Einhaltung des Datenschutzes durch den Betriebsrat

Nach dem im Rahmen des Betriebsrätemodernisierungsgesetzes neu eingefügten § 79a BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Allerdings bleibt der Arbeitgeber der für die Verarbeitung Verantwortliche i. S. d. datenschutzrechtlichen Vorschriften. Da sich sämtliche Betroffenenrechte nach der DSGVO gegen den Arbeitgeber richten, der auch für Datenschutzverletzungen haftet, ist dies für Unternehmen eine unglückliche Ausgangslage. Denn sie haften für den Umgang mit Daten durch den Betriebsrat, auf den sie der gesetzlichen Konzeption nach keinen Einfluss haben. Einige grundsätzliche Fragen hat nun das LAG Baden-Württemberg beantwortet. Der Betriebsrat machte geltend, die Anzahl und Namen der im Betrieb beschäftigten schwerbehinderten und diesen gleichgestellten Menschen zu erfahren. Dies lehnte der Arbeitgeber aus datenschutzrechtlichen Bedenken heraus ab. Nicht alle Schwerbehinderten hätten ihre Einwilligung zur Übermittlung der Daten an den Betriebsrat gegeben. Der Antrag des Betriebsrats auf Mitteilung der Daten war erfolgreich. Dem Betriebsrat stehe der geltend gemachte Anspruch aus § 80 Abs. 2 Satz 1 BetrVG zu. Danach hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Zu den Aufgaben gehört auch, die Eingliederung schwerbehinderter Menschen zu fördern (§ 80 Abs. 1 Nr. 4 BetrVG). Die Erfüllung der dem Betriebsrat von Gesetzes wegen zugewiesenen Aufgaben ist nicht von der vorherigen Einwilligung der Arbeitnehmer abhängig und steht nicht zu deren Disposition.

Wenn der Auskunftsanspruch aber auf sogenannte sensitive Daten i. S. v. Art. 9 DSGVO gerichtet ist – was bei der Schwerbehinderung unzweifelhaft der Fall ist –, muss der Betriebsrat als Anspruchsvoraussetzung nachweisen, dass er angemessene und spezifische Schutzmaßnahmen zum Umgang mit den Daten trifft. Er muss ein Datenschutzkonzept vortragen können, das den Verschluss der Daten, die begrenzten Zugriffsmöglichkeiten und die Datenlöschung nach Beendigung der Überwachungsaufgabe beinhaltet. Der Arbeitgeber habe es in der Hand, den Betriebsrat bei einem solchen Konzept zu unterstützen, indem er z. B. einen Datenschutz-Sonderbeauftragten für das Gremium benennt, eine verpflichtende Grundschulung im Datenschutz organisiert und ein eigenes Datenschutzkonzept entwickelt, das er dem Betriebsrat zur Verfügung stellt. Der Betriebsrat hatte auch den entsprechenden Aufgabenbezug konkret dargelegt. Es gab nämlich noch keine Schwerbehindertenvertretung, und die Möglichkeit der Wahl einer solchen Vertretung setzt voraus, dass mindestens fünf schwerbehinderte Menschen nicht nur vorübergehend beschäftigt sind.

Das Gericht stellte außerdem fest, dass der Arbeitgeber nicht verlangen könne, dass die Gewährleistung der Datensicherheit zwingend über eine Betriebsvereinbarung erfolgen müsse. Ferner könne er nicht fordern, dass der Betriebsrat zur Präzisierung der Maßnahmen dazu verpflichtet ist, ein Verzeichnis der Verarbeitungstätigkeiten zu führen sowie eine Datenschutz-Folgeabschätzung zu dokumentieren.

Bei der Frage nach der Reichweite der Anforderungen an ein Datenschutzkonzept handelt es sich nach Auffassung des Gerichts um eine klärungsfähige und klärungsbedürftige Rechtsfrage, sodass die erkennende Kammer die Rechtsbeschwerde zuließ. Sie ist beim BAG unter dem Az. 1 ABR 14/22 anhängig (LAG Baden-Württemberg, Beschl. v. 20.5.2022 – 12 TaBV 4/21, n. rk.).