Datenschutzrechtliche Vorgaben für Betriebsräte und Schwerbehindertenvertretungen

Ich hatte schon in einem separaten Beitrag darauf hingewiesen, dass einige Argumente dafür sprechen, den Betriebsrat, bzw. die SBV datenschutzrechtlich als Verantwortlicher zu betrachten. Alkso nicht (nur) als Teil der verantwortlichen Stelle, sondern sozusagen direkt als Verantwortlicher im Dinne der DS-GVO, bzw. des BDSG.

Das Bundesarbeitsgericht hat kürzlich entschieden, dass der Betriebsrat bestimmte Pflichten hat, wenn er sensitive Daten vom Arbeitgeber erhält (Bundesarbeitsgericht, Beschluss vom 9.4.2019, 1 ABR 51/17):

Umfasst ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG eine besondere Kategorie personenbezogener Daten (sensitive Daten im datenschutzrechtlichen Sinn), ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft.

Was war passiert?

Der BR wollte vom Arbeitgeber wissen, welche Arbeitnehmerinnen jeweils ihre Schwangerschaft angezeigt haben. Begründet wurde das übrigens mit seinen Informations- und Kontrollrechten (weil er darüber wachen müsse, dass die zugunsten der Arbeitnehmerin geltenden Gesetze, darunter das Mutterschutzgesetz (MuSchG), von der Arbeitgeberin durchgeführt würden).

Nun ist offensichtlich, dass der Umstand der Schwangerschaft ein besonders sensibles Datum ist, das recht stark in das allgemeine Persönlichkeitsrecht der Frau eingreift. Man spricht dann datenschutzrechtlich von einer “Besonderen Kategorie personenbezogener Daten”, Art. 9 DS-GVO.

Der Betriebsrat verlangt nun also solche besonders sensiblen (“sensitiven”) Daten. Da liegt es meiner Meinung nach auf der Hand, dass das Gremium diese Daten nicht einfach offen rumliegen lassen kann, um hier mal absichtlich zu übertreiben.

Der Arbeitgeber hat keinen Einfluss darauf, welche Maßnahmen der BR ergreift, um die von ihm verarbeiteten Daten zu schützen. Der BR ist unabhängig, der Arbeitgeber muss an der Betriebsratstür stehen bleiben und darf ohne Aufforderung/Einladung nicht hinein. Dann kann es aber nichtg sein, dass er für einen etwaigen Verstoß gegen das Datenschutzrecht als “Verantwortlicher” haftet, weil er ja nunmal der Arbeitgeber ist und sich das Gesetz an ihn richtet und er ja auch die Computer gekauft hat.

Ich sagte es schon in einem anderen Beitrag: Das kann meiner Meinung nach nicht richtig sein: https://fachanwalt-arbeitsrecht-hamburg.eu/die-haftung-des-betriebsrats-und-der-schwerbehindertenvertretung-fuer-datenschutzverstoesse

An dieser Stelle hat der BR, bzw. die SBV sozusagen selber den Hut auf. Und muss für etwaige Verstöße dann auch (selber) gerade stehen.

Und was sagte nun das BAG in dem oben geschilderten Fall?

Rn 47: <<< Bei der Weitergabe sensitiver Daten an den Betriebsrat hat der Arbeitgeber die Beachtung des in § 26 Abs. 3 Satz 3 iVm. § 22 Abs. 2 BDSG geregelten Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand. Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt (vgl. ausf. BAG 11. November 1997 – 1 ABR 21/97 – zu B III 2 c aa der Gründe, BAGE 87, 64). >>>

Sage ich ja, der Arbeitgeber hat hier nichts zu melden. Dann muss doch logischerweise der BR hier den Hut aufhaben, oder? So geht die Entscheidung weiter:

<<< Daher hat der Betriebsrat bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwangerschaft mitteilenden Arbeitnehmerinnen – wahren. Den Betriebsrat trifft insoweit, unabhängig davon, ob er iSv. Art. 4 Nr. 7 DS-GVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Gola/Pötters DSGVO Art. 88 Rn. 38; Gola/Gola DSGVO Art. 4 Rn. 56) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist, eine spezifische Schutzpflicht. >>>

Das BAG hält es also ausdrücklich für möglich, dass der BR Verantwortlicher sein könnte. Jedenfalls muss er Schutzvorkehrungen schaffen, sonst muss der Arbeitgeber keine sensitiven Daten herausgeben.

Rn 48: <<< Dabei ist zu berücksichtigen, dass § 22 Abs. 2 BDSG die möglichen Maßnahmen nur beispielhaft („insbesondere“) aufzählt. Deshalb muss es sich bei den vom Betriebsrat zu treffenden und bei einem auf sensitive Daten gerichteten Auskunftsverlangen darzulegenden Schutzvorkehrungen nicht um die ausdrücklich in § 22 Abs. 2 Satz 2 Nr. 1 bis Nr. 10 BDSG genannten Maßnahmen handeln, zumal bei einzelnen dieser Maßnahmen zweifelhaft ist, ob sie der Betriebsrat überhaupt ergreifen könnte. Es ist aber zu gewährleisten, dass er bei einer Verarbeitung sensitiver Daten – hier: des Namens schwangerer Arbeitnehmerinnen – das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 Satz 2 BDSG aufgelisteten Kriterien entsprechen. Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören. Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit […] schließt den streitbefangenen Anspruch aus. >>>

Fazit: Betriebsräte benötigen dringend gute Rechtskenntnisse im Datenschutzrecht und ein überzeugendes und vorbildliches Datenschutzkonzept. Der Arbeitgeber übrigens auch. Mindestvoraussetzung ist m.E. eine kluge Betriebsvereinbarung. Ich wüsste übrigens genau, wie es geht.

Schreibe einen Kommentar