Joachim Vetter, Dr. iur. Martin Nebeling
Rz. 654
In dem durch das BetriebsrätemodernisierungsG vom 14.6.2021 eingefügten § 79a BetrVG ist in S. 1 ausdrücklich festgehalten, dass der Betriebsrat bei der – eigenen – Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Daneben hat der Betriebsrat das Recht und die Pflicht, die Einhaltung datenschutzrechtlicher Bestimmungen im Betrieb zu überwachen (die Einhaltung gesetzlicher Vorschriften). Die Bestimmungen des Bundesdatenschutzgesetzes und der DSGVO sind, soweit sie auf die Arbeitnehmer des Betriebs anwendbar sind, zugunsten der Arbeitnehmer geltende Gesetze i.S.d. § 80 Abs. 1 Nr. 1 BetrVG (BAG v. 23.3.2021 – 1 ABR 31/19, juris).
Rz. 655
Bei der Weitergabe sensibler Daten an den Betriebsrat hat der Arbeitgeber die Beachtung des in § 26 Abs. 3 S. 3 i.V.m. § 22 Abs. 2 BDSG geregelten Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand. Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt (vgl. ausf. BAG v. 11.11.1997 – 1 ABR 21/97, zu B III 2 c aa der Gründe, juris). Daher hat der Betriebsrat bei der Geltendmachung eines auf sensible Daten gerichteten Auskunftsbegehrens das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwangerschaft mitteilenden Arbeitnehmerinnen – wahren. Den Betriebsrat trifft insoweit eine spezifische Schutzpflicht. Hierbei muss es sich nicht um die in § 22 Abs. 2 BDSG beispielhaft aufgeführten Schutzmaßnahmen handeln. Es ist aber zu gewährleisten, dass der Betriebsrat die Vertraulichkeit im Interesse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 S. 2 BDSG aufgelisteten Kriterien entsprechen. Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören (BAG v. 9.4.2019 – 1 ABR 51/17, juris).
Rz. 656
Zu den in § 26 Abs. 1 S. 1 BDSG genannten Zwecken dürfen personenbezogene Daten nur verarbeitet werden, soweit sie hierfür erforderlich sind. Dabei geht es um die Abwägung berechtigter Interessen, nämlich das legitime Interesse des Datenverarbeitenden mit dem Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung des Beschäftigten (Richardi/Thüsing, § 79a Rn 7; Fitting, § 79a Rn 25).
Rz. 657
In Rechtsprechung und Literatur war umstritten, ob der Betriebsrat selbst datenschutzrechtlich Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO ist, der die Pflicht zur Sicherstellung der DSGVO-Konformität, die Einrichtung eines Schutzniveaus, Informationspflichten gegenüber betroffenen Personen, Führen eines Verarbeitungsverzeichnisses, die Datenschutzfolgeabschätzung und die Meldepflicht bei Datenpannen zu erfüllen hat (vgl. etwa Lembke, in: FS Ingrid Schmidt, S. 277 ff.; Maschmann, S. 353 ff.) – oder ob diese Funktion trotz des Umstands, dass der Betriebsrat in weiten Teilen selbst über die Zwecke und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet, dem Arbeitgeber zukommt (vgl. Brink/Joos, NZA 2021, 1440).
Rz. 658
Diese Funktion ist jetzt durch § 79a S. 2 BetrVG dem Arbeitgeber auferlegt mit der Begründung, der Betriebsrat sei keine nach außen rechtlich verselbstständigte Institution (Richardi/Thüsing, § 79a Rn 3: problematisch beim Konzernbetriebsrat, der aber wohl der Konzernobergesellschaft zuzuordnen sei). Unabhängig davon hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit sicherzustellen – ansonsten eigentlich eine Pflicht der verantwortlichen Stelle. Andererseits trifft den Arbeitgeber die Pflicht zur Ausstattung mit Sachmitteln und damit auch mit datenschutzrechtlich ausreichendem Standard. Ob die Regelung nach Unionsrecht zulässig ist, ist höchst umstritten (Nachweise vgl. bei Maschmann, NZA 2021, 834).
Rz. 659
Hinweis
Aus der Stellung als Verantwortliche Stelle folgt, dass dem Arbeitgeber gewisse Einflussmöglichkeiten hinsichtlich der Datenschutzmaßnahmen des Betriebsrats eröffnet sein müssen. Schließlich haftet der Arbeitgeber für Verstöße. Allerdings darf hierbei die Unabhängigkeit des Betriebsrats nicht beeinträchtigt werden. Man wird dem Arbeitgeber daher gewisse allgemeine Auskunftsrechte – etwa darüber, ob Daten gelöscht worden sind – zubilligen müssen (so auch Richardi/Thüsing, § 79a Rn 12). Auch wird ein Beschlussverfahren auf Feststellung, dass und wie gewisse Daten verarbeitet, gespeichert, genutzt oder gelöscht werden müssen, möglich sein, in Extremfällen auch der Antrag auf Auflösung des Betriebsrats nach § 23 Abs. 1 BetrVG (vgl. GK/Franzen, § 79a Rn 12). Im Einzelnen steht die Diskussion hierüber noch am Anfang. Sinnvoll wäre etwa die ...