaubnispflichtige Übermittlung personenbezogener Daten vorliege.
Problem erkannt, Problem gebannt?
Das BAG geht also davon aus, dass der Betriebsrat Empfänger ist, dem personenbezogene Daten offengelegt werden. Ob Personen oder Stellen innerhalb eines Unternehmens, als Empfänger gelten können, ist in der Literatur umstritten. Dreh- und Angelpunkt ist dabei, inwieweit die Einordnung als Empfänger eine gewisse rechtliche Eigenständigkeit verlangt und ob diese bei Organisationseinheiten zu bejahen ist, die gesetzlich mit Sonderrechten und -pflichten ausgestattet sind (wie etwa der Betriebsrat). Mit dieser Thematik hat sich das Gericht im vorliegenden Fall nicht auseinandergesetzt. Dabei hat die Einordnung des Betriebsrats als Empfänger Auswirkungen für Verantwortliche, etwa bei der Umsetzung der Betroffenenrechten (Art. 13, 14, 15, 19 DSGVO) und im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO).
Des Weiteren ist das Gericht der Auffassung, dass eine Offenlegung von personenbezogenen Daten, unbeachtlich ob sie gegenüber Dritten oder Empfängern erfolgt, eine Datenverarbeitung darstelle und somit einer eigenständigen Rechtsgrundlage bedürfe. Auch diese Einschätzung ist nicht unumstritten und wurde bisher im Rahmen einer ganz ähnlichen Konstellation, der Auftragsverarbeitung, diskutiert. Denn hier ist der Auftragsverarbeiter ebenfalls Empfänger, dem personenbezogene Daten offengelegt werden, ohne Dritter i.S.d. Art. 4 Nr. 10 DSGVO zu sein. Folgt man der im vorliegenden Fall verwendeten Argumentationskette des BAG müsste auch hier eine eigenständige Rechtsgrundlage für die Offenlegung vorliegen. Dies kann und wurde bereits als Begründung angeführt, wieso eine Privilegierung der Auftrasgverarbeitung mit der DSGVO entfallen muss. Dies steht bekanntlich im Widerspruch zur Auffassung der DSK, die annimmt, dass es keiner eigenen Rechtsgrundlage für die Offenlegung personenbezogener Daten gegenüber einem Auftragsverarbeiter bedarf.
Rolle des Betriebsrats bleibt weiterhin unklar
Da der Betriebsrat nach Auffassung des BAG also personenbezogene Daten verarbeitet, „gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle oder gar Verantwortlicher ist“, die Anforderung, dass er dabei die datenschutzrechtlichen Vorschriften einzuhalten habe. Dabei begründe sich die Zulässigkeit der mit der Gewährung des Einblicks in die Bruttoentgeltlisten verbundenen Datenverarbeitung nach Auffassung des Gerichts in § 26 Abs. 1 Satz 1 BDSG, da sie zur Erfüllung eines Rechts des Betriebsrats nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG erforderlich sei.
Ob der Betriebsrat selbst Verantwortlicher oder Adressat datenschutzrechtlicher Pflichten als Teil des Arbeitgebers ist, lässt das BAG in diesem Fall bewusst offen. Die Entscheidung hat aus Sicht des Datenschutzes dennoch einiges an Brisanz, da sie Schlussfolgerungen weit über den Rand des Beschäftigtendatenschutzes hinaus nahelegt. Über die Rolle des Betriebsrats hingegen, lässt es sich weiterhin streiten.
Als die 2018 die DSGVO in Kraft trat, gab es zum Teil große Unsicherheiten, wie die Verordnung auszulegen ist, weil es noch keine Urteile gab.
Ich habe jedoch in der Zwischenzeit den Eindruck, je mehr Urteile das es zur DSGVO gibt, desto schlimmer wird es.
Zu dem Artikel über ein interessantes Spannungsfeld einige Anmerkungen:
– Erstens hat das BAG ausweislich des von Ihnen gelieferten Zitats entschieden, dass der Betriebsrat ein Empfänger ist, und dabei offengelassen, ob er auch Dritter ist. Empfänger muss er aber sein, damit der Datentransfer unter die im Zitat verwendete Definition passt (eine Übermittlung/Offenlegung ohne Empfänger hat wenig Sinn). Im Satz vor dem Zitat müsste also das „oder Empfänger“ gestrichen werden.
– Zweitens hat das Gericht nicht entschieden, dass eine Offenlegung eine Verarbeitung ist, denn dies ist explizit in Art 4 Nr. 2 DSGVO geregelt. Nur das Gegenteil bedürfte einer Erörterung (und wäre entweder eine besonders begründungsbedürftige Rechtsfortbildung in Form der teleologischen Reduktion oder eine Auslegung contra legem).
– Drittens ist die Parallele zur Auftragsverarbeitung meines Erachtens nicht plausibel. Den Betriebsrat kennzeichnet gerade eine große Unabhängigkeit als Kontrapunkt zum Arbeitgeber im innerbetrieblichen Verhältnis. Das ist geradezu das Gegenteil des weisungsgebundenen Auftragsverarbeiters. Aus dem Beschluss des BAG ergibt sich für die Auftragsverarbeitung also gar nichts, nicht einmal eine Rechtsmeinung der Richter.
Abgesehen von derartigen gelegentlichen Schwächen bin ich für Ihre tolle Arbeit und die meist informativen Artikel sehr dankbar!
Beste Grüße
Fratercula
Hallo Fratercula,
vielen Dank für Ihre Hinweise. Wir freuen uns immer über Feedback. Zu Punkt 1, wie Sie richtig anmerken hat der BAG hat entschieden, dass der Betriebsrat zumindest Empfänger ist und die Frage nach der Einordnung als Dritter offengelassen. Eine Übermittlung/Offenlegung ist logischerweise auch gegenüber Dritten möglich, als welcher sich der Betriebsrat qualifizieren könnte, da dies erst zukünftig entschieden wird. Wir haben den Satz unter dem Zitat deshalb entsprechend angepasst.
Zu Punkt 2. Der springende Punkt am Beschluss ist nicht, dass die Offenlegung eine Verarbeitung ist, sondern der Umstand, dass dies nach Ansicht des Gerichts unabhängig von der Einstufung als Dritter oder Empfänger der Fall sein soll. Dies ergibt sich nicht direkt aus dem Gesetz, wird aber durch den Wortlaut der Art. 4 Nr. 2, Nr. 9 DSGVO insbesondere im Vergleich zum Wortlaut der alten BDSG Regelung (wie es das BAG vorliegend auch ausgeführt hat) nahegelegt.
Dagegen wird z.B. angeführt (Kühling/Buchner, Art. 28 DS-GVO, Rn. 17), dass selbst wenn die Definition der „Verarbeitung“ in Art. 4 Nr. 2 nur von einer „Offenlegung durch Übermittlung“ spricht und nicht von einer „Übermittlung an Dritte“, damit aber nichts anderes gemeint sein kann. Denn andernfalls würde die Definition des Empfängers in Art. 4 Nr. 9 keinen Sinn ergeben, die von jeder Art der „Offenlegung“ spricht und sich nicht zu einer Offenlegung durch Übermittlung verhält. An dieser Stelle soll nur aufgezeigt werden, dass diese Auffassung eben nicht unumstritten ist und die Ausführungen in dem Beschluss diesen Umstand nicht wiederspiegeln. Um dies zu verdeutlichen, haben wir das Wort entschieden in „ist das Gericht der Auffassung“ geändert und die wichtige Aussage danach fett markiert.
Zu Punkt drei. Wie im Beitrag ausgeführt, ist die Ausgangskonstellation die gleiche. Der Auftragsverarbeiter ist Empfänger ohne Dritter zu sein, welchem personenbezogene Daten offengelegt werden. Der von Ihnen für eine notwendige Differenzierung angeführte Grund der Weisungsgebundeheit führt nach dem Gesetzeswortlaut nicht zu einer Privilegierung der Datenverarbeitung. Somit muss diese hergeleitet werden. Natürlich gibt es dabei neben der Diskussion um Offenbarung/Empfänger/Dritter (Hier wurde z.T. dieselbe Argumentation gegen eine Privilegierung der AV angeführt wie sie im vorliegenden Fall das BAG führt, siehe z.B. der verlinkte Beitrag von de lege data. Daher ist es wahrscheinlich, dass der Beschluss in diesem Rahmen künftig dahingehend angeführt wird. Wir haben den Text dahingehend angepasst, dass dies deutlicher wird) auch noch weitere Ansätze, die auf anderem Weg eine Privilegierung der Auftragsverarbeitung herleiten und auf die sich das Urteil nicht auswirkt. Darauf auch noch einzugehen, wäre aber zu viel Materie für den Blogbeitrag gewesen.
Das BAG hat auf Grundsatz von § 82 Satz 2 BetrVG geurteilt und damit im Rahmen des gültigen Rechtes. Ich sehe keinen Grund in diesem Urteil mehr zu sehen als Rechtsprechung im Rahmen eines gültigen Gesetzes. Der Betriebsrat unterliegt der ebenfalls in mehreren Paragrafen im BetrVG geregelten Schweigepflicht, ich verstehe diese Diskussion um die Position des Betriebsrates nicht – hier sollte doch eine ähnlich gute Zusammenarbeit wie mit den Fachkräften für Arbeitssicherheit langsam aber sicher einkehren.
Die DSGVO genießt als unmittelbar anwendbares Unionsrecht im Konfliktfall mit nationalen Normen wie § 82 Satz 2 BetrVG den Anwendungsvorrang. Die Diskussion um die Position des Betriebsrates kam vor allem im Zusammenhang mit der Haftungsproblematik bei Datenschutzverstößen auf. Ist der Betriebsrat eigener Verantwortlicher könnte die Aufsichtsbehörde ihm gegenüber Anordnungen erlassen und er haftet selbst für Datenschutzverstöße. Diese würde sich aber negativ auf seine Tätigkeit auswirken. Ist er hingegen Teil der Verantwortlichen Stelle haftet diese für die Datenschutzverstöße des Betriebsrates, obwohl sie, aufgrund der Sonderstellung des Betriebsrates, keine Einflussmöglichkeit auf dessen Datenverarbeitungen hat. Näheres dazu im verlinkten Beitrag am Ende des Artikels.
In diesem Fall hätte die Position des Betriebsrates eine Rolle spielen können bei der Frage, ob es für die Weitergabe von personenbezogenen Daten zwischen Arbeitgeber und Betriebsrat überhaupt einer Rechtsgrundlage bedarf. Wie dargestellt hat das Gericht dabei einen Weg gefunden dies zu „umgehen“.
Schon beim ersten Durchlesen der DSGVO 2016 war mir klar, dass „Offenlegung“ nicht nur Dritte betrifft. Das Urteil ist daher aus meiner Sicht vollkommen richtig. Ob es für eine „interne“ Offenlegung eine eigene Rechtsgrundlage braucht, ist aus meiner Sicht nur vom Verarbeitungszweck abhängig. Der Betriebsrat verfolgt nicht Zwecke des Verantwortlichen, zu denen dieser intern die Daten gegenüber Mitarbeitern offenlegt. Ein Auftragsverarbeiter verarbeitet Daten hingegen spezifisch zu Zwecken des Verantwortlichen, deren Rechtsgrundlage vorher geklärt sein sollte. Mangels Verarbeitung zu eigenen Zwecken braucht der Auftragsverarbeiter daher auch keine eigene Rechtsgrundlage für die Offenlegung an diesen.
Das einem Empfänger auch Daten offengelegt werden können, ergibt sich direkt aus der DSGVO. Hier ist vor allem umstritten, ob es sich dabei immer um eine die Offenlegung durch Übermittlung nach Art. 4 Nr. 2 DSGVO und somit um eine Verarbeitung handelt (wie es das BAG im vorliegenden Fall annimmt) oder ob diese Vorschrift auf eine Offenlegung durch Übermittlung an Dritte abzielt und eine Offenlegung durch Übermittlung an Empfänger nur in den Fällen, in denen das Gesetz dies ausdrücklich vorsieht, eine rechtfertigungsbedürftige Verarbeitung darstellt, wie etwa in Art. 14 Abs. 1 lit. f).
Spanned wäre hier für Betriebsräte zu wissen, wo sie noch mitbestimmen dürfen. Insbesondere dann, wenn dem Arbeitgeber Rechte bei der Überwachung eingeräumt werden, die ohne Regelung der Mitarbeiter im Rahmen der DSGVO abwehren könnte. Sprich er wäre ohne Regelung besser gestellt. Die grundlegende Frage ist dabei immer, die Kollision von Individualrechten und Kollektivrechten.