Am 18. Juni 2021 trat das neue Betriebsrätemodernisierungsgesetz[1] in Kraft, das zahlreiche Änderungen des Betriebsverfassungsgesetzes (BetrVG) vorsieht. Unter anderem wurde der neue Paragraph 79a in das BetrVG eingeführt, der zum datenschutzrechtlichen Verhältnis zwischen Betriebsrat und Verantwortlichem Stellung bezieht.
Hintergrund zur Änderung im Betriebsverfassungsgesetz
Bei Datenverarbeitungen des Betriebsrats war es bisher ungeklärt, ob diese dem Arbeitgeber als verantwortliche Stelle im Sinne der Datenschutzgrundverordnung (DS-GVO) unterfallen oder ob der Betriebsrat selbst Verantwortlicher ist. Dieser Streitstand wirkte sich nicht nur auf die Erstellung und Pflege der Verarbeitungsverzeichnisse aus, sondern führte auch zu Rechtsunsicherheiten hinsichtlich der Frage, unter welchen Umständen personenbezogene Daten zwischen Betriebsrat und Unternehmen ausgetauscht werden dürfen.
Was ist neu im Betriebsverfassungsgesetz?
Der neue § 79a BetrVG[2] soll Rechtsklarheit über das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber schaffen, indem er den Arbeitgeber als Verantwortlichen im Sinne der DSGVO auch für Datenverarbeitungen des Betriebsrats eindeutig festlegt:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ (§ 79a, Satz 2 BetrVG).
Im Umkehrschluss bedeutet dies, dass keine Verantwortlichkeit des Arbeitgebers vorliegt, wenn der Betriebsrat außerhalb seiner gesetzlichen Aufgaben handelt und dabei personenbezogene Daten erhebt. Über die Haftungsfrage in letztgenannten Konstellationen schweigt der Gesetzgeber allerdings.
Für die Umsetzung technischer und organisatorischer Maßnahmen bleibt der Betriebsrat eigenverantwortlich, was der Linie der bisherigen Rechtsprechung entspricht.
Daneben treffen beide Seiten Unterstützungspflichten zur Einhaltung der Datenschutzgesetze „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ (Kooperationsgebot, § 79a, Satz 3 BetrVG). In welcher Form und unter welchen Voraussetzungen diese Pflichten ausgeübt werden sollen, wird auch in der Gesetzesbegründung offengelassen. Insbesondere ergeben sich aus dieser grundsätzlich begrüßenswerten Regelung diverse Folgefragen, z.B. im Rahmen von Betroffenenanfragen.
Die Stellung und Aufgaben des Datenschutzbeauftragten gemäß der Artikel 38 und 39 DS-GVO gelten auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle. So kann und sollte der Betriebsrat den Datenschutzbeauftragten in seine Prozesse einbeziehen und dessen Beratung in Anspruch nehmen; umgekehrt bestehen auch Kontrollbefugnisse des Datenschutzbeauftragten gegenüber dem Betriebsrat.
Allerdings gilt die Verschwiegenheitspflicht des Datenschutzbeauftragten bei der Zusammenarbeit auch gegenüber dem Arbeitgeber, sofern es sich um Informationen handelt, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen (§ 79a, Satz 4 BetrVG).
Unsere Empfehlung zur Änderung im Betriebsverfassungsgesetz
Unternehmen sollten nun überprüfen, wie die datenschutzrechtliche Rolle des Betriebsrats in der Vergangenheit bewertet wurde und gegebenenfalls Maßnahmen treffen, um künftig rechtskonform agieren zu können.
Dazu gehört die Aufnahme der Datenverarbeitungen des Betriebsrats in das Verarbeitungsverzeichnis des Arbeitgebers (Art. 30 DS-GVO) und die Festlegung von Prozessen im Falle von Betroffenenanfragen (z.B. Auskunftsanfragen nach Art. 15 DS-GVO).
Zur Klärung verbleibender Konfliktpunkte bietet sich auch der Einsatz von Rahmenvereinbarungen an, die eine grundsätzliche Aussage zum Datenaustausch zwischen Arbeitgeber und Betriebsrat treffen und die Rechte und Pflichten jeder Stelle festlegen.
Da sich die Pflichten des Datenschutzbeauftragen nach der Gesetzesänderung auch auf den Betriebsrat erstrecken, sollte dieser zur Beratung bei der Analyse und Optimierung der Prozesse hinzugezogen werden.
[1] Bundesgesetzblatt (bgbl.de)
[2] Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.