Ist der Betriebsrat Verantwortlicher nach der DSGVO?

Lesezeit: ca. 4 Minuten

Mit der Geltung der DSGVO stellt sich die Frage, welche Rolle Betriebsräte im Zusammenhang mit der Datenschutzorganisation haben. Beispielsweise ist zu klären, ob ein Betriebsrat ein Verzeichnis der Verarbeitungstätigkeit selbst führen muss oder dies der Arbeitgeber zu übernehmen hat. Auch ist in der Praxis die Frage zu beantworten, ob der Datenschutzbeauftragte des Arbeitgebers Verantwortung hinsichtlich der Betriebsratstätigkeit hat.

Das Bundesarbeitsgericht (BAG) hat in der Vergangenheit zum alten Datenschutzrecht festgestellt, dass der Betriebsrat Teil der verantwortlichen Stelle ist (BAG, Urteil vom 12.08.2009, Az. 7 ABR 15/08). Er muss in eigener Verantwortung für die Beachtung des Datenschutzes sorgen. Der Arbeitgeber muss sich nicht darum kümmern und kann dem Betriebsrat insoweit auch keine Vorschriften machen.

Neue Rechtslage für Betriebsräte?

Unter der Geltung der DSGVO ist die Frage zu beantworten, ob die alte Rechtsprechung des BAG so einfach übernommen werden kann. Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO eine natürliche oder juristische Person, Einrichtung oder andere Stelle. Unzweifelhaft ist, dass der Betriebsrat keine juristische Person ist. Er besitzt keine Rechts- oder Vermögensfähigkeit. Er könnte aber eine „Einrichtung“ oder „andere Stelle“ im Sinne des Art. 4 Nr. 7 DSGVO sein. Hier herrscht derzeit Unklarheit, was genau unter diese beiden Begriffe zu fassen ist. Beispielsweise wird im Rahmen der staatlichen Organisation auf selbstständige Organisationseinheiten abgestellt. Auch wenn beispielsweise Ministerien dem jeweiligen Land oder dem Bund zuzuordnen sind, werden diese als eigene „Einrichtung“ datenschutzrechtlich betrachtet.

Daneben ist zu bedenken, dass der Betriebsrat nach § 80 BetrVG allgemeine Aufgaben zu erfüllen hat. Beispielsweise muss der Betriebsrat auch dafür Sorge tragen, dass die für Arbeitnehmer geltenden gesetzlichen Regelungen eingehalten werden. Wirklich frei kann der Betriebsrat allerdings nicht über den Zweck und die Mittel seiner Datenverarbeitung entscheiden.

Selbst wenn davon auszugehen ist, dass der Betriebsrat kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, wäre der Betriebsrat nach der alten Rechtsprechung des BAG für den Datenschutz verantwortlich. Letztendlich kann nicht vertreten werden, dass der Betriebsrat datenschutzrechtlich unbelastet und unbehelligt ist, sondern es wird erwartet, dass auch die Betriebsratstätigkeit das Datenschutzrecht und die DSGVO beachtet.

Verzeichnis der Verarbeitungstätigkeiten für den Betriebsrat?

Wenn der Betriebsrat kein Verantwortlicher ist, muss er selbst kein eigenes Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO führen. Viele Tätigkeiten des Betriebsrates, beispielsweise seine Beteiligung im Bewerbungsprozess, werden in den Verzeichnissen der Verarbeitungstätigkeiten des Arbeitgebers bereits beschrieben sein. Wenn der Betriebsrat allerdings eigenständige Datenverarbeitungen vornimmt, müsste dies in einem eigenen Verzeichnis des Betriebsrates dokumentiert werden. Insoweit ist hier auf den Einzelfall abzustellen, ob der Betriebsrat ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen muss.

Meldung von Datenpannen beim Betriebsrat

Die Pflicht zur Meldung von Datenpannen gemäß Art. 33 DSGVO trifft auch den Betriebsrat. Hier sollte zwischen Arbeitgeber und dem Betriebsrat geklärt werden, wie bei einer Nutzung der IT des Arbeitgebers durch den Betriebsrat die entsprechenden Pflichten umgesetzt werden. Hier empfiehlt sich eine entsprechende Betriebsvereinbarung.

Wenn der Betriebsrat eine eigenständige vom Arbeitgeber losgelöste IT betreibt, übernimmt er die Verantwortung für die Einhaltung des Art. 32 DSGVO und damit für einen sicheren IT-Betrieb.

Betroffenenrechte beim Betriebsrat

Wenn gegenüber dem Arbeitgeber ein Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht wird, trifft dies auch den Betriebsrat. Um hier Unsicherheiten zwischen dem Arbeitgeber und dem Betriebsrat zu vermeiden, sollte in einer Betriebsvereinbarung geklärt werden, welche gesonderten Verarbeitungsvorgänge der Betriebsrat vornimmt. Der Arbeitgeber kann dann alle Beschäftigten darauf hinweisen, dass ein Auskunftsanspruch direkt gegen den Betriebsrat geltend zu machen ist. Aufgrund der Geheimhaltungspflicht des Betriebsrates ist es nicht angezeigt, dass das Unternehmen als „Vermittler“ der Auskunftsansprüche gegenüber dem Betriebsrat agiert und dem Beschäftigten die entsprechenden Informationen weiterleitet.

Informationspflichten nach Art. 13 DSGVO durch den Betriebsrat?

Die Informationspflichten nach Art. 13 DSGVO oder wie einige Autoren sagen, die Transparenzpflichten, sind vom Betriebsrat in Eigenregie zu erfüllen. Dies betrifft insbesondere die eigenen Verarbeitungsprozesse. Auch hier empfiehlt sich eine Vereinbarung zwischen dem Arbeitgeber und dem Betriebsrat, um die Einzelheiten festzulegen. Letztendlich ist der Arbeitgeber gegenüber dem Mitarbeiter verantwortlich, solange der Betriebsrat nicht Verantwortlicher im Sinne des Art. 407 DSGVO ist.

Auftragsverarbeitungen durch den Betriebsrat

In den meisten Fällen wird der Betriebsrat die Infrastruktur des Arbeitgebers nutzen. Sofern allerdings ein eigener Dienstleister durch den Betriebsrat beauftragt wird, muss der Betriebsrat selbst für eine entsprechende Vereinbarung zur Auftragsverarbeitung sorgen. Ohne eine solche Grundlage kann es schnell zu einer illegalen Datenverarbeitung kommen.

Entsprechende Schadenersatzansprüche und Ordnungswidrigkeiten werden allerdings an den Arbeitgeber adressiert. Da der Betriebsrat vermutlich nicht Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, kann er auch nicht Adressat von Bußgeldern und Schadenersatzansprüchen sein. Dies auch vor dem Hintergrund, dass der Betriebsrat nicht rechts- oder vermögensfähig ist.

Wir empfehlen Arbeitgebern und Betriebsräten, die Einzelheiten und Verantwortlichkeiten unter der Elite der DSGVO im Rahmen einer Betriebsvereinbarung zu klären. Nur so können rechtliche Fehler und Datenschutzpannen vermieden werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen