DA+

Aufsatz : Mitarbeitervertretungen und Datenschutzbeauftragte als „Gewährleister“ des Datenschutzes der Beschäftigten : aus der RDV 6/2022, Seite 306 bis 315

Datenschutzbeauftrage und die Mitarbeitervertretungen haben bezogen auf den Beschäftigtendatenschutz parallel laufende Aufgaben, die die Pflicht zur Kooperation quasi vorgeben. ohne auf die Neuregelungen in § 79a BetrVG bzw. § 68 BPersVG zurückgreifen zu müssen. Beiden ist die Überwachung der datenschutzkonformen Verarbeitung der Daten des Kollektivs der Beschäftigten übertragen und zugleich die Pflicht, sich Datenschutzanliegen von Beschäftigten, die sich an die wenden, anzunehmen und ggf. um Abhilfe zu sorgen. Das gilt, wenn Beschäftigte generell auf DS-GVO-widrige Verarbeitungen hinweisen, aber auch, wenn sie um Unterstützung in einem sie persönlich betreffenden Fall nachsuchen. Insoweit stellt sich dann aber auch die Frage, ob der vom Gesetzgeber etablierte „Doppelschutz“ der Beschäftigten dadurch unzulässig minimiert wird, wenn der Datenschutzbeauftragte zugleich Mitglied der Mitarbeitervertretung oder sogar deren Vorsitzender wäre. Wenngleich dies wohl nicht praktisch geworden ist, ist gleichwohl letztlich zu erörtern, ob Mitarbeitervertretung oder Datenschutzbeauftragte, wenn sie ihrem Schutzauftrag nicht nachkommen, von Beschäftigten haftbar gemacht werden können.

Lesezeit 32 Min.

I. Einleitung

1. Die parallel laufenden Aufgabenstellungen

a) Allgemeines

Im Rahmen ihres Schutzauftrag haben Datenschutzbeauftragte und Betriebs-/Personalräte[1] einerseits Kontroll- und Schutzfunktionen bezüglich der mitarbeiterbezogenen Datenverarbeitungen des Arbeitgebers; andererseits wirken bzw. – bei der Mitarbeitervertretung – bestimmen sie mit, ob und für welche Zwecke Beschäftigtendaten verarbeitet werden sollen.[2]

Zudem obliegt dem Datenschutzbeauftragten und der Mitarbeitervertretung die Pflicht, Beschäftigten in Datenschutzbelangen gegenüber dem Arbeitgeber mit Rat und Unterstützung zur Seite zu stehen. (§ 80 Abs. 2 Ziff. 3 BetrVG, § 62 Nr. 3 BPersVG; § 38 Abs.4 DS-GVO).

Beiden obliegt also nicht nur ein das Kollektiv der Arbeitnehmerschaft betreffender gesetzlicher Schutzauftrag. Sie sind auch verpflichtet, – berechtigtem – individuellen Schutzbedarf einzelner Beschäftigter zu genügen. Zur Einhaltung von Datenschutznormen sind aber auch Mitarbeitervertretung und Datenschutzbeauftragter selbst bezüglich ihrer Datenverarbeitungen angehalten.[3] Für beide gilt nach wie vor das Datengeheimnis, wenngleich es in der DS-GVO nicht mehr ausdrücklich normiert ist, weil die vormalige Regelung in § 5 BDSG a.F. entfallen ist.[4]Vorrangig verpflichtet § 79 Abs. 1 BetrVG die Mitglieder des Betriebsrats, über Geschäfts- und Betriebsgeheimnisses Verschwiegenheit zu wahren. Auch das GeschGehG ist zu beachten.[5]

Die Folge ist, dass Beweismittel, die ein Betriebsrat unter Verstoß gegen Datenschutzrecht erlangt hat, nicht verwertbar sind[6] oder Betriebsratsmitglieder, die wiederholt datenschutzrechtswidrig in elektronische Personalakten Einsicht nehmen, aus dem Betriebsrat ausgeschlossen werden können.[7]

Eine Regelung eines permanenten und uneingeschränkten Einsichtsrechts in die elektronisch geführten Personalakten der Arbeitnehmer für den Betriebsratsvorsitzenden ist wegen Verstoßes gegen § 75 Abs. 2 BetrVG unwirksam.

Denn mit einer solchen Regelung wird unverhältnismäßig und damit unzulässig in die Persönlichkeitsrechte der betroffenen Arbeitnehmer eingegriffen.[8] Der Betriebsrat hat auch kein uneingeschränktes Recht zur Weitergabe elektronisch erfasster, namensbezogener Arbeitszeiten an die Aufsichtsbehörde.[9] Aus Gründen des Datenschutzes muss er vielmehr im Einzelfall die Erforderlichkeit der Datenweitergabe prüfen und hierbei die Interessen der betroffenen Arbeitnehmer berücksichtigen.[10]

Die gleiche Einschränkung gilt für den Datenschutzbeauftragten, bevor er ggf. im Konfliktfall die Aufsichtsbehörde kontaktiert.

b) Kooperation

Bei der Gewährleistung des Beschäftigtendatenschutzes besteht für die Mitarbeitervertretung und den Datenschutzbeauftragten nicht nur grundsätzlich wegen der gemeinsamen Schutzfunktion, sondern auch gemäß gesetzlicher Regelung das Recht und grundsätzlich auch die Pflicht zur Zusammenarbeit.[11] Dies ergibt sich aktuell aus dem in § 79a BetrVG bzw. § 68 BPersVG zum Ausdruck gekommenen Grundgedanken.[12]

Ferner kann für den DSB Art. 39 Abs. 1 lit. a DS-GVO herangezogen werden. Danach hat der DSB den Verantwortlichen zu unterrichten und zu beraten. Die Beratung und Unterstützung umfasst die dem Verantwortlichen zugeordnete Stellen und damit nach der Regelung des § 79a BetrVG/§ 68 BPersVG eindeutig auch die Mitarbeitervertretung.[13]

Zu verweisen ist auch darauf, dass der Betriebsrat den Datenschutzbeauftragten als Sachverständigen in Datenschutzfragen in Anspruch nehmen kann bzw. muss.[14]Das kann zum einem auf der Basis der § 40 BetrVG, § 44 BPersVG geschehen. Der Beauftragte kann aber auch außerhalb der Funktion als sachverständiger Arbeitnehmer im Rahmen seines Sicherstellungsauftrags und als “Anwalt der Betroffenen“ gemäß Art. 38 Abs. 4 DS-GVO die Beratung auch ohne Weisung oder Genehmigung des Arbeitgebers wahrnehmen.

c) Unterschiedliche Blickwinkel

Hingewiesen wird darauf, dass der Datenschutzbeauftragte bei der Bewertung von Personaldatenverarbeitungen die Interessen von Arbeitgeber und Beschäftigten gleichermaßen berücksichtigen müsse,[15] während der Betriebsrat zwar Unternehmensinteressen nicht vollständig außer Acht lassen dürfe, seine Tätigkeit aber primär an den Belangen der Belegschaft auszurichten habe.[16] Diese Unterscheidung in der Interessengewichtung kann aber nur zu unterschiedlichen Ergebnissen führen, wenn der Arbeitgeber bei einer Maßnahme einen Handlungsspielraum hat. Ist eine Verarbeitung von Mitarbeiterdaten unzulässig, kann der Handlungsauftrag für die Mitarbeitervertretung und den DSB nur identisch sein. Sie haben im Rahmen ihrer Möglichkeiten auf das Ende der Verarbeitungen hinzuwirken, wozu auch die beiderseitige Information und das Nachsuchen um Unterstützung gehören kann.

d) Kollektiv- und individualbezogene Aufgaben

Beiden obliegen einerseits Kontroll- und Schutzfunktionen bezüglich der mitarbeiterbezogenen Datenverarbeitungen des Arbeitgebers; andererseits wirken sie beratend (für den DSB: Art. 38 Abs. 1 DS-GVO) bzw. – im Falle bei der Mitarbeitervertretung – bestimmend (z.B. bei automatisierter Personaldatenverarbeitung § 87 Abs. 2 Nr. 6 BetrVG; § 80 Abs 1 Nr. 21 BPersVG) dabei mit, ob und für welche Zwecke Beschäftigtendaten verarbeitet werden sollen.[17]

Sie haben aber nicht nur diesen das Kollektiv der Arbeitnehmerschaft betreffenden gesetzlichen Schutzauftrag. Vielmehr obliegt es beiden auch individuellen Beschäftigtenschutz zu gewährleisten, indem sie Beschäftigten in Datenschutzbelangen gegenüber dem Arbeitgeber mit Rat und Unterstützung zur Seite zu stehen haben. Dies gilt zum einem, wenn sich ein Beschäftigter an sie wendet (§ 80 Abs 1 Nr. 4 BetrVG; § 62 Nr. 3 BPersVG, Art. 38 Abs. 4 DS-GVO), und zum anderen auch „von Amtswegen“, wenn sie einen einzelfallbezogenen datenschutzrelevanten Eingriff feststellen.

Zumindest in den letztgenannten Fällen sind sie trotz der gesetzlich verfügten datenschutzrechtlichen Einordnung in den Betrieb/die Behörde „de facto“ im konkreten Fall auch eine datenverarbeitende Stelle, da sie hier ggf. zur gebotenen vertraulichen Wahrnehmung ihrer Aufgaben auch Beschäftigtendaten in eigener Regie und außerhalb der Kenntnisnahme durch den Arbeitgeber verarbeiten.

2. Informationsrechte und datenschutzrechtliche Grenzen

a) Allgemeines

Bei der Wahrnehmung ihrer Schutzfunktion bestehen für Datenschutzbeauftragte und Mitarbeitervertretungen einerseits spezielle Informationsrechte und andererseits aber auch datenschutzrechtliche Grenzen.

b) Die Mitarbeitervertretung

Arbeitnehmerdatenschutz wird zunächst durch § 75 BetrVG zur Aufgabe des Betriebsrats.[18] § 75 Abs. 1 BetrVG verbietet die Diskriminierung wegen dort aufgelisteter Merkmale, woraus nach § 26 Abs. 1 S. 1 BDSG das Verbot der Verarbeitung diesbezüglicher Daten folgt. Des Weiteren verpflichtet die Norm die Betriebsparteien in Absatz 2 zur aktiven Gewährleistung des Persönlichkeitsschutzes der Beschäftigten.[19]Die Schutzpflicht verlangt insbesondere Regelungen des Arbeitnehmerdatenschutzes und zudem Handlungen, die mit der DS-GVO bzw. dem BDSG kollidieren, zu unterlassen oder zu unterbinden, wobei sich hieraus jedoch kein Mitbestimmungsrecht ableiten lässt.[20]

Effektiver für den Schutzauftrag ist § 80 Abs. 1 Nr. 1 BetrVG. Hiernach obliegt es dem Betriebsrat, die Einhaltung der zu Gunsten der Arbeitnehmer geltenden Gesetze durch den Arbeitgeber zu überwachen. § 68 Abs. 2 BPersVG und die Personalvertretungsgesetze der Länder enthalten gleiche Regelungen. Die dort statuierte Verpflichtung der Mitarbeitervertretungen, auf die Einhaltung der dem Schutz der Mitarbeiter dienenden Gesetze zu achten, umfasst gewichtig auch alle Regelungen des Beschäftigtendatenschutzes.[21]

Das BAG[22] und des BVerwG[23] haben bereits Anfang der 80er Jahre festgehalten, dass demgemäß die Kontrolle der Einhaltung von Datenschutznormen, soweit sie die Verarbeitung von Beschäftigtendaten betreffen, zu den Aufgaben der Mitarbeitervertretung gehört (§ 80 Abs. 1 Nr. 1 BetrVG bzw. § 68 Abs. 2 BPersVG).

Für die Wahrnehmung der Aufgabe wesentlich ist sodann § 80 Abs. 2 BetrVG, der den Arbeitgeber zur umfassenden Unterrichtung des Betriebsrats bezüglich der zur Wahrnehmung seiner Aufgaben benötigten Informationen verpflichtet. Die Mitarbeitervertretung hat im Rahmen des Verhältnismäßigkeitsprinzips das Recht, Unterlagen einzusehen und dies auch mit dem Ziel festzustellen, ob Datenschutzverstöße durch den Arbeitgeber begangen werden.

Spezielle, vorrangige Informationsansprüche enthalten das BetrVG und das EntgTranspG mit dem dem Betriebsrat eingeräumten Einblicksrecht in Lohn- und Gehaltslisten (§ 80 Abs. 2 Halbs. 2 BetrVG oder § 13 Abs. 2 und 3 EntgTranspG). Während das Einsichtsrecht nach dem BetrVG unabhängig von Willen des Betroffenen ausgeübt werden kann,[24] setzt die Kontrolle nach dem EntgTranspG das Einverständnis des Betroffenen voraus. Der Betriebsrat ist Hüter der Lohngerechtigkeit und der diesbezüglichen Transparenz im Betrieb.[25] Stellt der Betriebsrat Ungleichbehandlungen fest, so kann er die davon betroffenen Arbeitnehmer darüber informieren.[26] Für die Personalvertretung gilt die gleiche Befugnis, wenngleich auch eine ausdrückliche Regelung fehlt. Das BVerwG[27] hat dem Personalrat ein Recht zur Einsichtnahme zugesprochen.

Ein allgemeines Einsichtsrecht in Personalakten steht der Mitarbeitervertretung dagegen – jedenfalls ohne Zustimmung des Beschäftigten – nicht zu.

Schließlich ist zu beachten, dass Datenschutzverstöße zur Auflösung des Betriebsrats wegen grober Pflichtverletzung führen können,[28] da als grobe Pflichtverletzungen insbesondere die grundsätzliche Missachtung der Gebote des § 2 Abs. 1 BetrVG im Hinblick auf die vertrauensvolle Zusammenarbeit[29]und die Weitergabe vertraulicher Vorgänge und Daten an Dritte[30] von Relevanz sind.

c) Der Datenschutzbeauftragte

Für die Einsichts- und Auskunftsrechte des Datenschutzbeauftragten bei der Kontrolle der Personaldatenverarbeitungen enthält die DS-GVO keine speziellen Aussagen, d.h. es gilt die allgemein gehaltene und damit umfassende Formulierung des Art. 39 Abs. 1 Nr. 2 DS-GVO, nach dem die Überwachung der Einhaltung der Datenschutzvorschriften dem DSB obliegt und ihm dazu Zugang zu allen personenbezogenen Datenverarbeitungen zu gewähren ist (Art. 38 Abs. 2 DS-GVO). Insoweit wird er im Rahmen seiner Weisungsfreiheit einerseits quasi „von Amts wegen“ tätig, andererseits kann bzw. muss er einem berechtigtem individuellen Wunsch eines Betroffenen auf Kontrolle und Einschreiten nachkommen.

Einschränkungen seines Kontrollrechts – wie sie das BetrVG für den Betriebsrat vorsieht – kennt die DS-GVO nicht.

Eine besondere Regelung enthält das Landesdatenschutzgesetz von Sachsen-Anhalt.[31] So gestattet § 14a Abs. 3 Satz 1 DSG-LSA dem Beauftragten für den Datenschutz, zur Aufgabenerfüllung Einsicht in personenbezogene Datenverarbeitungsvorgänge zu nehmen. Nach Satz 2 gilt dies jedoch nicht, soweit Berufs- oder besondere Amtsgeheimnisse bestehen, also die Schweigepflicht des Arztes oder das Personalaktengeheimnis des § 90 Abs. 1 Satz 1, Satz 3 und Abs. 3 BG LSA greift. Auch wenn damit der Schutz der Personaldaten Vorrang hat, bleibt die Aufgabenerfüllung des behördlichen Datenschutzbeauftragten gesichert. Er kann jederzeit die Einwilligung des Betroffenen einholen, falls die Einsicht in eine konkrete Personalakte erforderlich sein sollte.

II. Der gemeinsame Schutzauftrag

1. Der Schutzauftrag der Mitarbeitervertretung

a) Der allgemeine Schutzauftrag des § 80 Abs. 1 Nr. 1 BetrVG/§ 68 Abs. 1 Nr. 2 BPersVG

Das BAG[32] und des BVerwG[33] haben bereits Anfang der 80er Jahre festgehalten, dass die Kontrolle der Einhaltung von Datenschutznormen, soweit sie die Verarbeitung von Beschäftigtendaten betreffen, zu den Aufgaben der Mitarbeitervertretung gehört. Gemäß § 80 Abs. 1 Nr. 1 BetrVG obliegt es dem Betriebsrat, die Einhaltung der zu Gunsten der Arbeitnehmer geltenden Gesetze durch den Arbeitgeber zu überwachen. § 62 Nr. 2 BPersVG und die Personalvertretungsgesetze der Länder enthalten gleiche Regelungen für die Personalvertretungen. Die dort enthaltene Verpflichtung der Mitarbeitervertretungen, auf die Einhaltung von dem Schutz der Mitarbeiter dienenden Gesetze zu achten, umfasst gewichtig auch alle Regelungen des Beschäftigtendatenschutzes.

