Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Urteil
15. September 2022

Datenschutzkonzept: Für den Betriebsrat obligatorisch

Gratis
Ohe Datenschutzkonzept hat der Betriebsrat keinen Anspruch auf Datenübermittlung
Bild: iStock.com / AndreyPopov
4,00 (2)
Inhalte in diesem Beitrag
Bedeutung des neuen § 79a BetrVG
Manche Gerichtsentscheidungen behandeln Themen, die auf den ersten Blick ausgesprochen speziell wirken. Doch bei näherem Hinsehen enthalten sie Ausführungen, die weit über den Einzelfall hinaus von Bedeutung sind. So hier, wo das Gericht grundsätzliche Ausführungen zum Datenschutzkonzept des Betriebsrats macht.

Hat der Betriebsrat die Pflicht, ein Datenschutzkonzept zu erstellen und umzusetzen oder nicht? Und welche Folgen könnte ein nicht vorhandenes Datenschutzkonzept haben? Ein Urteil schafft Klarheit.

Ein Betriebsrat möchte eine Schwerbehindertenvertretung auf den Weg bringen

In einem Betrieb gibt es zwar einen Betriebsrat, aber noch keine Schwerbehindertenvertretung. Deshalb möchte der Betriebsrat eine Wahlversammlung einberufen, damit ein Wahlvorstand gewählt wird, der dann die Wahl einer Schwerbehindertenvertretung organisieren soll.

Die Arbeitgeberin verweigert ihm die Namen der schwerbehinderten Menschen

Um in dieser Weise aktiv werden zu können, verlangt der Betriebsrat von der Arbeitgeberin Auskunft über alle schwerbehinderten Menschen im Betrieb. Das lehnt die Arbeitgeberin ab. Sie ist der Auffassung, dass hierfür eine individuelle Einwilligung jedes schwerbehinderten Menschen nötig wäre, der bei ihr beschäftigt ist.

Angeblich hat sie versucht, solche Einwilligungen einzuholen. Ein Teil der schwerbehinderten Menschen habe die Einwilligung jedoch verweigert. Mit dieser Begründung lehnt die Arbeitgeberin eine Übermittlung der gewünschten Daten an den Betriebsrat ab.

Datenschutz PRAXIS Hinweisbox

DIE Zeitschrift für Datenschutzbeauftragte

Theorie war gestern – wir unterstützen Sie im DSB-Alltag! Datenschutz PRAXIS liefert Ihnen jeden Monat schnell lesbares Know-how auf 20 Seiten und eine Download-Flat für Arbeitshilfen, Checklisten u.v.m. Auch papierlos als reines Online-Abo erhältlich!

 

Das Gericht bejaht einen Anspruch des Betriebsrats auf die Namen

Das Landesarbeitsgericht Baden-Württemberg bejaht einen Anspruch des Betriebsrats auf Übermittlung der gewünschten Daten. Dem Betriebsrat stehe ein Anspruch auf die Namen aller schwerbehinderten Menschen zu, damit er die Einberufung einer Wahlversammlung für eine Schwerbehindertenvertretung organisieren kann.

Die Förderung schwerbehinderter Menschen ist seine gesetzliche Aufgabe

Rechtsgrundlage hierfür ist nach Auffassung des Gerichts § 80 Abs. 2 Satz 1 Betriebsverfassungsgesetz (BetrVG). Demnach hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Dabei ist zu berücksichtigen, dass es gesetzliche Aufgabe des Betriebsrats ist, die Eingliederung schwerbehinderter Menschen zu fördern (§ 176 Satz 1 Sozialgesetzbuch X).

Auf eine Einwilligung der betroffenen Personen kommt es deshalb nicht an

Vor diesem Hintergrund hängt die Übermittlung der gewünschten Daten an den Betriebsrat nicht von der Einwilligung der betroffenen Arbeitnehmer ab. Es steht nicht in ihrer Disposition, ob ein Betriebsrat die Aufgaben erfüllen kann, die ihm durch Gesetz zugewiesen sind.

Ihre sensiblen Daten müssen aber besonders geschützt werden

Bis zu diesem Punkt wäre die Entscheidung des Gerichts eher etwas für ausgesprochene Spezialisten des Arbeitsrechts, die sich mit dem Teilgebiet „Recht der schwerbehinderten Menschen“ befassen. Dann allerdings macht das Gericht grundsätzliche Ausführungen, deren Bedeutung weit über die spezielle Konstellation hinausgeht.

Es weist nämlich auf Folgendes hin:

  • Der Betriebsrat möchte Daten über schwerbehinderte Menschen erhalten. Diese Daten gehören zu den „besonderen Arten personenbezogener Daten“ im Sinn von Art. 9 Abs. 1 und Art. 4 Nummer 15 Datenschutz-Grundverordnung (DSGVO) (sogenannte „sensitive Daten“).
  • Das Bundesdatenschutzgesetz (BDSG) legt fest, dass für die Verarbeitung solcher Daten „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person“ vorzusehen sind. Dies ergibt sich daraus, dass im Rahmen von § 26 BDSG („Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“) § 26 Abs. 3 Satz 3 BDSG festlegt, dass § 22 Abs. 2 BDSG für die Verarbeitung von Daten in ein Beschäftigungsverhältnis entsprechend gilt.

Zentrale Regelung hierfür ist ergänzend zur DSGVO § 22 Abs. 2 BDSG

  • 22 Abs. 2 BDSG wiederum ordnet in seinem Satz 1 zunächst die allgemeine Pflicht zu angemessenen und spezifischen Maßnahmen an, die die Interessen der betroffenen Person wahren sollen. In seinem Satz 2 listet er dann beispielhaft nicht weniger als zehn Maßnahmen auf, die dabei in Betracht kommen können. Dabei nennt er unter anderem die Pseudonymisierung und die Verschlüsselung von Daten.
  • Der nationale deutsche Gesetzgeber war berechtigt, die DSGVO durch solche Vorgaben näher zu spezifizieren. Das ergibt sich aus der „Öffnungsklausel“ in Art. 9 Abs. 2 Buchstabe b DSGVO, die solche nationalen Ergänzungen erlaubt.

Der Betriebsrat ist verpflichtet, ein Datenschutzkonzept zu erstellen

Aus dieser Situation leitet das Gericht die Pflicht des Betriebsrats ab, ein Datenschutzkonzept zu erstellen und umzusetzen:

  • Es ist Sache des Betriebsrats, ein Datenschutzkonzept zu erstellen, das diesen Anforderungen genügt. Dem Arbeitgeber ist es verwehrt, durch entsprechende Anforderungen in die Tätigkeit des Betriebsrats einzugreifen. Dies würde gegen die Unabhängigkeit des Betriebsrats verstoßen.
  • Wenn der Betriebsrat vom Arbeitgeber die Übermittlung von Daten fordert, muss der Betriebsrat darlegen, dass er durch ein Datenschutzkonzept die notwendigen Maßnahmen getroffen hat, um die berechtigten Interessen der betroffenen Arbeitnehmer (hier: der schwerbehinderten Arbeitnehmer) zu wahren.
  • Tut der Betriebsrat dies nicht oder nicht in ausreichender Weise, hat er gegenüber dem Arbeitgeber keinen Anspruch auf Übermittlung der gewünschten Daten.
  • Es würde nicht ausreichen, dass der Betriebsrat allgemein versichert, die gesetzlichen Vorgaben zu beachten.

Dieser Pflicht zum Datenschutzkonzept ist der Betriebsrat vorliegend nachgekommen

Im vorliegenden Fall hat der Betriebsrat ein Datenschutzkonzept vorgelegt. Dieses Konzept ist aus der Sicht des Gerichts ausreichend. Dabei hebt es folgende Aspekte hervor:

  • Die Daten sind im Betriebsratsbüro durch entsprechende Zugangsbeschränkungen zu diesem Büro gesichert.
  • Für eine etwaige elektronische Übermittlung an den Betriebsrat existiert eine spezielle Empfängeradresse mit Passwortschutz.
  • Das Datenschutzkonzept enthält Regelungen für die Löschung von Daten und für Kontrollen in diesem Zusammenhang.
  • Das Konzept sieht eine spezielle Sensibilisierung der Personen vor, die Kontakt zu personenbezogenen Daten haben.

Ausdrücklich hält das Gericht fest, dass das Datenschutzkonzept vom Betriebsrat offensichtlich auch tatsächlich „gelebt“ wird. Zweifel daran haben sich für das Gericht nicht ergeben.

§ 79a BetrVG klärt die Verantwortungsbereiche der Betriebspartner im Datenschutz

Zur Abgrenzung der Verantwortungsbereiche von Arbeitgeberin und Betriebsrat im Datenschutz erläutert das Gericht, was sich aus der Regelung von § 79a BetrVG ergibt. Sie wurde in ihrer jetzigen Form erst Mitte 2021 eingeführt und sieht in ihren Sätzen 1-3 Folgendes vor:

  • Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.
  • Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.
  • Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Viele Pflichten des Datenschutzes bleiben beim Arbeitgeber

Daraus leitet das Gericht folgende Abgrenzung der Verantwortungsbereiche ab:

  • Verantwortlicher im Sinn der DSGVO ist auch hinsichtlich der Verarbeitung von personenbezogenen Daten durch den Betriebsrat der Arbeitgeber.
  • Aus der Pflicht zur gegenseitigen Unterstützung ergibt sich für den Arbeitgeber „eine eigenständige Kontrollmöglichkeit im gewissen Umfang“. Wie weit diese Kontrollmöglichkeit in der Praxis aussehen soll und wo ihre Grenzen liegen, erläutert das Gericht allerdings nicht näher.
  • Vom Betriebsrat kann nicht verlangt werden, dass er ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO führt oder dass er eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO vornimmt. Verantwortlich hierfür ist nicht der Betriebsrat, sondern der Arbeitgeber als Verantwortlicher gemäß Art. 4 Nummer 7 DSGVO.
  • Arbeitgeber und Betriebsrat können eine Betriebsvereinbarung darüber schließen, wie der Datenschutz bei der Tätigkeit des Betriebsrats gewährleistet ist. Zwingend ist eine solche Betriebsvereinbarung jedoch nicht.

Einige Einwendungen der Arbeitgeberin sind deshalb unberechtigt

Vorliegend kann die Arbeitgeberin dem Betriebsrat also nicht entgegenhalten, dass es an einer entsprechenden Betriebsvereinbarung fehle und dass der Betriebsrat weder ein Verzeichnis der Verarbeitungstätigkeiten führe noch eine Datenschutz-Folgenabschätzung vorgenommen habe. Dies sind keine tragfähigen Begründungen dafür, ihm die Übermittlung der gewünschten Daten zu verweigern.

Wichtig
Ohne Datenschutzkonzept hätte der Betriebsrat keine Daten erhalten

Im Ergebnis bekommt der Betriebsrat im konkreten Fall die von ihm gewünschten Daten. Hätte er nicht über ein Datenschutzkonzept verfügt, hätte ihm die Arbeitgeberin die Übermittlung der Daten allerdings verweigern können und sogar verweigern müssen. Denn sonst hätte sie die sensiblen Daten in eine Umgebung übermittelt, in der sie nicht hinreichend geschützt gewesen wären.

Die Entscheidung des Landesarbeitsgerichts Baden-Württemberg vom 20.5.2022 trägt das Aktenzeichen 12 TaBV4/21 und ist abrufbar unter http://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&nr=37924.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON .

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.