Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 101 | 06.07.2021


Betriebsrätemodernisierungsgesetz stellt klar: Arbeitgeber verantwortlich für die Datenverarbeitung durch den Betriebsrat – was gilt es nun zu beachten?
Regina Glaser, LL.M., Alexa Finke, LL.M. und Astrid Wellhöner, LL.M. Eur.


Der mit dem Betriebsrätemodernisierungsgesetz eingefügte, seit dem 18. Juni 2021 geltende § 79a BetrVG legt fest, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist. Die seit dem Inkrafttreten der DSGVO herrschende Diskussion über die Frage, ob der Betriebsrat wegen seiner Weisungsfreiheit als eigenständiger Verantwortlicher gilt (wie z. B. vom LfDI Baden-Württemberg vertreten) oder wegen der engen Zusammenarbeit als Teil des Arbeitgebers zu sehen ist, ist damit beendet. Bei genauerer Betrachtung bleiben trotz der gesetzlichen Klarstellung jedoch noch viele Fragen offen.
A. Neue Regelung des BetrVG

In § 79a Satz 2 BetrVG wird ausdrücklich klargestellt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist, soweit diese zur Erfüllung der in der Zuständigkeit des Betriebsrats liegenden Aufgaben erfolgt. Diese Zuordnung der Verantwortlichkeit begründet das BMAS damit, dass der Betriebsrat nach außen keine rechtlich verselbstständigte Institution sei.

Die übrigen Bestimmungen des § 79a BetrVG machen jedoch deutlich, dass der Betriebsrat dennoch nicht wie ein gewöhnlicher Teil eines Verantwortlichen behandelt werden soll. So wird in Satz 1 festgelegt, dass der Betriebsrat selbst die Datenschutzbestimmungen einzuhalten hat. Eine solche separate Pflicht für Teile des Verantwortlichen passen nicht zum datenschutzrechtlichen System der DSGVO. Denn danach ist allein der Verantwortliche verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten und betriebsintern durchzusetzen.

In Satz 3 ist zudem ein Kooperationsgebot zwischen dem Betriebsrat und dem Arbeitgeber festgelegt, das die beiden Parteien zur gegenseitigen Unterstützung verpflichtet. Als Beispiel für diese Kooperation führt das BMAS in der Gesetzesbegründung an, dass der Arbeitgeber das Verarbeitungsverzeichnis zu führen habe, aber der Betriebsrat eigenverantwortlich für die Umsetzung der technischen und organisatorischen Maßnahmen zuständig sei. Eine solche Verteilung von Verantwortlichkeiten erinnert eher an eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

B. Bewertung

Dass die Neuregelung den Arbeitgeber zum Alleinverantwortlichen für die Datenverarbeitung im Betriebsratsbüro erklärt, ist europarechtlich bedenklich. Zwar dürfen die Mitgliedstaaten selbst bestimmen, wer für den Datenschutz verantwortlich ist. Art. 4 Nr. 7 Hs. 2 DSGVO erlaubt das aber nur, wenn zugleich die Zwecke und Mittel der Datenverarbeitung vorgegeben werden. Das ist bei der Verarbeitung von Beschäftigtendaten durch den Betriebsrat nicht der Fall. Vielmehr entscheidet der Betriebsrat allein über das Wozu und die Art und Weise der Verarbeitung von Beschäftigtendaten. Folge der Europarechtswidrigkeit wäre, dass § 79a BetrVG wegen der unmittelbaren Geltung der DSGVO nicht angewendet werden darf. Das werden letztendlich die Gerichte zu entscheiden haben.

Durch die Verpflichtung des Betriebsrats, sich an die Datenschutzbestimmungen zu halten sowie das Kooperationsgebot wird eine Sonderrolle für den Betriebsrat geschaffen. Dies scheint einerseits notwendig, da der Betriebsrat aufgrund seiner innerorganisatorischen Selbständigkeit und Weisungsfreiheit auch nicht wie ein gewöhnlicher Teil eines Arbeitgebers behandelt werden kann. Allein schon deshalb nicht, weil der Arbeitgeber nur einen sehr beschränkten Einfluss auf die Umsetzung der datenschutzrechtlichen Maßnahmen beim Betriebsrat hat. Andererseits wird dadurch ein Konstrukt erschaffen, das so nicht vereinbar ist mit den datenschutzrechtlichen Prinzipien und somit zwangsweise zu Problemen und Fragen führen wird. So ist nicht festgelegt, wie die Kooperation konkret zu erfolgen hat. Auch ist nicht geregelt, was passiert, wenn sich der Betriebsrat weigert, zu kooperieren und der Arbeitgeber dadurch seinen Pflichten als Verantwortlicher nicht erfüllen kann (insbesondere Betroffenenrechte oder Umsetzung angemessener Sicherheitsstandards). Der Gesetzgeber weist die Haftung für Datenschutzverstöße im Tätigkeitsbereich des Betriebsrates dem Arbeitgeber in seiner Rolle als Alleinverantwortlicher für die Datenverarbeitung zu, ohne dass der Arbeitgeber dessen Verstöße unterbinden kann. Damit drohen empfindliche Schutzlücken.

C. Handlungsempfehlung

Um möglichst viele der vorstehend beschriebenen Unsicherheiten zu beseitigen und Haftungsrisiken für den Arbeitgeber zu verringern, sollten Arbeitgeber und Betriebsrat nun schnellstmöglich eine Betriebsvereinbarung über ihre datenschutzrechtliche Zusammenarbeit abschließen. In der Betriebsvereinbarung sollten insbesondere folgende Themenbereiche geregelt werden:
- Unterstützung des Arbeitgebers durch den Betriebsrat bei Erfüllung der Betroffenenrechte

- Bereitstellung der für das Verarbeitungsverzeichnis und die Datenschutzhinweise erforderlichen Informationen durch den Betriebsrat

- Melde- und Benachrichtigungspflichten seitens des Betriebsrats im Fall eines Datenschutzverstoßes

- Bestimmungen über die technischen Methoden der Verarbeitung sowie alle darauf bezogenen technischen und organisatorischen Maßnahmen zur Datensicherheit

- Regelungen zur Beratung und Kontrolle des Betriebsrates durch den betrieblichen Datenschutzbeauftragten

Autorinnen


Regina Glaser, LL.M. ist Rechtsanwältin und Partnerin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Alexa Finke, LL.M. ist Rechtsanwältin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Astrid Wellhöner, LL.M. Eur. ist Rechtsanwältin und Partnerin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe Arbeitsrecht.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Manuel Poncza
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf




Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2021 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie hier nachlesen.

datenschutz@heuking.de