open search
close
Betriebsrat Kollektivarbeitsrecht Neueste Beiträge

Datenschutzverstoß des Betriebsrats – Wer haftet?

Print Friendly, PDF & Email

Die Streitfrage der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat ist entschieden. Der Gesetzgeber hat diese Verantwortung mit der neuen Vorschrift des § 79a BetrVG dem Arbeitgeber zugewiesen. Damit sind die Probleme aber nicht gelöst. Im Gegenteil:  Neue Streifragen und Konfliktfelder werden sogleich erkennbar und erfordern sorgfältiges Vorgehen des Arbeitgebers in der Zusammenarbeit mit Betriebsräten in dessen datenschutzrechtlichen Angelegenheiten.

 Die neue Vorschrift des § 79a BetrVG

Lange Zeit stand fest: Der Betriebsrat steht datenschutzrechtlich nicht außerhalb des Unternehmens als für die Datenverarbeitung verantwortlichen Stelle, sondern wurde als Teil dieser Stelle angesehen. Das BAG hatte dies bereits im Jahr 2012 entschieden (vgl. BAG v. 07.02.2012 – 1 ABR 46/10). Diese Gewissheit ist mit Inkrafttreten der DSGVO im Jahr 2018 verloren gegangen und die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrates wurde im Arbeitsrecht und im Datenschutzrecht kontrovers diskutiert. Nun hat der Gesetzgeber vordergründig  Klarheit geschaffen. Die neue Vorschrift des § 79a BetrVG – mit dem Betriebsrätemodernisierungsgesetz vom 14. Juni 2021 eingeführt und mit der Überschrift „Datenschutz“ versehen – lautet auszugsweise wie folgt:

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Der Gesetzgeber bestätigt damit die Rechtsprechung des BAG zur Rechtslage vor Inkrafttreten der DSGVO. Die neue Regelung stellt klar, dass es im Unternehmen nun einen datenschutzrechtlich Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO gibt. Dies ist der Arbeitgeber – nicht nur mit Blick auf die eigene Datenverarbeitung, sondern auch dann, wenn der Betriebsrat personenbezogene Daten der Mitarbeiter im Rahmen seiner betriebsverfassungsrechtlichen Tätigkeit verarbeitet.

Konfliktlage des Arbeitgebers

 So einfach und naheliegend die Entscheidung des Gesetzgebers erscheint, wird doch schnell erkennbar, dass der Arbeitgeber durch die Neuregelung in eine Konfliktlage versetzt wird. Auf der einen Seite muss er die datenschutzrechtlichen Vorschriften der DSGVO auch im Hinblick auf die Datenverarbeitung des Betriebsrats einhalten bzw. verantworten. So muss er z.B. die Verarbeitungsvorgänge des Betriebsrats ins Verarbeitungsverzeichnis aufnehmen sowie die Pflicht zur Information nach Art. 13 DSGVO, zur Auskunft nach Art. 15 DSGVO oder zur Löschung nach Art. 17 DSGVO auch dann erfüllen, wenn der Betriebsrat personenbezogene Daten von Mitarbeitern verarbeitet. Auf der anderen Seite darf der Arbeitgeber dem Betriebsrat wegen des im Betriebsverfassungsrecht verankerten Grundsatzes der unabhängigen Amtsführung keinerlei Vorgaben machen. Der Gesetzgeber weist dem Arbeitgeber somit die datenschutzrechtliche Verantwortung zu, ohne ihn jedoch mit entsprechenden Befugnissen gegenüber dem Betriebsrat (z. B. zur Kontrolle oder Anweisung) in Bezug auf den Umgang mit Beschäftigtendaten auszustatten.

Der Gesetzgeber trägt dieser Konfliktlage nur sehr zurückhaltend Rechnung, indem er schlicht festlegt, „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften“. Der Betriebsrat ist demgemäß dazu gehalten, dem Arbeitgeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten „unter die Arme zu greifen“. In der Praxis führt dies dazu, dass der Arbeitgeber z.B. unmittelbar an ihn gerichtete datenschutzrechtliche Anfragen von Mitarbeitern an den Betriebsrat weiterleitet und ihn um Zurverfügungstellung der erforderlichen Informationen oder unmittelbare Beantwortung bittet. Im Fall der unmittelbaren Beantwortung erfüllt der Betriebsrat seine Unterstützungspflicht (und zugleich die datenschutzrechtliche Verpflichtung des Arbeitgebers gegenüber dem Arbeitnehmer), indem er die datenschutzrechtlich relevante Handlung direkt gegenüber dem betroffenen Mitarbeiter vornimmt.

