Betriebsrätemodernisierungsgesetz: Arbeitgeber als Datenschutz-Verantwortlicher, aber: Wie steht es mit der Haftung?

Die datenschutzrechtliche Verantwortlichkeit des Betriebsrates war stets umstritten; auch nach Inkrafttreten der DSGVO. Sogar das Bundesarbeitsgericht hatte ausdrücklich zu dieser Fragestellung keine Position bezogen. Höchste Zeit für den Gesetzgeber klare Verhältnisse zu schaffen. Über das Betriebsrätemodernisierungsgesetz, das am 17. Juni 2021 im Bundesgesetzblatt verkündet wurde und am 18. Juni in Kraft trat, wird der neue § 79a in das Betriebsverfassungsgesetz (BetrVG) eingefügt. Er regelt die Verantwortlichkeiten beim Datenschutz, klärt die Rolle des Datenschutzbeauftragten und verfügt ein Kooperationsgebot von Betriebsrat und Arbeitgeber. „Wie oft bei Gesetzen, so ist es auch diesmal: Einige Unklarheiten werden beseitigt, aber neue geschaffen“, erklärt der erfahrene Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. Was bedeutet die Gesetzesänderung für Arbeitgeber und worauf sollte besonders Acht gegeben werden?

In § 79a Satz 2 BetrVG wird ausdrücklich klargestellt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist, soweit die Verarbeitung zur Erfüllung der in der Zuständigkeit des Betriebsrats liegenden Aufgaben erfolgt. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers beschneidet nicht die institutionelle Unabhängigkeit des Betriebsrats. Die Zuordnung der Verantwortlichkeit wird damit begründet, dass der Betriebsrat nach außen keine rechtlich verselbstständigte Institution sei. Allerdings wird schnell klar, dass der Betriebsrat doch eine besondere Stellung genießt. In Satz 1 des § 79a BetrVG wird nämlich eben jenem Betriebsrat die Rolle zugewiesen, selbst auf für die Einhaltung der Datenschutzbestimmungen hinzuwirken. Dies zeigt Konfliktpotential, schließlich ist der Betriebsrat innerorganisatorisch selbständig und weisungsfrei; auf der anderen Seite ist der Arbeitgeber gemäß DSGVO rechenschaftspflichtig.

Wie passt das zusammen? Eigentlich gar nicht, denn die besondere Stellung des Betriebsrates ist mit der Systematik der DSGVO nur schwer in Einklang zu bringen. Denn grundsätzlich ist allein der Verantwortliche – in diesem Fall ja gem. § 79a BetrVG der Unternehmer – verpflichtet, die Regeln des Datenschutzes umzusetzen.

Wer gedacht hätte, Satz 3 des § 79a BetrVG könnte für Klarheit sorgen, wird enttäuscht. Ein Kooperationsgebot wird gegeben. Darin werden Arbeitgeber und Betriebsrat zur gegenseitigen Unterstützung verpflichtet, um die DSGVO-Regeln gemeinsam umzusetzen. Aber Achtung: Stolperfalle! Zum einen ist nicht festgelegt, wie diese Kooperation aussehen soll oder muss und zum anderen ist nicht geregelt, was passiert, wenn eine Seite die Kooperation komplett verweigert. Außerdem muss die konkrete Ausgestaltung der Zusammenarbeit die Unabhängigkeit und Eigenständigkeit des Betriebsrats gewährleisten und zugleich muss der Arbeitgeber in der Lage sein, seinen Pflichten als Verantwortlicher nachzukommen. So ist beispielsweise unter Berücksichtigung der Unabhängigkeit des Betriebsrats im Einzelfall und unter Wahrung der Vertraulichkeits- und Verschwiegenheitspflichten zu entscheiden, ob Auskunfts- und Löschungspflichten vom Arbeitgeber oder vom Betriebsrat erfüllt werden.

Hintergrund: Das Betriebsverfassungsgesetz schützt die Unabhängigkeit des Betriebsrates sowie dessen Stellung im Unternehmen. Ebenso ist die Vertraulichkeit der Beratungen unter besonderen gesetzlichen Schutz gestellt. Alle Informationen, die den Meinungsbildungsprozess des Betriebsrats betreffen, müssen deshalb einer besonderen Geheimhaltung unterliegen, um die Unabhängigkeit des Betriebsrats vom Arbeitgeber zu gewährleisten. Übrigens: Die Verschwiegenheitsverpflichtung der oder des Datenschutzbeauftragten gilt hinsichtlich der vom Betriebsrat verarbeiteten personenbezogenen Daten auch gegenüber dem Arbeitgeber.

Wie steht es mit der Haftungsfrage bei Verstößen gegen die Normen des Datenschutzes? Der Betriebsrat muss innerhalb seiner Zuständigkeit die technischen und organisatorischen Maßnahmen zur Datensicherheit treffen und dauerhaft vorhalten. Durch die Verpflichtung des Betriebsrats, sich an die Datenschutzbestimmungen zu halten, und das Kooperationsgebot wird eine Sonderrolle für den Betriebsrat geschaffen. „Der § 79a sorgt zwar für Klarheit bei der Verantwortung für die Datenverarbeitung durch den Betriebsrat, indem sie dem Arbeitgeber zugewiesen wird, hinterlässt aber einige offene Fragen und sorgt für neue datenschutzrechtliche Baustellen in den Unternehmen“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein. Konkret: Wie zu verfahren ist, wenn das Kooperationsgebot nicht befolgt wird, bleibt ungeregelt. Dennoch weist der Gesetzgeber die Haftung für Datenschutzverstöße im Tätigkeitsbereich des Betriebsrates dem Arbeitgeber in seiner Rolle als Alleinverantwortlicher für die Datenverarbeitung zu, ohne dass der Arbeitgeber Verstöße unterbinden kann (beispielsweise können allgemeingültige Unternehmensregeln nicht kontrolliert werden). Damit sind kommende Probleme schon heute erkennbar. Die UIMC hat sich auf die kommenden Herausforderungen eingestellt und bietet betroffenen Unternehmen Handlungsempfehlungen an.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel