Durch das Betriebsrätemodernisierungsgesetz ist eine Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats in das Betriebsverfassungsgesetz (BetrVG) mit aufgenommen wurde.

Durch die Norm des § 79a BetrVG ist nun festgelegt, dass der Arbeitgeber bei der Verarbeitung personenbezogener Daten durch den Betriebsrat Verantwortlicher im Sinne der DSGVO ist.

Seit Geltung der DSGVO war es umstritten, ob der Betriebsrat bei der Verarbeitung personenbezogener Daten eigener Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist oder nur ein unselbstständiger Teil des Arbeitgebers als verantwortliche Stelle.
Mit der Aufnahme des § 79a in das Betriebsverfassungsgesetz hat dieser Rechtsstreit nun sein Ende gefunden.

§ 79a BetrVG

Nach § 79a BetrVG hat der Betriebsrat „bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“

Der Begriff des Verantwortlichen im Sinne der DSGVO

Der Begriff des Verantwortlichen für die Datenverarbeitung ist einer der zentralen Begriffe der DSGVO.
Er bestimmt, wer für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen hat und die dafür erforderlichen Maßnahmen ergreifen muss. Ihm gegenüber kann eine von der Datenverarbeitung betroffene Person ihre Rechte nach der DSGVO geltend machen und schlussendlich ist der Verantwortliche auch derjenige, gegen den im Fall von Datenschutzverstöße Bußgelder verhängt werden können.

Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Das Wort „entscheidet“ stellt klar, dass es in diesem Zusammenhang nicht darauf ankommt, wem die Entscheidungsbefugnis zukommt, sondern rein darauf, wer die tatsächliche Entscheidungsgewalt innehat.  

Was regelt § 79a BetrVG konkret?

Pflicht des Betriebsrats zur Einhaltung des Datenschutzgesetzes, § 79a S. 1 BetrVG
Nach der Neuregelung in § 79a Satz 1 BetrVG hat der Betriebsrat „bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten“.

Diese Regelung hat für den Betriebsrat zur Folge, dass er eigene technische organisatorische Maßnahmen gemäß Art. 32 DSGVO treffen muss, um ein ausreichendes Schutzniveaus bei der Verarbeitung der Daten zu gewährleisten.
Der Betriebsrat hat selbstständig für begrenzte Zugriffsmöglichkeiten zu sorgen, Maßnahmen zur Datensicherung zu treffen und eigenständig für eine ordnungsgemäße Löschung der Daten zu sorgen.

Arbeitgeber als datenschutzrechtlicher Verantwortlicher
In § 79a S. 2 BetrVG ist geregelt, dass der Arbeitgeber der für die Datenverarbeitung Verantwortliche ist, „soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogener Daten verarbeitet“.  

Hintergrund dieser Regelung war es zu berücksichtigen, dass der Betriebsrat kein nach außen rechtlich verselbstständigte Institution ist, sondern Teil des Arbeitgebers.
 

Folgen dieser Regelung - Schwierigkeiten in der Praxis
Diese neue Regelung bringt leider auch einige Tücken in der Praxis mit sich und führt nicht zu der erhofften Klarstellung hinsichtlich der Rolle des Betriebsrats bei der Verarbeitung personenbezogener Daten.

Arbeitgeber als Verantwortlicher ohne Entscheidungsgewalt
Diese Neuregelung in ihrer Ausgestaltung, dass der Betriebsrat zum einen selbst die Vorschriften des Datenschutzes einzuhalten hat und gleichzeitig aber nur Teil der Verantwortlichen Stelle ist, hat für den Arbeitgeber zur Folge, dass er für eine Verarbeitung personenbezogener Daten verantwortlich ist, auf die er keinen Einfluss hat.
Der Betriebsrat darf im Rahmen seiner Beteiligungsrechte nach dem BetrVG vollkommen frei entscheiden. Damit darf er auch selbstständig entscheiden, wie er im Rahmen seiner ihm obliegenden Aufgaben personenbezogene Daten verarbeitet.
Gleichzeitig haftet aber der Arbeitgeber für alle Datenschutzverstöße, die durch den Betriebsrat begangenen werden.

Unterstützungspflichten des Betriebsrats nach § 79a S. 3 BetrVG
Der Gesetzgeber versucht dieses Dilemma, in dem sich der Arbeitgeber durch diese Regelung befindet, durch § 79a S. 3 BetrVG aufzufangen:

„Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“

Diese dort geregelte Unterstützungspflicht ist allerdings vom Gesetzgeber unvollständig gestaltet worden und befreit den Arbeitgeber nicht aus seinem Dilemma.
 
So hat der Gesetzgeber offen gelassen, welche Konsequenzen es hat, wenn der Betriebsrat seinen Unterstützungspflichten nicht nachkommt.
Der Arbeitgeber kann dem Betriebsrat auf Grund seiner Stellung als unabhängiges Organ grundsätzlich keine Weisungen erteilen oder Anordnungen geben. Auch § 79a S. 3 BetrVG räumt dem Arbeitgeber ein solches Recht nicht.

Für den Arbeitgeber kann eine fehlende Unterstützung des Betriebsrats allerdings gravierende Folgen haben.
Ist der Arbeitgeber Ansprüchen aus der DSGVO, wie einem Auskunftsanspruch oder einem Löschungsbegehren ausgesetzt, weil die betroffene Person Auskunft über oder Löschung der beim Betriebsrat verarbeiteten Daten verlangt und arbeitet der Betriebsrat nicht mit, kann dies hohe Schmerzensgeldzahlungen für den Arbeitgeber zur Folge haben.

Lösungsmöglichkeiten

Freiwillige Betriebsvereinbarungen
Eine Möglichkeit für den Arbeitgeber, diese Problematik aufzufangen, wäre es eine Betriebsvereinbarung mit dem Betriebsrat zu schließen, in der die genauen Modalitäten und Pflichten bei der Zusammenarbeit konkretisiert und festgeschrieben werden.
Dort kann festgelegt werden, welche Pflichten der Betriebsrat im Rahmen der Zusammenarbeit zu erfüllen hat und welche Aufgaben der Arbeitgeber selbst zu erbringen hat.

Eine solche Betriebsvereinbarung kann allerdings nur freiwillig abgeschlossen werden. Erzwingbar ist sie nicht.

Kontrolle durch den Datenschutzbeauftragten
Eine andere Lösungsmöglichkeit könnte die Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten sein. Zu den Aufgaben des Datenschutzbeauftragten gehört gemäß Art. 39 Abs. 1 lit. b) DSGVO die Überwachung der Einhaltung der Vorschriften des Datenschutzes.

Zwar darf nach der Rechtsprechung des Bundesarbeitsgerichts aus Zeiten vor Geltung der DSGVO der betriebliche Datenschutzbeauftragte den Betriebsrat nicht überwachen.
Allerdings geht der Gesetzgeber in seiner Gesetzbegründung zu § 79a BetrVG davon aus, dass der betriebliche Datenschutzbeauftragte auch für den Betriebsrat zuständig ist.

Damit der Betriebsrat dadurch seine Stellung als unabhängige Institution nicht verliert, wurde § 79a S.4 BetrVG geschaffen:

„Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“

Allerdings wurde vom Gesetzgeber hier offen gelassen, welche Informationen Rückschlüsse auf den Meinungsprozess des Betriebsrats zulassen. Dies könnten sowohl inhaltliche Informationen mit oder ohne personenbezogene Daten als auch rein verfahrensbezogene Informationen sein.

S. 5 des § 79a BetrVG stellt durch den Verweis auf die §§ 6 Abs. 5, 38 Abs. 2 BDSG klar, dass die Verschwiegenheitspflicht des Datenschutzbeauftragten auch gegenüber dem Arbeitgeber gilt. Damit ist der Datenschutzbeauftragte verpflichtet, alle Anfragen des Betriebsrats zum Datenschutz vertraulich zu behandeln und auch über alle (Beschäftigten-)Daten, von denen er im Rahmen dieser Tätigkeit Kenntnis erlangt, Stillschweigen zu bewahren.

Fazit

Die Schaffung des § 79a BetrVG soll dahingehend Klarheit schaffen, dass der Betriebsrat nicht Verantwortlicher im Sinne der DSGVO ist.
Betrachtet man diese Regelung aber genauer und bedenkt all ihre Konsequenzen, wird deutlich, dass sie viele Folgefragen aufwirft. Es bleibt daher mit Spannung zu erwarten, wie die Gerichte und die Aufsichtsbehörden mit diesen Folgefragen in Zukunft umgehen werden.