Aufsatz : Die Verarbeitung von Beschäftigtendaten im Rahmen betriebsverfassungsrechtlicher Aufgaben in § 26 Abs. 1 S. 1 BDSG-n.F. : aus der RDV 3/2017, Seite 111 bis 116
Das Gesetzgebungsverfahren zur Verabschiedung des Datenschutz-Anpassungs- und -Umsetzungsgesetzes, dessen Schwerpunkt eine die DS-GVO ergänzende Neufassung des BDSG ist, abgeschlossen. Der Beschäftigtendatenschutz enthält in § 26 BDSG-n.F. eine bereichsspezifische Regelung, die umfangreicher ausfällt als die jetzige Regelung des § 32 BDSG.
Der Beitrag widmet sich den für die Verarbeitung von Beschäftigtendaten für Zwecke der Kollektivvertretungen neuen Zulässigkeitstatbeständen. Diese geben der Beachtung von schutzwürdigen Interessen von Beschäftigten Raum, ohne die berechtigten Informationsansprüche des Betriebs- bzw. Personalrats zu reduzieren.
I. Das neue BDSG auf der Zielgeraden
Am 1.2.2017 wurde vom Bundeskabinett das DS-AnpUG verabschiedet und damit in das Gesetzgebungsverfahren eingebracht.[1] Der Bundestag hat das Gesetz am 27.04.2017 verabschiedet.[2] Der Bundesrat hat die Zustimmung am 12.05.2017 erteilt.
Im Mittelpunkt des Gesetzes steht ein neues BDSG, mit dem die DS-GVO ergänzt und präzisiert werden soll. Enthalten soll das neue BDSG (nachfolgend: BDSG-n.F.) auch eine bereichsspezifische Norm zum Beschäftigtendatenschutz, die sich im Wesentlichen auf die Öffnungsklausel des Art. 88 Abs. 1 DS-GVO stützt. Die vorgesehene Regelung in § 26 BDSG-n.F. wird damit § 32 BDSG als bisherige lex regia des Beschäftigtendatenschutzes ablösen. Sie lautet:
§ 26 BDSG-n.F. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
1. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
2. Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
3. Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.
4. Die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
5. Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
6. Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
7. Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
II. Wesentliche Regelungen des neuen § 26 BDSG-n.F.
Mit dieser Norm würde der Regelungsgehalt von § 32 BDSG im Kern unverändert fortgeführt. § 26 Abs. 1 S. 1 BDSG-n.F. erlaubt weiterhin die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, sofern die Erforderlichkeit gegeben ist. Die Terminologie wurde im Vergleich zu § 32 Abs. 1 S. 1 BDSG leicht geändert und an die DS-GVO angepasst. So ist etwa nur noch von der „Verarbeitung“ die Rede, nicht mehr von der „Erhebung“, „Verarbeitung“ oder „Nutzung“. Im Übrigen wird die unnötig komplizierte Sprache der bisherigen Regelung übernommen.[3] Ebenso wird leider auch die wenig gelungene und in der Rechtsprechung[4] zuletzt vermehrt für Unsicherheit sorgende Regelung für Datenverarbeitungen zur Aufklärung eines Straftatverdachts (jeweils Abs. 1 S. 2) beibehalten. Der Gesetzgeber hat die Gelegenheit für eine Klarstellung verpasst, welche Regelung bei der Aufklärung sonstiger schwerwiegender Pflichtverletzungen eingreift. Ebenso wurde die einschränkende Rechtsprechung des BAG zum Anwendungsbereich von § 32 Abs. 1 S. 2 BDSG nicht aufgegriffen. Nach Ansicht der Erfurter Richter ist die Anwendbarkeit dieser Vorschrift aufgrund der erhöhten Anforderungen (Einschränkung des Kreises der Betroffenen[5]; Dokumentationspflicht) nur gerechtfertigt, wenn es sich um eine besonders eingriffsintensive Überwachungsmaßnahme vergleichbar einer Videoüberwachung handelt.[6] So sei etwa die Anhörung des Arbeitnehmers zur Vorbereitung einer Verdachtskündigung keine solche Überwachungsmaßnahme. Sie könne daher nach § 32 Abs. 1 S. 1 BDSG gerechtfertigt werden.
