Die Frage, ob der Betriebsrat als „eigener Verantwortlicher“ zu qualifizieren ist, wurde bereits nach der alten Fassung des Bundesdatenschutzgesetzes (BDSG a. F.) diskutiert. Eigentlich war dies nach der alten Gesetzeslage weitreichend geklärt, jedoch wurde mit der Datenschutz-Grundverordnung (DS-GVO) erneut Schwung in die Debatte gebracht. Was genau für und was gegen die Bewertung des Betriebsrates als eigenen Verantwortlichen spricht und welche konkreten Auswirkungen dies haben könnte, wird im Folgenden erläutert.
„Verantwortlicher“ – Was ist darunter zu verstehen?
Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.
In der alten Fassung des Bundesdatenschutzgesetzes fand noch eine restriktivere Definition des Begriffes des Verantwortlichen statt. Nach § 2 Abs. 4 und § 3 Abs. BDSG a. F. wurde als „verantwortliche Stelle“ jede natürliche und juristische Person, Gesellschaften und andere Personenvereinbarungen betrachtet, welche personenbezogene Daten für sich selbst erhebte, verarbeitete oder nutzte oder dies durch andere im Auftrag vornehmen ließ.
Betriebsrat als „eigener Verantwortlicher“? – Sicht der alten Rechtslage
Die Debatte bezüglich der Kategorisierung des Betriebsrates als Verantwortlicher bzw. verantwortliche Stelle wurde bereits nach der alten Rechtslage stark diskutiert. Mit dem Urteil des Bundesarbeitsgerichts (BAG) am 07.02.2012 – 1 ABR 46/10 wurde dies jedoch hinreichend geklärt. Demnach besitzt der Betriebsrat keine datenschutzrechtlich eigene Verantwortlichkeit, sondern wird als Teil des Arbeitgebers eingeordnet. Begründet wurde dies damit, dass nach der alten Fassung des Bundesdatenschutzgesetzes nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein konnten.
Datenschutz und der Betriebsrat – Änderung der Position durch die DS-GVO?
Mit der Geltung der DS-GVO und der Ablösung der vormaligen datenschutzrechtlichen Reglementarien könnte sich jedoch die grundlegende Position geändert haben. Die DS-GVO beschränkt sich im Gegensatz zu dem Bundesdatenschutzgesetz in der alten Fassung auf keine bestimmten Stellen. Hinsichtlich der eigenverantwortlichen Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten könnte durchaus argumentiert werden, dass der Betriebsrat eigenverantwortlich handeln kann, da der Arbeitgeber hinsichtlich dieser Thematik die Entscheidung im Regelfall nicht vorwegnehmen kann.
Die Gegenargumentation schlägt in dieselbe Kerbe. So wird eine eigenverantwortliche Verarbeitung personenbezogener Daten gerade nicht angenommen, da diese durch das Betriebsverfassungsgesetz (BetrVG) erheblich eingegrenzt ist. So hat der Betriebsrat nach dem BetrVG unter anderem nur eingeschränkte Auskunfts- und Informationsansprüche, welche nur im Rahmen der Erfüllung betriebsverfassungsrechtlicher Aufgaben bestehen. Von einem ungehinderten Zugriffsrecht kann folglich nicht ausgegangen werden, da die gesetzlichen Regelungen die Handlungsmöglichkeit des Betriebsrates vorschreibt und der Betriebsrat folglich nicht frei über den Zweck der Datenverarbeitung entscheiden kann. Zudem ist der Betriebsrat auch in der Entscheidung über die Mittel der Datenverarbeitung eingeschränkt. Der Betriebsrat hat nach dem BetrVG nur Mittel einzusetzen, die im Rahmen seiner Auftragserfüllung erforderlich sind. Kosten, die darüber hinaus gehen, kann er sich nicht vom Arbeitgeber ersetzen lassen. Demnach kann er nicht uneingeschränkt über die Mittel entscheiden, sondern ist in diesem Zusammenhang vom Arbeitgeber abhängig.
Stellung der Aufsichtsbehörden
Bezogen auf die Thematik, ob eine Bestellung eines Datenschutzbeauftragten durch den Betriebsrat erfolgen muss, ist es unumgänglich zu erfassen, ob der Betriebsrat überhaupt als Verantwortlicher anzusehen ist. Hierzu entstand eine Umfrage, an der sich 8 von 18 Aufsichtsbehörden beteiligten. Die Umfrage ergab eine Mehrheit, die sich für die Qualifikation des Betriebsrats als „Verantwortlichen“ aussprach, jedoch betonten diese, dass die Gegenargumente nicht unbeachtet gelassen werden sollten. Diese Aussage zeigt, dass trotz einer gewissen Tendenz nicht klar geklärt werden kann, wie die Thematik zu bewerten ist.
Sollte jedoch die Meinung dazu überlaufen den Betriebsrat als Verantwortlichen zu bewerten, wäre dies mit einem erhöhten Arbeitsaufwand für den Betriebsrat verbunden. So müsste dieser als Verantwortliche auch die entsprechenden Umsetzungen der DS-GVO gewährleisten. Hierzu würden unter anderem die Informationspflichten nach Art. 13 und 14 DS-GVO zählen sowie die Anfertigung eines Verzeichnisses für Verarbeitungstätigkeiten nach Art. 30 DS-GVO und je nach Anzahl der Mitglieder, die Bestellung eines Datenschutzbeauftragten. Um dies zu erfüllen, müsste der Betriebsrat gegebenenfalls ein DS-GVO-Projekt ansetzen, welches nach § 80 Abs. 1 BetrVG durch den Arbeitgeber finanziert werden müsste, wobei der Arbeitgeber auf bestehende Strukturen verweisen und somit das Hinzuziehen weiterer Sachmittel einschränken könnte.
Wer haftet für Verstöße?
Ein weiterer Problempunkt ist in diesem Zusammenhang die Haftungszuweisung. Tendiert man dazu, den Betriebsrat nicht als eigenen Verantwortlichen zu betrachten, so haftet der Arbeitgeber für Handlungen, die er selbst nicht kontrollieren kann, da eine Kontrolle des Betriebsrates durch den Abreitgeber nicht gestattet ist. Wird der Betriebsrat als eigener Verantwortlicher gesehen, so dürfte dieser auch Adressat eines Bußgeldbescheides sein.
Konsequenz für Unternehmen
Vor dem Hintergrund, dass nicht abschließend erklärt ist, ob nun der Betriebsrat als Verantwortlicher zu bewerten ist oder nicht, obliegt es den Parteien zumindest Regelungen zu vereinbaren, um mögliche Haftungsrisiken zu verringern. Dies kann unter anderem in Form von betrieblichen Regelungen oder datenschutzrechtlichen Schulungen umgesetzt werden.