Betriebsrätemodernisierungsgesetz stellt klar: Arbeitgeber verantwortlich für die Datenverarbeitung durch den Betriebsrat – was gilt es nun zu beachten?

Der mit dem Betriebsrätemodernisierungsgesetz eingefügte, seit dem 18. Juni 2021 geltende § 79a BetrVG legt fest, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist. Die seit dem Inkrafttreten der DSGVO herrschende Diskussion über die Frage, ob der Betriebsrat wegen seiner Weisungsfreiheit als eigenständiger Verantwortlicher gilt (wie z. B. vom LfDI Baden-Württemberg vertreten) oder wegen der engen Zusammenarbeit als Teil des Arbeitgebers zu sehen ist, ist damit beendet. Bei genauerer Betrachtung bleiben trotz der gesetzlichen Klarstellung jedoch noch viele Fragen offen.

A. Neue Regelung des BetrVG

In § 79a Satz 2 BetrVG wird ausdrücklich klargestellt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist, soweit diese zur Erfüllung der in der Zuständigkeit des Betriebsrats liegenden Aufgaben erfolgt. Diese Zuordnung der Verantwortlichkeit begründet das BMAS damit, dass der Betriebsrat nach außen keine rechtlich verselbstständigte Institution sei.

Die übrigen Bestimmungen des § 79a BetrVG machen jedoch deutlich, dass der Betriebsrat dennoch nicht wie ein gewöhnlicher Teil eines Verantwortlichen behandelt werden soll. So wird in Satz 1 festgelegt, dass der Betriebsrat selbst die Datenschutzbestimmungen einzuhalten hat. Eine solche separate Pflicht für Teile des Verantwortlichen passen nicht zum datenschutzrechtlichen System der DSGVO. Denn danach ist allein der Verantwortliche verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten und betriebsintern durchzusetzen.

In Satz 3 ist zudem ein Kooperationsgebot zwischen dem Betriebsrat und dem Arbeitgeber festgelegt, das die beiden Parteien zur gegenseitigen Unterstützung verpflichtet. Als Beispiel für diese Kooperation führt das BMAS in der Gesetzesbegründung an, dass der Arbeitgeber das Verarbeitungsverzeichnis zu führen habe, aber der Betriebsrat eigenverantwortlich für die Umsetzung der technischen und organisatorischen Maßnahmen zuständig sei. Eine solche Verteilung von Verantwortlichkeiten erinnert eher an eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

B. Bewertung

Dass die Neuregelung den Arbeitgeber zum Alleinverantwortlichen für die Datenverarbeitung im Betriebsratsbüro erklärt, ist europarechtlich bedenklich. Zwar dürfen die Mitgliedstaaten selbst bestimmen, wer für den Datenschutz verantwortlich ist. Art. 4 Nr. 7 Hs. 2 DSGVO erlaubt das aber nur, wenn zugleich die Zwecke und Mittel der Datenverarbeitung vorgegeben werden. Das ist bei der Verarbeitung von Beschäftigtendaten durch den Betriebsrat nicht der Fall. Vielmehr entscheidet der Betriebsrat allein über das Wozu und die Art und Weise der Verarbeitung von Beschäftigtendaten. Folge der Europarechtswidrigkeit wäre, dass § 79a BetrVG wegen der unmittelbaren Geltung der DSGVO nicht angewendet werden darf. Das werden letztendlich die Gerichte zu entscheiden haben.

Durch die Verpflichtung des Betriebsrats, sich an die Datenschutzbestimmungen zu halten sowie das Kooperationsgebot wird eine Sonderrolle für den Betriebsrat geschaffen. Dies scheint einerseits notwendig, da der Betriebsrat aufgrund seiner innerorganisatorischen Selbständigkeit und Weisungsfreiheit auch nicht wie ein gewöhnlicher Teil eines Arbeitgebers behandelt werden kann. Allein schon deshalb nicht, weil der Arbeitgeber nur einen sehr beschränkten Einfluss auf die Umsetzung der datenschutzrechtlichen Maßnahmen beim Betriebsrat hat. Andererseits wird dadurch ein Konstrukt erschaffen, das so nicht vereinbar ist mit den datenschutzrechtlichen Prinzipien und somit zwangsweise zu Problemen und Fragen führen wird. So ist nicht festgelegt, wie die Kooperation konkret zu erfolgen hat. Auch ist nicht geregelt, was passiert, wenn sich der Betriebsrat weigert, zu kooperieren und der Arbeitgeber dadurch seinen Pflichten als Verantwortlicher nicht erfüllen kann (insbesondere Betroffenenrechte oder Umsetzung angemessener Sicherheitsstandards). Der Gesetzgeber weist die Haftung für Datenschutzverstöße im Tätigkeitsbereich des Betriebsrates dem Arbeitgeber in seiner Rolle als Alleinverantwortlicher für die Datenverarbeitung zu, ohne dass der Arbeitgeber dessen Verstöße unterbinden kann. Damit drohen empfindliche Schutzlücken.

C. Handlungsempfehlung

Um möglichst viele der vorstehend beschriebenen Unsicherheiten zu beseitigen und Haftungsrisiken für den Arbeitgeber zu verringern, sollten Arbeitgeber und Betriebsrat nun schnellstmöglich eine Betriebsvereinbarung über ihre datenschutzrechtliche Zusammenarbeit abschließen. In der Betriebsvereinbarung sollten insbesondere folgende Themenbereiche geregelt werden:

• Unterstützung des Arbeitgebers durch den Betriebsrat bei Erfüllung der Betroffenenrechte
• Bereitstellung der für das Verarbeitungsverzeichnis und die Datenschutzhinweise erforderlichen Informationen durch den Betriebsrat
• Melde- und Benachrichtigungspflichten seitens des Betriebsrats im Fall eines Datenschutzverstoßes
• Bestimmungen über die technischen Methoden der Verarbeitung sowie alle darauf bezogenen technischen und organisatorischen Maßnahmen zur Datensicherheit
• Regelungen zur Beratung und Kontrolle des Betriebsrates durch den betrieblichen Datenschutzbeauftragten