Mit Datum 17. Juni 2021 wurde das neue Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) im Gesetzblatt verkündet. Es gilt seit dem 18.06.2021.
https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl121s1762.pdf%27]#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1762.pdf%27%5D__1624259636403
Hierin wurden einige gerade auch für den Datenschutz bedeutsame Änderungen beschlossen, die insbesondere das Betriebsverfassungsgesetz betreffen und damit für Unternehmen und Ihre Betriebsräte von erheblicher Bedeutung sind.
Direkt oder indirekt auch für den Datenschutz und die Informationssicherheit von Bedeutung sind Änderungen hinsichtlich der Stärkung von Rechten des Betriebsrates beim Einsatz von künstlicher Intelligenz, der Mitbestimmung bei der inhaltlichen Ausgestaltung von mobiler Arbeit, der Unterzeichnung von Betriebsvereinbarungen in elektronischer Form per elektronische Signatur und der Möglichkeit unter bestimmten Voraussetzungen zukünftig auch dauerhaft Betriebsratssitzungen per Videokonferenz durchzuführen.
Eingefügt wurde ein neuer § 79 a BetrVG, auf den wir hier im Wesentlichen eingehen wollen.
Hierin heißt es unter der Überschrift Datenschutz:
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.
Das Thema Datenschutz im Betrieb wird zwischen den Betriebsparteien dadurch weiter aufgewertet und ist nun mit einer eigenen Norm zentraler Bestandteil des BetrVG.
Welche Fragen werden hier konkret angesprochen, bzw. welche Konsequenzen ergeben sich aus den Änderungen?
1. Wer ist verantwortlich für die Umsetzung des Datenschutzes im Unternehmen und damit Adressat von Rechten und Pflichten?
Die Regelung im neuen § 79 a BetrVG ist hochaktuell und bedeutsam, entscheidet Sie doch einen Streit darüber, ob der Betriebsrat als eigene verantwortliche Stelle verpflichtet ist den Datenschutz umzusetzen. Wäre dies der Fall, müsste er sämtliche Regelungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) für seine Tätigkeit umsetzen und dokumentieren. Er müsste z. B. ein eigenes Verarbeitungsverzeichnis führen, Auskunftsansprüche und weitere Betroffenenrechte persönlich erfüllen, Meldungen bei Datenschutzverletzungen gegenüber der Behörde abgegeben, er wäre Adressat von gegen ihn gerichteten Ansprüchen, z. B. auf Schadenersatz seitens betroffener Personen.
Die neue Regelung besagt nunmehr eindeutig, dass verantwortlich im Sinne der datenschutzrechtlichen Vorschriften allein der Arbeitgeber, also das Unternehmen ist, was auch die Datenverarbeitungen des Betriebsrates einschließt.
Diese Klarstellung des Gesetzgebers ist auf jeden Fall begrüßenswert, weil dadurch eine Klärung der sowohl für den Betriebsrat als auch für den Arbeitgeber praktisch relevanten Frage der Datenschutzorganisation herbeigeführt wurde.
Die Entscheidung des Gesetzgebers gegen eine eigene Verantwortlichkeit des Betriebsrates ist nachvollziehbar, da der Betriebsrat, auch wenn er in seinem Bereich über eigene Rechte und eine gewisse Selbstständigkeit verfügt, Teil des Gesamtunternehmens und damit eine unternehmensinterne Stelle ist. Nach Außen hin trägt dann auch das Unternehmen bzw. die Unternehmensleitung die Gesamtverantwortung.
2. Was gilt für den Betriebsrat beim Datenschutz?
Auch der Betriebsrat muss, wenn auch nicht als Verantwortlicher, selbstverständlich den Datenschutz einhalten. Der neue § 79 a BetrVG weist auch ausdrücklich darauf hin, in dem es heißt:
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.
Insbesondere darf der BR nur dann personenbezogene Daten verarbeiten, sofern das zur Erfüllung seiner Aufgaben, insbesondere nach dem Betriebsverfassungsgesetz, erforderlich ist. Er muss personenbezogene Daten durch technische und organisatorische Maßnahmen vor unbefugten Zugriff schützen. Er muss sich über grundsätzliche Dinge zur Umsetzung des Datenschutzes, angefangen von der rechtmäßigen Erhebung bis zur Löschung der Daten, in seinem Bereich Gedanken machen.
Auch für seine praktische Tätigkeit ist das wichtig, wie ein Beispiel aus der Rechtsprechung zeigt. So können Auskünfte über sensible Informationen, die dem BR nach dem Gesetz zustehen, durch den Arbeitgeber verweigert werden, sofern es beim Betriebsrat an angemessenen Maßnahmen zum Schutz dieser Daten fehlt (BAG, Beschluss v. 09.04.2020, 1 ABR 51/17).
Unabhängig davon erwarten natürlich auch die Kolleginnen und Kollegen vom Betriebsrat, dass dieser vertrauliche Informationen angemessen schützt und gesetzeskonform verarbeitet.
Darüber hinaus gibt es weitere Tätigkeiten auf die sich Arbeitgeber und Betriebsräte im Datenschutz einzustellen haben, dazu siehe nachfolgend.
3. Wie setzt man den Datenschutz im Betrieb und beim Betriebsrat um?
Hierzu heißt es im neuen § 79 a BetrVG:
Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.
Es wird ausdrücklich klargestellt, dass sich Arbeitgeber und Betriebsrat hier gegenseitig unterstützen. Doch wie kann eine gegenseitige Unterstützung in der Praxis aussehen? Hierzu sagt das Gesetz konkret leider nichts. Allerdings lassen sich aus den allgemeinen gesetzlichen Vorschriften sowie aus der Gesetzesbegründung doch einige Dinge herausstellen.
Hierzu gehört sicherlich der Abschluss von Betriebsvereinbarungen durch die Betriebsparteien, in denen die automatisierte Verarbeitung von personenbezogenen Daten von Beschäftigten durch Informations- und Kommunikationstechnik (IuK) im Unternehmen ausdrücklich unter Beachtung des Datenschutzes geregelt werden.
Punkte, die in der Gesetzesbegründung ausführlich genannt werden, sind:
- Unterstützung des Betriebsrates bei der Erstellung eines Verarbeitungsverzeichnisses. Der Betriebsrat ist nicht verpflichtet ein Verarbeitungsverzeichnis zu führen, wohl aber der Arbeitgeber als Verantwortlicher, hierzu zählt dann aber auch die Verarbeitungstätigkeit des Betriebsrates.
- Unterstützung des Betriebsrates im Rahmen der Auskunftserteilung sowie der Umsetzung weiterer Betroffenenrechte. Auskunftspflichtig ist der Arbeitgeber, sofern sich die Auskunft auch auf Daten des Betriebsrates bezieht, ist er auf dessen Unterstützung angewiesen, damit das verantwortliche Unternehmen binnen Monatsfrist antworten kann.
- Unterstützung des Arbeitgebers bei der Anschaffung von angemessenen Betriebsmitteln zum Schutz von personenbezogenen Daten im Betriebsratsbüro
Es gibt noch viele weitere Punkte, z. B.
- Datenschutzverletzungen, die beim Betriebsrat passieren, müssen innerhalb einer sehr kurzen Frist an den Arbeitgeber gemeldet werden, damit dieser binnen 72 Stunden seiner Meldepflicht an die Behörde nachkommen kann.
Man sieht hier gibt es eine Menge Schnittstellen, die zwischen Arbeitgeber (Unternehmen) und Betriebsrat zu beachten sind und in praktischer Art und Weise gehandhabt werden müssen.
Es dürfte sich empfehlen Betriebsvereinbarungen oder zumindest Regelungen zu treffen welche die bestehenden Verpflichtungen, die sich aus der DSGVO und dem BetrVG ergeben, sowie konkrete Maßnahmen zur Umsetzung der gegenseitigen Unterstützungspflichten enthalten sollten. Bestenfalls enthalten diese auch etwas zur Kontrolle bzw. Unterstützung durch den betrieblichen Datenschutzbeauftragten. Dazu nachfolgend mehr.
4. Was kann/soll der Datenschutzbeauftragte tun?
a. Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat?
Nicht ausdrücklich im neuen § 79 a BetrVG geregelt ist, die nach wie vor kontrovers diskutierte Frage, ob der Datenschutzbeauftragte zur Kontrolle des Betriebsrates berechtigt und verpflichtet ist. Das Gesetz enthält keine konkreten Hinweise, die das Verhältnis zwischen Betriebsrat, Arbeitgeber und Datenschutzbeauftragten unter Berücksichtigung der Unabhängigkeit des BR ausdrücklich beschreiben. Wohl hat sich der Gesetzgeber hierzu aber einige Gedanken gemacht.
Angesichts der Gesamtverantwortlichkeit des Unternehmens für den Datenschutz einschließlich verschärfter Sanktions- und Haftungsregelungen der neuen DSGVO besteht natürlich ein erhebliches Interesse des Arbeitgebers daran, dass der Betriebsrat den Datenschutz bei sich bestmöglich umsetzt und das auch durch den DSB kontrolliert wird.
Außerdem ist der Betriebsrat lediglich Teil der verantwortlichen Stelle ist und der Datenschutzbeauftragte hat den Datenschutz im gesamten Unternehmen nach Art 39 Abs. 1 b) DSGVO ohne Ausnahme zu überwachen hat. Auch der Gesetzgeber scheint davon auszugehen, wenn es in der Gesetzesbegründung zu § 79 a BetrVG heißt:
„Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der Datenschutz-Grundverordnung (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle“.
Andererseits ist die nach dem Betriebsverfassungsgesetz und die darauf basierende Rechtsprechung des Bundesarbeitsgerichts (BAG, Beschl. v. 11.11.1997 – 1 ABR 21/9) zu bedenken. Diese lehnte eine Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat aufgrund der nach dem Betriebsverfassungsgesetz garantierten Unabhängigkeit des Betriebsrats und der nach Auffassung des BAG nicht neutralen Position des Datenschutzbeauftragten seinerzeit ab und mahnte eine gesetzliche Regelung zu der Thematik an.
- 79 a BetrVG beinhaltet nunmehr ausdrücklich auch Verschwiegenheitspflichten des Datenschutzbeauftragten gegenüber dem Arbeitgeber, deren fehlen ein Kritikpunkt in der seinerzeitigen BAG Entscheidung war.
So heißt es:
Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.
Der Datenschutzbeauftragte kann, auch wenn er organisatorisch dem Unternehmen und der Leitung gegenüber verantwortlich ist („Stabsstelle“), auch im Bereich des Betriebsrates vertraulich tätig sein.
Vertraulich zu behandeln sind neben konkreten Anfragen von Betriebsratsmitgliedern zu datenschutzrechtlichen Angelegenheiten nunmehr auch Informationen in Bezug auf die Meinungsbildung im Gremium zu datenschutzrechtlichen Fragen. Hier könnte es sich z. B. um Beschlüsse handeln aber auch um sonstige Meinungsäußerungen, die erkennbar für den Datenschutzbeauftragten vertraulichen Charakter haben.
Was letztlich genau unter dem Punkt „Meinungsbildungsprozess des Betriebsrates“ fällt führt das Gesetz nicht im Einzelnen auf. Gleichwohl dürfte dies aber eine Grundlage für die vertrauensvolle Zusammenarbeit mit dem Datenschutzbeauftragten darstellen.
Ob zukünftig eine gesetzliche Kontrollpflicht- bzw. Berechtigung des Datenschutzbeauftragten gegenüber dem Betriebsrat anzunehmen ist und sich die Rechtsprechung des BAG demnächst ändert bleibt abzuwarten. Zumindest der Gesetzgeber scheint hiervon aber auszugehen, leider beschreibt er das Verhältnis des Datenschutzbeauftragten zum Betriebsrat aber im Gesetz selber nicht eindeutig.
b. Unterstützung des Betriebsrates durch den Datenschutzbeauftragten
Unabhängig von juristischen Spitzfindigkeiten sollte man die Angelegenheit im Interesse beider Betriebsparteien allerdings pragmatisch angehen, denn die Unterstützung des Betriebsrates durch den betrieblichen Datenschutzbeauftragten ist auf jeden Fall sinnvoll und geboten.
Zur Umsetzung des Datenschutzes wird der Betriebsrat aufgrund eigener Expertise auch unter Berücksichtigung von Schulungen nur bedingt in der Lage sein. Der Datenschutzbeauftragte hat außerdem den Überblick über die Umsetzung des Datenschutzes für das gesamte Unternehmen und kann dafür sorgen, dass man hier entsprechend abgestimmt und einheitlich agiert.
Der Gesetzgeber weist in seiner Gesetzesbegründung zum neuen § 79 a BetrVG ausdrücklich darauf hin, dass der BR sich der Unterstützung des betrieblichen Datenschutzbeauftragten bedienen kann und falls erforderlich sogar soll. Arbeitgeber, Betriebsräte und Datenschutzbeauftragte sollten daher die Unterstützung und Beratung des Betriebsrates bei der Umsetzung der DSGVO als festen Bestandteil des betrieblichen Datenschutzmanagements betrachten und regelmäßig zusammen kommen bzw. Termine vereinbaren.
Die Prüfung und Etablierung von angemessenen technischen und organisatorischen Maßnahmen, das Erstellen eines Verarbeitungsverzeichnisses, die weiteren Unterstützungspflichten des Betriebsrates bei den Betroffenenrechte werden ohne Mithilfe des betrieblichen Datenschutzbeauftragten nur schwer umsetzen sein. Soweit der Betriebsrat ggf. Ängste hat, dass Internas bei der Meinungsbildung zu datenschutzrechtlichen Themen an den Arbeitgeber herangetragen werden könnten, bestehen Vertraulichkeitspflichten.
5. Ausblick
Das Thema Datenschutz wird auch weiterhin im Fokus stehen und gerade das Verhältnis Arbeitgeber zum Betriebsrat wird verstärkt in den Blickpunkt genommen werden. Dazu wird auch der neue § 79 a BetrVG beitragen. Dabei liegt die Beachtung des Datenschutzes sowohl im Interesse des Arbeitgebers als Verantwortlicher als auch im Interesse des Betriebsrates als Teil des Verantwortlichen. Die Betriebsparteien werden daher auch auf diesem Gebiet, wie es im Betriebsverfassungsgesetz an anderer Stelle heißt vertrauensvoll zusammen arbeiten müssen und sich gegenseitig unterstützen.
Dabei spielt auch der Datenschutzbeauftragte eine zentrale Rolle. Andernfalls werden Arbeitgeber und Betriebsrat die jeweils bestehenden Verpflichtungen, die sich aus der DSGVO und dem BDSG sowie aus dem BetrVG ergeben nicht zufriedenstellend umsetzen können.
Hier gibt es noch viel zu tun. Ihr Datenschutzbeauftragter unterstützt Sie auf diesem komplexen Aufgabenfeld.
Jörg Conrad
Datenschutzbeauftragter/Fachanwalt für Arbeitsrecht
GINDAT GmbH