Positionen der Datenschutzaufsicht

Datenschutz-Aufsichtsbehörden orientieren sich im Wesentlichen am BAG-Urteil vom 9.4.2019 (1 ABR 51/17, NZA 2019, 1055), nach dem der Betriebsrat nach § 80 Abs 2 S 1 BetrVG einen Anspruch darauf, dass ihm der Arbeitgeber die Informationen mitteilt, die er zur Wahrnehmung seiner Aufgaben benötigt (hier die nach einer Anzeige gemäß § 15 Abs 1 MuSchG die Namen der schwangeren Arbeitnehmerin). Die damit verbundene Datenverarbeitung i.S.v. § 26 Abs 3 S 1 BDSG 2018 zur Erfüllung einer rechtlichen Pflicht aus dem Arbeitsverhältnis erforderlich. Soweit sich das Mitteilungsverlangen auf besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO (hier: Information über eine Schwangerschaft), so hat der Betriebsrat darzulegen, dass er angemessene und spezifische Schutzmaßnahmen zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer getroffen hat.. Für gesetzliche Interessenvertretungen bedeutet dies, dass sie Beschäftigtendaten verarbeiten dürfen, um ihre gesetzlichen oder kollektivvertraglichen Rechte und Pflichten erfüllen zu können. Voraussetzung ist dabei immer, dass das im Rahmen des BetrVG, des BPersVG bzw. der Personalvertretungsgesetze und/oder der Kollektivverträge (Tarifverträge, Betriebs- oder Dienstvereinbarungen) unter Beachtung der allgemeinen Anforderungen der DSGVO geschieht.

Die Frage der datenschutzrechtlichen Verantwortlichkeit von Interessenvertretungen wurde von den Aufsichtsbehörden unterschiedlich bewertet. § 79a BetrVG hat nun die gesetzliche Klarstellung hinsichtlich der Verantwortlichkeit des Betriebsrats geklärt. Allerdings bleiben nach Auffassung der Aufsichtsbehörden „… noch etliche Fragen hinsichtlich seiner praktischen Umsetzung ungeklärt. Insbesondere der Umgang mit Auskunftsersuchen oder der Kontrolle der Einhaltung des Datenschutzes bei der Gremienarbeit des Betriebsrats durch den Arbeitgeber sind noch nicht ausdifferenziert“ (Brink/Joos: Datenschutzrechtliche Folgen für den Betriebsrat nach dem Betriebsrätemodernisierungsgesetz, NZA 2021, 1440).

Der Landesbeauftragter für den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg fasst dies wie folgt zusammen:

„1. Mit dem Betriebsrätemodernisierungsgesetz visierte der Gesetzgeber eine Klärung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats an, lässt aber Fragen der praktischen Umsetzung und Durchsetzung weitgehend offen. So ist zu befürchten, dass sich um die Durchsetzung von § 79a BetrVG zunächst die Arbeitsgerichte werden bemühen müssen. Dies gilt umso mehr, da bei datenschutzrechtlichen Verstößen des Betriebsrats nach der gesetzlichen Vorgabe der Arbeitgeber sowohl Adressat für Bußgelder als auch für Schadensersatzforderungen ist. Damit stellt sich auch die (gesetzlich ungeklärte) Frage des Innenregresses.

2. Nicht bedacht hat der Gesetzgeber auch Ausnahmekonstellationen, wie etwa die des Konzernbetriebsrats. Dessen Konzernbetriebsratsmitglieder gehören, meist als Gesamtbetriebsräte, verschiedenen konzernangehörigen Arbeitgebern an. Folgerichtig würde man beim Konzernbetriebsrat von einer eigenen Verantwortlichkeit ausgehen.

3. Zum praktischen Umgang bei datenschutzrechtlichen Fragestellungen ist eine freiwillige Regelung der Vorgehensweise mittels einer Betriebsvereinbarung daher nicht nur denkbar, sondern dringend zu empfehlen.“ (Brink /Joos: Datenschutzrechtliche Folgen für den Betriebsrat nach dem Betriebsrätemodernisierungsgesetz, NZA 2021, 1440).“