Aufsatz : Wer ist datenschutzrechtlich „Verantwortlicher“ im Unternehmen? Betriebsrat und andere selbstständige Einheiten als Adressaten des Datenschutzrechts : aus der RDV 6/2017, Seite 279 bis 284
Betriebsrat und andere selbstständige Einheiten als Adressaten des Datenschutzrechts
„Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung (DS-GVO) ist nach Art. 4 Nr. 7 DS-GVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Diese auf den ersten Blick recht einfache Definition bereitet Schwierigkeiten bei der Festlegung der Verantwortlichkeit in komplexeren Unternehmensstrukturen, bei denen rechtlich unselbstständige Betriebe, Abteilungen, etc. selbstständig über die Zwecke und Mittel der Datenverarbeitung entscheiden. Nicht ausdrücklich geregelt ist vor allem auch die datenschutzrechtliche Stellung von Mitarbeitervertretungen, insbesondere des Betriebsrats.
I. Die bisherige Rechtslage
Schon nach bisherigem Recht war die genaue Festlegung der datenschutzrechtlichen Verantwortlichkeit in komplexeren Unternehmensstrukturen für die Praxis nicht hinreichend geklärt. Nach der Definition des noch gültigen § 3 Abs. 7 BDSG ist verantwortliche Stelle „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt“ (§ 3 Abs. 7 BDSG). Diese Regelung lässt offen, ob selbstständig agierende Stellen innerhalb eines Unternehmens wie etwa der Betriebsrat Verantwortliche sind oder ausschließlich die jeweilige juristische Person. Auch die leicht abweichende Definition der Datenschutz-Richtlinie 95/46/EG in Art. 2 lit. d) gibt hierfür keine klare Handhabe.
Nach ständiger Rechtsprechung ist der Betriebsrat nur – aber immerhin – als Teil des verantwortlichen Unternehmens zur Einhaltung des Datenschutzrechts verpflichtet, d.h. er ist keine eigene verantwortliche Stelle gemäß § 3 Abs. 7 BDSG.[1] Die bei dem Betriebsrat stattfindenden Verarbeitungen von Beschäftigtendaten sind also solche des Betriebes, für sie ist grundsätzlich der Arbeitgeber der „Verantwortliche“. Er ist Normadressat des BDSG, d.h. verpflichtet, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten in allen Einheiten des Betriebs zu gewährleisten.
Dieses Verständnis des „alten“ BDSG dürfte auch den unionsrechtlichen Vorgaben der Datenschutz-Richtlinie 95/46/ EG entsprechen. Einschlägige Rechtsprechung des EuGH fehlt zwar, die Artikel-29-Datenschutzgruppe hat jedoch in einer Stellungnahme überzeugend ein Verständnis vom Konzept der datenschutzrechtlichen Verantwortlichkeit entwickelt, dass zu einem Parallellauf von Datenschutz und der allgemeinen zivil-, verwaltungs- und strafrechtlichen Verantwortung führt.[2] Demnach kommt es regelmäßig auf die juristische Person an, nicht auf ihre unselbstständigen Untergliederungen.
Als Teil der verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG ist der Betriebsrat nach der Rechtsprechung des BAG aber ebenfalls dem Datenschutz verpflichtet und hat eigenständig über Maßnahmen zu beschließen, um den Anforderungen des BDSG Rechnung zu tragen.[3] Zu den Pflichten des Betriebsrats gehöre insbesondere die Wahrung des Datengeheimnisses.[4]
Gleichzeitig nimmt der Betriebsrat aufgrund seiner betriebsverfassungsrechtlichen Unabhängigkeit im Vergleich zu anderen rechtlich unselbstständigen Einheiten einer juristischen Person eine Sonderstellung ein. Dass sich aus seiner Unabhängigkeit Konflikte bei der Umsetzung der Vorgaben des Datenschutzrechts ergeben können, liegt auf der Hand, sofern Arbeitgeber und Betriebsrat nicht in gemeinsamer Verantwortung für den Datenschutz der Beschäftigten kooperativ zusammenarbeiten.
Die ihrer Eigenverantwortung Rechnung tragende Sonderstellung der Mitarbeitervertretung wurde vom BAG wiederholt bekräftigt, indem ihr eingeräumt wurde, die von ihr benötigte Datenverarbeitungstechnik, im Rahmen der Erforderlichkeit (§ 40 Abs. 2 BetrVG) bzw. Üblichkeit selbstständig zu bestimmen und über ihre Datenschutzorganisation ggf. abweichend von den vom Arbeitgeber aufgestellten Datensicherungsregelungen zu entscheiden.[5] So liegt es auch bei einer nach § 40 Abs. 2 BetrVG gebotenen Bereitstellung eines Internetzugangs[6] im Beurteilungsspielraum des Betriebsrats, ob der Zugang zum lnternet den einzelnen Betriebsratsmitgliedern nur über einen zentralen Rechner im Betriebsratsbüro oder auch am Arbeitsplatz des Betriebsratsmitglieds eröffnet wird,[7] wobei jedes Mitglied des Betriebsrats nach § 34 Abs. 3 BetrVG das unabdingbare Recht hat, alle auf Datenträgern gespeicherten Dateien und EMails des Betriebsrats auf elektronischem Wege zu lesen.[8] Ferner ist es grundsätzlich auch Sache des Betriebsrats, festzulegen, ob beim Zugang einzelner Betriebsratsmitglieder zum lnternet über einen gemeinsamen Rechner des Betriebsrats keine Personalisierung stattfinden soll, damit dem Arbeitgeber nicht ermöglicht wird, die Internetrecherchen der einzelnen Betriebsratsmitglieder nachzuvollziehen.
Andererseits muss der Betriebsrat den Belangen und Gegebenheiten des Betriebes Rechnung tragen. Keinen Anspruch hat er demnach darauf, dass der Arbeitgeber ihm den Zugang zum Internet unabhängig von dem betrieblichen Netzwerk zur Verfügung stellt. Allein die abstrakte Gefahr einer missbräuchlichen Ausnutzung der technischen Kontrollmöglichkeiten durch den Arbeitgeber begründet keine Erforderlichkeit eines separaten Telefonanschlusses oder Internetzugangs.[9]
II. Die Rechtslage nach der DS-GVO
1. Begrenzung der Verantwortlichkeit auf juristische Personen
Mit der DS-GVO stellt sich die Frage nach der Auslegung des Begriffs des Verantwortlichen und insbesondere auch nach der datenschutzrechtlichen Einordnung des Betriebsrats erneut.[10] Mehr noch als bisher ist dabei das nun mit unmittelbarer Geltung ausgestattete EU-Datenschutzrecht maßgebend. Das Betriebsverfassungsrecht ist unionsrechts- und damit datenschutzkonform auszulegen – nicht andersherum.[11]
Die DS-GVO bezeichnet abweichend von § 3 Abs. 7 BDSG a.F. in Fortführung des Art. 2 lit. d) der Datenschutz-Richtlinie 95/46/EG in Art. 4 Nr. 7 DS-GVO den Normadressaten der Verordnung nicht als „verantwortliche Stelle“, sondern als „Verantwortlichen“. Verantwortlicher kann jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ sein. Damit ist weiterhin klar, dass jedenfalls eine juristische Person Normadressat des Datenschutzrechts ist. Ebenfalls wie bisher lässt der Wortlaut aber offen, ob nur die jeweilige juristische Person Verantwortlicher ist oder ob daneben selbstständig agierende Einrichtungen oder Stellen innerhalb der juristischen Person ebenfalls Verantwortliche sind. Die Wendung „juristische Person, Behörde oder andere Stelle“ spricht eher für die Deutung, dass bei einer juristischen Person ausschließlich diese verantwortlich ist. Die Begriffe „Einrichtung“ und „Stelle“ sind andererseits offen und können z.B. nicht nur auf den öffentlich-rechtlichen Bereich beschränkt werden.[12] Der Wortlaut lässt also viele Lesarten zu – eine eigenständige Verantwortlichkeit von unabhängigen Stellen innerhalb eines Unternehmens wie z.B. dem Betriebsrat kann ihm sicherlich nicht zwingend entnommen werden.[13]
Entscheidend sind damit systematische und teleologische Argumente. Ein systematischer Ansatzpunkt kann insofern der Begriff der Niederlassung sein. So macht Art. 3 Abs. 1 DS-GVO, der die räumliche Anwendbarkeit der DS-GVO im internationalen Kontext regelt, deutlich, dass eine Niederlassung nur Teil der verantwortlichen juristischen Person ist, nicht aber selbst verantwortlich (s. Wortlaut: „Niederlassung eines Verantwortlichen“). Wenn also z.B. ein amerikanisches Unternehmen Standorte in London und Frankfurt hat, sind nicht diese Niederlassungen datenschutzrechtlich verantwortlich, sondern nur die amerikanische Gesellschaft. Auch Niederlassungen treffen natürlich häufig selbstständige Entscheidungen und verarbeiten dabei selbstständig personenbezogene Daten, etwa bei der Einstellung neuer Mitarbeiter oder beim Kauf von Arbeits- und Betriebsmitteln. Dies macht sie aber nicht automatisch zum Verantwortlichen, denn sonst wäre auch jede Einzelperson, die als Mitarbeiter einer juristischen Person Verarbeitungszwecke festlegen kann, selbst Verantwortlicher. Letzteres wird aber – früher wie heute – zu Recht von Niemandem vertreten.
Die Erstreckung der datenschutzrechtlichen Verantwortlichkeit auf rechtlich unselbstständige Einheiten wie eine bloße Niederlassung wäre zudem in der Praxis kaum praktikabel und stünde im Widerspruch zur Systematik der Sanktionen bei Verstößen gegen die DS-GVO. Die Schadensersatzansprüche von Betroffenen (Art. 82 DS-GVO) und die behördlichen Befugnisse zur Verhängung von Bußgeldern (Art. 83 DS-GVO) setzen die Rechtsfähigkeit des Verantwortlichen voraus, schon um eine effektive Durchsetzung des Datenschutzes zu gewährleisten. Gleiches gilt für die Betroffenenrechte: Hier muss klar sein, an wen sich der Betroffene wenden kann.
Im Ergebnis ist also (nur) jede juristische Person Verantwortlicher[14], das Datenschutzrecht ist sozusagen gesellschaftsrechtsakzessorisch. Spaltet sich eine juristische Person auf mehrere neue Rechtsträger auf oder werden diese umgekehrt zusammengelegt, verändert sich damit auch die datenschutzrechtliche Verantwortlichkeit. Selbstständig agierende Stellen innerhalb einer juristischen Person wie z.B. arbeitsrechtliche Betriebe, Abteilungen, Betriebsräte etc. sind hingegen lediglich als Teil des Verantwortlichen Adressat des Datenschutzrechts, auch wenn sie selbst über Zwecke und Mittel der Datenverarbeitung entscheiden.
Es mag in der Praxis sinnvoll sein, zwischen selbstständig agierenden Standorten Vereinbarungen zum Datenschutz zu treffen, die sich an den Inhalten einer Vereinbarung zwischen gemeinsam Verantwortlichen nach Art. 26 DS-GVO orientiert. Ebenso sind Arbeitgeber und Betriebsrat regelmäßig gut beraten, die Umsetzung des Datenschutzrechts und die damit verbundene Verteilung von Aufgaben und Verantwortlichkeiten in einer Betriebsvereinbarung zu regeln. Zwingend ist dies aber nicht.
2. Verantwortlichkeit des Betriebsrats als Teil des verantwortlichen Arbeitgebers
Der nationale Gesetzgeber kann die Verteilung der Verantwortlichkeit nach Art. 4 Nr. 7 Halbs. 2 DS-GVO im Einzelfall abweichend regeln. In § 26 BDSG 2018 macht er von dieser Option jedoch mit Blick auf den Betriebsrat keinen Gebrauch.[15] Die Ergänzung von § 26 Abs. 1 S. 1 BDSG 2018 gegenüber der § 32 Abs. 1 S. 1 BDSG a. F., wonach nunmehr eine Datenverarbeitung zur Ausübung der Rechte und Pflichten einer Interessenvertretung ausdrücklich auch erforderlich sein muss, stellt nach Auffassung des Gesetzgebers lediglich eine Klarstellung dar.[16]
Der neue Zulässigkeitstatbestand in § 26 Abs. 1 S. 1 BDSG 2018 zur Rechtmäßigkeit der Datenverarbeitungen durch Interessenvertretungen spricht vielmehr dafür, dass es sich bei Datenübermittlungen zwischen Arbeitgeber und Betriebsrat und der weiteren Verarbeitung der Daten durch den Betriebsrat um innerbetriebliche Vorgänge handelt. Damit bleibt es dabei, dass die Mitarbeitervertretungen trotz ihrer Eigenverantwortung weiterhin lediglich als Teil des Unternehmens als Verantwortlicher anzusehen sind.[17]
Um dem insoweit fortbestehenden Konflikt zwischen der Eigenverantwortung der Mitarbeitervertretung und den Betroffenenrechten der Mitarbeiter gerecht zu werden, bietet es sich an, für Auskunfts- und andere Kontrollansprüche entweder unternehmensintern eine unmittelbare Verantwortung des Vertretungsorgans festzulegen oder Prozesse aufzusetzen, die eine hinreichende Kooperation bei der Umsetzung der Betroffenenrechte gewährleisten.[18] Ein Betriebsrat wird sich einer Lösung auch kaum verschließen können, will er nicht den Beschäftigten ihre gesetzlichen Datenschutzpositionen verweigern. Entsprechende Regelungen sollten im Interesse klarer Verfahrensabläufe in einer Betriebsvereinbarung abgesichert werden. Gleiches gilt für weitere Verpflichtungen des Arbeitgebers, bei denen er auf eine Mitwirkung des Betriebsrats angewiesen ist, wie etwa die Erstellung eines vollständigen Verarbeitungsverzeichnisses nach Art. 30 DS-GVO.
Mit dem Abschluss einer Betriebsvereinbarung kann der Arbeitgeber zugleich seiner Rolle als „Verantwortlicher“ für die Umsetzung der DS-GVO gerecht werden.
3. Maßstab für Datenverarbeitungen des Betriebsrats
Die neue gesetzliche Regelung des § 26 Abs. 1 S. 1 BDSG greift für Datenverarbeitungen des Betriebsrats immer dann ein, wenn keine spezialgesetzliche Erlaubnisnorm eine konkrete Datenverarbeitung regelt (Subsidiarität des BDSG, § 1 Abs. 2 BDSG 2018).
Dieser Vorrang kann für Bestimmungen bejaht werden, die sowohl die Art der personenbezogenen Information als auch die Art und Weise des Informationsflusses regeln.[19] Eine solche konkrete, das BDSG verdrängende Bundesvorschrift stellt bspw. § 80 Abs. 2 S. 2 Halbs. 2 BetrVG dar, der dem Betriebsrat ein Recht auf Einsicht in Bruttolohn- und Gehaltslisten gibt.[20] Keine das BDSG verdrängende Regelung beinhalten jedoch die allgemeinen Informationspflichten des § 80 Abs. 2 S. 1 Halbs. 1 und S. 2 Halbs. 1 BetrVG bzw. § 68 Abs. 2 S. 1 und 2 BPersVG, die nur pauschal zur Weitergabe erforderlichen Informationen zur Wahrnehmung der Aufgaben der Mitarbeitervertretung und zur Vorlage diesbezüglicher Unterlagen verpflichten.[21] Auch in der Pflicht des Betriebsrates nach § 89 Abs. 1 S. 2 BetrVG, die für den Arbeitsschutz zuständigen Behörden zu unterstützen, hat das BAG keine datenschutzrechtliche Rechtfertigungsgrundlage erblickt.[22]
Ganz überwiegend wird damit eine Datenverarbeitung durch den Betriebsrat an § 26 Abs. 1 S. 1 BDSG 2018 zu messen sein. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auch verarbeitet werden, wenn „dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“ Die Erlaubnisnorm hat nicht nur Bedeutung für zu diesem Zweck stattfindende Datenübermittlungen des Arbeitgebers, sondern auch für Verarbeitungen der Mitarbeitervertretung. Diese Datenverarbeitungen sind gestattet, wenn sie zur Wahrnehmung von Rechten und Pflichten der Interessenvertretung erforderlich sind.
Datenverarbeitungen durch den Betriebsrat sind damit zunächst nur im Rahmen seiner örtlichen und sachlichen Zuständigkeit zulässig. Denn liegt kein Aufgabenbezug vor, kann die Verarbeitung nicht „zur Ausübung der Rechte und Pflichten der Interessenvertretung erforderlich“ sein.
Ist die Zuständigkeit des Betriebsrats grundsätzlich eröffnet, verlangt die Erforderlichkeitsprüfung weiter eine am Verhältnismäßigkeitsprinzip ausgerichtete Interessenabwägung.[23] Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen im Wege praktischer Konkordanz zu einem schonenden Ausgleich zu bringen.[24]
Der Arbeitgeber kann also mit Verweis auf die Grundrechte und Interessen der Mitarbeiter eine vom Betriebsrat verlangte Datenübermittlung verweigern. Er ist aber gut beraten, dies nicht als taktisches Mittel gegen den Betriebsrat einzusetzen, denn regelmäßig wird eine Verarbeitung personenbezogener Beschäftigtendaten durch den Betriebsrat von dessen Aufgabenbereich erfasst und zur Ausübung seiner Rechte erforderlich sein. Der Arbeitgeber sollte daher Anfragen der Mitarbeitervertretung zur Übermittlung bestimmter Informationen grundsätzlich stattgeben. Eine genauere Prüfung muss nur erfolgen, wenn kein Aufgabenbezug erkennbar ist oder wenn z.B. bereits ein Widerspruch eines betroffenen Beschäftigten (Art. 21 DS-GVO) vorliegt.
Die Erforderlichkeit ist aber nicht nur bei der Frage, ob eine Datenübermittlung überhaupt erfolgen darf, sondern auch beim „Wie“ zu gewährleisten. So sollten Arbeitgeber und Mitarbeitervertretung beide prüfen, ob nicht im Einzelfall eine anonymisierte oder pseudonymisierte Verarbeitung ausreichen kann, um die Ausübung der Rechte der Vertretung zu ermöglichen. An dieser Stelle werden sicherlich nicht wenige Betriebsräte umdenken müssen, wenn sie bisher davon ausgingen, dass sie als Vertreter der Interessen der Arbeitnehmer keinerlei datenschutzrechtlichen Restriktionen unterworfen sind.
Diese Anforderungen werden in einigen Fällen zu von bisherigen Praktiken abweichenden Verfahren führen müssen.[25]
4. Der Betriebsrat als Wächter des Beschäftigtendatenschutzes
Der Betriebsrat ist aber nicht nur als Teil des Verantwortlichen zur Einhaltung des Datenschutzes verpflichtet, sondern er ist zugleich Wächter des Beschäftigtendatenschutzes und tritt insofern neben den betrieblichen Datenschutzbeauftragten als Kontrollinstanz. Ebenso wie bislang § 32 Abs. 3 BDSG hält künftig § 26 Abs. 6 BDSG 2018 mit Blick auf das Verhältnis von BDSG und betrieblicher Mitbestimmung fest, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten von den Regelungen des BDSG „unberührt“ bleiben. Ob es einer entsprechenden Regelung überhaupt bedurft hätte, darf bezweifelt werden.[26] Jedenfalls bleibt auch künftig der Betriebsrat für den Beschäftigtendatenschutz zuständig[27] und kann dem Arbeitgeber Schranken setzen. Dies folgt zum einen aus seiner allgemeinen Befugnis zur Überwachung der Einhaltung der gesetzlichen Bestimmungen der DS-GVO gem. § 80 Abs. 1 Nr. 1 BetrVG[28], zum anderen kann sich der Betriebsrat – auch aktiv – im Rahmen der zwingenden Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG für datenschutzgerechte Regelungen im Unternehmen einsetzen.
5. Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten?
1. Geltende Rechtslage
Obwohl der Betriebsrat als Teil der verantwortlichen Stelle angesehen wird, soll er nach einer umstrittenen[29] Entscheidung des BAG[30] nicht der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegen. Wesentliches Argument des Gerichts war, dass der betriebliche Datenschutzbeauftragte aufgrund des fehlenden Mitbestimmungsrechts bei seiner Bestellung trotz seiner unabhängigen Stellung dem Arbeitgeber zuzuordnen sei und es deshalb mit der unabhängigen Stellung des Betriebsrats nicht vereinbar sei, wenn „einem Vertreter des Arbeitgebers grundsätzlich Zugang zu sämtlichen Dateien des Betriebsrats eröffnet würde.“ Ob diese Bedenken in den Ländern ausgeräumt sind, die dem Personalrat ein ausdrückliches Mitbestimmungsrecht bei der Bestellung des behördlichen Datenschutzbeauftragten (z.B. § 74 Abs. 1 Nr. 3 HPVG) eingeräumt haben, ist ebenfalls umstritten.[31]
Richtigerweise bedarf es bereits heute einer differenzierten Betrachtung der Problematik. Das BAG berücksichtigt nicht hinreichend, dass das BDSG Pflichten der verantwortlichen Stelle, d.h. des Arbeitgebers, begründet, die ohne Mitwirkung der Mitarbeitervertretung nicht erfüllt werden können. Den Betroffenen ist u.a. das Recht eingeräumt, über alle im Betrieb stattfindenden Datenverarbeitungsverfahren, d.h. auch solche der Mitarbeitervertretung allgemein durch Einblick in das beim Datenschutzbeauftragten geführte Verfahrensverzeichnis und individuell in Wahrnehmung ihres Auskunftsrechts informiert zu werden, um ggf. Korrekturansprüche geltend machen zu können. Diese Ansprüche richten sich gegen den Arbeitgeber als den für die Verarbeitungen im Betrieb Verantwortlichen, der diese Aufgabe aber nur bei einer – gesetzlich nicht zwingenden – Kooperation mit der Mitarbeitervertretung erfüllen kann.
2. Rechtssituation nach der DS-GVO und dem BDSG 2018
Nach Wirksamwerden der DS-GVO zum 25.5.2018 wird mehr noch als bisher zu fragen sein, ob das unabdingbare Kontrollrecht des unabhängigen Datenschutzbeauftragten durch nationales Betriebsverfassungsrecht bzw. eine das BetrVG interpretierende Rechtsprechung des BAG weiterhin eingeschränkt werden kann. Künftig überwiegen aufgrund der unmittelbaren Geltung der normenhierarchisch höherrangigen DS-GVO die Argumente für ein Kontrollrecht des betrieblichen Datenschutzbeauftragten auch gegenüber dem Betriebsrat.[32]
Nach Art. 39 Abs. 1 lit. b) DS-GVO obliegt dem Datenschutzbeauftragten die Überwachung der Einhaltung der Verordnung nebst sonstiger Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen. Voraussetzung hierfür ist, dass ihm der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen und den dabei Beschäftigten ermöglicht wird (Art. 38 Abs. 2 DS-GVO). Der in Art. 38 Abs. 2 DS-GVO zwingend vorgeschriebene Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen umfasst Zutrittsrechte in alle Bereiche des Unternehmens, in denen Verarbeitungen durchgeführt werden können, sowie umfassende Einsichts- bzw. Zugriffsrechte.[33]
Das Recht auf Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen regelt die DS-GVO ohne Ausnahme. Auch die Kontrolle von Berufsgeheimnisträgern unterliegt der Überprüfung durch den Datenschutzbeauftragten. Die DS-GVO kennt damit auch keine kontrollfreie Verarbeitung durch den Betriebsrat.[34] Die insoweit vom BAG[35] aus der betriebsverfassungsrechtlichen Unabhängigkeit der Mitarbeitervertretung herausgelesene Einschränkung der Befugnisse des Datenschutzbeauftragten[36] ist mit der DS-GVO nicht vereinbar.[37]
Die nationale Kompetenz zur Schaffung eigenständiger Regelungen des Beschäftigtendatenschutzes in Art. 88 DSGVO würde auch keine diesbezügliche ausdrückliche Regelung ermöglichen. Gegenüber der Mitarbeitervertretung ist der Datenschutzbeauftragte gesetzlich berufener Anwalt der Betroffenen (Art. 38 Abs. 4 DS-GVO) mit den ihm zur Wahrnehmung dieser Aufgabe übertragenen Kompetenzen.
3. Verschwiegenheitspflicht
Bei der Kontrolle der Mitarbeitervertretung wird der Datenschutzbeauftragte nicht als Kontrollorgan des Arbeitgebers tätig, sondern auf Grund der ihm gesetzlich übertragenen und in Weisungsunabhängigkeit wahrzunehmenden Aufgabe. Dass er dabei grundsätzlich der Verschwiegenheit gegenüber dem Arbeitgeber unterliegt, deutet Art. 38 Abs. 5 DS-GVO zumindest an. Fraglich ist, ob die Norm nur auf insoweit dann wohl zwingend zu erlassendes entsprechendes nationales Recht verweist[38] oder grundsätzlich die Pflicht bereits selbst enthält.[39]
Die Frage kann insoweit dahinstehen, als der deutsche Gesetzgeber in § 38 Ab. 2 S. 1 BDSG 2018 hinsichtlich der Verschwiegenheitspflicht des betrieblichen Datenschutzbeauftragten auf die betreffenden Regelungen des § 6 Abs. 5 S. 2 und Abs. 6 BDSG 2018 für Datenschutzbeauftragte von Bundesstellen verweist. Die Regelung zur Verschwiegenheitspflicht in § 6 Abs. 5 S. 2 BDSG 2018 entspricht zunächst der bestehenden Regelung in § 4f Abs. 4 BDSG a.F. Der Datenschutzbeauftragte wird zur Verschwiegenheit über die Person des Betroffenen verpflichtet, in dessen Angelegenheit er tätig wird[40], soweit der Betroffene ihn nicht hiervon befreit. Sodann wird der Schutz von Berufsgeheimnisträgern (§ 203 StGB) entsprechend der Regelung in § 4f Abs. 4a BDSG a.F. fortgeschrieben.
Damit bleibt die Verschwiegenheitspflicht des Datenschutzbeauftragten hinsichtlich der bei der Mitarbeitervertretung festgestellten Verarbeitungen von Beschäftigtendaten im BDSG 2018 ungeregelt. Gleichwohl muss das Recht zur Verschwiegenheit gegenüber dem Arbeitgeber, so wie bisher schon vertreten wurde[41], über die beiden geregelten Tatbestände hinausgehen. Das Recht zur Verschwiegenheit gegenüber dem Arbeitgeber muss auch dann bestehen, wenn sich ein Nicht-Betroffener an den Datenschutzbeauftragten wendet. Dem Datenschutzbeauftragten muss das Recht zustehen, z.B. um Informationen zu erhalten, die ihm sonst nicht mitgeteilt werden, dem Betreffenden die vertrauliche Behandlung der von ihm gegebenen Informationen zusichern zu können.[42]
Demgemäß ist der Datenschutzbeauftragte auch berechtigt und ggf. verpflichtet, Informationen vertraulich zu behandeln, die ihm im Rahmen einer Beratung oder einer Kontrolle des Betriebsrats bekannt geworden sind.[43] So wird auch die Unabhängigkeit des Betriebsrats gegenüber dem Arbeitgeber gewahrt.
III. Fazit
Verantwortlicher im Sinne des neuen EU-Datenschutzrechts sind nur juristische Personen, nicht jedoch Niederlassungen, Abteilungen oder sonstige Stellen innerhalb der juristischen Person. Auch der Betriebsrat ist damit weiterhin nicht selbst Verantwortlicher, er muss aber das Datenschutzrecht als Teil des Unternehmens als Verantwortlichem ebenfalls einhalten. Insofern kann er ebenso wie der Arbeitgeber vom unabhängigen betrieblichen Datenschutzbeauftragten kontrolliert werden.
Um den fortbestehenden Konflikt zwischen der Eigenverantwortung der Mitarbeitervertretung, datenschutzrechtlicher Verantwortlichkeit des Arbeitgebers und den Betroffenenrechten der Mitarbeiter gerecht zu werden, bietet es sich an, unternehmensintern die Verantwortung des Vertretungsorgans für bestimmte Vorgaben des Datenschutzrechts festzulegen (z.B. mit Blick auf die Betroffenenrechte oder das Verarbeitungsverzeichnis) oder Prozesse aufzusetzen, die eine hinreichende Kooperation bei der Umsetzung der DS-GVO gewährleisten. Entsprechende Regelungen sollten im Interesse klarer Verfahrensabläufe in einer Betriebsvereinbarung abgesichert werden.
Dr. Stephan Pötters LL.M. (Cambridge) Dr. Stephan Pötters ist Rechtsanwalt bei Seitz Rechtsanwälte Steuerberater in Köln. Schwerpunkte seiner Beratung sind das Arbeits- und Datenschutzrecht.
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
[1] BAG 14.01.2014 – 1 ABR 54/12, NZA 2014, 738 (739); BAG 18.07.2012 – 7 AZR 23/11, NZA 1012, 764; BAG 07.02.2012 – 1 ABR 46/10, NZA 2012, 744 (747); BAG 12.08.2009 – 7 ABR 15/08, NZA 2009, 1218 (1221).
[2] Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 19: „In erster Linie ist es wichtig, sich so weit wie möglich an der im öffentlichen und im privaten Sektor üblichen Rechtspraxis (z.B. Zivil-, Verwaltungs- und Strafrecht) zu orientieren. […] Generell ist anzunehmen, dass ein Unternehmen als solches bzw. eine öffentliche Einrichtung als solche für die Verarbeitungstätigkeiten in ihrem Tätigkeits- und Haftungsbereich verantwortlich ist. Gelegentlich benennen Unternehmen und öffentliche Einrichtungen eine bestimmte Person, die für die Durchführung der Verarbeitungen verantwortlich ist. Aber selbst in einem solchen Fall, in dem eine bestimmte natürliche Person dazu bestimmt wird, die Einhaltung der Datenschutzgrundsätze sicherzustellen oder personenbezogene Daten zu verarbeiten, ist diese natürliche Person nicht der für die Verarbeitung Verantwortliche, sondern handelt im Auftrag der juristischen Person (Unternehmen oder öffentliche Einrichtung), die in ihrer Eigenschaft als für die Verarbeitung Verantwortlicher trotzdem die Haftung im Fall von Verstößen gegen die Datenschutzgrundsätze trägt.“
[3] BAG 14.01.2014 – 1 ABR 54/12, NZA 2014, 738 (739); BAG 07.02.2012 – 1 ABR 46/10, NZA 2012, 744 (747); BAG 12.08.2009 – 7 ABR 15/08, NZA 2009, 1218 (1221).
[4] BAG 07.02.2012 – 1 ABR 46/10, NZA 2012, 744 (747); BAG 12.08.2009 – 7 ABR 15/08, NZA 2009, 1218 (1221); BAG 03.06.2003 – 1 ABR 19/02, BAGE 106, 188.
[5] BAG 24.04.2016 – 7 ABR 50/14, NZA 2016, 1033; BAG 18.07.2012 – 7 ABR 23/11, NZA 2013, 49; Däubler, Gläserne Belegschaften, 7. Aufl. 2017, Rn. 640a
[6] BAG 14.07.2010 – 7 ABR 80/08, DB 2010, 2731.
[7] BAG 18.07.2012 – 7 ABR 23/11, RDV 2012, 295.
[8] BAG 12.08.2009 – 7 ABR 15/08, NZA 2009, 1218.
[9] BAG 20.04.2016 – 7 ABR 50/14, RDV 2016, 227.
[10] Tendenziell für eine eigenständige Verantwortlichkeit: Wybitul, NZA 2017, S. 413 (414); Kort, ZD 2017, 319 (323); a.A. Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 4 Rn. 11; Däubler, Gläserne Belegschaften, 7. Aufl. 2017, Rn. 640; offen gelassen Düwell/Brink, NZA 2017, 1081.
