DA+

Aufsatz : Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats nach § 79a BetrVG-E : aus der RDV 3/2021, Seite 123 bis 129

Lesezeit 24 Min.

Am 31.03.2021 hat die Bundesregierung einen Entwurf für ein Betriebsrätemodernisierungsgesetz vorgelegt.[1] Einer der zentralen Punkte des Entwurfs ist die Einführung eines neuen § 79a BetrVG, der die datenschutzrechtliche Stellung des Betriebsrats näher konturieren und damit Datenschutz- und Betriebsverfassungsrecht inhaltlich aufeinander abstimmen soll. Insofern nimmt sich der Gesetzesentwurf einer in der Literatur keineswegs neuen Forderung an: So hat Thüsing schon vor mehr als zehn Jahren für eine Anpassung und Ausdifferenzierung der Regelungen des BetrVG plädiert, um einen Gleichlauf beider Rechtsgebiete zu erreichen.[2]

I. Überblick über die geplante gesetzliche Neuregelung

Zurecht: Die fortschreitende Digitalisierung der Arbeitswelt macht die Betriebsratsarbeit immer wichtiger.[3] Schon am 16.06.2020 wurde daher durch das BMAS ein Beirat zum Beschäftigtendatenschutz eingesetzt, um die Notwendigkeit eines eigenständigen Beschäftigtendatenschutzgesetzes zu erörtern und sich in diesem Rahmen auch mit der datenschutzrechtlichen Rolle des Betriebsrats auseinanderzusetzen.[4]

Dem greift der vorliegende Gesetzesentwurf mit § 79a BetrVG-E nunmehr vor. Daher stellt sich die Frage: Was regelt diese Norm konkret? Im Gesetzesentwurf heißt es: „Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ Damit findet sich die wohl wichtigste Regelung in § 79a S. 2 BetrVG, der dem Arbeitgeber – und eben nicht dem Betriebsrat – die datenschutzrechtliche Verantwortlichkeit i.S.v. Art. 4 Nr. 7 DS-GVO zuweist und den Betriebsrat dadurch zum unselbstständigen Teil des im Außenverhältnis verantwortlichen Arbeitgebers macht. Der Gesetzesentwurf macht mithin von der den Mitgliedstaaten durch Art. 4 Nr. 7 Hs. 2 DS-GVO eröffneten Möglichkeit, die datenschutzrechtliche Verantwortlichkeit zu definieren, Gebrauch. Zugleich stellt § 79a S. 1 BetrVG-E jedoch klar, dass der Betriebsrat bei der Wahrnehmung der ihm zugewiesenen Aufgaben nicht von der Pflicht zur Einhaltung datenschutzrechtlicher Vorschriften entbunden wird. Schließlich normiert § 79a S. 3 BetrVG-E eine wechselseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung datenschutzrechtlicher Vorschriften.[5]

Zur Begründung führt der Gesetzesentwurf an, dass der Betriebsrat im Außenverhältnis lediglich als rechtlich unselbstständige Institution und damit als Teil des Arbeitgebers agiere, weshalb er auch zur Einhaltung datenschutzrechtlicher Vorschriften verpflichtet sein müsse.[6]

II. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers

Richtig ist zunächst der gedankliche Ausgangspunkt der geplanten Neuregelung: Um die Entstehung rechtsfreier Räume zu verhindern, muss jeder Datenverarbeitungsvorgang einer verantwortlichen Rechtsperson zugeordnet werden.[7] Adressat datenschutzrechtlicher Rechte und Pflichten ist dabei nach der Konzeption der DS-GVO in erster Linie der Verantwortliche.[8] Verantwortlicher ist gem. Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Eine ausdrückliche Aussage zur datenschutzrechtlichen Stellung des Betriebsrats trifft die Norm damit nicht, was in der Vergangenheit zu einigen Kontroversen geführt hat:[9] So bejahte beispielsweise der LfDI Baden-Württemberg eine eigenständige Verantwortlichkeit des Betriebsrats.[10] Demgegenüber wollten sich sowohl der LfDI Thüringen[11] als auch der BayLDA[12] nicht eindeutig festlegen; eine einheitliche Positionierung der Datenschutzkonferenz des Bundes und der Länder war ebenfalls nicht erfolgt.[13] Und auch in der arbeitsgerichtlichen Rechtsprechung herrschte Uneinigkeit hinsichtlich der datenschutzrechtlichen Stellung des Betriebsrats. Während das BAG diese Frage ausdrücklich offen gelassen hat,[14] positionierten sich die Instanzgerichte unterschiedlich.[15] In der Literatur zeichnete sich ebenfalls kein einheitliches Bild ab.[16] Ob der Gesetzesentwurf nun den richtigen Weg geht, indem er den Betriebsrat datenschutzrechtlich dem Arbeitgeber als Verantwortlichem zuordnet, bedarf daher eingehender Betrachtung. Ausgehend von der Definition des Art. 4 Nr. 7 DSGVO setzt die datenschutzrechtliche Verantwortlichkeit neben der Eigenschaft, tauglicher Adressat der Vorschriften der DS-GVO zu sein, auch die Befugnis voraus, über die Zwecke und Mittel der Datenverarbeitung zu entscheiden.[17]

1. Der Betriebsrat als tauglicher Adressat

Daher stellt sich in einem ersten Schritt die Frage, ob der Betriebsrat überhaupt als tauglicher Adressat datenschutzrechtlicher Vorschriften in Betracht kommt. Wie sich aus Art. 4 Nr. 7 DS-GVO ergibt, kann als Verantwortlicher nur eine „natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle“ qualifiziert werden. Eindeutig ist damit: Jedenfalls juristische Personen können eigenständige Verantwortliche im Sinne des Datenschutzrechts sein.[18] Offen bleibt aber, welche Institutionen unter die Begriffe „Einrichtung“ oder „andere Stelle“ fallen und ob auch Untergliederungen einer juristischen Person darunter subsumiert werden können. Zwar deutet die gewählte Formulierung, die von einer „juristische[n] Person […] oder andere[n] Stelle“ spricht, darauf hin, dass die „Stelle“ als Sammelbegriff zu verstehen ist, dem unter anderem juristische Personen, aber möglicherweise eben auch Untergliederungen der juristischen Person unterfallen.[19] Das ist jedoch mehr als vage – der Blick allein auf den Wortlaut reicht mithin nicht aus.