Damit ist die Rolle der Mitarbeitervertretungen als Wächter des Datenschutzes der Beschäftigten[34] klargestellt. Die Kontrollaufgabe wird durch Mitbestimmung bei unterschiedlichen Phasen der Verarbeitung von Beschäftigtendaten komplettiert.[35]

Zuständig für die Wahrnehmung der Überwachungsaufgabe ist nicht der Gesamt-, sondern der Einzelbetriebsrat.[36] Die Überwachungsbefugnis des Betriebsrats wird auch nicht dadurch tangiert, dass der Gesamtbetriebsrat im Rahmen seiner Zuständigkeit eine Betriebsvereinbarung zur Personaldatenverarbeitung abschließt.

Auch ein Tarifvertrag kann die gesetzliche Aufgabe des Betriebsrats aus § 80 Abs. 1 Nr. 1 BetrVG, die Durchführung getroffener Regelungen zu überwachen, nicht aufheben oder einschränken.[37]

Letztendlich ist festzuhalten, dass die Mitarbeitervertretung – ebenso wie alle Beschäftigten – die Pflicht zur Einhaltung der geltenden Gesetze und damit auch der DS-GVO und sonstiger besonderer datenschutzrechtlicher Rechtsvorschriften hat,[38] was in der Praxis unter anderem beinhaltet, dass sie

  • die in Artikel 5 Absatz 1 DS-GVO genannten Grundsätze für die Verarbeitung personenbezogener Daten, auch wenn für deren Einhaltung der Verantwortliche zuständig ist, im Rahmen ihrer Tätigkeit zu beachten hat. Hierzu zählen die Beachtung des Grundsatzes der Datenminimierung (Datensparsamkeit) sowie des Vertraulichkeitsgrundsatzes,
  • dem Verantwortlichen die für die Durchführung von Datenschutz-Folgenabschätzungen erforderlichen Informationen zuliefern muss,
  • die geeigneten technisch-organisatorischen Maßnahmen wie die zur Wahrung der Datensicherheit und zur Löschung von Betriebsratsunterlagen umzusetzen hat und
  • dem Verantwortlichen unverzüglich Datenpannen nach Artikel 33 DS-GVO aus seinem Geschäftsbereich zu melden hat.[39]

b) Der einzelfallbezogene Schutzauftrag

Die Kontrollfunktion der Mitarbeitervertretung greift aber nicht nur zur Wahrung der Rechtspositionen der Mitarbeiter als Kollektiv, sondern auch im Einzelfall, wenn sich ein Beschäftigter an den Betriebs-/Personalrat mit einem Datenschutzproblem wendet. Es gehört zu den allgemeinen Aufgaben der Mitarbeitervertretung, Anregungen von Arbeitnehmern entgegenzunehmen und, falls sie berechtigt erscheinen, darauf hinzuwirken, dass der Arbeitgeber ihnen nachkommt (§ 80 Abs. 1 Nr. 3 BetrVG; § 68 Abs. 1 Nr. 3 BPersVG). Für die Mitarbeitervertretung besteht eine Handlungspflicht.

Die „Anregung“ kann auch die Einstellung einer bestimmten Verarbeitung der Daten des Beschäftigten zum Inhalt haben. Das Verlangen um Unterstützung kann einmal begründet sein, weil die beanstandete Datenverarbeitung wegen Datenschutzverstoßes rechtswidrig ist; des weiteren hat eine nach Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgende Verarbeitung nach Art. 21 Abs. 1 DS-GVO zu unterbleiben, wenn sich aus der besonderen Situation des Beschäftigten Gründe ergeben, jederzeit gegen die an sich rechtmäßige Verarbeitung seiner Daten beim Arbeitgeber Widerspruch einzulegen. Zur Unterstützung in einem solchen Fall können sich Beschäftigte natürlich auch an die Mitarbeitervertretung wenden.

Bleibt die Mitarbeitervertretung bei ihrem Verhandlungen mit dem Arbeitgeber erfolglos, verbleibt es primär beim Betroffenen selbst, weitere Schritte zu ergreifen. Eine Ausnahme bildet der Fall, dass die gerügte Datenverarbeitung deshalb rechtswidrig erfolgt, weil sie ohne die erforderliche Mitbestimmung stattfindet. Hier hat der Betriebsrat einen machfolgend dargestellten Unterlassungsanspruch.

c) Handlungsmöglichkeit der Mitarbeitervertretung gegenüber Datenschutzverstößen

aa) Allgemeines

Will die Mitarbeitervertretung gegen Datenschutzverstöße des Arbeitgebers vorgehen, kann dies mit gerichtlich festgestellten Unterlassungsansprüchen geschehen oder einer Einschaltung der Aufsichtsbehörde.

bb) Unterlassungsansprüche

Ein Unterlassungsanspruch besteht dann, wenn Rechte der Mitarbeitervertretung verletzt sind, weil mitbestimmungspflichtige Personaldatenverarbeitung, ohne Einschaltung der Mitarbeitervertretung oder entgegen einer mit ihr vereinbarten Regelung erfolgen. Gestützt werden kann der Anspruch jedoch nicht unmittelbar auf § 80 Abs. 1 Nr. 1 BetrVG/§ 68 Abs. 1 Nr. 2 BPersVG,[40] da die Bestimmung reine überwachungs- und „Mahnfunktion“ hat.[41]Das gilt auch bei Verstößen gegen eine Betriebsvereinbarung.[42] Ebenfalls nicht als Rechtsgrundlage zur Abwehr von persönlichkeitsrechtsverletzenden Maßnahmen kann § 75 Abs. 2 S. 1 BetrVG herangezogen werden.[43]

Gestützt werden kann der Unterlassungsanspruch jedoch auf § 23 Abs. 3 S. 1 BetrVG i.V.m. § 75 Abs. 2 S. 1 BetrVG. Vorausgesetzt ist: Es handelt sich um einen den dort geforderten „groben“ Verstoß des Arbeitgebers gegen seine betriebsverfassungsrechtlichen Pflichten zur Achtung der Persönlichkeitsrechte der Beschäftigten.[44]

Anders sieht es für die Personalvertretung aus: Der Personalvertretung steht bei Verletzung ihrer Mitbestimmungsrechte über die Feststellung dieser Rechte hinaus ein Anspruch auf Unterlassung der mitbestimmungspflichtigen Maßnahme nicht zu.[45] Sie kann jedoch, sofern die Maßnahme tatsächlich und rechtlich rücknehmbar oder abänderbar ist, vom Dienststellenleiter die nachträgliche Einleitung des Mitbestimmungsverfahrens und eine vollständige Unterrichtung verlangen und den Anspruch verfahrensrechtlich im Beschlussverfahren mit einem Feststellungsantrag verfolgen.[46]

Verstößt der Arbeitgeber zugleich gegen datenschutzrechtliche Regelungen einer Betriebsvereinbarung, kann ferner ein Unterlassungsanspruch aus § 77 Abs. 1 S. 1 BetrVG folgen, sofern der Arbeitgeber Rechte des Betriebsrats verletzt, die diesem gerade durch die Betriebsvereinbarung eingeräumt wurden.

cc) Einschaltung der Aufsichtsbehörde

Jedenfalls dann, wenn die Mitarbeitervertretung mit der Beanstandung datenschutzwidriger Beschäftigtendatenverarbeitung beim Arbeitgeber kein Gehör findet,[47] wird sie die Datenschutzaufsichtsbehörde quasi als „Whistleblower“ informieren können, ohne gegen ihre in § 2 Abs. 1 BetrVG vorgegebene Pflicht zur vertrauensvollen Zusammenarbeit oder zur Verschwiegenheit nach § 79 Abs. 1 BetrVG zu verstoßen.[48] § 89 Abs. 1 S. 2 BetrVG legt dem Betriebsrat im Bereich des Arbeitsschutzes die Pflicht zur Unterstützung der Aufsichtsbehörde auf, was aber nicht auf den Fall beschränkt ist, dass diese sich an ihn wendet. Gleiches gilt für die im BetrVG bzw. dem BDSG nicht geregelte Kooperation der Mitarbeitervertretung mit den für den Beschäftigtendatenschutz zuständigen Behörden.[49]Keinesfalls kann aus der Tatsache, dass die DS-GVO einzig dem Betroffenen ein Beschwerderecht bei der Aufsichtsbehörde einräumt, dem Betriebsrat das Recht zur Information der Aufsichtsbehörden versagt werden; zu achten hat er jedoch darauf, dass er keine Geschäfts- oder Betriebsgeheimnisses gemäß § 79 Abs. 1 BetrVG offenlegt.

In diese Richtung tendiert auch das BAG in seiner Entscheidung zu § 89 BetrVG, in der ausgeführt wird, dass einiges dafür spricht, „dass der Betriebsrat wegen des Grundsatzes der vertrauensvollen Zusammenarbeit der Betriebsparteien jedenfalls vor der unaufgeforderten Unterrichtung einer Überwachungsbehörde erfolglos den Versuch unternommen haben muss, den Arbeitgeber zur Abhilfe der Mängel zu bewegen“.[50]

Die Beratung des Betriebsrats im Zusammenhang mit seinen Aufgaben zum Beschäftigtendatenschutz durch die Aufsichtsbehörde kann zudem im Rahmen von § 80 Abs. 3 BetrVG liegen, da man die Aufsichtsbehörde als Sachverständigen sehen kann. Zur Einschaltung der Aufsichtsbehörde bedarf es auch keiner „näherer Vereinbarung mit dem Arbeitgeber“ nach § 80 Abs. 3 BetrVG, da hier keine Kosten entstehen.[51] § 80 Abs. 3 BetrVG ist nicht einschlägig, wenn die Auskunftsperson unentgeltlich informiert,[52] was Art. 57 Abs. 1 lit. c i.V.m. Abs. 3 DS-GVO ausdrücklich vorsieht.

Sinn der Norm ist, dass die genannten „anderen Einrichtungen oder Gremien“ vom Expertenwissen der Aufsichtsbehörden profitieren sollen.[53]Daher fällt auch der Betriebsrat darunter und kann die unentgeltliche Expertise der Aufsichtsbehörden jederzeit in Anspruch nehmen.[54]

dd) Einschaltung des Datenschutzbeauftragten

An erster Stelle der einzuschaltenden Stellen steht jedoch nach § 79a BetrVG der DSB als Kooperationspartner.[55]Eine Rahmenbetriebsvereinbarung[56] kann die Basis der Unterstützung und Zusammenarbeit sein.[57] Sie muss sowohl dem Beschäftigtendatenschutz als auch der Verschwiegenheitspflicht des Betriebsrats sowie der informationellen Selbstbestimmung der Beschäftigten gerecht werden.[58]

2. Der Schutzauftrag des Datenschutzbeauftragten

a) Allgemeines

Die dem Schutzauftrag der Mitarbeitervertretung parallele Funktion des Datenschutzbeauftragten gibt in allgemein gehaltener Formulierung Art. 39 Abs. 1 DS-GVO vor, nach dem u.a. die Überwachung der Einhaltung dieser Verordnung, sowie anderer Datenschutzvorschriften dem DSB obliegt. Insoweit wird er im Rahmen seiner Weisungsfreiheit „von Amts wegen“ tätig. Einbezogen in die Kontrolle sind die Datenverarbeitungen der Mitarbeitervertretung.[59]

b) Der einzelfallbezogene Schutzauftrag

Ebenso wie gegenüber der Mitarbeitervertretung haben auch die Betroffenen das Recht, den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate zu ziehen. Wendet sich ein Betroffener an den Datenschutzbeauftragten, so ist dieser ausdrücklich zum Stillschweigen über die Identität des beschwerdeführenden Betroffenen berechtigt und verpflichtet (Art. 38 Abs. 5 DS-GVO).

Der Bundesgesetzgeber hat somit in Art. 38 Abs. 5 DSGVO einen Handlungsauftrag erteilt[60] und in § 6 Abs. 5 S. 2 BDSG[61] für Bundesbehörden nebst der Erstreckung dieser Regelung auf nichtöffentliche Stellen in § 38 Abs. 2 BDSG verfügt, dass der Datenschutzbeauftragte „zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen,“ verpflichtet ist, soweit die betroffene Person keine „Sprecherlaubnis“ erteilt.

Damit ist gesetzlich sichergestellt, dass sich eine betroffene Person an den DSB wenden kann, ohne Nachteile durch Indiskretionen befürchten zu müssen, was insbesondre nicht fern liegt, wenn der Verantwortliche, gegen den die Beanstandung gerichtet ist, der Arbeitgeber, Dienstherr oder Auftraggeber des Anzeigenden ist.[62] Somit darf der DSB in Nachforschungen und Berichten die um seine Unterstützung in eigener Sache nachsuchende Person ohne deren Einwilligung nicht kenntlich machen.

Der datenschutzrechtliche Vertraulichkeitsschutz des Art. 38 Abs. 5 DS-GVO bzw. des § 6 Abs. 5 S. 2 BDSG und der entsprechenden Landesregelungen umfasst nicht den Schutz sonstiger sich an den Datenschutzbeauftragten wendender Informanten. Das heißt aber nicht, dass insoweit unbeschränkte Offenbarungsrechte oder gar -pflichten für den DSB bestehen. Ein Recht zur Verschwiegenheit ergibt sich unter Beachtung der Weisungsunabhängigkeit des DSB auch dann, wenn sich ein Nicht-Betroffener in Art eines internen oder externen „Whistleblowers“ an den DSB wendet. Dem Datenschutzbeauftragten muss das Recht zustehen, z.B. um Informationen zu erhalten, die sonst nicht mitgeteilt würden, dem Informanten die vertrauliche Behandlung seiner Person zusichern zu können.

Das BayDSG trägt dem ausdrücklich Rechnung, indem es in Art. 12 Abs. 2 in einer erweiterten Schweigepflicht die behördlichen Datenschutzbeauftragten verpflichtet „Tatsachen, die ihnen in Ausübung ihrer Funktion anvertraut wurden, und die Identität der mitteilenden Personen nicht ohne deren Einverständnis zu offenbaren.“

c) Handlungsmöglichkeiten gegenüber Datenschutzverstößen

aa) Information des Verantwortlichen

Stellt der Datenschutzbeauftragte im Rahmen seiner Kontrolltätigkeit mit Datenschutzvorgaben nicht konformes Verhalten fest, ist der erste Ansprechpartner der Verantwortliche. Es besteht ein unmittelbarer Berichtsweg ohne Zwischenschaltung anderer Personen (§ 38 Abs. 3 S. 3 DSGVO). Seine Aufgabe ist, festgestellte Mängel zu melden und Vorschläge zur Beseitigung machen.

bb) Einschaltung der Aufsichtsbehörden

Bei nach seiner Ansicht nach problematischen Datenverarbeitungen kann der DSB den Rat der Datenschutz Kontrollinstanz kostenlos einholen (Art. 57 Abs. 3 DS-GVO).

Eine solche ratsuchende Einschaltung bedarf nicht zwingend der vorherigen Einschaltung des Verantwortlichen.

Kritischer sieht es jedoch aus, wenn der DSB sich im Konfliktfall an die Aufsichtsbehörde wendet und seiner Ansicht nach datenschutzwidriges Verhalten des Verantwortlichen, d.h. idR seines Arbeitgebers „anzeigt“.

Ob seine Pflicht zur Meldung von ihm nicht zu beseitigenden Datenschutzverstößen nach der DS-GVO weiter reicht als zuvor nach dem BDSG aber auch den Fall mit einem Aktenvermerk „abheften“ kann, ist zumindest offen.[63]

cc) Einschaltung der Mitarbeitervertretung

So wie bei der Aufsichtsbehörde, deren Einschaltung erst nach dem vergeblichen Versuch die Datenschutzverstöße intern abzustellen, zulässig ist, kann und darf die Mitarbeitervertretung über Datenschutzverstöße im Betrieb erst informiert werden, wenn keine unmittelbare Lösung erreichbar ist. Über diese ist dann die Mitarbeitervertretung aber auch zu informieren.

III. Die gegenseitige Kontrolle und Kooperation von Mitarbeitervertretung und DSB

1. Kontrolle der Datenverarbeitung der Mitarbeitervertretung durch den DSB

a) Allgemeines

Der Datenschutzbeauftragte kann bzw. muss – entgegen früher bestehender Ansicht[64] – ggf. auch die bei der Mitarbeitervertretung stattfindenden Datenverarbeitungen auf ihre datenschutzrechtliche Rechtsmäßigkeit überprüfen.[65] Obwohl der Betriebsrat über seine Datenverarbeitungsverfahren und die Organisation der hierbei erforderlichen Datensicherheit selbst entscheidet, ist der Arbeitgeber von Gesetzes wegen – entgegen nicht sofort von der Hand zu weisender anderweitiger Überlegungen[66]– hierfür der Verantwortliche.[67]Die dem Betriebs- bzw. Personalrat durch das BetrVG bzw. BPersVG gewährte Unabhängigkeit steht dem nicht entgegen.[68]

Bereits Art. 39 Abs. 1 lit b DS-GVO überträgt dem Datenschutzbeauftragten eine umfassende Überwachungsaufgabe, von der durch nationales Recht keine Ausnahmen gemacht werden können.[69] Art. 38 Abs. 2 DS-GVO macht das mit dem dem DSB uneingeschränkt eingeräumten Zugangsrecht zu allen vom Verantwortlichen verarbeiteten personenbezogenen Daten deutlich.[70] Datenverarbeitungen der Mitarbeitervertretung, die nach nunmehriger gesetzlicher Regelung ihre Datenverarbeitung nicht als eigenständig Verantwortlicher[71]betreibt, unterliegen seiner Kontrolle. § 79a BetrVG bzw. § 68 BPersVG gehen von diesem Recht aus und präzisieren es durch – auch wohl auch schon zuvor bestehende[72] – spezielle Schweigepflichten.

b) Verschwiegenheitspflicht

In Satz 4 des § 79a BetrVG findet sich eine spezielle Regelung zur Verschwiegenheitsverpflichtung des Datenschutzbeauftragten: „Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen“, wobei es zunächst schwierig sein wird, zwischen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, und anderen Informationen abzugrenzen.

Anzweifeln mag man die Wirksamkeit dieser Klausel, weil dem Datenschutzbeauftragte bei einer Verletzung seiner Verschwiegenheitsverpflichtung so gut wie keine Sanktionen drohen.[73] Allenfalls der Arbeitgeber könnte den Datenschutzbeauftragten aus wichtigem Grund in entsprechender Anwendung des § 626 BGB abberufen (vgl. §§ 38 Abs. 2, 6 Abs. 4 BDSG).[74] Ob der Arbeitgeber von der Möglichkeit der Abberufung Gebrauch macht, ist in Anbetracht der Tatsache, dass er in diesem Fall von der Verletzung der Verschwiegenheitsverpflichtung profitiert, zweifelhaft. Dem ist jedoch entgegenzuhalten, dass der Betriebsrat Informationen gegenüber dem die Vertraulichkeit nicht beachtenden DSB verweigern könnte.

Weitere Geheimhaltungspflichten ergeben sich für den DSB, wenn er Kontrolltätigkeiten bei der Verarbeitung von Daten ausübt, die besonderen, ggf. strafrechtlich abgesicherten Vertraulichkeitsregelungen unterliegen. Das gilt für die Wahrung von Privatgeheimnissen, die bei den in § 203 StGB genannten als Berufsgeheimnisträgern tätigen DSB bekannt werden.

Das Zeugnisverweigerungsrecht in § 6 Abs. 6 BDSG n.F. sichert die Verschwiegenheitspflicht ab.

2. Kontrolle der Tätigkeit des DSB durch die Mitarbeitervertretung

a) Allgemeines

Parallel stellt sich die Frage, inwieweit die Mitarbeitervertretung bei der Installation eines DSB mitwirken und ihn bei den von ihm z.B. in einem Beschwerdefall durchgeführten Verarbeitungen von Beschäftigtendaten überwachen darf. Ein unmittelbares Kontrollrecht hat die Mitarbeitervertretung nicht. Ihr Adressat ist der Arbeitgeber, der aber den DSB anweisen kann, unmittelbar Auskunft zu geben. Diese Auskunftspflicht hat aber sowohl gegenüber dem Arbeitgeber als auch dem Betriebsrat wiederum datenschutzrechtliche Grenzen. Im Rahmen der ihm gesetzlich gewährten „völligen Unabhängigkeit“[75]hat der DSB gegenüber dem Arbeitgeber und damit auch der Revision einen unantastbaren “Schutzbereich“.[76] Ein Einsichtsrecht in die Unterlagen oder in den E-Mail-Verkehr von Datenschutzbeauftragten besteht für die Revision eines Unternehmens nicht. Gemäß Art. 38 Abs. 5 DS-GVO sind Datenschutzbeauftragte an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Besondere Rechtsvorschriften, die eine Offenlegung der Akten des DSB gegenüber der Revision erlauben (Einsichtsrecht) oder einschränkende Regelungen zur Geheimhaltungspflicht von DSB enthalten, sind nicht bekannt. Ein DSB sollte nach Ansicht der LfDI Niedersachsen der Revision auch schon deshalb kein Einsichtsrecht gewähren, um nicht bei unbefugter Offenlegung von Daten gegen § 203 Abs. 4 StGB (Verletzung von Privatgeheimnissen) zu verstoßen. Andererseits kann die für den Verantwortlichen tätige Revision von dem DSB Nachweise für die Erfüllung seiner Aufgaben fordern; wie z.B. die Vorlage eines „Tätigkeitsberichts“ oder von Arbeitszeitnachweisen.

b) Keine Mitbestimmung bei der Bestellung

Als inkonsequent festzustellen ist, dass trotz der gesetzlich vorausgesetzten Pflicht zur kooperativen Zusammenarbeit der Gesetzgeber dem Betriebsrat kein spezielles Recht zur Mitwirkung bei der Bestellung eines Datenschutzbeauftragten im Rahmen der betriebsverfassungsrechtlichen Zusammenarbeitsklausel zugestanden hat, wie es im HessPersVG in § 74 Abs: 1 Nr. 3 verankert ist.[77]

Zwar greift, wenn der DSB als Beschäftigter neu eingestellt oder auf die Position versetzt wird, Mitbestimmung nach § 99 BetrVG, der ggf. eine betriebsinterne Ausschreiben vorauszugehen hat (§ 93 BetrVG). Ihre Zustimmung versagen kann die Mitarbeitervertretung nur, wenn sie Belege hat, dass der vorgesehene DSB nicht den gesetzlichen Anforderungen entspricht.

Diese Rechte greifen zudem nur, wenn die Position des Datenschutzbeauftragten zu einer Eingliederung des DSB in die Organisation des Unternehmens führt, was regelmäßig nicht gegeben ist, wenn der Datenschutzbeauftragte als externer Dienstleister auf Basis eines Dienstleistungsvertrages gem. § 611 BGB seine Tätigkeit im Unternehmen wahrnehmen soll, worüber nur der Arbeitgeber entscheidet..

IV. Zur Inkompatibilität der Funktionen von Betriebs-/Personalrat und Datenschutzbeauftragten

1. Allgemeines/Rückblick

Ob Datenschutzbeauftragte Mitglied der Mitarbeitervertretung sein können oder ob aufgrund einer Interessenkollision Art. 38 Abs. 6 S. 2 DS-GVO insoweit eine Inkompatibilität besteht, wird möglicherweise demnächst abschließend vom EuGH beantwortet worden sein. Das BAG hat eine entsprechende Anfrage gestellt,[78]obwohl es zuvor diesbezüglich keine Bedenken hatte.

Nach der Rechtsprechung des BAG wurde der Betriebsrat vor In-Kraft-Treten der DS-GVO nicht als Verantwortlicher, sondern nur als (institutionell unselbstständiger) Teil des primär verantwortlichen Arbeitgebers gesehen.[79] Nach InKraft-Treten der DS-GVO ist das LAG Hessen[80] der bisherigen Rechtsauffassung des BAG gefolgt.

