Mit Einführung der DS-GVO wurde die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats wieder neu aufgerollt. Wie der derzeitige Stand ist und welche Probleme sich weiterhin ergeben, behandeln wir in dem heutigen Newsletter.

Bis zur Einführung der DS-GVO galt der Betriebsrat unter dem BDSG nur als Teil der verantwortlichen Stelle (also des Unternehmens), denn nach dem alten BDSG konnten nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein.

Die DS-GVO beschränkt die Definition des Verantwortlichen gemäß Art. 4 Nr. 7 nicht mehr auf bestimmte Stellen. Es geht nur noch darum, wer die Mittel und Zwecke der Verarbeitung bestimmen, dies kann der Betriebsrat aufgrund seiner Unabhängigkeit, welche sich aus dem Betriebsverfassungsgesetz (BetrVG) ergibt, nur selbst.

Aufgrund weiterhin bestehender Rechtsunsicherheiten und Uneinigkeit der Landesarbeitsgerichte schuf der Gesetzgeber den § 79 a BetrVG. In diesem wird klargestellt, dass der Betriebsrat zur Einhaltung der Vorschriften über den Datenschutz bei der Verarbeitung personenbezogener Daten verpflichtet ist. Weiterhin wird in diesem Paragraphen festgelegt, dass der Arbeitgeber Verantwortlicher für die Datenverarbeitungen des Betriebsrats ist. Hier gab es jedoch noch während des Gesetzgebungsverfahrens Bedenken, da sich die strikte Festlegung der Verantwortlichkeit im Datenschutzrecht verbiete. Außerdem haftet der Arbeitgeber für den Betriebsrat ohne selbst wirklich Einfluss nehmen zu können. Der Arbeitgeber ist gegenüber dem Betriebsrat nicht weisungsberechtigt.

Als Schwierigkeit könnte sich hier die fehlende Mitarbeit und Mithilfe des Betriebsrates bei der Durchsetzung datenschutzrechtlicher Betroffenenrechte erweisen, sollte der Arbeitgeber diese als Verantwortlicher erfüllen müssen. Fehlende Mithilfe des Betriebsrates kann dieser nämlich nicht als Ausnahme von der Erfüllung der Rechte Betroffener nach außen geltend machen und müsste dann für eventuelle Verstöße des Betriebsrats haften. Auch wenn die Norm gegenseitige Unterstützung vorschreibt, ist deren Umfang nicht näher bestimmt.

Die neuen Regelungen haben die Arbeit des Betriebsrats also nicht, wie angedacht, vereinfacht, sondern weiterhin Problemfelder offengelassen. Es muss hier also abgewartet werden, wie die Aufsichtsbehörden und die Rechtsprechung die Problematik angehen werden. Es steht sogar im Raum, dass die Norm EU-rechtswidrig ist, da es an der erforderlichen Öffnungsklausel fehle. Der vom Gesetz dafür vorgesehene Art. 4 Nr. 7 DS-GVO erfüllt die Voraussetzungen nicht. Mit der Bestimmung eines Verantwortlichen müssen auch das „ob“ und das „wie“ festgelegt werden, ansonsten macht es keinen Sinn eine Person zum Verantwortlichen in Datenschutzangelegenheiten zu bestimmen. Dazu kommt, dass der Arbeitgeber im vorliegenden Fall gar nicht in der Lage ist die Einhaltung des Datenschutzes zu gewährleisten, da dieser, wie oben genannt, kaum Einfluss auf die Tätigkeiten des Betriebsrats nehmen kann. Auch hier muss abgewartet werden, wie die Rechtsprechung entscheiden wird.

Was kann man nun als Unternehmen tun, um den Steinen möglichst gut auszuweichen, die durch die Regelungen in den Weg gelegt wurden?

• Halten Sie die Zusammenarbeit mit dem Betriebsrat im Bereich des Datenschutzes schriftlich fest, orientieren kann man sich dabei an Art. 26 DS-GVO. Es sollte festgelegt werden, wer welche Verpflichtungen aus der DS-GVO erfüllt (insbesondere zur Wahrnehmung der Betroffenenrechte). Es können hier auch Prozesse gemeinsam erarbeitet werden, wie der Betriebsrat bei der Bearbeitung von Auskunftsanfragen oder Meldungen von Datenpannen eingebunden werden kann und Pflichten können konkretisiert werden.
• Vereinbaren Sie mit dem Betriebsrat, dass seine Mitglieder regelmäßig im Datenschutz geschult werden.
• Eine solche Vereinbarung kann in Form einer Regelungsabrede, am besten schriftlich (wenn auch die Regelungsabrede keiner Form unterliegt), festgehalten und dokumentiert werden.

Eine gute Zusammenarbeit zwischen Arbeitgeber und Betriebsrat ist also das A & O damit die datenschutzrechtlichen Vorgaben bestmöglich eingehalten werden können, auch wenn die derzeitigen Regelungen noch Nachbesserungsbedarf haben. Hier gilt es weitere Entwicklungen im Bereich Datenschutz im Betriebsrat abzuwarten und bis dahin die Zusammenarbeit im Unternehmen dahingehend zu stärken.