Neues zum Datenschutz im Betriebsrat
Betriebsräte und Datenschutz: eine Konstellation, die noch immer viele Frage aufwirft, von denen nun aber ein wichtiger Aspekt durch ein neues Gesetz geklärt werden soll.
Bereits das Bundesarbeitsgericht hatte in seiner Entscheidung vom 09.04.2019, Az. 1 ABR 51/17 entschieden, dass der Betriebsrat zumindest bei der Verarbeitung von besonderen personenbezogenen Daten im Sinne von Art. 9 DSGVO, also z.B. bei Gesundheitsdaten, (technische und organisatorische) Maßnahmen vorhalten muss, um diese zu schützen. Ob aber in dieser Konstellation der Betriebsrat Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist und er somit ein Datenschutzmanagementsystem etablieren muss, oder ob diese Verantwortung beim Arbeitgeber liegt, ließ sich der Entscheidung nicht entnehmen. Nunmehr soll durch das Betriebsrätestärkungsgesetz Klärung herbeigeführt werden.
Das "Gesetz zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte", wie das Betriebsrätestärkungsgesetz eigentlich heißt, hat mehrere Punkte zum Gegenstand, mit denen die Position des Betriebsrates im Unternehmen gestärkt werden soll. Hier soll allerdings lediglich auf die geplante Regelung zum Datenschutz eingegangen werden, wobei das Betriebsverfassungsgesetz folgende Ergänzung bekommen soll:
§ 79a Datenschutz
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.
Nach dieser neuen Vorschrift soll also der Arbeitgeber verantwortliche Stelle sein (eigentlich: bleiben). Begründet wird dies damit, dass der Betriebsrat nur als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers handelt. Überraschenderweise heißt es in der Gesetzesbegründung dann aber: "Schließlich hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen [Anm.: TOMs] zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen."
Zwar entspricht dies der Rechtsprechung des BAG, letztendlich findet eine solche Begründung jedoch eigentlich keinen Halt in der DSGVO, wenn nunmehr ausdrücklich festgelegt wird, dass der Arbeitgeber verantwortliche Stelle sein soll. So heißt es in Art. 32 Abs. 1 S. 1 DSGVO: "[...] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Auf welcher rechtlichen Basis soll der Betriebsrat verpflichtet sein, TOMs zu etablieren, wenn er doch nicht verantwortliche Stelle ist?
Letztendlich scheint der Gesetzgeber hier guten Willen beweisen zu wollen, um dann aber doch nur noch mehr Fragen als Antworten zu schaffen. Was passiert z.B., wenn der Betriebsrat bei der Erstellung des Datenschutzmanagementsystems oder bei der Beantwortung eines Auskunftsverlangens eines Mitarbeiters in Bezug auf den Betriebsrat nicht mitwirkt? Trifft dann den Arbeitgeber ein etwaiges Versäumnis samt aller Konsequenzen oder kann er sich durch Nachweis seiner Bemühungen exkulpieren?
Nachdem sich das Gesetz noch im Gesetzgebungsverfahren befindet, bleibt letztendlich nur zu hoffen, dass die offenen Fragen, zumindest die allerwichtigsten, noch geklärt werden. Stand jetzt dürfte der Aspekt, der eigentlich geklärt werden sollte, im Ergebnis weitaus mehr Fragen für den Anwender und vor allem für Betriebsräte und Arbeitgeber aufwerfen, als dies vorher der Fall war. Kommt es zu keiner Klarstellung werden es wieder die Gerichte sein, die zu diesen Punkten Entscheidungen herbeiführen müssen, um für Rechtsklarheit zu sorgen. Für Anwender, Betriebsräte und Arbeitgeber bleibt die Situation unbefriedigend.
Was bleibt als Ergebnis? Betriebsräten ist nach wie vor dringend zu raten, in Bezug auf den Datenschutz mindestens eigene technisch-organisatorische Maßnahmen zu implementieren und zu dokumentieren. Arbeitgebern und Betriebsräten ist ferner zu empfehlen, ein Verfahren zu implementieren, welches der geplanten gegenseitigen Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ausreichend Rechnung trägt.
Gerne unterstützt Sie die jurcons hierbei.