Die Stellung des Betriebsrates im Rahmen der DSGVO

72
views

Seit 25.05.2018 gilt die neue Datenschutzgrundverordnung (DSGVO). Die Umsetzung der strengen Vorgaben der Verordnung beschäftigt naturgemäß noch immer die Unternehmen. Viele Punkte, speziell auch im Beschäftigtendatenschutz, sind noch nicht abschließend geklärt und bedürfen künftig der Klärung durch die Rechtsprechung. Ein häufig und kontrovers diskutiertes Thema ist dabei insbesondere die Stellung des Betriebsrats im Rahmen der datenschutzrechtlichen Regelungen.

Die Arbeitgeber fragen sich z. B. wie sie, vor dem Hintergrund des neuen Datenschutzrechtes, mit den Informationspflichten, die sie gegenüber dem Betriebsrat haben, umgehen sollen. Welche Daten dürfen/müssen insbesondere unter Berücksichtigung der von der DSGVO vorgeschriebenen Datensparsamkeit herausgegeben werden? Eine weitere Frage, die sich in diesem Zusammenhang stellt, ist die nach der rechtlichen Stellung des Betriebsrates. Kann dieser Verantwortlicher im Sinne der Datenschutzgrundverordnung sein? Ein Thema, das die Arbeitgeber darüber hinaus umtreibt, ist, ob der Betriebsrat den Arbeitgeber bei etwaigen Datenschutzverstößen gegenüber den Behörden „verpetzen“ darf bzw. ob er solche Verstöße gar melden muss. Dies ist vor allem vor dem Hintergrund der erheblichen Bußgelder bei Datenschutzverstößen eine sehr bedeutsame Frage.

Darf der Betriebsrat den Arbeitgeber bei Datenschutzverstößen bei den Behörden „verpetzen“?

Unstreitig ist, dass auch der Betriebsrat sich an die datenschutzrechtlichen Vorgaben zu halten hat. Fraglich ist in diesem Zusammenhang allerdings, ob der Betriebsrat etwaige Verstöße des Arbeitgebers bei den Datenschutzbehörden melden darf oder gar muss. Diese Frage ist für den Arbeitgeber von höchster praktischer Relevanz. Wenn dies tatsächlich der Fall wäre, so hätte der Betriebsrat ein erhebliches Druckmittel gegenüber dem Arbeitgeber in der Hand, nicht zuletzt, weil sich aufgrund der derzeitigen Unsicherheit bezüglich der Anwendung der Datenschutzgrundverordnung im Einzelnen jedenfalls kleinere Datenschutzverstöße kaum gänzlich vermeiden lassen, zum anderen, weil die Bußgelder, die die DSGVO vorsieht, beträchtlich sind.
Gemäß § 80 Abs. 1 Nr. 1 BetrVG i. V. m. § 75 Abs. 2 BetrVG hat der Betriebsrat darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze eingehalten und durchgeführt werden. Dazu gehören natürlich auch die Regelungen des Beschäftigungsdatenschutzes. Nach dieser Vorschrift hat der Betriebsrat jedenfalls das Recht, dem Arbeitgeber bei der Umsetzung und Einhaltung der datenschutzrechtlichen Regelung auf die Finger zu schauen. Aber korreliert damit tatsächlich auch das Recht des Betriebsrates, etwaige Verstöße direkt gegenüber den Datenschutzbehörden zu melden? Oder muss sich der Betriebsrat vielmehr darauf beschränken, den Arbeitgeber auf diesen Verstoß hinzuweisen? Mit Verweis auf die vertrauensvolle Zusammenarbeit nach § 2 Abs. 1 BetrVG wird man den Betriebsrat wohl auf Letzteres verweisen müssen.
Eine gesetzliche Regelung, nach welcher der Betriebsrat die Datenschutzbehörden bei der Aufdeckung von Verstößen zu unterstützen hätte, besteht nicht. Ein Melderecht des Betriebsrats gegenüber den Datenschutzbehörden wird demnach allenfalls in extremen Einzelfällen anzunehmen sein und zwar lediglich dann, wenn alle Bemühungen des Betriebsrates, den Arbeitgeber zu einem datenschutzkonformen Handeln zu veranlassen, auf taube Ohren gestoßen ist und auch die Einschaltung des Datenschutzbeauftragten ohne Erfolg geblieben ist. Allenfalls dann, wenn dem Betriebsrat keine anderen Möglichkeiten mehr zu Verfügung stehen, wird er sich wohl an die Behörde wenden dürfen. Maßgeblich wird hier allerdings darüber hinaus auch die Schwere des Datenschutzverstoßes sein. Ein Melderecht dürfte demnach generell nur bei äußerst schwerwiegenden Verstößen bestehen.

„Anschwärzen“ ohne versuch vorheriger betriebsinterner Klärung stellt Verstoss dar

Verstößt der Betriebsrat gegen die dargelegten Grundsätze und schwärzt den Arbeitgeber bei den Behörden an, ohne den Versuch der betriebsinternen Klärung unternommen zu haben oder droht er gar mit einer Meldung an die Behörde, um Druck auf den Arbeitgeber auszuüben, kann darin eine grobe Verletzung seiner gesetzlichen Pflichten nach § 23 Abs. 1 BetrVG liegen. In Betracht kommt dann der Ausschluss eines Mitgliedes aus dem Betriebsrat oder gar die Auflösung des Betriebsrates. Im Einzelnen ist hier derzeit noch vieles umstritten und bedarf künftig der Klärung durch die Gerichte.

Inwieweit ist der Betriebsrat Verantwortlicher im Rahmen des Datenschutzes?

Im Rahmen seiner Mitbestimmungsrechte sowie im Rahmen seiner sonstigen betriebsverfassungsrechtlichen Aufgaben sammelt und verarbeitet der Betriebsrat neben dem Arbeitgeber ebenfalls Beschäftigtendaten. Gemäß § 80 Abs. 2
BetrVG hat der Betriebsrat zur Durchführung seiner Aufgaben einen Anspruch darauf, dass der Arbeitgeber jederzeit datenschutzrelevante Unterlagen zur Verfügung stellt. Der Arbeitgeber hat zumeist keinerlei Einfluss- und Kontrollmöglichkeiten dahingehend, ob der Betriebsrat sich bei der Verarbeitung und Nutzung der Daten an die Vorgaben des Datenschutzrechtes hält. Der Betriebsrat ist diesbezüglich weitgehend unabhängig.Gemäß Art. 4 Nr. 7 der DSGVO ist Verantwortlicher im Sinne der Verordnung jede natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, diese also selbst erhebt, verarbeitet und nutzt. Nach dieser Definition wird man künftig wohl auch den Betriebsrat als verantwortliche Stelle einordnen müssen. Dies war nach bisheriger Rechtslage noch nicht der Fall.

BETRIEBSRAT Bisher lediglich Teil der verantwortlichen Stelle

Bisher war der Betriebsrat nach einhelliger Ansicht lediglich Teil der verantwortlichen Stelle. Die künftige Einordnung als verantwortliche Stelle hätte für den Betriebsrat weitreichende Konsequenzen. Für diesen würden dann die Regelungen der Datenschutzgrundverordnung vollumfänglich gelten. Den Betriebsrat würden demnach die Transparenz- und Informationspflichten gemäß Art. 13 und Art. 14 der DSGVO treffen. Darüber hinaus wäre der Betriebsrat zur Führung eines Verarbeitungsverzeichnisses und bei Vorliegen der entsprechenden Voraussetzungen gar zu einer Datenschutzfolgenabschätzung verpflichtet. In Betracht käme zudem die Pflicht des Betriebsrates zur Bestellung eines eigenen Datenschutzbeauftragten. Im Falle einer Datenschutzpanne wäre der Betriebsrat in diesem Fall ebenfalls vollumfänglich verantwortlich. In diesem Fall könnte man dann entsprechend über ein Melderecht des Arbeitgebers gegenüber den Behörden nach den oben beschriebenen Grundsätzen nachdenken. Strenggenommen träfe den Betriebsrat als Adressat eines etwaigen Bußgeldes nach Art. 83 DSGVO die Zahlungspflicht.
Ein etwaiges Bußgeld wäre in diesem Fall allerdings auf einen Betrag in Höhe von „nur“ 10 Millionen bzw. 20 Millio­nen Euro gedeckelt, da es sich jedenfalls bei dem Betriebsrat nicht um ein Unternehmen handelt. Problematisch ist allerdings, dass der Betriebsrat selbst vermögenslos ist. Letztlich müsste in diesem Fall wohl der Arbeitgeber für ein etwaiges Bußgeld nach der DSGVO haften. Inwiefern der Arbeitgeber etwaige „Datenschutzpannen“ des Betriebsrates meldet, wird er sich wohl überlegen. In Betracht kommen aber auch in diesem Fall, je nach Vorwerfbarkeit des Verstoßes, die Sanktionen des § 23 BetrVG gegen den Betriebsrat. Ob der Betriebsrat daher tatsächlich nach neuer Rechtslage als verantwortliche Stelle im Sinne der DSGVO einzuordnen ist, bedarf künftig ebenfalls der Klärung durch die Rechtsprechung oder die Datenschutz­behörden.