Zum Inhalt springen

Verantwortlichkeit und Haftung des Betriebsrats nach DSGVO

  • von

Verantwortlichkeit und Haftung des Betriebsrats nach DSGVO

Zu den Aufgaben eines Betriebsrats gehört es auch, die Einhaltung des Datenschutzrechts durch den Arbeitgeber zu überwachen. Zentrale Regelungswerke in diesem Zusammenhang sind die Datenschutzgrundverordnung (DSGVO) und außerdem das Bundesdatenschutzgesetz (BDSG). Adressat dieser Regelungen im Beschäftigungskontext ist in der allgemeinen Wahrnehmung stets der Arbeitgeber. Vor einigen Wochen machte aber eine Meldung die Runde, wonach die Aufsichtsbehörden auch den Betriebsrat als verantwortliche Stelle gemäß der DSGVO bewerten könnten. Diese Frage wird seither in der datenschutzrechtlichen Szene kontrovers diskutiert. Von besonderem Interesse wären die haftungsrechtlichen Konsequenzen einer solchen Einordnung.

Inhaltsverzeichnis

  1. Der Betriebsrat als „Wächter“ über den Beschäftigtendatenschutz
  2. Betriebsrat ein „Verantwortlicher“ nach DSGVO?
  3. Entscheidet Betriebsrat über Zwecke und Mittel der Verarbeitung?
  4. Ist die Auffassung der Aufsichtsbehörden richtig?
  5. Konsequenzen einer „Verantwortlichkeit“
  6. Haftung von einzelnen Betriebsratsmitgliedern
  7. Was Betriebsräte jetzt tun sollten
  8. Betriebsvereinbarung zur Verantwortlichkeit mit Vor- und Nachteilen

Der Betriebsrat als „Wächter“ über den Beschäftigtendatenschutz

Die Meldungen zu der Verantwortlichkeit des Betriebsrats nach der DSGVO muten auf den ersten Blick wohl etwas eigenartig an. Schließlich ist der Betriebsrat doch die betriebliche Instanz, die die  Einhaltung des Beschäftigtendatenschutzes durch den Arbeitgeber überwacht. Nach § 80 Abs. 1 BetrVG hat der Betriebsrat u.a. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze im Betrieb eingehalten werden. Dazu gehören selbstverständlich auch die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz.

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat weiter bei der Einführung und Anwendung von technischen Einrichtungen mitzubestimmen, die eine Leistungs- und Verhaltenskontrolle ermöglichen. IT-Systeme, ob nun Hardware oder Software, sind dazu imstande, eine Vielzahl von Arbeitnehmerdaten zu sammeln und zu verarbeiten. Daraus resultiert auch ihre Bedrohung für den Beschäftigtendatenschutz. Und dieser soll der Betriebsrat auch mit den Mitteln der zwingenden Mitbestimmung Einhalt gebieten.

Doch die Aufgaben des Betriebsrats beim Schutz der Arbeitnehmerdaten geht weit über diesen Rahmen hinaus. Nach § 75 Abs. 2 BetrVG hat der Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Es ist also ein gesetzlicher Handlungsauftrag an den Betriebsrat, der die Persönlichkeitsrechte der Arbeitnehmer zu einer Angelegenheit von außerordentlicher Wichtigkeit erhebt.

Der Betriebsrat ist also die Schutzinstanz schlechthin für den Beschäftigtendatenschutz im Betrieb und im Verhältnis zum Arbeitgeber. Wieso also sollten die Aufsichtsbehörden den Betriebsrat als Verantwortlichen ansehen?

Betriebsrat ein „Verantwortlicher“ nach DSGVO?

Die Antwort ist ganz einfach: Die Rechtslage hat sich geändert. Zum 25.05.2018 ist die Datenschutzgrundverordnung verbindlich geworden. Als Verordnung gilt sie unmittelbar in jedem Mitgliedstaat der EU und geht nationalen Regelungen vor. Zeitgleich ist das neue Bundesdatenschutzgesetz in Kraft getreten. Die rechtliche Regelung, an der sich die Diskussion entzündet, ist der Art. 4 Ziff. 7 DSGVO. Der lautet wie folgt:

„Verantwortlicher“[ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“

Im Gegensatz zu der vorherigen Rechtslage ist nicht mehr erforderlich, dass die verantwortliche Stelle eine juristische Person mit eigener Rechtspersönlichkeit ist. Sie kann auch jede „andere Stelle“ und sogar eine natürliche Person sein. Betriebsräte stellen eine andere Stelle dar, wenn es nach der vermeintlichen Auffassung der Aufsichtsbehörden und zahlreichen Datenschutzexperten geht.

