Gemäß § 26 Abs. 1 BDSG ist die Verarbeitung personenbezogener Beschäftigtendaten zur Ausübung bzw. Erfüllung der Rechte und Pflichten der Interessenvertretung der Beschäftigten, namentlich von Betriebs- und Personalräten, zulässig. Das bedeutet z. B., dass die vom Arbeitgeber übermittelten sowie weitere rechtmäßig erlangte Daten aus der Arbeit des Gremiums gespeichert und weiterverarbeitet werden dürfen. Voraussetzung ist dabei immer, dass dies im Rahmen der Aufgabenerfüllung nach dem BetrVG, des BPersVG bzw. der Personalvertretungsgesetze der Länder und der Kollektivverträge unter Beachtung der allgemeinen Grundsätze der DSGVO und des BDSG geschieht.
Lange wurde darüber gestritten, ob diese Erlaubnis dazu führt, dass die Interessenvertretung ‚Verantwortlicher‘ im Sinne des Art. 4 Nr. 7 DSGVO ist. Aufsichtsbehörden hatten unterschiedliche Auffassungen zu der Frage, ob gesetzliche Interessenvertretungen im Hinblick der von ihnen verarbeiteten Verantwortliche sind. Diese Streit ist durch das Betriebsrätemodernisierungsgesetz (in Kraft seit 18.6.2021) geklärt worden. In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt.
§ 79a Satz 2 BetrVG stellt nun klar: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Die Gesetzesbegründung verweist dabei auf die innerorganisatorische Selbstständigkeit und Weisungsfreiheit des Betriebsrats. Arbeitgeber und Betriebsrat sollen bei der Erfüllung der datenschutzrechtlichen Pflichten zusammenarbeiten, weil sie in vielfacher Weise auf gegenseitige Unterstützung angewiesen sind. Allerdings geht daraus nicht hervor, wer nun welche datenschutzrechtlichen Anforderungen zu erfüllen hat. Vor allem der Umgang mit Auskunftsersuchen oder der Kontrolle der Einhaltung des Datenschutzes in den Gremien der Interessenvertretungen sind noch nicht klar geregelt.
Aufgrund seiner Stellung als Verantwortlicher hat der Arbeitgeber das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führt. Die gesetzliche Interessenvertretung hat „innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit (…) sicherzustellen“ (Entwurf eines Gesetzes zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt, 30.3.2021, Seite 23). Es empfiehlt sich, dass der Betriebsrat bzw. Personalrat selbst ein Verzeichnis erstellt und dem Arbeitgeber zur Verfügung stellt. Ein solches Vorgehen würde die Unabhängigkeit des Gremiums nicht berühren, da im Verzeichnis nur formale sowie technisch-organisatorische Angaben aufzunehmen sind.
Eine weitere noch ungeklärte Frage besteht hinsichtlich der Vorgehensweise bei Auskunftsersuchen von Beschäftigten zu den beim Betriebsrat gespeicherten Daten. Auch dieses Problem hat der Gesetzgeber erkannt und im Wege einer gegenseitigen Unterstützungspflicht zu lösen versucht. So ergibt sich aus der Begründung des Gesetzentwurfs, dass „auch bei den datenschutzrechtlichen Auskunftsrechten (…) der Arbeitgeber, wenn der Auskunftsanspruch sich auf die durch den Betriebsrat verarbeiteten Daten bezieht, auf die Unterstützung durch den Betriebsrat angewiesen [ist]“ (Entwurf eines Gesetzes zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt, 30.3.2021, Seite 23).
Durch die Unabhängigkeit der gesetzlichen Interessenvertretungen besteht das Problem darin, dass ein reiner Zwang zur Offenlegung die Interessenvertretung beinträchtigen könnte. Daher ist ein koordinierter Umgang zwischen Arbeitgeber und Interessenvertretung ratsam.
Zum praktischen Umgang bei den o.g. datenschutzrechtlichen Fragestellungen ist eine freiwillige Regelung (mittels Betriebs- oder Dienstvereinbarung) zur Vorgehensweise sinnvoll.