Betriebsrätemodernisierungsgesetz – Neues zum Datenschutz

Seit dem 28. Mai 2021 ist das Betriebsrätemodernisierungsgesetz in Kraft und es ist an der Zeit auch aus Sicht des Datenschützers diese Änderung des Betriebsverfassungsgesetzes (BetrVG) sich einmal genauer anzuschauen. Ziel war unter anderem eine Vereinfachung der Gründungsmodalitäten des Betriebsrates. Der Datenschutz ist durch die Einbringung des Paragrafen 79a mit drei Sätzen berücksichtigt. Diese schaffen in einzelnen Aspekten mehr Klarheit für die Zusammenarbeit zwischen dem Verantwortlichen, dem Betriebsrat und dem Datenschutzbeauftragten. Schauen wir uns diese Sätze im §79a BetrVG einmal genauer an.

„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.“ Diese eigentliche Selbstverständlichkeit stellt aber noch einmal klar, dass der Betriebsrat auch eine Eigenverantwortung sicherstellen muss. So sind auch erforderliche Datenschutzinformationen bereitzustellen und eventuell nötige dokumentierte Einwilligungen sicherzustellen. Wie der Verantwortliche aber konkret bei mangelnder Einhaltung dagegen wirken kann ist nicht eindeutig geregelt und entsprechende Weisungen würden auch mit dem BetrVG kollidieren. Da besteht weiterhin Konfliktpotential im Anwendungsvorrang zwischen europäisches Gesetz (DSGVO) und nationalem Recht (BetrVG).

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ Diese Formulierung beantwortet anscheinend ein für alle Mal die Frage, ob der Betriebsrat dem Verantwortlichen zuzuordnen ist. Zuvor war der Betriebsrat weitestgehend selbstständig agierend. Diese Selbständigkeit und Weisungsfreiheit ist auch weiterhin nicht angetastet. Jedoch ist nun ausgeführt, dass nur die Verarbeitungen dem Arbeitgeber, zugeordnet werden können, welche der Betriebsrat zur Erfüllung der ihm zuständigen Aufgaben tätigt. Verschiedene Einschätzungen sehen hier nicht ausreichend reguliert, wie die Haftung bei einer Verarbeitung außerhalb der Zuständigkeit des BR sich gestaltet. Dies kann theoretisch durch Art. 82 Abs. 3 DSGVO gestützt werden (Nachweis des Verantwortlichen, dass bei Eintritt eines Schadens dieser nicht verantwortlich ist). Bezieht man wieder die Weisungsfreiheit aus dem nationalen Recht in die Bewertung mit ein, sind die Möglichkeiten des Arbeitgebers aufgrund mangelnder Kontrollmöglichkeiten und Entscheidungsgewalt als begrenzt zu betrachten.

Eine Maßnahme sollte aber hier erwachsen für den Verantwortlichen und den Datenschutzbeauftragten, nämlich die Aufnahme der Tätigkeiten des Betriebsrates in das Verzeichnis der Verarbeitungstätigkeiten. Auch bei Auskunftsersuchen an den Verantwortlichen muss der Betriebsrat zukünftig mit einbezogen werden und seinerseits bei der Beauskunftung unterstützen (siehe auch BT-Drucks. 19/28899, S. 22).

„Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ Dies wird allgemein als Gebot zur Kooperation zwischen den Beteiligten interpretiert. Natürlich wird dem Betriebsrat weiterhin freigestellt seine externe Expertise einzuholen. Jedoch sollte auch der Datenschutzbeauftragte als Beratungsinstanz im Rahmen seiner Stellung und Aufgaben gem. Art 38 und 39 DSGVO soweit erforderlich herangezogen werden (siehe auch BT-Drucks. 19/28899, S. 22). Es wäre daher in dem Zusammenhang auch zu erwägen, ob eine spezielle Betriebsvereinbarung die neue Zusammenarbeit strukturiert und abschließend beschreiben könnte.

„Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“ Wenn der Datenschutzbeauftragte Einblick in den Meinungsbildungsprozess des BR bekommt, hat er gegenüber dem Arbeitgeber eine Verschwiegenheit sicherzustellen. Das ist nachvollziehbar und wird der weiterhin bestehenden Sonderrolle des Betriebsrates gerecht. Stellt aber den Datenschutzbeauftragten vor Probleme in der Bewertung und Dokumentation der Betriebsratsprozesse. Was darf er wie bewerten? Was darf in welchem Umfang in das Verarbeitungsverzeichnis?

Jedoch muss man hier auch dem Datenschutzbeauftragten eine gewisse Kontrollbefugnis gegenüber dem Betriebsrat zugestehen, denn unbegrenzt haftbar kann der Verantwortliche nicht gemacht werden. Der Betriebsrat nutzt in der Regel und mit Eigenverantwortung Strukturen und Mittel des Verantwortlichen wie Endgeräte, Server und Räume für seine Tätigkeiten.

Das Betriebsrätemodernisierungsgesetz und seine datenschutzrelevanten Konkretisierungen sollten als Ausgangspunkt für eine neue Kooperation im Datenschutz zwischen Betriebsrat und Verantwortlichem dienen. Dies ist mit den vorgestellten Regelungen nur bedingt gelungen. Dennoch sollte die Neuerungen als Anlass genommen werden intern die Zusammenarbeit zwischen Arbeitgeber und Betriebsrat neu zu bewerten sowie zu überarbeiten. Der Datenschutzbeauftragte kann als wichtiger Vermittler zwischen den Parteien dienen. Eine spannende neue Aufgabe für den Datenschutzbeauftragten und auch eine mögliche Erleichterung für den Betriebsrat seine Pflichten im Datenschutz sicher umzusetzen.