Datenschutz bei Betriebsrat und Personlrat. Das Thema ist in der täglichen Beratung immer wieder relevant; wir hatten dazu im vergangenen Jahr schon berichtet. Inzwischen liegen damals erwartete Entscheidungen des Europäischen Gerichtshofs vor und – vor allem – etwas überraschende Äußerungen des Bundesarbeitsgerichts. Anlass genug, den aktuellen Stand noch einmal zusammenzufassen:
So Viel ist sicher: Betriebs- und Personalräte sind keine eigenen verantwortlichen Stellen
Beim DS-GVO-Start wurde noch heftig gestritten, ob Beschäftigtenvertretungen (Betriebsräte, Personalräte, Mitarbeitervertretungen kirchlicher Einrichtungen) als eigene verantwortliche Stellen anzusehen sind. Dafür ist nach Art. 4 Nr. 7 DS-GVO wichtig, ob sie selbst über „Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“. Mittlerweile besteht Einigkeit, auch unter den Aufsichtsbehörden: Verantwortliche Stelle ist die jeweilige Behörde, das Unternehmen, … . Begründet wird dies damit, dass die Beschäftigtenvertretungen nicht selbständig über Zweck und Mittel der Datenverarbeitung bestimmen können, sondern insbesondere die Verarbeitungszwecke gesetzlich vorgegeben sind. Der Bundesgesetzgeber hat das vorsichtshalber für den Betriebsrat in § 79a Satz 2 BetrVG ausdrücklich festgehalten.
Ähnliches gilt für interne Datenschutzbeauftragte in Unternehmen und in Behörden. Auch bei ihnen begründet die fachliche Unabhängigkeit begründet keine Eigenständigkeit im Datenschutz als verantwortliche Stelle. Dies lässt sich auf Geldwäschebeauftragte, Strahlenschutzbeauftragte, … übertragen.
Ganz klar: Die Datenschutzbeauftragten überwachen auch die Datenverarbeitung der Beschäftigtenvertretung
Aus der datenschutzrechtlichen Zugehörigkeit ergibt sich, dass die Datenschutzbeauftragten der Einrichtung auch für die Datenverarbeitung der Beschäftigtenvertretung zuständig sind, also nach Art. 39 Abs. 1 lit. b) DS-GVO überwachen, ob die Datenschutzvorschriften eingehalten werden.
Bei der Überwachung der Datenverarbeitung des Betriebs-/Personalrats ist die Unabhängigkeit der Datenschutzbeauftragten von Weisungen des Arbeitgebers besonders wichtig. Ob, wann und wie Datenschutzbeauftragte die Datenverbindungen der Personalvertretung prüfen, kann vom Arbeitgeber nicht nachgewiesen werden. Bei ihrer Tätigkeit können und müssen die Datenschutzbeauftragten die besondere Situation und die Aufgaben der Beschäftigtenvertretung berücksichtigen (Interessenvertretung gegenüber dem Arbeitgeber). Auch hier taugt § 79a BetrVG als Merkzettel: „Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“
Wohl nur in Thüringen: Zusätzlich eigene Datenschutzbeauftragte für den Personalrat
Wahrscheinlich bundesweit einmalig regelt § 80 Abs. 1 S. 2 des Thüringer Personalvertretungsgesetzes, dass die Personalräte in Thüringen einen eigenen Datenschutzbeauftragten zu bestellen haben. Das darf im Einvernehmen mit der Dienststelle auch die/der behördliche Datenschutzbeauftragte sein – aus unserer Sicht absolut empfehlenswert. Diese Person soll für die Einhaltung des Datenschutzes in der Personalvertretung und in der Dienststelle sorgen. Macht nicht genau dasselbe schon die/der behördliche Beauftragte nach DS-GVO zwingend? Allerdings.
Es spricht viel dafür, dass die Vorschrift wegen Widersprüchlichkeit zur DS-GVO europarechtlich unzulässig ist. Ein Sinn ist jedenfalls nicht erkennbar. Vielleicht findet der Landesgesetzgeber bei Gelegenheit den Mut, die Regelung wieder zu streichen. Sind Ihnen ähnliche Normen für andere Bundesländer bekannt? Danke für Hinweise!
In der mittlerweile zwanzigjährigen Diskussion über ein Beschäftigtendatenschutzgesetz (wir berichteten) war ebenfalls hin und wieder die Idee aufgetaucht, einen gesonderten „Beschäftigtendatenschutzbeauftragten“ einzuführen (z.B. § 28 Abs. 1 Satz 1 und Abs. 2-5 des Entwurfes BÜNDNIS 90/DIE GRÜNEN vom 22.02.2011, Bundestagsdrucksache 17/4853, S. 12). Für den Datenschutz ist eine derartige Beauftragten-Häufung nicht sinnvoll. Sie verbraucht Ressourcen und schafft unter anderem die Gefahr, dass verschiedene Beauftragte unterschiedliche Auffassungen vertreten. Die Position der betrieblichen/behördlichen Beauftragten würde geschwächt.
Plötzlich nicht mehr möglich: Mitglied der Beschäftigtenvertretung zugleich Datenschutzbeauftragter?
Vor Inkrafttreten der DS-GVO hatte das Bundesarbeitsgericht (BAG) gleichzeitige Amtsausübung erlaubt (Urt. v. 13.3.2011, 10 AZR 562/99). Ein schädlicher, verbotener Interessengegensatz liege nicht vor. In neueren Fällen – aber immer noch „altes“ BDSG – wurde die Frage vom BAG dem EuGH vorgelegt und der erklärte (Urt. v. 9.2.2023, Rs. C-453/21 und C-560/21), dass Personalunion zwischen Betriebs-/Personalräten sowie Datenschutzbeauftragten jedenfalls nicht von vornherein verboten ist, sondern im Einzelfall und nach nationalem Recht geprüft werden muss, ob ein Interessengegensatz vorliegt.
Grünes Licht für das BAG, sollte man denken – die Linie aus dem Urteil 2011 kann beibehalten werden. Umso überraschender ist, dass das BAG in den beiden Fällen mit Urteilen vom 6.6.2023 (Az. 9 AZR 383/19 und Az. 9 AZR621/19 – wir berichteten) die Unvereinbarkeit der Funktionen angenommen hat. Die Urteilsbegründungen liegen noch nicht vor. Klar ist aber: Der jetzt entscheidende neunte Senat des BAG entfernt sich vom oben genannten Urteil des zehnten Senats aus dem Jahr 2011. In der Pressemitteilung zum Verfahren 383/19 heißt es: „Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.“
Wenn man das für alte Fälle vor Mai 2018 so sieht, spricht alles dafür, es beim Datenschutzbeauftragten nach DS-GVO genauso zu beurteilen. Und das hat Konsequenzen: Wenn man – wie offenbar jetzt das Bundesarbeitsgericht – einen Interessenkonflikt zwischen den Funktionen typischerweise annimmt, dann ist der Arbeitgeber nicht nur arbeitsrechtlich berechtigt, die Funktion des Datenschutzbeauftragten zu entziehen, sondern zum Widerruf der Bestellung des Datenschutzbeauftragten sogar datenschutzrechtlich verpflichtet. Bleiben Datenschutzbeauftragte trotz eines bestehenden Interessenkonflikts in ihrer Funktion, dann wäre ein solcher Datenschutzbeauftragter nicht mehr wirksam bestellt. Der Arbeitgeber würde also als verantwortliche Stelle gegen die DS-GVO verstoßen.
Damit kann Arbeitgebern nur empfohlen werden, in solchen Fällen die Bestellung zu widerrufen und andere, nicht dem Betriebs-/Personalrat angehörende Personen als Datenschutzbeauftragte zu bestellen. Spiegelbildlich muss internen Datenschutzbeauftragten – wenn sie ihre Funktion behalten möchten – davon abgeraten werden, sich für den Betriebs-/Personalrat zu bewerben…
Zusammenarbeit zwischen BEschäftigtenvertretung und Datenschutzbeauftragten
Natürlich gehört zu den Aufgaben der Beschäftigtenvertretung auch, die Datenschutzrechte der Beschäftigten zu verteidigen. Bestenfalls sollten beim Beschäftigtendatenschutz Beschäftigtenvertretung und Datenschutzbeauftragte also Hand in Hand arbeiten. Nicht selten entwickeln sich einzelne Betriebs-/Personalräte zu Spezialisten für Datenschutzfragen. Das ist sinnvoll und erfreulich. Ein transparentes Miteinander, das der Belegschaft und dem Datenschutz dient, ist optimal.
Was Datenschutzbeauftragte dazu beitragen können:
- Auf Beschäftigtenvertretungen aktiv zugehen. Nachfragen, ob die persönliche Vorstellung in einer Sitzung des Betriebs-/Personalrats möglich und gewünscht ist.
- Vertraulichkeit der Kommunikation – auch gegenüber der Arbeitgeberseite – zusagen und einhalten.
- Unkomplizierte, neutrale und zuverlässige Beratung der Beschäftigtenvertretung bei Datenschutzfragen, z.B. auch bei der Vorbereitung von Betriebs-/Dienstvereinbarungen zu datenschutzrelevanten Themen.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.