Datenschutzaufsichtsbehörde will Betriebsräte für Datenschutzverstöße verantwortlich machen
Betriebsräte geraten aufgrund der Datenschutz-Grundverordnung (DSGVO) ins Visier von Datenschutzaufsichtsbehörden. Müssen Betriebsräte (BR) jetzt fürchten, dass sie für Datenschutzverstöße als Gremium oder BR-Mitglieder persönlich haften und Bußgelder verhängt werden können? Das hängt ganz davon ab, welche Rechtsauffassung sich durchsetzt und ob auch Betriebsräte in Zukunft als so genannte Verantwortliche im Sinne der DSGVO gelten oder nicht.
Hintergrund: Die Datenschutz-Grundverordnung (DSGVO) definiert neben den Pflichten zum Datenschutz auch, wer für die Einhaltung dieser Pflichten zuständig ist. Das sind zugleich diejenigen, die man bei einem Verstoß haftbar machen und zur Kasse bitten kann. Hier kommt der so genannte „Verantwortliche“ ins Spiel. Diesen definiert die DSGVO als „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet ...“
Datenschutzbeauftragter von Baden-Württemberg vertritt in Tätigkeitsbericht bedrohliche Rechtsauffassung
Nun stellt sich die Frage, ob Betriebsräte ebenfalls „Verantwortliche“ im Sinne der DSGVO sind. Genau diese Ansicht vertritt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI Ba-Wü). Das zeigt sein Tätigkeitsbericht 2018. Zur Begründung dieser Rechtsauffassung heißt es in dem Tätigkeitsbericht: „Der Betriebsrat entscheidet selbst, ob er beispielsweise eine Excel-Liste oder eine handschriftliche Liste von Mitarbeiterdaten anlegt oder wie er Vorgänge, die ihm von den Beschäftigten des Unternehmens gemeldet werden, dokumentiert, verwaltet oder ablegt.“ Folglich sei ein Betriebsrat auch „Verantwortlicher“ im Sinne der DSGVO, lautet die Schlussfolgerung in dem Bericht.
Mit dieser Rechtsauffassung steht der LfDI Ba-Wü auch nicht alleine da. Die Frage, ob Betriebsräte „Verantwortliche“ gemäß DSGVO sind, wird aktuell auch in der Fachliteratur kontrovers diskutiert. Ein entsprechender Beschluss der Aufsichtsbehörden in Deutschland liegt bislang nicht vor. Die 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) am 3. und 4. April 2019 blieb in dieser Frage ohne Ergebnis.
Fatale Rechtsfolgen für Betriebsräte und ihr Ehrenamt
Die Folgen dieser Rechtsauffassung wären fatal. Wenn Betriebsräte datenschutzrechtlich wirklich zu „Verantwortlichen“ gemacht würden, könnten Betriebsräte in Zukunft bei Datenschutzverstößen Adressat von Bußgeldbescheiden und Anordnungen sein. Noch riskanter wären in diesen Fällen die Schadenersatzrisiken aus Art. 82 DSGVO. Bei Datenschutzverstößen könnten Beschäftigte materielle und immaterielle Schadenersatzforderungen gegen das Gremium geltend machen. Da der Betriebsrat vermögenslos ist, käme eine Inanspruchnahme der einzelnen handelnden BR-Mitglieder in Betracht, die dann mit ihrem privaten Vermögen haften könnten. Die Arbeitgeber könnten sich hingegen ohne Probleme aus der Affäre ziehen.
Richtig bunt würde die Situation, wollte man den Betriebsrat als gemeinsam Verantwortlichen nach Art. 26 DSGVO ansehen. Schließlich bestimmt er in einer Vielzahl von Fällen die Einführung und Anwendung von Software im Betrieb mit (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Dies würde das Haftungspotential ins Absurde führen.
Die Position des LfDI Ba-Wü ist geeignet, die BR-Mitglieder bei Wahrnehmung ihres Ehrenamts in erheblichem Ausmaß zu verunsichern. Dies gilt erst recht, wenn man bedenkt, dass es zum Beschäftigtendatenschutz eine Vielzahl ungeklärter beziehungsweise umstrittener Fragen gibt, die auch die Verarbeitung im Betriebsrat betreffen. Geradezu ärgerlich wird es, wenn man bedenkt, dass der Gesetzgeber sich seit Jahrzehnten entgegen seinen Versprechungen verweigert, klare gesetzliche Regelungen zum Beschäftigtendatenschutz zu verabschieden.
Rechtsanwalt Frank Henkel widerspricht der Rechtsauffassung des Landesdatenschutzbeauftragten in Baden-Württemberg
Es bleibt zu hoffen, dass sich die Rechtsauffassung des LfDI Ba-Wü und gleichgesinnter Fachleute nicht durchsetzen wird.
Diese Rechtsauffassung ist auch nicht überzeugend. Sie ist unserer Auffassung und Expertise nach rechtlich angreifbar. Rechtsanwalt Frank Henkel in Hamburg hat sich mit der gestellten Rechtsfrage intensiv auseinandergesetzt und kommt zu dem Ergebnis, dass Betriebsräte keine Verantwortlichen im Sinne der DSGVO sind.
Die Frage, ob Betriebsräte „Verantwortliche“ im Sinne des Datenschutzrechts sind, hat das Bundesarbeitsgericht (BAG) auf Grundlage des alten Rechts bereits 1997 mit dem Beschluss „1 ABR 21/97“ verneint. Diese Rechtsprechung ist nach Ansicht von Rechtsanwalt Frank Henkel auch nach Anwendbarkeit der DSGVO nicht überholt. Im Gegenteil: Der EU fehlt schon nach dem EU-Primärrecht (siehe insbesondere Art. 153 Vertrag über die europäische Zusammenarbeit (AEUV)) die Kompetenz, in dieses Verhältnis Betriebsrat und Arbeitgeber einzugreifen. Die genaue rechtliche Begründung ist freilich komplex und kann in dieser Meldung nicht im Detail dargelegt werden.
Immerhin führt der LfDI BW in seinem Tätigkeitsbericht Nr. 34 noch aus: „Dem LfDI BW ist die umstrittene Rechtslage durchaus bewusst. Welche Meinung sich zukünftig auch durchsetzt, jedenfalls haben Betriebsräte auf die Einhaltung der datenschutzrechtlichen Anforderungen hinzuwirken.“ Dieser Aussage immerhin ist uneingeschränkt zuzustimmen.
Eines dürfte indes jetzt schon klar sein: Die Rechtsfrage, ob Betriebsräte „Verantwortliche“ im Sinne des Datenschutzrechtes sind, wird in naher Zukunft die Gerichte beschäftigen. Es kann Betriebsräten nur dringend geraten werden, sich gegen eine solche Rechtsauffassung entschieden zur Wehr zu setzen.