Nach Art. 15 DSGVO hat der Ver­ant­wort­li­che einer betrof­fe­nen Per­son Aus­kunft dar­über zu geben, ob und wel­che per­so­nen­be­zo­ge­nen Daten über sie ver­ar­bei­tet wer­den. Unter daten­schutz­recht­li­cher Betrach­tung war bis­her strit­tig, ob gegen den Betriebs­rat Aus­kunfts­rech­te gel­tend gemacht wer­den kön­nen. Die Fol­gen wären weit­rei­chend.

Ins­be­son­de­re hin­sicht­lich des letz­ten Aspekts dürf­te frag­lich sein, ob sich die recht­li­che Fol­ge mit der Aus­übung der Tätig­keit als Betriebs­rat ver­ein­ba­ren lässt. ” – Eile­en Bin­der

Betriebs­rat als Ver­ant­wort­li­cher

Art. 15 DSGVO ver­pflich­tet den Ver­ant­wort­li­chen zur Aus­kunft über die ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten, wenn die betrof­fe­ne Per­son das ihr zuste­hen­de Recht auf Aus­kunft gel­tend macht. Ver­ant­wort­li­cher ist hier­bei gemäß Art. 4 Nr. 7 DSGVO jede juris­ti­sche oder natür­li­che Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit einem ande­ren über die Mit­tel und Zwe­cke der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det.

Die Fra­ge, ob der Betriebs­rat aus­kunfts­pflich­tig ist, lässt sich also nur über die Fra­ge beant­wor­ten, ob der Betriebs­rat Ver­ant­wort­li­cher im Sin­ne des Art. 4 Nr. 7 DSGVO sein kann.

Die Argu­men­te

Nach der bis­he­ri­gen Recht­spre­chung des BAG war der Betriebs­rat nicht als eige­ne ver­ant­wort­li­che Stel­le, son­dern als Teil des Arbeit­ge­bers zu sehen (BAG v. 7.2.2012- 1 ABR 46/10). Aus­kunfts­an­sprü­che konn­ten somit nur gegen den Arbeit­ge­ber gel­tend gemacht wer­den, der die Anfor­de­rung für den Betriebs­rat erfüllt hat.

Mit Inkraft­tre­ten der DSGVO am 25.05.2018 ist die Fra­ge nach der daten­schutz­recht­li­chen Ver­ant­wor­tung von Betriebs­rä­ten auf Grund des neu­en recht­li­chen Rah­mens erneut auf­ge­wor­fen wor­den. Ins­be­son­de­re die Fest­le­gung von Mit­tel und Zweck durch den Betriebs­rat steht in Fra­ge.

Eine Auf­fas­sung ver­tritt, dass der Betriebs­rat gera­de nicht die eige­nen Mit­tel und Zwe­cke für die Daten­ver­ar­bei­tung fest­le­ge. Zum einen nut­ze der Betriebs­rat die gesam­te Infra­struk­tur des Arbeit­ge­bers mit, er habe daher wenig eige­nen Ein­fluss auf die Mit­tel, die zur Daten­ver­ar­bei­tung genutzt wer­den. Zum ande­ren lege der Betriebs­rat gera­de nicht oder nur ein­ge­schränkt die eige­nen Zwe­cke fest. Viel­mehr bestim­me das Betriebs­ver­fas­sungs­ge­setz durch die dar­in zuge­wie­se­nen Auf­ga­ben, für wel­che Zwe­cke der Betriebs­rat per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten dür­fe.

Der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Württemberg (= LfDI BW) hat sowohl im 34. Tätig­keits­be­richt aus dem Janu­ar 2019 als auch anschlie­ßend noch­mals auf unse­re schrift­li­che Anfra­ge hin als ers­ter Lan­des­da­ten­schutz­be­auf­trag­ter unter der DSGVO aus­drück­lich Stel­lung dazu genom­men, ob der Betriebs­rat eige­ner Ver­ant­wort­li­cher sein kann und beant­wor­tet die­se Fra­ge ein­deu­tig mit „Ja!“. So gesteht der LfDI dem Betriebs­rat eine eige­ne Ent­schei­dungs­macht in der Wahl zwi­schen der von ihm zur Ver­fü­gung gestell­ten Mit­teln zu. Er unter­stützt zwar die Ansicht, dass die Mit­tel vom Arbeit­ge­ber vor­ge­ge­ben wer­den, jedoch ent­schei­de der Betriebs­rat selbst, wel­ches der zur Ver­fü­gung gestell­ten Mit­tel zur Daten­ver­ar­bei­tung genutzt wer­de (z.B. eine Excel-Liste statt einer hand­schrift­li­chen Lis­te von Mit­ar­bei­ter­da­ten). Und auch die Zweck­bin­dung durch das Betriebs­ver­fas­sungs­ge­setz sei nicht über­zeu­gend, da auch zahl­rei­che ande­re Geset­ze Vor­ga­ben beinhal­ten, die an einer Ver­ant­wort­lich­keit nichts zu ändern ver­mö­gen. Mit die­ser Ansicht dürf­te der LfDI BW nicht allei­ne sein. Unter Auf­sichts­be­hör­den mehrt sich die Mei­nung, dass sich eine Ver­ant­wort­lich­keit von Betriebs­rä­ten erge­be.

Fol­gen der Ver­ant­wort­lich­keit des Betriebs­rats

Die Ansicht des LfDI BW ist weit­rei­chend, hät­te doch die Annah­me einer Ver­ant­wort­lich­keit des Betriebs­rats weit­rei­chen­de daten­schutz­recht­li­che Fol­gen. So müss­te der Betriebs­rat in den meis­ten Fäl­len wohl einen eige­nen Daten­schutz­be­auf­trag­ten bestel­len, da er sich der Kon­trol­le des vom Arbeit­ge­ber benann­ten betrieb­li­chen Daten­schutz­be­auf­trag­ten ent­zieht. Auch das BAG schreibt dem betrieb­li­chen Daten­schutz­be­auf­trag­ten kei­ne Kon­troll­kom­pe­tenz zu, sei die­ser doch „ver­län­ger­ter Arm“ des Arbeit­ge­bers. Zudem hät­te der Betriebs­rat neben der Aus­kunfts­pflicht nach Art. 15 DSGVO auch die Pflicht Löschersu­chen nach­zu­kom­men. Deren Durch­set­zung ver­langt ggf. einen Zugriff auf die Infra­struk­tur des Arbeit­ge­bers, für die der Betriebs­rat kei­ne Zugriffs­kom­pe­tenz hat. Unver­meid­lich ist daher die Fra­ge, ob der Arbeit­ge­ber dann Daten im Auf­trag des Betriebs­ra­tes ver­ar­bei­tet und daher eine Ver­ein­ba­rung zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten not­wen­dig ist. Schließ­lich müss­te der Betriebs­rat bei Daten­schutz­ver­stö­ßen selbst in die Haf­tung gehen. Hier besteht noch Klä­rungs­be­darf, inwie­weit der Betriebs­rat rechts- und ver­mö­gens­fä­hig sein kann.

Fazit

Ins­be­son­de­re hin­sicht­lich des letz­ten Aspekts dürf­te frag­lich sein, ob sich die recht­li­che Fol­ge mit der Aus­übung der Tätig­keit als Betriebs­rat ver­ein­ba­ren lässt. Die Lösung der recht­li­chen Fol­gen lässt auch der LfDI BW offen und ver­weist dar­auf, dass gericht­li­che Ent­schei­dun­gen zur abschlie­ßen­den Klä­rung der Fra­gen not­wen­dig sind. Bis dahin ist es rat­sam, zumin­dest als in Baden-Württemberg täti­ger Betriebs­rat, der Ansicht des LfDI BW zu fol­gen, eine eige­ne Ver­ant­wort­lich­keit von Betriebs­rä­ten anzu­neh­men und — um Buß­gel­der zu ver­mei­den — die Fol­gen der Ver­ant­wort­lich­keit des Betriebs­rats umzu­set­zen (Benen­nung eines Daten­schutz­be­auf­trag­ten, Umset­zung der Auskunfts- und Lösch­pflich­ten, etc.).

 

Artikel zum selben Thema:

Microsoft 365 und der kirchliche Datenschutz

27. Juni 2022|

Nach­dem das Katho­li­sche­Da­ten­schutz­zen­trum Frank­furt (KDSZ-FFM) sich bereits im Febru­ar 2019 mit einer „Daten­schutz­recht­li­chen Bewer­tung eines Ein­sat­zes von Office 365 […]

Neue Orientierungshilfe zu Cookie-Bannern

4. Janu­ar 2022|

Kurz vor Weih­nach­ten hat die Daten­schutz­kon­fe­renz noch ein beson­de­res Geschenk dage­las­sen: Die neue Ori­en­tie­rungs­hil­fe zu Cookie-Bannern. Wir haben zusam­men­ge­fasst, […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN