Verantwortlichkeit des Betriebsrats nach der Datenschutz-Grundverordnung
Möglicherweise keimt bald eine Diskussion über eine Frage wieder auf, die unter der alten Fassung des Bundesdatenschutzgesetzes (BDSG a. F.) schon als erledigt galt. Gemeint ist die Frage, ob der Betriebsrat, losgelöst vom Unternehmen, eigenständig als Verantwortlicher für die Verarbeitung von personenbezogenen Daten gelten kann. Die Diskussion wird dadurch wieder aufgewärmt, dass die Aufsichtsbehörden womöglich bald einen Beschluss verabschieden nach dem Betriebsräte als verantwortliche Stelle i. S. d. DSGVO gelten sollen.
Bisherige Rechtsauffassung
Unter dem alten BDSG galt der Betriebsrat bisher als nicht als verantwortliche Stelle, mit der Begründung, dass nur natürliche und juristische Personen sowie andere Personenvereinigungen des privaten Rechts nach § 2 Abs. 4 und § 3 Abs. 7 BDSG a. F. verantwortlich für die Verarbeitung sein können. Der Betriebsrat ist lediglich eine Instanz bzw. ein Organ eines Unternehmens und somit nicht den vorstehenden Gruppen zuzuordnen. Diese Auffassung entsprach auch der ständigen Rechtsprechung des Bundesarbeitsgerichts.
Weshalb könnten die Datenschutzbehörden diese Auffassung kippen?
In Art. 4 Nr. 7 DSGVO heißt es, dass Verantwortlicher „die natürliche juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ ist.
Mit der Formulierung „andere Stelle“ wird die Beschränkung auf ausschließlich natürliche oder juristische Personen verdrängt. Als „andere Stelle“ kann der Betriebsrat durchaus bezeichnet werden.
Was aus der Definition bleibt, ist schließlich die Orientierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung. Gemäß dem Betriebsverfassungsgesetz ist dem Betriebsrat ein hohes Maß an Unabhängigkeit im Unternehmen zuzugestehen. Daraus ließe sich schließen dass der Betriebsrat auch selbst über die Mittel und Zwecke der Verarbeitung bestimmen darf. Dass der Betriebsrat personenbezogene Daten in Form von Mitarbeiterdaten verarbeitet, ist indes unstrittig.
Was lässt sich gegen diese Auslegung anführen?
Wenn man der Auffassung folgt, dass der Betriebsrat verantwortliche Stelle sein soll, hätte dies zur Folge, dass er alle datenschutzrechtlichen Regelungen einhalten und auch für die Einhaltung haften muss. Dies wäre ein herber Einschnitt für das System der Mitarbeiterbeteiligung.
Betrachtet man, welche Entscheidungsgewalt der Betriebsrat über die Mittel und Zwecke der Verarbeitung hat, lässt sich die Auffassung der Aufsichtsbehörden jedoch schon wieder relativieren. Zumeist nutzt der Betriebsrat die IT des Unternehmens und das Unternehmen ist dazu verpflichtet dem Betriebsrat die nötige Technik zur Ausübung seiner Aufgaben zur Verfügung zu stellen. Somit ist die Entscheidung über die Mittel der Verarbeitung nicht ausschließlich in der Hand des Betriebsrats. Er ist dabei auf das Unternehmen angewiesen.
Außerdem ist der Betriebsrat bei der Entscheidung über die Zwecke der Verarbeitung an die Regelungen und Grenzen des Betriebsverfassungsgesetzes gebunden. Der Betriebsrat kann also nur im Rahmen des Betriebsverfassungsgesetzes über die Zwecke der Verarbeitung entscheiden und ist somit auch hier in seiner Entscheidungsgewalt nicht frei.
Letztendlich muss ein Beschluss der Aufsichtsbehörden auch nicht bedeuten, dass deren Auffassung korrekt und bindend ist. Die Behörden haben weder rechtsgebend noch rechtsfortbildende Befugnisse. In der letzten Instanz würde es einem Gericht obliegen über die Verantwortlichkeit des Betriebsrats zu urteilen.
Dementsprechend bleibt zunächst abzuwarten, ob die Behörden einen solchen Beschluss verabschieden und wie dieser dann überhaupt im Zuge der Rechtsfortbildung vor Gerichten Bestand hat.