open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Betriebsrat Kollektivarbeitsrecht Neueste Beiträge

    Datenschutzverstoß des Betriebsrats – Wer haftet?

    Print Friendly, PDF & Email

    Die Streitfrage der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat ist entschieden. Der Gesetzgeber hat diese Verantwortung mit der neuen Vorschrift des § 79a BetrVG dem Arbeitgeber zugewiesen. Damit sind die Probleme aber nicht gelöst. Im Gegenteil:  Neue Streifragen und Konfliktfelder werden sogleich erkennbar und erfordern sorgfältiges Vorgehen des Arbeitgebers in der Zusammenarbeit mit Betriebsräten in dessen datenschutzrechtlichen Angelegenheiten.

     Die neue Vorschrift des § 79a BetrVG

    Lange Zeit stand fest: Der Betriebsrat steht datenschutzrechtlich nicht außerhalb des Unternehmens als für die Datenverarbeitung verantwortlichen Stelle, sondern wurde als Teil dieser Stelle angesehen. Das BAG hatte dies bereits im Jahr 2012 entschieden (vgl. BAG v. 07.02.2012 – 1 ABR 46/10). Diese Gewissheit ist mit Inkrafttreten der DSGVO im Jahr 2018 verloren gegangen und die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrates wurde im Arbeitsrecht und im Datenschutzrecht kontrovers diskutiert. Nun hat der Gesetzgeber vordergründig  Klarheit geschaffen. Die neue Vorschrift des § 79a BetrVG – mit dem Betriebsrätemodernisierungsgesetz vom 14. Juni 2021 eingeführt und mit der Überschrift „Datenschutz“ versehen – lautet auszugsweise wie folgt:

    „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

    Der Gesetzgeber bestätigt damit die Rechtsprechung des BAG zur Rechtslage vor Inkrafttreten der DSGVO. Die neue Regelung stellt klar, dass es im Unternehmen nun einen datenschutzrechtlich Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO gibt. Dies ist der Arbeitgeber – nicht nur mit Blick auf die eigene Datenverarbeitung, sondern auch dann, wenn der Betriebsrat personenbezogene Daten der Mitarbeiter im Rahmen seiner betriebsverfassungsrechtlichen Tätigkeit verarbeitet.

    Konfliktlage des Arbeitgebers

     So einfach und naheliegend die Entscheidung des Gesetzgebers erscheint, wird doch schnell erkennbar, dass der Arbeitgeber durch die Neuregelung in eine Konfliktlage versetzt wird. Auf der einen Seite muss er die datenschutzrechtlichen Vorschriften der DSGVO auch im Hinblick auf die Datenverarbeitung des Betriebsrats einhalten bzw. verantworten. So muss er z.B. die Verarbeitungsvorgänge des Betriebsrats ins Verarbeitungsverzeichnis aufnehmen sowie die Pflicht zur Information nach Art. 13 DSGVO, zur Auskunft nach Art. 15 DSGVO oder zur Löschung nach Art. 17 DSGVO auch dann erfüllen, wenn der Betriebsrat personenbezogene Daten von Mitarbeitern verarbeitet. Auf der anderen Seite darf der Arbeitgeber dem Betriebsrat wegen des im Betriebsverfassungsrecht verankerten Grundsatzes der unabhängigen Amtsführung keinerlei Vorgaben machen. Der Gesetzgeber weist dem Arbeitgeber somit die datenschutzrechtliche Verantwortung zu, ohne ihn jedoch mit entsprechenden Befugnissen gegenüber dem Betriebsrat (z. B. zur Kontrolle oder Anweisung) in Bezug auf den Umgang mit Beschäftigtendaten auszustatten.

    Der Gesetzgeber trägt dieser Konfliktlage nur sehr zurückhaltend Rechnung, indem er schlicht festlegt, „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften“. Der Betriebsrat ist demgemäß dazu gehalten, dem Arbeitgeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten „unter die Arme zu greifen“. In der Praxis führt dies dazu, dass der Arbeitgeber z.B. unmittelbar an ihn gerichtete datenschutzrechtliche Anfragen von Mitarbeitern an den Betriebsrat weiterleitet und ihn um Zurverfügungstellung der erforderlichen Informationen oder unmittelbare Beantwortung bittet. Im Fall der unmittelbaren Beantwortung erfüllt der Betriebsrat seine Unterstützungspflicht (und zugleich die datenschutzrechtliche Verpflichtung des Arbeitgebers gegenüber dem Arbeitnehmer), indem er die datenschutzrechtlich relevante Handlung direkt gegenüber dem betroffenen Mitarbeiter vornimmt.

