Bild: TheDigitalArtist/pixabay Lizenz: CC0 Creative Commons

VonRaphael Lugowski

Verantwortlichkeit und Haftung des Betriebsrats nach DSGVO

Zu den Aufgaben eines Betriebsrats gehört es auch, die Einhaltung des Datenschutzrechts durch den Arbeitgeber zu überwachen. Zentrale Regelungswerke in diesem Zusammenhang sind die Datenschutzgrundverordnung (DSGVO) und außerdem das Bundesdatenschutzgesetz (BDSG). Adressat dieser Regelungen im Beschäftigungskontext ist in der allgemeinen Wahrnehmung stets der Arbeitgeber. Vor einiger Zeit machte aber eine Meldung die Runde, wonach die Aufsichtsbehörden auch den Betriebsrat als verantwortliche Stelle gemäß der DSGVO bewerten könnten. Diese Frage wird seither in der datenschutzrechtlichen Szene kontrovers diskutiert, wenngleich ein entsprechender Beschluss der Aufsichtsbehörden weiterhin aussteht. Von besonderem Interesse wären die haftungsrechtlichen Konsequenzen einer solchen Einordnung.

Der Betriebsrat als „Wächter“ über den Beschäftigtendatenschutz

Die Meldungen zu der Verantwortlichkeit des Betriebsrats nach der DSGVO muten auf den ersten Blick wohl etwas eigenartig an. Schließlich ist der Betriebsrat doch die betriebliche Instanz, die die  Einhaltung des Beschäftigtendatenschutzes durch den Arbeitgeber zu überwachen hat. Nach § 80 Abs. 1 BetrVG hat der Betriebsrat u.a. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze im Betrieb eingehalten werden. Dazu gehören selbstverständlich auch die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz.

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat weiter bei der Einführung und Anwendung von technischen Einrichtungen mitzubestimmen, die eine Leistungs- und Verhaltenskontrolle ermöglichen. IT-Systeme, ob nun Hardware oder Software, sind dazu imstande, eine Vielzahl von Arbeitnehmerdaten zu sammeln und zu verarbeiten. Daraus resultiert auch ihre Bedrohung für den Beschäftigtendatenschutz. Und dieser soll der Betriebsrat auch mit den Mitteln der zwingenden Mitbestimmung Einhalt gebieten.

Doch die Aufgaben des Betriebsrats beim Schutz der Arbeitnehmerdaten geht weit über diesen Rahmen hinaus. Nach § 75 Abs. 2 BetrVG hat der Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Es ist also ein gesetzlicher Handlungsauftrag an den Betriebsrat, der die Persönlichkeitsrechte der Arbeitnehmer zu einer Angelegenheit von außerordentlicher Wichtigkeit erhebt.

Der Betriebsrat ist also die Schutzinstanz schlechthin für den Beschäftigtendatenschutz im Betrieb und im Verhältnis zum Arbeitgeber. Wieso also sollten die Aufsichtsbehörden den Betriebsrat datenschutzrechtlich ins Visier nehmen und als Verantwortlichen im Sinne der DSGVO ansehen?

Betriebsrat ein „Verantwortlicher“ nach DSGVO?

Die Antwort ist ganz einfach: Die Rechtslage hat sich geändert. Zum 25.05.2018 ist die Datenschutzgrundverordnung verbindlich geworden. Als Verordnung gilt sie unmittelbar in jedem Mitgliedstaat der EU und geht nationalen Regelungen vor. Zeitgleich ist das neue Bundesdatenschutzgesetz in Kraft getreten. Die rechtliche Regelung, an der sich die Diskussion entzündet, ist der Art. 4 Ziff. 7 DSGVO. Der lautet wie folgt:

„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“

Im Gegensatz zu der vorherigen Rechtslage ist nicht mehr erforderlich, dass die verantwortliche Stelle eine juristische Person mit eigener Rechtspersönlichkeit ist. Sie kann auch jede „andere Stelle“ und sogar eine natürliche Person sein. Betriebsräte stellen eine andere Stelle dar, wenn es nach der vermeintlichen Auffassung der Aufsichtsbehörden und zahlreichen Datenschutzexperten geht.

Diese Auslegung ist auf den ersten Blick nicht nur mit dem Wortlaut vereinbar, sondern auch nach dem Sinn und Zweck der DSGVO durchaus vertretbar. Denn nur auf diese Weise lässt sich das avisierte Schutzniveau erreichen. Zudem gehören die einzelnen Betriebsratsmitglieder zu den natürlichen Personen und könnten ebenfalls als Verantwortliche anzusehen sein.

Entscheidet Betriebsrat über Zwecke und Mittel der Verarbeitung?

Die Verantwortlichkeit des Betriebsrats nach der DSGVO beurteilt sich juristisch gesehen danach, ob er über Zwecke und Mittel der Verarbeitung von Arbeitnehmerdaten entscheidet. Von einer geklärten Rechtslage ist man derzeit aber noch weit entfernt. Die Aufsichtsbehörden tendieren dem Vernehmen nach dazu, diese Frage zu bejahen. Einige Datenschutzrechtler wiederum lehnen eine Entscheidungsbefugnis des Betriebsrats ab. Für beide Sichtweisen lassen sich Argumente finden.

Für eine Verantwortlichkeit des Betriebsrats streitet zunächst die Einschätzung, dass sich der Betriebsrat innerhalb des Rahmens der Betriebsverfassungsgesetzes bewegt und handelt. Er erhält personenbezogene Daten und verarbeitet sie, um seine Beteiligungsrechte ausüben zu können. Dabei werden ihm personenbezogene Daten vom Arbeitgeber zugetragen, die der Betriebsrat sodann für die Zwecke seiner Beteiligung weiterverarbeitet. Zu denken ist z.B. an die Einstellung eines Mitarbeiters, im Zuge derer der Arbeitgeber dem Gremium Informationen zu der Person mitzuteilen und sogar die Bewerbungsunterlagen vorzulegen hat. Diese Daten verwendet der Betriebsrat weiter, um das Vorliegen von Zustimmungsverweigerungsgründen zu prüfen. Es ist auch ohne weiteres denkbar, dass die Initiative zur Verarbeitung personenbezogener Daten von dem Betriebsrat ausgeht, damit er seine Beteiligungsrechte wahrnehmen kann. Beispiel: Lohn- und Gehaltslisten nach § 80 Abs. 2 BetrVG, die heutzutage auch digital vorgehalten werden.

Der Betriebsrat entscheidet also durchaus über die Zwecke der Verarbeitung und das „Schicksal“ der personenbezogenen Daten. Die Mittel für die Verarbeitung kann der Betriebsrat nach § 40 Abs. 2 BetrVG beim Arbeitgeber einfordern, soweit sie erforderlich und verhältnismäßig sind. Hierzu zählt auch die Informations- und Kommunikationstechnik. Ein Computer findet sich heute in jedem Betriebsratsbüro; mehr noch, in größeren Gremien ist jeder mit einem eigenen Laptop unterwegs, der mit Arbeitgeberprogrammen, aber auch mit Betriebsratssoftware zur Organisation ausgestattet ist. Auch Smartphones sind durchaus üblich. Der Arbeitgeber hat dem Betriebsrat dabei die IT-Mittel auf Verlangen zu stellen, sofern die Erforderlichkeit gegeben ist.

Ist die Auffassung der Aufsichtsbehörden richtig?

Alles in allem lässt sich die Einschätzung, der Betriebsrat sei „Verantwortlicher“ im Sinne der DSGVO, sehr gut vertreten. Vor allem mit Blick auf den Sinn und Zweck der DSGVO ist dieser Standpunkt gut zu begründen. Auf der anderen Seite gibt es aber auch Argumente, die gegen eine Verantwortlichkeit der Arbeitnehmergremiums sprechen. Von einigen Datenschutzexperten wird vorgebracht, der Betriebsrat bewege sich bei seiner Tätigkeit nur in den Grenzen des Betriebsverfassungsgesetzes. In diesem Gesetz werden dem Betriebsrat die Zwecke quasi vorgegeben, weshalb eine eigene Entscheidungsbefugnis über die Zwecke der Datenverarbeitung nicht gegeben sei.

Überdies entscheide der Betriebsrat auch nicht über die Mittel der Datenverarbeitung. Diese würden dem Betriebsrat vom Arbeitgeber im Rahmen der Erforderlichkeit nach § 40 BetrVG gestellt. Im Regelfall greife der Betriebsrat damit auf die informationstechnische Infrastruktur des Arbeitgebers zurück, mit derer eine Datenverarbeitung erst ermöglicht werde. Eine Entscheidung über den Zweck und die Mittel der Verarbeitung habe der Betriebsrat daher gerade nicht. Er sei vielmehr von den Einrichtungen des Arbeitgebers abhängig.

Letztlich werden die Gerichte darüber zu urteilen haben, welcher Auffassung der Vorzug zu geben ist. Die Gericht werden autonom darüber befinden, ob die vermeintliche Sichtweise der Aufsichtsbehörden in rechtlicher Hinsicht den Anforderungen der Datenschutzgrundverordnung entspricht. Sie sind dabei an die behördlichen Maßgaben in keiner Weise gebunden. Vor der Geltung der DSGVO haben die nationalen Gerichte den Betriebsrat als Teil des Arbeitgebers als verantwortliche Stelle behandelt. Ob sie an dieser Rechtsauffassung in Anbetracht der DSGVO weiter festhalten werden, bleibt abzuwarten.

Haftung des Betriebsrats bei „Verantwortlichkeit“

Die Konsequenzen der Einordnung des Betriebsrats als Verantwortlicher sind zum jetzigen Zeitpunkt noch nicht in Gänze absehbar. Im Raum steht nach teilweiser Auffassung unter anderem ein Haftungsrisiko für die Betriebsräte bei einem Verstoß gegen die Vorgaben der DSGVO. Es drohen damit u.a. Bußgelder bis zu 20 Mio. Euro, die von den Aufsichtsbehörden verhängt werden könnten. Daneben könnten die Betriebsräte bei Verstößen von Einzelpersonen auf Schadensersatz nach § 82 Abs. 1 DSGVO in Anspruch genommen werden.

Die Frage, ob der Betriebsrat überhaupt haften kann, wurde bisweilen allerdings – wenn überhaupt – nur am Rande thematisiert. Nach nationalem Recht besitzt der Betriebsrat weder Rechts- noch Vermögensfähigkeit. Es besteht lediglich eine partielle Vermögensfähigkeit im Rahmen von vermögensrechtlichen Positionen nach dem BetrVG. Eine Haftung war bislang mangels Vorhandenseins von Vermögen ausgeschlossen. Es ist schwer vorstellbar, dass die Gerichte von diesem Verständnis der Rechtsstellung des Betriebsrats abrücken, zumal die entsprechenden Wertungen zur Rechts- und Vermögensfähigkeit unmittelbar aus dem Betriebsverfassungsgesetz abgeleitet werden.

Selbst wenn die Aufsichtsbehörden den Betriebsrat also als verantwortliche Stelle einordnen und bei Zuwiderhandlungen gegen die DSGVO Bußgelder verhängen, würden diese letztlich mangels Rechts- und Vermögensfähigkeit ins Leere laufen. Dies führt zu folgender Erkenntnis: Der Betriebsrat wäre nach der Auslegung der Aufsichtsbehörden zwar Adressat der DSGVO, würde aber praktisch bei Verstößen nicht in Anspruch genommen werden können. Der DSGVO hat als EU-Recht allerdings Vorrang vor nationalem Recht und stellt Wertungen auf, die auch die Gerichte binden. Im Lückenbereich werden die Gerichte – davon ist auszugehen – einen Weg finden, mit diesem Problem umzugehen und den Wertungen der DSGVO zur Geltung auch im Hinblick auf solche Institutionen zu verhelfen.

Haftung von einzelnen Betriebsratsmitgliedern

Dies leitet dazu über, ob unter diesen Gegebenheiten eine Haftung der einzelnen Betriebsratsmitglieder in Betracht kommt. Nach der Rechtsprechung ist eine Haftung von Betriebsratsmitgliedern möglich, wenn sie Rechtsgeschäfte für den Betriebsrat außerhalb dem durch das Betriebsverfassungsgesetz vorgegebenen Wirkungskreises vornehmen (BAG, Urteil vom 24.4.1986 – 6 AZR 607/83). In diesem Fall haften sie nach den allgemeinen rechtsgeschäftlichen Regeln. Die Übertragbarkeit der Rechtsprechung des Bundesarbeitsgerichts zur Haftung des Betriebsrats bzw. von Betriebsratsmitgliedern ist im vorliegenden Kontext bereits fraglich. Es geht nämlich nicht um die Vornahme von Rechtsgeschäften durch Betriebsratsmitglieder, sondern um die Haftung aufgrund eines pflichtwidrigen Verhaltens entgegen den Maßgaben der DSGVO. Die bisherige Rechtsprechung zur Haftung von Betriebsratsmitgliedern ist also nicht einschlägig. Zudem dürften Verstöße zumeist einen Bezug zu den Aufgaben nach dem Betriebsverfassungsgesetz haben.

Es ist gleichwohl eine unmittelbare Haftung der Betriebsratsmitglieder nach der DSGVO in Erwägung zu ziehen. Die natürliche Person – in Abgrenzung zum Unternehmen als juristische Person – ist in Art. 4 Ziff. 7 DSGVO ausdrücklich als möglicher „Verantwortlicher“ aufgeführt. Und die Betriebsratsmitglieder entscheiden gemeinsam als Gremium oder im Rahmen der laufenden Geschäftsführung ständig über Zwecke und Mittel der Verarbeitung personenbezogener Daten. Sie könnten gemäß dem Begründungspfad der Datenschutzbehörden als gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO anzusehen sein. Im Gegensatz zu Arbeitnehmern, die keine Verantwortliche sind, sind Betriebsräte im Rahmen ihrer Tätigkeit unabhängig und weisungsfrei. Der Arbeitgeber kann den Mitgliedern des Betriebsrats bei der Ausübung des Betriebsratsamtes keine Verhaltensregeln zur Einhaltung der DSGVO auferlegen. Für die Einhaltung der datenschutzrechtlichen Bestimmungen sind der Betriebsrat und die Mitglieder vielmehr selbst zuständig. Unter dieser Prämisse ist eine Haftung von einzelnen Betriebsratsmitgliedern gar nicht so abwegig.

Daneben gibt es noch ein weiteres Haftungsrisiko. Wird der Arbeitgeber aufgrund eines Fehlverhaltens von Betriebsräten in Anspruch genommen, könnte er den Schaden bei dem entsprechenden Betriebsratsmitglied geltend machen. Dann müsste geprüft werden, ob bestimmte Haftungsprivilegierungen greifen.

Was Betriebsräte jetzt tun sollten

Vor diesem Hintergrund empfiehlt es sich, die Regelungen der Datenschutzgrundverordnung in der täglichen Betriebsratsarbeit umzusetzen. Der Betriebsrat bewegte sich bereits vor der Geltung der DSGVO nicht in einem datenschutzrechtlichen Vakuum. Er war zur Überwachung des Arbeitgebers hinsichtlich der Einhaltung der Datenschutzrechte und Persönlichkeitsrechte berufen. Dass er sich daneben selbst an die gesetzlichen Bestimmungen zum Datenschutz halten musste, ist selbstverständlich. Nach § 75 Abs. 2 Satz 1 BetrVG hat auch der Betriebsrat die freie Entfaltung der Persönlichkeit der Arbeitnehmer zu fördern. Damit war auch nach alter Rechtslage ein sorgloser Umgang mit Beschäftigtendaten unvereinbar und der Betriebsrat beim Datenschutz in der Pflicht.

