Foto: Vector Plus Image - shutterstock.com
Adressat der DSGVO und damit möglicher Empfänger von Bußgeldern ist der Verantwortliche für den Umgang mit den Daten. Dieser wird als derjenige definiert, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dies kann zum einen eine natürliche oder juristische Person, Behörde, Einrichtung oder eine sogenannte "andere Stelle" sein (siehe Art. 4 Nr. 7 DSGVO). Doch wer ist diese "andere Stelle"? Die Formulierung ist wie viele andere Bestimmungen neu, denn das vor dem "D-Day" der DSGVO am 25.05.2018 geltende Datenschutzrecht kannte solche Formulierungen nicht.
Rolle des Betriebsrats im Rahmen der DSGVO
Hieran entzündet sich eine Frage, die auch betriebspolitisch heiß ist: welche Rolle spielt der Betriebsrat datenschutzrechtlich? Schließlich verarbeitet auch der Betriebsrat im Rahmen der Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben personenbezogene Daten der Beschäftigten und zwar weisungsfrei und eigenverantwortlich. Die jeweiligen Datenschutzbehörden heben hierzu unterschiedliche Meinungen.
Datenschutzbehörden sind uneins
Der Landesbeauftragte für Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg beantwortet die Frage in seinem 34. Tätigkeitsbericht 2018 eindeutig: "Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen."
Der Präsident des Bayrischen Landesamtes für Datenschutzaufsicht, verneinte die Verantwortlichkeit des Betriebsrates hingegen, bestätigte jedoch auch nochmals, dass das Meinungsbild der deutschen Datenschutzbehörden in dieser Frage völlig uneinheitlich ist (vgl. ZD, 1/2019, Interview 1).
Keine Richtschnur durch die Rechtsprechung
Foto: SB_photos - shutterstock.com
Doch nicht nur die deutschen Datenschutzbehörden, auch die Gerichte bieten keine Richtschnur. Bislang war zumindest das Bundesarbeitsgerichts (BAG) in seiner Rechtsprechung zum Datenschutzrecht davon ausgegangen, dass der Betriebsrat nicht selbst Verantwortlicher, sondern nur Teil des primär verantwortlichen Arbeitsgebers ist (siehe BAG, Beschluss vom 14.1.2014 - 1 ABR 54/12). Diese Rechtsprechung ist jedoch mit In-Kraft-Treten der DSGVO obsolet.
Deshalb ist es nur folgerichtig, dass das Landesarbeitsgericht (LAG) Sachsen-Anhalt in seinem Beschluss vom 18.12.2018 (Az. 4 TaBV 19/17) den Betriebsrat nun im Feuer stehen sieht : "Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO ("oder andere Stelle"), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet." Das LAG Hessen folgt in seinem Beschluss vom 10.12.2018 (Az. 16 TaBV 130/18) hingegen der bisherigen Rechtsprechung und sieht den Betriebsrat als "Teil der verantwortlichen Stelle" an.
Was sind die Konsequenzen?
Die Einstufung des Betriebsrats als Verantwortlichen im Sinne der DSGVO könnte gravierende Konsequenzen, nicht nur für den Betriebsrat selbst, sondern auch für die Unternehmen haben. Der Betriebsrat hätte zunächst in eigener Verantwortlichkeit die Anforderungen der DSGVO umzusetzen. Dies betrifft vor allem die Auskunfts-, Lösch- und Informationspflichten sowie die Durchführung einer Datenschutz-Folgenabschätzung. Hierfür muss ihm aber das Unternehmen alle notwendigen Ressourcen zur Verfügung stellen und die dafür entstehenden Kosten tragen. Denn nach § 40 BetrVG hat der Arbeitgeber die Kosten der Betriebsratstätigkeit zu tragen.
Wer haftet für Bußgelder?
