Kontakt

BAG: DER BETRIEBSRAT ALS VERANTWORTLICHE STELLE IM SINNE DER DATENSCHUTZGRUNDVERORDNUNG? BESCHLUSS VOM 09.04.2019 – 1 ABR 51/17

Ist der Betriebsrat eine selbstständige datenverarbeitende Stelle im Sinne der Datenschutzgrundverordnung? Nach bisher einhelliger Auffassung war diese Frage mit Nein zu beantworten.

Der Wortlaut des Bundesdatenschutzgesetztes (BDSG) alter Fassung nahm Gremien (wie z.B. den Betriebsrat) hiervon aus. Das Bundesarbeitsgericht (BAG) hatte daher den Betriebsrat in ständiger Rechtsprechung lediglich als (datenschutzrechtlich unselbständigen) Teil der datenschutzrechtlich verantwortlichen Stelle Arbeitgeber qualifiziert. Eine eigenständige Verantwortlichkeit des Betriebsrates wurde bisher verneint.

Reichweite des Auskunftsanspruchs des Betriebsrates

In dem nun vom BAG entschiedenen Fall stellt das Gericht klar, dass die Weitergabe von Schwangerschaftsdaten an den Betriebsrat eine Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung (DSGVO) darstelle, die nur dann zulässig sei, wenn der Betriebsrat einen Anspruch auf die Information habe. Hierzu müsse der Betriebsrat die seinen Unterrichtungsanspruch begründende Überwachungsaufgabe konkret bezeichnen. Ein pauschaler Verweis auf sein Kontrollrecht genüge nicht.

Der Betriebsrat als eigene verantwortliche Stelle im Sinne der DSGVO

Daneben hat das BAG aber zwar (noch) offen gelassen, ob der Betriebsrat zukünftig als eigener Verantwortlicher im Sinne der DSGVO bzw. des BDSG zu qualifizieren ist. Die Ausführungen des Gerichts lassen aber eine solche Auslegung der DSGVO vermuten.

Betriebsräte müssten sich im Falle einer solchen Auslegung in Bezug auf die von ihnen verarbeiteten Daten selbst um die Umsetzung der DSGVO kümmern. Der Betriebsrat hat in eigener Verantwortung für einen spezifischen und angemessenen Datenschutz der an ihn weitergeleiteten Arbeitnehmerdaten in seinem Bereich Sorge zu tragen. Betriebsräten obliegt die Einhaltung aller Verpflichtungen der DSGVO. Sie können daher auch Adressat eines Bußgeldbescheids sein. Sofern es sich um einen größeren Betriebsrat (ab 10 oder mehr Mitgliedern) handelt, ist zudem ein eigener Datenschutzbeauftragter zu bestellen.

Auch wenn der Arbeitgeber in dem vom BAG entschiedenen Fall Recht bekam, bliebe die Einordnung des Betriebsrats als eigenständige Stelle auch für Arbeitgeber nicht ohne nachteilige Folgen:

Der mit der Einordnung des Betriebsrats als eigenverantwortliche Stelle erhöhte Kosten- und Sachaufwand ist grundsätzlich vom Arbeitgeber zu tragen, vgl. § 40 Betriebsverfassungsgesetz (BetrVG). Ferner hat der Arbeitgeber systembedingt keine Möglichkeit, die konkrete Datenverarbeitung innerhalb des Betriebsrates zu kontrollieren und hierauf Einfluss zu nehmen.

Praxishinweis:

Zur Vermeidung solcher unerwünschter Kostenfolgen sollte daher eine Betriebsvereinbarung zum Beschäftigtendatenschutz abgeschlossen werden. Im Rahmen einer solchen Betriebsvereinbarung kann der Betriebsrat zur Mitbenutzung bereits vorhandener Datenschutzstrukturen verpflichtet werden. Darüber hinaus kann der Arbeitgeber auf diese Weise selbstständig einem datenschutzrechtlichen Verstoß durch den Betriebsrat entgegenwirken.

Katharina Schlonsak
Rechtsanwältin

Katharina Mitterer, LL.M.
Rechtsanwältin / Partner

ZL aktuell

BAG: DER BETRIEBSRAT ALS VERANTWORTLICHE STELLE IM SINNE DER DATENSCHUTZGRUNDVERORDNUNG? BESCHLUSS VOM 09.04.2019 – 1 ABR 51/17

Ist der Betriebsrat eine selbstständige datenverarbeitende Stelle im Sinne der Datenschutzgrundverordnung? Nach bisher einhelliger Auffassung war diese Frage mit Nein zu beantworten.

Der Wortlaut des Bundesdatenschutzgesetztes (BDSG) alter Fassung nahm Gremien (wie z.B. den Betriebsrat) hiervon aus. Das Bundesarbeitsgericht (BAG) hatte daher den Betriebsrat in ständiger Rechtsprechung lediglich als (datenschutzrechtlich unselbständigen) Teil der datenschutzrechtlich verantwortlichen Stelle Arbeitgeber qualifiziert. Eine eigenständige Verantwortlichkeit des Betriebsrates wurde bisher verneint.

Reichweite des Auskunftsanspruchs des Betriebsrates

In dem nun vom BAG entschiedenen Fall stellt das Gericht klar, dass die Weitergabe von Schwangerschaftsdaten an den Betriebsrat eine Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung (DSGVO) darstelle, die nur dann zulässig sei, wenn der Betriebsrat einen Anspruch auf die Information habe. Hierzu müsse der Betriebsrat die seinen Unterrichtungsanspruch begründende Überwachungsaufgabe konkret bezeichnen. Ein pauschaler Verweis auf sein Kontrollrecht genüge nicht.

Der Betriebsrat als eigene verantwortliche Stelle im Sinne der DSGVO

Daneben hat das BAG aber zwar (noch) offen gelassen, ob der Betriebsrat zukünftig als eigener Verantwortlicher im Sinne der DSGVO bzw. des BDSG zu qualifizieren ist. Die Ausführungen des Gerichts lassen aber eine solche Auslegung der DSGVO vermuten.

Betriebsräte müssten sich im Falle einer solchen Auslegung in Bezug auf die von ihnen verarbeiteten Daten selbst um die Umsetzung der DSGVO kümmern. Der Betriebsrat hat in eigener Verantwortung für einen spezifischen und angemessenen Datenschutz der an ihn weitergeleiteten Arbeitnehmerdaten in seinem Bereich Sorge zu tragen. Betriebsräten obliegt die Einhaltung aller Verpflichtungen der DSGVO. Sie können daher auch Adressat eines Bußgeldbescheids sein. Sofern es sich um einen größeren Betriebsrat (ab 10 oder mehr Mitgliedern) handelt, ist zudem ein eigener Datenschutzbeauftragter zu bestellen.

Auch wenn der Arbeitgeber in dem vom BAG entschiedenen Fall Recht bekam, bliebe die Einordnung des Betriebsrats als eigenständige Stelle auch für Arbeitgeber nicht ohne nachteilige Folgen:

Der mit der Einordnung des Betriebsrats als eigenverantwortliche Stelle erhöhte Kosten- und Sachaufwand ist grundsätzlich vom Arbeitgeber zu tragen, vgl. § 40 Betriebsverfassungsgesetz (BetrVG). Ferner hat der Arbeitgeber systembedingt keine Möglichkeit, die konkrete Datenverarbeitung innerhalb des Betriebsrates zu kontrollieren und hierauf Einfluss zu nehmen.

Praxishinweis:

Zur Vermeidung solcher unerwünschter Kostenfolgen sollte daher eine Betriebsvereinbarung zum Beschäftigtendatenschutz abgeschlossen werden. Im Rahmen einer solchen Betriebsvereinbarung kann der Betriebsrat zur Mitbenutzung bereits vorhandener Datenschutzstrukturen verpflichtet werden. Darüber hinaus kann der Arbeitgeber auf diese Weise selbstständig einem datenschutzrechtlichen Verstoß durch den Betriebsrat entgegenwirken.

Katharina Schlonsak
Rechtsanwältin

Katharina Mitterer, LL.M.
Rechtsanwältin / Partner