Betriebsrat als eigene verantwortliche Stelle nach der DSGVO?

Nach bisher ständiger Rechtsprechung ist der Betriebsrat nicht als „Dritter“ iSd. § 3 Abs. 4 Nr. 3 BDSG a.F. anzusehen, der außerhalb der verantwortlichen Stelle iSd. § 3 Abs. 7 BDSG a.F., also des Unternehmens steht. Vielmehr ist er selbst Teil dieser Stelle und hat die betrieblichen und gesetzlichen Datenschutzbestimmungen einzuhalten (vgl. Beschluss vom 07.02.2012, (1 ABR 46/10), zu denen insbesondere die Wahrung des Datengeheimnisses gehört (BAG, Beschluss vom 07.02.2012, Az.:1 ABR 46/10). Diese auch von einem Großteil der Literatur getragene Meinung wurde damit begründet, dass nach altem BDSG nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein konnten (§ 2 Abs. 4 BDSG a.F.; § 3 Abs. 7 BDSG a.F.).

 

Nunmehr diskutieren die Aufsichtsbehörden, ob der Betriebsrat als eigene verantwortliche Stelle anzusehen sei, was weitreichende Folgen hätte. Begründet wird dies damit, die DSGVO definiere den „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Es erfolgt also keine Beschränkung mehr auf bestimmte Stellen. Maßgeblich ist allein, wer über die Mittel und Zwecke der Verarbeitung bestimmt. Aus der sich aus dem BetrVG ergebenden Unabhängigkeit könne demnach abgeleitet, der Betriebsrat bestimme nur selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten. Ob dies so haltbar ist, muss ernsthaft bezweifelt werden.

 

Wenngleich Gerichte an Beschlüsse der Aufsichtsbehörden nicht gebunden sind, kann nicht übersehen werden, dass sie in einigen Fällen bereits dazu neigten, der Auslegung der Aufsichtsbehörden zu folgen. Was also können Sie tun?

-  schaffen Sie Regelungen zwischen Betriebsrat und Unternehmen zur eindeutigen Überlassung der IT-Systeme und ihre Nutzung, soweit im Rahmen des BetrVG möglich, die klarstellt, ob es sich um eine Mitnutzung handelt;

- regeln Sie, ob der Betriebsrat die Beratungskompetenz des Datenschutzbeauftragten nutzen kann;

- nutzen Sie Art. 88 DSGVO: schaffen Sie eine Betriebsvereinbarung, die die datenschutzrechtliche Einordnung des Betriebsrates als Teil des Verantwortlichen (des Unternehmens) regelt.