Eine der wohl spannendsten und zugleich umstrittensten Fragen derzeit ist, ob Betriebsräte als „Verantwortliche“ im Sinne der DS-GVO anzusehen sind. Eine solche Einordnung hätte weitreichende, insbesondere haftungsrechtliche Konsequenzen für Arbeitgeber.
Verantwortlicher im Sinne der DS-GVO
Gemäß der Legaldefinition des Art. 4 Nr. 7 DS-GVO ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es kommt somit maßgeblich darauf an, wer über die Zwecke (das „Wofür“) und Mittel (das „Wie“) der Verarbeitung entscheidet.
Konsequenzen der Einordnung des Betriebsrats als Verantwortlicher
Sollten Betriebsräte tatsächlich als „Verantwortliche“ anzusehen sein, so wären sie künftig im Hinblick auf die von ihnen verarbeiteten Beschäftigtendaten angehalten, selbst Maßnahmen zur Umsetzung der DS-GVO zu treffen. Insbesondere müssten sie die Einhaltung der in Art. 5 Abs. 1 DS-GVO enthaltenen Grundsätze (Datensparsamkeit, begrenzte Speicherung, etc.) eigenständig sicherstellen. Zudem müssten Gremien mit mindestens zehn Mitgliedern – bei Vorliegen der übrigen Voraussetzungen – auch nach § 38 BDSG einen eigenen Datenschutzbeauftragten bestellen.
Wer haftet für Datenschutzverstöße des Betriebsrats?
Verstöße gegen datenschutzrechtliche Vorschriften könnten mit Bußgeldern von bis zu 20 Millionen Euro beziehungsweise je nach Schwere des Verstoßes mit bis zu 4% des weltweit erzielten Jahresumsatzes des Unternehmens geahndet werden, die dann voraussichtlich anstelle des partiell vermögenslosen Betriebsrates der Arbeitgeber tragen müsste. Denn der Betriebsrat als solcher ist nach der Rechtsprechung nur partiell – nämlich im Rahmen der Erfüllung seiner betriebsverfassungsmäßigen Aufgaben – vermögensfähig, so dass auch Schadensersatzansprüche gegen das Kollegialorgan Betriebsrat grundsätzlich ausgeschlossen sind.
Eine Haftung des Betriebsratsgremiums würde davon abhängig sein, ob die datenschutzrechtswidrige Verarbeitung auf Basis eines Betriebsratsbeschlusses erfolgt ist. Wird jedoch grundsätzlich eine Haftung des Betriebsrats als Verantwortlicher bejaht, dann träfen den Betriebsrat datenschutzrechtliche Pflichten nach der DS-GVO.
Eine Stellungnahme der Datenschutzbehörden hierzu bleibt abzuwarten
Eine Stellungnahme der deutschen Datenschutzbehörden zu dieser Frage steht derzeit noch aus.