Hinzugetreten ist in § 26 Abs. 1 S. 1 BDSG-n.F. ein zweiter Erlaubnistatbestand, nach dem auch die „zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten“ erforderlichen Verarbeitungen gestattet werden. Der Gesetzgeber sieht diese Regelung offensichtlich als notwendig an, da er die allgemeinen Informationspflichten des BetrVG nicht als der DS-GVO vorrangige Normen betrachtet. Zugleich dürfte er hiermit beabsichtigt haben, zusammen mit § 26 Abs. 4 BDSG-n.F. eine klarstellende Regelung mit Blick auf die Öffnungsklauseln der DS-GVO zu schaffen.
III. Öffnungsklauseln der DS-GVO mit Relevanz für den Beschäftigtendatenschutz
Die Rechtsetzungsbefugnis des nationalen Gesetzgebers, die grundsätzlich unmittelbar und zwingend geltende DS-GVO um nationale Regelungen zum Beschäftigtendatenschutz zu ergänzen, ergibt sich aus in der Verordnung enthaltenen Öffnungsklauseln, die sowohl Regelungsaufträge als auch in das Ermessen des nationalen Gesetzgebers gestellte Regelungsmöglichkeiten enthalten. Mit Blick auf den Beschäftigtendatenschutz ist vor allem der vom Gesetzgeber in Bezug genommene[7] Art. 88 DS-GVO[8] die einschlägige Regelung, auf die sich nationale Rechtsvorschriften stützen können.
Weitere Öffnungsklauseln mit Relevanz für Beschäftigtendaten sind Art. 9 Abs. 2 lit. b) DS-GVO sowie Art. 9 Abs. 4 DS-GVO für den Umgang mit sensiblen Daten, ferner Art. 6 Abs. 1 lit. c) („rechtliche Verpflichtung“) und Art. 6 Abs. 1 lit. e) DS-GVO. Soweit es um Beschäftigungsverhältnisse im öffentlichen Dienst geht, d.h. um die Erledigung der öffentlichen Aufgaben und die dazu ggf. auszuübende öffentliche Gewalt gestattet Art. 6 Abs. 1 lit. e) i.V.m. Abs. 2 DS-GVO den Mitgliedsstaaten spezifischere Regelungen zu erlassen.[9] Der ausdrückliche Einbezug der besonderen Verarbeitungssituationen des Kapitels IX, zu denen auch der Beschäftigtendatenschutz zählt, verdeutlicht die spezielle Regelungskompetenz nicht nur des Bundes, sondern auch der Bundesländer.[10] Hinsichtlich der in § 26 BDSG-n.F. ebenfalls erwähnten Beamten wäre die Bezugnahme auf diese Ermächtigungsnorm korrekt gewesen.
IV. Der Geltungsbereich des § 26 BDSG-n.F.
Erlaubt wird in § 26 BDSG-n.F. die Verarbeitung personenbezogener Daten von betroffenen Personen in ihrer Rolle als „Beschäftigte“. Wer zu dem Kreis der besonders geschützten Beschäftigten zählen soll, regelt § 26 Abs. 8 BDSG-n.F., wobei dies die bereits in § 3 Abs. 11 BDSG aufgezählten Personenkreise inklusive der nunmehr auch erwähnten Leiharbeitnehmer sind.
Sodann wird der Anwendungsbereich auf das Vorfeld bzw. auf die Zeit nach Ende des Arbeits- bzw. Beschäftigungsverhältnisses erstreckt, indem Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, genannt werden.
Am Ende der Aufzählung, also nach der Benennung der Bewerber und Ausgeschiedenen folgen wie bislang in § 3 Abs. 11 Nr. 8 BDSG die Beamten, Richter, Soldaten und Zivil dienstleistenden. Kaum erkennbar ist der Nutzen, der für Beamte in der Einbeziehung in § 26 BDSG-n.F. bestehen soll, da § 26 BDSG-n.F. ebenso wie das insgesamt subsidiäre BDSG-n.F. gegenüber tatbestandsmäßig spezifischen Rechtsvorschriften des Bundes grundsätzlich zurücktritt (s. § 1 Abs. 2 S. 1 BDSG-n.F.). Nach § 1 Abs. 2 S. 1 BDSG-n.F. kommt § 26 BDSG-n.F. somit für Beamtendaten nicht zum Tragen, soweit das Personalaktenrecht abschließend[11] bereichsspezifisch geregelt ist – dies ist insbesondere bei §§ 106 ff. BBG der Fall.
