Viele Unternehmen haben knapp ein Jahr nach Einführung der EU Datenschutz-Grundverordnung (DSGVO) ihre Datenmanagementprozesse weitgehend datenschutzkonform ausgestaltet. Teilweise wurden dabei in Zusammenarbeit mit den jeweiligen Betriebs- und Personalräten (im Folgenden Betriebsräte) auch die Datenverarbeitungen der Mitarbeitervertretung analysiert und datenschutzkonform gestaltet. Oftmals haben die beteiligten Parteien die Datenverarbeitung durch den Betriebsrat jedoch noch nicht an die Anforderungen der DSGVO angepasst, so dass sowohl für die Unternehmen als auch für die Betriebsräte große Risiken bestehen.
1. Datenschutzrechtliche Stellung von Betriebsräten
Datenschutzrechtlich ungeklärt ist bislang die Frage, ob Betriebsräte als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO oder als Teil des verantwortlichen Unternehmens zu bewerten sind. Die bisherige Rechtsprechung zu dem Thema kann mit Geltung der DSGVO nicht mehr unmittelbar hierfür herangezogen werden. Art. 4 Nr. 7 DSGVO stellt eine andere Definition des Verantwortlichen bereit (die DSGVO stellt auf die „Stelle“ ab und nicht auf die juristische Person). Zudem geht die DSGVO nun dem deutschen Betriebsverfassungsrecht vor.
a) Betriebsräte als Teil des verantwortlichen Unternehmens
Viele Argumente sprechen dafür, Betriebsräte weiterhin als Teil des verantwortlichen Unternehmens zu betrachten. Das hat zur Folge, dass Unternehmen gegebenenfalls auch für datenschutzrechtliche Fehler ihrer Betriebsräte haften müssen. Entsprechend müssen die Betriebsräte dann auch datenschutzrechtliche Anforderungen des Unternehmens umsetzen und sich der Aufsicht des unternehmenseigenen Datenschutzbeauftragten unterwerfen. Viele Betriebsräte sehen durch eine solche Aufsicht und die Pflicht zur datenschutzrechtlichen Zusammenarbeit ihre betriebsverfassungsrechtlichen Freiheiten bedroht.
b) Betriebsräte als eigene Verantwortliche
Mit dem Wortlaut von Art. 4 Nr. 7 DSGVO lässt sich auch vertreten, dass Betriebsräte selbst datenschutzrechtlicher Verantwortlicher sind. Betriebsräte legen (wenn auch auf Grundlage ihrer betriebsverfassungsrechtlichen Rechte und Pflichten) die Zwecke und Mittel der Datenverarbeitung weitgehend selbst fest. Für Betriebsräte hätte dies jedoch zur Folge, dass sie selbst an die datenschutzrechtlichen Pflichten der DSGVO gebunden sind. Das bedeutet, dass der Betriebsrat z.B. selbstständig Datenschutz-Folgenabschätzungen durchführen muss, gegebenenfalls einen Datenschutzbeauftragten benennen muss und auch für die Information der Mitarbeiter über die entsprechende Datenverarbeitung verantwortlich ist.
c) Regelung der Verantwortlichkeit
Die Abgrenzung, ob der Betriebsrat selbst Verantwortlicher für die Datenverarbeitung oder nur Teil des verantwortlichen Unternehmens ist, müssen die Betriebsparteien im Einzelfall treffen und kann sich sehr schwierig gestalten, zumal die gesetzliche Regelung des Art. 4 Nr. 7 DSGVO sehr vage gehalten ist. Bis zu einer entsprechenden höchstrichterlichen Entscheidung (oder einer Stellungnahme der datenschutzrechtlichen Aufsichtsbehörden) besteht daher eine gewisse Rechtsunsicherheit für Unternehmen und Betriebsräte. Angesichts der großen rechtlichen Auswirkungen dieser Frage empfehlen wir, dass sich die Betriebsparteien zumindest vorläufig auf einen der beiden Wege verständigen. Nur so können die Betriebsparteien datenschutzrechtliche Rechte und Pflichten sinnvoll aufteilen. Es bietet sich dabei an, diese Regelung im Rahmen einer allgemeinen DSGVO-Rahmenbetriebsvereinbarung zu treffen.
2. Risiken bei Datenverarbeitungen durch Betriebsräte
Die Verarbeitung personenbezogener Daten durch Betriebsräte bringt regelmäßig datenschutzrechtliche Risiken mit sich, welche das Unternehmen und der Betriebsrat gemeinsam prüfen und beheben sollten.
a) Schatten-IT
Viele Betriebsräte nutzen nicht die vom Unternehmen zur Verfügung gestellten IT-Systeme. Das liegt teilweise daran, dass Betriebsräte eine Überwachung von E-Mails und Dokumenten befürchten, teilweise erfüllen die betrieblichen IT-Systeme auch nicht die Anforderungen, welche Betriebsräte für ihre Arbeit benötigen. In der Folge nutzen Betriebsräte eigene IT-Systeme (wie zum Beispiel eigene Cloud-Speicher oder eigene E-Mail-Provider). In diesem Fall sollten Betriebsräte und Unternehmen aus datenschutzrechtlicher Sicht zumindest die folgenden Punkte beachten:
b) Übermittlung an Dritte
Im Rahmen der betriebsverfassungsrechtlichen Tätigkeit übermitteln Betriebsräte regelmäßig personenbezogene Daten von Mitarbeitern des Unternehmens an Außenstehende: Dies kann z.B. bei dem Einsatz von Sachverständigen (vgl. § 80 Abs. 3 BetrVG) oder bei der Teilnahme von Beauftragten einer Gewerkschaft an der Sitzung (vgl. § 31 BetrVG) der Fall sein. Soweit eine solche Datenübermittlung zur Erfüllung der betriebsverfassungsrechtlichen Rechte des Betriebsrats notwendig ist, kann sie grds. gemäß Art. 6 Abs. 1 lit. c) DSGVO gerechtfertigt sein. Trotzdem sollten Betriebsräte vor jeder Datenübermittlung genau prüfen, inwiefern die Übermittlung notwendig und angemessen ist. Hier bietet sich die Zusammenarbeit mit dem Datenschutzbeauftragten des Unternehmens an.
c) Information der Betroffenen
In vielen Mitarbeiterdatenschutzinformationen von Unternehmen finden sich keine Hinweise auf die Verarbeitung personenbezogener Daten durch den Betriebsrat. Soweit der Betriebsrat als Teil des verantwortlichen Unternehmens angesehen wird, muss das Unternehmen die Beschäftigten gemäß Art. 13, 14 DSGVO umfassend über diese Datenverarbeitungen informieren. Wenn der Betriebsrat ein eigener datenschutzrechtlicher Verantwortlicher ist, muss er selbstständig für eine entsprechende umfassende Information der betroffenen Personen sorgen.
Fazit und Handlungsvorschläge
Die Verarbeitung personenbezogener Daten durch Betriebsräte bringt viele datenschutzrechtliche Anforderungen für Unternehmen mit sich. Um diesen zu begegnen, sollten die Betriebsparteien sich darauf verständigen, wie sie die datenschutzrechtlichen Pflichten verteilt sehen. Anschließend sollte ein gemeinsamer Weg gefunden werden, um die Einhaltung datenschutzrechtlicher Pflichten durch Betriebsräte sicherzustellen. Hierfür müssen Unternehmen ihren Betriebsräten ausreichend Ressourcen zur Verfügung stellen. Ohne derartige Maßnahmen drohen sowohl Unternehmen als auch Betriebsräten Bußgelder, Schadensersatzklagen und Abmahnungen.