Der Betriebsrat vertritt die Interessen der Arbeitnehmer gegenüber dem Arbeitgeber. Er kümmert sich also nicht um die Belange einzelner Arbeitnehmer des Betriebs, sondern um die Interessen der gesamten Belegschaft, weshalb auch von kollektivem Arbeitsrecht gesprochen wird.
In dieser Position hat der Betriebsrat naturgemäß Umgang mit einer Vielzahl von personenbezogenen Daten (also alle Informationen, die sich auf natürliche Personen beziehen, vergleiche Art. 4 Ziffer 1. DSGVO).
Wer ist verantwortlich? Die Rolle des Betriebsrats nach der DSGVO
Die datenschutzrechtliche Rolle des Betriebsrats im Unternehmen bestimmt sich nach den Vorschriften des Betriebsverfassungsgesetzes (BetrVG), der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Häufig werden zwischen Arbeitgeber und Betriebsrat konkrete Absprachen über die Datenschutzprozesse im Unternehmen verbindlich durch Betriebsvereinbarungen festgelegt.
Rechtsanwalt Sendler: „Bis zum Beginn dieses Jahrzehnts war es in der Rechtsprechung und der Fachliteratur umstritten, ob der Betriebsrat durch seinen vielschichtigen Umgang mit personenbezogenen Daten im Betrieb als Verantwortlicher im Sinne des Art. 4 Ziffer 7. DSGVO anzusehen ist, also als derjenige, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
§ 79a BetrVG: Wer haftet bei der Datenverarbeitung durch den Betriebsrat?
Erfreulicherweise hat dann im Juni 2021 der Gesetzgeber den neuen § 79 a BetrVG eingeführt, der in Satz 2 klarstellt, wie die Rollen im Betrieb verteilt sind:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Anwalt Sendler: „Damit ist gleichzeitig klargestellt, wie weit die Verantwortlichkeit des Arbeitgebers für die Datenverarbeitung durch den Betriebsrat reicht: Der Arbeitgeber haftet nur, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben Daten verarbeitet. Eine außerhalb dieser Maßgaben liegende, zweckwidrige oder eigenmächtige Datenverarbeitung durch Betriebsratsmitglieder befreit diese nicht von ihrer eigenen datenschutzrechtlichen Verantwortung und insbesondere auch ihrer Haftung.“
Überwachung am Arbeitsplatz: Mitbestimmung bei IT-Systemen und Videoüberwachung
Die Aufgaben des Betriebsrats ergeben sich aus § 80 BetrVG. Datenschutzrechtlich leiten sich hieraus folgende Tätigkeitsschwerpunkte ab:
- Der Betriebsrat schützt personenbezogene Daten der Beschäftigten, etwa in den Bereichen Personalverwaltung, Leistungs- und Verhaltensdaten sowie Gesundheitsdaten.
- Er hat ein Mitwirkungs- und Informationsrecht im Zusammenhang mit der Einführung einschneidender datenschutzrelevanter Maßnahmen, was vornehmlich bei Einführung neuer IT-Systeme, dem Monitoring oder der Videoüberwachung relevant wird.
Rechtsanwalt Sendler: „Insbesondere im Zusammenhang mit der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG), entwickeln sich spannende Fragen des Beteiligungsrechts der Arbeitnehmervertretung in Verbindung mit datenschutzrechtlichen Aufgaben. Denn die Rechtsprechung des Bundesarbeitsgerichts legt die Vorschrift dahin aus, dass die angesprochenen technischen Einrichtungen nicht unbedingt dazu eingesetzt sein müssen, zu überwachen, sondern es reicht bereits deren Geeignetheit zur Überwachung aus, um das Mitbestimmungsrecht auszulösen.“
Datensicherheit und BYOD: Warum Betriebsvereinbarungen unverzichtbar sind
Der Betriebsrat hat des Weiteren ein datenschutzrelevantes Mitbestimmungsrecht im Bereich des Einsatzes von eigenen Mobilgeräten durch Arbeitnehmer (BYOD = bring your own device), der Datensicherheit durch Verschlüsselung und Datenspeicherorte, der Einschaltung externer Dienstleister im Zusammenhang mit Auftragsverarbeitungen.
Rechtsanwalt Sendler: „In diesem Zusammenhang helfen Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat über die Vorgehensweise bei der Herstellung und Aufrechterhaltung von Datensicherheit. Für eine konstruktive Zusammenarbeit zwischen Arbeitgeber und Betriebsrat im Zusammenhang mit den datenschutzrechtlichen Aufgabenstellungen ist eine frühzeitige Einbindung des Betriebsrats bereits in der Planungsphase von IT-Projekten anzuraten.“
Der Betriebsrat hat innerhalb seines Zuständigkeitsbereiches die Datensicherheit eigenverantwortlich durch technische und organisatorische Maßnahmen sicherzustellen (§ 79 a Satz 1 BetrVG). Das bedingt aber auch, dass der Betriebsrat dem Arbeitgeber alle Informationen zu übermitteln hat, die dieser für die Erfüllung der ihm als verantwortlicher Stelle obliegenden Pflichten benötigt.
Anwalt Sendler: „Dies betrifft beispielsweise Angaben über die im Verzeichnis nach Art. 30 DSGVO aufzuführenden Verarbeitungstätigkeiten durch den Betriebsrat, Auskünfte zum Zweck der Erfüllung der Informationspflichten des Arbeitgebers oder der Betroffenenrechte auf Auskunft gemäß Art. 15 DSGVO.“
Verschwiegenheitspflicht: Die Zusammenarbeit mit dem Datenschutzbeauftragten
Seit der Neuregelung in § 79 a BetrVG, der nun in Satz 4 regelt, dass der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet ist über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, ist auch die bis dahin umstrittene Frage geklärt, ob der Betriebsrat die Beratung durch den betrieblichen Datenschutzbeauftragten in Anspruch nehmen kann.
