1 Allgemeines
Rz. 1
§ 79a BetrVG wurde durch das am 18.6.2021 in Kraft getretene Betriebsrätemodernisierungsgesetz eingefügt. Der Arbeitgeber ist weiterhin die für den Datenschutz verantwortliche Stelle und der Betriebsrat lediglich ein nicht eigenverantwortlicher Teil dieser Stelle.
Die Grundproblematik bleibt aber: Der Arbeitgeber ist datenschutzrechtlich verantwortlich, hat aber nur begrenzten Einfluss auf das Handeln des Betriebsrats. Den Arbeitgeber trifft also eine Verantwortlichkeit hinsichtlich der Beachtung des Beschäftigtendatenschutzes durch den Betriebsrat ohne Entscheidungsgewalt.
Der Betriebsrat legt als Gremium Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Dieses Spannungsverhältnis versucht das Gesetz dadurch aufzulösen, dass es ausdrücklich bestimmt, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Arbeitgeber und Betriebsrat sollen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen. Hinsichtlich der Stellung des Datenschutzbeauftragten ist geregelt, dass er gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet ist über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. In der Gesetzesbegründung wird herausgestellt, dass die Vertraulichkeit der Beratungen etwa bei der Verwendung von Video- und Telefonkonferenzen für Betriebsratssitzungen besonders zu schützen ist. Alle Informationen, die den Meinungsbildungsprozess des Betriebsrats betreffen, unterliegen einer besonderen Geheimhaltung. Dadurch soll die Unabhängigkeit des Betriebsrats vom Arbeitgeber gewährleistet sein. Die Tätigkeit des Datenschutzbeauftragten wird dadurch noch komplexer und verantwortungsvoller. Dies gilt insbesondere dann, wenn er in Bezug auf die genannten Tätigkeiten Verstöße des Betriebsrats oder einzelner seiner Mitglieder gegen datenschutzrechtliche Vorschriften feststellt. Dieser Grundkonflikt lässt sich aber bei der offenbar notwendigen Beibehaltung der Struktur, in der der Arbeitgeber allein die nach dem BDSG verantwortliche Stelle und der Betriebsrat nur ein Teil davon ist, nicht im Gesetz generell-abstrakt in einer Weise lösen, die mögliche Konflikte zuverlässig löst. Dies ist aber bei der allgemeinen Pflicht zur vertrauensvollen Zusammenarbeit nach § 2 Abs. 1 BetrVG nicht anders. Der Gesetzgeber hat immerhin Leitlinien gezogen, die von der Rechtsprechung für die Beurteilung etwaiger Konflikte herangezogen werden können.
Die Pflichten eines Datenschutzbeauftragten sind mit denen eines Betriebsratsvorsitzenden nicht zu vereinbaren. Der bei gleichzeitiger Wahrnehmung beider Funktionen bestehende Interessenkonflikt rechtfertigt es, die Bestellung des Betriebsratsvorsitzenden zum Datenschutzbeauftragten zu widerrufen.
2 Einhaltung datenschutzrechtlicher Vorschriften
Rz. 2
Die Pflicht zur Einhaltung datenschutzrechtlicher Vorschriften beinhaltet Folgendes:
- Innerhalb seines Zuständigkeitsbereichs muss der Betriebsrat eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit i. S. v. Art. 24, 32 DSGVO sicherstellen;
- Bei der Verarbeitung von sensiblen Beschäftigtendaten i. S. v. Art. 9 Abs. 1 DSGVO (also z. B. Gesundheitsdaten) hat der Betriebsrat "angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person" zu ergreifen. Dies ist von extremer Wichtigkeit, insbesondere wenn der Betriebsrat im Zusammenhang mit dem Betrieblichen Eingliederungsmanagement (BEM) oder der Anhörung vor einer krankheitsbedingten Kündigung Kenntnis von sensiblen Daten erhält. Die Pflicht umfasst u. a. die Gewährleistung begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder, etwa wenn diese beim BEM-Gespräch dabei waren, sowie besondere Datensicherungsmaßnahmen und die Datenlöschung nach Beendigung der Mitbestimmungs- bzw. Überwachungsaufgabe.
- Der Betriebsrat ist zur Erstellung eines Verarbeitungsverzeichnisses verpflichtet.
Die Nichteinhaltung der Pflichten kann für den Betriebsrat erhebliche Folgen haben. Der Arbeitgeber kann die Übermittlung sensibler Daten davon abhängig machen, dass der Betriebsrat deren sachgerechte Behandlung nachweist. Wegen grober Datenschutzverletzungen kann der Betriebsrat auch aufgelöst werden. Die Weiterleitung der zur Vorbereitung einer Betriebsratswahl in einer Wählerliste gesammelten personenbezogenen Daten sämtlicher wahlberechtigten Mitarbeiter durch ein Wahlvorstandsmitglied an eine private E-Mailadresse stellt einen derart schwerwiegenden Pflichtenverstoß dar, dass dadurch das Vertrauensverhältnis zum Arbeitgeber irreparabel zerstört wird.