Bis vor kurzem hätte man diese Frage relativ einfach beantworten können. Der Arbeitgeber kann nicht auf die Unterrichtung oder Information der betrieblichen Interessenvertretungen (Betriebsrat = BR / Schwerbehindertenvertretung = SBV) mit Hinweis auf mögliche Verletzungen des Datenschutzrechtes verzichten. Begründet wurde dies beispielsweise damit, dass die besagten Gremien ihrerseits zum Schutz der Daten und zur Verschwiegenheit verpflichtet sind und daher sozusagen sichergestellt ist, dass mit personenbezogenen Daten verantwortungsbewusst umgegangen wird.
Seit einer Entscheidung des Bundesarbeitsgerichts im letzten Jahr ist das allerdings alles nicht mehr ganz so sicher (BAG vom 24.4.2018 – 1 ABR 6/16). In dieser Entscheidung nahm das Bundesarbeitsgericht Stellung zu den Grenzen des Überwachungs- und Auskunftsrechts des Betriebsrats und gab Fallkonstellation zu bedenken, in denen der Arbeitgeber das Auskunftsverlangen des Betriebsrats ablehnen kann. Dieses Urteil kann 1:1 auf Schwerbehindertenvertretungen übertragen werden.
Nun gibt es eine weitere brandneue Entscheidung des Bundesarbeitsgerichts zu diesem Themenkomplex (BAG v. 9. April 2019, 1 ABR 51/17). Streitig war, ob der Betriebsrat die Namen schwangerer Arbeitnehmerinnen erfahren darf. Das Gremium meinte, diese Informationen zu benötigen, um die Einhaltung der Schutzvorschriften für Schwangere durch den Arbeitgeber überwachen zu können.
Datenschutz und Auskunftsanspruch des Betriebsrats / der Schwerbehindertenvertretung
Der Arbeitgeber ist verpflichtet, die betrieblichen Interessenvertretungen rechtzeitig und umfassend zu unterrichten (§ 80 Abs. 2 Satz 1 BetrVG, bzw. § 178 Abs. 2 SGB IX). Nun ist es aber so, dass die betroffenen Kolleginnen und Kollegen im Betrieb möglicherweise nicht wollen, dass der Arbeitgeber ihre (personenbezogenen oder gar besonders sensitiven) Daten wie z.B. Gesundheitsdaten, an BR und/oder SBV herausgibt.
Diese benötigen diese Informationen aber möglicherweise, um ihre (gesetzlichen) Aufgaben erfüllen zu können. Logisch.
Dies besagten Informations- bzw. Unterrichtungspflichten dürfen normalerweise nicht von der vorherigen Einwilligung der betreffenden Kollegen abhängen, sonst würden die Rechte der Betriebsräte und SBVen ausgehöhlt werden, was ersichtlich nicht richtig sein kann.
Das Bundesarbeitsgericht prüft in dem besagten Urteil nun aber tatsächlich, ob der Weitergabe der Information (hier: über die Schwangerschaft) datenschutzrechtliche Gründe entgegenstehen.
Was das BAG als Anforderung gestellt hat
Die Betriebsparteien müssen die Anforderungen des Datenschutzrechts beachten. Sind Gegenstand der Auskunft sensitive Daten (im Sinne von Art. 9 DS-GVO), d.h. zum Beispiel Gesundheitsdaten, wie Angaben zur Schwangerschaft, gelten nach dem BAG besondere Voraussetzungen für eine zulässige Verarbeitung.
Voraussetzung für eine zulässige Verarbeitung, wie die Weitergabe von Daten an den Betriebsrat und/oder Schwerbehindertenvertretung ist, dass die Weitergabe der Daten zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und darüber hinaus kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt (§§ 26 Abs. 3, 22 Abs. 2 BDSG).
Was bedeutet das konkret?
1.) Betriebsrat (und Schwerbehindertenvertretung) dürfen Informationen grundsätzlich nur dann vom Arbeitgeber herausverlangen, wenn diese zur Wahrnehmung der betriebsverfassungsrechtlichen Aufgaben (bzw. der Aufgaben aus dem Schwerbehindertenrecht des SGB IX) erforderlich ist und das Gremium dies auch im konkreten Fall darlegen kann.
2.) Darüber hinaus müssen BR/SBV als Empfänger der übermittelten Daten angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Arbeitnehmerinnen getroffen haben. Das Vorhalten solcher Maßnahmen ist nach dem neuen Urteil von dem jeweiligen Gremium darzulegen.
Das Bundesarbeitsgericht hat dabei (mal wieder) offen gelassen, ob der Betriebsrat als Teil des Arbeitgebers als verantwortliche Stelle oder selbst als eigener nach dem Datenschutzrecht Verantwortlicher einzuordnen ist. Fakt ist jedenfalls, dass der Betriebsrat (und demnach auch die SBV) selbst für einen ausreichenden Schutz der Mitarbeiterdaten sorgen muss.
Zu diesen Maßnahmen gehören insbesondere technisch und organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen (z.B. Passwortschutz, Raum verschließen nach dessen Verlassen, keine Akten offen rum liegen lassen, Serverraum abschließen, Zugang limitieren/kontrollieren, etc.). Dazu gehört auch die Beschränkung von Zugriffsmöglichkeiten (z.B. nur für einzelne Betriebsratsmitglieder) sowie ein hinreichendes Löschkonzept. Fehlt es an solchen Schutzmaßnahmen oder sind diese unzureichend, darf der Arbeitgeber nach diesem Urteil die Herausgabe der (personenbezogenen) Daten verweigern.
Zusammenfassung:
Nach der neuesten Entwicklung in der Rechtsprechung könnte es Fälle geben, wo sich der Arbeitgeber berechtigterweise weigern könnte, dem BR / der SBV im Rahmen einer Unterrichtungspflicht, bzw. Anhörungspflicht sensitive Daten, also insbesondere Gesundheitsdaten, zur Verfügung zu stellen und zwar dann, wenn Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt (§§ 26 Abs. 3, 22 Abs. 2 BDSG).
Das wäre der Fall, wenn der BR / die SBV keine angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Arbeitnehmer getroffen hat, sprich entsprechende Schutzvorkehrungen im datenschutzrechtlichen Sinne (Schutz vor unbefugten Zugriffen, Beschränkung von Zugriffsmöglichkeiten, Daten-Löschkonzept, etc.). Deshalb appelliere ich ja schon immer so vehement für ein besonders hohes Datenschutzniveau im Betriebsrats- und SBV-Büro!!
Nun holt das neue Datenschutzrecht also auch die Betriebsräte und Schwerbehindertenvertretungen ein. Ich habe es kommen sehen.
Wollt ihr wissen, wie Datenschutz im Betriebsratsbüro / SBV-Büro richtig geht? Sprecht mich gerne an, ich habe ein oft gelobtes Seminarkonzept dafür erstellt und schon viele erfolgreiche Datenschutzseminare gegeben.