Kurzbeitrag : Praxisfälle zum Datenschutzrecht XII: Ein Personalinformationssystem für den Betriebsrat : aus der RDV 5/2021, Seite 265 bis 268
I. Sachverhalt
Die Sekretärin des Betriebsrats berichtet dem Datenschutzbeauftragten (DSB), dass der Betriebsrat alle ihm vom Arbeitgeber mitgeteilten Beschäftigtendaten in eine Personaldatei speichert, um sie jederzeit nach verschiedenen Gesichtspunkten auswerten zu können. Zugriffsrechte sind allen Betriebsratsmitgliedern eingeräumt. Sie fragt, ob der DSB insoweit Bedenken habe, und bittet ihn, der Sache nachzugehen.
II. Musterfalllösung
1. Betriebsrat als eigener Verantwortlicher oder Teil des Arbeitgebers
Für die Beurteilung der datenschutzrechtlichen Situation ist zunächst relevant, ob der Betriebsrat eigener Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO ist oder aber Teil des Arbeitgebers. Die Aufgaben des DSB gemäß Art. 39 DS-GVO beziehen sich nur auf personenbezogene Datenverarbeitungen der benennenden Stelle. Datenverarbeitungen eigenständig Verantwortlicher, bei denen er nicht benannt ist, fallen nicht in die Zuständigkeit des DSB.
Verantwortlicher gem. Art. 4 Nr. 7 DS-GVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zweck im vorgenannten Sinne ist dabei zu verstehen als erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet. Mittel meint die Art und Weise, wie ein Ergebnis oder Ziel erreicht wird.[1] Maßgeblich ist die tatsächliche oder rechtliche Einflussmöglichkeit auf den jeweiligen Datenverarbeitungsvorgang.[2]
Betriebsräte dürfen die Zwecke der Verarbeitung von Beschäftigtendaten nicht frei bestimmen. Die Zwecke der Datenverarbeitung des Betriebsrats werden bestimmt durch dessen betriebsverfassungsrechtliche Aufgaben.[3] Letzteres ergibt sich auch aus § 26 Abs. 1 S. 1 BDSG, welcher die Rechtmäßigkeit der Verarbeitung von Beschäftigtendaten regelt. Nach der vorgenannten Regelung dürfen Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Die Zwecke der personenbezogenen Datenverarbeitung des Betriebsrats sind also begrenzt durch dessen sich aus Gesetz und ggf. Kollektivvereinbarung ergebenden Rechte und Pflichten. Hinsichtlich der Mittel der Datenverarbeitung ist der Betriebsrat grundsätzlich verpflichtet, die TK- und IT-Systeme des Arbeitgebers zu nutzen und hat keinen Anspruch auf einen eigenen Internetserver oder einen eigenen, von der Telefonanlage des Arbeitgebers unabhängigen Telefonanschluss.[4]
Trotzdem herrschte seit Inkrafttreten der DS-GVO eine Diskussion darüber, ob der Betriebsrat anders als nach allgemeiner Auffassung unter der alten Rechtslage als datenschutzrechtlich eigenverantwortlich angesehen werden müsse.[5] Hintergrund ist, dass mit der DS-GVO der Begriff des Verantwortlichen ausgeweitet wurde. Nach § 3 Abs. 7 BDSG aF knüpfte der Begriff der verantwortlichen Stelle an den Begriff der Stelle iSv § 2 BDSG aF. Als nichtöffentliche Stellen waren in § 2 Abs. 4 BDSG aF aber nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts genannt. Art. 4 Nr. 7 Hs. 1 DS-GVO definiert als Verantwortlichen nunmehr jede natürliche oder juristische Person, Behörde, Einrichtung oder „andere Stelle“, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Für die datenschutzrechtliche Verantwortlichkeit des Betriebsrats wurde angeführt, dass, auch wenn die gesetzlichen Rahmenbedingungen des Handelns des Betriebsrats durch das BetrVG festgelegt sind, dieser über die konkreten Datenverarbeitungen im Rahmen seines Auftrags eigenverantwortlich und ohne Kontrolle durch den Arbeitgeber entscheide. Auch werde der Betriebsrat sich zwar in aller Regel die IT-Infrastruktur des Arbeitgebers zunutze machen. Es stehe diesem aber dennoch frei, wie er seine Vorgänge und Abläufe, insbesondere unter Einbeziehung welcher Hilfsmittel (digital oder analog), organisiert.[6]
Das nationale Recht lieferte bisher keine eindeutige Hilfestellung bei der Beurteilung der Verantwortlichkeit für Datenverarbeitungen des Betriebsrats. Zwar enthält § 26 BDSG, wie bereits erwähnt, eine Regelung zur Zulässigkeit personenbezogener Datenverarbeitung durch den Betriebsrat. Zur diesbezüglichen Verantwortlichkeit fand sich aber keine Regelung, und auch das BAG hatte 2019 die Frage, ob der Betriebsrat unter Geltung der DS-GVO als Verantwortlicher für den Datenschutz zur Rechenschaft gezogen werden kann, ausdrücklich offengelassen[7] und sich auf diese Weise das sonst notwendige Vorabentscheidungsverfahren vor dem EuGH erspart.[8]
Der dargestellten Diskussion hat der nationale Gesetzgeber nunmehr durch das Betriebsrätemodernisierungsgesetz und den in diesem Rahmen geschaffenen § 79a BetrVG ein Ende gesetzt. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist nach S. 2 der genannten Regelung der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Diese Regelung sei sachgerecht, so die Gesetzesbegründung, weil der Betriebsrat keine nach außen rechtlich verselbständigte Institution sei und bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers agiere.[9] Gestützt wird die Zulässigkeit der nationalen Regelung der Verantwortlichkeit auf Art. 4 Nr. 7 Hs. 2 DS-GVO. Dieser sieht vor, dass, sofern die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind, auch der Verantwortliche bzw. die Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten festgelegt werden kann bzw. können.
Mithin ist der Betriebsrat nicht Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO, sondern datenschutzrechtlich als Teil des Arbeitgebers anzusehen.
2. Befugnis des DSB zur Überwachung des Betriebsrats
Gemäß Art. 39 Abs. 1 lit. b DS-GVO gehört es zu den gesetzlichen Pflichtaufgaben des DSB, die Einhaltung der DS-GVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien der benennenden Stelle für den Schutz personenbezogener Daten zu überwachen.
Fraglich ist allerdings, ob sich diese Aufgabe auch auf Datenverarbeitungen beim Betriebsrat bezieht.
In einer Entscheidung aus dem Jahr 1997 ging das BAG noch davon aus, dass ein Kontrollrecht[10] des DSB mit der vom Betriebsverfassungsgesetz vorgeschriebenen Unabhängigkeit des Betriebsrats vom Arbeitgeber unvereinbar wäre.[11] Der DSB werde vom Arbeitgeber ausgewählt und bestallt. Der Bestellungsakt als solcher unterliege nicht der Mitbestimmung des Betriebsrats. Kontrollmaßnahmen des DSB seien insofern dem Arbeitgeber zuzurechnen. Der betriebliche DSB nehme keine neutrale Stellung zwischen diesem und dem Betriebsrat ein, sondern sei vielmehr „verlängerter Arm“ des Arbeitgebers, so das BAG 1997.
Spätestens seit Geltung der DS-GVO stellt sich allerdings die Frage, ob die vorbeschriebene Rechtsprechung nicht als überholt angesehen werden muss. Angesichts der unmittelbar geltenden DS-GVO (vgl. Art. 288 Abs. 2 AEUV) lässt sich eine Sonderposition des Betriebsrats im Hinblick auf die Überwachung durch den DSB kaum aufrechterhalten.[12] Nach Art. 38 Abs. 2 DS-GVO ist dem DSB „Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen“ zu gewähren, ohne dass Einschränkungen vorgesehen wären.
So hat dies offenkundig auch der nationale Gesetzgeber gesehen, der, um einer denkbaren Gefährdung der Unabhängigkeit des Betriebsrats bei einer Überwachung durch den DSB entgegenzuwirken, in § 79a S. 4 BetrVG bestimmt hat, dass Letzterer gegenüber dem Arbeitgeber zur Verschwiegenheit über solche Informationen verpflichtet ist, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.[13] Das Recht zur Überwachung des Betriebsrats als solches ist in § 79a BetrVG nicht geregelt. Es ergibt sich nach Auffassung des Gesetzgebers vielmehr unmittelbar aus Art. 39 Abs. 1 lit. b DS-GVO und wird durch § 79a S. 4 BetrVG vorausgesetzt.[14]
Es lässt sich damit festhalten, dass der DSB gemäß Art. 39 Abs. 1 lit. b DS-GVO berechtigt und verpflichtet ist, die Verarbeitung personenbezogener Daten durch den Betriebsrat zu überwachen.