Angesichts der Geltung der DSGVO mit der Erweiterung des Kreises der „Verantwortlichen“, der drohenden Haftung bei Verstößen gegen die DSGVO und der ohnehin bestehenden Verpflichtung zum Schutz der Allgemeinen Persönlichkeitsrechte der Arbeitnehmer sollten Betriebsräte nun handeln. Die Betriebsratstätigkeit ist so zu organisieren und strukturieren, dass die Datenschutzgrundverordnung eingehalten wird. Dabei kann sich der Betriebsrat aufgrund eigener Verantwortlichkeit auch eines externen Datenschutzbeauftragten bedienen, der bei der Etablierung von datenschutzkonformen Prozessen unterstützen kann. Außerdem bietet sich die Anpassung der Geschäftsordnung an. Dort könnten verbindliche Vorgaben zum Umgang mit personenbezogenen Daten im Einklang mit der DSGVO und dem BDSG statuiert werden. Empfehlenswert ist die Erarbeitung eines eigenen Datenschutzkonzeptes entlang der datenschutzrechtlichen Pflichten. In diesem sollte der Betriebsrat den Umgang mit personenbezogenen Arbeitnehmerdaten eindeutig und genauso streng wie beim Arbeitgeber regeln.

Die Betriebsratsmitglieder müssten, sofern man sie als gemeinsame Verantwortliche nach Art. 26 DSGVO einstuft, ohnehin festlegen, wer welche Pflichten nach der Verordnung erfüllt. Dies bezieht sich nicht zuletzt auf die Wahrnehmung der Rechte der betroffenen Arbeitnehmer sowie die Informationspflichten nach der DSGVO. Bevor ein Datenschutzstandard definiert werden kann, sind allerdings umfassende Kenntnisse erforderlich, die im Rahmen von datenschutzrechtlichen Schulungen nach § 37 Abs. 2 BetrVG erworben werden können.

Betriebsvereinbarung zur Verantwortlichkeit mit Vor- und Nachteilen

Außerdem könnte es sich anbieten, die Frage der Verantwortlichkeit mit dem Arbeitgeber in einer Betriebsvereinbarung verbindlich zu regeln. Den unbestätigten Meldungen zufolge neigen die Aufsichtsbehörden dazu, eine solche Regelung zur Verantwortlichkeit als konkretisierende Regelung nach Art. 88 DSGVO zuzulassen. Dann wäre der Arbeitgeber weiterhin für die Erfüllung der datenschutzrechtlichen Vorgaben durch den Betriebsrat verantwortlich. Dies kann allerdings nur insoweit gelten, als der Betriebsrat tatsächlich auf die IT-Infrastruktur des Arbeitgebers zurückgreift. Wo das nicht der Fall ist, bietet eine solche Betriebsvereinbarung keine Lösung des Problems.

Eine solche Betriebsvereinbarung würde überdies hinaus nicht von der Notwendigkeit entpflichten, die Betriebsratsarbeit so zu organisieren, dass die einschlägigen datenschutzrechtlichen Bestimmungen eingehalten werden. Der Arbeitgeber wird die Nutzung seiner Einrichtungen durch den Betriebsrat und den Abschluss einer Betriebsvereinbarung zur Verantwortlichkeit ohnehin davon abhängig machen, dass der Betriebsrat sich gesetzeskonform verhält. Das ist völlig legitim. Darüber hinaus muss das Arbeitnehmergremium die Einhaltung der DSGVO und des BDSG sicherstellen. Dies gelingt durch Schulungen im Datenschutz, eine transparente Formulierung von Datenschutzstandards und ggf. mit der Hilfe von externen Sachverständigen für Datenschutz.