Viele Unternehmen haben knapp ein Jahr nach Einführung der EU Datenschutz-Grundverordnung (DSGVO) ihre Datenmanagementprozesse weitgehend datenschutzkonform ausgestaltet. Teilweise wurden dabei in Zusammenarbeit mit den jeweiligen Betriebs- und Personalräten (im Folgenden Betriebsräte) auch die Datenverarbeitungen der Mitarbeitervertretung analysiert und datenschutzkonform gestaltet. Oftmals haben die beteiligten Parteien die Datenverarbeitung durch den Betriebsrat jedoch noch nicht an die Anforderungen der DSGVO angepasst, so dass sowohl für die Unternehmen als auch für die Betriebsräte große Risiken bestehen.

1. Datenschutzrechtliche Stellung von Betriebsräten

Datenschutzrechtlich ungeklärt ist bislang die Frage, ob Betriebsräte als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO oder als Teil des verantwortlichen Unternehmens zu bewerten sind. Die bisherige Rechtsprechung zu dem Thema kann mit Geltung der DSGVO nicht mehr unmittelbar hierfür herangezogen werden. Art. 4 Nr. 7 DSGVO stellt eine andere Definition des Verantwortlichen bereit (die DSGVO stellt auf die „Stelle“ ab und nicht auf die juristische Person). Zudem geht die DSGVO nun dem deutschen Betriebsverfassungsrecht vor.

a) Betriebsräte als Teil des verantwortlichen Unternehmens

Viele Argumente sprechen dafür, Betriebsräte weiterhin als Teil des verantwortlichen Unternehmens zu betrachten. Das hat zur Folge, dass Unternehmen gegebenenfalls auch für datenschutzrechtliche Fehler ihrer Betriebsräte haften müssen. Entsprechend müssen die Betriebsräte dann auch datenschutzrechtliche Anforderungen des Unternehmens umsetzen und sich der Aufsicht des unternehmenseigenen Datenschutzbeauftragten unterwerfen. Viele Betriebsräte sehen durch eine solche Aufsicht und die Pflicht zur datenschutzrechtlichen Zusammenarbeit ihre betriebsverfassungsrechtlichen Freiheiten bedroht.

b) Betriebsräte als eigene Verantwortliche

Mit dem Wortlaut von Art. 4 Nr. 7 DSGVO lässt sich auch vertreten, dass Betriebsräte selbst datenschutzrechtlicher Verantwortlicher sind. Betriebsräte legen (wenn auch auf Grundlage ihrer betriebsverfassungsrechtlichen Rechte und Pflichten) die Zwecke und Mittel der Datenverarbeitung weitgehend selbst fest. Für Betriebsräte hätte dies jedoch zur Folge, dass sie selbst an die datenschutzrechtlichen Pflichten der DSGVO gebunden sind. Das bedeutet, dass der Betriebsrat z.B. selbstständig Datenschutz-Folgenabschätzungen durchführen muss, gegebenenfalls einen Datenschutzbeauftragten benennen muss und auch für die Information der Mitarbeiter über die entsprechende Datenverarbeitung verantwortlich ist.

c) Regelung der Verantwortlichkeit

Die Abgrenzung, ob der Betriebsrat selbst Verantwortlicher für die Datenverarbeitung oder nur Teil des verantwortlichen Unternehmens ist, müssen die Betriebsparteien im Einzelfall treffen und kann sich sehr schwierig gestalten, zumal die gesetzliche Regelung des Art. 4 Nr. 7 DSGVO sehr vage gehalten ist. Bis zu einer entsprechenden höchstrichterlichen Entscheidung (oder einer Stellungnahme der datenschutzrechtlichen Aufsichtsbehörden) besteht daher eine gewisse Rechtsunsicherheit für Unternehmen und Betriebsräte. Angesichts der großen rechtlichen Auswirkungen dieser Frage empfehlen wir, dass sich die Betriebsparteien zumindest vorläufig auf einen der beiden Wege verständigen. Nur so können die Betriebsparteien datenschutzrechtliche Rechte und Pflichten sinnvoll aufteilen. Es bietet sich dabei an, diese Regelung im Rahmen einer allgemeinen DSGVO-Rahmenbetriebsvereinbarung zu treffen.

2. Risiken bei Datenverarbeitungen durch Betriebsräte

Die Verarbeitung personenbezogener Daten durch Betriebsräte bringt regelmäßig datenschutzrechtliche Risiken mit sich, welche das Unternehmen und der Betriebsrat gemeinsam prüfen und beheben sollten.

a) Schatten-IT

Viele Betriebsräte nutzen nicht die vom Unternehmen zur Verfügung gestellten IT-Systeme. Das liegt teilweise daran, dass Betriebsräte eine Überwachung von E-Mails und Dokumenten befürchten, teilweise erfüllen die betrieblichen IT-Systeme auch nicht die Anforderungen, welche Betriebsräte für ihre Arbeit benötigen. In der Folge nutzen Betriebsräte eigene IT-Systeme (wie zum Beispiel eigene Cloud-Speicher oder eigene E-Mail-Provider). In diesem Fall sollten Betriebsräte und Unternehmen aus datenschutzrechtlicher Sicht zumindest die folgenden Punkte beachten:

• Vertragliche Absicherung: Der Verantwortliche (also je nach Ausgestaltung der Betriebsrat oder das Unternehmen) muss mit dem Anbieter externer IT-Dienstleistungen gegebenenfalls einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abschließen.
• Verzeichnis von Verarbeitungstätigkeiten: Wenn der Betriebsrat Teil des verantwortlichen Unternehmens ist, muss dieses auch betriebsratseigene Verarbeitungsprozesse in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO aufnehmen.
• Löschkonzept: Auch auf betriebsratseigenen Systemen müssen personenbezogene Daten gemäß Art. 17 DSGVO gelöscht werden, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden. Das kann insbesondere auch bedeuten, dass der Betriebsrat Informationen über ausgeschiedene Mitarbeiter von seinen Systemen löschen müssen.
• Zusammenarbeit bei Betroffenenrechten: Zumindest wenn der Betriebsrat Teil des verantwortlichen Unternehmens ist, muss er bei der Erfüllung von Betroffenenrechten mit dem Unternehmen zusammenarbeiten. Das kann u.a. bei Auskunftsansprüchen der betroffenen Personen relevant werden.

b) Übermittlung an Dritte

Im Rahmen der betriebsverfassungsrechtlichen Tätigkeit übermitteln Betriebsräte regelmäßig personenbezogene Daten von Mitarbeitern des Unternehmens an Außenstehende: Dies kann z.B. bei dem Einsatz von Sachverständigen (vgl. § 80 Abs. 3 BetrVG) oder bei der Teilnahme von Beauftragten einer Gewerkschaft an der Sitzung (vgl. § 31 BetrVG) der Fall sein. Soweit eine solche Datenübermittlung zur Erfüllung der betriebsverfassungsrechtlichen Rechte des Betriebsrats notwendig ist, kann sie grds. gemäß Art. 6 Abs. 1 lit. c) DSGVO gerechtfertigt sein. Trotzdem sollten Betriebsräte vor jeder Datenübermittlung genau prüfen, inwiefern die Übermittlung notwendig und angemessen ist. Hier bietet sich die Zusammenarbeit mit dem Datenschutzbeauftragten des Unternehmens an.

c) Information der Betroffenen

In vielen Mitarbeiterdatenschutzinformationen von Unternehmen finden sich keine Hinweise auf die Verarbeitung personenbezogener Daten durch den Betriebsrat. Soweit der Betriebsrat als Teil des verantwortlichen Unternehmens angesehen wird, muss das Unternehmen die Beschäftigten gemäß Art. 13, 14 DSGVO umfassend über diese Datenverarbeitungen informieren. Wenn der Betriebsrat ein eigener datenschutzrechtlicher Verantwortlicher ist, muss er selbstständig für eine entsprechende umfassende Information der betroffenen Personen sorgen.

Fazit und Handlungsvorschläge

Die Verarbeitung personenbezogener Daten durch Betriebsräte bringt viele datenschutzrechtliche Anforderungen für Unternehmen mit sich. Um diesen zu begegnen, sollten die Betriebsparteien sich darauf verständigen, wie sie die datenschutzrechtlichen Pflichten verteilt sehen. Anschließend sollte ein gemeinsamer Weg gefunden werden, um die Einhaltung datenschutzrechtlicher Pflichten durch Betriebsräte sicherzustellen. Hierfür müssen Unternehmen ihren Betriebsräten ausreichend Ressourcen zur Verfügung stellen. Ohne derartige Maßnahmen drohen sowohl Unternehmen als auch Betriebsräten Bußgelder, Schadensersatzklagen und Abmahnungen.