Ich komme viel rum, halte Vorträge und Seminare, besuche Kongresse und Fachtagungen und habe daher einen ganz guten Überblick darüber, was aktuell diskutiert wird. Mir ist aufgefallen, dass ich immer wieder darauf angesprochen werde, ob ein Betriebsrat (“BR”) oder eine Schwerbehindertenvertretung (“SBV”) persönlich für etwaige Datenschutzverstöße in Anspruch genommen werden kann.
Die Verunsicherung ist hier offenbar groß. Man hört auch immer wieder, dass es hier verschiedene Aussagen gäbe, was die Verunsicherung logischerweise nicht gerade verkleinert.
Wie sehe ich die Sache nun aber?
SBV / BR als „Verantwortlicher“ im Sinne des Datenschutzrechts?
Entscheidend dürfte zunächst einmal sein, wer „Verantwortlicher“ im Sinne des Datenschutzrechts ist. Gemeint ist damit diejenige (natürliche oder juristische) Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. So steht es wörtlich in Art. 4 Ziffer 7 der DS-GVO.
Man könnte sich also fragen, ob BR und/oder SBV eine solche „andere Stelle“ ist. Dann wäre das Gremium nämlich „Verantwortlicher“.
Rechtsfolge: Der Verantwortliche iSd DS-GVO muss die datenschutzrechtlichen Vorgaben einhalten und wäre Adressat eines Bußgeldbescheids, wenn das misslingt. Einfach gesagt.
Viele sagen, dass das übergeordnete Unternehmen Verantwortlicher wäre. Begründet wird dies damit, dass:
- die Zwecke der Verarbeitung von personenbezogenen Daten im Grunde genommen vorgegeben sind,
- der Arbeitgeber die IT-Systeme zur Verfügung stellt ( z. B. Telefonanschluss, Internetzugang, die auf den PCs aufgespielte Software) und
- BR bzw. SBV auf die betriebsübliche Ausstattung und bei Fragen der IT-Sicherheit auf die betriebliche Infrastruktur/Administration angewiesen sind.
Diese Argumente sprächen dafür, dass BR und SBV nicht „Verantwortlicher“ im Sinne des Datenschutzrechts wären.
Meine Meinung:
Es gibt zu dieser Frage noch keine höchstrichterliche Rechtsprechung, bzw. abschließende Positionierung der Datenschutzbehörden (also der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, DSK).
Meiner Meinung nach ist entscheidend, dass der Betriebsrat / die SBV in aller Regel selbst darüber entscheidet, wie mit den personenbezogenen Daten umgegangen wird. Der Arbeitgeber ist da normalerweise komplett außen vor. Anders formuliert: BR und SBV arbeiten eigenständig und müssen sich vom Arbeitgeber keine “Verfahrensvorschriften” machen lassen. Der Arbeitgeber darf bildlich gesprochen bis zur Tür des Gremiums, aber nicht weiter.
Beispiel: BR oder SBV werden vom Arbeitgeber über irgendeinen Sachverhalt unterrichtet, wobei personenbezogene Daten mitgeteilt werden. So etwas dürfte ständig vorkommen. Kollege X macht Überstunden, Kollegin Y soll versetzt werden, etc.
In der Praxis ist es jetzt doch so, dass BR/SBV (selbst) entscheiden, wie diese Information verwaltet/dokumentiert/gespeichert wird. Ob eine handschriftliche Liste oder eine Excel-Tabelle erstellt wird, wo die abgelegt/wird, wer darauf zugreifen kann, etc.
Betriebsrat und SBV entscheiden doch wohl in aller Regel selber über die konkreten Mittel der Verarbeitung der erhaltenen personenbezogenen Daten. Wenn das so ist, wäre es nur konsequent, BR, bzw. SBV als “Verantwortliche” zu betrachten. Anders formuliert: Wie soll jemand Verantwortlicher sein, der kein entsprechendes Weisungsrecht hat?
Wenn der Arbeitgeber an dieser Stelle nichts zu melden hat und BR/SBV datenschutzmäßig tun, was sie für richtig halten, spricht dies dagegen, den Arbeitgeber als “Verantwortlichen” für den Datenschutz im BR-/SBV-Büro zu betrachten. Wer gar keine Befugnisse hat und keine Anweisungen erteilen darf (“z.B. Verwenden Sie Zugangssperren, erstellen Sie ein Löschkonzept, Erstellen Sie ein Verarbeitungsverzeichnis, lassen Sie nichts offen rum liegen, regeln Sie Zutrittsrechte, etc.”) kann nicht “Verantwortlicher” sein. Ist doch logisch, oder?
So sieht es übrigens auch der oberste Datenschützer Baden-Württembergs.
Dieser weist auch darauf hin, dass selbst die weitere Voraussetzung “Wer entscheidet über die Zwecke der Verarbeitung personenbezogener Daten?” für die Verantwortlichkeit des BR, bzw. der SBV sprechen.
Einige Stimmen meinen, dass diese Zwecke schlicht durch das Gesetz vorgegeben werden (also das BetrVG, bzw. das SGB IX). So nach dem Motto: “Wir müssen diese und jenen personenbezogene Daten verarbeiten, weil uns das vom Gesetz so vorgegeben wird. Deshalb entscheiden wir nicht selber über den Zweck und sind deshalb auch nicht “Verantwortlicher”.
Das ist aber m.E. zu kurz gesprungen.
Kontrollüberlegung: Der Arbeitgeber erfasst die Anzahl der bei ihm beschäftigten schwerbehinderten und gleichgestellten Mitarbeiter. Muss er sich jetzt nicht an das Datenschutzrecht halten, weil er ja den Zweck der Erfassung dieser Mitarbeiter nicht selber festlegt (weil er diese Infos nach § 163 Abs. 1 SGB IX erheben muss?).
Antwort: Nur weil der Arbeitgeber eine gesetzliche Pflicht erfüllt, ändert das selbstverständlich nichts an seiner Verantwortlichkeit im Sinne des Datenschutzes. Logisch, oder? Spricht also nicht gerade dagegen, Betriebsräte und SBVen als “Verantwortliche” zu betrachten.
Aber dann müssen größere Gremien am Ende einen eigenen Datenschutzbeauftragten ernennen?!? Das wäre eine der Konseqenzen, wenn sie (selber) Adressat des Datenschutzrechts wären.
Antwort: Das ist so (sofern mehr als 20 Betriebsräte regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben. Und Auskunftsansprüche und Löschverpflichtungen müssten die Gremien dann auch (selber) erfüllen.
Und wären sogar möglicherweise Adressat eines Bußgeldbescheids.
Zusammenfassung: Mir ist klar, dass die Rechtslage umstritten und nicht abschließend geklärt ist. Mir ist auch klar, dass meine Meinung nicht sehr willkommen ist. Ich sehe aber die Kraft der Argumente, die – momentan – dafür sprechen, bei einem BR / einer SBV von einem “Verantwortlichen” im Sinne des Datenschutzrechts auszugehen. Es kann im Übrigen nicht schaden, sich “vorsorglich” auf diesen Standpunkt zu stellen, weil man dann keine unliebsamen Überraschungen erleben kann. Abgesehen davon ist es ja auch keine Katastrophe, sich auch als Betriebsrat, bzw. Schwerbehindertenvertretung an geltendes Datenschutzrecht zu halten. Kostet halt etwas Zeit und Mühe. Die Kosten muss jedenfalls der Arbeitgeber tragen, das ist vollkommen unstreitig.
Btw: Wollt ihr wissen, wie Datenschutz im Betriebsratsbüro / SBV-Büro richtig geht? Sprecht mich gerne an, ich habe ein oft gelobtes Seminarkonzept dafür erstellt und schon viele erfolgreiche Datenschutzseminare speziell für dieses Thema gegeben.