Schriftzug LFD Niedersachsen Niedersachsen klar Logo

Betriebsräte

Sind Betriebsräte Verantwortliche im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DS-GVO)?

Gibt es schon Rechtsprechung zu diesem Thema?

Muss der Betriebsrat eine eigene Datenschutzbeauftragte oder einen eigenen Datenschutzbeauftragten benennen?

Ist die oder der Datenschutzbeauftragte auch für den Betriebsrat zuständig?

Hat die oder der Datenschutzbeauftragte die Aufgabe, die Einhaltung des Datenschutzes durch den Betriebsrat zu überwachen?

Muss der Betriebsrat ein eigenes Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Artikel 30 DS-GVO führen?

Welche datenschutzrechtlichen Vorgaben hat der Betriebsrat im Übrigen zu beachten?


Kann der Betriebsrat Adressat für Sanktionen der niedersächsischen Datenschutz-Aufsichtsbehörde sein?


Sind Betriebsräte Verantwortliche im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DS-GVO)?

Nein.

Der Betriebsrat ist – unbeschadet seiner datenschutzrechtlichen Verpflichtungen nach § 79a Satz 1 des Betriebsverfassungsgesetzes (BetrVG) – kein Verantwortlicher im Sinne von Artikel 4 Nummer 7 DS-GVO.

Nach § 79a Satz 2 BetrVG ist der Arbeitgeber oder die Arbeitgeberin der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Trotz der innerorganisatorischen Eigenverantwortung für die Wahrnehmung seiner Betriebsratsaufgaben nach dem BetrVG ist der Betriebsrat insofern nur als Teil der verantwortlichen Stelle anzusehen, bei der er gebildet ist.

Arbeitgeber (Verantwortlicher) und Betriebsrat unterstützen sich nach § 79a Satz 3 BetrVG gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Gibt es schon Rechtsprechung zu diesem Thema?

Ja, denn bis zum Inkrafttreten des § 79a BetrVG gab es keine gesetzliche Regelung.

Nach der ständigen Rechtsprechung des Bundesarbeitsgerichts (BAG) wurde der Betriebsrat bereits vor In-Kraft-Treten der DS-GVO nicht als Verantwortlicher, sondern nur als (institutionell unselbstständiger) Teil des primär verantwortlichen Arbeitgebers gesehen (siehe BAG, Beschluss vom 3. Juni 2003, 1 ABR 19/02, und BAG, Beschluss vom 14. Januar 2014, 1 ABR 54/12, vorgehend Landesarbeitsgericht (LAG) Niedersachsen, 16 TaBV 39/11).

Nach In-Kraft-Treten der DS-GVO ist das LAG Hessen der bisherigen Rechtsauffassung des BAG gefolgt (siehe Beschluss vom 10. Dezember 2018, TaBV 130/18).

Es gibt auch anderslautende Beschlüsse des LAG Sachsen-Anhalt vom 18. Dezember 2018, 4 TaBV 19/17[1] sowie des LAG Mecklenburg-Vorpommern vom 15. Mai 2019, 3 TaBV 10/18[2]. Diese Entscheidungen vermögen nicht zu überzeugen. Die Verantwortlichkeit wird darauf gestützt, dass der Betriebsrat über die Zwecke der von ihm wahrgenommenen Einsicht in eine Bruttoentgeltliste selbst entscheidet. Allein hierauf kann eine Verantwortlichkeit im Sinne von Artikel 4 Nummer 7 DS-GVO nicht begründet werden. Auf die Ausführungen unter Frage 1 wird verwiesen.

Eine aktuelle Entscheidung des BAG zu dem Thema lag bis zum Inkrafttreten des § 79a BetrVG noch nicht vor. Das Gericht hat in einer Beschlussentscheidung vom 7. Mai 2019, 1 ABR 53/17, die entsprechende Frage offengelassen.


[1] Die gegen den Beschluss eingelegte Rechtsbeschwerde wurde zurückgenommen (BAG, Beschluss vom 18. Juli 2019, 1 ABR 15/19).

[2] Gegen den Beschluss wurde die Rechtsbeschwerde nicht zugelassen.

Muss der Betriebsrat eine eigene Datenschutzbeauftragte oder einen eigenen Datenschutzbeauftragten benennen?

Nein.

Der Verantwortliche des Unternehmens muss eine oder einen Datenschutzbeauftragten für das gesamte Unternehmen benennen, der auch für die Belange des Betriebsrats zuständig ist (siehe auch folgende Frage).

Ist die oder der Datenschutzbeauftragte auch für den Betriebsrat zuständig?

Ja.

Der Betriebsrat kann die der Datenschutzbeauftragten oder dem Datenschutzbeauftragten obliegenden Beratungs- und Unterstützungsangebote nutzen, Artikel 39 Absatz 1 Buchstabe a DS-GVO .

Die oder der Datenschutzbeauftragte ist nach § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Zudem gelten nach § 79a Satz 5 BetrVG der § 6 Absatz 5 Satz 2 sowie § 38 Absatz 2 des Bundesdatenschutzgesetzes auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Es wird stets die vertrauensvolle Zusammenarbeit mit der oder dem Datenschutzbeauftragten empfohlen.

Muss der Betriebsrat ein eigenes Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Artikel 30 DS-GVO führen?

Nein.

Er hat aber die hierfür erforderlichen Informationen zu den Verarbeitungstätigkeiten des Betriebsrats dem Verantwortlichen des Unternehmens zuzuliefern, damit dieser seinen gesetzlichen Pflichten nachkommen kann.

Hat die oder der Datenschutzbeauftragte die Aufgabe, die Einhaltung des Datenschutzes durch den Betriebsrat zu überwachen?

Ja.

Der Betriebsrat ist Teil des Verantwortlichen (siehe Ausführungen zu Frage Nummer 1). Da nach der DS-GVO die Überwachung der Verarbeitung personenbezogener Daten durch den Verantwortlichen der oder dem Datenschutzbeauftragten obliegt (Berechtigung und Verpflichtung), sind auch Kontrollen der Datenverarbeitungen des Betriebsrats hiervon nicht ausgenommen.

Die oder der Datenschutzbeauftragte hat nach der DS-GVO ausdrücklich Zugang zu allen personenbezogenen Daten und Verarbeitungsvorgängen. Bei der Erfüllung ihrer/seiner Aufgaben ist die oder der Datenschutzbeauftragte an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden, auch gegenüber dem Verantwortlichen.

Mit einer Kontrolle ist auch kein unzulässiger Eingriff in die unabhängige Amtsführung und Aufgabenerfüllung des Betriebsrats verbunden. Auf Grund des in § 38 Absatz 2 BDSG in Verbindung mit § 6 Absatz 4 BDSG geregelten besonderen Kündigungsschutzes der oder des DSB hat die oder der DSB eine Position inne, die ihr oder ihm eine „neutrale“ Stellung gegenüber dem Betriebsrat verschafft.

Jedoch sollte die oder der DSB bei Kontrollen die besondere Stellung des Betriebsrats nach dem Betriebsverfassungsgesetz berücksichtigen.

Welche datenschutzrechtlichen Vorgaben hat der Betriebsrat im Übrigen zu beachten?

Der Betriebsrat hat – ebenso wie alle Beschäftigten eines Unternehmens – die Pflicht zur Einhaltung der geltenden Gesetze und damit auch der DS-GVO und sonstiger besonderer datenschutzrechtlichen Rechtsvorschriften.

Dies bedeutet in der Praxis unter anderem, dass der Betriebsrat

  • die in Artikel 5 Absatz 1 DS-GVO genannten Grundsätze für die Verarbeitung personenbezogener Daten, für deren Einhaltung der Verantwortliche zuständig ist, im Rahmen seiner Betriebsratstätigkeit zu beachten hat. Beispielhaft sind hier die Beachtung des Grundsatzes der Datenminimierung (Datensparsamkeit) sowie des Vertraulichkeitsgrundsatzes zu nennen,
  • dem Verantwortlichen die für die Durchführung von Datenschutz-Folgenabschätzungen erforderlichen Informationen zuliefern muss,
  • die geeigneten technisch-organisatorischen Maßnahmen wie zum Beispiel zur Wahrung der Datensicherheit bei der Datenverarbeitung und zur Löschung von Betriebsratsunterlagen umzusetzen hat und
  • dem Verantwortlichen unverzüglich Datenpannen nach Artikel 33 DS-GVO aus dem Geschäftsbereich des Betriebsrats zu melden hat.

Kann der Betriebsrat Adressat für Sanktionen der niedersächsischen Datenschutz-Aufsichtsbehörde sein?

Nein.

Adressat ist für die LfD grundsätzlich das Unternehmen als Verantwortlicher nach der DS-GVO (sofern es sich nicht ausnahmsweise um einen „Mitarbeiterexzess“- oder „Kollektivexzess“ des Betriebsrates handelt. Für derartige „Grenzüberschreitungen“ gelten jedoch hohe Anforderungen).


Stand 25. Juni 2020


FAQ Betriebsrat (PDF-Datei - nicht vollständig barrierefrei)

Drucken
Bildrechte Impressum Datenschutz Kontakt Barrierefreiheit
zum Seitenanfang
zur mobilen Ansicht wechseln