Einen ersten Anhaltspunkt bietet allerdings die Systematik der DS-GVO: So stellt Art. 4 Nr. 16 DS-GVO klar, dass von mehreren Niederlassungen eines Verantwortlichen stets diejenige die „Hauptniederlassung“ ist, in der die Entscheidungen über Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Flankiert wird diese Regelung durch Art. 3 Abs. 1 DS-GVO, demnach die DS-GVO auch auf die „Tätigkeit einer Niederlassung eines Verantwortlichen“ Anwendung findet. Eine unselbstständige Niederlassung ist datenschutzrechtlich damit eben nicht selbst Verantwortlicher, sondern vielmehr stets nur Teil einer übergeordneten verantwortlichen Stelle – und das, obwohl eine Niederlassung genau wie der Betriebsrat selbst personenbezogene Daten verarbeitet und dabei innerhalb gewisser Grenzen auch eigene Entscheidungen hinsichtlich der konkreten Verarbeitungsabläufe treffen kann.[20]

a) Eine teleologische Betrachtung

Entscheidend ist jedoch letztlich die Art. 4 Nr. 7 DS-GVO zugrunde liegende Zielsetzung: Der Verantwortliche ist primärer Adressat der Vorschriften der DS-GVO.[21] Das bedeutet, dass sich auch die Schadensersatzansprüche, die Art. 82 Abs. 1 DS-GVO dem Betroffenen einräumt, in erster Linie gegen den Verantwortlichen richten. Nur soweit sich die Ansprüche des Betroffenen gegen einen tauglichen – d.h. insbesondere rechtsfähigen – Anspruchsgegner richten, ist der Betroffene effektiv gegen die rechtswidrige Verarbeitung seiner personenbezogenen Daten geschützt.[22] Der Betriebsrat ist indes nur insoweit rechtsfähig, wie ihm das Gesetz Rechte und Pflichten zuschreibt.[23] Soweit er die Grenzen seiner Befugnisse – beispielsweise durch die Verletzung datenschutzrechtlicher Vorschriften – überschreitet, ist er mithin nicht rechtsfähig.[24] Hinzu kommt, dass der Betriebsrat auch in seiner Vermögensfähigkeit auf die ihm durch das BetrVG zugewiesenen Aufgaben beschränkt ist.[25] Er ist nur vermögensfähig, soweit das BetrVG ihm vermögensrechtliche Ansprüche verleiht. Zentral ist dabei der Anspruch aus § 40 Abs. 1 BetrVG, der den Arbeitgeber zur Erstattung derjenigen Kosten verpflichtet, die bei der Wahrnehmung betriebsverfassungsrechtlicher Aufgaben entstehen.[26] Eine rechtswidrige Tätigkeit hält sich jedoch nicht im Rahmen der dem Betriebsrat durch das Betriebsverfassungsrecht zugewiesenen Aufgaben, sodass sich auch die Kostentragungspflicht des Arbeitgebers nach § 40 Abs. 1 BetrVG von vornherein nur auf eine rechtmäßige, nicht jedoch auf eine rechtswidrige Betriebsratstätigkeit erstreckt.[27] Soweit der Betriebsrat rechtswidrig personenbezogene Daten der Beschäftigten verarbeitet, ist er mithin auch nicht vermögensfähig.

Ordnete man den Betriebsrat dennoch als Verantwortlichen ein, so würden eventuelle Schadensersatzforderungen des Betroffenen daher leer laufen.[28] Jedoch fordert die DSGVO erkennbar einen solventen Schuldner:[29] Ausweislich ErwG 11 DS-GVO sind effektive Sanktionsmechanismen unabdingbare Voraussetzung, um einen wirksamen Schutz der Betroffenen zu garantieren. Eine solche Sanktion ist gem. ErwG 146 S. 6 DS-GVO insbesondere in der Gewährleistung eines „vollständigen und wirksamen Schadenersatzes“ zu sehen. Es liegt mithin nahe, dass der Unionsgesetzgeber die Effektivität und Durchsetzbarkeit dieses Schadensersatzanspruchs sicherstellen wollte, indem er die Schadensersatzpflicht an die Verantwortlichkeit geknüpft und damit unabhängig davon gemacht hat, wer innerhalb der verantwortlichen Stelle den Datenschutzverstoß konkret begangen hat.[30] Vor diesem Hintergrund kann der Betriebsrat nicht als Verantwortlicher eingeordnet werden.

b) Unzumutbare Beeinträchtigung für den Arbeitgeber?

