Die dem Betriebsrat obliegende Pflicht, die für den Arbeitsschutz zuständigen Behörden zu unterstützen, berechtigt ihn nicht stets und einschränkungslos, den Aufsichtsbehörden die z. B. vom Arbeitgeber elektronisch erfassten tatsächlich geleisteten Arbeitszeiten der Arbeitnehmer namensbezogen mitzuteilen. Aus Gründen des Datenschutzes muss er vielmehr im Einzelfall die Erforderlichkeit der Datenweitergabe prüfen und hierbei die Interessen der betroffenen Arbeitnehmer berücksichtigen. Eine leichtfertig erstattete Strafanzeige oder ein leichtfertig gestellter Strafantrag eines Betriebsratsmitglieds gegen den Arbeitgeber oder seine Repräsentanten kann eine Verletzung des Gebots der vertrauensvollen Zusammenarbeit darstellen, wenn ein Bezug zum Handeln als Betriebsrat besteht. Dies kann nach den allgemeinen Grundsätzen zum Ausschluss des Betriebsratsmitglieds aus dem Betriebsrat führen, wenn unter Berücksichtigung aller Umstände des Einzelfalles die weitere Amtsausübung des Betriebsratsmitglieds untragbar erscheint. Maßgeblich sind dabei die Umstände des Einzelfalls.
Wichtig! Dabei ist auch die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz zu beachten. Der Betriebsrat hat also nicht nur die gesetzliche Verpflichtung, die Einhaltung des neuen Datenschutzrechts durch den Arbeitgeber zu überwachen, sondern muss diese Grundsätze auch bei Datenerhebungen beachten. Dies gilt etwa bei betriebsinternen Erhebungen und insbesondere hinsichtlich der sensiblen Daten, die der Betriebsrat im Zusammenhang mit dem betrieblichen Eingliederungsmanagement oder Anhörungen nach § 102 BetrVG erhalten hat, insbesondere Krankheitsdaten.
Sinnvoll erscheint eine datenschutzrechtliche Legitimation der Datenübertragung durch eine freiwillige Betriebsvereinbarung. Dabei muss der Regelungscharakter der Betriebsvereinbarung als Erlaubnisnorm i. S. v. Art. 6 DSGVO ausdrücklich festgelegt werden. Die Betriebsvereinbarung hat sich an den Vorgaben von Art. 88 Abs. 2 DSGVO zu orientieren, muss also Regelungen über die Transparenz der Verarbeitung, zur Zweckbindung und zu Löschkonzepten enthalten.
Durch das Betriebsrätemodernisierungsgesetz ist jetzt in § 79a BetrVG geregelt, dass Datenverarbeitungen des Betriebsrats dem Arbeitgeber zugerechnet werden und dieser allein der Verantwortliche i. S. v. Art. 7 Nr. 3 DSGVO ist. Die praktische Umsetzung ist gesetzlich nicht geregelt und deshalb schwierig, weil der Arbeitgeber für Datenverarbeitungsprozesse verantwortlich ist, die er wegen der Unabhängigkeit des Betriebsrats nicht steuern kann. In der Literatur wird deshalb vorgeschlagen, dass der Betriebsrat seine Datenverarbeitungstätigkeit mitteilen muss, damit der Arbeitgeber diese in das Verzeichnis von Datenverarbeitungstätigkeiten aufnehmen kann. Ein Weisungsrecht besteht nicht, jedoch kann bei gravierenden Datenschutzverstößen ein Ausschluss eines Betriebsratsmitglieds oder die Auflösung des Betriebsrats nach § 23 Abs. 1 BetrVG in Betracht kommen.
Ergreifen besonderer Schutzmaßnahmen ist erforderlich
Der Betriebsrat ist dazu verpflichtet, für besonders sensible Daten besondere Schutzmaßnahmen einzurichten. Tut er dies nicht, hat er keinen Auskunftsanspruch gegenüber dem Arbeitgeber hinsichtlich dieser Daten. Anspruchsvoraussetzung ist, dass der Betriebsrat "zur Wahrung der Interessen der von einer Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft".