Lange Zeit umstritten war die Frage, wer Verantwortlicher im Sinne des Datenschutzes für die im Rahmen der Betriebsratstätigkeit erhobenen Daten ist. Durch das am 18.06.2021 in Kraft getretene Betriebsrätemodernisierungsgesetz soll die Verantwortlichkeit nunmehr dem Arbeitgeber aufgebürdet werden.
Im Bereich des Datenschutzes ist es essentiell zu wissen, wer der sogenannte „Verantwortliche“ einer Datenverarbeitung ist. Dieser ist nämlich für die Einhaltung der Vorgaben der Datenschutzgrundverordnung zuständig und schließlich auch Adressat von Auskunftsansprüchen, Schadenersatzforderungen sowie Bußgeldern.
Dabei bestimmt die Datenschutzgrundverordnung, dass Verantwortlicher die Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mit dem neu eingeführten § 79a BetrVG hat der Gesetzgeber nunmehr festgelegt, dass der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften ist auch soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.
Damit kann sich der Arbeitgeber nicht (mehr) darauf berufen, dass er kein Weisungsrecht gegenüber dem Betriebsrat habe, sondern ist für die Datenverarbeitung des Betriebsrats verantwortlich auch wenn er dabei gar keine Entscheidungsgewalt besitzt. Um dieses Dilemma abzumildern sieht § 79a BetrVG zwischen Arbeitgeber und Betriebsrat eine gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften vor.
Nicht geklärt ist jedoch, was passiert, wenn der Betriebsrat die notwendige Unterstützung verweigert. Ebenso ungeklärt ist, wann die Verantwortlichkeit des Arbeitgebers bei Datenschutzverstößen von Betriebsratsmitgliedern endet und ob diese vom Arbeitgeber in Regress genommen werden können. Dies sind Fragen, die die Arbeitsgerichte und voraussichtlich auch den EuGH noch einige Zeit beschäftigen werden. Arbeitgebern und Betriebsräten ist daher anzuraten die von Gesetzgeber normierte gegenseitige Unterstützungspflicht ernst zu nehmen und eine gemeinsame datenschutzrechtliche Lösung anzustreben. Hierzu sollten die datenschutzrelevanten Prozesse des Betriebsrats in das Verzeichnis der Verarbeitungstätigkeiten des Arbeitgebers integriert und der Umgang mit personenbezogenen Daten in einer Betriebsvereinbarung festgelegt werden. Dies reduziert das Haftungsrisiko sowohl auf Arbeitgeber- als auch auf Betriebsratsseite.
Der Beitrag wurde freundlicherweise zur Verfügung gestellt von der Kanzlei ROEHLER.RECHTSANWÄLTE. Weitere Informationen erhalten Sie unter: www.rr-law.de