Der Blick soll im heutigen Beitrag auf das – zumindest – sprachlich etwas holprig daherkommende Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in der digitalen Arbeitswelt, kurz: das Betriebsrätemodernisierungsgesetz, drehen. Der Gesetzesentwurf des Bundesministeriums für Arbeit und Soziales ist auf der Seite des Bundestages abrufbar. Das Gesetz wurde nunmehr am 21.05.2021 vom Bundestag verabschiedet, der Bundesrat erteilte am 28.05.2021 seine Zustimmung.
WELCHES ZIEL VERFOLGT DAS GESETZ?
Das Gesetz verfolgt vorrangig die Stärkung der Arbeit der Betriebsräte und soll eine Vereinfachung von Betriebsratswahlen herbeiführen. Ausweislich der Entwurfsbegründung sollen u.a. für die Teilnahme an Betriebsratssitzungen mittels Video- oder Telefonkonferenz für die Betriebsratsarbeit sachgerechte und dauerhafte Regelung geschaffen werden, die zugleich einen wesentlichen Beitrag zur Digitalisierung der Betriebsratsarbeit leisten. Auf Grund der Vergleichbarkeit der Regelungsmaterie soll die dauerhafte Möglichkeit der Nutzung virtueller Sitzungsformate auch für die Personalvertretungen auf Bundesebene geschaffen werden.
Daneben soll auch die datenschutzrechtliche Verantwortlichkeit nach der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden. Hierauf soll im Folgenden näher eingegangen werden:
WELCHE DATENSCHUTZRECHTLICHE REGELUNG WIRD GETROFFEN?
Der Gesetzgeber beabsichtigt zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret wird der folgende § 79a Betriebsverfassungsgesetz (BetrVG) eingeführt:
§ 79a
(Datenschutz)
Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.
WIRD FÜR RECHTSKLARHEIT GESORGT?
Zunächst erfolgt mit § 79a Satz 1 BetrVG eine eher klarstellende Regelung. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Aus der Entwurfsbegründung lässt sich entnehmen, dass die Verarbeitung personenbezogener, mitunter sensibler Beschäftigtendaten zum Kernbereich der Aufgabenerfüllung der Betriebsräte zählt. Ihnen kommt daher eine besondere Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften zu. Aufgrund der sich aus der DS-GVO ergebenden Verpflichtung zur Einhaltung der Grundsätze zur Datenverarbeitung, insbesondere aus Art. 5 DS-GVO, dient der Satz 1 zur Klarstellung der Verpflichtungen seitens des Betriebsrates.
Ferner macht der Gesetzgeber mit der Regelung des § 79a Satz 2 BetrVG von der Öffnungsklausel des Art. 4 Nr. 7 Halbsatz 2 DS-GVO Gebrauch. Diesbezüglich führt die Entwurfsbegründung an, dass die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sachgerecht ist, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigter Institution ist. Bei der Verarbeitung personenbezogener Daten agieren die Betriebsräte als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Ferner soll die Regelung die bislang bestehende, seit dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) jedoch umstrittene Rechtslage fortführen und der Schaffung von Rechtsklarheit dienen. Durch die Regelung wird also der Versuch unternommen, die Verantwortlichkeit für Datenverarbeitungen, welche im Rahmen der Betriebsratsarbeit durchgeführt werden, dem Arbeitgeber zu unterstellen. Die Schaffung von Rechtsklarheit zielt hier im Wesentlichen auf den anhalten Streit um die Frage, ob Mitarbeitervertretungen wie beispielsweise der Betriebsrat als eigenständige Verantwortliche anzusehen oder eben als Teil des verantwortlichen Arbeitgebers einzustufen sind.
Kritisch über den Gesetzesentwurf äußerte sich bereits die Gesellschaft für Datenschutz und Datensicherheit e.V. in ihrer Stellungnahme vom 11. Februar 2021.
Ausweislich der Begründung des Gesetzesentwurfs zu § 79a BetrVG besteht keine Pflicht seitens des Betriebsrates ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO zu führen. Gleichzeitig ergeht der Hinweis, dass das Verarbeitungsverzeichnis des Arbeitgebers gleichermaßen die Verarbeitungstätigkeiten des Betriebsrates enthalten muss. Dies wirft mit Sicherheit in der Praxis Fragen dergestalt auf, wie der Verantwortliche in Fällen des mangelnden Informationsflusses zwischen Betriebsrat und Arbeitgeber beispielsweise aufgrund angespannter Verhältnisse, die gemäß Art. 30 DS-GVO erforderlichen Informationen beibringen kann.
Ähnliches dürfte bei der Erfüllung der Betroffenenrechte aus dem Kapitel III der DS-GVO – hier hebt die Entwurfsbegründung explizit das Auskunftsrecht (Art. 15 DS-GVO) hervor – sowie, ohne dass in der Entwurfsbegründung näher darauf eingegangen wird, die Behandlung von Datenschutzverletzungen und damit einhergehenden Melde- und Informationspflichten der Art. 33 und Art. 34 DS-GVO gelten. In diesen Fällen ist der Arbeitgeber unbestreitbar auf Mit- bzw. Zuarbeit des Betriebsrates angewiesen, wenn sich die geltend gemachten Rechte bzw. die eingetretenen Datenschutzverletzungen auf durch den Betriebsrat verarbeitete personenbezogene Daten beziehen. Dies gilt nicht zuletzt vor den gesetzlich normierten Fristen zur Bearbeitung.
Im Gegensatz zu den oben genannten Konstellationen führt die Entwurfsbegründung anschließend jedoch aus, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DS-GVO sicherzustellen hat. Im Gegensatz stehen diese Ausführungen deshalb, da Art. 24 und Art. 32 DS-GVO – ebenso wie Art. 30 und Art. 15 DS-GVO – den Verantwortlichen, also gemäß den eingangs geschilderten Regelungen den Arbeitgeber und gerade nicht den Betriebsrat, verpflichten. Diese unterschiedliche Begründungshaltung verwundert doch zunächst.
Fraglich bleibt bei diesem nicht stringenten Begründungsverhalten weiterhin, wie beispielsweise im Rahmen von Schadenersatzansprüchen durch Betroffene gemäß Art. 82 DS-GVO oder Bußgeldsanktionierungen durch die Aufsichtsbehörde gemäß Art. 83 DS-GVO zu verfahren ist.
In der Vergangenheit wurde bereits in Thüringen für die Personalvertretung in § 80 Thüringer Personalvertretungsgesetz (ThürPersVG) eine „vergleichbare“ Regelung erlassen. Diese sieht vor, dass der Personalrat einen Datenschutzbeauftragten zu bestellen habe. Insofern man die entsprechenden europäischen Grundlagen der Art. 37 Abs. 1 DS-GVO bzw. Art. 37 Abs. 4 DS-GVO in Verbindung mit § 38 BDSG heranzieht, wird deutlich, dass grundsätzlich der Verantwortliche bzw. der Auftragsverarbeiter zur Benennung verpflichtet sind.
FAZIT
Der neueinzuführende § 79a BetrVG kann definitiv als Möglichkeit zur Regelung der datenschutzrechtlichen Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat einzustufen sein. Offenbleiben muss jedoch, ob hiermit auch die vom Gesetzgeber angestrebte Rechtssicherheit bzw. -klarheit herbeigeführt werden kann.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.