02.12.2021

Betriebsratswahl 2022: Haften Arbeitgeber, wenn Betriebsräte gegen den Datenschutz verstoßen?

Datenschutz ist auch bei Betriebsratswahlen ein wichtiges Thema: § 79a BetrVG hält den Betriebsrat dazu an, bei der Verarbeitung personenbezogener Daten die datenschutzrechtlichen Vorschriften einzuhalten, bestimmt jedoch den Arbeitgeber zum datenschutzrechtlich Verantwortlichen und damit zum Haftenden. Doch welche Kontrollmöglichkeiten hat der Arbeitgeber überhaupt, um einen Haftungsfall zu vermeiden?

Rechtliche Ausgangslage

Der Betriebsrat kommt im Rahmen seiner Aufgaben umfassend mit personenbezogenen Daten in Kontakt (zum Beispiel bei Auskunftsansprüchen, der Einstellung oder Versetzung eines Arbeitnehmers oder bei einem Interessenausgleich). Vor Inkrafttreten des § 79a BetrVG am 18. Juni 2021 existierte keine konkrete Regelung in Bezug auf die Berücksichtigung datenschutzrechtlicher Bestimmungen durch den Betriebsrat. Nach der Rechtsprechung des BAG stand fest, dass der Betriebsrat zumindest in gewissen Grenzen den Datenschutz zu berücksichtigen hat. Umstritten war jedoch, ob der Betriebsrat dabei selbst als eigenständiger Verantwortlicher gem. Art. 4 Nr. 7 DSGVO haftbar oder unselbstständiger Teil des verantwortlichen Arbeitgebers ist. Dies hat der Gesetzgeber nun klargestellt; so heißt es im Satz 2 des § 79a BetrVG:

Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.

Diese, auf den ersten Blick zu begrüßende Klarstellung, wirft angesichts des Eingangssatzes der Neuregelung jedoch Fragen auf. Dort heißt es:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.

Der deutsche Gesetzgeber kann gemäß Art. 4 Nr. 7 DSGVO in bestimmten Fällen gesetzlich festlegen, wer Verantwortlicher ist. Problematisch ist nur, dass sich der deutsche Gesetzgeber, soweit es um die weiteren datenschutzrechtlichen Regelungen geht, nicht an die Systematik der DSGVO gehalten hat, sondern die Pflichten zwischen Arbeitgeber und Betriebsrat aufgeteilt hat. Lässt man die Frage, ob eine solche Aufteilung unter europarechtlichen Gesichtspunkten überhaupt wirksam vorgenommen werden kann, erstmal unbeachtet, führt diese Aufteilung zu praktischen Problemen – insbesondere, weil der Arbeitgeber am Ende für die Einhaltung haftet.

Aufteilung der datenschutzrechtlichen Zuständigkeiten auf Arbeitgeber und Betriebsrat

Das Gesetz verkompliziert durch den gewählten Mittelweg, mit dem es Verantwortlichkeit nach der DSGVO und Verpflichtung im Sinne der DSGVO voneinander löst, das Verhältnis zwischen Betriebsrat und Arbeitgeber. Der Arbeitgeber ist datenschutzrechtlich Verantwortlicher und muss damit dafür sorgen, dass die Vorgaben der DSGVO eingehalten werden. Dies kann der Arbeitgeber jedoch nur gewährleisten, wenn er in datenschutzrechtlicher Hinsicht anweisen und überprüfen kann, wie der Betriebsrat diese Pflichten umsetzt. Allerdings ist der Betriebsrat dem Strukturprinzip der Betriebsverfassung nach autonom und unterliegt daher keinen Weisungen des Arbeitgebers.

Anderes ergibt sich auch nicht aus der in § 79a Satz 3 BetrVG normierten Unterstützungspflicht zwischen Betriebsrat und Arbeitgeber. Diese gibt nicht vor, inwieweit dem Arbeitgeber datenschutzrechtliche Kontrollrechte zustehen. Dabei wollte der Gesetzgeber, dass die Autonomie des Betriebsrats im Datenschutzrecht nicht durchbrochen wird und es dem Arbeitgeber weiterhin verboten bleibt, dem Betriebsrat Vorgaben hinsichtlich des Datenschutzes zu machen. Die umfassende Verantwortlichkeit in Sachen Datenschutz bleibt indes beim Arbeitgeber.

Die Rolle des Datenschutzbeauftragten

Der Hinweis auf den Datenschutzbeauftragten in § 79a Satz 4 BetrVG ist ebenfalls keine Hilfe für den Arbeitgeber. Dieser ist dem Arbeitgeber gegenüber zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse über den Meinungsbildungsprozess des Betriebsrats ermöglichen könnten. Erfährt der Datenschutzbeauftragte von einem Verstoß, der im Zusammenhang mit dem Meinungsbildungsprozess steht, darf er den Arbeitgeber nicht über diesen Verstoß informieren. Die Weisungsfreiheit und Unabhängigkeit des Datenschutzbeauftragten dürfte es dem Arbeitgeber zweifellos erschweren, in derartigen Situationen rechtskonform zu handeln.

Fehlende Exkulpations- und Enthaftungsmöglichkeit des Arbeitgebers

Leider enthält § 79a BetrVG keine Exkulpations- oder Enthaftungsmöglichkeit zugunsten des Arbeitgebers. Obwohl der Arbeitgeber keine Kontrolle über die Datenschutzorganisation des Betriebsrats hat, haften Unternehmen dennoch für jegliches datenschutzrechtliche Fehlverhalten des Betriebsrats. Insbesondere wird sich der Arbeitgeber nicht auf eine mangelhafte Umsetzung der Unterstützungspflicht berufen können, weil diese nichts an seiner Verantwortung ändert. Die durch § 79a BetrVG geschaffene Konstellation stellt für den Arbeitgeber daher eine unkontrollierbare Haftungsfalle dar. Die gesamte Konstruktion des § 79a BetrVG verletzt den zivilrechtlichen Grundsatz, dass man nur in dem Umfang des eigenen Verschuldens haftet und ist dadurch rechtsdogmatisch äußerst problematisch. Durch die mangelhafte gesetzliche Regelung werden Arbeitgeber letztlich gezwungen, datenschutzrechtliche Verstöße hinzunehmen, um dann ggf. den Weg über ein Verfahren nach § 23 BetrVG anzustrengen.

Fazit und Lösungsansätze

§ 79a BetrVG ist aus den dargelegten Gründen offen gesagt überflüssig – diese Norm hilft schlicht niemandem. Die in der Praxis wirklich entscheidende Frage des Umgangs mit der Haftung und entsprechenden Kontrollmöglichkeiten wird nicht geregelt. Dem Arbeitgeber ist es nicht möglich, die oben beschriebene Haftungssystematik abzuschwächen. Nach hiesiger Auffassung ist die einzige Handlungsoption des Arbeitgebers, mit dem Betriebsrat gemeinsam verbindliche Regelungen zur Einhaltung des Datenschutzes zu treffen. Soweit Anhaltspunkte dafür bestehen, dass ein Betriebsrat datenschutzrechtlich unsauber arbeitet, sollten Arbeitgeber stets genau prüfen, welche Informationen an den Betriebsrat zur Aufgabenerfüllung weiterzugeben sind und welche nicht. Denn insbesondere innerhalb der allgemeinen Auskunftsansprüche nach § 80 Abs. 2 BetrVG wird der Betriebsrat den Schutz personenbezogener Daten sicherstellen müssen.

Autor/in
Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Klaus Thönißen, LL.M. (San Francisco)

Klaus Thönißen, LL.M. (San Francisco)
Partner
Essen
klaus.thoenissen@luther-lawfirm.com
+49 201 9220 24659