Entscheidungsstichwort (Thema)
Kontrolle des Betriebsrats durch den Datenschutzbeauftragten
Leitsatz (amtlich)
1. Das Bundesdatenschutzgesetz gilt auch für die Datenverar beitung durch Betriebsräte.
2. Hingegen besteht insoweit nicht die Kontrollbefugnis des betrieblichen Datenschutzbeauftragten nach den §§ 36 und 37 BDSG.
Normenkette
BDSG §§ 37, 1, 3, 36; BetrVG § 1; ArbGG 1979 §§ 65, 61, 83
Verfahrensgang
Tenor
1. Auf die Rechtsbeschwerde des Gesamtbetriebsrats wird der Beschluß des Landesarbeitsgerichts Berlin vom 19. Dezember 1996 - 16 TaBV 1/96 - aufgehoben.
2. Die Beschwerde der Arbeitgeberin gegen den Beschluß des Arbeitsgerichts Berlin vom 5. Dezember 1995 - 61 BV 11920/95 - wird mit der Maßgabe zurückgewiesen, daß die in der Beschwerdeinstanz gestellten Anträge unbegründet sind.
Gründe
A. Die Beteiligten streiten darüber, ob die Arbeitgeberin verlangen kann, daß sich der Gesamtbetriebsrat vom betrieblichen Datenschutzbeauftragten kontrollieren läßt.
Die Arbeitgeberin beschäftigt in mehreren Betrieben etwa 3600 Arbeitnehmer. Die Hauptverwaltung befindet sich in Berlin. Dem Gesamtbetriebsrat steht ein Notebook zur Verfügung. Außerdem nutzt er den PC einer Mitarbeiterin, die Schreibarbeiten für ihn erledigt. Er verwendet auch personenbezogene Daten. Im Jahr 1993 bestellte die Arbeitgeberin einen im Betrieb Berlin beschäftigten Angestellten zum Datenschutzbeauftragten des Unternehmens. Der örtliche Betriebsrat stimmte zu. Als der Datenschutzbeauftragte die von den einzelnen Betriebsräten genutzten PC's überprüfen wollte, kam es zu Meinungsverschiedenheiten darüber, ob er hierzu befugt ist.
Die Arbeitgeberin hat die Auffassung vertreten, der Gesamtbetriebsrat unterliege der Kontrolle des betrieblichen Datenschutzbeauftragten. Er sei Teil des Unternehmens und damit der "speichernden Stelle" im Sinne des Bundesdatenschutzgesetzes, auf die sich die Kontrollpflicht des Datenschutzbeauftragten nach § 37 BDSG erstrecke. Aus der nach dem Betriebsverfassungsgesetz bestehenden Unabhängigkeit der Betriebsräte gegenüber dem Arbeitgeber folge nichts anderes. Zum einen seien personenbezogene Daten beim Gesamtbetriebsrat nicht weniger schutzbedürftig als im Bereich der Arbeitgeberin; der Gesamtbetriebsrat sei vom Bundesdatenschutzgesetz nicht ausgenommen. Zum anderen werde die Unabhängigkeit des Gesamtbetriebsrats von der Arbeitgeberin durch Kontrollmaßnahmen des Datenschutzbeauftragten nicht berührt, denn dieser handele eigenverantwortlich und sei gegenüber der Arbeitgeberin weisungsfrei und zur Verschwiegenheit verpflichtet. Auch enthalte die nach § 37 Abs. 2 BDSG dem Datenschutzbeauftragten zur Verfügung zu stellende Übersicht keine Angaben, an deren Geheimhaltung der Gesamtbetriebsrat ein berechtigtes Interesse haben könne.
Zur Begründung ihrer Antragsbefugnis hat sich die Arbeitgeberin darauf berufen, daß sie selbst sowohl der Aufsichtsbehörde als auch - aufgrund ihrer Fürsorgepflicht - ihren Arbeitnehmern gegenüber verpflichtet sei, für die Einhaltung des Bundesdatenschutzgesetzes im Unternehmen zu sorgen. Die Pflicht des Gesamtbetriebsrats, dieses Gesetz zu beachten und sich vom Datenschutzbeauftragten kontrollieren zu lassen, bestehe auch ihr, der Arbeitgeberin gegenüber. Das ergebe sich aus dem Grundsatz des vertrauensvollen Zusammenwirkens (§ 2 Abs. 1 BetrVG) und der Bindung des Gesamtbetriebsrats an die zu Gunsten der Arbeitnehmer geltenden Gesetze (§§ 75, 80 Abs. 1 Nr. 1 BetrVG).
Die Arbeitgeberin hat zuletzt beantragt,
I. festzustellen, daß der Gesamtbetriebsrat verpflichtet ist, den für die Arbeitgeberin bestellten Datenschutzbeauftragten nach § 36 Abs. 5, § 37 BDSG bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere eine Übersicht zur Verfügung zu stellen über
1. eingesetzte Datenverarbeitungsanlagen,
2. Bezeichnung und Art der Dateien,
3. Art der gespeicherten Daten,
4. Geschäftszwecke, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist,
5. deren regelmäßige Empfänger,
6. zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind,
hilfsweise
II. den Gesamtbetriebsrat zu verpflichten, ihrem betrieblichen Datenschutzbeauftragten 45 im Antrag formulierte Fragen zu beantworten, die allesamt das bei der Datenverarbeitung durch den Gesamtbetriebsrat beachtete Verfahren zum Gegenstand haben.
Der Gesamtbetriebsrat hat beantragt,
die Anträge abzuweisen.
Nach seiner Meinung sind die Anträge bereits unzulässig. So bestünden Zweifel, ob überhaupt der Rechtsweg zu den Gerichten für Arbeitssachen eröffnet sei, denn es liege keine betriebsverfassungsrechtliche Streitigkeit vor, sondern eine solche aus dem Bundesdatenschutzgesetz. Jedenfalls sei die Arbeitgeberin nicht antragsbefugt, denn sie mache keine eigenen Rechte geltend, sondern solche des Datenschutzbeauftragten. Überdies sei der Hauptantrag nicht hinreichend bestimmt, da er sich in der Wiederholung des Gesetzwortlauts erschöpfe. Schließlich fehle das Feststellungsinteresse, da ein entsprechender Leistungsantrag möglich sei.
Selbst wenn die Anträge zulässig sein sollten, so könnten sie doch keinen Erfolg haben. Zwar sei er, der Gesamtbetriebsrat, Teil der "speichernden Stelle" im Sinne des Bundesdatenschutzgesetzes. Dennoch unterliege er nicht der Kontrolle durch den betrieblichen Datenschutzbeauftragten. Das ergebe sich aus seiner betriebsverfassungsrechtlich gewährleisteten Unabhängigkeit vom Arbeitgeber. Der Datenschutzbeauftragte habe nämlich keine wirklich neutrale Stellung, sondern sei der Arbeitgeberseite zuzuordnen. Eine Kontrolle der Betriebsräte durch den betrieblichen Datenschutzbeauftragten bringe die Gefahr mit sich, daß der Arbeitgeber ihnen auf diese Weise "in die Karten schaue". Im übrigen sei zweifelhaft, ob der Datenschutzbeauftragte im vorliegenden Fall überhaupt für ihn, den Gesamtbetriebsrat, zuständig sein könne, denn bei der Bestellung sei nur der örtliche Betriebsrat in Berlin beteiligt worden.
Das Arbeitsgericht hat die erstinstanzlich gestellten Anträge, den Gesamtbetriebsrat zur Duldung der Kontrolle durch den Datenschutzbeauftragten, hilfsweise zur Vorlage einer Übersicht nach § 37 Abs. 2 BDSG zu verpflichten, als unzulässig abgewiesen. Auf die Beschwerde der Arbeitgeberin hat das Landesarbeitsgericht dem zweitinstanzlich gestellten Hauptantrag im wesentlichen entsprochen. Mit der vom Landesarbeitsgericht zugelassenen Rechtsbeschwerde begehrt der Gesamtbetriebsrat die Wiederherstellung des erstinstanzlichen Beschlusses. Die Arbeitgeberin bittet, die Rechtsbeschwerde zurückzuweisen.
B. Die Rechtsbeschwerde ist begründet. Die Anträge der Arbeitgeberin sind unbegründet.
I. Soweit der Gesamtbetriebsrat die Rechtsbeschwerde allerdings darauf stützt, vorliegend sei der Rechtsweg zu den Gerichten für Arbeitssachen nicht eröffnet, ist seine Rüge erfolglos. Nach § 93 Abs. 2 i.V.m. § 65 ArbGG ist dem Senat die Prüfung verwehrt, ob der beschrittene Rechtsweg und die Verfahrensart zulässig sind.
Dem steht nicht entgegen, daß die Vorinstanzen den Rechtsweg zu den Gerichten für Arbeitssachen hier nicht vorab in gesonderten Beschlüssen nach § 17 a GVG, sondern jeweils in den Gründen der Hauptsacheentscheidung bejaht haben. Allerdings ist in einem solchen Fall das Rechtsmittelgericht entgegen § 65 ArbGG ausnahmsweise dann zur Prüfung des Rechtsweges verpflichtet, wenn in der Vorinstanz die Voraussetzungen vorgelegen haben, unter denen die Rechtswegentscheidung in einem gesonderten Beschluß hätte ergehen müssen (BAG Urteil vom 26. März 1992 - 2 AZR 443/91 - AP Nr. 7 zu § 48 ArbGG 1979, zu II 3 b der Gründe; Germelmann/ Matthes/Prütting, ArbGG, 2. Aufl., § 65 Rz 14). Dies ist nach § 17 a Abs. 3 GVG dann der Fall, wenn ein Beteiligter die Zulässigkeit des Rechtsweges rügt. Das ist hier jedoch nicht geschehen. Zwar hat der Gesamtbetriebsrat erstinstanzlich zunächst geltend gemacht, die Zuständigkeit der Arbeitsgerichte sei "in Zweifel zu ziehen". Er hat dann aber - in Übereinstimmung mit der Arbeitgeberin - ausdrücklich die Auffassung vertreten, die vom Arbeitsgericht ursprünglich beabsichtigte Abgabe an das Verwaltungsgericht komme nicht in Frage; er hat auch nicht vorgetragen, ein anderer Rechtsweg sei zulässig. Selbst wenn man in den ursprünglich geäußerten Zweifeln eine nach § 17 a Abs. 3 GVG erhebliche Rüge des Rechtswegs sehen wollte, so wäre diese jedenfalls vor der erstinstanzlichen Entscheidung zurückgenommen worden, so daß das Arbeitsgericht dann nicht mehr zur Vorabentscheidung verpflichtet war. Nachdem das Arbeitsgericht den Arbeitsrechtsweg somit zulässigerweise im Rahmen der Hauptsacheentscheidung bejaht hatte, war eine dahingehende Prüfung den Rechtsmittelgerichten durch § 65 ArbGG verwehrt (BAG Urteil vom 26. März 1992 - 2 AZR 443/91 - AP Nr. 7 zu § 48 ArbGG 1979, zu II 3 b aa der Gründe; Grunsky, ArbGG, 7. Aufl., § 65 Rz 2).
II. Der - anfangs vom Arbeitsgericht beteiligte - betriebliche Datenschutzbeauftragte war nicht am Verfahren zu beteiligen. Die Beteiligtenstellung ist in jeder Lage des Verfahrens von Amts wegen zu beachten (zuletzt Senatsbeschluß vom 25. September 1996 - 1 ABR 25/96 - AP Nr. 4 zu § 97 ArbGG 1979, zu B I der Gründe). Der Datenschutzbeauftragte gehört aber nicht zum Kreis der nach § 83 Abs. 3 ArbGG Beteiligten. Nach ständiger Rechtsprechung des Bundesarbeitsgerichts (vgl. Senatsbeschluß, aaO) ist die Stelle, die durch die begehrte Entscheidung in ihrer betriebsverfassungsrechtlichen Stellung unmittelbar betroffen wird, an einem Beschlußverfahren in Angelegenheiten des Betriebsverfassungsgesetzes beteiligt. Diese materielle Betroffenheit fehlt beim betrieblichen Datenschutzbeauftragten. Seine Rechte und Pflichten ergeben sich nicht aus dem Betriebsverfassungsrecht, sondern aus dem Datenschutzrecht.
III. Zu Unrecht hat das Landesarbeitsgericht dem Hauptantrag im wesentlichen stattgegeben.
1. Zutreffend ist es davon ausgegangen, daß der Antrag entgegen der Auffassung des Gesamtbetriebsrats zulässig ist.
a) Allerdings ist er mißverständlich formuliert und bedarf insoweit der Auslegung. Nach dem Wortlaut des Eingangshalbsatzes soll der Gesamtbetriebsrat den Datenschutzbeauftragten nach § 36 Abs. 5 und § 37 BDSG "unterstützen". Die Unterstützungspflicht nach § 36 Abs. 5 BDSG bezieht sich indessen im wesentlichen auf das zur Verfügungstellen der erforderlichen personellen und sächlichen Mittel. Das kann nicht Aufgabe des Gesamtbetriebsrats sein, der insoweit selbst auf die Unterstützung durch die Arbeitgeberin angewiesen ist (§ 51 Abs. 1 Satz 1, § 40 BetrVG). Hierüber streiten die Beteiligten auch nicht. Aus dem gesamten Vorbringen ergibt sich vielmehr, daß mit der geforderten "Unterstützung" ausschließlich die Bereitschaft des Gesamtbetriebsrats gemeint ist, sich vom Datenschutzbeauftragten kontrollieren zu lassen und die hierzu erforderlichen Mitwirkungshandlungen vorzunehmen, wie beispielsweise die Aufstellung einer Übersicht, die im Antrag nach einem einleitenden "Insbesondere" angeführt wird.
b) Der Zulässigkeit des Antrags steht nicht etwa entgegen, daß der Arbeitgeberin die Antragsbefugnis fehlte.
Der Gesamtbetriebsrat rügt insoweit, daß der Antrag darauf gerichtet ist, die Kontrollbefugnis des Datenschutzbeauftragten festzustellen. Allerdings ist nach der Rechtsprechung des Bundesarbeitsgerichts im Beschlußverfahren nur antragsbefugt, wer ein eigenes Recht geltend macht. Antragsbefugt ist darüber hinaus aber auch derjenige, welcher die Feststellung eines Rechtsverhältnisses verlangt, an dem er selbst beteiligt ist. Soweit nach § 256 ZPO sogar die Feststellung eines Rechtsverhältnisses zwischen Dritten beantragt werden kann, weil dieses für die Rechtsbeziehungen des Antragstellers zu einem dieser Dritten von Bedeutung ist, gilt dies auch für das Beschlußverfahren. Ob der Antragsteller die verlangte Leistung tatsächlich beanspruchen kann bzw. ob das geltend gemachte Rechtsverhältnis tatsächlich besteht, ist eine Frage der Begründetheit des Antrags (BAG Beschluß vom 23. Februar 1988 - 1 ABR 75/86 - AP Nr. 9 zu § 81 ArbGG 1979, zu C I 1 der Gründe).
Nach diesen Grundsätzen ist die Arbeitgeberin hier antragsbefugt. Sie macht eigene Rechte geltend. Sie beruft sich darauf, der Gesamtbetriebsrat sei aus dem zu ihr bestehenden betriebsverfassungsrechtlichen Rechtsverhältnis verpflichtet, sich vom Datenschutzbeauftragten kontrollieren zu lassen, um es ihr so zu ermöglichen, ihren Pflichten aus dem Bundesdatenschutzgesetz nachzukommen. Sie sei nämlich sowohl den Arbeitnehmern wie auch der Aufsichtsbehörde gegenüber für die Einhaltung des Bundesdatenschutzgesetzes im Unternehmen verantwortlich und habe im Rahmen dieser Verantwortung dafür zu sorgen, daß der ihr unterstellte Datenschutzbeauftragte seine Kontrollrechte ausüben könne.
c) Auch die anderen gegen die Zulässigkeit des Antrags gerichteten Bedenken greifen nicht durch.
Erfolglos rügt der Gesamtbetriebsrat, der Antrag erfülle nicht die Bestimmtheitserfordernisse des § 253 ZPO. Allerdings sind im Antrag die Verpflichtungen des Gesamtbetriebsrats gegenüber dem Datenschutzbeauftragten, welche die Arbeitgeberin festgestellt haben will, nur durch Wiedergabe von Teilen des § 36 Abs. 5 und des § 37 Abs. 2 BDSG bezeichnet. Die begehrte Entscheidung des Gerichts kann daher keine Klarheit darüber schaffen, welche Pflichten des Gesamtbetriebsrats sich im einzelnen bei einer Kontrolle durch den Datenschutzbeauftragten ergeben würden. Nach der Rechtsprechung des Senats ist ein Antrag, der lediglich den Gesetzeswortlaut wiederholt, dann unzulässig, wenn der Inhalt der Norm streitig ist (Beschluß vom 17. März 1987 - 1 ABR 65/85 - AP Nr. 7 zu § 23 BetrVG 1972, zu B III 1 der Gründe). Darum geht es aber hier nicht. Arbeitgeberin und Gesamtbetriebsrat streiten nicht darüber, zu welchen Kontrollmaßnahmen der Datenschutzbeauftragte gegenüber dem Gesamtbetriebsrat befugt ist, und welche Unterstützungshandlungen er im einzelnen verlangen kann, sondern allein darüber, ob der Gesamtbetriebsrat überhaupt der Kontrolle durch den betrieblichen Datenschutzbeauftragten nach § 36 Abs. 5, § 37 BDSG unterworfen ist.
Schließlich ist auch die mit der Rechtsbeschwerde erhobene Rüge unbegründet, für den Antrag fehle wegen der Vorgreiflichkeit einer möglichen Leistungsklage das nach § 256 Abs. 1 ZPO erforderliche besondere Feststellungsinteresse. Die Arbeitgeberin macht mit der behaupteten Kontrollbefugnis des Datenschutzbeauftragten ein Rechtsverhältnis zum Gesamtbetriebsrat geltend, über das Streit besteht. Das wird auch vom Gesamtbetriebsrat nicht in Abrede gestellt. Sie muß sich insoweit nicht auf einen Leistungsantrag verweisen lassen, denn nur ein Feststellungsbeschluß kann eine umfassende Klärung des Rechtsverhältnisses herbeiführen, aus dessen Bejahung sich dann eine Vielzahl einzelner Kontrollrechte des Datenschutzbeauftragten sowie Duldungs- und Unterstützungspflichten des Gesamtbetriebsrat ergeben können. Zutreffend hat das Landesarbeitsgericht in diesem Zusammenhang darauf hingewiesen, daß nach ständiger Rechtsprechung des Bundesarbeitsgerichts (z.B. Urteil vom 20. Juli 1994 - 5 AZR 169/93 - AP Nr. 26 zu § 256 ZPO, zu III 2 der Gründe) aus Gründen der Prozeßwirtschaftlichkeit das Interesse an einer auf das Grundverhältnis zwischen den Beteiligten beschränkten Feststellung zu bejahen ist, auch wenn die Möglichkeit besteht, daß aus diesem Grundverhältnis dann weitere Streitfragen erwachsen. Es wäre nicht sinnvoll, bereits das Verfahren, welches das Grundverhältnis klären soll, mit dem Streit um einzelne Rechte und Pflichten zu belasten.
Zutreffend hat das Landesarbeitsgericht auch erkannt, daß der Einwand des Gesamtbetriebsrats unerheblich ist, der Datenschutzbeauftragte sei möglicherweise nicht wirksam bestellt, weil die Arbeitgeberin mit dem örtlichen Betriebsrat in Berlin nicht die zuständige Arbeitnehmervertretung beteiligt habe. Es kann dahinstehen, welche Arbeitnehmervertretung nach § 99 BetrVG bei der Bestellung des Datenschutzbeauftragten zu beteiligen ist, wenn ein Unternehmen aus mehreren Betrieben besteht. Vorliegend geht es nicht um Rechte, die mit der Person des Datenschutzbeauftragten verknüpft wären, sondern allgemein um die Befugnisse des jeweiligen Funktionsträgers im Unternehmen der Arbeitgeberin.
2. Der Antrag ist jedoch unbegründet. Dem Datenschutzbeauftragten stehen die von der Arbeitgeberin behaupteten Kontrollbefugnisse gegenüber dem Gesamtbetriebsrat nicht zu.
a) Dem Landesarbeitsgericht ist allerdings darin zu folgen, daß der Gesamtbetriebsrat nicht etwa als "Dritter" im Sinne des § 3 Abs. 9 BDSG außerhalb der "speichernden Stelle" im Sinne des § 3 Abs. 8 BDSG, also des Unternehmens steht. Vielmehr ist er selbst Teil dieser speichernden Stelle. Das entspricht heute hinsichtlich der Betriebsräte wohl allgemeiner Meinung (vgl. Auernhammer, BDSG, 3. Aufl., § 3 Rz 54; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblatt, Stand Juni 1997, § 3 Rz 134; Dörr/Schmidt, Neues Bundesdatenschutzgesetz, 2. Aufl., § 37 Rz 13; Fitting/Kaiser/Heither/Engels, BetrVG, 18. Aufl., § 1 Rz 180 ff.; Gola/ Schomerus, BDSG, 6. Aufl., § 3 Nr. 16.3; Grabendorff/Windscheid/ Ilbertz/Widmaier, BPersVG, 8. Aufl., § 68 Rz 57; von HoyningenHuene, NZA 1985, Beil. 1, S. 19, 21 f.; Klebe in: Däubler/ Kittner/Klebe, BetrVG, 5. Aufl., § 94 Rz 40; Kort, RdA 1992, 378, 382; Müller/Wächter, Der Datenschutzbeauftragte, 2. Aufl., S. 95; Rudolf, NZA 1996, 296, 300; Schlemann, Recht des betrieblichen Datenschutzbeauftragten, S. 60; Dammann in: Simitis/Dammann/ Geiger/Mallmann/Walz, BDSG, 4. Aufl., Loseblatt, Stand Juli 1994, § 3 Rz 236; Wohlgemuth, Datenschutz für Arbeitnehmer, 2. Aufl., Rz 371; noch offengelassen im Beschluß des Sechsten Senats vom 17. März 1983, BAGE 42, 113, 116 = AP Nr. 18 zu § 80 BetrVG 1972, zu II 3 der Gründe). Die Zugehörigkeit des Betriebsrats zur speichernden Stelle ergibt sich daraus, daß im nicht-öffentlichen Bereich Stellen im Sinne des Bundesdatenschutzgesetzes nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts sind (§ 2 Abs. 4 BDSG). Zu diesen gehören Betriebsräte nicht. Die abweichende Meinung von Dietz/Richardi (BetrVG, 6. Aufl., § 80 Rz 89 f.; ihnen folgend Hess in: Hess/Schlochauer/Glaubitz, BetrVG, 4. Aufl., § 80 Rz 3), Betriebsräte seien weder Teile der speichernden Stelle noch Dritte, ist mit der Systematik des § 3 BDSG, der nur diese Alternative zuläßt, nicht zu vereinbaren.
Das gleiche muß auch für den Gesamtbetriebsrat gelten. Insoweit ist unschädlich, daß sich seine betriebsverfassungsrechtliche Stellung nicht einem bestimmten Betrieb zuordnen läßt. Das Bundesdatenschutzgesetz knüpft mit dem Begriff der "speichernden Stelle" nämlich nicht beim Betrieb an, sondern beim Unternehmen, und zu diesem gehört auch der Gesamtbetriebsrat. Unterschiede, die sich insoweit für den Konzernbetriebsrat ergeben mögen, spielen im vorliegenden Verfahren keine Rolle.
b) Ob sich daraus, daß der Gesamtbetriebsrat Teil der speichernden Stelle ist, eine Kontrollbefugnis des betrieblichen Datenschutzbeauftragten ergibt, hat das Bundesarbeitsgericht bisher nicht entschieden. Das Bundesverwaltungsgericht hat die Frage bezüglich der Personalvertretungen im öffentlichen Dienst ausdrücklich offengelassen (BVerwG Beschluß vom 4. September 1990 - 6 P 28.87 - AP Nr. 1 zu § 68 BPersVG). Im Schrifttum besteht insoweit Streit.
Einerseits wird die Meinung vertreten, auch die Betriebsräte seien der Kontrolle des Datenschutzbeauftragten unterworfen (Auernhammer, BDSG, 3. Aufl., § 36 Rz 34, § 37 Rz 2; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblatt, Stand Juni 1997, § 37 Rz 74; Kasseler Handbuch/Blechmann, Nr. 2.10 Rz 586; Dörr/ Schmidt, Neues Bundesdatenschutzgesetz, 2. Aufl., § 37 Rz 13; Gola, ZfPR 1997, 94, 95; Gola/Schomerus, BDSG, 6. Aufl., § 36 Nr. 5.5; Grabendorff/Windscheid/Ilbertz/Widmaier, BPersVG, 8. Aufl., § 68 Rz 59; von Hoyningen-Huene, NZA 1985, Beil. 1, S. 19, 23; Kort, RdA 1992, 378, 382; Müller/Wächter, Der Datenschutzbeauftragte, 2. Aufl., S. 100; Rudolf, NZA 1996, 296, 300; Schlemann, Recht des betrieblichen Datenschutzbeauftragten, S. 60; Simitis in: Simitis/Dammann/Mallmann/Reh, BDSG, 3. Aufl., § 29 Rz 17). Die Zuständigkeit des Datenschutzbeauftragten nach den §§ 36 und 37 BDSG beziehe sich auf die gesamte speichernde Stelle. Das Bundesdatenschutzgesetz enthalte insoweit keine Einschränkungen. Auch sei zu berücksichtigen, daß andernfalls entgegen dem Zweck des Gesetzes der Datenschutz für einen Teil des Unternehmens geschwächt werde, weil eine wirksame Überwachung der Verarbeitung personenbezogener Daten durch die Betriebsräte fehle. Die Aufsichtsbehörde sei zu einer solchen Überwachung faktisch kaum in der Lage. Gefährdet seien personenbezogene Daten bei den Betriebsräten im Grundsatz nicht weniger als bei der Verarbeitung durch den Arbeitgeber. Der Arbeitgeber müsse insoweit Einwirkungsmöglichkeiten haben, denn er hafte auch für Verstöße des Betriebsrats gegen das Datenschutzrecht.
Dieser Auffassung wird entgegengehalten, das Betriebsverfassungsgesetz stehe einer Befugnis des Datenschutzbeauftragten entgegen, die Betriebsräte zu kontrollieren (Däubler, Gläserne Belegschaften, 3. Aufl., Rz 381; Dietz/Richardi, BetrVG, 6. Aufl., § 80 Rz 105; Fitting/Kaiser/Heither/Engels, BetrVG, 18. Aufl., § 1 Rz 189; Grunewald, RDV 1993, 226, 228; Klebe in: Däubler/ Kittner/Klebe, BetrVG, 5. Aufl., § 94 Rz 41; Schierbaum/Kiesche, CR 1993, 151, 157; Wagner, BB 1993, 1729, 1730; Wohlgemuth, Datenschutz für Arbeitnehmer, 2. Aufl., Rz 810; ders., BB 1995, 673, 675). Der Datenschutzbeauftragte werde vom Arbeitgeber ausgewählt. Er sei daher ungeachtet der Freiheit von fachlichen Weisungen sowie des Schutzes vor Benachteiligungen der Arbeitgeberseite zuzurechnen, unter deren Verantwortung er handele. Mit der Unabhängigkeit der Betriebsräte vom Arbeitgeber sei die Kontrolle durch einen Beauftragten des Arbeitgebers unvereinbar. Zum Schutz der von den Betriebsräten verarbeiteten Daten reiche die behördliche Kontrolle nach § 38 BDSG aus.
c) Für die letztgenannte Auffassung sprechen die gewichtigeren Gründe. Die Betriebsräte - und damit auch der Gesamtbetriebsrat unterliegen nicht der Kontrolle durch den betrieblichen Datenschutzbeauftragten nach § 36 Abs. 5 und § 37 BDSG. Ein Kontrollrecht des Datenschutzbeauftragten wäre mit der vom Betriebsverfassungsgesetz vorgeschriebenen Unabhängigkeit des Gesamtbetriebsrats von der Arbeitgeberin unvereinbar. Ein so massiver und wertungswidersprüchlicher Eingriff in ein Strukturprinzip des Betriebsverfassungsgesetzes kann dem Bundesdatenschutzgesetz nicht entnommen werden. Das Gesetz erweist sich insoweit als lückenhaft, als es keine Vorschriften über das Verhältnis der beiden Organe zueinander enthält.
aa) Der Beteiligung des Betriebsrats an Entscheidungen des Arbeitgebers liegt nach dem Betriebsverfassungsgesetz die Vorstellung zugrunde, daß zwischen dem Arbeitgeber und der vom Betriebsrat vertretenen Belegschaft Interessengegensätze bestehen, die des Ausgleichs bedürfen. Dies kommt beispielsweise in den Vorschriften über die Mitbestimmungsrechte zum Ausdruck, die jeweils mit Regelungen zur Lösung von Konflikten entweder durch das Gericht oder durch die Einigungsstelle verbunden sind. Die Verpflichtung beider Seiten zur vertrauensvollen Zusammenarbeit nach § 2 Abs. 1 BetrVG beseitigt diese Interessenpolarität nicht, sondern setzt sie gerade voraus (vgl. Berg in: Däubler/Kittner/ Klebe, BetrVG, 5. Aufl., § 2 Rz 6; Fitting/Kaiser/Heither/Engels, BetrVG, 18. Aufl., § 2 Rz 9; Hess in: Hess/Schlochauer/Glaubitz, BetrVG, 4. Aufl., § 2 Rz 17; GK-BetrVG/Kraft, 5. Aufl., § 2 Rz 13). An diesem Befund ändert der Umstand nichts, daß das Betriebsverfassungsgesetz gleichzeitig von gemeinsamen Zielen und Interessenübereinstimmungen ausgeht, die insgesamt ausreichen, um die Zusammenarbeit zu tragen.
Die autonome Interessenwahrnehmung mit dem Ziel eines angemessenen Ausgleichs ist nur möglich, wenn Arbeitgeber und Betriebsrat unabhängig voneinander ihre Meinung bilden, also insbesondere Verhandlungsziele und mögliche Kompromißlinien bestimmen können. Die insoweit bestehende Unabhängigkeit von Betriebsrat und Arbeitgeber ist ein Strukturprinzip der Betriebsverfassung, das in zahlreichen Regelungen des Betriebsverfassungsgesetzes zum Ausdruck kommt. So nimmt § 5 Abs. 3 BetrVG die leitenden Angestellten von der Anwendung des Betriebsverfassungsgesetzes und damit von der durch den Betriebsrat vertretenen Belegschaft aus, weil der Arbeitgeber für seine eigene Willensbildung - und auch für die Vertretung gegenüber der Belegschaft und dem Betriebsrat - auf Angehörige dieser Arbeitnehmergruppe angewiesen ist. Auf der anderen Seite trifft das Betriebsverfassungsgesetz eine ganze Reihe von Vorkehrungen, um die erforderliche Unabhängigkeit des Betriebsrats zu sichern. So ist dessen Bildung allein Sache der Belegschaft (vgl. insbesondere §§ 7, 8 und 16 bis 18 BetrVG). Weiter gewährleistet das Gesetz eine vom Arbeitgeber unbeeinflußte Interessenvertretung u.a. durch die Strafvorschrift des § 119 BetrVG und durch die zum Schutz der Betriebsratsmitglieder bestehenden Benachteiligungsverbote (etwa § 37 Abs. 4 BetrVG) und speziellen Kündigungsschutz (etwa § 15 Abs. 1 KSchG). Mit der gesetzlich geforderten Eigenständigkeit des Betriebsrats wären Kontrollrechte und Weisungsbefugnisse des Arbeitgebers hinsichtlich der Ausübung des Betriebsratsamtes nicht vereinbar (BAGE 43, 109, 113 = AP Nr. 45 zu § 37 BetrVG 1972, zu II 2 der Gründe). Dem entspricht auch, daß der Arbeitgeber Dritten gegenüber nicht für unerlaubte Handlungen des Betriebsrats haftet (Fitting/Kaiser/ Heither/Engels, BetrVG, 18. Aufl., § 1 Rz 198; MünchArbR/v. Hoyningen-Huene, § 291 Rz 24).
bb) Die Ausübung der in § 36 Abs. 5 und § 37 BDSG vorgesehenen Kontrollrechte des Datenschutzbeauftragten gegenüber dem Gesamtbetriebsrat würde dessen gesetzlich vorgeschriebene Unabhängigkeit von der Arbeitgeberin beeinträchtigen. Die Kontrollmaßnahmen wären der Arbeitgeberin zuzurechnen. Zutreffend hat das Landesarbeitsgericht erkannt, daß der betriebliche Datenschutzbeauftragte keine "neutrale Stellung" zwischen Arbeitgeberin und Gesamtbetriebsrat einnimmt.
(1) Der Datenschutzbeauftragte wird nach § 36 Abs. 1 BDSG vom Arbeitgeber ausgewählt und bestellt. Der Bestellungsakt als solcher unterliegt nicht der Mitbestimmung des Betriebsrats. Der Betriebsrat hat auch kein Beteiligungsrecht, das es ihm - wie etwa bei der Bestellung und Abberufung angestellter Betriebsärzte oder Fachkräfte für Arbeitssicherheit nach § 9 Abs. 3 ASiG - ermöglichen würde dafür zu sorgen, daß das Amt von einer Person auch seines Vertrauens wahrgenommen wird. Hinsichtlich des Datenschutzbeauftragten kommt lediglich das an enge gesetzliche Voraussetzungen gebundene Zustimmungsverweigerungsrecht nach § 99 BetrVG in Betracht, sofern die Bestellung zugleich als Versetzung oder Einstellung im Sinne dieser Vorschrift anzusehen ist. Handelt es sich beim Datenschutzbeauftragten um einen leitenden Angestellten oder um einen externen Beauftragten, der nicht in den Betrieb eingegliedert wird, so fehlt selbst dieses Zustimmungsverweigerungsrecht (BAGE 76, 184, 190 ff. = AP Nr. 4 zu § 99 BetrVG 1972 Versetzung, zu B II 2 der Gründe).
Der Datenschutzbeauftragte erfüllt Aufgaben des Arbeitgebers, denn er hat nach § 37 Abs. 1 Satz 1 BDSG die Ausführung dieses Gesetzes im Unternehmen "sicherzustellen". Hierbei handelt es sich um eine Pflicht, die zunächst dem Unternehmen (Arbeitgeber) selbst als dem Normunterworfenen obliegt. Das Unternehmen ist für ordnungsgemäßen Datenschutz verantwortlich (Gola/ Schomerus, BDSG, 6. Aufl., § 36 Nr. 1.1). Seine Bindung an die Pflichten aus dem Bundesdatenschutzgesetz ist nicht auf den Aufgabenbereich des Datenschutzbeauftragten beschränkt. Das zeigt sich schon daran, daß das Bundesdatenschutzgesetz auf alle Unternehmen anwendbar ist, die personenbezogene Daten geschäftsmäßig verarbeiten oder nutzen (§ 1 Abs. 2 Nr. 3), während ein Datenschutzbeauftragter nur in Unternehmen bestellt werden muß, in denen mindestens fünf Arbeitnehmer mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In den zahlreichen Unternehmen, für die danach kein Datenschutzbeauftragter vorgeschrieben ist, obliegt es allein der Geschäftsleitung, die Beachtung des Bundesdatenschutzgesetzes sicherzustellen (Gola/ Schomerus, BDSG, 6. Aufl., § 37 Nr. 1.5).
Dementsprechend ist der Datenschutzbeauftragte nach der Konzeption des Bundesdatenschutzgesetzes ein Instrument der Selbstkontrolle des Unternehmens, die neben der Fremdkontrolle durch die Aufsichtsbehörde nach § 38 BDSG steht (Auernhammer, BDSG, 3. Aufl., vor § 36 Rz 2 f.; Däubler in: Däubler/Klebe/Wedde, BDSG, § 36 Rz 3). Mit der Verpflichtung zur Bestellung eines Datenschutzbeauftragten hat das Bundesdatenschutzgesetz keine vom Unternehmen unabhängige Institution geschaffen, sondern in die Organisationsfreiheit des Unternehmens eingegriffen (Gola/Schomerus, BDSG, 6. Aufl., § 36 Nr. 1.1). Der Datenschutzbeauftragte ist der Geschäftsleitung unterstellt (§ 36 Abs. 3 Satz 1 BDSG). Er kann nicht etwa aus eigenem Recht dafür sorgen, daß im Unternehmen die Verpflichtungen aus dem Bundesdatenschutzgesetz beachtet werden, sondern er kann insoweit nur beratend auf die Geschäftsleitung einwirken. Allein deren Sache ist es, Entscheidungen zur Gewährleistung des Datenschutzes zu treffen und erforderlichenfalls Verstöße abzustellen (Auernhammer, BDSG, 3. Aufl., § 37 Rz 3; Däubler in: Däubler/Klebe/Wedde, BDSG, § 37 Rz 5; Gola/Schomerus, BDSG, 6. Aufl., § 36 Nr. 9.3).
Die Pflicht des Datenschutzbeauftragten, die sich aus seinem Amt ergebenden Aufgaben zu erfüllen, besteht nur gegenüber dem Arbeitgeber, nicht etwa gegenüber den von der Datenverarbeitung Betroffenen (Auernhammer, BDSG, 3. Aufl., § 37 Rz 6; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 2. Aufl., S. 283; Gola/ Schomerus, BDSG, 6. Aufl., § 37 Nr. 2.1). Nur in schwerwiegenden Ausnahmefällen haben die Treuepflichten, die aus dem Beschäftigungsverhältnis zum Unternehmen herrühren, zurückzutreten mit der Folge, daß der Datenschutzbeauftragte befugt ist, unternehmensinterne Vorgänge der Aufsichtsbehörde zu offenbaren und diese nach § 37 Abs. 1 Satz 2 BDSG um Unterstützung zu bitten (Auernhammer, BDSG, 3. Aufl., § 37 Rz 8; Gola/Schomerus, BDSG, 6. Aufl., § 37 Nr. 3.1, 3.2).
(2) Der Feststellung, daß der Datenschutzbeauftragte als "verlängerter Arm" des Arbeitgebers handelt, stehen auch die Vorkehrungen nicht entgegen, die in § 36 BDSG zur Sicherung seiner objektiven Amtsausübung enthalten sind.
Allerdings ist der Datenschutzbeauftragte nach § 36 Abs. 3 Satz 2 BDSG frei von fachlichen Weisungen. Dies entzieht ihn indessen nicht der allgemeinen Dienstaufsicht durch den Arbeitgeber, der seine ordnungsgemäße Amtsausübung zu überwachen hat (Auernhammer, BDSG, 3. Aufl., § 36 Rz 28). Der Arbeitgeber kann aufgrund seiner Verantwortung für die Durchführung des Bundesdatenschutzgesetzes dem Datenschutzbeauftragten Prüfaufträge erteilen; lediglich über Einzelmaßnahmen entscheidet dieser eigenverantwortlich (Gola/Schomerus, BDSG, 6. Aufl., § 36 Nr. 9.3).
Auch der Umstand, daß der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden darf (§ 36 Abs. 3 Satz 3 BDSG), und daß er nach § 36 Abs. 3 Satz 4 BDSG nur aus wichtigem Grund entsprechend § 626 BGB oder auf Verlangen der Aufsichtsbehörde abberufen werden kann, führt nicht zu einer anderen Beurteilung. Diese Regelungen schützen den Datenschutzbeauftragten zwar bei seiner Amtsausübung, ändern aber nichts daran, daß diese als Stabsfunktion im Auftrag des Arbeitgebers erfolgt und nicht unmittelbar wirksam wird; wenn im Unternehmen Mängel beim Datenschutz festgestellt werden, ist es der Arbeitgeber, der Abhilfemaßnahmen ergreifen muß.
Die nach § 36 Abs. 4 BDSG bestehende Verschwiegenheitspflicht ist, wie das Landesarbeitsgericht zutreffend erkannt hat, ebenfalls nicht geeignet, dem Datenschutzbeauftragten im Spannungsverhältnis zwischen Arbeitgeber und Betriebsrat eine neutrale Position zu verschaffen (a.A. Simitis in: Simitis/Dammann/ Mallmann/Reh, BDSG, 3. Aufl., § 29 Rz 19). Sie ist auf die Identität des von der Datenverarbeitung Betroffenen beschränkt. Daten, die den Meinungsbildungsprozeß des Betriebsrats betreffen, bleiben weitgehend außerhalb der Verschwiegenheitspflicht. Gerade deren Geheimhaltung ist aber erforderlich, soweit es um die Gewährleistung der Unabhängigkeit des Betriebsrats vom Arbeitgeber geht. Selbst wenn man der Auffassung folgen wollte, daß die Verschwiegenheitspflicht über den Gesetzeswortlaut hinaus generell auch auf alle Daten des Betriebsrats zu erstrecken ist (so Gola/ Schomerus, BDSG, 6. Aufl., § 36 Nr. 10.2), erschiene die praktische Wirksamkeit des Schutzes doch zweifelhaft. Die in den §§ 43 und 44 BDSG vorgesehenen Sanktionen gelten nämlich nicht für die Verletzung der Verschwiegenheitspflicht durch den Datenschutzbeauftragten. Zivilrechtliche Sanktionsnormen, die insoweit von den Trägern betroffener Persönlichkeitsrechte herangezogen werden können, kommen für den Betriebsrat regelmäßig nicht in Betracht.
(3) Eine Unterwerfung des Betriebsrats unter die Kontrollbefugnis des Datenschutzbeauftragten nach § 36 Abs. 5 und § 37 BDSG würde damit einem Vertreter der Arbeitgeberseite Zugang zu grundsätzlich allen Dateien des Betriebsrats eröffnen ohne Rücksicht darauf, ob sie personenbezogene Daten enthalten oder nicht. Die Überwachung durch den Datenschutzbeauftragten mag in der Praxis zwar ihren Schwerpunkt in der Verfahrenskontrolle haben, worauf die Arbeitgeberin hinweist. Darüber hinaus bezieht sich die Kontrollpflicht aber nach dem Gesetz auch auf den Inhalt von Dateien, beispielsweise bei der Prüfung, ob die Speicherung bestimmter Daten zulässig ist. Angesichts der verbreiteten und immer mehr zunehmenden Verwendung der elektronischen Datenverarbeitung würde dem Datenschutzbeauftragten damit ein Recht auf Überwachung zumindest eines erheblichen Teils der vom Betriebsrat zur Ausübung seines Amtes herangezogenen Unterlagen eingeräumt. Damit hätte der Datenschutzbeauftragte Kontrollbefugnisse, die dem Arbeitgeber im Verhältnis zum Betriebsrat nicht zustehen.
Es kommt hinzu, daß die von der Arbeitgeberin behaupteten Kontrollrechte des Datenschutzbeauftragten gegenüber dem Betriebsrat im Ergebnis weiter gehen als gegenüber dem Arbeitgeber. Folgte man nämlich der Argumentation der Arbeitgeberin, so könnte sie im Wege des arbeitsgerichtlichen Beschlußverfahrens durchsetzen, daß der Betriebsrat die vom Datenschutzbeauftragten geforderte Beachtung des Bundesdatenschutzgesetzes "sicherstellt", also bestimmte Maßnahmen ergreift. Insoweit wäre der Betriebsrat damit unmittelbar der Kontrolle durch den betrieblichen Gegenspieler unterworfen. Anders ist dagegen die Situation, wenn der Datenschutzbeauftragte Verstöße gegen den Datenschutz rügt, die der Arbeitgeberin zuzurechnen sind: Hier liegt die Entscheidung über eine mögliche Abhilfe bei ihr selbst und damit letztlich bei der Instanz, der ein Fehlverhalten vorgeworfen wird. Der Datenschutzbeauftragte hat weder Anordnungs- noch Klagebefugnisse (Auernhammer, BDSG, 3. Aufl., § 37 Rz 5), er kann allenfalls nach § 37 Abs. 1 Satz 2 BDSG die Aufsichtsbehörde einschalten (s.o. (1)).
(4) Die Anwendung von § 36 Abs. 5 und § 37 BDSG in der geforderten Weise würde dazu führen, daß dem Arbeitgeber eine Verantwortung für die Rechtmäßigkeit der Amtsausübung des Betriebsrats erwüchse, die ihm nach dem Betriebsverfassungsgesetz nicht zukommt (Fitting/Kaiser/Heither/Engels, BetrVG, 18. Aufl., § 1 Rz 198; MünchArbR/v. Hoyningen-Huene, § 291 Rz 24). Das in diesem Zusammenhang vorgetragene Argument, der Arbeitgeber müsse sich davor schützen können, daß er von Betroffenen wegen Gesetzesverstößen des Betriebsrats in Haftung genommen werde, verfängt nicht. Das Bundesdatenschutzgesetz enthält für private Arbeitgeber keine Haftungsnorm; auch § 8 BDSG begründet trotz der mißverständlichen Überschrift keinen Schadenersatzanspruch (Auernhammer, BDSG, 3. Aufl., § 8 Rz 1; Klebe in: Däubler/Klebe/Wedde, BDSG, § 8 Rz 1; Gola/Schomerus, BDSG, 6. Aufl., § 8 Nr. 1). Nur die allgemeinen zivilrechtlichen Haftungsgrundlagen (z.B. aus unerlaubter Handlung oder aus positiver Forderungsverletzung) kommen in Betracht; diese setzen aber sämtlich voraus, daß der Haftende den Rechtsverstoß zu vertreten hat. Danach ist eine Haftung des Arbeitgebers für Handlungen des Betriebsrats, die er nicht beeinflussen kann, ausgeschlossen.
(5) Die mit einer Kontrolle durch den Datenschutzbeauftragten verbundene Beeinträchtigung der Unabhängigkeit des Betriebsrats entfällt auch dann nicht, wenn man mit einer im Schrifttum vertretenen Meinung den Datenschutzbeauftragten für verpflichtet hält, sich bei Beanstandungen zunächst an den Betriebsrat zu wenden und nur im Konfliktfall den Arbeitgeber einzuschalten (z.B. Gola, ZfPR 1997, 94, 98; Kasseler Handbuch/Blechmann, Nr. 2.10 Rz 587). Abgesehen davon, daß aus dem Bundesdatenschutzgesetz ein solches Vorgehen schwerlich abzuleiten ist, würde es nichts daran ändern, daß die Kontrolle des Betriebsrats durch einen Beauftragten des Arbeitgebers vorgenommen würde und in letzter Konsequenz auf Maßnahmen des Arbeitgebers gegenüber dem Betriebsrat hinausliefe. Das würde gerade dann wirksam, wenn der Betriebsrat das Vorgehen des Datenschutzbeauftragten für unberechtigt hält und seinerseits beanstanden will.
cc) Die vom Betriebsverfassungsgesetz geforderte Unabhängigkeit der Betriebsräte vom Arbeitgeber schließt eine Kontrolle durch den Datenschutzbeauftragten nach § 36 Abs. 5 und § 37 BDSG aus.
(1) Allerdings enthält das Bundesdatenschutzgesetz insoweit keine ausdrückliche Einschränkung. Der Wortlaut der genannten Vorschriften ist umfassend formuliert und gibt keinen Hinweis darauf, daß die Kontrollbefugnis des Datenschutzbeauftragten die speichernde Stelle nicht insgesamt umfaßt.
(2) Die Ausnahme des Betriebsrats von der Kontrollbefugnis des Datenschutzbeauftragten ergibt sich jedoch daraus, daß das Bundesdatenschutzgesetz das Verhältnis zwischen diesen beiden Institutionen nicht regelt. Das Gesetz ist insoweit lückenhaft. Es ist zwar auf die gesamte Materie des Datenschutzes bezogen, enthält aber keine umfassende und abschließende Kodifikation. Vielmehr ist es erkennbar auf Ergänzung durch bereichsspezifische Regelungen angelegt. Das bringt schon § 1 Abs. 4 zum Ausdruck, der die Subsidiarität der Vorschriften des Bundesdatenschutzgesetzes gegenüber anderen Rechtsvorschriften des Bundes festlegt, die auf personenbezogene Daten anzuwenden sind (Auernhammer, BDSG, 3. Aufl., Einführung Rz 35 f.). Darüber hinaus haben die zuständigen Verfassungsorgane immer wieder bekundet, daß eine bereichsspezifische Regelung für den Arbeitnehmerdatenschutz zum noch unerledigten Gesetzgebungsprogramm gehört. So hat sich der Deutsche Bundestag die Beurteilung der Datenschutzbeauftragten des Bundes und der Länder, daß insoweit ein Regelungsdefizit vorliegt (z.B. 14. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz vom 27. April 1993 - BT-Drucks. 12/4805, S. 61 f.), zu eigen gemacht und die Bundesregierung wiederholt aufgefordert, baldmöglichst bereichsspezifische Regelungen zum Arbeitnehmerdatenschutz vorzulegen (z.B. Beschluß vom 22. Juni 1995 - Plenarprotokoll 13/44, S. 3630; BT-Drucks. 13/1636, S. 3). Die Bundesregierung hält ebenfalls eine derartige Regelung für erforderlich und hat die Vorlage eines entsprechenden Gesetzentwurfs angekündigt (z.B. BT-Drucks. 12/2948, S. 2). Bisher ist der Gesetzgeber freilich noch nicht auf diesem Gebiet tätig geworden.
Die noch ausstehenden Sondervorschriften für den Arbeitnehmerdatenschutz müßten gerade auch kollektivrechtliche Fragen wie das Verhältnis zwischen dem betrieblichen Datenschutzbeauftragten und den Betriebsräten umfassen. Der Gesetzgeber des Bundesdatenschutzgesetzes hat sich, obwohl die vielfältigen hiermit verbundenen Fragen bereits lange vor der Entstehung des jetzigen Gesetzes vom 20. Dezember 1990 intensiv und kontrovers diskutiert worden waren (vgl. nur v. Hoyningen-Huene, NZA 1985, Beil. 1, S. 19 ff., m.w.N.), einer Regelung dieses Verhältnisses enthalten. Das Bundesdatenschutzgesetz erwähnt den Betriebsrat nicht einmal.
Aus dem Schweigen des Gesetzes zu den Beziehungen zwischen dem Datenschutzbeauftragten und den Betriebsräten kann nicht gefolgert werden, der Betriebsrat solle bis zu der angekündigten Regelung des Arbeitnehmerdatenschutzes in gleicher Weise wie beliebige Organisationseinheiten des Unternehmens der Kontrolle durch den Datenschutzbeauftragten unterworfen sein. Die Unabhängigkeit des Betriebsrats ist als tragendes Prinzip von so hoher Bedeutung für die Betriebsverfassung, daß dem Gesetzgeber des Bundesdatenschutzgesetzes nicht unterstellt werden kann, er habe stillschweigend so tief und konfliktträchtig in dieses Prinzip eingreifen wollen.
dd) Diesem Verständnis steht nicht entgegen, daß auch die Betriebsräte bei der Verarbeitung von Daten dem Bundesdatenschutzgesetz unterworfen sind, und daß hinsichtlich ihrer Datenverarbeitung im Interesse des Datenschutzes grundsätzlich auch eine Kontrolle angezeigt erscheint. Betriebsräte haben zwar nach § 80 Abs. 1 Nr. 1 BetrVG - ähnlich dem Datenschutzbeauftragten - die Aufgabe, über die Einhaltung des Bundesdatenschutzgesetzes zu wachen, denn es handelt sich hierbei um ein zugunsten der Arbeitnehmer geltendes Gesetz (BAGE 54, 278, 286 f. = AP Nr. 29 zu § 80 BetrVG 1972, zu B II 2 a der Gründe). Dieser Kontrollauftrag schließt aber die Gefahr nicht aus, daß dem Betriebsrat beim eigenen Umgang mit personenbezogenen Daten Verstöße gegen Vorschriften des Datenschutzes unterlaufen. Die erforderliche Kontrolle der Betriebsräte muß aber nach der Konzeption des Bundesdatenschutzgesetzes nicht zwingend durch den betrieblichen Datenschutzbeauftragten erfolgen.
