Betriebsrätemodernisierungsgesetz: Arbeitgeber als Datenschutz-Verantwortlicher, aber: Wie steht es mit der Haftung?
In § 79a Satz 2 BetrVG wird ausdrücklich klargestellt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist, soweit die Verarbeitung zur Erfüllung der in der Zuständigkeit des Betriebsrats liegenden Aufgaben erfolgt. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers beschneidet nicht die institutionelle Unabhängigkeit des Betriebsrats. Die Zuordnung der Verantwortlichkeit wird damit begründet, dass der Betriebsrat nach außen keine rechtlich verselbstständigte Institution sei. Allerdings wird schnell klar, dass der Betriebsrat doch eine besondere Stellung genießt. In Satz 1 des § 79a BetrVG wird nämlich eben jenem Betriebsrat die Rolle zugewiesen, selbst auf für die Einhaltung der Datenschutzbestimmungen hinzuwirken. Dies zeigt Konfliktpotential, schließlich ist der Betriebsrat innerorganisatorisch selbständig und weisungsfrei; auf der anderen Seite ist der Arbeitgeber gemäß DSGVO rechenschaftspflichtig.
Wie passt das zusammen? Eigentlich gar nicht, denn die besondere Stellung des Betriebsrates ist mit der Systematik der DSGVO nur schwer in Einklang zu bringen. Denn grundsätzlich ist allein der Verantwortliche – in diesem Fall ja gem. § 79a BetrVG der Unternehmer – verpflichtet, die Regeln des Datenschutzes umzusetzen.
Wer gedacht hätte, Satz 3 des § 79a BetrVG könnte für Klarheit sorgen, wird enttäuscht. Ein Kooperationsgebot wird gegeben. Darin werden Arbeitgeber und Betriebsrat zur gegenseitigen Unterstützung verpflichtet, um die DSGVO-Regeln gemeinsam umzusetzen. Aber Achtung: Stolperfalle! Zum einen ist nicht festgelegt, wie diese Kooperation aussehen soll oder muss und zum anderen ist nicht geregelt, was passiert, wenn eine Seite die Kooperation komplett verweigert. Außerdem muss die konkrete Ausgestaltung der Zusammenarbeit die Unabhängigkeit und Eigenständigkeit des Betriebsrats gewährleisten und zugleich muss der Arbeitgeber in der Lage sein, seinen Pflichten als Verantwortlicher nachzukommen. So ist beispielsweise unter Berücksichtigung der Unabhängigkeit des Betriebsrats im Einzelfall und unter Wahrung der Vertraulichkeits- und Verschwiegenheitspflichten zu entscheiden, ob Auskunfts- und Löschungspflichten vom Arbeitgeber oder vom Betriebsrat erfüllt werden.
Hintergrund: Das Betriebsverfassungsgesetz schützt die Unabhängigkeit des Betriebsrates sowie dessen Stellung im Unternehmen. Ebenso ist die Vertraulichkeit der Beratungen unter besonderen gesetzlichen Schutz gestellt. Alle Informationen, die den Meinungsbildungsprozess des Betriebsrats betreffen, müssen deshalb einer besonderen Geheimhaltung unterliegen, um die Unabhängigkeit des Betriebsrats vom Arbeitgeber zu gewährleisten. Übrigens: Die Verschwiegenheitsverpflichtung der oder des Datenschutzbeauftragten gilt hinsichtlich der vom Betriebsrat verarbeiteten personenbezogenen Daten auch gegenüber dem Arbeitgeber.
Wie steht es mit der Haftungsfrage bei Verstößen gegen die Normen des Datenschutzes? Der Betriebsrat muss innerhalb seiner Zuständigkeit die technischen und organisatorischen Maßnahmen zur Datensicherheit treffen und dauerhaft vorhalten. Durch die Verpflichtung des Betriebsrats, sich an die Datenschutzbestimmungen zu halten, und das Kooperationsgebot wird eine Sonderrolle für den Betriebsrat geschaffen. „Der § 79a sorgt zwar für Klarheit bei der Verantwortung für die Datenverarbeitung durch den Betriebsrat, indem sie dem Arbeitgeber zugewiesen wird, hinterlässt aber einige offene Fragen und sorgt für neue datenschutzrechtliche Baustellen in den Unternehmen“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein. Konkret: Wie zu verfahren ist, wenn das Kooperationsgebot nicht befolgt wird, bleibt ungeregelt. Dennoch weist der Gesetzgeber die Haftung für Datenschutzverstöße im Tätigkeitsbereich des Betriebsrates dem Arbeitgeber in seiner Rolle als Alleinverantwortlicher für die Datenverarbeitung zu, ohne dass der Arbeitgeber Verstöße unterbinden kann (beispielsweise können allgemeingültige Unternehmensregeln nicht kontrolliert werden). Damit sind kommende Probleme schon heute erkennbar. Die UIMC hat sich auf die kommenden Herausforderungen eingestellt und bietet betroffenen Unternehmen Handlungsempfehlungen an.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de