Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?

News

Möglicherweise kommt schon bald der nächste DSGVO-Hammer: Voraussichtlich verabschieden die Aufsichtsbehörden bald einen Beschluss nach dem Betriebsräte eigene Verantwortliche im Sinne der Datenschutz-Grundverordnung sein sollen. Auch wenn diese Ansicht rechtlich fragwürdig ist, können sich Unternehmen und Betriebsräte schon jetzt absichern.

Woher kommt die Einschätzung der Aufsichtsbehörden?

Unter Anwendung des bis zum 25. Mai 2018 gültigen BDSG ist das Bundesarbeitsgericht in ständiger Rechtsprechung davon ausgegangen, dass der Betriebsrat als Teil der verantwortlichen Stelle (des Unternehmens) anzusehen sei. Diese vom Großteil der Literatur getragene Meinung wurde damit begründet, dass nach altem BDSG nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein konnten (§ 2 Abs. 4 BDSG a.F.; § 3 Abs. 7 BDSG a.F.).

Die Datenschutz-Grundverordnung hingegen definiert den „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO als

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. (Hervorhebung durch den Autor)

Eine Beschränkung auf bestimmte Stellen findet sich in der Datenschutz-Grundverordnung demnach nicht mehr, wobei die Verarbeitung durch natürliche Personen zu rein persönlichen oder familiären Zwecken über den sachlichen Anwendungsbereich ausgenommen wird (Art. 2 Abs. 2 lit. c DSGVO).

Maßgeblich ist also nur noch, wer über die Mittel und Zwecke der Verarbeitung bestimmt. Aus der sich aus dem Betriebsverfassungsgesetz ergebenden Unabhängigkeit des Betriebsrats ließe sich ableiten, dass der Betriebsrat nur selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen könne. Aus dieser Eigenverantwortlichkeit folge die eigene Pflicht des Betriebsrats für die Einhaltung der Datenschutzvorschriften zu sorgen.

Das Bundesarbeitsgericht hat dabei in einem Urteil sogar die Kontrollmöglichkeit der Einhaltung der Datenschutzvorschriften durch den Datenschutzbeauftragten des Unternehmens verneint, da dieser als verlängerter Arm des Unternehmens anzusehen sei.

Ist das wirklich so klar?

Wir denken Nein! Richtig ist, dass nach der Datenschutz-Grundverordnung derjenige Verantwortlicher sein soll, der die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt.

Betrachtet man dabei die Zusammenarbeit des Betriebsrats mit den Unternehmen in der Praxis, ist es mit der vollständigen Eigenverantwortlichkeit bei der Verarbeitung personenbezogener Daten gar nicht so weit her.

Zum einen ist es ganz üblich, dass Betriebsräte die IT des Unternehmens mitnutzen und sich zu diesem Zweck auch dem Großteil der technischen und organisatorischen Maßnahmen des Unternehmens unterwerfen. Zur Bereitstellung von Informations- und Kommunikationstechnik ist das Unternehmen nach § 40 Abs. 2 BetrVG im Übrigen auch verpflichtet. Daran ändert auch ein Beschluss des Bundesarbeitsgerichts nichts, nachdem das Unternehmen dem Betriebsrat einen nicht personalisierten Zugang zum Internet zur Verfügung stellen muss. Weder das BDSG a.F. noch die DSGVO verlangen besondere Maßnahmen zum Schutz von im Internet öffentlich zugänglichen personenbezogenen Daten. (So zumindest im gleichen Beschluss zum BDSG a.F. festgehalten)

Über die Mittel der Verarbeitung personenbezogener Daten entscheidet der Betriebsrat also schon mal nicht so klar selbst. Aber wie sieht es mit den Zwecken aus? Werden wenigstens diese eindeutig durch den Betriebsrat festgelegt? Wohl eher auch nicht. Die Funktion und die Befugnisse des Betriebsrats werden durch das Betriebsverfassungsgesetz vorgeschrieben. Der Betriebsrat kann über seine Tätigkeiten und damit über die Zwecke der Verarbeitung personenbezogener Daten nur in einem sehr engen Rahmen entscheiden.

Diese Überlegungen führen in Summe eher zu der Schlussfolgerung, dass der Betriebsrat kein eigener Verantwortlicher im Sinne der DSGVO ist.

Ist ein solcher Beschluss der Aufsichtsbehörden bindend?

Auch das kann verneint werden. Bei den Aufsichtsbehörden handelt es sich weder um rechtsgebende noch um rechtsfortbildende Organe. Weder Unternehmen, noch Gerichte sind demnach gezwungen den Auslegungen der Aufsichtsbehörde zu folgen.

Dennoch zeigt sich die Tendenz, dass Gerichte in einigen Fällen dazu neigen, den Auslegungen der Aufsichtsbehörden zu folgen. In der Vergangenheit sind Gerichte aber auch schon öfter zu einem anderen Ergebnis als die Aufsichtsbehörden gelangt.

Folgen Verantwortliche den Ansichten der Aufsichtsbehörden aus rechtlichen oder sonstigen Gründen nicht, müssen Sie jedoch mit höherer Wahrscheinlichkeit mit einem Bußgeld rechnen. Ein solches Bußgeld gerichtlich anzugreifen, kann dann ein mühsamer und langwieriger Weg sein, der nicht mit absoluter Sicherheit von Erfolg gekrönt ist.

Zu einer ähnlichen Wertung kommt auch der Kollege Tim Wytibul in seinem lesenswerten Artikel, der insbesondere die möglichen Folgen für Betriebsräte darstellt:
Betriebsrat selbst für Datenschutz verantwortlich: Sorgen Datenschutzbehörden bald für Paukenschlag?

Was kann ich als Unternehmen tun?

Auch bei abweichender Meinung zur Verantwortlichkeit des Betriebsrats können dieser und das Unternehmen Maßnahmen treffen um das Risiko eines Bußgelds zu minimieren.

  • Regeln Sie zwischen Betriebsrat und Unternehmen eindeutig die Überlassung der IT-Systeme und der Nutzung dieser. (Soweit im Rahmen des BetrVG möglich)
  • Bieten Sie dem Betriebsrat an, die Beratungskompetenz des Datenschutzbeauftragten mit zu nutzen.
  • Regeln Sie die datenschutzrechtliche Einordnung als Teil des Verantwortlichen (des Unternehmens) in einer Betriebsvereinbarung. Mit einer solchen können nämlich gem. Art. 88 Abs. 1 DSGVO spezifischere Vorschriften zum Datenschutz geschaffen werden.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. „Beratungskompetenz des DSB nutzen“. Wie soll das denn gehen?
    Unterstellt, man geht tatsächlich einmal davon aus, dass der BR eine eigene und damit andere verantwortliche Stelle ist, wo bitte ist dann der Bestellungsakt für den DSB? Wo nimmt der nicht bestellte DSB die Befugnis her, rechtsberatend tätig zu werden? Das RDG behält die Rechtsberatung eindeutig den Anwälten vor; die Ausnahmen des § 5 RDG liegen nicht vor. Und selbst wenn ein Anwalt tätig würde, geht die gleichzeitige Beratung zweier Parteien, die quasi bestimmungsgemäß Gegenpole bilden, schon deutlich in die Richtung Prävarikation.
    Last, not least, wer haftet denn dann? Der DSB wird in dem Moment dann als externer DSB ohne Haftungsvergünstigungen tätig.
    Dem hier gegeneben Rat blind zu folgen, kann böse ins Auge gehen!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.