In der Konsequenz muss der Betriebsrat daher dem Arbeitgeber als seinerseits verantwortliche Stelle zugeordnet werden. Folglich würde der Arbeitgeber im Verhältnis zum Betroffenen für Datenschutzverstöße des Betriebsrats haften, obwohl dieser betriebsverfassungsrechtliche Unabhängigkeit genießt, sodass seine Tätigkeit dem Einfluss des Arbeitgebers entzogen ist.[31] Jemandem die Haftung für ein Verhalten aufzuerlegen, das er nicht beeinflussen kann, stellt indes eine ungerechtfertigte Belastung dar.[32] Jedoch darf nicht verkannt werden, dass der Arbeitgeber dem Verhalten des Betriebsrats jedenfalls nicht vollständig schutzlos ausgeliefert ist: Zum einen kann der vom Arbeitgeber bestellte betriebliche Datenschutzbeauftragte auch die Tätigkeit des Betriebsrats daraufhin überprüfen, ob dieser die Vorgaben des Datenschutzrechts einhält.[33] Zum anderen hat der Betriebsrat im Verhältnis zum Arbeitgeber zumindest das aus § 2 Abs. 1 BetrVG folgende Gebot der vertrauensvollen Zusammenarbeit zu beachten,[34] das die Betriebspartner zur am Wohl der Arbeitnehmer ausgerichteten Kooperation verpflichtet.[35] Die rechtswidrige Verarbeitung personenbezogener Beschäftigtendaten dient jedoch nicht dem Wohl der Arbeitnehmer, sondern verletzt vielmehr deren Recht auf informationelle Selbstbestimmung,[36] sodass eine rechtswidrige Datenverarbeitung zugleich einen Verstoß gegen den Grundsatz der vertrauensvollen Zusammenarbeit darstellt.[37] Dies gilt umso mehr, als § 79 S. 3 BetrVG-E nunmehr ausdrücklich eine beiderseitige Unterstützungspflicht von Betriebsrat und Arbeitgeber im Hinblick auf die Einhaltung datenschutzrechtlicher Vorschriften vorsieht. Verletzt der Betriebsrat seine gesetzlichen Pflichten in grober Weise, so kann der Arbeitgeber nach § 23 Abs. 1 S. 1 BetrVG vorgehen und ggf. die Auflösung des Betriebsrats beantragen.[38] Zwar kann der Arbeitgeber sich auf dieser Grundlage nicht gegen jede Pflichtverletzung – und damit nicht gegen jede rechtswidrige Datenverarbeitung – zur Wehr zu setzen, sondern nur gegen beharrliche und nachhaltige Verstöße gegen das Gebot der vertrauensvollen Zusammenarbeit vorgehen.[39] Diese Einschränkung folgt indes aus der durch das BetrVG für die Zusammenarbeit von Betriebsrat und Arbeitgeber vorgesehenen Konzeption. Innerhalb dieser Grenzen wird dem Arbeitgeber aber ein Mittel an die Hand gegeben, um sich zumindest gegen erhebliche Pflichtverletzungen des Betriebsrats zu wehren, sodass er dem Handeln des Betriebsrats jedenfalls nicht vollständig hilflos ausgeliefert ist. Vor diesem Hintergrund führt die Einordnung des Betriebsrats als Teil des Arbeitgebers als datenschutzrechtlich verantwortliche und im Außenverhältnis haftende Stelle nicht zu einer unzumutbaren Beeinträchtigung des Arbeitgebers.[40]

2. Keine Entscheidungsbefugnis des Betriebsrats

In einem zweiten Schritt müsste der Betriebsrat – wenn man ihn denn grundsätzlich als tauglichen Adressaten datenschutzrechtlicher Vorschriften einordnet – allerdings auch „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ entscheiden können.

Dies gilt es zunächst im Hinblick auf die Zwecke der Verarbeitung herauszuarbeiten. Zwar genießt der Betriebsrat im Verhältnis zum Arbeitgeber betriebsverfassungsrechtliche Unabhängigkeit.[41] Daher kann der Betriebsrat ohne Einfluss des Arbeitgebers über die von ihm vorzunehmenden Datenverarbeitungsvorgänge und über etwaige in diesem Zusammenhang zu treffende Maßnahmen zum Schutz personenbezogener Daten entscheiden.[42] Insbesondere in Bezug auf die Maßnahmen, die der Betriebsrat zur Einhaltung des Datenschutzrechts trifft, besteht keine rechtliche Einflussmöglichkeit des Arbeitgebers.[43] Damit wird die Zweckrichtung eines durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgangs jedenfalls nicht durch den Arbeitgeber bestimmt. Allerdings wird der Zweck der Datenverarbeitung ebenso wenig durch den Betriebsrat festgelegt, sondern ergibt sich vielmehr aus dem BetrVG.[44] Der Betriebsrat kann personenbezogene Daten nur zu betriebsverfassungsrechtlich vorgesehenen Zwecken verarbeiten.[45] Unbestritten: Auch in anderen Fällen – wie beispielsweise der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c, Abs. 3 DS-GVO – ergeben sich die Zwecke der Verarbeitung unmittelbar aus dem Gesetz, ohne dass sich dies auf die Frage nach der Verantwortlichkeit des Verarbeitenden auswirkt.[46] Allerdings zeigt der Blick auf Art. 6 lit. a DS-GVO, dass ein Verantwortlicher eben nicht nur zu gesetzlich vorgegebenen, sondern auch zu selbst bestimmten Zwecken personenbezogene Daten verarbeiten kann, sofern der Betroffene eine Einwilligung erteilt hat. Demgegenüber steht dem Betriebsrat nie eine von seinen gesetzlichen Aufgaben unabhängige Entscheidungsbefugnis über die Zwecke der Verarbeitung zu; er kann personenbezogene Daten der Beschäftigten nur verarbeiten, soweit dies zur Erfüllung einer ihm durch das BetrVG zugewiesenen Aufgabe erforderlich ist.[47] Zwar gestaltet er praktisch die durch das BetrVG vorgegebenen Zwecke in eigener Verantwortung entsprechend der im jeweiligen Betrieb bestehenden Erfordernisse aus,[48] er ist indes nicht berechtigt, personenbezogene Daten zu neuen, betriebsverfassungsrechtlich nicht vorgesehenen Zwecken zu verarbeiten.[49] Soweit vereinzelt argumentiert wird, der Betriebsrat könne Daten jedenfalls rein tatsächlich auch zu nicht durch das BetrVG legitimierten Zwecken verarbeiten,[50] kann dies nicht zu einer abweichenden Beurteilung führen: Zweifellos ist es dem Betriebsrat jedenfalls praktisch möglich, Daten zu betriebsverfassungsrechtlich nicht vorgesehenen Zwecken zu verarbeiten – dann wird er jedoch außerhalb seiner Kompetenzen und damit rechtswidrig tätig. Eine schon betriebsverfassungsrechtlich unzulässige Datenverarbeitung kann indes von vornherein auch datenschutzrechtlich nicht gerechtfertigt werden. Damit führt jede nicht durch das BetrVG determinierte Entscheidung des Betriebsrats über die Zwecke der Datenverarbeitung automatisch zur datenschutzrechtlichen Unzulässigkeit des Verarbeitungsvorgangs. Es kann jedoch kaum ausreichen, dass der Betriebsrat überhaupt über die Zwecke der Datenverarbeitung entscheiden kann. Zu fordern ist vielmehr, dass er diese Entscheidung auch rechtmäßig treffen kann.