In sachlicher Hinsicht knüpft § 26 Abs. 7 BDSG-n.F. ebenfalls an die bisherige Regelung des § 32 Abs. 2 BDSG an, indem sämtliche Verarbeitungen personenbezogener Daten erfasst werden. Somit sind abweichend von Art. 2 Abs. 1 DS-GVO nicht allein dateigebundene oder automatisierte Verarbeitungs formen am Beschäftigtendatenschutz zu messen, sondern jedwede Form der Informationsgewinnung.[12] Dies gilt auch für bei der Mitarbeitervertretung stattfindende Verarbeitungen.
V. Datenverarbeitung des Arbeitgebers mit der Zweckbestimmung des § 26 Abs. 1 S. 1 Zulässigkeitsalternative 2 BDSG-n.F.
1. Der Vorrang der Informationsregelungen des BetrVG
Das neue BDSG ist ebenso wie das alte als „Auffanggesetz“ konzipiert; es tritt gegenüber spezifischen Rechtsvorschriften des Bundes grundsätzlich zurück (§ 1 Abs. 2 S. 1 BDSG-n.F.).
Das bedeutet, dass die Erlaubnisnorm des § 26 Abs. 1 S. 1 BDSG-n.F. mit ihrer Gestattung von Datenverarbeitungen, die zur Erfüllung von Rechten und Pflichten der Interessenvertretungen erforderlich sind, nicht zum Zuge kommt, wenn sich die diesbezügliche Befugnis bzw. Verpflichtung bereits aus dem Betriebsverfassungs- oder Bundespersonalvertretungsgesetz oder auch einer Betriebsvereinbarung ergibt.
Durch § 1 Abs. 2 S. 2 BDSG-n.F. wird jedoch ergänzend klargestellt, dass die jeweilige bereichsspezifische Spezialregelung nur vorrangig ist, wenn eine Tatbestandskongruenz vorliegt. Diese ist im Einzelfall nach den Tatbeständen des jeweiligen bereichsspezifischen Gesetzes zu beurteilen. Eine Norm außerhalb des BDSG rechtfertigt im Übrigen eine Datenverarbeitung nur, wenn sie eine konkrete Aussage bezüglich der Art der Daten und ihrer Zweckbestimmung trifft. Es genügt also nicht, dass lediglich abstrakt eine Aufgabe oder Zuständigkeit beschrieben wird, zu deren Erfüllung ggf. personenbezogene Daten benötigt werden.[13] Inwieweit im Einzelfall die Bestimmungen des BetrVG/BPersVG über Informationspflichten des Arbeitgebers gegenüber der Mitarbeitervertretung Vorrang vor § 26 Abs. 1 S. 1 BDSG-n.F. haben, ist unter diesen Vorgaben zu klären.
Dieser Vorrang kann für Bestimmungen bejaht werden, die sowohl die Art der personenbezogenen Information als auch die Art und Weise des Informationsflusses regeln. Eine solche konkrete, das BDSG verdrängende Bundesvorschrift stellt u.a. § 80 Abs. 2 S. 2 Halbs. 2 BetrVG dar, der dem Betriebsrat ein Recht auf Einsicht in Bruttolohn- und Gehaltslisten gibt. [14] Gewährt werden kann nur die Einsichtnahme. Ein Online-Zugriffsrecht steht dem Betriebsrat nicht zu und kann ihm auch nicht freiwillig eingeräumt werden.[15] Die Erforderlichkeit der Maßnahme ist vorgegeben und eventuelle entgegenstehende Wünsche von einzelnen Beschäftigten sind irrelevant, d.h. Individualrechte haben gegenüber dem kollektivrechtlich begründeten Einsichtsrecht zurückzustehen.
Eine Prüfung des BDSG entfällt in einem solchen Fall nach derzeitigem und zukünftigen Recht – also § 32 BDSG bzw. § 26 BDSG-n.F. – infolge seiner Subsidiarität (§ 1 Abs. 3 S. 1 BDSG; § 1 Abs. 2 S. 1 BDSG-n.F.). Wenn das BAG[16] gleichwohl festhält, dass, wenn der Arbeitgeber einem Betriebsratsmitglied nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG Einsicht in die Gehaltslisten gewährt, es sich um eine nach § 32 Abs. 1 BDSG zulässige Datennutzung handele, so ist dies eine überflüssige Begründungsschleife, denn auf § 32 Abs. 1 S. 1 BDSG kommt es in diesem Fall nicht an.