2. Aktuelle Situation

Von einem Interessenkonflikt ist auszugehen, wenn der Datenschutzbeauftragte durch seine anderen Aufgaben derart beeinflusst wird, dass eine objektive Wahrnehmung seiner Aufgaben nicht mehr gewährleistet ist.

Im Fall der Mitarbeiterbeschwerde gegen Datenverarbeitungen des Arbeitgebers ist jedenfalls nicht zu erkennen, dass gleichgültig, ob sich ein Beschäftigter an den Betriebsrat oder an den DSB oder an beide wendet, Gründe für eine unterschiedliche Entscheidung vorliegen könnten. Andererseits sehen vier Augen mehr als zwei. Problematisch ist die Situation auch bei eigenen Datenverarbeitung des Betriebsrats oder des DSB. Die Problematik liegt somit in der vom Gesetz gewollten doppelten und beiderseitigen Kontrolle, die jedenfalls eindeutig entfällt, wenn die Funktionen des DSB und jedenfalls des Vorsitzenden der Mitarbeitervertretung in einer Hand liegen liegen.[81]

Die Aufsichtsbehörden[82] haben in der Vergangenheit gegenüber der Kombination der Funktionen DSB und Mitglied im Betriebsrat durchweg Bedenken geäußert und jedenfalls bei der Wahl zum Vorsitzenden die Notwendigkeit der Beendigung der DSB-Funktion gesehen. Als BR-Vorsitzender sei ein DSB maßgeblich für die Einhaltung des Datenschutzes in der Mitarbeitervertretung verantwortlich und müsste in seiner Rolle als Datenschutzbeauftragter die Einhaltung des Datenschutzes bei sich selbst kontrollieren. Aber auch bei einem einfachen Mitglied des Personalrats rät der BfDI[83]eher von einer Benennung zum Datenschutzbeauftragten ab. Auf der anderen Seite erscheint ihm jedoch eine Abberufung nicht zwingend geboten, wenn der Datenschutzbeauftragte erst zu einem späteren Zeitpunkt in den Personalrat gewählt wird.

Wichtig und unabdingbar sei bei jeder Doppelfunktion stets die strikte Trennung der Aufgaben.

Soweit erkennbar, liegt jedoch bisher kein Fall vor, in dem Aufsichtsbehörden in einem angenommenen Inkompatibilitätsfall die DSB-Abberufung mit Zwangsmitteln durchgesetzt haben.

Wie aufgezeigt, wird infolge einer Vorlage des BAG[84] an den EuGH dieser demnächst über diese Streitfrage entscheiden. Auf Grund der mit der DS-GVO geschaffenen neuen Rechtslage hat das BAG Bedenken, ob es an seiner im Jahre 2011[85] gefällten Entscheidung, dass beide Ämter von ein und derselben Person bekleidet werden können, festhalten kann.

V. Die Haftung von DSB und Mitarbeitervertretung gegenüber den Beschäftigten bei „Schlechtbetreuung“

1. Die gleiche Problemstellung

Kommen der DSB oder die Mitarbeitervertretung dem Ersuchen eines Beschäftigten um Beratung und Unterstützung nicht nach oder fällt ihre Beurteilung der Rechtslage falsch aus, stellt sich die Frage nach ihrer Haftbarkeit. Die DS-GVO äußert sich hierzu nicht. Speziell geregelt ist dort nur die Haftung der verantwortlichen Stelle (Art. 82 DS-GVO).[86]

Zwar mag die Frage, ob der DSB bzw. der Betriebsrat für eine Fehl- bzw. Nichtentscheidung zum einen von dem Unternehmen oder zum anderen von einem geschädigten Betroffenen in Anspruch genommen werden kann, insofern wenig Bedeutung haben, als derartige Fälle bislang so gut wie nicht evident geworden sind bzw. die Rechtsprechung beschäftigt haben.

Eine Ausnahme bildet die Entscheidung des OLG München,[87]das eine Schadensersatzverpflichtung eines externen DSB wegen vermeintlich unbefugter Offenlegung von Daten einer Wohnungseigentümergemeinschaft mit knapp einem Satz deshalb ablehnte, weil dieser nicht „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DS-GVO sei. Auf eventuelle Ansprüche außerhalb des Art. 82 DS-GVO ging das Gericht nicht ein.

2. Haftung des Arbeitgebers als Verantwortlicher

Bejaht man die Stellung des Arbeitgebers als „Verantwortlicher“ für die „unter seiner Verwantwortung“ agierenden DSB bzw. BR, so ist Adressat eines vom DSB bzw. dem BR beim Beschäftigten durch Unterlassen oder falsche Beurteilung verursachten Schadens, ist grundsätzlich das Unternehmen als Verantwortlicher nach Art. 82 DS-GVO (sofern es sich nicht ausnahmsweise um einen „Mitarbeiterexzess“ oder „Kollektivexzess“ des Betriebsrates bzw. DSB handelt. Für derartige „Grenzüberschreitungen“ gelten jedoch hohe Anforderungen.[88]

Entlasten gemäß Art. 82 Abs. 3 DS GVO kann sich der Arbeitgeber nicht, auch wenn die Verstöße gegen die Verordnung allein auf Beschlüssen der Mitarbeitervertretung oder Handlungen einzelner Betriebsratsmitglieder bzw. des DSB beruhen.

3. Haftung von DSB und BR

Da aber die Mitarbeitervertretung und der im Beschäftigtenverhältnis tätige betriebliche und behördliche DSB nach Willen des Gesetzgebers[89] und trotz ihrer Sonderstellung wohl „Teil der verantwortlichen Stelle“ sein sollen, stellt sich die Frage, ob der Verantwortliche, d.h. der Arbeitgeber, für sie einstehen muss. Die Meinungen in der Literatur weisen fast alle denkbaren Haftungsmöglichkeiten auf.[90]

So wird die Haftung des Datenschutzbeauftragten im Verhältnis zu der ihn benennenden Stelle entgegen verbreiteter Auffassung[91] sogar regelmäßig schon dem Grunde nach abgelehnt, da sein Schutzauftrag primär gegenüber dem Betroffenen, nicht dem Verantwortlichen bestehe.[92] Eine mögliche Haftung gegenüber Beschäftigten nach § 823 Abs. 1 und 2 BGB u.a. wegen Verletzung des Art. 39 DS-GVO als Schutznorm ist jedoch nicht auszuschließen.[93]

Ähnlich sieht es bei der Beurteilung der Haftung der Mitarbeitervertretung bzw. einzelner Mitglieder des Gremiums aus, sofern sie Fehlentscheidungen zum Nachteil des Beschäftigten in Ausübung ihrer Funktion treffen.

Auch hier können nur der Arbeitgeber und einzelne Betriebsratsmitglieder bim Datenschutzexzess nach § 823 Abs. 1 und 2 BGB (so. z.B. bei der Vermakrtung von Mitarbeiterdaten), nicht aber der Betriebsrat selbst für Datenschutzverstöße des Betriebsrats haften.[94]Für derartige „Grenzüberschreitungen“ gelten jedoch hohe Anforderungen.[95]

4. Sanktionen gegen BR oder DSB

Da die Mitarbeitervertretung und ebenfalls der DSB keine „Verantwortliche“ sind, scheidet die Möglichkeit der Aufsichtsbehörde zur Verhängung von Sanktion bei Nichtbeachtung der gemeinsamen Kontrollplichten aus.

Adressaten des ein Bußgeld nach Abs. 4, 5 und 6 des Art. 83 DS GVO verhängenden Verwaltungsakts sind ausschließlich Verantwortliche und Auftragsdatenverarbeiter. Die tatsächlichen handelnden Personen sind irrelevant, wenn sie einer der genannten Stellen zuzurechnen sind.[96]

VI. Zusammenfassendes Ergebnis

Mitarbeitervertretungen und Datenschutzbeauftragte haben im Bereich des Beschäftigtendatenschutzes den gleichen Kontroll- und Schutzauftrag gegenüber dem Verantwortlichen in seiner Funktion als Arbeitgeber, der sich jeweils auch auf die Datenverarbeitungen der „anderen“ Seite erstreckt, d.h. dem DSB steht auch ein Kontrollrecht hinsichtlich der personenbezogenen Datenverarbeitungen der Mitarbeitervertretung zu, wie diese im Rahmen ihrer Pflicht zur Überwachung der ordnungsgemäßen Umsetzung der DS-GVO darauf zu achten hat, dass der DSB seinen Schutzpflichten im Bereich des Beschäftigtendatenschutzes nachkommt.

Diese Überwachungsbefugnis darf nicht die daneben bestehende Pflicht zur Kooperation und gegenseitigen Unterstützung überlagern. Die Pflicht ist nunmehr eigenständig geregelt.

Der Beauftragte kann die Beratung des Betriebsrats auch außerhalb der Funktion als sachverständiger Arbeitnehmer im Rahmen seines Sicherstellungauftrags und als „Anwalt der Betroffenen“ auch ohne Weisung oder Genehmigung des Arbeitgebers wahrnehmen.

Verarbeitet die Mitarbeitervertretung sensible Daten, hat sie besondere Schutzmaßnahmen zu ergreifen. Hierbei ist im Rahmen der gebotenen Zusammenarbeit der Datenschutzbeauftragte beratend hinzuzuziehen. Der Arbeitgeber muss die Übermittlung sensibler Daten bei fehlendem – also vom DSB nicht gebilligtem – Sicherheitskonzept verweigern.

Prof. Peter Gola

Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.

[1] Brink/Joos, Datenschutzrechtliche Verantwortlichkeit der betrieblichen und behördlichen Beschäftigtenvertretungen, NZA 2019, 1395; Hoynningen-Huene, von, Datenüberwachung durch Betriebsrat und Datenschutzbeauftragten, NZA-Beilage 1/1985, 19; Schierbaum, Betriebliche Datenschutzbeauftragte und Betriebsrat. Die zwei Akteure des arbeitnehmer-Datenschutzes, AiB 2001, 512; Wagner; Betriebsrat und betrieblicher Datenschutzbeauftragter. Wer kontrolliert wen? BB 1993, 1729.

[2] Vgl. Pötters/Hansen, Datenschutzanforderungen an die Betriebsratsarbeit, bRAktuell 2020, 193; Staben, Die Datenschutzverantwortlichkeit des Betriebsrats, ZfA 2020, 287; Stück; Betriebsrat oder Geheimrat? Beschäftigtendatenschutz beim Betriebsrat, ZD 2019, 256.

[3] Vgl. bereits Aßmus, Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten?; ZD 2011, 27; Kranig/Wybitul/Zimmer-Helfrich, Sind Betriebsräte für den Datenschutz selbst verantwortlich?, ZD 2019, 1.

[4] Gola, Handbuch Beschäftigtendatenschutz, Rn. 2563 f.

[5] Gola, Recht der Personalgewinnung, S. 155 ff.

[6] LAG Berlin-Brandenburg, Beschl. v. 15.05.2014 – 18 TaBV 828/12

[7] LAG Berlin-Brandenburg, Beschl. v. 12.11.2012 – 17 TaBV 1318/12.

[8] LAG Düsseldorf, Beschl. v. 23.06.2020 – 3 TaBV 65/19S.

[9] BAG, Urt. v. 03.06.2003 – 1 ABR 19/02.

[10] Kort, Das Dreiecksverhältnis von Betriebsrat, betrieblichen Datenschutzbeauftragten und Aufsichtsbehörde beim Arbeitnehmerdatenschutz, NZA 2015, 1345.

[11] Vgl. bereits Iraschko-Luscher, Zusammenarbeit des Datenschutzbeauftragten mit dem Betriebsrat, IT-Sicherheit und Datenschutz, 2007, 696

[12] Kiesche, Kooperieren beim Datenschutz, AiB Extra, August 2022, 24, Flink, Beschäftigtenschutz als Aufgabe des Betriebsrats, S. 279.

[13] Heberlein, in: Ehmann/Selmayr, 2. Aufl., DS-GVO Art. 39 Rn. 9; Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats, S. 279

[14] Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl., Rn. 2236 ff.

[15] Kort. Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO?, ZD 2017, 3; Kurzböck/Weinbeck, DSGVO-Verstöße im Betriebsratsbüro – wer haftet?, BB 2018, 1652; Lücke, Die Betriebsverfassung in Zeiten der DS-GVO: „Bermuda-Dreieck“ zwischen Arbeitgeber; Betriebsräten und Datenschutzbeauftragten! NZA 2019, 658.

[16] St. Rechtspr. BAG, Urt. v. 28.05.2014 – 7 ABR36/12; Fitting, BetrVG, 31. Aufl., 2022, § 2 Rn. 6.

[17] Vgl. Kurzbök/Weinbeck, Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, BB 2020, 500; Maschmann, Der Betriebsrat als für den Datenschutz Verantwortlicher, NZA 2020, 1207.

[18] BAG, Beschl. v. 26.08.2008 – 1 ABR 16/07; Seifert, in: Simitis/Hornung/Spiecker, DS-GVO Art. 88 Rn. 231; Maschmann, in: Richardi, BetrVG, § 75 Rn. 60.

[19] Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats, S. 46 f.

[20] Fitting, BetrVG, 31. Aufl., 2022, § 75 Rn. 137.

[21] Vgl. BAG, Beschl. v. 17.03.1987 – 1 ABR 59/85: „Das das Bundesdatenschutzgesetz ein zugunsten der Arbeitnehmer geltendes Gesetz im Sinne von § 80 Abs. 1 Nr. 1 BetrVG ist, gilt auch für die DS-GVO,“.

[22] BAG, Beschl. v. 11.03.1982 – 1 ABR 59/85.

[23] Vgl. BVerwG, Beschl. v. 26.03.1985 – 6 P 31.82 und 08.11.1989 – 6 P 7/87.

[24] Zuletzt LAG Niedersachsen, Beschl. v. 22.10.2018 -12 TaBV 23/18.

[25] Vgl. BAG, Beschl. v. 28.04.1998 – 1 ABR 50/97; zuletzt BAG Beschl. v. 29.11.2020 – 1 ABR 32/19.

[26] Vgl. Fitting,. BetrVG, 31. Aufl., 2022, § 80 Rn. 70, 20.

[27] BVerwG, Beschl. v. 16.05.2012 – 6 PB 2.12.

[28] ArbG Iserlohn, Beschl. v. 14.01.2020 – 2 BV 5/19.

[29] ArbG Krefeld, Beschl. v. 06.02.1995 – 4 BV 34/94

[30] ErfK/Koch, 20. Aufl. 2020, BetrVG § 23 Rn. 5.

[31] II. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2003 – 31.03.2005, Ziff. 12.6.

[32] BAG, Beschl. v. 11.03.1982 – 1 ABR 59/85.

[33] Vgl. BVerwG, Beschl. v. 26.03.1985 – 6 P 31.82 und 08.11.1989 – 6 P 7/87.

[34] Althoff, Die Rolle des Betriebsrats im Zusammenhang mit der EU-35, DS-GVO, ArbRAktuell, 2018, 414.

[35] Vgl. umfassend: Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats – 2021, S. 113; Möhle, Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, 2021, S. 183.

[36] BAG, Beschl. v. 16.08.2011 – 1 ABR 22/10.

[37] BAG, Beschl. v. 21.10.2003 – 1 ABR 39/02 zum Auskunftsanspruch des Betriebsrats zu Zielvereinbarungen; vgl. auch LAG Frankfurt vom 24.11.2015 – 16 TaBV 106/15 – zur Kontrolle von in einer Gesamtbetriebsvereinbarung getroffenen Regelungen zu Zielvereinbarungen durch den Einzelbetriebsrat.

[38] Zum Datenschutzkonzept des Betriebsrats: Kiesche, Kooperieren beim Datenschutz, AiB extra 8/2022, 24 (26).

[39] LfDI Niedersachsen, https://lfd.niedersachsen.de › … › faq-fur-betriebsrate-194163.

[40] Fitting, BetrVG; 31 Aufl. 2022, Rn. 14, detailliert bei Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats, S. 119 f.

[41] BAG, Beschl. v. 22.08.2017 – 1 ABR 24/16; Lücke, Die Betriebsverfassung in Zeiten der DS-GVO. „Bermuda-Dreieck“ zwischen Arbeitgeber, Betriebsräten und Datenschutzbeauftragten 1, NZA 2019, 658 (667)

[42] BAG, Beschl. v. 17.10.1989 – 1 ABR 75/88.

[43] BAG, Beschl. v. 28.05.2002 – 1 ABR 32/01; Gola, Der neue Beschäftigtendatenschutz nach § 26 BDSG n.F., BB 2017, 1462 (1469).

