Aktuell im ArbRB

Die neue datenschutzrechtliche Stellung des Betriebsrats nach Maßgabe des Betriebsrätemodernisierungsgesetzes - Über Inhalt, Reichweite und Folgen von § 79a BetrVG (Grimm/Vitt, ArbRB 2021, 279)

§ 79a BetrVG normiert, dass der Betriebsrat in datenschutzrechtlicher Hinsicht Teil des Arbeitgebers ist und seine Datenverarbeitungen der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegen. Auch wenn die Regelung der lebhaften Diskussion um die datenschutzrechtliche Verantwortung des Betriebsrats ein Ende setzt, wirft sie neue Fragen auf.

I. Rechtslage bis zum Inkrafttreten der DSGVO
II. Neuregelung des Betriebsrätemodernisierungsgesetzes
1. Betriebsrat als Teil der verantwortlichen Stelle
a) Pflicht des Betriebsrats zur Wahrung des Datenschutzes
b) Datenschutzrechtliche Verantwortlichkeit des Arbeitgebers
2. Umfang der gegenseitigen Unterstützungspflichten?
3. Kontrolle durch den Datenschutzbeauftragten?
4. Haftung für Datenschutzverstöße?
a) Schadensersatzansprüche nach Art. 82 DSGVO
b) Geldbußen nach Art. 83 DSGVO
III. Fazit

I. Rechtslage bis zum Inkrafttreten der DSGVO
Ursprünglich wurde der Betriebsrat als Teil des Arbeitgebers, der allein verantwortliche Stelle war, eingestuft. Seit Inkrafttreten der DSGVO wird heftig diskutiert, ob der Betriebsrat bei der Verarbeitung von personenbezogenen Daten der Beschäftigten nicht selbst ein eigenständiger Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist. Das BAG hat lediglich entschieden, dass der Betriebsrat keiner Kontrolle durch den betrieblichen Datenschutzbeauftragten unterliegt, der „verlängerter Arm“ des Arbeitgebers sei.

Beraterhinweis
Die materielle Zulässigkeit der Weitergabe von Daten an den Betriebsrat durch den Arbeitgeber richtet sich nach § 26 Abs. 1 Satz 1 BDSG, wobei eine betriebsverfassungsrechtlich gebotene Weitergabe ohne weitere Abwägung zulässig ist. Die Verarbeitung der weitergegebenen Daten durch den Betriebsrat richtet sich ebenfalls nach § 26 Abs. 1 Satz 1 BDSG und wird in Bezug auf den Zweck der Ausübung der Beteiligungs- und Mitbestimmungsrechte im Regelfall zulässig sein. Zu prüfen ist im konkreten Fall die Erforderlichkeit der Datenverarbeitung.

II. Neuregelung des Betriebsrätemodernisierungsgesetzes

1. Betriebsrat als Teil der verantwortlichen Stelle

a) Pflicht des Betriebsrats zur Wahrung des Datenschutzes
Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat „bei der Verarbeitung personenbezogener Daten (...) die Vorschriften über den Datenschutz einzuhalten“. Diese Pflicht war bereits vor Inkrafttreten der DSGVO anerkannt. Sie beinhaltet Folgendes:

Innerhalb seines Zuständigkeitsbereichs muss der Betriebsrat eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit i.S.v. Art. 24, 32 DSGVO sicherstellen.
Bei der Verarbeitung von sensiblen Beschäftigtendaten i.S.v. Art. 9 Abs. 1 DSGVO (also z.B. Gesundheitsdaten) hat der Betriebsrat „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person“ zu ergreifen, § 26 Abs. 3 Satz 3 BDSG i.V.m. § 22 Abs. 2 BDSG.

Beispiele
Dies umfasst etwa die Gewährleistung begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder, besondere Datensicherungsmaßnahmen sowie die Datenlöschung nach Beendigung der Mitbestimmungs- bzw. Überwachungsaufgabe.