Die Bedeutung des betrieblichen Datenschutzbeauftragten für die Gewährleistung des Datenschutzes ist nach dem Bundesdatenschutzgesetz begrenzt. So hat der Gesetzgeber für die zahlreichen Unternehmen, in denen weniger als fünf Arbeitnehmer mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, die Kontrolle durch einen betrieblichen Datenschutzbeauftragten für verzichtbar gehalten (§ 36 Abs. 1 Satz 1 BDSG). Es ist aber nicht erkennbar, daß die Gefährdung von Persönlichkeitsrechten in diesen Unternehmen generell geringer wäre als diejenige, die sich aus der Datenverarbeitung durch den Betriebsrat in Unternehmen mit Datenschutzbeauftragten ergeben kann. Es kommt hinzu, daß der Datenschutzbeauftragte aufgrund der dargestellten fehlenden Durchsetzungsmöglichkeiten gegenüber den datenverarbeitenden Organisationseinheiten im Unternehmen nur begrenzte Wirksamkeit entfalten kann; so gibt es im Schrifttum Stimmen, die dem Betriebsrat für einen effizienten Schutz der Arbeitnehmerdaten sogar größere Bedeutung zumessen als dem Datenschutzbeauftragten (Ehmann/Sutschet, RDV 1997, 3, 4; Wohlgemuth, BB 1995, 673). Schließlich führt die Verneinung der Kontrollbefugnis des betrieblichen Datenschutzbeauftragten nicht etwa dazu, daß der Betriebsrat sich in einem datenschutzfreien Raum bewegen würde. Vielmehr bestehen ihm gegenüber in gleicher Weise Kontrollbefugnisse der Aufsichtsbehörde nach § 38 BDSG, wie dies gegenüber Unternehmen ohne Datenschutzbeauftragte der Fall ist. Auf eine Anrufung durch den Datenschutzbeauftragten ist die Aufsichtsbehörde nach § 38 BDSG nicht angewiesen; vielmehr ist sie verpflichtet, jedem schlüssig begründeten Anlaß zur Kontrolle nachzugehen (Gola/Schomerus, BDSG, 6. Aufl., § 38 Nr. 2.4).
ee) Die vorstehenden Überlegungen bedeuten keineswegs, daß eine Kontrolle des Betriebsrats durch den Datenschutzbeauftragten grundsätzlich ausgeschlossen sein müßte. Vielmehr sind gesetzliche Regelungen denkbar, die das Verhältnis der beiden angemessen und widerspruchsfrei erfassen könnten. So wäre eine Kontrolle durch den betrieblichen Datenschutzbeauftragten wohl dann unbedenklich, wenn dieser - etwa aufgrund entsprechender Mitbestimmungsrechte des Betriebsrats bei seiner Bestellung und Abberufung - des Vertrauens beider Seiten in gleicher Weise bedürfte und unabhängig vom Arbeitgeber über eigene Handlungsmöglichkeiten verfügte. Eine derartige Auslegung des geltenden Rechts ist jedoch nicht möglich. Die Rechtsstellung des Datenschutzbeauftragten ist im Bundesdatenschutzgesetz detailliert geregelt. Der Versuch, die §§ 36 und 37 BDSG zur Vermeidung eines Konflikts mit betriebsverfassungsrechtlichen Grundsätzen teleologisch korrigierend auszulegen, müßte das Bild des betrieblichen Datenschutzbeauftragten so wesentlich ändern, daß es dem bisherigen Regelungssystem nicht mehr entspräche. Ein so weitgehender Eingriff in das gesetzliche Regelungsprogramm ist der Rechtsprechung verwehrt. Deshalb läßt sich die Regelungslücke des Bundesdatenschutzgesetzes nur in der Weise schließen, daß der Betriebsrat von der Kontrollbefugnis des betrieblichen Datenschutzbeauftragten ausgenommen bleibt.
IV. Der Hilfsantrag der Arbeitgeberin ist aus denselben Gründen wie der Hauptantrag zulässig, aber unbegründet. Dem steht nicht entgegen, daß der Hilfsantrag keine inhaltliche Kontrolle von Dateien zum Gegenstand hat, sondern sich auf Auskünfte des Gesamtbetriebsrats zu Fragen des bei der Datenverarbeitung beachteten Verfahrens beschränkt.
Zum einen können aus der umfassenden Kontrollaufgabe des Datenschutzbeauftragten nicht einzelne, die Unabhängigkeit des Gesamtbetriebsrats möglicherweise nur wenig berührende Aspekte herausgegriffen werden, ohne daß die Kontrolle substantiell in einer vom Bundesdatenschutzgesetz nicht vorgesehenen Weise verändert würde. Zwar mag es zutreffen, daß im Mittelpunkt der Tätigkeit des Datenschutzbeauftragten die Verfahrenskontrolle und weniger die Kontrolle von Dateiinhalten steht (so Müller/Wächter, Der Datenschutzbeauftragte, 2. Aufl., S. 94). Die Verfahrenskontrolle kann aber nicht von der Inhaltskontrolle getrennt werden, denn erstere liegt im Vorfeld der letzteren und führt zu dieser hin. Das ergibt sich schon daraus, daß nicht alle Daten, auf die sich die mit dem Hilfsantrag angestrebte Verfahrenskontrolle beziehen würde, dem Bundesdatenschutzgesetz oder anderen Datenschutzvorschriften unterliegen. So kann der Gesamtbetriebsrat Dateien führen, die keine personenbezogenen Daten enthalten, sondern sich auf Angaben zu seinen eigenen Aktivitäten beschränken. Ohne Kenntnis des Dateiinhalts kann der Datenschutzbeauftragte aber nicht beurteilen, ob die betreffende Datei überhaupt seiner Verfahrenskontrolle unterliegt.
Zum anderen kann nicht pauschal angenommen werden, eine auf Verfahrensfragen beschränkte Kontrolle durch den Datenschutzbeauftragten könne nicht in die gesetzlich geforderte Unabhängigkeit des Gesamtbetriebsrats eingreifen. So sind schon aus der Bezeichnung einer Datei oder ihrer Art u.U. Rückschlüsse auf interne Überlegungen des Betriebsrats möglich. Außerdem müßte der Datenschutzbeauftragte für den Fall, daß der Gesamtbetriebsrat eine Beanstandung seiner Datenverarbeitung für unberechtigt hält und sein Verfahren nicht ändert, nach der Konzeption des § 36 BDSG die Arbeitgeberin einschalten. Nur so könnte er auf die Amtsführung des Gesamtbetriebsrats Einfluß nehmen. Gerade das will aber das Betriebsverfassungsgesetz ausschließen.
Unterschriften
Dieterich Rost Wißmann Rösch Lappe
Veröffentlichung
Veröffentlicht am 11.11.1997 durch Backes, Reg.-Hauptsekretärin als Urkundsbeamter der Geschäftsstelle
Fundstellen
Haufe-Index 436309 |
BAGE, 64 |
BB 1998, 106 |
BB 1998, 648 |
BB 1998, 897 |
DB 1998, 627 |
DStR 1998, 262 |
NJW 1998, 2466 |
CR 1998, 328 |
FA 1998, 22 |
JR 1998, 484 |
NZA 1998, 385 |
RdA 1998, 188 |
SAE 1998, 193 |
ZTR 1998, 284 |
DVP 1998, 79 |
NJW-CoR 1998, 114 |
NJ 1998, 390 |