(weitergehend siehe Götz, Datenschutzverstöße des Betriebsrats, Dissertation 2021, Nomos)

1. EINFÜHRUNG

Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 ist eine Frage besonders in das Zentrum zahlreicher arbeitsrechtlicher und datenschutzrechtlicher Diskussionen gerückt:

Die Frage nach den Rechtsfolgen von Datenschutzverstößen des Betriebsrats.

Dass die Frage nicht nur theoretischer Natur ist, zeigen mittlerweile die Fälle aus der Praxis, in denen sich Betriebsratsmitglieder mit Pflichtverletzungen aufgrund von Datenschutzverstößen konfrontiert sehen.

Dabei geht es nicht allein um die Frage, ob der Betriebsrat selbst oder dessen Mitglieder haften. Es geht insbesondere auch darum, ob möglicherweise nicht sogar der Arbeitgeber für Datenschutzverstöße des Betriebsrats einzustehen hat. Ferner kann sich die Frage stellen, ob bei einem datenschutzrechtlichen Verstoß sogar eine „grobe Pflichtverletzung“ des Betriebsrats vorliegt. Das könnte dann einen Auflösungsanspruch des Arbeitgebers gemäß § 23 Abs. 1 BetrVG nach sich ziehen. Die Einführung des § 79a S. 2 BetrVG im Juni 2021 hat hier nicht für Entspannung gesorgt.

Dieser Beitrag soll einen Überblick über die aktuelle Diskussion konkrete Handlungsempfehlungen und Hinweise geben.

2. DER BETRIEBSRAT ALS FÜR DEN DATENSCHUTZ VERANTWORTLICHER?

Entscheidend ist zunächst, ob der Betriebsrat selbst – im Gegensatz zur bisherigen Rechtslage – als „für den Datenschutz Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DS-GVO angesehen werden kann. Denn nur wenn der Betriebsrat als Verantwortlicher in diesem Sinne einzuordnen ist– jedenfalls solange er sich in seinem betriebsverfassungsrechtlichen Kompetenzrahmen bewegt – , können ihn (oder ggf. einzelne Mitglieder) Maßnahmen der Aufsichtsbehörden nach Art. 58 DS-GVO treffen, kommt er (oder ggf. einzelne Mitglieder) ggf. als Adressat von Bußgeldbescheiden nach Art. 83 DS-GVO in Betracht oder kann er (oder ggf. einzelne Mitglieder) Anspruchsgegner von Schadensersatzansprüchen nach Art. 82 DS-GVO.

Ob der Betriebsrat selbst Verantwortlicher gemäß Art. 4 Nr. 7 DS-GVO sein kann, ist weiterhin – auch nach Einführung des § 79a S. 2 BetrVG – Gegenstand einer Kontroverse.

Was sagen die Gerichte?

Der EuGH, der ja für die Auslegung der DS-GVO allein berufen ist, tendiert aus Gründen des Schutzes der Betroffenen zu einer extensiven Auslegung des Begriffs des Verantwortlichen. So hat der EuGH in der „Zeugen-Jehovas-Entscheidung“, der „Facebook-Entscheidung“ und der „Google-Entscheidung“ mehrfach klargestellt, dass der Begriff des „Verantwortlichen“ weit auszulegen sei, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.

Das Bundesarbeitsgericht vertrat zur alten Rechtslage (bis 24.05.2018) die Auffassung, dass der Betriebsrat nicht selbst verantwortliche Stelle i.S.d. Datenschutzrechts sei. Das Bundesarbeitsgericht begründete seine Ansicht damit, dass nichtöffentliche Stellen i.S.d. § 2 Abs. 4 BDSG a.F. nur natürliche und juristische Personen, Gesellschaften und Personenvereinigungen des privaten Rechts seien. Betriebsräte seien von dieser Aufzählung nicht erfasst und damit auch nicht als verantwortliche Stelle zu qualifizieren. Der weit überwiegende Teil der Literatur teilte diese Ansicht. Zu der neuen Rechtslage und Art. 4 Nr. 7 DS-GVO hat das Bundesarbeitsgericht bisher keine Entscheidung getroffen. Die Instanzgericht haben bislang unterschiedlich geurteilt. Das Landesarbeitsgericht Sachsen-Anhalt sieht den Betriebsrat als „Verantwortlichen“ i.S.d. Art. 4 Abs. 7 DS-GVO an. Dagegen hat das Landesarbeitsgericht Hessen den Betriebsrat nur als Teil der verantwortlichen Stelle des Arbeitgebers eingeordnet.

Wie ist der Meinungsstand in der Literatur?

In der Literatur werden sehr unterschiedliche Positionen bezogen. Weite Teile lehnen – mit unterschiedlicher Begründung – eine eigene Verantwortlichkeit des Betriebsrats gemäß Art. 4 Nr. 7 DS-GVO ab. Als Begründung wird angeführt, dass der deutsche Gesetzgeber von der Möglichkeit keinen Gebrauch gemacht habe, dem Betriebsrat eine datenschutzrechtliche Verantwortlichkeit zuzuweisen und eine solche daher auch nicht anzunehmen sei. Ferner wird argumentiert, dass sich die Gegenauffassung nur schwer mit der Systematik der DS-GVO vereinbaren lasse. Denn unter der DS-GVO sei eine Stelle nur dann als verantwortlich einzuordnen, wenn sie eigenständig über Zwecke und Mittel der Verarbeitung entscheide. Da das BetrVG dem Betriebsrat aber diesbezüglich sehr enge Grenzen setze, könne der Betriebsrats nicht Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO sein.

Dagegen sehen Teile der Literatur den Betriebsrat als Verantwortlichen i.S.d. Art. 4 Nr. 7 DS-GVO an. Die fehlende Rechtsfähigkeit des Betriebsrats spreche nicht gegen dieses Auslegungsergebnis, da die in Rede stehende Vorschrift nicht nur natürliche und juristische Personen erfasse, sondern auch „andere Stellen“. Vorrangiges Ziel der DS-GVO sei es, ein umfassendes Schutzniveau zu gewährleisten, was nur mit einer weiten Auslegung des Begriffes des Verantwortlichen gelänge. Es komme ferner stets darauf an, wer tatsächlich die Entscheidungsgewalt über Zweck und Mittel der Datenverarbeitung habe und wer die Verarbeitung tatsächlich durchführe. Denn nur dann, wenn formalrechtliche Erwägungen außer Betracht blieben, können Behörden schnell und effizient den Verantwortlichen identifizieren. Dies könne in unterschiedlichen Verarbeitungsschritten zu unterschiedlichen Verantwortlichen führen. Schließlich indiziere der Umstand, dass das BAG den Einflussbereich des betrieblichen Datenschutzbeauftragten nicht auch auf den Betriebsrat erstrecke, dass dem Arbeitgeber auch insoweit keine Verantwortlichkeit zukommen könne und der Betriebsrat folglich selbst als Verantwortlicher zu gelten habe.

Die Landesdatenschutzbehörden haben sich hierzu bisher nicht und im Übrigen unterschiedlich positioniert. Der Landesdatenschutzbeauftragte Baden-Württembergs hat sich eindeutig für eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats i.S.d. Art. 4 Nr. 7 DS-GVO ausgesprochen.

Keine Entspannung durch § 79a S. 2 BetrVG

Die Einführung des § 79a S. 2 BetrVG hat die Situation nicht entschärft. Die Vorschrift soll die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers festschreiben – jedenfalls im Verhältnis von Arbeitgeber und Betriebsrat. Der nationale Gesetzgeber kann aber nach zutreffender Ansicht die Verantwortlichkeit nicht in dieser Weise festlegen. Denn der Begriff des Verantwortlichen wird durch Art. 4 Nr. 7 DS-GVO (Unionsrecht) vorgegeben. Der nationale Gesetzgeber kann von diesen Vorgaben grundsätzlich nicht abweichen. Eine Ausnahme gibt es nur bezüglich so genannter Öffnungsklauseln. Allerdings sind nach zutreffender Ansicht sowohl Art. 4 Nr. 7 S. 2 DGVO als auch Art. 88 DS-GVO als Öffnungsklauseln ungeeignet. Daraus folgt: Ist der Betriebsrat nach Art. 4 Nr. 7 DS-GVO als Verantwortlicher einzuordnen. Dann kann der nationale Gesetzgeber dies nicht aushebeln.  

3. HAFTUNG VON BETRIEBSRATSMITGLIEDERN

Die datenschutzrechtliche Verantwortlichkeit nach Art. 4 Nr. 7 DS-GVO und die zivil- und bußgeldrechtliche Haftung für Datenschutzverstöße sind grundsätzlich getrennt voneinander zu betrachten und ebenso separat rechtlich zu bewerten. Eine datenschutzrechtliche Verantwortlichkeit nach Art. 4 Nr. 7 DS-GVO ist nur bei den Haftungsnormen der Art. 82 und Art. 83 DS-GVO eine Tatbestandsvoraussetzung. Im Rahmen von möglichen Schadensersatzansprüchen aus § 823 Abs. 1 BGB und § 823 Abs. 2 BGB i. V. m. einem Schutzgesetz spielt sie keine Rolle.  

Haftet das Betriebsratsgremium?

Als Haftungssubjekte für Datenschutzverstöße, die in der Sphäre des Betriebsrats begangen werden, kommen der Betriebsrat als Kollektivorgan, das einzelne Betriebsratsmitglied oder der Arbeitgeber in Betracht.

Das Betriebsratsgremium ist aber kein taugliches Subjekt für Schadensersatzansprüche aus Art. 82 DS-GVO§ 823 Abs. 1 BGB und § 823 Abs. 2 BGB i. V. m. einem Schutzgesetz. Ebenfalls ist es kein tauglicher Adressat für Bußgeldbescheide nach Art. 83 DS-GVO. Es fehlt insoweit unter anderem an eigenem Vermögen.

Haften einzelne Betriebsratsmitglieder?

Die einzelnen Betriebsratsmitglieder sind dagegen taugliche Haftungssubjekte. Das gilt sowohl für Schadensersatzansprüche nach Art. 82 DS-GVO und § 823 Abs. 1 BGB, § 823 Abs. 2 BGB i. V. m. einem Schutzgesetz als auch für Bußgeldbescheide nach Art. 83 DS-GVO. Besonderheiten gelten auch hier bei den Gremienentscheidungen (Betriebsratsbeschlüssen nach § 33 BetrVG). Eine Haftung des einzelnen Betriebsrats kommt nicht in Betracht, wenn es gegen einen Beschluss, der die Datenschutzverletzung herbeigeführt hat, gestimmt, sich enthalten oder gar nicht erst an der Sitzung teilgenommen hat. Bei der Abstimmung für einen datenschutzverletzenden Beschluss haftet das einzelnen Betriebsratsmitglieds unabhängig davon, ob es sich um eine knappe oder eine deutliche Abstimmungsentscheidung handelt. Das gilt, soweit das Ereignis im Allgemeinen und nicht nur unter besonders eigenartigen, unwahrscheinlichen und nach dem gewöhnlichen Verlauf der Dinge außer Betracht zu lassenden Umständen geeignet war, einen Erfolg der fraglichen Art herbeizuführen. Das wird bei Betriebsratsbeschlüssen, die unmittelbar eine Datenschutzrechtsverletzung begründen, grundsätzlich anzunehmen sein. Einzelne Betriebsratsmitglieder haften nicht für Datenschutzverstöße anderer Betriebsratsmitglieder oder aufgrund von Unterlassen. Die Einschränkung von Haftungsansprüchen gegen Betriebsratsmitglieder ist abzulehnen.

4. HAFTUNG DES ARBEITGEBER

Verletzt allein der Betriebsrat ohne ein Zutun des Arbeitgebers Datenschutzvorschriften, dann fehlt zunächst für sämtliche Schadensersatz- und Bußgeldvorschriften (Art. 8283 DS-GVO§ 823 Abs. 1, § 823 Abs. 2 BGB i. V. m. einem Schutzgesetz) die Erfüllung der jeweiligen Tatbestandsmerkmale durch den Arbeitgeber.

Im Fall der Art. 8283 DS-GVO ist der Arbeitgeber bereits nicht als für den Datenschutz Verantwortlicher gemäß Art. 4 Nr. 7 DS-GVO anzusehen. Selbst dann, wenn man über § 79a S. 2 BetrVG den Arbeitgeber als datenschutzrechtlich Verantwortlichen ansehen sollte, fehlt es jedenfalls an einem vorwerfbaren Verhalten seinerseits.

Das vorwerfbare Verhalten des Arbeitgebers ist bei den Ansprüchen aus § 823 Abs. 1 BGB und § 823 Abs. 2 BGB i. V. m. einem Schutzgesetz ebenfalls nicht vorhanden. Mangels tauglicher Anspruchsgrundlage muss daher eine Haftung des Arbeitgebers für Datenschutzverstöße des Betriebsrats ausscheiden. Hier können sich dann allenfalls noch Zurechnungsfragen stellen.

Aber auch aus dem Umstand, dass der Arbeitgeber keinen rechtlichen und faktischen Einfluss auf den Betriebsrat zur Unterbindung oder Abhilfe von Datenschutzverstößen nehmen kann, muss eine Haftungsfreiheit des Arbeitgebers folgen. Deutlich wird dies am Beispiel einer möglichen Abhilfeanordnung nach Art. 58 Abs. 2 lit. d) DS-GVO, die eine Aufsichtsbehörde im Fall eines Datenschutzverstoßes des Betriebsrats gegenüber dem Arbeitgeber erteilt. Hier kann der Arbeitgeber nicht abhelfen, weil er nicht erfolgreich auf den Betriebsrat einwirken kann. Der Arbeitgeber hat im Hinblick auf die Einhaltung datenschutzrechtlicher Vorgaben gegenüber dem Betriebsrat keine Weisungs- oder gar Durchsetzungsrechte – auch nicht nach § 79a S. 3 BetrVG. Er kann daher den Betriebsrat weder zu einem datenschutzkonformen Verhalten anweisen noch datenschutzverletzende Handlungen dessen unterbinden.

 5. EMPFEHLUNGEN FÜR DIE PRAXIS

Bis zu einer Entscheidung des EuGH sollte den Vorgaben des § 79a S. 2 BetrVG gefolgt werden. Es bringt in der betrieblichen Praxis auch nichts den Betriebsrat als Verantwortlichen anzusehen.

Was ist bei Betriebsvereinbarungen zu beachten?

Beim Abschluss von Betriebsvereinbarungen sollte folgendes beachtet werden: Benötigt man die Betriebsvereinbarung nicht als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, dann sollten keine Regelungen zum Datenschutz aufgenommen werden. Erfahrungsgemäß wird dadurch nicht nur die Verhandlung, sondern auch die Umsetzung erschwert. So sollte zum Beispiel eine IT-Betriebsvereinbarung zur Einführung eines Softwaretools allein potenzielle Mitbestimmungsrechte (in der Regel § 87 Abs. 1 Nr. 6 BetrVG) behandeln.

Datenschutzverstöße des Betriebsrats – Kurzüberblick über mögliche Haftungsrisiken von Betriebsräten und Unternehmen sowie (Handlungs-) empfehlungen für Unternehmen