Ein weiteres Beispiel einer vorrangigen Regelung gibt § 99 Abs. 1 S. 1 BetrVG, nach dem im Rahmen der Mitbestimmung über eine Einstellung oder Versetzung dem Betriebsrat die Bewerbungsunterlagen aller Interessenten vorzulegen sind, nebst evtl. Schriftstücke, die der Arbeitgeber im Rahmen des Bewerbungsverfahrens über die Bewerber erstellt und bei seiner Auswahlentscheidung berücksichtigt hat.[17]
Keine das BDSG verdrängende Regelung beinhalten jedoch die allgemeinen Informationspflichten des § 80 Abs. 2 S. 1 Halbs. 1 und S. 2 Halbs. 1 BetrVG bzw. § 68 Abs. 2 S. 1 und 2 BPersVG, die nur pauschal zur Weitergabe erforderlicher Informationen zur Wahrnehmung der Aufgaben der Mitarbeitervertretung und zur Vorlage diesbezüglicher Unterlagen verpflichten. Eine Aussage dazu, ob und wann hiervon auch bestimmte personenbezogene Daten erfasst werden und wie die „Vorlage“ zu erfolgen hat, ist nicht erkennbar.[18] Inzwischen hat sich auch das BAG[19] von der früher vertretenen Auffassung eines apodiktischen Vorrangs von § 80 Abs. 2 BetrVG verabschiedet, wenn es im Rahmen der Unterrichtungsverpflichtung über die sensiblen Daten des Eingliederungsmanagements § 28 Abs. 6 Nr. 1 BDSG prüft – was sich dogmatisch verbieten würde, wenn BDSGNormen durch § 80 Abs. 2 BetrVG präkludiert würden.
Aus dem Gesagten ergibt sich auch, dass, da das BPersVG keine ausdrücklichen Regelungen zur Einsichtnahme in Bruttolohn und Gehaltslisten oder zur Vorlage sämtlicher Bewerbungsunterlagen kennt, für diese der Mitarbeitervertretung gleichwohl zugestandenen Informationen[20] künftig § 26 Abs. 1 S. 1 BDSG-n.F. als Erlaubnistatbestand heranzuziehen sein wird.
2. Erforderlichkeit als Maßstab
Kommt mangels vorrangiger Regelung im Betriebsverfassungs- bzw. Bundespersonalvertretungsgesetz oder in einer Betriebsvereinbarung[21] demnächst § 26 Abs. 1 S. 1 BDSG-n.F. zur Anwendung, so muss die Datenverarbeitung, d.h. die Offenlegung von Beschäftigtendaten gegenüber der Mitarbeitervertretung die Kriterien der „Erforderlichkeit“ erfüllen. In diesem Merkmal steckt im Ergebnis eine Verhältnismäßigkeitsprüfung. Neben der Geeignetheit der Datenverarbeitung zur Verwirklichung des vom Verantwortlichen verfolgten Zwecks darf es also keine milderen, d.h. das Recht auf Schutz personenbezogener Daten (Art. 8 EU-GRCh) weniger beeinträchtigenden Mittel geben. Schließlich ist eine Abwägung der Rechte und Interessen des Verantwortlichen und der betroffenen Personen im Wege praktischer Konkordanz vorzunehmen.[22]
Mit Blick auf Datenverarbeitungen durch die Interessenvertretungen der Beschäftigten ist demnach zunächst erforderlich, dass die Datenverarbeitung der Erfüllung der Aufgaben der Stelle dient. Bereits an dem Aufgabenbezug fehlt es z.B., wenn der Betriebsrat Auskunft über außerhalb seiner Zuständigkeit erteilte oder beabsichtigte Abmahnungen begehrt.[23]
Zu beachten ist ferner – als Ausprägung der Erforderlichkeit – das Gebot der Datensparsamkeit (derzeit noch § 3a BDSG) bzw. der Datenminimierung nach Art. 5 Abs. 1 lit. c) DS-GVO. Ggf. muss sich die Mitarbeitervertretung jedenfalls im ersten Schritt mit anonymisierten oder pseudonymisierten Angaben zur Erfüllung ihrer Kontrollpflicht nach § 80 Abs. 1 BetrVG begnügen.[24] Insoweit wird die Entscheidung des BVerwG[25], nach der es genügt, dem Personalrat zwecks Überwachung der Einhaltung der Arbeitszeitregelungen zumindest als ersten Schritt die Arbeitszeitdaten in anonymisierter Form zur Verfügung zu stellen, eher der Regelung des § 26 Abs. 1 S. 1 BDSG-n.F. gerecht als die gegenteilige Auffassung des BAG.[26]
Eine personenbezogene Offenlegung von Beschäftigtendaten ist sodann unter dem Aspekt der Verhältnismäßigkeit an eventuell entgegenstehenden Interessen des Betroffenen zu messen. Geht es um von der DS-GVO besonders geschützte sensible Daten des Art. 9 Abs. 1 DS-GVO, so erlaubt § 26 Abs. 3 BDSG-n.F. deren Offenlegung unter der Vorgabe, dass sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist, wobei entgegenstehenden Interessen des Beschäftigten sogar ausdrücklich Rechnung zu tragen ist. Auch im Rahmen von Abs. 1 ist aber stets eine Interessenabwägung durchzuführen.
