Der Betriebsrat bildet die betriebliche Interessenvertretung der Arbeitnehmer und verarbeitet viele und häufig sensible Daten. Unklar ist hierbei, welche Anforderungen des Datenschutzrechts beachtet werden müssen.
Der Betriebsrat hat die Pflicht, die Umsetzung der Datenschutzgesetze im eigenen Unternehmen nach § 80 Betriebsverfassungsgesetz (BetrVG) zu überprüfen und darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen und Betriebsvereinbarungen durchgeführt werden. Neben klassischen arbeitsrechtlichen Gesetzen sind auch die Vorschriften der DSGVO und des BDSG vom Anwendungsbereich umfasst.
Zur Sicherung und Wahrung von Beschäftigtenrechte steht dem Betriebsrat ein umfassendes Informationsrecht nach § 80 Abs.2 BetrVG zu. Der Arbeitnehmer muss den Betriebsrat über alles informieren und ihm zusätzlich alle datenschutzrechtlichen Unterlagen zugänglich machen, die er für die Erfüllung seiner Aufgaben benötigt. Auf Verlangen sind dem Betriebsrat jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen.
Nach § 75 Abs. 2 S.1 BetrVG ist der Betriebsrat dazu verpflichtet, die Persönlichkeitsrechte der einzelnen Arbeitnehmer sowie deren freie Entfaltung im Rahmen der betrieblichen Möglichkeiten zu schützen und zu fördern. Hierfür kontrolliert er gem. § 80 Abs.1 BetrVG die Einhaltung der Arbeitnehmerschutzvorschriften, wozu auch die Regelungen der DSGVO sowie bestehende Betriebsvereinbarungen zählen. Auch für den Betriebsrat gelten bei der Verarbeitung und Nutzung personenbezogener Daten die Grundsätze der Datensparsamkeit und Zweckbindung. Wichtig zu beachten ist hierbei, dass die Verarbeitung und Nutzung der Daten mit einer konkreten Aufgabe des Betriebsrats im Zusammenhang stehen muss.
Mit dem Betriebsrätemodernisierungsgesetz hat der Gesetzgeber die Regelung in § 79a BetrVG geschaffen, welcher dem Arbeitgeber die Verantwortung für die Datenverarbeitung zuschreibt. Die Verantwortlichkeit ist jedoch auf die Tätigkeiten in der Zuständigkeit des Betriebsrates beschränkt. Bei Überschreitung der Kompetenzen des Betriebsrates durch diesen könnte der Arbeitgeber dies als Einwand geltend machen und so die eigene Verantwortlichkeit ausschließen. Die Weitergabe von Beschäftigtendaten an den Betriebsrat ist eine Datenverarbeitung durch den Arbeitgeber und kann insbesondere nach § 26 Abs.1 S.1 BDSG zulässig sein. Die anschließende Verarbeitung der Daten durch den Betriebsrat richtet sich im Wesentlichen nach § 26 Abs.1 S.1 BDSG und kann zur Ausübung der Beteiligungs- und Mitbestimmungsrechte zulässig sein. Bei der Verarbeitung sensibler Beschäftigungsdaten, etwa Gesundheitsdaten, muss der Betriebsrat bei der Geltendmachung eines auf solche Daten gerichteten Auskunftsbegehrens das Vorhandensein von „angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person“ darlegen, § 26 Abs.3 S.2 BDSG in Verbindung mit § 22 Abs.2 BDSG. Insbesondere zählt hierzu die Darlegung, dass die Daten vor dem Zugriff Dritter geschützt sind. Das Kooperationsgebot aus § 79a S.3 BetrVG versucht den Konflikt zwischen der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers und der innerorganisatorischen Weisungsfreiheit des Betriebsrats zu umgehen.
Die DSGVO ist als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Möchte also der Betriebsrat personenbezogene Daten verarbeiten, benötigt dieser eine Rechtsgrundlage als Erlaubnisvorbehalt. Eine der definierten Rechtsgrundlagen ist bspw. die Einwilligung nach Art. 6 Abs.1 S.1 lit.a DSGVO.
Konsequenz für Unternehmen
Für den Arbeitgeber folgt aus alleiniger datenschutzrechtlicher Verantwortung eine wichtige Kenntnis für die Weitergabe von sensiblen Daten an den Betriebsrat. Kann der Betriebsrat das geforderte Schutzniveau nicht darlegen, so sollte die Datenweitergabe verweigert werden. Zu raten ist, dass Arbeitgeber und Betriebsrat Festlegungen für das Schutzniveau im Rahmen der betriebsverfassungsrechtlichen Zusammenarbeit treffen.