Der Betriebsrat und der Datenschutz – wohin geht die Reise?

Eine immer wiederkehrende Frage beschäftigt seit einiger Zeit immer mehr Unternehmen – auch Arbeitsgerichte sind sich uneins: welche datenschutzrechtliche Rolle nimmt der Betriebsrat in seiner täglichen Arbeit ein?  

Die Rolle des Betriebsrats in der DSGVO und dem BDSG  

Der Betriebsrat verarbeitet bei seiner Arbeit regelmäßig personenbezogene Daten der Beschäftigten des Unternehmens zu dem er gehört. Ob der Betriebsrat deshalb auch aus datenschutzrechtlicher Sicht Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO ist, wurde vor dem Inkrafttreten der DSGVO durch das Bundesarbeitsgericht verneint. Lediglich die Einhaltung geltender Datenschutzgesetzte und das Aufrechterhalten von geeigneten Schutzmaßnahmen wurden verpflichtend vorgeschrieben. Diese Einordnung ist unter Geltung der seit Mai 2018 in Kraft getretenen DSGVO mehr als streitig. Denn durch die Einordnung als Verantwortliche träfen dem Betriebsrat vermehrt datenschutzrechtliche Pflichten.  

Zu dieser Frage hat das Bundeskabinett Ende März einen Regierungsentwurf zum Betriebsrätemodernisierungsgesetz verabschiedet und erstmal mit § 79a BetrVG eine neue Regelung zur datenschutzrechtlichen Einordnung des Betriebsrats getroffen.  

Was genau wird in § 79a BetrVG geregelt? 

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften“ Mit dieser Aussage stellt der Gesetzgeber zumindest klar, dass der Betriebsrat nicht die Rolle des Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO einnimmt. Leider verpasst der Gesetzgeber anscheinend mit dieser doch recht kurzen Vorschrift die Chance, endlich weitere unklare Themen eindeutig zu regeln.  

Was bleibt weiterhin unklar?  

Durch den neuen Entwurf hat der Gesetzgeber leider die Beantwortung vieler datenschutzrechtlicher Fragen verpasst. Das betrifft vor allem die Überwachungsmöglichkeit des Betriebsrats durch den Datenschutzbeauftragten. Auch ist fraglich, ob dem Betriebsrat nun selbst die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art 30 DSGVO auferlegt werden kann und wer für die Aktualisierungen und Definierung von neuen datenverarbeitenden Prozessen zuständig ist. Zudem bleibt weiter unbeantwortet, ob der Betriebsrat selbst für die Einhaltung der technischen und organisatorischen Maßnahmen seiner genutzten Systeme verantwortlich ist, denn eine Kontrollfunktion seitens des Arbeitgebers scheidet hierfür aus Gründen der Geheimhaltung aus. Auch die Einhaltung der Vorschriften zur Meldung von Datenpannen gem. Art. 33 DSGVO oder auch das bestehende Auskunftsrecht gem. Art 15 DSGVO und die damit verbundene unzulässige Einsichtsmöglichkeit des Arbeitgebers in Betriebsratsunterlagen verpasst der Gesetzesentwurf zu regeln. Die Liste der Unklarheiten würde sich mit vielen weiteren Beispiele fortführen lassen  

Fazit  

Leider hat der Gesetzentwurf mehr Fragen aufgeworfen als er beantwortet hat. Die unklare Rechtslage birgt aus datenschutzrechtlicher Sicht weiterhin Unklarheiten für Unternehmen. Es bleibt daher nur abzuwarten, ob weitere Überarbeitungen die umfangreichen Probleme lösen werden. Wir halten Sie hierzu auf den Laufenden. Sollte Sie Fragen rund um das Thema haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung.