Arbeitgeber oder Betriebsrat oder doch irgendwie beide?
Die lange umstrittene Frage, ob der Betriebsrat selbst datenschutzrechtlich verantwortliche Stelle ist, hat der Gesetzgeber – zumindest fürs erste – beantwortet: Nach § 79a BetrVG ist der Arbeitgeber datenschutzrechtlich für Datenverarbeitungen im Betriebsrat verantwortlich, soweit der Betriebsrat im Rahmen seiner gesetzlichen Aufgaben handelt. Allerdings hat der Arbeitgeber zumindest nach herrschender Auffassung kein Kontrollrecht gegenüber dem Arbeitgeber. Dem steht die Unabhängigkeit des Betriebsrats entgegen. Anders sieht dies zumindest nach einer aktuellen Entscheidung des LAG Baden-Württemberg (Beschl. v. 20.5.2022 – 12 TaBV 4/21, BeckRS 2022, 13788) im Hinblick auf den Datenschutzbeauftragten. Dieser hat danach ein Kontrollrecht gegenüber dem Betriebsrat, damit er seiner Überwachungsaufgabe nach Art. 39 DSGVO nachkommen kann. Ein solches Kontrollrecht ergibt sich mittelbar daraus, dass § 79a S. 4 BetrVG den Datenschutzbeauftragten zur Verschwiegenheit über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, verpflichtet.
Trotzdem bleibt eine Widersprüchlichkeit in der Neuregelung: Der Arbeitgeber haftet für Datenschutzverstöße im Betriebsrat, hat aber selber keine Kontrollmöglichkeit gegenüber dem Betriebsrat. Der Gesetzgeber hat lediglich eine recht vage Unterstützungspflicht in § 79a S. 3 BetrVG aufgenommen. Im Grunde ist dies natürlich sinnvoll: Betriebsräte hätten es ohne Mithilfe des Arbeitgebers und ggf. des Know-hows des Datenschutzbeauftragten deutlich schwerer, ein tragfähiges Datenschutzmanagement aufzubauen. Umgekehrt ist der Arbeitgeber zum Beispiel bei der Umsetzung von Auskunftsverlangen einzelner Arbeitnehmer nach Art. 13, 14 DSGVO auf die Unterstützung des Betriebsrats angewiesen, damit er eine vollständige Auskunft erteilen kann. Schließlich besteht die Möglichkeit, dass auch der Betriebsrat personenbezogene Daten der Auskunft begehrenden Arbeitnehmer verarbeitet, z.B. im Rahmen von Beschwerden oder personellen Einzelmaßnahmen.
Spannend sind aber zwei Aspekte: Zum einen gilt die Verantwortlichkeit des Arbeitgebers nur soweit der Betriebsrat im Rahmen der ihm zugewiesenen Aufgaben handelt. Ist dies nicht der Fall, weil der Betriebsrat personenbezogene Daten verarbeitet, die er für die Wahrnehmung seiner Aufgaben nicht benötigt oder zweckwidrige Verarbeitungen durchführt, kommt doch wieder eine eigene Verantwortlichkeit des Betriebsrats in Betracht. Betriebsräte sollten daher schon ein eigenes Interesse daran haben, ggf. in Zusammenarbeit mit dem Datenschutzbeauftragten, seine Verarbeitungsvorgänge daraufhin zu prüfen, ob jeweils ein konkreter Aufgabenbezug (noch) vorliegt.
Achtung: Das bedeutet auch, dass mit Wegfall des Verarbeitungszwecks grundsätzlich auch die hierfür verarbeiteten Daten zu löschen sind. Insofern birgt die bisherige Praxis vieler Betriebsräte, Vorgänge teilweise über viele Wahlperioden hinweg aufzubewahren, ein erhebliches Risiko.
Hinzukommt, dass der Arbeitgeber berechtigt ist, eine Übermittlung von personenbezogenen Daten an den Betriebsrat zu verweigern, wenn kein konkreter Aufgabenbezug darlegt werden kann. Und nach der neuen Rechtsprechung des BAG ( Beschl. v. 9.4.2019 – 1 ABR 51/17) darüber hinaus auch dann, wenn der Betriebsrat nicht nachweisen kann, dass er angemessene uns spezifische Maßnahmen zum Schutz besonderer Kategorien personenbezogener Daten, also insbesondere Gesundheitsdaten, getroffen hat.
Vor dem Hintergrund der datenschutzrechtlichen Verantwortlichkeitszuweisung an den Arbeitgeber steht zu erwarten, dass Arbeitgeber in Zukunft vermehrt von Betriebsräten entsprechende Nachweise einfordern werden. Auch vor diesem Hintergrund enthält die oben zitierte Entscheidung des LAG Baden-Württemberg interessante konkretisierende Aussagen.
Als mögliche Schutzmaßnahmen nennt das LAG ausdrücklich, freiwillig einen Datenschutz-Sonderbeauftragten für das Gremium zu benennen, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen und vor allem ein Löschkonzept vorzuhalten. Der Arbeitgeber könne dabei, so das LAG nicht verlangen, dass die Maßnahmen in einer Betriebsvereinbarung geregelt würde.
Inhaltlich legt das LAG den Maßstab für die zu ergreifenden Maßnahmen zu niedrig, in dem es im Wesentlichen genügen lässt, dass eine Zutrittssicherung für das Betriebsratsbüro vorgesehen ist, sensible Unterlagen in einem verschließbaren Schrank aufbewahrt werden und eine E-Mail-Adresse mit Passwortschutz zum Empfang der Informationen eingerichtet ist. Auch ein Löschkonzept lag im entschiedenen Fall vor. Der Betriebsrat müsse nicht allen in § 22 Abs. 2 BDSG aufgezählten Maßnahmen Rechnung tragen, da diese nur beispielhaft aufgezählt seien. Während letztere Annahme zutreffend ist, überzeugt es nicht, dass damit angemessene und spezifische Maßnahmen zum Schutz der besonders sensiblen Daten vorgelegen hätten. Von den vom LAG zuvor beispielhaft aufgezählten Schutzmaßnahmen, lag alleine wohl ein Löschkonzept vor. Hinweise auf eine Datenschutzschulung im Betriebsrat, ein umfassendes Datenschutzkonzept, inklusive Prozesse zur Sicherstellung der Betroffenenrechte, lässt sich aus dem Sachverhalt ebenfalls nicht entnehmen. Zudem verlangen die Aufsichtsbehörden bei der Übermittlung von sensiblen Daten per Mail grundsätzlich eine Inhaltsverschlüsselung, so dass ein einfacher Passwortschutz für das Mailkonto nicht ausreichend sein dürfte. Jedenfalls sollten Betriebsräte dem Arbeitgeber mitteilen, dass bei der Übermittlung von sensiblen Daten per Mail, diese in einer passwortgeschützten ZIP- oder pdf-Datei, die an die Mail angehängt werden soll. Das Passwort könnte dann telefonisch ausgetauscht werden. Alternativ bietet sich die Bereitstellung der sensiblen Daten in einem speziellen Bereich / Datenraum für den Betriebsrat im Rahmen einer elektronischen Personalverwaltung an.
Auch wenn das LAG Baden-Württemberg zudem davon ausgeht, dass ein Verarbeitungsverzeichnis vom Betriebsrat nicht geführt werden muss, ist Betriebsräten unbedingt zu raten, ein solches zu führen, um überhaupt zunächst eine Übersicht über die Datenverarbeitungsprozesse zu erhalten. Ohnehin ein Verarbeitungsverzeichnis wird man kaum von einem umfassenden Datenschutzkonzept sprechen.
Es bleibt abzuwarten, ob sich das BAG mit den Aussagen des LAG wird beschäftigen müssen und falls ja, ob es diese teilt. Könnte das sogar der nächste Vorlagebeschluss des BAG an den EuGH werden? Zumal die Europarechtskonformität des § 79a BetrVG ohnehin in Frage steht.
Unabhängig davon sollten – wie sich gezeigt hat – sowohl Arbeitgeber als auch Betriebsräte mit der Gesetzesänderung und der Rechtsprechung des BAG ein erhebliches Interesse daran haben sich gegenseitig bei der Wahrung von datenschutzrechtlichen Vorgaben zu unterstützen. Hilfreich kann hier der Abschluss einer Regelungsabrede sein, in der die gegenseitigen Unterstützungspflichten ausgestaltet werden.