Sofern die Sekretärin sich auch in ihrer Stellung als potenziell betroffene Person an den DSB wendet, kann sich eine Verpflichtung zum Tätigwerden im Übrigen aus Art. 38 Abs. 4 DS-GVO ergeben. Nach dieser Regelung können betroffene Personen den DSB zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Aus ihr resultiert die Pflicht des DSB, sich Beschwerden der betroffenen Person anzunehmen, d.h. den Sachverhalt zu prüfen, auf die Abstellung etwaiger Verstöße hinzuwirken und der betroffenen Person innerhalb angemessener Zeit eine Antwort zukommen zu lassen.[15]
3. Zulässigkeit eines eigenen Personalinformationssystems des Betriebsrats
Abschließend gilt es zu prüfen, inwiefern die Verarbeitung von Beschäftigtendaten in einem betriebsratseigenen Personalinformationssystem datenschutzrechtlich zulässig ist.
Im BetrVG findet sich keine spezielle Regelung bzgl. der Führung eigener Personaldateien durch den Betriebsrat. Gemäß § 26 Abs. 1 S. 1 BDSG richtet sich die Zulässigkeit der Verarbeitung nach der Erforderlichkeit für die Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten des Betriebsrats.
Eine dauerhafte Speicherung von Personalinformationen durch den Betriebsrat ist jedenfalls dann unzulässig, wenn diesem die zugrundeliegenden Unterlagen nur zur Einsicht oder lediglich für eine konkrete Aufgabe[16] vorgelegen haben, vgl. z.B. § 80 Abs. 2 S. 2 Hs. 2 BetrVG, oder wenn die Kenntnis und Verarbeitung der Daten nur mit Einwilligung des Arbeitsnehmers zulässig ist, z.B. § 83 Abs. 1 S. 2 und 3 BetrVG. Ebenso wenig darf der vom Betriebsrat gespeicherte Datenbestand hinsichtlich Qualität und Quantität an den Umfang eines Personalinformationssystems heranreichen bzw. einer automatisiert geführten Personalakte gleichen.[17] Das Führen von Personalakten obliegt dem Arbeitgeber.[18] Die Möglichkeit der jederzeitigen pauschalen Auswertung von Personalinformationen zu unbestimmten Zwecken widerspricht dem Prinzip der zweckgebundenen Verarbeitung personenbezogener Daten und der Pflicht des Betriebsrats aus § 75 Abs. 2 S. 1 BetrVG, die Persönlichkeit der Arbeitnehmer/-innen zu schützen.[19]
Um seinen Pflichten sachgemäß nachkommen zu können, benötigt der Personalrat allerdings einen Überblick, wen er vertritt. Zu diesem Zweck darf er eine eigene „Grunddatendatei“ aufbauen oder alternativ einen entsprechenden eingeschränkten Zugriff auf das Personalverwaltungssystem erhalten. Zu den Grunddaten zählen folgende Angaben über die Beschäftigten: Name und Funktion nebst Bewertung, Vergütungs-/Lohngruppe, Geburts-, Einstellungs- und letztes Beförderungsdatum.[20]
Der DSB ist folglich verpflichtet, sofern sich die Aussagen der Sekretärin bestätigen, gegenüber dem Betriebsrat die bislang stattfindende umfassende Datenspeicherung zu beanstanden und diesen darauf hinzuweisen, dass unzulässig gespeicherte Beschäftigtendaten zu löschen sind. Zudem hat der DSB den Arbeitgeber, der nach § 79a S. 2 BetrVG grundsätzlich die Verantwortung für die Datenverarbeitung des Betriebsrats trägt, über den Vorgang zu informieren.
Der Pflicht zur Information des Arbeitgebers stehen auch die neuen Verschwiegenheitspflichten des DSB nach § 79a S. 4 f. BetrVG nicht entgegen. Denn diese Verschwiegenheitspflichten sind nicht umfassend, sondern beziehen sich nur auf Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, bzw. die Identität betroffener Person oder Umstände, die Rückschlüsse auf diese zulassen. Hinsichtlich im Rahmen der Überwachung des Betriebsrats festgestellter Datenschutzverstöße ist der DSB nicht zur Verschwiegenheit verpflichtet.