„Dabei sind die Interessen des Arbeitgebers – und auch der Mitarbeitervertretung – an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt“.[27] Beispielhaft stellt Kort[28] insoweit zutreffend die Entscheidung des LAG Hessen[29] zur Information des Betriebsrats über individuelle Zielvereinbarungen in Frage.
Die bislang vertretene Auffassung, dass das BDSG nicht zur Einschränkung der Rechte führt, die das BetrVG oder das Personalvertretungsrecht der Mitarbeitervertretung gewährt,[30] kann nur noch gelten, sofern man den Begriff der Erforderlichkeit in § 80 Abs. 2 BetrVG/§ 68 Abs. 1 S. 1 und 2 BPersVG und in § 26 Abs. 1 S. 1 BDSG-n.F. einheitlich datenschutzkonform interpretiert.[31] Die Ansicht, der Arbeitgeber sei nicht verpflichtet oder berechtigt, sich gegenüber dem Überwachungsrecht des Betriebsrats auf Interessen und Grundrechte der Arbeitnehmer und speziell deren Recht auf Schutz personenbezogener Daten zu berufen[32], kann in dieser generallen Aussage keinen Bestand mehr haben. Dem Beschäftigten steht zwar kein Selbstbestimmungsrecht zu, jedoch das Recht, dass seine gegenläufigen Interessen berücksichtigt werden.[33]
Ob entgegenstehende schutzwürdige Interessen der betroffenen Personen bestehen, ist zunächst im Rahmen einer allgemeinen, die Interessen aller betroffenen Mitarbeiter berücksichtigenden Abwägung zu prüfen. Ggf. ist diese aber auch nur in einem Einzelfall gefordert, wenn der Beschäftigte aus Gründen, die sich aus seiner besonderen Situation ergeben, Widerspruch gegen die Verarbeitung einlegt. Art. 21 Abs. 1 S. 1 DS-GVO muss auch hier gelten. Insoweit wird der Auffassung des BVerwG[34], nach der eine schwangere Mitarbeiterin ggf. schutzwürdige Interessen haben kann, dass ihre Schwangerschaft der Mitarbeitervertretung – zunächst – nicht mitgeteilt wird, der Regelung des § 26 Abs. 1 S. 1 BDSG-n.F. nunmehr eher entsprechen als die eine solche den Einzelfall berücksichtigende Interessenabwägung ablehnende Auffassung im Rahmen des BetrVG.[35] Das BAG wird insofern seine Entscheidung[36] zur personenbezogenen Information des Betriebsrats über die für ein Eingliederungsmanagement in Betracht kommenden Beschäftigten zu überdenken haben.[37]
VI. Datenverarbeitungen der Mitarbeitervertretung
Die Erlaubnisnorm des § 26 Abs. 1 S. 1 Alt. 2 BDSG-n.F. hat nicht nur Bedeutung für Verarbeitungen des Arbeitgebers, sondern auch für solche der Mitarbeitervertretung. Auch dort stattfindende Verarbeitungen von Beschäftigtendaten sind gestattet, wenn sie zur Erfüllung von Rechten und Pflichten der Interessenvertretung erforderlich sind. Das gilt unabhängig von der Frage, ob die Mitarbeitervertretung – so wie bisher von der herrschenden Meinung[38] angenommen – Teil des Betriebes oder der Dienstelle ist[39] oder nunmehr doch aufgrund der ihr vom BAG in Interpretation des BetrVG eingeräumten eigenständigen Verantwortlichkeit über die bei ihr stattfindenden Datenverarbeitungen die Funktion eines (Co-)Verantwortlichen gemäß Art. 4 Nr. 7 DS-GVO hat.[40]
Unabhängig hiervon erfordert die unter der Regie der Mitarbeitervertretung stattfindende Datenverarbeitung eine Rechtsgrundlage. Auch hier ist also, sofern nicht Spezialvorschriften eingreifen, nach § 26 Abs. 1 S. 1 BDSG-n.F. eine Erforderlichkeitsprüfung vorzunehmen. Somit muss in Zukunft das BetrVG mit den Vorgaben der DS-GVO und des § 26 BDSG-n.F. entgegen der aktuell weit verbreiteten gegenteiligen Auffassung[41] in Einklang stehen.[42]
Maßgebend für die eigenständige Verarbeitung der in der Regel vom Arbeitgeber bereit gestellten Beschäftigtendaten[43] ist der Aufgabenbezug und die ggf. befristete Zweckbestimmung der Information. Eine Verarbeitung von Personaldaten durch die Mitarbeitervertretung kann nur dann und so lange in Betracht kommen, wie Unterlagen dem Betriebs- bzw. Personalrat – zeitweise oder auf Dauer – im Rahmen seiner kollektivrechtlich begründeten Informationsansprüche überlassen werden.
Dürfen Daten, die von der Mitarbeitervertretung zur Wahrnehmung ihrer Beteiligungsrechte immer wieder benötigt werden, ihr in Kopie auf Dauer belassen werden,[44] so können sie auch automatisiert geführt werden. Um ihren Pflichten sachgemäß nachkommen zu können, benötigt die Mitarbeitervertretung z.B. einen Überblick, wen sie vertritt. Nach Auffassung der Aufsichtsbehörden[45] und einiger Landesgesetzgeber[46] gehört hierzu die Kenntnis von Name, Funktion nebst Bewertung, Besoldungs-, Vergütungs- und Lohngruppe, Geburts-, Einstellungs- und letztes Beförderungsdatum, Beurlaubung und Ermäßigung der Arbeitszeit. In welchem Rhythmus diese Aufstellungen aktualisiert werden, müssen die Beteiligten miteinander vereinbaren. Der Datenbestand darf sich jedoch weder von der Quantität noch von der Qualität her derart gestalten, dass die Datei zu einem Personalinformationssystem wird, d.h. einer ganz oder in Teilen automatisiert geführten Personalakte gleichkommt. Dem stehen § 83 Abs. 2 S. 2 BetrVG bzw. § 68 Abs. 2 S. 2 BPersVG entgegen, nach denen die Personalaktenführung allein dem Arbeitgeber/Dienstherrn zusteht und die Einsichtnahme von Mitgliedern der Mitarbeitervertretung an die Zustimmung des Beschäftigten geknüpft ist.[47] Gehen die Datenverarbeitungen durch die Mitarbeitervertretung über das für ihre Aufgaben Erforderliche hinaus, bedürfen sie der Einwilligungen der Beschäftigten.[48]
Die Verpflichtung zur Schaffung geeigneter Garanitien gemäß § 26 Abs. 3 und § 26 Abs. 5 BDSG-n.F. gilt auch für die DV der Mitarbeitervertretung.
VII. Fazit
§ 26 Abs. 1 S. 1 BDSG-n.F. enthält einen Erlaubnistatbestand für die im Rahmen der Regelungen des Betriebsverfassungs- bzw. des Bundespersonalvertretungsgesetzes erforderlichen Verarbeitungen von Beschäftigtendaten durch Arbeitgeber und Mitarbeitervertretung. Er gibt der Beachtung von schutzwürdigen Interessen von Beschäftigten Raum, ohne die berechtigten Informationsansprüche des Betriebs- bzw. Personalrats zu reduzieren.
Daneben können spezifische Erlaubnistatbestände des Betriebsverfassungsrechts Datenverarbeitungen rechtfertigen. Solche Regelungen sind wie bislang nach dem geltenden BDSG vorrangig gegenüber den allgemeinen Vorschriften des BDSG. Dieser Vorrang kann jedoch nur für Bestimmungen bejaht werden, die sowohl die Art der personenbezogenen Information als auch die Art und Weise des Informationsflusses regeln. Beispiele hierfür sind § 80 Abs. 2 S. 2 Halbs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG.
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
Dr. Stephan Pötters Dr. Stephan Pötters ist Rechtsanwalt bei Seitz Rechtsanwälte Steuerberater in Köln. Schwerpunkte seiner Beratung sind das Arbeits- und Datenschutzrecht.
[1] Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU), BR-Drs. 110/17 vom 02.02.2017.
[2] BT-Drs. 18/11325.
[3] So etwa die unnötige Wendung „oder nach Begründung des Beschäftigungsverhältnisses“, vgl. zum insofern noch besseren Referentenentwurf Thüsing, BB 2016, 2165.
[4] S. etwa einerseits LAG Baden-Württemberg v. 20.07.2016 – 4 Sa 61/15, ZD 2017, 88; LAG Hamm v. 17.06.2016 – 16 Sa 1711/15, ZD 2017, 140 (m. Anm. Tiedemann); andererseits BAG v. 22.09.2016 – 2 AZR 848/15, BB 2017, 571 (m. Anm. Glugla); vgl. hierzu Fuhlrott/ Schröder, NZA 2017, 278; Wybitul, NZA 2017, 413 (416); Gola/Thüsing/Schmidt, DuD 2017, 244 (247)
[5] Es muss ein Verdacht gegen den Betroffenen selbst oder zumindest im Hinblick auf einen „räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern“ bestehen, BAG 21.11.2013 – 2 AZR 797/11, NZA 2014, 243; vgl. bereits vor Geltung von § 32 BDSG: BAG v. 21.06.2012 − 2 AZR 153/11, NZA 2012, 1025
[6] BAG v. 12.02.2015 – 6 AZR 845/13, NZA 2015, 741, 747, Rn. 71 ff.; zustimmend Lunk, AP BBiG § 22 Nr. 1; Fuhlrott/Oltmanns, DB 2015, 1719; vgl. auch ErfK/Franzen, BDSG, § 32 Rn. 31; weitere Beispiele aus der Rechtsprechung für Anwendungsfälle des § 32 Abs. 1 S. 2 BDSG sind: Die heimliche Beobachtung durch einen Detektiv zur Krankenkontrolle mit heimlicher Fertigung von Videoaufnahmen (LAG Hamm v. 11.07.2013 – 11 Sa 312/13, ZD 2014, 204), die Spinddurchsuchung (BAG v. 20.06.2013 – 2 AZR 546/12, NZA 2014, 143), die Einsicht in als privat markierte Einträge im elektronischen Kalender des Arbeitnehmers (LAG Rheinland-Pfalz v. 25.11.2014 – 8 Sa 363/14, ZD 2015, 488), die heimliche Installation und Anwendung eines Computerkontrollprogramms zum Zwecke des Nachweises, dass nachträglich durchgeführte Änderungen im elektronischen Arbeitszeitkonto eines Arbeitnehmers von dessen Computer aus durchgeführt worden sind (ArbG Augsburg v. 04.10.2012 – 1 BV 36/12, juris).
[7] BR-Drs. 110/17, S. 96: „Die Öffnungsklausel des Artikels 88 der Verordnung (EU) 2016/679 lässt nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext zu. Mit § 26 hat der Gesetzgeber hiervon Gebrauch gemacht.“
[8] Zur Vereinbarkeit des §26 BDSG-n.F. mit den Anforderungen des Art. 88 DS-GVO vgl. Gola/Thüsing/Schmidt, DuD 2017, 244.
[9] Maier, DuD 2017, 169.
[10] Roßnagel, DuD 2017, 290 (292)
[11] Vgl. zum alten BDSG, BVerwG, RDV 2004, 272
[12] S. z.B. BAG v. 20.06.2013 – 2 AZR 546/12, NZA 2014, 143: Spinddurchsuchung durch den Arbeitgeber; vgl. hierzu Becker-Schäufler, BB 2015, 629; Wybitul/Pötters, BB 2014, 437
[13] Vgl. z.B. Kort, RDV 2012, 8 (9); Dix, in: Simitis (Hrsg.), BDSG, § 1 Rn. 170.
[14] Vgl. Jordan/Bissels/Löw, BB 2010, 2889 (2891).
[15] Generell zum Onlinezugriff zur Erfüllung von Informationspflichten: BAG v. 16.08.2011 – 1 ABR 22/10, ZD 2012, 180 (m. Anm. Tiedemann).
[16] BAG v. 14.01.2014 – 1 ABR 54/12, RDV 2014, 277.
[17] Vgl. zuletzt BAG v. 14.04.2015 – 1 ABR 58/13, NZA 2015, 1081.
[18] Vgl. Gola/Schomerus, BDSG, § 4 Rn. 8; Jordan/Bisels/Löw, BB 2010, 1889.
[19] BAG v. 07.02.2012 – 1 ABR 46/10, RDV 2012, 192.
[20] Vgl. Gräfl, in: Richardi/Dörner/Werber, BPersVG, § 68 Rn. 82 und 86 ff. mit Nachweisen der Rechtsprechung.
[21] Hierzu Wybitul/Sörup/Pötters, ZD 2015, 559
[22] S. auch für § 26 BDSG-n.F., Wybitul, NZA 2017, 413 (415).
[23] BAG v. 17.09.2013 – 1 ABR 26/12.
[24] Vgl. Gola/Pötters, DS-GVO, Art. 5 Rn. 23.
[25] BVerwG v. 19.03.2014 – 6 P.1.13, RDV 2014, 212.
[26] BAG v. 06.05.2003 – 1 ABR 13/02, RDV 2004, 77
[27] So die Gesetzesbegründung zu § 26 BDSG-n.F., BR-Drs. 110/17, S. 96 zu § 26 Abs. 3.
[28] ZD 2017, 3 (5).
[29] LAG Hessen v. 24.11.2015 – 16 TABV 106/15, juris.
[30] Vgl. z.B. BVerwG v. 23.01.2002 – 6 P 5/01, RDV 2002, 188: „Im Übrigen gilt das an die Voraussetzungen des § 68 Abs. 2 BPersVG, insbesondere an den Maßstab der Erforderlichkeit gebundene Informationsrecht der Personalvertretung als bereichsspezifische Regelung des Dienstrechts“.
[31] Vgl. auch Wybitul, NZA 2017, 413 (415).
[32] BAG v. 07.02.2012 – 1 ABR 46/10, RDV 2012, 192; Fitting, BetrVG, § 80 Rn. 61; Buschmann, in: D/K/K/W, BetrVG, § 80 Rn. 76; Düwell, CuA 5/2013, 17
[33] So vom Ergebnis her auch Thüsing, in: Richardi, BetrVG § 80 Rn. 58a, mit Nachweisen positiver und negativer Literatur.
[34] BVerwG v. 29.08.1990 – 6 P 30/87, NJW 1991, 373.
[35] Vgl. bei Fitting, BetrVG, § 80 Rn. 61.
[36] BAG v. 07.02.2012 – 1 ABR 46/10, RDV 2012, 192.
[37] Vgl. bereits Taeger, in: Taeger/Gabel (Hrsg.), BDSG, § 4 Rn. 39; Kort, ZD 2016, 3.
[38] Zur Rechtsprechung: BAG, Beschlüsse v. 12.08.2009 – 7 ABR 15/08; v. 11.11.1997 – 1 ABR 21/97.
[39] Dies ist aber nur der Fall bei „aufgabenbezogener“ Tätigkeit, vgl. Kort, NZA2010,1267 (1268).
[40] Die Frage offen lässt Wybitul, BB 2017, 181, 184; Gola, in: Gola (Hrsg.), DS-GVO Art. 4 Rn 55.
[41] Vgl. z.B. Kort, NZA Beilage 2/2016, 62 (64); aus der Rechtsprechung zuletzt LAG Baden-Württemberg v. 17.01.2017 – 19 TaBV 3/16, Rn. 55: „Das Bundesdatenschutzgesetz steht einer Weitergabe von Informationen an den Betriebsrat nicht entgegen. Das Bundesdatenschutzgesetz verdrängt das Betriebsverfassungsgesetz nicht. Gesetzliche Vorschriftendes § 80 Abs. 1 S. 1 BetrVG, welche die Information des Betriebsrats und damit auch die Weitergabe von personenbezogenen Daten vorschreiben, gehen dem Bundesdatenschutzgesetz vor.“
[42] Vgl. auch Wybitul, NZA 2017, 413 (415).
[43] Zur Befugnis eigener Datenerhebung der Mitarbeitervertretung Gola/ Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn. 2154 ff.
[44] Zum Stellenplan BVerwG v. 23.01.2002 – 6 P 5/01, RDV 2002, 188.
[45] 22. Tätigkeitsbericht (1993) des Hess. LDSB, Ziff. 23; 17. Tätigkeitsbericht LDSB des Saarlands (1997/98), S. 105 ff.
[46] § 65 Abs. 3 LPVG Baden-Württemberg.
[47] Vgl. im Einzelnen Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn. 2159 ff.
[48] Insofern wirft Kort, NZA 2010, 1267 (1271), zu Recht die Frage auf, ob die Mitarbeitervertretung im Falle nicht-aufgabenbezogener Datenverarbeitung „Dritter“ ist.