Rechtsanwalt Sendler: „Diese Verschwiegenheitspflicht des betrieblichen Datenschutzbeauftragten bezieht sich auch auf personenbezogene Daten, die aus der Sphäre des Betriebsrats stammen und sich auf die Identität der von der Verarbeitung durch den Betriebsrat betroffenen Personen bezieht. Mit anderen Worten: Durch die Verschwiegenheitspflicht des Datenschutzbeauftragten sind auch die Arbeitnehmerinnen und Arbeitnehmer geschützt, die sich mit irgendwelchen Anliegen an den Betriebsrat gewandt haben.“
Datenschutzpflichten im Betrieb: Kooperation statt Konflikt bei der Mitbestimmung
Durch die gesetzliche Klarstellung des Betriebsrätemodernisierungsgesetzes im Jahre 2021 in § 79 a BetrVG ist im Ergebnis der Schutz personenbezogener Daten der Arbeitnehmerinnen und Arbeitnehmer im Betrieb gestärkt worden.
Anwalt Sendler: „Arbeitgeber und Betriebsrat sollten im Interesse der Belegschaft den gesetzgeberischen Willen durch eine intensive Kooperation in datenschutzrechtlichen Angelegenheiten verwirklichen.“
Die Umsetzung von Datenschutzvorgaben im Betriebsratsumfeld ist kein Hindernis, sondern eine Chance für rechtssichere Prozesse. Als Fachanwalt für Arbeitsrecht und zertifizierter Datenschutzauditor sowie externer Datenschutzbeauftragter kenne ich beide Seiten des Verhandlungstisches genau.
Mit meiner langjährigen Erfahrung unterstütze ich Sie dabei, komplexe IT-Projekte und Überwachungsfragen rechtssicher zu lösen und belastbare Betriebsvereinbarungen zu entwerfen. Ich berate genau dort, wo hochspezialisiertes Fachwissen im Betriebsverfassungsrecht auf die technischen Realitäten moderner IT-Systeme trifft.
Wenn Sie Fragen zur datenschutzrechtlichen Umsetzung in Ihrem Betrieb haben oder die Einführung eines neuen IT-Systems bevorsteht, stehe ich Ihnen gerne mit meiner Expertise für eine rechtssichere Gestaltung zur Verfügung.
FAQ: Häufige Fragen zum Betriebsrat und Datenschutz
Der Betriebsrat besitzt umfassende Informations- und Unterrichtungsrechte, um die Einhaltung des Datenschutzes im Betrieb prüfen zu können. Er kann verlangen, dass ihm alle zur Erfüllung seiner Aufgaben erforderlichen Unterlagen und Auskünfte vom Arbeitgeber zur Verfügung gestellt werden.
Der Betriebsrat bestimmt immer dann aktiv mit, wenn technische Systeme eingeführt werden, die zur Überwachung von Leistung oder Verhalten geeignet sind. Über das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG kann er verbindliche Regelungen zum Schutz der Mitarbeiterdaten in einer Betriebsvereinbarung erzwingen.
Eine Mitbestimmung ist immer dann zwingend, wenn Software theoretisch zur Überwachung von Leistung oder Verhalten geeignet ist. Da es nicht auf eine tatsächliche Überwachungsabsicht ankommt, muss der Arbeitgeber den Betriebsrat bereits in der Planungsphase einbinden, um die Einführung von Software rechtssicher zu gestalten.
Nach § 79a BetrVG gilt der Arbeitgeber als der für den Datenschutz Verantwortliche, sofern der Betriebsrat Aufgaben in seiner gesetzlichen Zuständigkeit erfüllt. Er haftet somit im Außenverhältnis für datenschutzrechtliche Verstöße, die aus pflichtwidriger Betriebsratsarbeit resultieren.
Innerhalb seines Zuständigkeitsbereichs muss der Betriebsrat die Datensicherheit durch technische und organisatorische Maßnahmen eigenverantwortlich gewährleisten. Zudem muss er dem Arbeitgeber notwendige Angaben für das Verzeichnis von Verarbeitungstätigkeiten (VVT) und zur Erfüllung von Betroffenenrechten liefern.
Eine persönliche Haftung von Betriebsratsmitgliedern ist möglich, wenn Daten eigenmächtig, zweckwidrig oder außerhalb der gesetzlichen Zuständigkeit verarbeitet werden. In diesen Fällen entfällt die befreiende Verantwortlichkeit des Arbeitgebers, und die Mitglieder haften selbst für die Rechtsverstöße.
Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO im gesamten Betrieb, einschließlich der Prozesse des Betriebsrats. Gemäß § 79a BetrVG unterliegt er dabei jedoch einer strikten Verschwiegenheitspflicht bezüglich der internen Meinungsbildung des Gremiums.
Der Betriebsrat hat das Recht, sich vom betrieblichen Datenschutzbeauftragten beraten zu lassen. Um die Unabhängigkeit des Gremiums zu wahren, ist der Datenschutzbeauftragte gesetzlich dazu verpflichtet, über den internen Meinungsbildungsprozess des Betriebsrats gegenüber dem Arbeitgeber Stillschweigen zu bewahren.
