Der neue § 79a BetrVG schafft Klarheit und wirft zugleich neue Fragen auf

Betriebsrätemodernisierungsgesetz

Die datenschutzrechtliche Verantwortlichkeit des Betriebsrates war stets umstritten; auch nach Inkrafttreten der DSGVO. Sogar das Bundesarbeitsgericht hatte ausdrücklich zu dieser Fragestellung keine Position bezogen. Höchste Zeit für den Gesetzgeber klare Verhältnisse zu schaffen. Über das Betriebsrätemodernisierungsgesetz, das am 17. Juni 2021 im Bundesgesetzblatt verkündet wurde und am 18. Juni in Kraft trat, wird der neue § 79a in das Betriebsverfassungsgesetz (BetrVG) eingefügt. Er regelt die Verantwortlichkeiten beim Datenschutz, klärt die Rolle des Datenschutzbeauftragten und verfügt ein Kooperationsgebot von Betriebsrat und Arbeitgeber. „Wie oft bei Gesetzen, so ist es auch diesmal: Einige Unklarheiten werden beseitigt, aber neue geschaffen“, erklärt der erfahrene Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. Was bedeutet die Gesetzesänderung für Arbeitgeber und worauf sollte besonders Acht gegeben werden?

In § 79a Satz 2 BetrVG wird ausdrücklich klargestellt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist, soweit die Verarbeitung zur Erfüllung der in der Zuständigkeit des Betriebsrats liegenden Aufgaben erfolgt. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers beschneidet nicht die institutionelle Unabhängigkeit des Betriebsrats. Die Zuordnung der Verantwortlichkeit wird damit begründet, dass der Betriebsrat nach außen keine rechtlich verselbstständigte Institution sei. Allerdings wird schnell klar, dass der Betriebsrat doch eine besondere Stellung genießt. In Satz 1 des § 79a BetrVG wird nämlich eben jenem Betriebsrat die Rolle zugewiesen, selbst auf für die Einhaltung der Datenschutzbestimmungen hinzuwirken. Dies zeigt Konfliktpotential, schließlich ist der Betriebsrat innerorganisatorisch selbständig und weisungsfrei; auf der anderen Seite ist der Arbeitgeber gemäß DSGVO rechenschaftspflichtig.

Wie passt das zusammen? Eigentlich gar nicht, denn die besondere Stellung des Betriebsrates ist mit der Systematik der DSGVO nur schwer in Einklang zu bringen. Denn grundsätzlich ist allein der Verantwortliche – in diesem Fall ja gem. § 79a BetrVG der Unternehmer – verpflichtet, die Regeln des Datenschutzes umzusetzen.

Wer gedacht hätte, Satz 3 des § 79a BetrVG könnte für Klarheit sorgen, wird enttäuscht. Ein Kooperationsgebot wird gegeben. Darin werden Arbeitgeber und Betriebsrat zur gegenseitigen Unterstützung verpflichtet, um die DSGVO-Regeln gemeinsam umzusetzen. Aber Achtung: Stolperfalle! Zum einen ist nicht festgelegt, wie diese Kooperation aussehen soll oder muss und zum anderen ist nicht geregelt, was passiert, wenn eine Seite die Kooperation komplett verweigert. Außerdem muss die konkrete Ausgestaltung der Zusammenarbeit die Unabhängigkeit und Eigenständigkeit des Betriebsrats gewährleisten und zugleich muss der Arbeitgeber in der Lage sein, seinen Pflichten als Verantwortlicher nachzukommen. So ist beispielsweise unter Berücksichtigung der Unabhängigkeit des Betriebsrats im Einzelfall und unter Wahrung der Vertraulichkeits- und Verschwiegenheitspflichten zu entscheiden, ob Auskunfts- und Löschungspflichten vom Arbeitgeber oder vom Betriebsrat erfüllt werden.

Hintergrund: Das Betriebsverfassungsgesetz schützt die Unabhängigkeit des Betriebsrates sowie dessen Stellung im Unternehmen. Ebenso ist die Vertraulichkeit der Beratungen unter besonderen gesetzlichen Schutz gestellt. Alle Informationen, die den Meinungsbildungsprozess des Betriebsrats betreffen, müssen deshalb einer besonderen Geheimhaltung unterliegen, um die Unabhängigkeit des Betriebsrats vom Arbeitgeber zu gewährleisten. Übrigens: Die Verschwiegenheitsverpflichtung der oder des Datenschutzbeauftragten gilt hinsichtlich der vom Betriebsrat verarbeiteten personenbezogenen Daten auch gegenüber dem Arbeitgeber.

Wie steht es mit der Haftungsfrage bei Verstößen gegen die Normen des Datenschutzes? Der Betriebsrat muss innerhalb seiner Zuständigkeit die technischen und organisatorischen Maßnahmen zur Datensicherheit treffen und dauerhaft vorhalten. Durch die Verpflichtung des Betriebsrats, sich an die Datenschutzbestimmungen zu halten, und das Kooperationsgebot wird eine Sonderrolle für den Betriebsrat geschaffen. „Der § 79a sorgt zwar für Klarheit bei der Verantwortung für die Datenverarbeitung durch den Betriebsrat, indem sie dem Arbeitgeber zugewiesen wird, hinterlässt aber einige offene Fragen und sorgt für neue datenschutzrechtliche Baustellen in den Unternehmen“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein. Konkret: Wie zu verfahren ist, wenn das Kooperationsgebot nicht befolgt wird, bleibt ungeregelt. Dennoch weist der Gesetzgeber die Haftung für Datenschutzverstöße im Tätigkeitsbereich des Betriebsrates dem Arbeitgeber in seiner Rolle als Alleinverantwortlicher für die Datenverarbeitung zu, ohne dass der Arbeitgeber Verstöße unterbinden kann (beispielsweise können allgemeingültige Unternehmensregeln nicht kontrolliert werden). Damit sind kommende Probleme schon heute erkennbar. Die UIMC hat sich auf die kommenden Herausforderungen eingestellt und bietet betroffenen Unternehmen Handlungsempfehlungen an.