Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?

News

Möglicherweise kommt schon bald der nächste DSGVO-Hammer: Voraussichtlich verabschieden die Aufsichtsbehörden bald einen Beschluss nach dem Betriebsräte eigene Verantwortliche im Sinne der Datenschutz-Grundverordnung sein sollen. Auch wenn diese Ansicht rechtlich fragwürdig ist, können sich Unternehmen und Betriebsräte schon jetzt absichern.

Woher kommt die Einschätzung der Aufsichtsbehörden?

Unter Anwendung des bis zum 25. Mai 2018 gültigen BDSG ist das Bundesarbeitsgericht in ständiger Rechtsprechung davon ausgegangen, dass der Betriebsrat als Teil der verantwortlichen Stelle (des Unternehmens) anzusehen sei. Diese vom Großteil der Literatur getragene Meinung wurde damit begründet, dass nach altem BDSG nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein konnten (§ 2 Abs. 4 BDSG a.F.; § 3 Abs. 7 BDSG a.F.).

Die Datenschutz-Grundverordnung hingegen definiert den „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO als

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. (Hervorhebung durch den Autor)

Eine Beschränkung auf bestimmte Stellen findet sich in der Datenschutz-Grundverordnung demnach nicht mehr, wobei die Verarbeitung durch natürliche Personen zu rein persönlichen oder familiären Zwecken über den sachlichen Anwendungsbereich ausgenommen wird (Art. 2 Abs. 2 lit. c DSGVO).

Maßgeblich ist also nur noch, wer über die Mittel und Zwecke der Verarbeitung bestimmt. Aus der sich aus dem Betriebsverfassungsgesetz ergebenden Unabhängigkeit des Betriebsrats ließe sich ableiten, dass der Betriebsrat nur selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen könne. Aus dieser Eigenverantwortlichkeit folge die eigene Pflicht des Betriebsrats für die Einhaltung der Datenschutzvorschriften zu sorgen.

Das Bundesarbeitsgericht hat dabei in einem Urteil sogar die Kontrollmöglichkeit der Einhaltung der Datenschutzvorschriften durch den Datenschutzbeauftragten des Unternehmens verneint, da dieser als verlängerter Arm des Unternehmens anzusehen sei.

Ist das wirklich so klar?

Wir denken Nein! Richtig ist, dass nach der Datenschutz-Grundverordnung derjenige Verantwortlicher sein soll, der die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt.

Betrachtet man dabei die Zusammenarbeit des Betriebsrats mit den Unternehmen in der Praxis, ist es mit der vollständigen Eigenverantwortlichkeit bei der Verarbeitung personenbezogener Daten gar nicht so weit her.

Zum einen ist es ganz üblich, dass Betriebsräte die IT des Unternehmens mitnutzen und sich zu diesem Zweck auch dem Großteil der technischen und organisatorischen Maßnahmen des Unternehmens unterwerfen. Zur Bereitstellung von Informations- und Kommunikationstechnik ist das Unternehmen nach § 40 Abs. 2 BetrVG im Übrigen auch verpflichtet. Daran ändert auch ein Beschluss des Bundesarbeitsgerichts nichts, nachdem das Unternehmen dem Betriebsrat einen nicht personalisierten Zugang zum Internet zur Verfügung stellen muss. Weder das BDSG a.F. noch die DSGVO verlangen besondere Maßnahmen zum Schutz von im Internet öffentlich zugänglichen personenbezogenen Daten. (So zumindest im gleichen Beschluss zum BDSG a.F. festgehalten)

Über die Mittel der Verarbeitung personenbezogener Daten entscheidet der Betriebsrat also schon mal nicht so klar selbst. Aber wie sieht es mit den Zwecken aus? Werden wenigstens diese eindeutig durch den Betriebsrat festgelegt? Wohl eher auch nicht. Die Funktion und die Befugnisse des Betriebsrats werden durch das Betriebsverfassungsgesetz vorgeschrieben. Der Betriebsrat kann über seine Tätigkeiten und damit über die Zwecke der Verarbeitung personenbezogener Daten nur in einem sehr engen Rahmen entscheiden.

Diese Überlegungen führen in Summe eher zu der Schlussfolgerung, dass der Betriebsrat kein eigener Verantwortlicher im Sinne der DSGVO ist.

Ist ein solcher Beschluss der Aufsichtsbehörden bindend?

Auch das kann verneint werden. Bei den Aufsichtsbehörden handelt es sich weder um rechtsgebende noch um rechtsfortbildende Organe. Weder Unternehmen, noch Gerichte sind demnach gezwungen den Auslegungen der Aufsichtsbehörde zu folgen.

Dennoch zeigt sich die Tendenz, dass Gerichte in einigen Fällen dazu neigen, den Auslegungen der Aufsichtsbehörden zu folgen. In der Vergangenheit sind Gerichte aber auch schon öfter zu einem anderen Ergebnis als die Aufsichtsbehörden gelangt.

Folgen Verantwortliche den Ansichten der Aufsichtsbehörden aus rechtlichen oder sonstigen Gründen nicht, müssen Sie jedoch mit höherer Wahrscheinlichkeit mit einem Bußgeld rechnen. Ein solches Bußgeld gerichtlich anzugreifen, kann dann ein mühsamer und langwieriger Weg sein, der nicht mit absoluter Sicherheit von Erfolg gekrönt ist.

Zu einer ähnlichen Wertung kommt auch der Kollege Tim Wytibul in seinem lesenswerten Artikel, der insbesondere die möglichen Folgen für Betriebsräte darstellt:
Betriebsrat selbst für Datenschutz verantwortlich: Sorgen Datenschutzbehörden bald für Paukenschlag?

Was kann ich als Unternehmen tun?

Auch bei abweichender Meinung zur Verantwortlichkeit des Betriebsrats können dieser und das Unternehmen Maßnahmen treffen um das Risiko eines Bußgelds zu minimieren.

  • Regeln Sie zwischen Betriebsrat und Unternehmen eindeutig die Überlassung der IT-Systeme und der Nutzung dieser. (Soweit im Rahmen des BetrVG möglich)
  • Bieten Sie dem Betriebsrat an, die Beratungskompetenz des Datenschutzbeauftragten mit zu nutzen.
  • Regeln Sie die datenschutzrechtliche Einordnung als Teil des Verantwortlichen (des Unternehmens) in einer Betriebsvereinbarung. Mit einer solchen können nämlich gem. Art. 88 Abs. 1 DSGVO spezifischere Vorschriften zum Datenschutz geschaffen werden.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. „Beratungskompetenz des DSB nutzen“. Wie soll das denn gehen?
    Unterstellt, man geht tatsächlich einmal davon aus, dass der BR eine eigene und damit andere verantwortliche Stelle ist, wo bitte ist dann der Bestellungsakt für den DSB? Wo nimmt der nicht bestellte DSB die Befugnis her, rechtsberatend tätig zu werden? Das RDG behält die Rechtsberatung eindeutig den Anwälten vor; die Ausnahmen des § 5 RDG liegen nicht vor. Und selbst wenn ein Anwalt tätig würde, geht die gleichzeitige Beratung zweier Parteien, die quasi bestimmungsgemäß Gegenpole bilden, schon deutlich in die Richtung Prävarikation.
    Last, not least, wer haftet denn dann? Der DSB wird in dem Moment dann als externer DSB ohne Haftungsvergünstigungen tätig.
    Dem hier gegeneben Rat blind zu folgen, kann böse ins Auge gehen!

  2. Frage: Können sich Verantwortliche und der Betriebsrat von demselben (externen) Datenschutzbeauftragten beraten lassen (Interessenskonflikt nach Art. 38, 6 DSGVO?)?

    • Diese Frage ist m. E. Gegenstand der Diskussion, ob der Betriebsrat eigener Verantwortlicher oder nur Teil der verantwortlichen Stelle ist. Letzterenfalls sehen z.B. Wybitul und Kranig dann keine Probleme einen gemeinsamen DSB zu benennen, wenn dadurch nicht die Rechte des Betriebsrates ausgehebelt werden. Zur Vertiefung sei das Interview mit den Vorgenannten in ZD 2019, 1 ff. empfohlen.

  3. Die Argumentation zu der Frage, ob Betriebsräte über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden ist reichlich irritierend. Ja, Betriebsräte nutzen die IKT, die ihnen durch das Unternehmen bereitgestellt wird/werden muss. Aber entscheidend ist doch, dass Betriebsräte zwar das Recht haben, durch die Unternehmen, zu denen sie gehören, IKT zur Verfügung gestellt zu bekommen und betriebliche IKT zu verwenden, aber keineswegs verpflichtet sind, betriebliche IKT zu nutzen. Die Entscheidung, die bereitgestellten betrieblichen Mittel zu verwenden ist natürlich naheliegend, aber diese Entscheidung treffen Betriebsräte selbst (Betriebsräte könnten durchaus entscheiden, die betriebliche IKT nicht zu nutzen). Aus der verbreiteten Praxis der Nutzung betrieblicher IKT durch Betriebsräte zu schließen, Betriebsräten wäre die selbständige Entscheidung über die Mittel der Datenverarbeitung verwehrt, geht fehl.

    Auch das Argument, das BetrVG schreibe dem Betriebsrat die Zwecke der Datenverarbeitung vor und daher könne ein Betriebsrat auch über diese nicht selbst entscheiden, scheint mir in seiner Auswirkung, würde es allgemein anerkannt, nicht zu Ende gedacht. Denn liest man das BetrVG als Vorgabe für die Zweckbestimmung der Verarbeitung personenbezogener Daten, dann müsste das genauso für die Sozialgesetzbücher gelten, in denen die Verarbeitungen von Sozialdaten teilweise deutlich konkreter bestimmt sind als Verarbeitungen von Beschäftigtendaten im BetrVG. Demnach könnten alle, die Sozialdaten gemäß den SGB verarbeiten, keine Verantwortlichen im Sinne der DSGVO sein. Arbeitgeber, die Beschäftigtendaten vor allem auf Grundlage der Sozial- und Arbeitsrechtssätze verarbeiten, wären für diese zu gesetzlich fixierten Zwecken vorgenommenen Verarbeitungen keine Verantwortlichen. Und auch Behörden, die ja in der Regel personenbezogene Daten auf Grundlage gesetzlicher Vorgaben verarbeiten, könnten gemäß dieser Argumentation keine Verantwortlichen im Sinne der DSGVO sein.

    Doch das Gegenteil ist richtig, denn aus dem Wortlaut in Art. 6 Abs. 1 lit. c) DSGVO geht klar hervor, dass diejenigen, die aufgrund gesetzlicher Regelungen personenbezogene Daten verarbeiten, Verantwortliche sind. Das BetrVG (genau wie die SGB und zahlreiche weitere Gesetze) enthält Erlaubnistatbestände gemäß Art. 6 Abs. 1 lit. c) DSGVO (nicht mehr und nicht weniger) und diejenigen, die aufgrund der Erlaubnistatbestände personenbezogene Daten verarbeiten, sind Verantwortliche. Das gilt auch für Betriebsräte, die deshalb unter der DSGVO datenschutzrechtlich eine andere Rolle innehaben als unter BDSG a.F.; daran ändert auch der Umstand nichts, dass es für die Aufsichtsbehörden Sanktionierungsschwierigkeiten bei Datenschutzverstößen durch Betriebsräte geben kann, sofern nicht einzelne Betriebsratsmitglieder für einen zu ahndenden Verstoß verantwortlich gemacht werden können.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.