Der Deutsche Gewerkschaftsbund (DGB) hat im Februar 2021 eine Meldung veröffentlicht, nach der das damals als Betriebsrätestärkungsgesetz bezeichnete Gesetzesvorhaben zur Stärkung der Rechte der Betriebsräte gescheitert sei. Nun hat das Bundeskabinett überraschend einen nahezu unveränderten Entwurf als Betriebsrätemodernisierungsgesetz beschlossen. Wie bereits der frühere Referentenentwurf zum Betriebsrätestärkungsgesetz trifft nun auch der Kabinettsentwurf für ein Betriebsrätemodernisierungsgesetz eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats. Damit bringt das Kabinett eine gesetzliche Klarstellung für die bislang sehr breit diskutierte und für die Praxis sehr relevante Rechtsfrage auf den Weg. Allerdings wirft die getroffene Regelung auch neue Fragen auf.
Seit Geltung der EU-Datenschutzgrundverordnung (DSGVO), hat die Frage der datenschutzrechtlichen Stellung des Betriebsrats an Relevanz gewonnen. Denn bislang ist nicht abschließend geklärt, ob der Betriebsrat bei der Verarbeitung von Beschäftigtendaten als eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einzustufen ist. Nach früherer Rechtslage war der Betriebsrat als Teil des datenschutzrechtlich verantwortlichen Arbeitgebers anzusehen. Maßgeblich für die Beantwortung dieser Frage ist, ob der Betriebsrat gemäß Art. 4 Nr. 7 DSGVO eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Die Datenschutzbehörden sind sich bei dieser Frage uneins. Der ehemalige Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) beispielsweise äußerte sich dahingehend, dass der Betriebsrat in datenschutzrechtlicher Hinsicht weiterhin Teil des Arbeitgebers sei (Interview Kranig/Wybitul, ZD 2019, 1, 2). Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) geht hingegen davon aus, dass dem Betriebsrat bei der Verarbeitung von Beschäftigtendaten eigene Entscheidungsbefugnisse zukommen (34. Datenschutz-Tätigkeitsbericht des LfDI BW 2018, S. 37 f.).
Auch in der Rechtsprechung hat sich noch keine einheitliche Linie entwickelt. Während das LAG Hessen den Betriebsrat in datenschutzrechtlicher Hinsicht weiterhin als Teil des verantwortlichen Arbeitgebers einordnet, geht das LAG Sachsen-Anhalt von einer eigenständigen datenschutzrechtlichen Verantwortlichkeit des Betriebsrats aus (LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18; LAG Sachsen Anhalt, Beschluss vom 18.12.2018 – 4 TaBV 19/17).
Die datenschutzrechtliche Stellung des Betriebsrates ist für die Praxis von erheblicher Bedeutung. Sofern man den Betriebsrat als Teil des verantwortlichen Arbeitsgebers einordnet, könnten für Arbeitgeber bei Verstößen des Betriebsrats gegen die Vorgaben zum Datenschutz erhebliche Haftungsrisiken entstehen.. Sieht man den Betriebsrat hingegen als eigenständigen Verantwortlichen an, so wäre er selbst Adressat datenschutzrechtlicher Vorgaben. Der Betriebsrat müsste sämtliche datenschutzrechtliche Vorgaben eigenständig umsetzen und erfüllen. Eine klarstellende gesetzliche Regelung zur datenschutzrechtlichen Stellung des Betriebsrats ist daher grundsätzlich zu begrüßen.
Das vom Bundeskabinett beschlossene Betriebsrätemodernisierungsgesetz deckt sich mit dem Referentenentwurf zum Betriebsrätestärkungsgesetz und führt die frühere Rechtslage fort. Es ordnet den Betriebsrat weiterhin als Teil des datenschutzrechtlich verantwortlichen Arbeitsgebers ein, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet (vgl. § 79 a BetrVG-neu):
„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“
Aus der Begründung zum Entwurf geht hervor, dass sich die Bundesregierung auf die in Art. 4 Nr. 7 Halbsatz 2 DSGVO vorgesehene Öffnungsklausel zu einer entsprechenden gesetzlichen Klarstellung stützt.
Der Gesetzentwurf lässt jedoch viele Fragen offen. So bleibt weiterhin unklar, ob und in welchem Umfang die durch den Betriebsrat durchgeführten Datenverarbeitungen der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegen. Unter der früheren Rechtslage war das BAG davon ausgegangen, dass eine solche Kontrollbefugnis aufgrund der besonderen Stellung des Betriebsrats ausscheide (vgl. BAG, Beschluss vom 11.11.1997 – 1 ABR 21/97). An dieser Rechtsauffassung dürfte sich aufgrund der Vorrangwirkung der DSGVO allerdings nicht mehr ohne Weiteres festhalten lassen.
Die vom Bundeskabinett beschlossene Regelung zur datenschutzrechtlichen Stellung des Betriebsrats beseitigt die seit Geltung der DSGVO bestehende Unsicherheit in Rechtsprechung und Praxis nur teilweise. Zwar können Unternehmen an den bislang etablierten Prozessen und Strukturen bei der Verarbeitung von Beschäftigtendaten durch den Betriebsrat festhalten. Die Einzelheiten der datenschutzrechtlichen Behandlung des Betriebsrats lässt der Entwurf jedoch weitgehend offen. So wäre es dringend nötig, zu klären, wie der Datenschutzbeauftragte seiner gesetzlichen Kontrollpflicht in Bezug auf den Betriebsrat nachkommen soll.
Insofern kommen mit der Regelung auch mögliche Haftungsrisiken auf Arbeitgeber zu. Es bestehen noch zu viele Unklarheiten im Hinblick auf die beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften. Hierfür bieten sich zwar auch klarstellende Betriebsvereinbarungen an. Es wäre aber wichtig, hier auch klare und ausgewogene Detailregelungen zu treffen.
