von Tim Wybitul, Anne Kleffmann, Dr. Tobias LederDr. Isabelle Brams

Nach einer Meldung des Deutschen Gewerkschaftsbundes (DGB) ist das geplante Gesetzesvorhaben zur Stärkung der Rechte der Betriebsräte (Betriebsratsstärkungsgesetz) gescheitert. Im Koalitionsvertrag hatten die Regierungsparteien vereinbart, die Gründung und Wahl von Betriebsräten zu erleichtern. Insbesondere in Bezug auf den Kündigungsschutz von Initiatoren für Betriebsratswahlen soll es zu inhaltlichen Konflikten gekommen sein. Vor dem Hintergrund der immer näher rückenden Bundestagswahl im September dieses Jahres erscheint ein Kompromiss zu diesen Fragen und damit eine Reform des Betriebsverfassungsrechts immer unwahrscheinlicher. Das Betriebsratsstärkungsgesetz hatte unter anderem auch eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats vorgesehen. Die entsprechende – weit diskutierte – Rechtsfrage bleibt damit weiterhin ungeklärt.

Überblick

Betriebsräte verarbeiten typischerweise eine Vielzahl von personenbezogenen Daten über Beschäftigte. Bislang ist noch nicht abschließend geklärt, ob der Betriebsrat solche Datenverarbeitungen als eigener datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO durchführt oder – wie nach der früheren Rechtslage – als Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem. Im Kern der Diskussion steht die Frage, ob der Betriebsrat  gemäß Art. 4 Nr. 7 DSGVO eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheidet.

Eine einheitliche Linie hat sich zu dieser Frage in der Rechtsprechung und Lehre bislang noch nicht entwickelt. Während beispielsweise das LAG Sachsen-Anhalt von einer eigenständigen datenschutzrechtlichen Verantwortlichkeit des Betriebsrats ausgeht, ordnet das LAG Hessen den Betriebsrat weiterhin als Teil des verantwortlichen Arbeitgebers ein (LAG Sachsen Anhalt, Beschluss vom 18.12.2018 – 4 TaBV 19/17; LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18).

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) geht davon aus, dass dem Betriebsrat bei der Verarbeitung von Beschäftigtendaten entsprechende Entscheidungsbefugnisse zukommen (34. Datenschutz-Tätigkeitsbericht des LfDI BW 2018, S. 37f.). Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht äußerte sich hingegen dahingehend, dass der Betriebsrat in datenschutzrechtlicher Hinsicht weiterhin Teil des Arbeitgebers sei (Interview Kranig/Wybitul, ZD 2019, 1, 2).

Sollte man den Betriebsrat als eigenen datenschutzrechtlich Verantwortlichen einordnen, hätte dies in der Praxis voraussichtlich weitreichende Auswirkungen. Insbesondere wäre der Betriebsrat eigenständig dafür verantwortlich, die Einhaltung der in der DSGVO und dem BDSG geregelten Vorgaben umzusetzen. So müsste der Betriebsrat beispielsweise die Umsetzung der datenschutzrechtlichen Informations- und Dokumentationspflichten erfüllen. Zudem wäre der Betriebsrat gegebenenfalls dazu verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen und einen eigenen Datenschutzbeauftragten zu ernennen.

Neuerungen aufgrund des geplanten Betriebsrätestärkungsgesetzes

Die Umsetzung der genannten Vorgaben wäre in der Praxis voraussichtlich mit einem sehr hohen personellen, zeitlichen und finanziellen Aufwand verbunden. Der Ende 2020 bekannt gewordene Entwurf des Betriebsrätestärkungsgesetzes zielte offensichtlich darauf ab, die Praxis vor entsprechendem Aufwand zu bewahren. Denn nach dem Entwurf sollte im BetrVG ausdrücklich klargestellt werden, dass der Betriebsrat weiterhin Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichen ist (vgl. § 79a-neu):

„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“

Aus Sicht des BMAS ist die Bundesrepublik aufgrund der in Art. 4 Nr. 7 Halbsatz 2 DSGVO vorgesehenen Öffnungsklausel zu einer entsprechenden gesetzlichen Klarstellung befugt. Das BMAS verkennt jedoch, dass sich die genannte Öffnungsklausel lediglich auf die Festlegung von Zwecken und Mitteln von Datenverarbeitungen bezieht – nicht aber auf die originäre Festlegung von datenschutzrechtlichen Verantwortlichkeiten.

Die vom BMAS vertretene Auffassung ist jedoch im Ergebnis zu begrüßen. Die ausdrückliche Fortschreibung der bisherigen Rechtslage hätte es den Betriebsparteien ermöglicht, an den bislang etablierten Prozessen und Strukturen bei der Verarbeitung von Beschäftigtendaten durch den Betriebsrat festzuhalten.

Ausblick

Mit dem Scheitern des Betriebsrätestärkungsgesetzes wurde die Chance vertan, Rechtssicherheit für die Praxis zu schaffen. Aufgrund des herannahenden Bundestagswahlkampfs ist kaum damit zu rechnen, dass das BMAS ein weiteres Reformgesetz in Angriff nehmen wird.

Bis zu einer eindeutigen Klärung der genannten Rechtsfragen sind Unternehmen daher gut beraten, mit ihren Betriebsräten konkrete Regelungen zu deren datenschutzrechtliche Stellung zu treffen. Hierfür können sich insbesondere Betriebsvereinbarungen auf Basis von Art. 88 DSGVO anbieten.