Betriebspolitische Sprengkraft birgt zudem die Frage, ob der Betriebsrat auch für etwaige Bußgelder wegen etwaiger Verletzungen der DSGVO haften muss und, falls zu bejahen, ob und wenn wiederum ja welches Betriebsratsmitglied persönlich dafür geradestehen müsste? Der LfDI Baden-Württemberg geht von einer Bußgeldfähigkeit des Betriebsrats aus und verweist auf ein Urteil des Bundesgerichtshofs (BGH), indem zumindest eine partielle Rechtsfähigkeit des Betriebsrates angenommen wurde (siehe BGH, Urteil vom 25.10.2012 - III ZR 266/11). Mit diesem Urteil ist jedoch noch nichts über eine mögliche Stellung des Betriebsrates als Adressat eines Bußgeldes gesagt. Allerdings kommt der Betriebsrat ohne weiteres auch als Adressat eines Bußgeldbescheides in Betracht, sofern er als Verantwortlicher eingestuft wird. Denn rechtsfähig ist der Betriebsrat immer dann, wenn er seinen betriebsverfassungsrechtlichen Aufgaben nachgeht.
Aber müsste der Betriebsrat auch tatsächlich das Bußgeld bezahlen?
Foto: Wright Studio - shutterstock.com
Das kann er gar nicht, denn der Betriebsrat verfügt mit Ausnahme seines Erstattungsanspruchs gegenüber dem Arbeitgeber über kein eigenes Vermögen. Nicht auszuschließen aber unwahrscheinlich ist, dass die einzelnen Betriebsratsmitglieder für die Begleichung des Bußgelds herangezogen werden. Zum einen fehlt ihnen die besondere persönliche Eigenschaft "Verantwortlicher", die für die Verhängung eines Bußgeldes erforderlich ist. Zum anderen gilt für das Betriebsratsamt das Ehrenamtsprinzip, was einer exorbitanten Haftung von Betriebsratsmitgliedern im nicht vertraglichen Bereich bereits entgegenstehen würde.
Nicht nur aus diesem Grunde dürfte auch eine bußrechtliche Haftung auch des Vorsitzenden des Betriebsrates ausscheiden. Denn die Zurechnungsnorm des § 9 OWiG, welche die Haftung auf Vertreterorgane ausweitet, ist auf juristische Personen zugeschnitten. Der Betriebsrat ist jedoch ein gesetzlich berufenes Vertretungsorgan der Belegschaft und daher nicht einmal annähernd vergleichbar mit juristischen Personen und deren zivil- und strafrechtlichen Haftungsstrukturen.
Deshalb ist es durchaus wahrscheinlich, dass wirtschaftlich am Ende doch der Arbeitgeber die Bußgelder, die auf fahrlässiger Verletzung der DSGVO durch den Betriebsrat beruhen, tragen muss. Dogmatischer Ansatzpunkt hierfür ist der bereits erwähnte § 40 BetrVG, wonach "erforderliche" Kosten des Betriebsrats vom Arbeitgeber zu tragen sind. Bußgelder wegen vorsätzlichen oder grob fahrlässigen Verstößen des Betriebsrates gegen die DSGVO können über diese Norm jedoch nicht auf den Arbeitgeber abgewälzt werden und müssten gegebenenfalls von den verantwortlichen Betriebsratsmitgliedern selbst getragen werden.
Resümee
Die Rechtslage ist bislang noch unklar. Klar ist aber, dass Arbeitgeber und Betriebsrat haftungstechnisch im selben Boot sitzen. Insofern sollten die datenschutzrechtlichen Beziehungen zwischen ihnen soweit wie möglich geklärt sowie Verantwortungen definiert und abgegrenzt werden, etwa durch Betriebsvereinbarungen.
Nahezu unerlässlich ist bereits jetzt, dass der Arbeitgeber angemessene Privacy-Compliance-Maßnahmen ergreift und unter anderem seinen Betriebsrat mit den für die Einhaltung des Datenschutzes erforderlichen Ressourcen ausstattet. Dazu gehört in Anbetracht des umfassenden Pflichtenprogramms des Betriebsrates auch das proaktive Zurverfügungstellen von DSGVO-Schulungen für den Betriebsrat.