Diese Auslegung ist auf den ersten Blick nicht nur mit dem Wortlaut vereinbar, sondern auch nach dem Sinn und Zweck der DSGVO geboten. Denn nur auf diese Weise lässt sich das avisierte Schutzniveau erreichen.

Entscheidet Betriebsrat über Zwecke und Mittel der Verarbeitung?

Die Verantwortlichkeit des Betriebsrats nach der DSGVO beurteilt sich juristisch gesehen danach, ob er über Zwecke und Mittel der Verarbeitung von Arbeitnehmerdaten entscheidet. Von einer geklärten Rechtslage ist man derzeit aber noch weit entfernt. Die Aufsichtsbehörden tendieren dem Vernehmen nach dazu, diese Frage zu bejahen. Einige Datenschutzrechtler wiederum lehnen eine Entscheidungsbefugnis des Betriebsrats ab. Für beide Sichtweisen lassen sich Argumente finden.

Für eine Verantwortlichkeit des Betriebsrats streitet zunächst die Einschätzung, dass sich der Betriebsrat innerhalb des Rahmens der Betriebsverfassungsgesetzes bewegt und handelt. Er erhält personenbezogene Daten und verarbeitet sie, um seine Beteiligungsrechte ausüben zu können. Dabei werden ihm personenbezogene Daten vom Arbeitgeber zugetragen, die der Betriebsrat sodann für die Zwecke seiner Beteiligung weiterverarbeitet. Zu denken ist z.B. an die Einstellung eines Mitarbeiters, im Zuge derer der Arbeitgeber dem Gremium Informationen zu der Person mitzuteilen und sogar die Bewerbungsunterlagen vorzulegen hat. Diese Daten verwendet der Betriebsrat weiter, um das Vorliegen von Zustimmungsverweigerungsgründen zu prüfen. Es ist auch ohne weiteres denkbar, dass die Initiative von dem Betriebsrat ausgeht, er Zugriff auf Systeme erhält und sich personenbezogene Daten für die Zwecke der Beteiligung selbst verschafft. Z.B. bei den Lohn- und Gehaltslisten nach § 80 Abs. 2 BetrVG, die heutzutage auch digital vorgehalten werden.

Der Betriebsrat entscheidet also durchaus über die Zwecke der Verarbeitung und das „Schicksal“ der personenbezogenen Daten. Die Mittel für die Verarbeitung kann der Betriebsrat nach § 40 Abs. 2 BetrVG beim Arbeitgeber einfordern, soweit sie erforderlich und verhältnismäßig sind. Hierzu zählt auch die Informations- und Kommunikationstechnik. Ein Computer findet sich heute in jedem Betriebsratsbüro; mehr noch, in größeren Gremien ist jeder mit einem eigenen Laptop unterwegs, der mit Arbeitgeberprogrammen, aber auch mit Betriebsratssoftware zur Organisation ausgestattet ist. Auch Smartphones sind durchaus üblich. Der Arbeitgeber hat dem Betriebsrat dabei die IT-Mittel auf Verlangen zu stellen, sofern die Erforderlichkeit gegeben ist.

Ist die Auffassung der Aufsichtsbehörden richtig?

Alles in allem lässt sich die Einschätzung, der Betriebsrat sei „Verantwortlicher“ im Sinne der DSGVO, sehr gut vertreten. Vor allem mit Blick auf den Sinn und Zweck der DSGVO ist dieser Standpunkt gut zu begründen. Auf der anderen Seite gibt es aber auch Argumente, die gegen eine Verantwortlichkeit der Arbeitnehmergremiums sprechen. Von einigen Datenschutzexperten wird vorgebracht, der Betriebsrat bewege sich bei seiner Tätigkeit nur in den Grenzen des Betriebsverfassungsgesetzes. In diesem Gesetz werden dem Betriebsrat die Zwecke quasi vorgegeben, weshalb eine eigene Entscheidungsbefugnis über die Zwecke der Datenverarbeitung nicht gegeben sei.

Überdies entscheide der Betriebsrat auch nicht über die Mittel der Datenverarbeitung. Diese würden dem Betriebsrat vom Arbeitgeber im Rahmen der Erforderlichkeit nach § 40 BetrVG gestellt. Im Regelfall greife der Betriebsrat damit auf die informationstechnische Infrastruktur des Arbeitgebers zurück, mit denen eine Datenverarbeitung erst ermöglicht werde. Eine Entscheidung über den Zweck und die Mittel der Verarbeitung habe der Betriebsrat daher gerade nicht.

Letztlich werden die Gerichte darüber zu urteilen haben, welcher Auffassung der Vorzug zu geben ist. Die Gericht werden autonom darüber befinden, ob die vermeintliche Sichtweise der Aufsichtsbehörden in rechtlicher Hinsicht den Anforderungen der Datenschutzgrundverordnung entspricht. Sie sind dabei an die behördlichen Maßgaben in keiner Weise gebunden. Vor der Geltung der DSGVO haben die nationalen Gerichte den Betriebsrat als Teil des Arbeitgebers als verantwortliche Stelle behandelt. Ob sie an dieser Rechtsauffassung in Anbetracht der DSGVO weiter festhalten, bleibt abzuwarten.

Konsequenzen einer „Verantwortlichkeit“

Die Konsequenzen der Einordnung des Betriebsrats als Verantwortlicher sind zum jetzigen Zeitpunkt noch nicht in Gänze absehbar. Im Raum steht nach teilweiser Auffassung unter anderem ein Haftungsrisiko für die Betriebsräte bei einem Verstoß gegen die Vorgaben der DSGVO. Es drohen damit Bußgelder bis zu 20 Mio. Euro, die von den Aufsichtsbehörden verhängt werden könnten. Daneben könnten die Betriebsräte bei Verstößen von Einzelpersonen auf Schadensersatz nach § 82 Abs. 1 DSGVO in Anspruch genommen werden.

Die Frage, ob der Betriebsrat überhaupt haften kann, wurde bisweilen allerdings – wenn überhaupt – nur am Rande thematisiert. Nach nationalem Recht besitzt der Betriebsrat weder Rechts- noch Vermögensfähigkeit. Es besteht lediglich eine partielle Vermögensfähigkeit im Rahmen von vermögensrechtlichen Positionen nach dem BetrVG. Eine Haftung war bislang mangels Vorhandenseins von Vermögen ausgeschlossen. Es ist schwer vorstellbar, dass die Gerichte von diesem Verständnis der Rechtsstellung des Betriebsrats abrücken, zumal die fehlende Rechts- und Vermögensfähigkeit unmittelbar aus dem Betriebsverfassungsgesetz abgeleitet werden.

Selbst wenn die Aufsichtsbehörden den Betriebsrat also als verantwortliche Stelle einordnen und bei Zuwiderhandlungen gegen die DSGVO Bußgelder verhängen, würden diese letztlich mangels Rechts- und Vermögensfähigkeit ins Leere laufen. Dies führt zu folgender Erkenntnis: Der Betriebsrat wäre nach Auslegung der Aufsichtsbehörden zwar Adressat der DSGVO, würde aber praktisch bei Verstößen nicht in Anspruch genommen werden können. Der DSGVO hat als EU-Recht zwar Vorrang vor nationalem Recht. Sie kann das nationale Recht aber nicht verbiegen – hier ist der Gesetzgeber gefordert. Auch ein rechtlicher Kunstgriff in Form einer entsprechenden Erweiterung der partiellen Vermögensfähigkeit wäre nicht zielführend. Die Vermögensfähigkeit würde die Vermögenslosigkeit des Betriebsrats als Institution nicht überwinden.

Haftung von einzelnen Betriebsratsmitgliedern

Dies leitet dazu über, ob unter diesen Gegebenheiten eine Haftung der einzelnen Betriebsratsmitglieder möglich ist. Nach der Rechtsprechung ist eine Haftung von Betriebsratsmitgliedern möglich, wenn sie Rechtsgeschäfte für den Betriebsrat außerhalb dem durch das Betriebsverfassungsgesetz vorgegebenen Wirkungskreises vornehmen (BAG, Urteil vom 24.4.1986 – 6 AZR 607/83). In diesem Fall haften sie nach den allgemeinen rechtsgeschäftlichen Regeln. Die Übertragbarkeit der Rechtsprechung des Bundesarbeitsgerichts zur Haftung des Betriebsrats bzw. von Betriebsratsmitgliedern ist im vorliegenden Kontext bereits fraglich. Es geht nämlich nicht um die Vornahme von Rechtsgeschäften durch Betriebsratsmitglieder, sondern um die Haftung aufgrund eines pflichtwidrigen Verhaltens entgegen den Maßgaben der DSGVO. Die bisherige Rechtsprechung zur Haftung von Betriebsratsmitgliedern ist also nicht einschlägig. Zudem dürften Verstöße zumeist einen Bezug zu den Aufgaben nach dem Betriebsverfassungsgesetz haben.