Im Rahmen seines Beratungsauftrags gemäß Art. 39 Abs. 1 lit. a DS-GVO hat der DSB den Betriebsrat bei der Entwicklung eines datenschutzkonformen Konzepts für die Speicherung von Beschäftigtendaten im Rahmen der Betriebsratsarbeit zu unterstützen.
* Angaben zu den Autoren: Miriam Claus, LL.M. ist Referentin bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.
[1] Zu diesen Definitionen vgl. GDD Praxishilfe Joint Controllership, Stand: Dezember 2019, S. 7.
[2] Taeger/Gabel/Arning/Rothkegel, DS-GVO BDSG, 3. Aufl. 2019, DS-GVO Art. 4 Rn. 170.
[3] Vgl. Kranig/Wybitul, ZD 2019, 1 (1)
[4] BAG, Beschl. v. 20.04.2016 – 7 ABR 50/14; Kranig/Wybitul, ZD 2019, 1 (2).
[5] Für eine eigenständige Verantwortlichkeit etwa LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17; LfDI BW, 34. TB (2018), S. 37; Maschmann, NZA 2020, 1207 (1215); Kort, ZD 2017, 319 (323); zweifelnd Kühling/Buchner/Hartung DS-GVO/BDSG, 3. Auflage (2020), DSGVO Art. 4 Nr. 7 Rn. 11a; für eine Stellung als Teil der verantwortlichen Stelle „Arbeitgeber“ LAG Hessen, Beschl. v. 10.12.2018 – 16 TaBV 130/18; Lücke, NZA 2019, 658 (660); Stück, ZD 2019, 256 (258); Brams/Möhle, ZD 2018, 570 (571).
[6] Zum gesamten Abs. vgl. Brink/Joos, NZA 2019, 1395 (1396 f.); ähnlich Maschmann, NZA 2021, 834 (834 f.).
[7] Beschl. v. 09.04.2019 – 1 ABR 51/17 sowie Beschl. v. 07.05.2019 – 1 ABR 53/17.
[8] Maschmann, NZA 2020, 1207 (1208).
[9] BT-Drs. 19/28899, S. 22.
[10] Die DS-GVO spricht nur von „Überwachung“ und nicht von „Kontrolle“. Die Einhaltung des Datenschutzes bei der benennenden Stelle zu kontrollieren ist nicht Aufgabe des DSB. Die Verpflichtung des Verantwortlichen nach Art. 24 Abs. 1 DS-GVO, die Einhaltung der Verordnung sicherzustellen, setzt vielmehr eine systemimmanente Kontrolle des Datenschutzes voraus (Internes Kontrollsystem – IKS). Dem DSB kommt insoweit nur beratende und überwachende Funktion zu.
[11] BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97
[12] Gola/Pötters, RDV 2017, 279 (283); Kort, ZD 2017, 3 (6); Taeger/Rose, BB 2016, 819 (828); Kühling/Buchner/Bergt, DS-GVO/BDSG, 3. Aufl. (2020), DS-GVO Art. 38 Rn. 18; Paal/Pauly/Paal, DS-GVO/BDSG, 3. Aufl. (2021), DS-GVO Art. 39 Rn. 6b; für ein Überwachungsrecht, sofern man den Betriebsrat als Teil des Verantwortlichen wertet, auch Wybitul/v. Gierke BB 2017, 181 (184); aA Dotting, AiB 2018, 42 f.
[13] Vgl. Maschmann, NZA 2021, 834 (836).
[14] BT-Drs. 19/28899, S. 22: „Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der Datenschutz-Grundverordnung (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle.“
[15] Heidelberger Kommentar/Jaspers/Reif, DS-GVO/BDSG, 2. Aufl. (2020), DS-GVO Art. 38 Rn. 25.
[16] Kort, ZD 2015, 3.
[17] Vgl. Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1679; Kort, ZD 2015, 3 (6): „Ein Recht auf Aufbau einer „Parallel-Personalakte” beim Betriebsrat besteht nicht.“
[18] Zur Unzulässlichkeit eines permanenten Zugriffs des Betriebsrats auf die Personenakte vgl. auch LAG Düsseldorf, Beschl. v 23.06.2020 – 3 TaBV 65/19.
[19] Vgl. Althoff, ArbRAktuell 2018, 414 (416).
[20] Zum Ganzen vgl. Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1675.