[11] Anders Däubler, Gläserne Belegschaften, 7. Aufl. 2017, Rn. 640: genereller Vorrang des BetrVG, soweit Daten vom Arbeitgeber an Betriebsrat übermittelt wurden.
[12] Vgl. auch die englische und französische Fassung: „agency or other body“; „le service ou un autre organisme”.
[13] Mit dem Wortlaut argumentiert Kort, ZD 2017, 319 (323): Der weite Begriff des „Verantwortlichen“ spreche dafür, zukünftig den Betriebsrat als eigenständig datenschutzrechtlich Verantwortlichen anzusehen.
[14] Schantz, in: Schantz/Wolff (Hrsg.), Das neue Datenschutzrecht, 1. Aufl. 2017, Abschn. C., Rn. 359; vgl. auch BeckOK DatenSR/Schild, 21. Ed. 01.08.2017, DS-GVO, Art. 4 Rn. 88.
[15] Wybitul, NZA 2017, 413 (414, dort Fn. 15).
[16] BT-Drs. 18/11325, S. 97.
[17] Vgl. Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 4 Rn. 11
[18] Dammann, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 3 Rn. 240.
[19] Vgl. bereits Gola/Pötters, RDV 2017, 111.
[20] Vgl. Jordan/Bissels/Löw, BB 2010, 2889 (2891).
[21] A.A Däubler, Gläserne Belegschaften, 7. Aufl. 2017, Rn. 635.
[22] BAG 03.06.2003 – 1 ABR 19/02, BAGE 106, 188.
[23] Vgl. bereits Gola/Pötters, RDV 2017, 111; ferner Wybitul, NZA 2017, 413 (416).
[24] S. hierzu die Gesetzesbegründung zu § 26 BDSG 2018, BR-Drs. 110/15 S. 96 zu § 26 Abs. 3.
[25] Vgl. bereits Gola/Pötters, RDV 2017, 111.
[26] Zutreffend Kort, ZD 2017, 319 (322).
[27] Forgó/Helfrich/Schneider/Schoof, in: Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2. Aufl. 2017, Teil II. Kap. 3, Rn. 61.
[28] Vgl. Kort, ZD 2017, 3 (5).
[29] Zustimmend u.a. Simitis, NJW 1998, 2395; Schaffland/Wiltfang, BDSG, § 4f Rn. 65; Wagner, BB 1993, 1729; Forgó/Helfrich/Schneider/Schoof, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, Teil II. Kap. 3, Rn. 63 ff.; zur Gegenmeinung Gola/ Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, 7. Aufl. 2017, Rn. 1765; Kuhring/Werner, DuD 2000, 159; Scheja, in: Taeger/Gabel (Hrsg.), BDSG, § 4g Rn. 8 ff.; Kort, RDV 2012, 8.
[30] BAG 11.11.1997 – 1 ABR 21/97, NJW 1998, 2466.
[31] Vgl. Schild, RDV 1999, 52 (54).
[32] Vgl. Kort, ZD 2017, S. 3 (6); Taeger/Rose, BB 2016, 819 (828).
[33] Bergt, in: Kühling/Buchner(Hrsg.), DS-GVO, Art. 38 Rn. 19.
[34] Bergt, in: Kühling/Buchner (Hrsg.), DS-GVO, Art. 38 Rn. 18; Kort, ZD 2017, 3 (6).
[35] BAG 11.11.1997 – 1 ABR 21/97, NJW 1998, 2466.
[36] Vgl. hierzu bei Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, 7. Aufl. 2017, Rn. 1764 f.
[37] Bergt, in: Kühling/Buchner (Hrsg.), DS-GVO, Art. 38 Rn. 18; Gola, in: Gola (Hrsg.), DS-GVO, 1. Aufl. 2017, Art. 4 Rn. 55.
[38] So Jaspers/Reif, RDV 2016, 61 (65); Paal, in: Paal/Pauly (Hrsg.), DSGVO, 1. Aufl. 2017, Art. 38 Rn. 13.
[39] Bergt, in: Kühling/Buchner (Hrsg.), DS-GVO, Art. 38 Rn. 38.
[40] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4f Rn. 51 ff.
[41] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4f Fn. 27.
[42] Simitis, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 4f Rn. 119 und 166 ff.; Dammann, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 3 Rn. 240.
[43] Vgl. aber auch zu einer sich bereits aus Art. 38 Abs. 5 DS-GVO ergebenden umfassenden Verschwiegenheitspflicht des DSB bei Bergt, in: Kühling/Buchner (Hrsg.), DS-GVO Art. 38 Rn. 38.