Geschrieben am 03.12.2020 von:
Der Betriebsrat ist ein wichtiger Teil des Arbeitnehmerschutzes. So vertritt er die Interessen der Arbeitnehmer gegenüber dem Arbeitgeber. Bei seiner Tätigkeit kommt er in Kontakt mit jeder Menge – zum Teil auch sehr sensiblen – Daten. Dennoch ist die datenschutzrechtliche Stellung des Betriebsrates im Vergleich zu dem Verantwortlichen im Sinne der Datenschutz-Grundverordnung (DS-GVO) noch nicht abschließend geklärt. Bringt eine Entscheidung des Arbeitsgerichts Iserlohn nun neue Erkenntnisse?
Der „hamsternde“ Betriebsrat
Auslöser war folgende Situation: Im Rahmen einer Betriebsauflösung sammelte ein Betriebsrat zahlreiche Daten aus dem „gescheiterten“ Unternehmen, u.a. E-Mails, Kalenderauszüge, Urlaubsanträge und Vertragstexte. Die neun Betriebsräte trugen dabei mehr als 900 Seiten systematisch zusammen und kategorisierten diese. Natürlich enthielten all diese Dokumente zahlreiche personenbezogene Daten und womöglich auch Geschäftsgeheimnisse.
Das gesammelte Datenmaterial (das insgesamt 150 Megabyte umfasste) wurde dann in einer Cloud bereitgestellt, die ohne Passwort zugänglich war. Doch dem nicht genug. Der Betriebsratsvorsitzende versandte im Anschluss daran an alle Rechtsanwaltskanzleien, die ehemalige Arbeitnehmer des aufzulösenden Betriebs in gerichtlichen Kündigungsschutzverfahren betreuten, eine E-Mail mit Link zum Download all dieser Dokumente. Er stellte folglich jeder Kanzlei alle gesammelten Dokumente (und somit personenbezogene Daten) zur Verfügung – unabhängig davon, ob diese in dem jeweils laufenden Verfahren überhaupt von Belang waren oder nicht.
Die Folge war, dass sämtliche Prozessbevollmächtigten die ihnen überlassenen Daten und Informationen natürlich auch in den jeweiligen Verfahren zu Gunsten ihrer Mandanten nutzten.
Das „gescheiterte“ Unternehmen stellte daraufhin, nachdem es also von der „Sammelwut“ des Betriebsrates erfahren hatte, bei Gericht einen Antrag auf Auflösung des Betriebsrates.
Das Arbeitsgericht Iserlohn gab diesem Antrag statt (ArbG Iserlohn, Beschluss vom 14.01.2020, Az.: 2 BV 5/19).
Der Umweg über das Betriebsverfassungsgesetz
Begründung hierfür war, dass der Betriebsrat durch das „hamstern“ von Daten massiv gegen Datenschutzbestimmungen verstoßen sowie die Vertraulichkeit persönlicher Informationen durch die Weitergabe an Dritte missachtet hat. Zudem wurden Geheimhaltungspflichten verletzt wie auch die vertrauensvolle Zusammenarbeit des Betriebsrates und des Unternehmens als (ehemalige) Arbeitgeberin.
Unproblematisch und berechtigterweise hat das Arbeitsgericht Iserlohn dabei angenommen, dass das „gescheiterte“ Unternehmen generell als „verantwortliche Stelle“ im datenschutzrechtlichen Sinne anzusehen ist. Nicht auseinandergesetzt hat sich das Gericht dabei mit der Frage, ob der Betriebsrat selbst Verantwortlicher im Sinne der DS-GVO ist.
Durch die „Hintertür“ des Betriebsverfassungsgesetzes konnte das Gericht seine Entscheidung nämlich darauf stützen, dass bereits die grobe Pflichtverletzung (der Verstoß gegen Datenschutzbestimmungen) für eine Auflösung des Betriebsrates genüge. Eine Entscheidung über datenschutzrechtliche Verantwortlichkeiten war daher nicht mehr nötig.
Wer entscheidet, muss auch verantwortlich sein
Die grundsätzliche Frage, ob ein Betriebsrat neben dem Arbeitgeber also selbst Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DS-GVO) ist, ist folglich weiterhin offen.
Dass das Gericht im geschilderten Fall nicht darüber entscheiden musste, ergab sich mehr oder weniger aus dem Fall selbst. Allerdings macht dies auch aus prozessökonomischen Gesichtspunkten Sinn. Die Frage der eigenständigen Verantwortlichkeit des Betriebsrats hätte nämlich nur gestellt werden können, wenn dieser im Rahmen seiner betriebsverfassungsrechtlichen Befugnisse gehandelt hätte. Dazu gehört jedoch nicht die Anhäufung und willkürliche Verbreitung von personenbezogenen Daten. Nach § 80 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat nämlich lediglich darüber zu wachen, dass die zu Gunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden.
Außerdem hätte das Gericht die Frage nach der datenschutzrechtlichen Verantwortlichkeit ohnehin zunächst dem europäischen Gerichtshof (EuGH) vorlegen müssen. Denn nur dieser darf über die grundlegenden (und damit bislang ungeklärten) Fragen der DS-GVO entscheiden.
Dennoch spricht vieles für die selbstständige Verantwortlichkeit des Betriebsrates. „Verantwortlicher“ im Sinne der DS-GVO ist nämlich derjenige, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dass der Betriebsrat eine gewichtige Entscheidungsgewalt haben kann, zeigt dieser Fall in aller Deutlichkeit. Es ist allerdings nicht ersichtlich, warum ein Gremium, das in Ausübung seiner Kernaufgabe jede Menge personenbezogener Daten verarbeitet, nicht auch rechtlich zur Verantwortung gezogen werden sollte. Etwaige Einwände, wie die fehlende Rechtsfähigkeit des Betriebsrats, stehen dieser Ansicht jedenfalls nicht im Weg.
Zweck der DS-GVO ist doch gerade ein wirksamer und umfassender Schutz für „Daten“ betroffener Personen. Durch diese Entscheidung wird also klar, dass es zur Verwirklichung dieses Ziels eines weiten Verständnisses für den Begriff des „Verantwortlichen“ bedarf. Denn nicht immer wird der Betriebsrat – wie in diesem Fall – eindeutig den Rahmen seiner Befugnisse „sprengen“.
Um jedoch Rechtssicherheit (gerade auch bei Grenzfällen) schaffen zu können, ist eine Entscheidung der gestellten Frage alles andere als entbehrlich.
Letztendlich bleibt aber nur abzuwarten, ob der EuGH diesen äußerst praktikablen Ansatz teilt oder den Stimmen, die an der Möglichkeit einer selbstständigen Verantwortlichkeit des Betriebsrats zweifeln, Gehör verschafft.
In Ihrem Unternehmen gibt es auch einen Betriebsrat und Sie haben Fragen dazu? Dann schicken Sie uns doch Ihr Anliegen. Wir beraten Sie gern.
Einfach direkt über das Kontaktformular hier unten oder per E-Mail an office@m-consecom.de.