[44] BAG; Beschl. v. 28.05.2002 – 1 ABR 32/01; Kort, Betriebsrat und Arbeitnehmerdatenschutz, Rechte der Interessenvertretung bei datenschutzrechtlich relevanten Maßnahmen des Arbeitgebers, ZD 2026, 3 (9).

[45] VGH Baden-Württemberg, Beschl. v. 02.07.2002 – PL 15 S 2497/01; Fortführung Beschl. v. 24.06.1997 – PL 15 S 419/97.

[46] BVerwG, Beschl. v. 15.03.1995 – 6 P 31.93, vgl. aber auch BVerwG v. 08.11.2011 – 6 P 23.10.

[47] BAG, Beschl. v. 03.06.2003 – 1 ABR19/02; Fitting, BetrVG, 31. Aufl., § 89 Rn. 18.

[48] Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats, S. 128 m.N.w

[49] Kort, Das Dreiecksverhältnis von Betriebsrat, betrieblichen Datenschutzbeauftragten und Aufsichtsbehörde beim Arbeitnehmer-Datenschutz, NZA 2015, 1345 (1352); Däubler, Gläserne Belegschaften, 8. Aufl. Rn 65; a.A. Dzida, Der neue Beschäftigtendatenschutz, BB 2018, 2677.

[50] BAG, Beschl. v. 03.06.2003 – 1 ABR 19/02.

[51] Vgl. BAG, Beschl. v. 19.04.1989 – 7 ABR 87/87

[52] Kania, in: ErfK, 2018, 18. Aufl. § 80 BetrVG, Rn. 33.

[53] Boehm, in: Kühling/Buchner, DS-GVO, 2. Aufl., Art. 38, Rn. 15.

[54] Körner, Der Betriebsrat als datenschutzrechtlich verantwortliche Stelle, S. 14.

[55] Kiesche, Kooperieren beim Datenschutz, AiB extra 8/2022, 24.

[56] Vgl. das Beispiel bei Gola, RDV 2021, 183 das von Kiesche (Fn. 55) als zu arbeitgeberfreundlich kritisiert wird.

[57] Kiesche, 24 (26).

[58] Fitting, BetrVG, 31. Aufl., § 79a Rn. 42.

[59] Aßmus, Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten, ZD 2011, 27.

[60] Vgl. bei Kühling/Martini u.a., Die Datenschutz-Grundverordnung und das nationale Recht, S. 99.

[61] Gola, in: Gola/Heckmann, BDSG § 6 Rn. 29 ff.

[62] Raum, in: Auerhammer, BDSG, 5. Aufl. § 4f Rn. 88.

[63] Vgl. Gola/Schomerus, BDSG, § 4g, Rn 16; Bergt, in: Kühling/Buchner (Hrsg.), DS GVO/BDSG, Art. 39, Rn 19.

[64] BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97, Fitting, BetrVG, 22. Aufl. 2004, Rn. 216; offen gelassen hatte das BAG die Frage im Urt. v. 23.03.2011 – 10 AZR 562/09.

[65] Vgl. bereits Gola, Eigenständigkeit des Betriebsrats und Kontrolle durch den Datenschutzbeauftragten – ein ungelöster Konflikt, ZBVR online 2017, Nr 7/8, 31; Aßmus, Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten, ZD 2011, 27.

[66] Bonnani/Niklas, Ist der Betriebsrat Verantwortlicher im Sinne der DSGVO?, ArbRB 2018, 371; Brams/Möhle; Die Stellung des Betriebsrats unter der DS-GVO, ZD 2018, 570; Brink/Joos, Datenschutzrechtliche Verantwortlichkeit der betrieblichen und behördlichen Datenschutzbeauftragten, NZA 2019, 1395.

[67] Maschmann, Der Arbeitgeber als Verantwortlicher für den Datenschutz im Betriebsratsbüro, NZA 2021, 834; Kleinebrink, Arbeitgeber und Betriebsrat als „Verantwortliche“ im neuen Datenschutzrecht, DB 2018, 2566.

[68] Auf anders lautende gewerkschaftsnahe Stimmen sei aber hingewiesen: DGB-Information zu Betriebsrätemodernisierungsgesetz; https://datenschutzfrankfurt.de › datenschutz-Betriebsrat.

[69] Vgl. bei Flink, Beschäftigtendatenschutz als Aufgabe des Betriebsrats, 2021, S. 291.

[70] Gola, Der neue Beschäftigtendatenschutz nach §26 BDSG n.F., BB 2017, 1462 (1470); Kurzböck/Weinbeck, Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, BB 2018, 1652.

[71] Möllenkamp, Das Betriebsrätemodernisierungsgesetz 2021 – Regelungsinhalte und Praxisauswirkungen, DB 2021,1198 (1201).

[72] Bergt, in: Kühling/Buchner, DS-GVO Art. 38 Rn. 38; Pötter/Hansen, Datenschutzanforderungen an die Betriebsratsarbeit, ArbRAktuell,2020, 193; Stück, Betriebsrat oder Geheimrat? Beschäftigtendatenschutz beim Betriebsrat, ZD 2019, 256, (259), a.A. Klebe/Wankel, in: DKW, BetrVG, 17. Aufl., 2020, § 94 Rn. 15.

[73] Schiefer/Worzalla, Das Betriebsrätemodernisierungsgesetz – eine Mogelpackung? NZA 2021, 817.

[74] Ehmann, Abberufung eines DSB wegen Pflichtverletzung, datenschutzpraxis 8/20, S. 1.

[75] Erwägungsgrund (EG) 97.

[76] LfDI Niedersachen, Datenschutzbeauftragte – keine Kontrolle durch die Revision, https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/datenschutzbeauftragte-inunternehmen-197585.html.

[77] VGH Hessen, Beschl. v. 22.07.2014 – 22 A 2226/13.PV.

[78] BAG, Beschl. v. 27.04.2021 – 9 AZR 383/19 (A).

[79] BAG, Beschl. v. 03.06.2003 – 1 ABR 19/02, und BAG, Beschl. v. 14. 1, 2014 – 1 ABR 54/12

[80] Beschl. v. 10.12.2018 – TaBV 130/18); a.A. LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17[1] sowie LAG Mecklenburg-Vorpommern, Beschl. v. 15.05.2019 – 3 TaBV 10/18[2].

[81] Vgl. bereits Dzida/Kröpelin, Kann ein Betriebsrat zugleich Datenschutzbeauftragter sein, NZA 2019, 1018.

[82] Vgl. jüngst HessLfDI, 30. TB vom 27.05.2022, S. 140.

[83] BfDI – Info 4 17.

[84] BAG, Beschl. v. 27.04.2021 – 9 AZR 383/19 (A).

[85] BAG, Beschl. v. 23.03.2011 – 10 AZR 562/09.

[86] Zu Sanktionen gegen Betriebsrat und Betriebsratsmitglieder nach der DS-GVO vgl. Bott/Vogel, BB 2019, 2100.

[87] Endurteil v. 27.10.2021 – 20 U 7051/20.

[88] Niedersachsen, load FAQ für Betriebsräte (Juni 20; https://lfd.niedersachsen.de › … › faq-fur-betriebsrate-194163.

[89] Vgl. vorstehend S. 311

[90] Vgl. die ausführliche Zusammenstellung des Meinungsstands zur Betriebsratshaftung bei Möhle, Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, S. 162, f.

[91] Bergt, in: Kühling/Buchner, DS-GVO Art. 37, Rn. 53; Pauly, in: Paal/ Pauly, DS-GVO Art. 39, Rn. 12.

[92] Jaspers/Reif, Heidelberger Kommentar, DS-GVO Art. 39, Rn. 25.

[93] Jaspers/Reif, Heidelberger Kommentar, DS-GVO Art. 39, Rn. 26

[94] Vgl. ausführlich bei Flink, Beschäftigtendatenschutz aus Aufgabe des Betriebsrats, S. 224 ff., S.238; Brahms/Möhle, Die Stellung des Betriebsrats unter das DS-GVO, ZD 2028, 570.

[95] LfDI Niedersachsen, load FAQ für Betriebsräte (Juni 20; https://lfd.niedersachsen.de >…< fag-fur-betriebsrate-194163.

[96] Berg, in: Kühling/Buchner, DS GVO, Art. 83, Rn 21.