Gem. Art. 4 Nr. 7 DS-GVO wird der Verantwortliche im Sinne der DS-GVO definiert. Hiernach ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verantwortlich, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

In der Regel dürfte es auch keine großen Probleme geben, den Verantwortlichen festzustellen.

Uneinigkeit besteht jedoch soweit es sich um den Betriebsrat handelt. Während die einen diesen als eigenen Verantwortlichen für die Datenverarbeitung sehen wollen, (so auch im 34. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü)) ist nach ständiger Rechtsprechung des BAG zu Zeiten des BDSG alt der Betriebsrat nicht als Verantwortlicher zu sehen. Gestützt wurde die Ansicht des BAG durch den Wortlaut des BDSG indem Gremien als „Verantwortliche“ ausgeschlossen wurden.

Es bleibt damit die Frage, ob der BAG weiterhin bei seiner Auffassung unter der DS-GVO bleibt.

Erste Hoffnungen für Befürworter der Verantwortlichkeit des Betriebsrates wurde auf die Entscheidung des BAG in einem Fall erhofft, in dem der Betriebsrat vom Arbeitgeber die ungeschwärzte Übermittlung von Gehaltslisten verlangte, damit dieser dessen Arbeit als Betriebsrat insb. die Überprüfung der Einhaltung der relevanten Gesetze, nachgehen konnte. Ein Auskunftsanspruch wurde wie üblich im Sinne von § 80 Abs. 2 S. 2 Halbs. 2 BetrVG gesehen.

Allerdings hatte der BAG mit Beschluss vom 07.05.2019 unter dem Aktenzeichen 1 ABR 53/17 keinen Bezug zu der Frage der Verantwortlichkeit hergestellt. Vielmehr konnte entnommen werden, dass der BAG eine Übermittlung von Daten als eine Datenverarbeitung ansah und es hier nicht darauf ankommt ob der Betriebsrat Dritte im Sinne von Art. 4 Nr. 9 S. 1 DS-GVO ist. Diese sei jedenfalls Empfänger einer solchen Datenübermittlung.  

Zu erwähnen ist, dass in einem anderen Fall der BAG (ebenfalls zu Zeiten des BDSG) entschieden hat, dass der Betriebsrat nicht der Kontrolle des Datenschutzbeauftragten des Arbeitgebers unterliegt. Mithin kann auch nicht vollumfänglich kontrolliert werden ob die Datenschutzrechtlichen Vorgaben im Unternehmen eingehalten werden oder welche Risiken bestehen. Ganz besonders wenn der Betriebsrat keinen eigenen Datenschutzbeauftragten bestellt hat, bleibt ein Risiko bestehen. Welche stets zu berücksichtigen ist.

Würde man von einer Verantwortlichkeit i.S.v. Art. 4 Nr. 7 DS-GVO ausgehen, so hätte der Betriebsrat jedenfalls die Pflicht ab eine Größe von mind. 10 Mitglieder, einen eigenen Datenschutzbeauftragten zu bestellen. Dies führt aber dazu das der Arbeitgeber hier höhere Ausgaben hat, da dieser ebenfalls die Kosten des Datenschutzbeauftragten des Betriebsrates auf die Kostenstelle des Arbeitgebers aufnehmen müsste. Auch die damit einhergehenden Kosten in Erfüllung der datenschutzrechtlichen Aufgaben sind vom Arbeitgeber zu tragen.

Mithin entstehen hier einige Pflichten die aber auch Risiken darstellen können, weshalb es ein Interesse daran gibt zu Wissen, welche Rolle der Betriebsrat einnimmt. Es bleibt demnach weiterhin unklar, welche Rolle der Betriebsrat im Sinne der DS-GVO einnimmt.

Bis in dieser Sache Klarheit herrscht, ist es für Sie von Vorteil, wenn Sie mit Ihrem Betriebsrat eine Betriebsvereinbarung zum Thema Datenschutz abschließen. Sinnvollerweise sollte hier zusätzlich zu Vorgaben zur datenschutzkonformen Tätigkeit und Umgang mit personenbezogenen Daten, auch vereinbart werden, dass die Mittel und Strukturen des Arbeitgebers in Bezug auf den Betriebsdatenschutz genutzt werden sollen. Dazu könnte auch aufgenommen werden, dass der vom Unternehmen bestellte Datenschutzbeauftragte eine Kontrollmöglichkeit auch auf die Betriebsratstätigkeit erhält und zudem auch für den Betriebsrat als Ansprechpartner zur Verfügung steht.

Jedenfalls wären Sie gut damit beraten sich nochmals mit ihrem Datenschutzbeauftragten zusammen zu setzen um diese Thematik zu besprechen. Vor allem sollten hier die Auffassungen der eigenen Landesdatenschutzaufsicht gefolgt werden, wobei diese keine rechtliche Bindungswirkung entfaltet, soweit die höchstrichterliche Rechtsprechung weiterhin (unter der DS-GVO) bei dessen Ansicht bleibt, dass die Betriebsräte keine eigene Verantwortlichen darstellen und es hier zu einer entgegengesetzten Entscheidung durch das Gericht kommen sollte.