Aber müsste der Betriebsrat auch tatsächlich das Bußgeld bezahlen?
Das kann er gar nicht, denn der Betriebsrat verfügt mit Ausnahme seines Erstattungsanspruchs gegenüber dem Arbeitgeber über kein eigenes Vermögen. Nicht auszuschließen aber unwahrscheinlich ist, dass die einzelnen Betriebsratsmitglieder für die Begleichung des Bußgelds herangezogen werden. Zum einen fehlt ihnen die besondere persönliche Eigenschaft "Verantwortlicher", die für die Verhängung eines Bußgeldes erforderlich ist. Zum anderen gilt für das Betriebsratsamt das Ehrenamtsprinzip, was einer exorbitanten Haftung von Betriebsratsmitgliedern im nicht vertraglichen Bereich bereits entgegenstehen würde.
Nicht nur aus diesem Grunde dürfte auch eine bußrechtliche Haftung auch des Vorsitzenden des Betriebsrates ausscheiden. Denn die Zurechnungsnorm des § 9 OWiG, welche die Haftung auf Vertreterorgane ausweitet, ist auf juristische Personen zugeschnitten. Der Betriebsrat ist jedoch ein gesetzlich berufenes Vertretungsorgan der Belegschaft und daher nicht einmal annähernd vergleichbar mit juristischen Personen und deren zivil- und strafrechtlichen Haftungsstrukturen.
Deshalb ist es durchaus wahrscheinlich, dass wirtschaftlich am Ende doch der Arbeitgeber die Bußgelder, die auf fahrlässiger Verletzung der DSGVO durch den Betriebsrat beruhen, tragen muss. Dogmatischer Ansatzpunkt hierfür ist der bereits erwähnte § 40 BetrVG, wonach "erforderliche" Kosten des Betriebsrats vom Arbeitgeber zu tragen sind. Bußgelder wegen vorsätzlichen oder grob fahrlässigen Verstößen des Betriebsrates gegen die DSGVO können über diese Norm jedoch nicht auf den Arbeitgeber abgewälzt werden und müssten gegebenenfalls von den verantwortlichen Betriebsratsmitgliedern selbst getragen werden.
Resümee
Die Rechtslage ist bislang noch unklar. Klar ist aber, dass Arbeitgeber und Betriebsrat haftungstechnisch im selben Boot sitzen. Insofern sollten die datenschutzrechtlichen Beziehungen zwischen ihnen soweit wie möglich geklärt sowie Verantwortungen definiert und abgegrenzt werden, etwa durch Betriebsvereinbarungen.
Nahezu unerlässlich ist bereits jetzt, dass der Arbeitgeber angemessene Privacy-Compliance-Maßnahmen ergreift und unter anderem seinen Betriebsrat mit den für die Einhaltung des Datenschutzes erforderlichen Ressourcen ausstattet. Dazu gehört in Anbetracht des umfassenden Pflichtenprogramms des Betriebsrates auch das proaktive Zurverfügungstellen von DSGVO-Schulungen für den Betriebsrat.