Modernisierung des Rechts der Mitarbeitervertretungen

Betriebsrat oder Arbeitgebende - wer ist eigentlich Verantwortlich im Sinne der DSGVO?

14.09.2021

Als Reaktion auf den stetigen Rückgang der Neugründungen der Mitarbeitervertretungen in den Betrieben sowie aufgrund von Problemen, die durch insbesondere im Kollektivarbeitsrecht durch die datenschutzrechtlichen Regelungen nach Inkrafttreten der Datenschutz-Grundverordnung und der Corona-Pandemie entstanden sind, wurde durch den Bundesgesetzgeber das Betriebsverfassungsrecht sowie eine Reihe weiterer Rechtsvorschriften geändert (hierzu vergleiche das Betriebsrätemodernisierungsgesetz vom 14. Juni 2021). Insbesondere waren die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats oder auch die Undurchführbarkeit der Präsenzsitzungen des Betriebsrats aufgrund der Kontaktbeschränkungen Anlässe der nun durchgeführten Anpassungen.

Neben dem Betriebsverfassungsgesetz (BetrVG) wurde durch das Betriebsrätemodernisierungsgesetz vom 14.06.2021 das Kündigungsschutzgesetz (KSchG), das Sprecherausschussgesetz (SprAuG), die Werkstätten-Mitwirkungsverordnung sowie das Siebte Buch Sozialgesetzbuch (SGB VII), welches die gesetzliche Unfallversicherung regelt, geändert. Zudem wurde parallel auch das Bundespersonalvertretungsgesetz (BPersVG) angepasst.

Das Ziel der Gesetzesänderungen war insbesondere die Vereinfachung der Wahl der Betriebsräte und die Stärkung der Betriebsratsrechte im Rahmen der Weiterbildung, beim Einsatz der künstlichen Intelligenz (KI) sowie die Regelung der mobilen Arbeit. Durch die aktuellen Änderungen der Rechtsvorschriften sollen zudem auch die digitalen Arbeitsabläufe ermöglicht werden. Darüber hinaus wurde die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats gesetzlich geregelt.

Der vorliegende Artikel konzentriert sich auf Änderungen, die aus datenschutzrechtlicher Sicht für die Verantwortlichen relevant sind.

Modernisierung des Betriebsverfassungsrechts

Regelung der datenschutzrechtlichen Verantwortlichkeit im BetrVG

Im Rahmen der Gesetzesmodernisierung wurde in das BetrVG eine Regelung eingefügt, die die datenschutzrechtlichen Verantwortlichkeiten für die Verarbeitung der personenbezogenen Daten durch den Betriebsrat regelt. In § 79a BetrVG wird nunmehr Folgendes klargestellt:

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Die seit langer Zeit umstrittene Frage, wer im Sinne der Datenschutzgrundverordnung (DSGVO) beziehungsweise des Bundesdatenschutzgesetzes (BDSG) die für die Datenverarbeitung des Betriebsrats verantwortliche Stelle ist, wurde durch den Gesetzgeber eindeutig beantwortet und die Arbeitgeberseite für verantwortlich erklärt.

Allerdings beantwortet der Gesetzgeber in dem neu eingefügten Paragrafen bei weitem nicht alle Fragen, die im Zusammenhang mit der Umsetzung der Norm aufkommen. Es gibt weiterhin Fragen, die auch mit der gesetzlichen Klarstellung ungelöst bleiben.

Das zentrale Problem betrifft dabei die Festlegung und die Umsetzung der technischen und der organisatorischen Maßnahmen gemäß Artikel 24 sowie 32 DSGVO (TOM). Denn durch seine organisatorische Selbständigkeit und Weisungsfreiheit darf der Betriebsrat auch bei der Frage der Festlegung und der Umsetzung der TOM durch die jeweiligen Arbeitgebenden nicht eingeschränkt werden, so dass der Betriebsrat im Rahmen seiner Zuständigkeit zumindest teilweise selbst über die Festlegung und Umsetzung der technischen und der organisatorischen Maßnahmen entscheidet. Satz 3 des § 79a BetrVG sagt hierzu:

„Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“

Dazu, wie diese gegenseitige Unterstützung aussehen soll und wer für den Fall, dass keine Einigkeit erzielt wird, letztlich die Entscheidungsbefugnis hat, sagt der Gesetzgeber nichts. Gemäß § 40 Abs. 2 BetrVG wird lediglich festgelegt, dass „der Arbeitgeber in erforderlichem Umfang Räume, sachliche Mittel, Informations- und Kommunikationstechnik sowie Büropersonal zur Verfügung zu stellen“ hat.

