RA Volker Stück, Bonn, Syndikusrechtsanwalt sowie Lead Expert Arbeitsrecht & Mitbestimmung, BWI GmbH, Bonn
Die Vorschriften der seit dem 25.05.2018 geltenden Datenschutz-Grundverordnung (DSGVO) sehen für Unternehmer verschärfte Informations- und auchLöschpflichten vor. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen erhebliche Haftungsrisiken (Art. 83 DSGVO; Konzept der Datenschutzkonferenz (DSK) zur Zumessung von Geldbußen v. 14.10.2019). So wurde in Berlin gegen die Deutsche Wohnen ein Rekordbußgeld i.H.v. 14,5 Mio € verhängt (vgl. EU Bußgeldübersicht unter https://www.enforcementtracker.com).
GELTUNG DES DATENSCHUTZES AUCH FÜR DEN BETRIEBSRAT
Die DSGVO und § 26 BDSG gelten selbstverständlich auch für die Datenverarbeitung durch Betriebsräte (Plath-Stamer/Kuhnke, DSVO & BDSG, 3. Aufl. 2018, § 26 BDSG Rz. 157; BAG v. 07.05.2019 – 1 ABR 53/17, NZA 2019, 1218). Denn Datenschutz dient dem Schutz der Persönlichkeit der Arbeitnehmer des Betriebes. Der Betriebsrat hat unter Beachtung seiner Unabhängigkeit eigenständig über Maßnahmen zu beschließen, um einem Missbrauch der Daten innerhalb seines Verantwortungsbereichs zu begegnen und dort Datensicherheit zu gewährleisten (Art. 5 Abs. 1 f DSGVO; Art. 32 DSGVO; Kort ZD 2017, 323). Außerdem muss der Betriebsrat die jeweils geltenden betrieblichen Datenschutzbestimmungen einhalten und diese soweit wie möglich ergänzen.
Das Datengeheimnis bindet auch den Betriebsrat und wird nicht etwa durch die besonderen gesetzlichen Verschwiegenheitspflichten des Betriebsverfassungsgesetzes (§ 79 BetrVG, § 82 Abs. 2 S. 3; § 83 Abs. 1 S. 3; § 99 Abs. 1 S. 3, § 102 Abs. 2 S. 5 BetrVG) verdrängt. Es gilt auch für den Betriebsrat und seine Mitglieder (Fitting. § 79 BetrVG Rz. 36). Dies führt nicht zu einer Einschränkung oder Erschwerung der Betriebsratsarbeit (§ 78 BetrVG), denn die Nutzung erforderlicher Daten zur Erfüllung und im Rahmen der gesetzlichen Betriebsratsaufgaben ist nicht unbefugt (Art. 6 Abs. 1 c DSGVO; § 26 Abs. 1 S. 1 BDSG i.V.m. BetrVG Befugnisnorm).
Solche Schutzmaßnahmen zur Datensicherheit sind insbesondere das zuverlässige Sicherstellen des Verschlusses der Daten, die Sicherstellung begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung seiner Aufgabe gemäß BetrVG (BAG v. 09.04.2019 – 1 ABR 51/17, NZA 2019, 1055).
Ein allgemeines Recht des Betriebsrats oder seiner Mitglieder auf das Personalinformationssystem des Arbeitgebers (z.B. SAP-HR) zuzugreifen besteht nicht (Simitis/Seifert, Datenschutzrecht 2019, Art. 88 DSGVO Rz. 212). Auch der Aufbau eines eigenen parallelen Personalinformationssystems bzw. eigener Personalakten des Betriebsrats ist unzulässig (LAG Hamburg v. 26.11.2009 – 7 TaBV 2/09; BVerwG v. 04.09.1990 – 6 P 28.87, NJW 1991, 375). Der Betriebsrat ist nur für die Dauer der konkreten Ausübung des Beteiligungsrechts berechtigt, personenbezogene Daten der Arbeitnehmer einzusehen und zu speichern – eine dauerhafte „Vorratsdatenspeicherung“ durch ihn ist unzulässig (LAG Köln v. 28.06.2011 – 12 TaBV 1/11; BVerwG v. 04.09.1990 – 6 P 28.87, NJW 1991, 375). Gewährt das BetrVG dem Betriebsrat lediglich ein Recht auf Einsichtnahme, ist es grundsätzlich verwehrt, die Daten zu speichern oder selbst weiterzuverarbeiten (Simitis/Seifert,Datenschutzrecht 2019, Art. 88 DSGVO Rz. 212).
BEISPIEL: Dem Betriebsrat werden im Rahmen einer beabsichtigten Einstellung sowie Eingruppierung nach § 99 BetrVG Informationen gegeben sowie Unterlagen der Bewerber vorgelegt. Diese personenbezogenen Daten sind zu löschen, wenn der Betriebsrat der Einstellung zugestimmt hat oder die Wochenfrist abgelaufen ist (§ 99 Abs. 3 BetrVG) oder ein Zustimmungsersetzungsverfahren rechtskräftig beendet ist.
BETRIEBSRAT ALS EIGENER VERANTWORTLICHER?
Nach altem Recht (§ 3 Abs. 7 BDSF. a.F) galt der Betriebsrat als Teil des Verantwortlichen (BAG v. 07.02.2012 – 1 ABR 46/10, NZA 2012, 744). Nach DSGVO und BDSG 2018 ist heftig umstrittenen, ob der Betriebsrat Teil des Verantwortlichen bzw. Arbeitgebers (Stück, ZD 2019, S. 258) oder aber eigener Verantwortlicher i.S.d. § 4 Nr. 7 DSGVO ist (Kleinebrink, DB 2018, 2571). Das BAG hat dies bisher offengelassen. Die Datenverarbeitung durch den Betriebsrat ist richtigerweise keine Auftragsdatenverarbeitung i.S.d. Art. 28 DSGVO und den Betriebsrat treffen nicht selbst Pflichten wie Erfüllen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGV), der Informationspflichten (Art. 13, 14 DSGVO), der Betroffenenrechte (Art. 15 DSGVO), Abschluss von Auftragsverarbeitungen (Art. 28 DSGVO), Führen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO), Durchführen der Datenschutz-Folgeabschätzung (Art. 35 DSGVO) oder Bestellung eines eigenen Datenschutzbeauftragten bei mehr als 20 Betriebsräten (Art. 37 Abs. 1 DSGVO; § 38 Abs. 1 S. 1 BDSG in neuester Fassung ab 26.11.2019, BGBl. 2019, S. 1634) sowie eigener Haftung bei Vermögenslosigkeit des BR-Gremiums.
WELCHE DATEN DARF DER ARBEITGEBER DEM BETRIEBSRAT GEBEN?
Da der Betriebsrat Teil der verantwortlichen Stelle i.S.d. Art. 4 Nr. 7 DSGVO und nicht etwa „Dritter“ i.S.d. Art. 4 Nr. 10 DSGVO war und ist, ist die Bereitstellung personenbezogener Daten durch den Arbeitgeber als Verarbeitung i.S.d. § Art. 4 Nr. 2 DSGVO anzusehen. Die Bereitstellung an den Betriebsrat und die Datenverarbeitung durch den Betriebsrat ist dabei an § 26 Abs. 1 S. 1 BDSG n.F. i.V.m. Aufgabennormen nach BetrVG zu messen (Simitis/Seifert, Datenschutzrecht 2019, Art. 88 DSGVO Rz. 210 f.; BAG v. 07.05.2019 – 1 ABR 53/17, NZA 2019, 1218). Sie ist zulässig, wenn und solange ein Bezug zu den gesetzlichen Aufgaben des Betriebsrats (Art. 6 Abs. 1 c DSGVO i.V.m. insbes. § 87 Abs. 1 Nr. 1, 6, 7; § 94, § 80 Abs. 2, § 99 Abs. 1, § 102 BetrVG) besteht (Auernhammer/Forst, DSGVO & BDSG, 6. Aufl. 2018, § 26 BDSG Rz. 104). Besteht kein solcher Bezug, ist die Datennutzung durch den Arbeitgeber und in der Folge die Datennutzung durch den Betriebsrat unzulässig.
BEISPIEL: Der Arbeitgeber ist nicht berechtigt, dem Betriebsrat ohne Einverständnis der betroffenen Arbeitnehmer alle Abmahnungen zu überlassen (BAG v. 17.09.2013 – 1 ABR 26/12, NZA 2014, 269). Im Rahmen der BR Anhörung vor einer verhaltensbedingten Kündigung muss der Arbeitgeber über erteilte Abmahnungen und erfolgte Gegendarstellungen des Arbeitnehmers nach § 102 BetrVG unterrichten, da sonst die Kündigung unwirksam ist.
Das BAG hat entschieden, dass der Betriebsrat auch nach neuen Recht ein namentliches Einsichtsrecht in die Bruttoentgeltlisten nach § 80 Abs. 2 BetrVG hat (BAG v. 07.05.2019 – 1 ABR 53/17, NZA 2019, 1218). Die Weitergabe von Arbeitnehmerdaten durch den Betriebsrat an Dritte (einschließlich Gewerkschaften) ist nur zulässig, wenn keine gesetzlichen Verschwiegenheitspflichten bestehen (§ 79 BetrVG, § 82 Abs. 2 S. 3 § 83 Abs. 1 S. 3; § 99 Abs. 1 S. 3, § 102 Abs. 2 S. 5 BetrVG) und dies nach dem BetrVG zur Wahrnehmung gesetzlicher Aufgaben des Betriebsrats erforderlich ist (Simitis/Seifert, Datenschutzrecht 2019, Art. 88 DSGVO, Rz. 213). Eine Datenerhebung/- nutzung über die gesetzlichen Aufgaben des Betriebsrats hinaus wäre nur mit vorheriger, informierter und widerruflicher Einwilligung des Betroffenen (Art. 7 DSGV, § 26 Abs. 2 BDSG n.F.) möglich.
WER KONTROLLIERT WEN & KOMPATIBILITÄTSFRAGEN
Die Datenschutzkontrolle wird in der BRD nach dem 3 Säulen Modell wahrgenommen von:
1. Betriebsrat (§ 80 Abs. 1 Nr. 1 BetrVG i.V.m. DSGVO, BDSG);
2. betrieblichen Datenschutzbeauftragten sowie
3. staatlichen Aufsichtsbehörde.
Ein allgemeines Kontrollrecht des Betriebsrates gegenüber dem betrieblichen Datenschutzbeauftragten besteht nicht (Art. 38 DSGVO; Kort NZA 2015, 1351). Ob auch die Betriebsräte einer Kontrolle des Datenschutzbeauftragten unterworfen sind, war umstritten. Nach altem Recht hatte das BAG dies abgelehnt (BAG v. 11.11.1997 – 1 ABR 21/97, NZA 1998, 385). Da die Datenverarbeitung des Betriebsrats Teil der Datenverarbeitung durch den Verantwortlichen ist und der Datenschutzbeauftragte weisungsunabhängiges Organ, das keine unternehmerische oder behördliche Tätigkeit wahrnimmt sowie zur Geheimhaltung/Verschwiegenheit verpflichtet ist (Art. 38 Abs. 5, Art. 6 Abs. 6 DSGVO, Art. 38 Abs. 2 BDSG), gibt es keine kontrollfreie Datenverarbeitung mehr. Der Datenschutzbeauftragte ist nach Art. 38 Abs. 2 DSGVO berechtigt und verpflichtet Betriebsräte – aber auch Berufsgeheimnisträger wie Betriebsärzte und Syndikusrechtsanwälte (vgl. § 203 StGB) – zu beraten und kontrollieren (Simitis/Drewes, Datenschutzrecht, 2019, Art. 39 DSGVO Rz. 27). Ein BRMitglied kann auch betrieblicher Datenschutzbeauftragter werden (BAG v. 23.03.2011 – 10 AZR 562/09, NZA 2011, 1036; LAG Sachsen v. 19.08.2019 – 9 Sa 268/18).
BETRIEBSRAT & BETRIEBSVEREINBARUNG ALS CHANCE
Wie das alte Datenschutzrecht ist auch das neue als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Nach Art. 88 DSGVO sowie § 26 Abs. 4 BDSG sind Betriebsvereinbarungen nach wie vor eine verlässliche und rechtssichere Grundlage zur Datenverarbeitung im Beschäftigungskontext i.S.d. Art. 6 DSGVO, wenn sie dem Bestimmtheits- und Transparenzgebot (Art. 5 DSGVO) entsprechen und den Schutz der Persönlichkeitsrechte der Arbeitnehmer gewährleisten (§ 75 Abs. 2 S. 1 BetrVG; Kühling/Buchner/Maschmann, DSGVO & BDSG, 2. Aufl. 2018, § 26 BDSG Rz. 66; BAG v. 25.04.2017 – 1 ABR 46/15, NZA 2017, 1205). Bereits vor der DSGVO und § 26 Abs. 4 BDSG n.F. abgeschlossene Betriebsvereinbarungen bleiben weiter gültig und können nach wie vor als Ermächtigungsgrundlage für eine Datenverarbeitung dienen, solange sie die Anforderungen von Art. 88 Abs. 2 DSGVO erfüllen.
Betriebsvereinbarungen gelten wie ein Gesetz unmittelbar und zwingend (§ 77 Abs. 4 BetrVG). Mit Betriebsvereinbarungen erübrigen sich häufig auch komplexe und differenzierte Betrachtungen bzw. Regelungen zwischen mitbestimmungsfreien bzw. freiwilligen (§ 88 BetrVG) und zwingend mitbestimmten Regelungen (insbes. § 87 Abs. 1 Nr. 1, 6 BetrVG; BAG v. 22.07.2008 – 1 ABR 40/07, NJW 2008, 3731: Ethik Richtlinie). Eine spätere kollektive Änderung ist einfach möglich durch Neufassung/Ablösung der Betriebsvereinbarung statt einer Vielzahl von Änderungsverträgen bzw. kaum zu rechtfertigenden Änderungskündigungen (§§ 2, 1 Abs. 2 KSchG). Solche kollektiven Regelungen sind zudem einer AGB-Kontrolle entzogen (§ 310 Abs. 4 BGB). Faktisch haben sie meist auch höhere Akzeptanz bei den Beschäftigten und beseitigen das Risiko des jederzeitigen Widerrufs mit Zukunftswirkung, das stets mit der datenschutzrechtlichen Einwilligung (Art. 7 DSGVO; § 36 Abs. 2 BDSG) verbunden ist.