Es ist gleichwohl eine unmittelbare Haftung der Betriebsratsmitglieder nach der DSGVO in Erwägung zu ziehen. Die natürliche Person – in Abgrenzung zum Unternehmen als juristische Person – ist in Art. 4 Ziff. 7 DSGVO ausdrücklich als möglicher „Verantwortlicher“ aufgeführt. Und die Betriebsratsmitglieder entscheiden gemeinsam als Gremium oder im Rahmen der laufenden Geschäftsführung ständig über Zwecke und Mittel der Verarbeitung personenbezogener Daten. Sie könnten gemäß dem Begründungspfad der Datenschutzbehörden als gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO anzusehen sein. Im Gegensatz zu Arbeitnehmern, die keine Verantwortliche sind, sind Betriebsräte im Rahmen ihrer Tätigkeit unabhängig und weisungsfrei. Der Arbeitgeber kann den Mitgliedern des Betriebsrats bei der Ausübung des Betriebsratsamtes keine Verhaltensregeln zur Einhaltung der DSGVO auferlegen. Für die Einhaltung der datenschutzrechtlichen Bestimmungen sind der Betriebsrat und die Mitglieder vielmehr selbst zuständig. Unter dieser Prämisse ist eine Haftung von einzelnen Betriebsratsmitgliedern gar nicht so abwegig.

Daneben gibt es noch ein weiteres Haftungsrisiko. Wird der Arbeitgeber aufgrund eines Fehlverhaltens von Betriebsräten in Anspruch genommen, könnte er den Schaden bei dem entsprechenden Betriebsratsmitglied geltend machen. Dann müsste geprüft werden, ob bestimmte Haftungsprivilegierungen greifen.

Was Betriebsräte jetzt tun sollten

Vor diesem Hintergrund empfiehlt es sich, die Regelungen der Datenschutzgrundverordnung in der täglichen Betriebsratsarbeit umzusetzen. Der Betriebsrat bewegte sich bereits vor der Geltung der DSGVO nicht in einem datenschutzrechtlichen Vakuum. Er war zur Überwachung des Arbeitgebers hinsichtlich der Einhaltung der Datenschutzrechte und Persönlichkeitsrechte berufen. Dass er sich daneben selbst an die gesetzlichen Bestimmungen zum Datenschutz halten musste, versteht sich von selbst. Nach § 75 Abs. 2 Satz 1 BetrVG hat auch der Betriebsrat die freie Entfaltung der Persönlichkeit der Arbeitnehmer zu fördern. Damit war auch nach alter Rechtslage ein sorgloser Umgang mit Beschäftigtendaten unvereinbar und der Betriebsrat beim Datenschutz in der Pflicht.

Angesichts der Geltung der DSGVO mit der Erweiterung des Kreises der „Verantwortlichen“, der drohenden Haftung bei Verstößen gegen die DSGVO und der ohnehin bestehenden Verpflichtung zum Schutz der Allgemeinen Persönlichkeitsrechte der Arbeitnehmer sollten Betriebsräte nun handeln. Die Betriebsratstätigkeit ist so zu organisieren und strukturieren, dass die Datenschutzgrundverordnung eingehalten wird. Dabei kann sich der Betriebsrat aufgrund eigener Verantwortlichkeit auch eines externen Datenschutzbeauftragten bedienen, der bei der Etablierung von datenschutzkonformen Prozessen unterstützen kann. Außerdem bietet sich die Anpassung der Geschäftsordnung an. Dort könnten verbindliche Vorgaben zum Umgang mit personenbezogenen Daten im Einklang mit der DSGVO und dem BDSG statuiert werden. Die Betriebsratsmitglieder müssten, sofern man sie als gemeinsame Verantwortliche nach Art. 26 DSGVO einstuft, ohnehin festlegen, wer welche Pflichten nach der Verordnung erfüllt. Dies bezieht sich insbesondere auf die Wahrnehmung der Rechte der betroffenen Arbeitnehmer sowie die Informationspflichten nach der DSGVO.

Betriebsvereinbarung zur Verantwortlichkeit mit Vor- und Nachteilen

Außerdem könnte es sich anbieten, die Frage der Verantwortlichkeit mit dem Arbeitgeber in einer Betriebsvereinbarung verbindlich zu regeln. Den Meldungen zufolge neigen die Aufsichtsbehörden dazu, eine solche Regelung zur Verantwortlichkeit als konkretisierende Regelung nach Art. 88 DSGVO zuzulassen. Dann wäre der Arbeitgeber für die Erfüllung der datenschutzrechtlichen Vorgaben durch den Betriebsrat verantwortlich. Freilich würde der Arbeitgeber zur Bewertung und Umsetzung der DSGVO Einsicht in die datenschutzrechtlichen Prozesse im Betriebsrat benötigen, was aus Betriebsratssicht die Kehrseite dieses Vorgehens wäre und die diesbezügliche Unabhängigkeit in gewisser Weise preisgeben würde.