Aber nicht nur die Entscheidung über die Zwecke, sondern auch diejenige über die Mittel der Verarbeitung wird durch das Betriebsverfassungsrecht – namentlich durch § 40 BetrVG – vorgezeichnet: Der Betriebsrat kann gem. § 40 Abs. 1 BetrVG nur die zur Aufgabenerfüllung erforderlichen Mittel ersetzt verlangen; gem. § 40 Abs. 2 BetrVG nutzt er die Informations- und Kommunikationstechnik des Arbeitgebers – auch insofern hat er mithin keine eigene Entscheidungsbefugnis.[51] Zwar trifft es zu, dass dem Betriebsrat die Einschätzung obliegt, welche Mittel zur Erfüllung seiner Aufgaben erforderlich sind und er auf dieser Grundlage grundsätzlich selbst bestimmen kann, welche der vom Arbeitgeber zur Verfügung gestellten Technologien er nutzt und wie er innerhalb dieses Rahmens seine Arbeitsabläufe organisiert.[52] Damit verbleibt dem Betriebsrat zwar ein gewisser ein Spielraum, dieser wird jedoch dadurch eingeschränkt, dass er eben nur die für seine Tätigkeit tatsächlich erforderlichen Kosten ersetzt verlangen kann.[53] Die Erforderlichkeit bemisst sich indes nicht allein anhand der subjektiven Einschätzung des Betriebsrats, sondern auf Grundlage einer im Zeitpunkt der Kostenverursachung unter Berücksichtigung des Grundsatzes der vertrauensvollen Zusammenarbeit vorgenommenen Interessenabwägung.[54] Zum anderen muss der Arbeitgeber dem Betriebsrat nur die zur Aufgabenerfüllung erforderliche Kommunikationstechnik bereitstellen.[55] Und erforderlich sind bestimmte Sachmittel nicht schon deshalb, weil sie zu einer Erleichterung der Betriebsratsarbeit führen.[56] Damit sind auch die zur Verarbeitung eingesetzten Mittel – trotz zweifellos verbleibender Spielräume – letztlich gesetzlich vorgegeben.[57]

3. Eine Sammlung der Ergebnisse

Der Betriebsrat ist nicht als eigenständiger Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO anzusehen, sondern vielmehr dem Arbeitgeber als seinerseits verantwortliche Stelle zuzuordnen. Denn nur wer Verantwortlicher ist, kann Adressat der Vorschriften der DS-GVO – und damit auch Anspruchsgegner der dem Betroffenen eingeräumten Schadensersatzansprüche – sein. Damit diese effektiv durchgesetzt werden können, müssen sie sich gegen einen tauglichen Anspruchsgegner richten. Da der Betriebsrat grundsätzlich weder rechts- noch vermögensfähig ist, liefen die Schadensersatzansprüche des Betroffenen leer, ordnete man den Betriebsrat als Verantwortlichen ein. Er ist nicht tauglicher Adressat datenschutzrechtlicher Vorschriften. Darüber hinaus ist auch die zweite Voraussetzung des Art. 4 Nr. 7 DS-GVO nicht erfüllt: Der Betriebsrat kann nicht eigenständig über Zwecke und Mittel der durch ihn vorgenommenen Datenverarbeitungsvorgänge entscheiden. Zwar besteht infolge seiner betriebsverfassungsrechtlichen Unabhängigkeit keine Einflussmöglichkeit des Arbeitgebers, allerdings wird die Zweckrichtung der vom Betriebsrat vorgenommenen Datenverarbeitungen letztlich auch nicht durch ihn selbst, sondern durch das Gesetz festgelegt, da der Betriebsrat personenbezogene Daten überhaupt nur im Rahmen seiner betriebsverfassungsrechtlichen Aufgaben verarbeiten darf. Zugleich wird die Entscheidung über die Mittel der Verarbeitung durch § 40 BetrVG vorgezeichnet. An dieser gesetzlichen Determination der Betriebsratstätigkeit ändern auch etwaig verbleibende Spielräume nichts. Mangels selbstständiger Entscheidungsbefugnis muss daher die eigenständige datenschutzrechtliche Verantwortlichkeit ausscheiden.

4. Keine abweichende Beurteilung für den Konzernbetriebsrat

Problematisch erscheint jedoch, ob zumindest für den Konzernbetriebsrat eine andere Bewertung geboten ist.[58] Bereits in einer älteren Entscheidung hat das BAG betont, dass das von ihm vertretene Verständnis, den Betriebsrat nur als Teil des Arbeitgebers als seinerseits Verantwortlichen einzuordnen, auch für den Gesamtbetriebsrat gelten müsse, dabei jedoch explizit offen gelassen, ob sich für den Konzernbetriebsrat eine abweichende Beurteilung ergibt.[59] Demgegenüber wird in der Literatur ausdrücklich befürwortet, den Konzernbetriebsrat datenschutzrechtlich als eigenständigen Verantwortlichen anzusehen.[60] Inwieweit dieser Einschätzung tatsächlich gefolgt werden kann, ist vor dem Hintergrund der Rechtsstellung des Konzernbetriebsrats zu klären.