    Geldbuße / Schadensersatz bei Verstößen des Betriebsrats ?

    Was ist aber die Rechtsfolge, wenn trotz wechselseitiger Bemühungen datenschutzrechtliche Vorschriften verletzt werden; oder wenn die Unterstützung des Arbeitgebers durch den Betriebsrat nicht funktioniert, wie der Gesetzgeber sich dies vorstellt? Kann der verantwortliche Arbeitgeber dann bei Verstößen gegen die Vorgaben der DSGVO zur Zahlung einer Geldbuße (Art. 83 DSGVO) oder zum Schadensersatz gegenüber dem betroffenen Mitarbeiter (Art 82 DSGVO) verpflichtet sein? Die Antwort scheint auf der Hand zu liegen: Hat der Arbeitgeber die Unterstützung des Betriebsrats eingefordert und weigert sich dieser, die datenschutzrechtlich erforderliche Handlung vorzunehmen, hat der Arbeitgeber seine Verpflichtung grundsätzlich erfüllt. Gleiches gilt, wenn der Verstoß allein durch Handlungen des Betriebsrats ausgelöst wird. Der Arbeitgeber kann dem Betriebsrat aufgrund dessen betriebsverfassungsrechtlicher Unabhängigkeit keine Weisungen erteilen. Mangels Verschuldens auf Seiten des Arbeitgebers für den Datenschutzverstoß sollten in diesen Fällen weder Schadensersatz noch Geldbuße in Betracht kommen.

    Der Erfolg dieser Argumentation ist indes schon bei Schadensersatzansprüchen von Arbeitnehmern nicht gewiss. Ein Verschulden des Verantwortlichen – mithin des Arbeitgebers  –  wird bei einem geltend gemachten Schadensersatzanspruch eines betroffenen Arbeitnehmers gesetzlich vermutet. Bei Datenschutzverstößen des Betriebsrates wird der Arbeitgeber also den Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO antreten müssen (Keine Verantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist). In welchem Umfang er hierfür auf den Betriebsrat zur Erbringung der gegenseitigen Unterstützung eingewirkt haben muss, ist offen und ein erkennbares Konfliktfeld für die betriebliche Zusammenarbeit.

    Bei Bußgeldern ist es an den Aufsichtsbehörden, weitere Konfliktfelder zu vermeiden. Denn bislang vertreten die Datenschutzbehörden durchgehend die Auffassung, nach der § 30 OWiG bei datenschutzrechtlichen Bußgeldverfahren nicht anwendbar sei (bestätigt durch LG Bonn Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG). Nach dieser Vorschrift kann eine Geldbuße gegen eine juristische Person grundsätzlich nur bei Nachweis einer konkreten Pflichtverletzung einer Leitungsperson (Vorstand, Gesellschafter, etc.) festgesetzt werden. Die Auffassung der Datenschutzbehörden führt im Ergebnis für den Unternehmer zu einer quasi verschuldensunabhängigen Haftung für datenschutzrechtliche Pflichtverletzungen in seinem Unternehmen. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Rechtsauffassung nicht auf Pflichtverletzungen des Betriebsrates erstrecken wird oder sich die gegenteilige – sicherlich zutreffende – Rechtsaufassung insgesamt durchsetzt. So hat mittlerweile etwa das LG Berlin in seinem Beschluss vom 18. Februar 2021 die Anwendbarkeit von § 30 OWiG und damit das Erfordernis eines schuldhaften Fehlverhaltens einer Führungskraft als Voraussetzung für ein Bußgeld auf Grundlage der DSGVO angenommen (LG Berlin, Beschluss vom 18.02.2021, Az. (526 OWi LG) 212 Js-OWi 1/20).

    Vor dem Hintergrund der aktuellen Justierung der neuen Regelungen zu Schadensersatz und Bußgeldern verwundert es nicht, dass in der Literatur auch eine eigenständige Haftung des Betriebsrats oder seiner Mitglieder in Betracht gezogen wird – jedenfalls wenn diese beharrlich oder schwerwiegend gegen die DSGVO verstoßen. Die Annahme einer Haftung des Betriebsrates ist im Betriebsverfassungsrecht bekanntlich eine Rarität. Auch der Gesetzgeber dürfte bei der Einführung des § 79a BetrVG eine solche Haftung nicht im Sinn gehabt haben. Völlig ausgeschlossen erscheint eine solche Haftung des Betriebsrates oder seiner Mitglieder im Rahmen des DSGVO indes nicht.

    Fazit

     Wenn der Betriebsrat personenbezogene Daten verarbeitet,

    • ist nicht der Betriebsrat, sondern der Arbeitgeber datenschutzrechtlich hierfür verantwortlich,
    • muss der Betriebsrat den Arbeitgeber als Verantwortlichen bei der Erfüllung dessen datenschutzrechtlicher Pflichten aktiv unterstützen,
    • ist völlig ungeklärt, wer bei Datenschutzverstößen von Betriebsräten für Bußgelder haftet oder auf Schadensersatz in Anspruch genommen werden kann.

     Vor diesem Hintergrund ist Arbeitgebern bei Datenverarbeitungen des Betriebsrats dringend zu empfehlen, dessen Unterstützung zur Erfüllung ihrer Pflichten als datenschutzrechtlich Verantwortliche nicht nur einzufordern, sondern die Einforderung der „gegenseitigen Unterstützung“ vom Betriebsrat genau zu dokumentieren. Ohne eine solche Dokumentation kann weder in etwaigen Verfahren der Aufsichtsbehörden wegen Bußgeldern noch in einem arbeitsgerichtlichen Verfahren wegen Schadensersatzes eine erfolgreiche Rechtsverteidigung gelingen.

    Dr. Oliver Vollstädt 
    Rechtsanwalt
    Fachanwalt für Arbeitsrecht
    Partner
    Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
    vCard downloaden Dr. Oliver Vollstädt  auf LinkedIn
    Verwandte Beiträge
    Arbeitsrecht 4.0Bewerbung Neueste Beiträge

    Möglichkeiten und Grenzen – vom Fragerecht bis hin zum Pre-Employment-Screening

    Arbeitgeber verwenden oft viel Zeit auf Bewerbungsverfahren, um bei einer Einstellung eine informierte Entscheidung zu treffen und es zu vermeiden, ungeeignete Kandidaten einzustellen, die nach kurzer Zeit kündigen bzw. gekündigt werden. Neben dem klassischen Bewerbungsgespräch nutzen Arbeitgeber oft noch auch modernere Tools und Möglichkeiten der Informationsgewinnung wie E-Recruiting und Backgroundchecks. Dem Interesse des Unternehmens an möglichst umfassenden Informationen über Kandidaten steht das Recht der Bewerber…
    Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung

    Wir ziehen um! Zieht ihr mit? – Herausforderungen von Standortwechseln des Arbeitgebers

    Das neue Bürogebäude ist fast fertiggestellt. Die Umzugskisten im alten Bürogebäude werden bereits gepackt. Was kann jetzt noch schiefgehen? Ein Umzug stellt auch für Arbeitgeber stets den Beginn eines neuen Abschnitts dar. Wir zeigen auf, woran Arbeitgeber denken sollten, damit auch möglichst alle Arbeitnehmer mitziehen. Verschiedene Gründe bewegen Arbeitgeber zu einem Standortwechsel. So können große Restrukturierungen oder auch nur das bloße Auslaufen des Bürogebäudemietvertrags einen…
    Kollektivarbeitsrecht Neueste Beiträge Prozessrecht Restrukturierung

    Betriebsabgrenzung statt Wahlanfechtung: Halbzeit zwischen Betriebsratswahl 2022 und 2026 richtig nutzen

    Ist der Betriebsrat erst einmal gewählt, bleibt Arbeitgebern nur noch die Anfechtung der Wahl übrig. Bis zum rechtskräftigen Abschluss des Wahlanfechtungsverfahrens ist faktisch eine mehrjährige Amtszeit eines (ggf. rechtswidrig) gewählten Betriebsrats vorprogrammiert. Der risikobewusste Arbeitgeber sollte bis dahin den Betriebsrat beteiligen und Kosten für Einigungsstellen, Schulungen, Freistellungen für Betriebsratsarbeit etc. einkalkulieren. Arbeitgeber können jedoch vorausschauend unklare Betriebsstrukturen gerichtlich klären lassen und bei zügigem Handeln noch…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert