Betriebsrat: Ein Verantwortlicher nach DSGVO?

Ob nun auch ein Betriebsrat unter diese Definition des Verantwortlichen zu fassen ist, war lange Zeit umstritten. Hintergrund hierfür war, dass der Betriebsrat nach der traditionellen arbeitsrechtlichen Auffassung zwar Teil eines Betriebes ist, aber durchaus mit eigenen, vom Arbeitgeber unabhängigen Rechten ausgestattet ist. Außerdem ist dieser zwar durch gesetzliche Vorgaben und Betriebsvereinbarungen in seiner eigenständigen Handlungsweise erheblich eingeschränkt. Nichtsdestotrotz verfügt ein Betriebsrat gerade bei der Auswahl der Mittel der Datenverarbeitung über eine gewisse Autonomie.

Hinzu kommt noch, dass man die Natur des Betriebsrates auch unter den Aufsichtsbehörden nicht einheitlich beurteilte und es darüber hinaus auch divergierende Rechtsprechung zu diesem Thema gab.

Diese Ausgangslage nahm die Bundesregierung nun zum Anlass, die Stellung des Betriebsrates in datenschutzrechtlicher Hinsicht zu klären.

In § 97 a Betriebsverfassungsgesetz (Gesetzesvorlage der Bundesregierung Betriebsrätemodernisierungsgesetz) soll zukünftig klargestellt werden, dass der Betriebsrat kein eigenständiger Verantwortlicher nach Art. 4 Abs. 7 DSGVO ist, sondern diese Rolle dem Arbeitgeber zukommt.

Bei einem ersten Blick in den Gesetzesentwurf erscheint die angestrebte Änderung des Betriebsverfassungsgesetzes recht unspektakulär. Bei einem Blick in die Datenschutzgrundverordnung wird jedoch die Relevanz der gesetzlichen Klarstellung überdeutlich.

Wird § 97 a in der derzeitigen Form in das Betriebsverfassungsgesetz übernommen, hat dies für Betriebsräte, weitreichende Folgen. So müsste der Betriebsrat viele Verpflichtungen aus der DSGVO nicht eigenständig erfüllen.

Aber auch für den Arbeitgeber sind die Auswirkungen der Gesetzesänderung nicht zu unterschätzen. Mit dessen Einstufung als alleiniger Verantwortlicher geht auch eine Ausweitung seines Pflichtenkatalogs einher. Beispielhaft sei hier nur die Dokumentation der Verarbeitungstätigkeiten genannt. Sollte der Gesetzesentwurf in der derzeitigen Fassung übernommen werden, hat der Arbeitgeber auch die Datenverarbeitungsvorgänge des Betriebsrates entsprechend Art. 30 DSGVO zu dokumentieren.

Der Betriebsrat wird jedoch nicht gänzlich aus der Pflicht genommen. So bleibt er selbstverständlich auch weiterhin zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet und muss den Arbeitgeber bei der Einhaltung des Datenschutzes unterstützen.

Außerdem soll der Betriebsrat laut der Vorlagebegründung eigenverantwortlich die Umsetzung angemessener Technischer und Organisatorischer Maßnahmen in seinem Zuständigkeitsbereich gewährleisten.

Aber auch die angestrebte Gesetzesänderung wird nicht alle datenschutzrechtlichen Probleme aus dem Verhältnis zwischen Betriebsrat und Arbeitgeber lösen können.

Ihre Datenschutzbeauftragten der aigner business solutions GmbH werden die weitere Entwicklung der Rechtslage analysieren und Sie bei allen Fragen rund um das Thema Datenschutz und Betriebsrat unterstützen. Sie können uns gerne in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 anrufen oder nutzen Sie unser Kontaktformular.