Rechtsprechung zur DSGVO

Haftet der Betriebsrat künftig für Bußgelder?

09.05.2019
Von   IDG ExpertenNetzwerk und
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Jan-Patrick Vogel ist Fachanwalt für Arbeitsrecht und Salary Partner bei TaylorWessing, Er ist spezialisiert auf die Einrichtung von präventiven Compliance-Maßnahmen und -Strukturen, insbesondere im HR-Bereich sowie auf die Durchführung von internen Untersuchungen.
Noch sind die Bestimmungen der DSGVO in vielen Unternehmen nicht vollständig umgesetzt, da stellt sich die Frage, wer für etwaige Verstöße in Anspruch genommen werden kann. Muss sich auch der Betriebsrat Sorgen machen?
Welche Rolle spielt der Betriebsrat in Bezug auf die DSGVO/GDPR?
Welche Rolle spielt der Betriebsrat in Bezug auf die DSGVO/GDPR?
Foto: Vector Plus Image - shutterstock.com

Adressat der DSGVO und damit möglicher Empfänger von Bußgeldern ist der Verantwortliche für den Umgang mit den Daten. Dieser wird als derjenige definiert, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dies kann zum einen eine natürliche oder juristische Person, Behörde, Einrichtung oder eine sogenannte "andere Stelle" sein (siehe Art. 4 Nr. 7 DSGVO). Doch wer ist diese "andere Stelle"? Die Formulierung ist wie viele andere Bestimmungen neu, denn das vor dem "D-Day" der DSGVO am 25.05.2018 geltende Datenschutzrecht kannte solche Formulierungen nicht.

Rolle des Betriebsrats im Rahmen der DSGVO

Hieran entzündet sich eine Frage, die auch betriebspolitisch heiß ist: welche Rolle spielt der Betriebsrat datenschutzrechtlich? Schließlich verarbeitet auch der Betriebsrat im Rahmen der Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben personenbezogene Daten der Beschäftigten und zwar weisungsfrei und eigenverantwortlich. Die jeweiligen Datenschutzbehörden heben hierzu unterschiedliche Meinungen.

Datenschutzbehörden sind uneins

Der Landesbeauftragte für Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg beantwortet die Frage in seinem 34. Tätigkeitsbericht 2018 eindeutig: "Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen."

Der Präsident des Bayrischen Landesamtes für Datenschutzaufsicht, verneinte die Verantwortlichkeit des Betriebsrates hingegen, bestätigte jedoch auch nochmals, dass das Meinungsbild der deutschen Datenschutzbehörden in dieser Frage völlig uneinheitlich ist (vgl. ZD, 1/2019, Interview 1).

Keine Richtschnur durch die Rechtsprechung

Arbeitgeber sollten Compliance-Regeln treffen, die auch den Betriebsrat miteinbeziehen,
Arbeitgeber sollten Compliance-Regeln treffen, die auch den Betriebsrat miteinbeziehen,
Foto: SB_photos - shutterstock.com

Doch nicht nur die deutschen Datenschutzbehörden, auch die Gerichte bieten keine Richtschnur. Bislang war zumindest das Bundesarbeitsgerichts (BAG) in seiner Rechtsprechung zum Datenschutzrecht davon ausgegangen, dass der Betriebsrat nicht selbst Verantwortlicher, sondern nur Teil des primär verantwortlichen Arbeitsgebers ist (siehe BAG, Beschluss vom 14.1.2014 - 1 ABR 54/12). Diese Rechtsprechung ist jedoch mit In-Kraft-Treten der DSGVO obsolet.

Deshalb ist es nur folgerichtig, dass das Landesarbeitsgericht (LAG) Sachsen-Anhalt in seinem Beschluss vom 18.12.2018 (Az. 4 TaBV 19/17) den Betriebsrat nun im Feuer stehen sieht : "Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO ("oder andere Stelle"), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet." Das LAG Hessen folgt in seinem Beschluss vom 10.12.2018 (Az. 16 TaBV 130/18) hingegen der bisherigen Rechtsprechung und sieht den Betriebsrat als "Teil der verantwortlichen Stelle" an.

Was sind die Konsequenzen?

Die Einstufung des Betriebsrats als Verantwortlichen im Sinne der DSGVO könnte gravierende Konsequenzen, nicht nur für den Betriebsrat selbst, sondern auch für die Unternehmen haben. Der Betriebsrat hätte zunächst in eigener Verantwortlichkeit die Anforderungen der DSGVO umzusetzen. Dies betrifft vor allem die Auskunfts-, Lösch- und Informationspflichten sowie die Durchführung einer Datenschutz-Folgenabschätzung. Hierfür muss ihm aber das Unternehmen alle notwendigen Ressourcen zur Verfügung stellen und die dafür entstehenden Kosten tragen. Denn nach § 40 BetrVG hat der Arbeitgeber die Kosten der Betriebsratstätigkeit zu tragen.

Wer haftet für Bußgelder?

Betriebspolitische Sprengkraft birgt zudem die Frage, ob der Betriebsrat auch für etwaige Bußgelder wegen etwaiger Verletzungen der DSGVO haften muss und, falls zu bejahen, ob und wenn wiederum ja welches Betriebsratsmitglied persönlich dafür geradestehen müsste? Der LfDI Baden-Württemberg geht von einer Bußgeldfähigkeit des Betriebsrats aus und verweist auf ein Urteil des Bundesgerichtshofs (BGH), indem zumindest eine partielle Rechtsfähigkeit des Betriebsrates angenommen wurde (siehe BGH, Urteil vom 25.10.2012 - III ZR 266/11). Mit diesem Urteil ist jedoch noch nichts über eine mögliche Stellung des Betriebsrates als Adressat eines Bußgeldes gesagt. Allerdings kommt der Betriebsrat ohne weiteres auch als Adressat eines Bußgeldbescheides in Betracht, sofern er als Verantwortlicher eingestuft wird. Denn rechtsfähig ist der Betriebsrat immer dann, wenn er seinen betriebsverfassungsrechtlichen Aufgaben nachgeht.