Gem. § 55 Abs. 1 S. 1 BetrVG setzt sich der Konzernbetriebsrat aus Vertretern der Gesamtbetriebsräte der zum Konzern gehörenden Unternehmen zusammen. Daher kann der Konzernbetriebsrat nicht einem einzelnen Unternehmen und – da die Arbeitsverhältnisse der einzelnen Arbeitnehmer des Konzerns nicht zu der Konzernobergesellschaft, sondern zu den jeweiligen Konzernunternehmen bestehen[61] – auch nicht einem einzelnen Arbeitgeber als Verantwortlichem zugeordnet werden.[62] Der Konzernbetriebsrat steht demnach bei seiner Tätigkeit – anders als Einzel- und Gesamtbetriebsrat – nicht einem einzelnen, sondern mehreren Arbeitgebern gegenüber;[63] er ist Repräsentant der gesamten Konzernbelegschaft.[64] Da eine Zuordnung des Konzernbetriebsrats zu nur einem einzelnen Arbeitgeber als Verantwortlichem mithin nicht möglich ist, erscheint es auf den ersten Blick naheliegend, den Konzernbetriebsrat als eigenständigen Verantwortlichen einzuordnen.[65] Allerdings muss zugleich berücksichtigt werden, dass für den Konzernbetriebsrat im Hinblick auf die datenschutzrechtliche Verantwortlichkeit durchaus ein taugliches Zuordnungsobjekt besteht. Denn ein Konzernbetriebsrat kann gem. § 54 Abs. 1 S. 1 BetrVG i.V.m. § 18 Abs. 1 AktG nur in einem Unterordnungskonzern gebildet werden.[66] Dies setzt voraus, dass im Konzern jedenfalls ein herrschendes Unternehmen in Form einer Konzernleitung besteht.[67] Denkbar ist es daher, den Konzernbetriebsrat der Konzernobergesellschaft als Verantwortlichem zuzuordnen.[68]

Würde man den Konzernbetriebsrat datenschutzrechtlich dennoch als eigenständigen Verantwortlichen einordnen, würden die dem Betroffenen durch Art. 82 Abs. 1 DS-GVO eingeräumten Schadensersatzansprüche leer laufen, sofern sie sich gegen den Konzernbetriebsrat richten. Denn auch dieser ist grundsätzlich weder rechts- noch vermögensfähig[69] und kann damit ebenfalls nicht tauglicher Anspruchsgegner datenschutzrechtlicher Schadensersatzansprüche sein. Zwar haftet die Konzernobergesellschaft mangels Arbeitgeberstellung grundsätzlich nicht für Ansprüche des Arbeitnehmers aus dem Arbeitsverhältnis, sofern nicht im Einzelfall ausnahmsweise weitere Umstände hinzutreten, um die Haftung der Konzernobergesellschaft zu begründen.[70] Die Haftung für Datenschutzverstöße des Konzernbetriebsrats resultiert jedoch nicht aus dem Verhältnis von Arbeitgeber und Arbeitnehmer, sondern aus dem Fehlverhalten des Konzernbetriebsrats. Dessen Bestand ist wiederum an die Existenz der Konzernobergesellschaft geknüpft, sodass die von ihm ausgehenden Risiken für die Persönlichkeitsrechte der dem Konzern zugehörigen Arbeitnehmer ihren Grund letztlich im Bestand der Konzernobergesellschaft finden. Um die Erfüllung der dem Arbeitnehmer gem. Art. 82 Abs. 1 DS-GVO zustehenden Schadensersatzansprüche zu gewährleisten, muss die Konzernobergesellschaft daher im Verhältnis zu den konzernangehörigen Arbeitnehmern für datenschutzrechtliches Fehlverhalten des Konzernbetriebsrats grundsätzlich haftbar gemacht werden können. Vor diesem Hintergrund ist der Konzernbetriebsrat datenschutzrechtlich als Teil der Konzernleitung und ebenfalls nicht als eigenständiger Verantwortlicher anzusehen.[71]

III. Ausblick: Offene Folgefragen der wechselseitigen Unterstützungspflicht von Betriebsrat und Arbeitgeber

Was der Gesetzesentwurf regelt, ist rechtlich mithin ohne Frage richtig. Dennoch bringt er nicht nur Klarheit in eine schon länger schwelende Diskussion, sondern lässt auch einige Folgefragen unbeantwortet. Denn lehnt man eine eigene datenschutzrechtliche Verantwortlichkeit des Betriebsrats ab und ordnet ihn dem Arbeitgeber als seinerseits verantwortliche Stelle zu, so stellt sich unter anderem die Frage, wer für etwaige Datenschutzverstöße des Betriebsrats haftet. Die DS-GVO unterwirft allein den Verantwortlichen und einen möglichen Auftragsverarbeiter einer datenschutzrechtlichen Haftung.[72] Im Außenverhältnis kommt eine Haftung des Betriebsrats für etwaige Datenschutzverstöße daher weder aufgrund datenschutzrechtlicher Haftungstatbestände noch – wegen seiner fehlenden Rechtsfähigkeit – auf Grundlage deliktischer Haftungsnormen in Betracht; die Haftung trifft vielmehr den Arbeitgeber: Er muss die Verantwortung für das Verhalten des Betriebsrats tragen, obwohl er diesen wegen der ihm garantierten betriebsverfassungsrechtlichen Unabhängigkeit zumindest nicht unmittelbar beeinflussen kann.[73] Ob der Arbeitgeber sich unter den Voraussetzungen des Art. 82 Abs. 3 DS-GVO für datenschutzwidriges Verhalten des Betriebsrats exkulpieren kann, bleibt offen.[74] Verschärft wird das Problem um die Haftung des Arbeitgebers nunmehr durch die von § 79a S. 3 BetrVG-E angeordnete beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat. Zwar lehnt der Gesetzesentwurf eine eigenständige datenschutzrechtliche Verantwortlichkeit des Betriebsrats ab, begründet aber letztlich doch durch die Hintertür eine gemeinsame Verantwortung von Betriebsrat und Arbeitgeber. Denn der Betriebsrat hat im Rahmen seiner Zuständigkeit „eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit […] sicherzustellen“.[75] Im Außenverhältnis beeinträchtigt dies die unselbstständige Stellung des Betriebsrats zwar nicht, weist ihm jedoch zumindest im Innenverhältnis zum Arbeitgeber eine gewisse Verantwortung zu. Daher stellt sich die Frage, ob der im Außenverhältnis in Anspruch genommene Arbeitgeber im Innenverhältnis gegen den datenschutzwidrig handelnden Betriebsrat vorgehen kann, indem er die verantwortlichen Betriebsratsmitglieder in Regress nimmt. Zudem gilt es zu klären, ob nicht sogar einzelne Betriebsratsmitglieder bei Verstoß gegen die ihnen auferlegte Unterstützungspflicht einer unmittelbaren Haftung unterworfen werden können. Diese Fragen lässt der Gesetzesentwurf jedoch weiterhin unbeantwortet und schafft damit nicht nur Klarheit, sondern eröffnet zugleich neue Problemfelder.[76]

Dr. Maike Flink Wissenschaftliche Mitarbeiterin am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit der Rheinischen Friedrich-WilhelmsUniversität Bonn am Lehrstuhl von Prof. Dr. Gregor Thüsing, LL.M. (Harvard) und Rechtsreferendarin am Landgericht Bonn

[1] Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899. Sollte das Gesetz im Zeitpunkt des Erscheinens des Aufsatzes bereits in Kraft getreten sein, ändert dies nichts an den hier dargestellten Erkenntnissen. Vorangegangen war der RefEntw des BMAS zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte v. 21.12.2020; entsprechend für das Personalvertretungsrecht s. § 69 BPersVG-E, vgl. BT-Drs. 19/26820.

[2] Thüsing, RDV 2009, 1, 5; ähnlich auch Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 40.

[3] Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899, 1 f.

[4]Https://www.bmas.de/DE/Service/Presse/Pressemitteilungen/2020/beirat-zum-beschaeftigtendatenschutz-nimmt-seine-arbeit-auf.html, letzter Abruf v. 28.04.2021.

[5] Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899, S. 21; diese Möglichkeit anerkennend Gola, HdB des Beschäftigtendatenschutzes, 8. Aufl. 2019, Rn. 1712; Kurzböck/Weinbeck, BB 2020, 500; Lücke, NZA 2019, 658, 660; a.A. Staben, ZfA 2020, 287, 309.

[6] Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899, 21.

[7] Lücke, NZA 2019, 658, 659; Staben, ZfA 2020, 287, 296

[8] BeckOK DatenschutzR/Schild, 34. Ed. (Stand 01.11.2020), Art. 4 DSGVO Rn. 88; Conrad, DuD 2019, 563; Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DS-GVO Rn. 129; Kühling/ Buchner/Hartung, 3. Aufl. 2020, Art. 4 Nr. 7 DS-GVO Rn. 1; Staben, ZfA 2020, 287, 289.

[9] Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899, 21.

[10] LfDI Baden-Württemberg, 34. TB 2018, 37 f.

[11] LfDI Thüringen, 1. TB 2018, 65 f.

[12] Interview mit dem BayLDA v. 25.06.2018, abrufbar unter https://www.rdv-online.com/blog/detail/sCategory/120/blogArticle/2004, letzter Abruf v. 28.04.2021.

[13] Stand 28.04.2021.

[14] BAG, Beschl. v. 07.05.2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 45; BAG, Beschl. v. 09.04.2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 47.

[15] Für eine eigene Verantwortlichkeit des Betriebsrats LAG MecklenburgVorpommern, Beschl. v. 15.05.2019 – 3 TaBV 10/18, ZD 2019, 573, 574 Rn. 17; LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 37; a.A. LAG Hessen, Beschl. v. 10.12.2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 32; LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18, NZA-RR 2019, 92, 93 Rn. 27.

[16] Gegen eine eigene Verantwortlichkeit Dzida, BB 2019, 3060, 3061; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DS-GVO Rn. 192; Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DS-GVO) in der betrieblichen Praxis, 2019, S. 57 f.; Kühling/Buchner/Hartung, 3. Aufl. 2020, Art. 4 Nr. 7 DS-GVO Rn. 11; Pötters/Gola, RDV 2017, 279; in diese Richtung wohl auch Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DS-GVO Rn. 135; Hitzelberger-Kijima, öAT 2018, 136, 138; für eine eigene Verantwortlichkeit Brink/Joos, NZA 2019, 1395, 1396; Kurzböck/ Weinbeck, BB 2020, 500, 501; Staben, ZfA 2020, 287, 293 ff.

[17] Kühling/Buchner/Hartung, 3. Aufl. 2020, Art. 4 Nr. 7 DS-GVO Rn. 8.

[18] Pötters/Gola, RDV 2017, 279, 280.

[19] I.E. ebenso Jung/Hansch, ZD 2019, 143, 147; Kurzböck/Weinbeck, BB 2018, 1652, 1654; a.A. Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DS-GVO Rn. 12; Pötters/Gola, RDV 2017, 279, 280, die jedoch i.E. ebenfalls erkennen, dass der Wortlaut verschiedene Deutungen zulässt.

[20] Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 640d; Pötters/Gola, RDV 2017, 279, 280.

[21] BeckOK DatenschutzR/Schild, 34. Ed. (Stand 01.11.2020), Art. 4 DSGVO Rn. 88; Conrad, DuD 2019, 563; Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DS-GVO Rn. 121; Kühling/ Buchner/Hartung, 3. Aufl. 2020, Art. 4 Nr. 7 DS-GVO Rn. 1.

[22] Pötters/Gola, RDV 2017, 279, 280; in diese Richtung Lücke, NZA 2019, 658, 660.

[23] BGH, Urt. v. 25.10.2012 – III ZR 266/11, NZA 2012, 1382, 1383 – Rn. 10; Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 222; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 292; MHdBArbR/Boemke, 4. Aufl. 2018, § 286 Rn. 16; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 10.

[24] GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 77; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 8; i.E. ebenso Hamann/Wegmann, BB 2019, 1347, 1349.

[25] BGH, Urt. v. 25.10.2012 – III ZR 266/11, NZA 2012, 1382, 1384 Rn. 24, 27 f.; BAG, Beschl. v. 29.09.2004 – 1 ABR 30/03, NZA 2005, 123, 124; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 295; dies ebenfalls als Problem erkennend Dzida, BB 2019, 3060, 3062.

[26] BAG, Beschl. v. 24.10.2010 – 7 ABR 20/00, NZA 2003, 53, 54; BAG, Beschl. v. 29.09.2004 – 1 ABR 30/03, NZA 2005, 123, 124; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 295; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 40 Rn. 43; strenger noch Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 287.

[27] Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, 288; Bott/Vogel, BB 2019, 2100, 2102; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 13; so wohl auch Brams/ Möhle, ZD 2018, 570, 571.

[28] Dies erkennend, aber nicht für ausschlaggebend haltend Brink/Joos, NZA 2019, 1395, 1397; Staben, ZfA 2020, 287, 297.

[29] Staben, ZfA 2020, 287, 296.

[30] Lücke, NZA 2019, 658, 660; zur Verantwortlichkeit der juristischen Person Gola/Gola, 2. Aufl. 2018, Art. 4 DS-GVO Rn. 56; Gola/Pötters, RDV 2017, 279, 280 f.

[31] Brink/Joos, NZA 2019, 1395, 1397; Hamann/Wegmann, BB 2019, 1347, 1349; Jung/Hansch, ZD 2019, 143, 147; Kort, NZA 2015, 1345, 1347; Kurzböck/Weinbeck, BB 2020, 500, 502; Möllenkamp, NZA-RR 2019, 196, 199; dies erkennend, wenn auch im Ergebnis als nicht ausschlaggebend einordnend Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1.

[32] GA Bobek, Schlussantrag v. 19.12.2018 – C-40/17, BeckRS 32835 Rn. 91; Brink/Joos, NZA 2019, 1395, 1397; Jung/Hansch, ZD 2019, 143, 147

[33] So nun auch der Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899, 21; ausführlich Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats – Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz, 287 ff.

[34] Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 17; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 7; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, § 2 Rn. 52 f.; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 8.

[35] BAG, Beschl v. 21.04.1983 – 6 ABR 70/82, NJW 1984, 2309, 2310; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 6.

[36] Jordan/Bissels/Löw, BB 2010, 2889, 2893.

[37] Jordan/Bissels/Löw, BB 2010, 2889, 289.

[38] Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 35

[39] So dem Grundgedanken nach BAG, Beschl. v. 22.07.1980 – 6 ABR 5/78, BeckRS 9998, 180191 Rn. 24, das die Auflösung des Betriebsrats wegen der strengen Voraussetzungen des § 23 Abs. 1 S. 1 BetrVG nicht als eine einem Unterlassungsanspruch gleichwertige Reaktionsmöglichkeit einordnet; aus der Literatur ebenso Raab, RdA 2017, 288, 292, 299; zu den Anforderungen an einen Verstoß gegen den Grundsatz der vertrauensvollen Zusammenarbeit LAG Berlin-Brandenburg, Beschl. v. 08.09.2016 – 5 TaBV 780/15, BeckRS 2016, 111587 Rn. 42.

[40] Dies gilt insbesondere, wenn man dem Arbeitgeber eine Regressmöglichkeit bei den einzelnen Betriebsratsmitgliedern zugesteht, s. dazu ausführlich Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats – Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz, 211 ff.

[41] Hitzelberger-Kijima, öAT 2018, 136, 138; Möllenkamp, NZA-RR 2019, 196, 199; anklingend bei Lücke, NZA 2019, 658, 660

[42] BAG, Beschl. v. 18.07.2012 – 7 ABR 23/11, NZA 2013, 49, 52 f. Rn. 29 f.; Brams/Möhle, ZD 2018, 570.

[43] BAG, Beschl. v. 18.07.2012 – 7 ABR 23/11, NZA 2013, 49, 52 Rn. 29

[44] Althoff, ArbRAktuell 2018, 414, 416; Bott/Vogel, BB 2019, 2100, 2101; Dzida, BB 2019, 3060, 3061; Jung/Hansch, ZD 2019, 143, 147; Kranig/ Wybitul/Zimmer-Helfrich, ZD 2019, 1; Lücke, NZA 2019, 658, 660; i.E. ebenso LAG Hessen, Beschl. v. 10.12.2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 32; a.A. – allerdings ohne Begründung, worauf die Annahme der Entscheidungsbefugnis konkret gestützt werden soll – LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 37 m. Anm. Wybitul/Böhm, NZA-RR 2019, 256, 260, die hier vertretener Auffassung folgen.

[45] Brams/Möhle, ZD 2018, 570, 571; Jung/Hansch, ZD 2019, 143, 147; Stück, ZD 2019, 256, 258; dies erkennend, aber im Ergebnis nicht als entscheidend einordnend Brink/Joos, NZA 2019, 1395, 1397.

[46] LfDI Baden-Württemberg, 34. Tätigkeitsbericht 2018, 38; Staben, ZfA 2020, 287, 293 f.; in diese Richtung auch Hamann/Wegmann, BB 2019, 1347, 1349; Kurzböck/Weinbeck, BB 2020, 500, 501.

[47] Lücke, NZA 2019, 658, 660; Wybitul/Böhm, NZA-RR 2019, 256, 260; so wohl auch LAG Hessen, Beschl. v. 10.12.2018 – 16 TaBV 130/18, NZARR 2019, 196, 198 Rn. 32

[48] Kurzböck/Weinbeck, BB 2020, 500, 501; Schulze/Helmrich, ArbRAktuell 2020, 253; Staben, ZfA 2020, 287, 294; in diese Richtung auch Brink/ Joos, NZA 2019, 1395, 1396.

[49] Brams/Möhle, ZD 2018, 570, 571; Jung/Hansch, ZD 2019, 143, 147; Stück, ZD 2019, 256, 258; dies erkennend, aber im Ergebnis nicht als entscheidend einordnend Brink/Joos, NZA 2019, 1395, 1397

[50] Staben, ZfA 2020, 287, 294.

[51] Althoff, ArbRAktuell 2018, 414, 416; Jung/Hansch, ZD 2019, 143, 147; Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1; Lücke, NZA 2019, 658, 660 f.; Stück, ZD 2019, 256, 258; Wybitul/Böhm, NZA-RR 2019, 256, 260; a.A. LfDI Baden-Württemberg, 34. Tätigkeitsbericht 2018, S. 37 f.

[52] Brink/Joos, NZA 2019, 1395, 1397; Kurzböck/Weinbeck, BB 2020, 500, 501; Staben, ZfA 2020, 287, 295.

[53] BAG, Beschl. v. 14.12.2016 – 7 ABR 8/18, NZA 2017, 514, 516 Rn. 17; BAG, Beschl. v. 18.03.2015 – 7 ABR 4/13, NZA 2015, 954, 955 Rn. 11; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 40 Rn. 7.

[54] BAG, Beschl. v. 14.12.2016 – 7 ABR 8/18, NZA 2017, 514, 516 Rn. 18; BAG, Beschl. v. 18.03.2015 – 7 ABR 4/13, NZA 2015, 954, 955 Rn. 11; BAG, Beschl. v. 03.09.2009 – 7 ABR 8/03, NZA 2004, 280, 281; Fitting, BetrVG, 30. Aufl. 2020, § 40 Rn. 9; GK-BetrVG/Weber, 11. Aufl. 2018, § 40 Rn. 13; Richardi/Thüsing, BetrVG. 16. Aufl. 2018, § 40 Rn. 8.

[55] BAG, Beschl. v. 20.04.2016 – 7 ABR 50/14, NZA 2016, 1033, 1034 Rn. 15 ff.; BAG, Beschl. v. 18.07.2012 – 7 ABR 23/11, NZA 2013, 49, 51 Rn. 20.

[56] BAG, Beschl. v. 17.02.1993 – 7 ABR 19/92, NZA 1993, 854, 855; GKBetrVG/Weber, 11. Aufl. 2018, § 40 Rn. 143.

[57] Ebenso Dzida, BB 2019, 3060, 3061; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1725.

[58] So Gola, BB 2017, 1462, 1466, der den Konzernbetriebsrat „eindeutig“ als Verantwortlichen, andere Formen des Betriebsrats jedoch lediglich als Teil des Arbeitgebers einordnet; etwas missverständlich, aber wohl in eine andere Richtung gehend Hitzelberger-Kijima, öAT 2018, 136, 138; anklingend auch bei Brams/Möhle, ZD 2018, 570.

[59] BAG, Beschl. v. 11.11.1997 – 1 ABR 21/07, NZA 1998, 385, 386 Rn. 30

[60] Gola, BB 2017, 1462, 1466; zust. Wybitul, NZA 2014, 1488, 1490 Fn. 27

[61] MHdB ArbR/Richter, 4. Aufl. 2018, § 25 Rn. 9; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 54 Rn. 4.

[62] Brams/Möhle, ZD 2018, 570; Staben, ZfA 2020, 287, 292; Wybitul, NZA 2014, 1488, 1490 Fn. 27.

[63] MHdB ArbR/Richter, 4. Aufl. 2018, § 25 Rn. 41

[64] Fitting, BetrVG, 30. Aufl. 2020, § 54 Rn. 1; Küttner/Poeche, Personalbuch, 27. Aufl. 2020, Konzernbetriebsrat Rn. 1; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 54 Rn. 4, § 58 Rn. 35

[65] Gola, BB 2017, 1462, 1466; zust. Wybitul, NZA 2014, 1488, 1490 Fn. 27

[66] Fitting, BetrVG, 30. Aufl. 2020, § 54 Rn. 9a; Küttner/Poeche, Personalbuch, 27. Aufl. 2020, Konzernbetriebsrat Rn. 3.

[67] Fitting, BetrVG, 30. Aufl. 2020, § 54 Rn. 10; Küttner/Poeche, Personalbuch, 27. Aufl. 2020, Konzernbetriebsrat Rn. 4; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 54 Rn. 4.

[68] Hitzelberger-Kijima, öAT 2018, 136, 138.

[69] BAG, Beschl. v. 23.08.2006 – 7 ABR 51/05, NJOZ 2007, 2862, 2871 Rn. 50; LAG Rheinland-Pfalz, Beschl. v. 26.02.2015 – 5 TaBV 19/14, BeckRS 2015, 67906.

[70] MHdB ArbR/Richter, 4. Aufl. 2018, § 25 Rn. 27.

[71] Hitzelberger-Kijima, öAT 2018, 136, 138.

[72] Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DS-GVO Rn. 129; Kühling/Buchner/Hartung, 3. Aufl. 2020, Art. 4 Nr. 7 DS-GVO Rn. 1; so auch für den nicht eindeutig formulierten Art. 83 DS-GVO BeckOK DatenschutzR/Holländer, 34. Ed. (Stand 01.08.2020), Art. 83 DS-GVO Rn. 8.

[73] Kort, NZA 2015, 1345, 1347; Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1, 3; Möllenkamp, NZA-RR 2019, 196, 199.

[74] Dazu Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats – Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz, 227 ff.

[75] Gesetzesentwurf der Bundesregierung zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz), BT-Drs. 19/28899, 21.

[76] Zur Frage der Verantwortlichkeit des Betriebsrats sowie den daran anknüpfenden Haftungsfragen s. ausführlich Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats – Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz, 205 ff.