Photo by Penghao Xiong on Unsplash
Vor Einführung der Datenschutz-Grundverordnung (DSGVO) war die Frage, ob der Betriebsrat durch den Datenschutzbeauftragten kontrolliert werden darf dank des Bundesarbeitsgericht geklärt. Eine Kontrolle des Betriebsrats war unzulässig. Nunmehr wurde durch das Betriebsrätemodernisierungsgesetz der § 79a BetrVG „Datenschutz“ in das Betriebsverfassungsgesetz aufgenommen. Doch welche Auswirkungen hat diese Regelung?
Die neue Regelung des § 79a BetrVG
Am 18.06.2021 trat das Betriebsrätemodernisierungsgesetz in Kraft. Im Rahmen dessen wurde § 79a BetrVG in das Betriebsverfassungsgesetz eingeführt. Der zweite Satz der Vorschrift lautet wie folgt:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Die Einordnung des Arbeitgebers als den Verantwortlichen für die Datenverarbeitungen durch den Betriebsrat mag auf den ersten Blick harmlos erscheinen. So muss der Verantwortliche nach der Datenschutz-Grundverordnung bspw. ein Verarbeitungsverzeichnis seiner Datenverarbeitungstätigkeiten führen. Das Verarbeitungsverzeichnis der Datenverarbeitungstätigkeiten muss alle Datenverarbeitungen enthalten, die in der Verantwortung des Arbeitgebers liegen.
Zwar ist der Betriebsrat nicht verpflichtet, ein eigenes Verarbeitungsverzeichnis seiner Verarbeitungstätigkeiten zu führen, jedoch ordnet § 79a S. 3 BetrVG an, dass sich Betriebsrat und Arbeitgeber gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen. Der Betriebsrat könnte demgemäß ein eigenes Verarbeitungsverzeichnis erstellen und dieses dem Arbeitgeber übermitteln. Hierdurch wird nicht die innerorganisatorische Selbstständigkeit und Weisungsfreiheit des Betriebsrats berührt. Letztlich enthält ein Verarbeitungsverzeichnis nur abstrakte Angaben, die keine Rückschlüsse auf die Willensbildung des Betriebsrats ermöglichen.
Der Datenschutzbeauftragte als des Arbeitgebers verlängerter Arm?
Problematisch wird die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für den Betriebsrat in Hinblick auf die Stellung und die Aufgaben des Datenschutzbeauftragten des Arbeitgebers. Zu den Aufgaben des Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b) DSGVO gehört die Überwachung der Einhaltung der Datenschutzgrundverordnung sowie die entsprechenden innerbetrieblichen Überprüfungen. Dies erlaubt den Schluss, dass der Datenschutzbeauftragte den Betriebsrat überprüfen darf.
Dem Datenschutzbeauftragten wird nach Art. 38 Abs. 3 S. 1 DSGVO eine unabhängige Stellung zugewiesen. Aufgrund dieser Unabhängigkeit könnten sich Betriebsräte in Sicherheit wähnen, dass keine internen Informationen des Betriebsrats durch den Datenschutzbeauftragten an den Arbeitgeber weitergegeben werden. Diese vermeintliche Sicherheit offenbart sich jedoch als eine trügerische, wenn man sich vor Augen führt, dass letztlich der Arbeitgeber den Datenschutzbeauftragten bestellt und dessen Salär zahlt. Hinzu kommt der Umstand, dass in der Praxis der Datenschutzbeauftragte im Rahmen von Betriebsvereinbarungsverhandlungen häufig auf Seiten des Arbeitgebers auftritt.
Früher war alles besser
Die Gefahr der Kontrolle des Betriebsrats durch den Datenschutzbeauftragten sah das Bundesarbeitsgericht (BAG) bereits im Jahr 1997. Nach Auffassung der Erfurter Richter würden die Kontrollrechte des Datenschutzbeauftragten gegenüber dem Gesamtbetriebsrat dessen gesetzlich vorgeschriebene Unabhängigkeit von der Arbeitgeberin beeinträchtigen. Die Kontrollmaßnahmen seien der Arbeitgeberin zuzurechnen. Letztlich könne dem Bundesdatenschutzgesetz ein so massiver und wertungswidersprüchlicher Eingriff in ein Strukturprinzip des Betriebsverfassungsgesetzes nicht entnommen werden. Kontrollbefugnisse des Datenschutzbeauftragten gegenüber dem Gesamtbetriebsrat stünden diesem nicht zu.
Seine Entscheidung begründete das höchste deutsche Arbeitsgericht unter anderem damit, dass Daten, die den Meinungsbildungsprozess des Betriebsrats betreffen, keiner Verschwiegenheitsverpflichtung des Datenschutzbeauftragten unterliegen würden. Selbst wenn man, eine solche Verschwiegenheitsverpflichtung annehmen wollen würde, erschiene die praktische Wirksamkeit eines solchen Schutzes der den Meinungsbildungsprozess des Betriebsrats betreffenden Daten zweifelhaft, sofern keine Sanktionen für die Verletzung einer solchen Verschwiegenheitsverpflichtung vorhanden seien. (BAG 11.11.1997 – 1 ABR 21/97)
Verschwiegenheitspflicht – ein „zahnloser Tiger“
Scheinbar schuf der Gesetzgeber den neuen § 79a BetrVG in Kenntnis der eben dargestellten BAG-Rechtsprechung. In Satz 4 der Vorschrift findet sich nun eine Verschwiegenheitsverpflichtung des Datenschutzbeauftragten:
„Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“
Man könnte nun meinen, dass die Interna des Betriebsrats vor der Kenntnisnahme durch den Arbeitgeber in Sicherheit seien. Bei näherer Betrachtung entpuppt sich die normierte Verschwiegenheitspflicht des Datenschutzbeauftragten jedoch als „zahnloser Tiger“. Verletzt der Datenschutzbeauftragte seine Verschwiegenheitsverpflichtung, drohen ihm in der Praxis so gut wie keine Sanktionen. Allenfalls der Arbeitgeber könnte den Datenschutzbeauftragten aus wichtigem Grund in entsprechender Anwendung des § 626 BGB abberufen, vgl. §§ 38 Abs. 2, 6 Abs. 4 BDSG. Ob der Arbeitgeber von dieser Möglichkeit Gebrauch macht, ist in Anbetracht der Tatsache, dass er in diesem Fall von der Verletzung der Verschwiegenheitsverpflichtung profitiert, zweifelhaft. Wie schon die Erfurter Richter im Jahr 1997 erkannten, bestehen Bedenken an einem Schutz durch eine Verschwiegenheitsverpflichtung, wenn keine entsprechenden Sanktionsmöglichkeiten bei der Verletzung einer solchen vorhanden sind.
Abgesehen von den fehlenden Sanktionsmöglichkeiten, wirft diese Verschwiegenheitsverpflichtung weitere praktische Probleme auf. Wo beginnt die Verschwiegenheitsverpflichtung und wo endet sie? Mit anderen Worten: Wie soll in der Praxis zwischen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, und anderen Informationen unterschieden werden? Eine solche Unterscheidung wird in der Praxis zu erheblichen Diskussionsbedarf und perspektivisch zu Rechtsstreitigkeiten führen.
Ist die Unabhängigkeit der Betriebsräte in Gefahr?
Mit Blick auf die Neuregelung in § 79a BetrVG kann man zurecht die Unabhängigkeit der Betriebsräte in Gefahr sehen. Signalisiert der Betriebsrat dem Arbeitgeber jedoch, dass er das Thema Datenschutz proaktiv angeht und sich um die Einhaltung der entsprechenden datenschutzrechtlichen Vorschriften im Rahmen der Arbeit im Gremium kümmert, so verbleibt kein Raum für eine Kontrolle des Betriebsrats durch den Datenschutzbeauftragten.
Zu empfehlen wäre, dass der Betriebsrat ein Verarbeitungsverzeichnis seiner Datenverarbeitungen im Gremium sowie unter anderem ein IT-Sicherheitskonzept erstellt. Letztlich sollte der Betriebsrat ein natürliches Interesse daran haben, dass er bei dem Thema Datenschutz mit gutem Beispiel voran geht. Datenschutz ist kein Selbstzweck. Datenschutz soll im Rahmen des Arbeitsrechts die Persönlichkeitsrechte der Mitarbeiter schützen.
Dieser Beitrag ist der zweite Teil unserer Beitragsserie zum Betriebsrätemodernisierungsgesetz. Wir gehen im Rahmen dieser Beiträge der Frage nach, ob es dem Gesetzgeber mittels des Betriebsrätemodernisierungsgesetzes gelungen ist, eine Anpassung des Betriebsverfassungsgesetzes an die Anforderungen der modernen Arbeitswelt vorzunehmen.