Sollte der Betriebsrat keine angemessenen TOM implementieren und es zu einer Verletzung des Schutzes personenbezogener Daten der Beschäftigten kommen, stellt sich die Frage, wer der Adressat von Schadensersatzansprüchen der betroffenen Personen gemäß Artikel 82 Abs. 1 DSGVO wäre. Da der Arbeitgeber jedoch als Verantwortlicher festgelegt wurde, werden die Ansprüche auch gegenüber ihm geltend gemacht werden können. Insofern halten wir es für unbefriedigend, dass der Gesetzgeber hier nur eine allgemeine gegenseitige Unterstützungspflicht festgelegt hat, das Risiko aber alleine beim Arbeitgeber verbleibt. Denn rein faktisch können die datenschutzrechtlichen Pflichten durch den Arbeitgebenden nicht erfüllt werden, da er die Festlegung und Umsetzung der TOM und der weiteren Pflichten (insb. Informationspflichten, Umsetzung der Datenschutzgrundsätze des Artikel 5 Absatz 1 DSGVO) wie ausgeführt nur eingeschränkt selbst bestimmen und kontrollieren kann.

Regelung der Stellung und der Aufgaben betrieblicher Datenschutzbeauftragten

Durch die Regelung des § 79a BetrVG wird festgelegt, dass die betrieblichen Datenschutzbeauftragten des Verantwortlichen für die Kontrolle der Umsetzung der datenschutzrechtlichen Vorschriften durch den Betriebsrat zuständig wären (hierzu vergleiche BT-Drs. 19/29819, Seite 17). Gemäß § 79a S. 2 BetrVG ist der/die betriebliche DSB gegenüber den jeweiligen Arbeitgebenden zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Dies geht über die ohnehin bestehende sich aus dem BDSG ergebende Pflicht zur Verschwiegenheit der Datenschutzbeauftragen hinaus. Diese bezieht sich nämlich nur auf Informationen zur Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen. Mit der Erweiterung der Verschwiegenheitspflicht auf den Meinungsbildungsprozess des Betriebsrats wird hier dem Recht des Betriebsrats auf Geheimhaltung aller Informationen zu seiner internen Tätigkeit Rechnung getragen.

Ferner legt § 79a BetrVG fest, dass § 6 Absatz 5 Satz 2 sowie § 38 Absatz 2 des BDSG auch im Hinblick auf das Verhältnis der Datenschutzbeauftragten zu den Arbeitgebenden gelten. Diese Regelung ist rein deklaratorisch und verweist auf die zuvor bereits erwähnte allgemeine Verschwiegenheitspflicht der Datenschutzbeauftragten.

Konkretisierung der Bestimmungen des § 79a BetrVG durch eine Betriebsvereinbarung

Zur Konkretisierung der gesetzlichen Forderung nach beidseitiger Unterstützungspflicht und zur Klarstellung, welche datenschutzrechtlichen Pflichten von welcher Seite mit welchen Mitteln und wie erfüllt werden, empfiehlt es sich, eine Betriebsvereinbarung zu schließen. Diese sollte die datenschutzrechtlich relevanten betrieblichen Arbeitsabläufe regeln. In dieser Betriebsvereinbarung könnte insbesondere festgelegt werden, dass der Betriebsrat bei Datenverarbeitungen, die im Rahmen seiner Tätigkeit durchgeführt werden, gemäß seiner institutionellen Unabhängigkeit eigenverantwortlich handelt. Auch kann im Rahmen der Betriebsvereinbarung geregelt werden, dass der Betriebsrat eigenständig mit Unterstützung der Arbeitgebenden die Umsetzung der TOM sicherstellt und die Arbeitgebenden ihm die hierfür notwendige Ausstattung (insbesondere Hard- und Software) zur Verfügung stellen. Zudem sollten im Rahmen der Betriebsvereinbarung die Zuständigkeiten und Pflichten des/der Datenschutzbeauftragten konkretisiert werden. Denn die recht allgemein gehaltene Regelung des § 79a BetrVG bezüglich der Stellung des/der betrieblichen DSB beantwortet nicht die Frage, wie der/die Datenschutzbeauftragte reagieren soll, wenn er/sie bei bestimmten Datenverarbeitungen des Betriebsrats feststellt, dass diese nicht datenschutzkonform sind. Hier kann festgelegt werden, in welchen Fällen der/die DSB die Arbeitgebenden über die festgestellten Mängel informieren darf oder auch muss.

Zudem kann in der jeweiligen Betriebsvereinbarung vereinbart werden, dass der Betriebsrat dem Verantwortlichen Informationen, die zur Führung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO erforderlich sind, zur Verfügung stellt.

Auch die Erfüllung der Transparenzpflichten gemäß Artikel 12 ff. DSGVO bei der Datenverarbeitung durch den Betriebsrat könnte im Rahmen der Betriebsvereinbarung dahingehend konkretisiert werden, dass der Betriebsrat die ihm obliegenden Pflichten selbst erfüllt und dass der/die Arbeitgeber/in Auskunftsanfragen, die ihn/sie erreichen, jedoch die Verarbeitung des Betriebsrats betreffen an den Betriebsrat weiter zu reichen verpflichtet ist.

Modernisierung des Personalvertretungsrechts

Als Pendant zu der Regelung des § 79a BetrVG im Betriebsverfassungsrecht wurde durch den Gesetzgeber im Rahmen der Modernisierung des Personalvertretungsrechts der § 69 BPersVG geändert. Hier wurde die Dienststelle als der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften erklärt, soweit der Personalrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Gemäß der gesetzlichen Regelung unterstützen sich die Dienststelle und der Personalrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften, wobei eine Regelung bzgl. des behördlichen DSB und seiner Stellung sowie Aufgaben, der Pflichten und Rechte im BPersVG fehlt.

Zur Konkretisierung der einzelnen Pflichten und Rechte des Personalrats und der Dienststelle empfiehlt es sich auch hier eine Dienstvereinbarung in Anlehnung an die oben vorgeschlagene Betriebsvereinbarung abzuschließen.

Virtuelle Betriebsratssitzungen

Die bisher nur zeitlich beschränkt eingeführte Möglichkeit, Betriebsratssitzungen virtuell abzuhalten, wird nun gesetzlich als eine reguläre Option für die Durchführung der Sitzungen eingeführt. Die entsprechenden Regelungen finden sich in den geänderten §§ 30 bis 34 BetrVG. Hier müssen neben den rein formalen Voraussetzungen (Festlegungen in der Geschäftsordnung, kein Widerspruch der Betriebsratsmitglieder innerhalb einer bestimmten Frist) auch der Datenschutz gewahrt bleiben. Dritte dürfen auch im Rahmen einer virtuellen Sitzung keine Kenntnis vom Inhalt der Sitzung erlangen können. Auch die Aufzeichnung einer virtuellen Konferenz ist gemäß § 30 Abs. 2 Satz 2 BetrVG unzulässig. Eine entsprechende Regelung beinhaltet im Bereich des Personalvertretungsrechts der § 38 Abs. 2 BPersVG.

Fazit

Die Regelungskompetenz des Gesetzgebers, die Verantwortlichkeit so zu regeln, wie es aktuell in § 79a BetrVG sowie § 69 BPersVG erfolgt ist, ist umstritten. Diese Regelungen könnten unseres Erachtens in Frage gestellt werden, denn es gibt gute Gegenargumente. So ist die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO geregelt. Eine Öffnungsklausel, die es dem deutschen Gesetzgeber erlauben würde, hier abweichende Regelungen zu erlassen, könnte nicht vorhanden sein, obwohl der Gesetzgeber eine solche Öffnungsklausel annimmt (hierzu vgl. den Regierungsentwurf zum Betriebsrätemodernisierungsgesetz, S. 23). Würde man also zu dem Schluss kommen, dass sich aus der DSGVO eindeutig ergeben würde, dass der Betriebsrat als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO gilt, dann wäre die abweichende Regelung im BetrVG europarechtswidrig und somit nicht anwendbar. Wir halten es für wahrscheinlicher, dass gemäß Art. 4 Nr. 7 DSGVO die Arbeitgebenden bzw. die jeweiligen Dienststellen, wie es im § 79a BetrVG sowie § 69 BPersVG aktuell geregelt ist, als Verantwortliche anzusehen sind. Die neue Regelung des § 79a BetrVG sowie § 69 BPersVG hätte demnach also nur deklaratorischen Charakter. Als Gegenargument könnte die faktische Unmöglichkeit auf Seiten der Arbeitgebenden, die Zwecke und Mittel der Verarbeitung in einem Einzelfall festzulegen, dafür sprechen, nicht die Arbeitgebenden, sondern den Betriebsrat jeweils als datenschutzrechtlich Verantwortlichen zu sehen. Es bleibt spannend. Wir halten es für sehr wahrscheinlich, dass der EuGH hier irgendwann abschließend Klarheit schaffen wird.

Solange die Regelungskompetenz des Gesetzgebers im Rahmen eines Gerichtsverfahrens nicht verneint wird, gilt es für die Datenschutzpraxis, Lösungen, die die bestehenden Interessenskonflikte lösen könnten, zu finden. Dies, kann – wie es vorliegend gezeigt wurde – im Rahmen einer Betriebs- bzw. einer Dienstvereinbarung erfolgen. Freilich werden sich nicht alle bestehenden Probleme durch eine entsprechende Vereinbarung zwischen den Betriebs- und Personalräten und den verantwortlichen Arbeitgebenden bzw. Dienststellen lösen lassen, so dass die Rechtsprechung ihr Machtwort hier noch (höchstwahrscheinlich) wird sprechen müssen.


Sind Sie als Arbeitgeber/in oder auch als Betriebs- oder Personalrat von den aktuellen gesetzlichen Regelungen betroffen und möchten sich bezüglich ihrer Umsetzung beraten lassen? Rufen Sie uns an, wir helfen Ihnen gerne!