Datenschutz: Die Auskunftspflicht von Betriebsräten
Nach Art. 15 DSGVO hat der Verantwortliche einer betroffenen Person Auskunft darüber zu geben, ob und welche personenbezogenen Daten über sie verarbeitet werden. Unter datenschutzrechtlicher Betrachtung war bisher strittig, ob gegen den Betriebsrat Auskunftsrechte geltend gemacht werden können. Die Folgen wären weitreichend.
Betriebsrat als Verantwortlicher
Art. 15 DSGVO verpflichtet den Verantwortlichen zur Auskunft über die verarbeiteten personenbezogenen Daten, wenn die betroffene Person das ihr zustehende Recht auf Auskunft geltend macht. Verantwortlicher ist hierbei gemäß Art. 4 Nr. 7 DSGVO jede juristische oder natürliche Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit einem anderen über die Mittel und Zwecke der Verarbeitung von personenbezogenen Daten entscheidet.
Die Frage, ob der Betriebsrat auskunftspflichtig ist, lässt sich also nur über die Frage beantworten, ob der Betriebsrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sein kann.
Die Argumente
Nach der bisherigen Rechtsprechung des BAG war der Betriebsrat nicht als eigene verantwortliche Stelle, sondern als Teil des Arbeitgebers zu sehen (BAG v. 7.2.2012- 1 ABR 46/10). Auskunftsansprüche konnten somit nur gegen den Arbeitgeber geltend gemacht werden, der die Anforderung für den Betriebsrat erfüllt hat.
Mit Inkrafttreten der DSGVO am 25.05.2018 ist die Frage nach der datenschutzrechtlichen Verantwortung von Betriebsräten auf Grund des neuen rechtlichen Rahmens erneut aufgeworfen worden. Insbesondere die Festlegung von Mittel und Zweck durch den Betriebsrat steht in Frage.
Eine Auffassung vertritt, dass der Betriebsrat gerade nicht die eigenen Mittel und Zwecke für die Datenverarbeitung festlege. Zum einen nutze der Betriebsrat die gesamte Infrastruktur des Arbeitgebers mit, er habe daher wenig eigenen Einfluss auf die Mittel, die zur Datenverarbeitung genutzt werden. Zum anderen lege der Betriebsrat gerade nicht oder nur eingeschränkt die eigenen Zwecke fest. Vielmehr bestimme das Betriebsverfassungsgesetz durch die darin zugewiesenen Aufgaben, für welche Zwecke der Betriebsrat personenbezogene Daten verarbeiten dürfe.
Der Landesdatenschutzbeauftragte von Baden-Württemberg (= LfDI BW) hat sowohl im 34. Tätigkeitsbericht aus dem Januar 2019 als auch anschließend nochmals auf unsere schriftliche Anfrage hin als erster Landesdatenschutzbeauftragter unter der DSGVO ausdrücklich Stellung dazu genommen, ob der Betriebsrat eigener Verantwortlicher sein kann und beantwortet diese Frage eindeutig mit „Ja!“. So gesteht der LfDI dem Betriebsrat eine eigene Entscheidungsmacht in der Wahl zwischen der von ihm zur Verfügung gestellten Mitteln zu. Er unterstützt zwar die Ansicht, dass die Mittel vom Arbeitgeber vorgegeben werden, jedoch entscheide der Betriebsrat selbst, welches der zur Verfügung gestellten Mittel zur Datenverarbeitung genutzt werde (z.B. eine Excel-Liste statt einer handschriftlichen Liste von Mitarbeiterdaten). Und auch die Zweckbindung durch das Betriebsverfassungsgesetz sei nicht überzeugend, da auch zahlreiche andere Gesetze Vorgaben beinhalten, die an einer Verantwortlichkeit nichts zu ändern vermögen. Mit dieser Ansicht dürfte der LfDI BW nicht alleine sein. Unter Aufsichtsbehörden mehrt sich die Meinung, dass sich eine Verantwortlichkeit von Betriebsräten ergebe.
Folgen der Verantwortlichkeit des Betriebsrats
Die Ansicht des LfDI BW ist weitreichend, hätte doch die Annahme einer Verantwortlichkeit des Betriebsrats weitreichende datenschutzrechtliche Folgen. So müsste der Betriebsrat in den meisten Fällen wohl einen eigenen Datenschutzbeauftragten bestellen, da er sich der Kontrolle des vom Arbeitgeber benannten betrieblichen Datenschutzbeauftragten entzieht. Auch das BAG schreibt dem betrieblichen Datenschutzbeauftragten keine Kontrollkompetenz zu, sei dieser doch „verlängerter Arm“ des Arbeitgebers. Zudem hätte der Betriebsrat neben der Auskunftspflicht nach Art. 15 DSGVO auch die Pflicht Löschersuchen nachzukommen. Deren Durchsetzung verlangt ggf. einen Zugriff auf die Infrastruktur des Arbeitgebers, für die der Betriebsrat keine Zugriffskompetenz hat. Unvermeidlich ist daher die Frage, ob der Arbeitgeber dann Daten im Auftrag des Betriebsrates verarbeitet und daher eine Vereinbarung zur Verarbeitung personenbezogener Daten notwendig ist. Schließlich müsste der Betriebsrat bei Datenschutzverstößen selbst in die Haftung gehen. Hier besteht noch Klärungsbedarf, inwieweit der Betriebsrat rechts- und vermögensfähig sein kann.
Fazit
Insbesondere hinsichtlich des letzten Aspekts dürfte fraglich sein, ob sich die rechtliche Folge mit der Ausübung der Tätigkeit als Betriebsrat vereinbaren lässt. Die Lösung der rechtlichen Folgen lässt auch der LfDI BW offen und verweist darauf, dass gerichtliche Entscheidungen zur abschließenden Klärung der Fragen notwendig sind. Bis dahin ist es ratsam, zumindest als in Baden-Württemberg tätiger Betriebsrat, der Ansicht des LfDI BW zu folgen, eine eigene Verantwortlichkeit von Betriebsräten anzunehmen und - um Bußgelder zu vermeiden - die Folgen der Verantwortlichkeit des Betriebsrats umzusetzen (Benennung eines Datenschutzbeauftragten, Umsetzung der Auskunfts- und Löschpflichten, etc.).
Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz