Blog

Der neue § 79a BetrVG – Unterstützungspflichten des Betriebsrats bei der Einhaltung von datenschutzrechtlichen Vorschriften

April 2022

Lesedauer: Min

Umfang und Inhalt der aufgabenbezogenen Datenverarbeitung durch den Betriebsrat

Die seit langem offene Frage nach der datenschutzrechtlichen Verantwortlichkeit der Betriebsparteien beantwortet der Gesetzgeber kurz und knapp nun in § 79a S. 2 BetrVG: Arbeitgeber sind alleinverantwortlich für die aufgabenbezogene Datenverarbeitung durch den Betriebsrat. Klarheit wird durch diese Antwort jedoch nicht geschaffen.

Daher stellt sich – auch mit Blick auf die vermehrte Geltendmachung von datenschutzrechtlichen Auskunftsansprüchen in Trennungsprozessen – bei der Erfüllung von Betroffenenrechten die Frage nach dem Umfang und Inhalt der Unterstützungspflichten des Betriebsrats.

Klar ist, dass der Betriebsrat über eine Vielzahl von personenbezogenen Daten verfügt. Die oft besonders sensiblen Daten, wie etwa Daten zur krankheitsbedingten Arbeitsunfähigkeit, Schwerbehinderung oder Schwangerschaft, erlangt der Betriebsrat in Ausübung seiner Beteiligungsrechte. Es liegt auf der Hand, dass der Betriebsrat bei der aufgabenbezogenen Datenverarbeitung datenschutzrechtliche Bestimmungen zu berücksichtigen hat. Diese Pflicht ist nunmehr auch in § 79a BetrVG verankert; dort heißt es:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.

Ob den Betriebsrat darüber hinaus auch eine eigene datenschutzrechtliche Verantwortlichkeit trifft, war vor und ist auch nach Inkrafttreten des § 79a BetrVG hoch umstritten. Der Gesetzgeber stellt nun in § 79a S. 2 BetrVG wie folgt klar:

Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.

Wofür ist die Rolle des Verantwortlichen wichtig?
Der Begriff des für die Verarbeitung personenbezogener Daten Verantwortlichen dient dazu, einen Adressaten für datenschutzrechtliche Organisationspflichten und Sanktionen von Aufsichtsbehörden zu bestimmten.

  • die Bestellung eines/einer Datenschutzbeauftragten 
(Art. 37 Abs. 1 DS-GVO, § 38 Abs. 1 BDSG)

  • die Gewährleistung technischer und organisatorischer Sicherheitsmaßnahmen (Art. 24, 32 DSGVO)

  • das Führen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO)

  • die Erstellung einer Datenschutz-Folgeabschätzung 
(Art. 35 DSGVO)

  • Meldepflichten bei Datenpannen (Art. 33 f. DSGVO)

  • die Erfüllung und Wahrung von Betroffenenrechten aus Art. 15 bis 21 DSGVO


Wozu führt die Alleinverantwortlichkeit des Arbeitgebers?
Infolge der Festlegung in § 79a S. 2 BetrVG ist der Arbeitgeber auch für die aufgabenbezogene Datenverarbeitung des Betriebsrats als Verantwortlicher Adressat von Betroffenenrechten, Organisationspflichten und Sanktionen und somit Alleinverantwortlicher. Gleichzeitig können Arbeitgeber aufgrund der im Betriebsverfassungsrecht verankerten „institutionellen Unabhängigkeit“ des Betriebsrats nicht gewährleisten, dass der Betriebsrat bei der aufgabenbezogenen Datenverarbeitung datenschutzkonform handelt. Weder steht ihnen hier ein Kontrollrecht zu, noch können Arbeitgeber dem Betriebsrat im Rahmen der Ausübung der Beteiligungsrechte Vorgaben bei der Verarbeitung personenbezogener Daten machen. Zugleich haften sie jedoch für alle nicht kontrollierbaren Datenverstöße des Betriebsrats.

Können Unterstützungspflichten des Betriebsrats eine Lösung sein?
Dieses evidente Ungleichgewicht zwischen Haftung und mangelnder Kontroll- und Entscheidungsgewalt versucht der Gesetzgeber mit sehr vage formulierten Unterstützungspflichten des Betriebsrats aufzufangen:

Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Inhalt und Umfang dieser Unterstützungspflichten sind allerdings im Gesetz nicht näher bestimmt. Dies bedeutet, dass die Praxis die Norm mit Leben zu füllen hat. Bereits jetzt ist jedoch festzuhalten, dass die gesetzlich normierte Unterstützungspflicht weitgehender ist als die Pflicht zur vertrauensvollen Zusammenarbeit zwischen den Betriebsparteien. Der Betriebsrat hat den Arbeitgeber in die Lage zu versetzen, den datenschutzrechtlichen Pflichten nachkommen zu können.

Besonders praxisrelevant sind die Unterstützungspflichten bei der Erfüllung von datenschutzrechtlichen Betroffenenrechten wie bspw. der Auskunftsansprüche aus Art. 15 DS-GVO. Hier sind Arbeitgeber maßgeblich auf die Auskunft des Betriebsrats über die im Betriebsratsbüro verarbeiteten personenbezogenen Daten angewiesen.

Macht der Betriebsrat schlicht nicht mit und verweigert seine Unterstützung, wird der Arbeitgeber datenschutzrechtliche Pflichten nicht in Gänze erfüllen können. Der Einwand, dass der Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten nicht ordnungsgemäß oder hinreichend unterstützt hat, wird die Arbeitgeber nicht von der Haftung befreien. Dies zeigt, wie unausgereift der Versuch des Gesetzgebers ist, durch Unterstützungspflichten des Betriebsrats das geschaffene Ungleichgewicht zwischen Haftung und mangelnder Entscheidungsgewalt aufzufangen.

Hinweise für die Praxis:
Derzeit unklar ist, ob die Regelung des § 79a S. 2 BetrVG mit Europarecht vereinbar ist und damit auch wirksam zur Anwendung kommen kann. Kommt man zu dem durchaus vertretbaren Ergebnis, dass die Alleinverantwortlichkeit der Arbeitgeber für die aufgabenbezogene Datenverarbeitung des Betriebsrats unionsrechtswidrig ist, wird erneut und spätestens durch den EuGH zu klären sein, ob der Betriebsrat für die aufgabenbezogene Datenverarbeitung verantwortlich ist.

Bis dato ist Arbeitgebern jedoch anzuraten, gemeinsam mit dem Betriebsrat verbindliche Regelungen und Strukturen zur Einhaltung des Datenschutzrechts bei der aufgabenbezogenen Datenverarbeitung zu treffen. Hier bietet sich das Instrument der Regelungsabrede an.
Zur Erfüllung der Auskunftsansprüche aus Art. 15 DS-GVO, die in den vergangenen Jahren vermehrt von Arbeitnehmern in Trennungssituationen geltend gemachten worden sind, ist eine schnelle und strukturierte Zusammenarbeit mit dem Betriebsrat geboten. Auch hier bietet es sich an, wechselseitige Unterstützungspflichten bei der Erfüllung der datenschutzrechtlichen Betroffenenrechte im Rahmen einer Regelungsabrede festzulegen.

Zur Vermeidung der eigenen Haftung für schadensersatzpflichtige und bußgeldbewährte Datenschutzverstöße sind die nunmehr gesetzlich verankerten Unterstützungspflichten des Betriebsrats von den Arbeitgebern ggf. gerichtlich durchzusetzen.

Newsletter abonnieren