Das Bundesarbeitsgericht (BAG) hat ein Verfahren über den Interessenkonflikt zwischen dem Amt des betrieblichen Datenschutzbeauftragten und dem Amt des Betriebsratsvorsitzenden dazu genutzt, sich über die seit Jahren umstrittene Stellung des Betriebsrats für seine Datenverarbeitungen zu äußern – und damit den § 79a BetrVG ad absurdum geführt.

Seit den Umsetzungsprojekten zur Datenschutzgrundverordnung wird kontrovers – und nicht immer frei von ideologischen Zielen – diskutiert, ob der Betriebsrat für die von ihm in Ausübung seines Amtes durchgeführten Datenverarbeitungen Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Rechtsanwalt Tim F. Schulz hat bereits im Jahr 2019 argumentiert, dass die besseren Gründe für eine Stellung des Betriebsrats als Verantwortlicher sprechen und eine europarechtskonforme Auslegung es geradezu zwingend macht, den Betriebsrat als Verantwortlichen anzusehen. Zu diesem Ergebnis muss man insbesondere kommen, weil das Gremium selbst die Zwecke und Mittel seiner Datenverarbeitung festlegt und im Rahmen der gesetzlich vorgegebenen Aufgaben festlegen muss (vgl. ausführlich Schulz, ZESAR 2019, 323 ff.). Diese Diskussion wirft diverse Folgefragen bis hin zur Frage der Haftung des Gremiums für eine nicht ausreichende Umsetzung auf.

Wohl auch um diese Diskussion über eine mögliche Haftung von Betriebsräten zu beenden, hat der Bundesgesetzgeber mit § 79a BetrVG festgelegt, dass der Arbeitgeber Verantwortlicher ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Gleichzeitig müsse der Betriebsrat die Pflichten der DSGVO in seinem Zuständigkeitsbereich umsetzen (§ 79a S. 1 BetrVG). Diese Norm ist in der Praxis kaum belastbar und begegnet gleich zweierlei Bedenken hinsichtlich ihrer Europarechtskonformität: Sowohl wegen der Bestimmung des Verantwortlichen durch nationales Recht als auch wegen des Auseinanderfallens der Verantwortlichkeit und der damit einhergehenden Pflichten, steht die Norm im Widerspruch zu den europarechtlichen Vorgaben.

Das BAG hat nun die Chance genutzt und sich zu dieser Diskussion positioniert: Nach Auffassung des BAG ist es der Betriebsrat, der die Zwecke und Mittel der Datenverarbeitung, welche er zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben benötigt, festlegt. Das Gericht positioniert sich klar in dieser Frage, obwohl die von ihm in dem Verfahren zu entscheidende Frage wohl auch über einen anderen Punkt hätte gelöst werden können. Das BAG hat damit auch klargestellt, dass die beiden nach der DSGVO relevanten Kriterien zur Bestimmung der Verantwortlichkeit vom Betriebsrat erfüllt werden.

Die Situation ist folglich für die Praxis durchaus komplex: Formell ist § 79a BetrVG in Kraft und weist die Stellung des datenschutzrechtlich Verantwortlichen dem Arbeitgeber zu, die damit zusammenhängenden Aufgaben aber dem Betriebsrat. Bereits unter (und vor) Geltung des § 79a BetrVG war es wichtig, dass der Betriebsrat sein eigenes Datenschutzkonzept erstellt, umsetzt und nachweisen kann. Nach der neuen Entscheidung des BAG ist kaum mehr davon auszugehen, dass § 79a BetrVG noch lange Bestand haben wird – ein eigenes Datenschutzkonzept des Betriebsrats ist damit umso wichtiger.

Wir bieten verschiedene Seminare (inhouse und offene Gruppen) zur datenschutzrechtlichen Stellung des Betriebsrats, den damit zusammenhängenden Pflichten und Rechten und zu der Erstellung eines Datenschutzkonzepts für Betriebsratsgremien an und beraten darüber hinaus zu diesem Thema.

Sprechen Sie uns gerne an.

Ihr Ansprechpartner: Rechtsanwalt Tim F. Schulz

Weiterführend:

Bundesarbeitsgericht Urt. v. 06.06.2023, 9 AZR 383/19

Schulz, ZESAR (Zeitschrift für Europäisches Arbeitsrecht) 2019, 323 ff.