Geldbuße / Schadensersatz bei Verstößen des Betriebsrats ?

Was ist aber die Rechtsfolge, wenn trotz wechselseitiger Bemühungen datenschutzrechtliche Vorschriften verletzt werden; oder wenn die Unterstützung des Arbeitgebers durch den Betriebsrat nicht funktioniert, wie der Gesetzgeber sich dies vorstellt? Kann der verantwortliche Arbeitgeber dann bei Verstößen gegen die Vorgaben der DSGVO zur Zahlung einer Geldbuße (Art. 83 DSGVO) oder zum Schadensersatz gegenüber dem betroffenen Mitarbeiter (Art 82 DSGVO) verpflichtet sein? Die Antwort scheint auf der Hand zu liegen: Hat der Arbeitgeber die Unterstützung des Betriebsrats eingefordert und weigert sich dieser, die datenschutzrechtlich erforderliche Handlung vorzunehmen, hat der Arbeitgeber seine Verpflichtung grundsätzlich erfüllt. Gleiches gilt, wenn der Verstoß allein durch Handlungen des Betriebsrats ausgelöst wird. Der Arbeitgeber kann dem Betriebsrat aufgrund dessen betriebsverfassungsrechtlicher Unabhängigkeit keine Weisungen erteilen. Mangels Verschuldens auf Seiten des Arbeitgebers für den Datenschutzverstoß sollten in diesen Fällen weder Schadensersatz noch Geldbuße in Betracht kommen.

Der Erfolg dieser Argumentation ist indes schon bei Schadensersatzansprüchen von Arbeitnehmern nicht gewiss. Ein Verschulden des Verantwortlichen – mithin des Arbeitgebers  –  wird bei einem geltend gemachten Schadensersatzanspruch eines betroffenen Arbeitnehmers gesetzlich vermutet. Bei Datenschutzverstößen des Betriebsrates wird der Arbeitgeber also den Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO antreten müssen (Keine Verantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist). In welchem Umfang er hierfür auf den Betriebsrat zur Erbringung der gegenseitigen Unterstützung eingewirkt haben muss, ist offen und ein erkennbares Konfliktfeld für die betriebliche Zusammenarbeit.

Bei Bußgeldern ist es an den Aufsichtsbehörden, weitere Konfliktfelder zu vermeiden. Denn bislang vertreten die Datenschutzbehörden durchgehend die Auffassung, nach der § 30 OWiG bei datenschutzrechtlichen Bußgeldverfahren nicht anwendbar sei (bestätigt durch LG Bonn Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG). Nach dieser Vorschrift kann eine Geldbuße gegen eine juristische Person grundsätzlich nur bei Nachweis einer konkreten Pflichtverletzung einer Leitungsperson (Vorstand, Gesellschafter, etc.) festgesetzt werden. Die Auffassung der Datenschutzbehörden führt im Ergebnis für den Unternehmer zu einer quasi verschuldensunabhängigen Haftung für datenschutzrechtliche Pflichtverletzungen in seinem Unternehmen. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Rechtsauffassung nicht auf Pflichtverletzungen des Betriebsrates erstrecken wird oder sich die gegenteilige – sicherlich zutreffende – Rechtsaufassung insgesamt durchsetzt. So hat mittlerweile etwa das LG Berlin in seinem Beschluss vom 18. Februar 2021 die Anwendbarkeit von § 30 OWiG und damit das Erfordernis eines schuldhaften Fehlverhaltens einer Führungskraft als Voraussetzung für ein Bußgeld auf Grundlage der DSGVO angenommen (LG Berlin, Beschluss vom 18.02.2021, Az. (526 OWi LG) 212 Js-OWi 1/20).

Vor dem Hintergrund der aktuellen Justierung der neuen Regelungen zu Schadensersatz und Bußgeldern verwundert es nicht, dass in der Literatur auch eine eigenständige Haftung des Betriebsrats oder seiner Mitglieder in Betracht gezogen wird – jedenfalls wenn diese beharrlich oder schwerwiegend gegen die DSGVO verstoßen. Die Annahme einer Haftung des Betriebsrates ist im Betriebsverfassungsrecht bekanntlich eine Rarität. Auch der Gesetzgeber dürfte bei der Einführung des § 79a BetrVG eine solche Haftung nicht im Sinn gehabt haben. Völlig ausgeschlossen erscheint eine solche Haftung des Betriebsrates oder seiner Mitglieder im Rahmen des DSGVO indes nicht.

Fazit

 Wenn der Betriebsrat personenbezogene Daten verarbeitet,

  • ist nicht der Betriebsrat, sondern der Arbeitgeber datenschutzrechtlich hierfür verantwortlich,
  • muss der Betriebsrat den Arbeitgeber als Verantwortlichen bei der Erfüllung dessen datenschutzrechtlicher Pflichten aktiv unterstützen,
  • ist völlig ungeklärt, wer bei Datenschutzverstößen von Betriebsräten für Bußgelder haftet oder auf Schadensersatz in Anspruch genommen werden kann.

 Vor diesem Hintergrund ist Arbeitgebern bei Datenverarbeitungen des Betriebsrats dringend zu empfehlen, dessen Unterstützung zur Erfüllung ihrer Pflichten als datenschutzrechtlich Verantwortliche nicht nur einzufordern, sondern die Einforderung der „gegenseitigen Unterstützung“ vom Betriebsrat genau zu dokumentieren. Ohne eine solche Dokumentation kann weder in etwaigen Verfahren der Aufsichtsbehörden wegen Bußgeldern noch in einem arbeitsgerichtlichen Verfahren wegen Schadensersatzes eine erfolgreiche Rechtsverteidigung gelingen.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Arbeitsrecht 4.0 Kollektivarbeitsrecht Legal Tech Neueste Beiträge Prozessrecht

Alles roger? Follow-Up zur IT-Mitbestimmung bei der Nutzung von Head-Sets

In einer digitalisierten Arbeitswelt ist eine effiziente Kommunikation innerhalb der Belegschaft unerlässlich. Die Nutzung von Head-Sets hat sich in vielen Branchen etabliert und ermöglicht ohne Zeitverzögerung einen schnellen Austausch selbst in einer größeren Gruppe. Sobald jedoch Technik auf die Arbeitswelt trifft, ist die Diskussion über Mitbestimmungsrechte vorprogrammiert. Daher sollten Arbeitgeber auch bei der Einführung von „einfachen“ IT-Systemen wie Head-Sets ihre Gestaltungsspielräume kennen. IT-Systeme nicht ausnahmslos…
Kollektivarbeitsrecht Neueste Beiträge

Tendenzschutz und seine Auswirkungen im Arbeitsrecht

Tendenzschutz können zum Beispiel politische Parteien, Zeitungs- und Buchverlage, Nachrichtenagenturen, Rundfunk- und Fernsehsender, Privatschulen sowie Behindertenwerkstätten genießen. Der Begriff des Tendenzbetriebs folgt dabei aus § 118 Abs. 1 BetrVG. Genießt ein Betrieb Tendenzschutz, also eine besondere Freiheit, seine Tätigkeit nach seinen Überzeugungen und Zielsetzungen zu gestalten, kann dies sowohl Auswirkungen auf die individualarbeitsrechtliche Ebene haben als auch insbesondere die Mitbestimmungsrechte des Betriebsrats betreffen. Tendenzbetriebe sind dabei solche,…
Neueste Beiträge Unternehmensführung

"What Happens Next?" – Arbeitsrechtliche Herausforderungen der Zukunftsplanung

In einer sich ständig verändernden Geschäftswelt ist es für Unternehmen unerlässlich, vorausschauend zu planen und Risiken zu bewerten. Dabei spielen sowohl interne als auch externe Faktoren eine entscheidende Rolle. Die Herausforderungen, denen sich Unternehmen heute gegenübersehen, sind vielfältig und komplex. Sie reichen von technologischen Veränderungen und Arbeitsmarkttrends bis hin zu wirtschaftlichen Schwierigkeiten und dem Fachkräftemangel. Die rasante Entwicklung der Künstlichen Intelligenz (KI) stellt Unternehmen vor…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert