Osborne Clarke

Menu

Der Betriebsrat als „Verantwortlicher“ im Sinne der DS-GVO?

Personalarbeit

Eine der wohl spannendsten und zugleich umstrittensten Fragen derzeit ist, ob Betriebsräte als „Verantwortliche“ im Sinne der DS-GVO anzusehen sind. Eine solche Einordnung hätte weitreichende, insbesondere haftungsrechtliche Konsequenzen für Arbeitgeber.

Verantwortlicher im Sinne der DS-GVO

Gemäß der Legaldefinition des Art. 4 Nr. 7 DS-GVO ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es kommt somit maßgeblich darauf an, wer über die Zwecke (das „Wofür“) und Mittel (das „Wie“) der Verarbeitung entscheidet.

Konsequenzen der Einordnung des Betriebsrats als Verantwortlicher

Sollten Betriebsräte tatsächlich als „Verantwortliche“ anzusehen sein, so wären sie künftig im Hinblick auf die von ihnen verarbeiteten Beschäftigtendaten angehalten, selbst Maßnahmen zur Umsetzung der DS-GVO zu treffen. Insbesondere müssten sie die Einhaltung der in Art. 5 Abs. 1 DS-GVO enthaltenen Grundsätze (Datensparsamkeit, begrenzte Speicherung, etc.) eigenständig sicherstellen. Zudem müssten Gremien mit mindestens zehn Mitgliedern – bei Vorliegen der übrigen Voraussetzungen – auch nach § 38 BDSG einen eigenen Datenschutzbeauftragten bestellen.

Wer haftet für Datenschutzverstöße des Betriebsrats?

Verstöße gegen datenschutzrechtliche Vorschriften könnten mit Bußgeldern von bis zu 20 Millionen Euro beziehungsweise je nach Schwere des Verstoßes mit bis zu 4% des weltweit erzielten Jahresumsatzes des Unternehmens geahndet werden, die dann voraussichtlich anstelle des partiell vermögenslosen Betriebsrates der Arbeitgeber tragen müsste. Denn der Betriebsrat als solcher ist nach der Rechtsprechung nur partiell – nämlich im Rahmen der Erfüllung seiner betriebsverfassungsmäßigen Aufgaben – vermögensfähig, so dass auch Schadensersatzansprüche gegen das Kollegialorgan Betriebsrat grundsätzlich ausgeschlossen sind.

Eine Haftung des Betriebsratsgremiums würde davon abhängig sein, ob die datenschutzrechtswidrige Verarbeitung auf Basis eines Betriebsratsbeschlusses erfolgt ist. Wird jedoch grundsätzlich eine Haftung des Betriebsrats als Verantwortlicher bejaht, dann träfen den Betriebsrat datenschutzrechtliche Pflichten nach der DS-GVO.

Eine Stellungnahme der Datenschutzbehörden hierzu bleibt abzuwarten

Eine Stellungnahme der deutschen Datenschutzbehörden zu dieser Frage steht derzeit noch aus.

Praxis-Hinweis:

Um die Betriebsräte für die Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Beschäftigtendaten zu sensibilisieren, sind Arbeitgeber angehalten, präventive Maßnahmen zu ergreifen. Dies sollte durch interne oder externe Schulungen erfolgen.

Zudem werden Betriebsräte künftig durch den betrieblichen Datenschutzbeauftragten nach Art. 39 DS-GVO zu kontrollieren sein.

Arbeitgeber und Betriebsrat sollten die Nutzung der IT-Systeme des Arbeitgebers ausdrücklich regeln.

Ihre Expertin

Johanna Reiland

Associate, Fachanwältin für Arbeitsrecht, Köln
T +49 221 5108 4276
View Biog
Wir benutzen Cookies, um Ihnen eine Vielzahl von Services mit hoher Benutzerfreundlichkeit anzubieten. Mit der Nutzung der Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Lesen Sie mehr Informationen in unserer Datenschutzerklärung. Ich akzeptiere Cookies von dieser Seite. OK