130 29 3MB
German Pages 322 Year 2021
Schriften zum Sozial- und Arbeitsrecht Band 366
Beschäftigtendatenschutz als Aufgabe des Betriebsrats Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz
Von
Maike Flink
Duncker & Humblot · Berlin
MAIKE FLINK
Beschäftigtendatenschutz als Aufgabe des Betriebsrats
Schriften zum Sozial- und Arbeitsrecht Herausgegeben von Prof. Dr. Matthias Jacobs, Hamburg Prof. Dr. Rüdiger Krause, Göttingen Prof. Dr. Sebastian Krebber, Freiburg Prof. Dr. Thomas Lobinger, Heidelberg Prof. Dr. Markus Stoffels, Heidelberg Prof. Dr. Raimund Waltermann, Bonn
Band 366
Beschäftigtendatenschutz als Aufgabe des Betriebsrats Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz
Von
Maike Flink
Duncker & Humblot · Berlin
Die Rechts- und Staatswissenschaftliche Fakultät der Rheinischen Friedrich-Wilhelms-Universität Bonn hat diese Arbeit im Jahre 2020 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2021 Duncker & Humblot GmbH, Berlin Satz: 3w+p GmB, Rimpar Druck: CPI buchbücher.de GmbH, Birkach Printed in Germany ISSN 0582-0227 ISBN 978-3-428-18291-6 (Print) ISBN 978-3-428-58291-4 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit wurde im Wintersemester 2020/2021 von der Rechts- und Staatswissenschaftlichen Fakultät der Rheinischen Friedrich-Wilhelms-Universität Bonn als Dissertation angenommen. Rechtsprechung und Literatur sind bis September 2020 berücksichtigt. Ein Teil der Ergebnisse dieser Arbeit zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats ist in Rücksprache mit dem zuständigen Promotionsausschuss veröffentlicht in RDV 3/2021. Allen, die mich auf dem Weg zum erfolgreichen Abschluss der Promotion begleitet haben, bin ich zu herzlichem Dank verpflichtet. An erster Stelle möchte ich meinem Doktorvater Prof. Dr. Gregor Thüsing, LL.M. (Harvard) für die Betreuung meiner Arbeit danken. Er hat mir stets großen wissenschaftlichen Freiraum gewährt, stand mir jedoch zugleich zuverlässig mit Rat zur Seite. Die Zeit an seinem Lehrstuhl hat mich sowohl in meiner fachlichen als auch in meiner persönlichen Entwicklung durchweg positiv beeinflusst, weshalb sie mir immer in guter Erinnerung bleiben wird. Zudem möchte ich Herrn PD Dr. Gerrit Forst, LL.M. (Cambridge) meinen Dank für die zügige Erstellung des Zweitgutachtens aussprechen. Die Arbeit wurde sowohl ideell als auch finanziell im Rahmen eines Promotionsstipendiums durch die Konrad-Adenauer-Stiftung gefördert, deren Unterstützung ebenfalls einen entscheidenden Beitrag zum erfolgreichen Abschluss der Promotion geleistet hat. Mein Dank gilt auch meinen Kolleginnen und Kollegen am Lehrstuhl, insbesondere Dr. Melanie Jänsch und Lena Bleckmann, die mir nicht nur mit ihrer stetigen Diskussionsbereitschaft, sondern vor allem mit ihrem persönlichen Zuspruch eine große Stütze waren. Lena Bleckmann danke ich darüber hinaus für das zügige Korrekturlesen der Arbeit. Zuletzt möchte ich von Herzen meinen Eltern danken, die immer an mich geglaubt und mir meine Ausbildung durch ihre Förderung und bedingungslose Unterstützung erst ermöglicht haben. Für den Rückhalt, den ich mein ganzes Leben lang erfahren habe, bin ich ihnen – genau wie meinen Großeltern – unendlich dankbar. Bonn, im März 2021
Maike Flink
Inhaltsverzeichnis A. Worum es geht: Der Beschäftigtendatenschutz als aktuelle Herausforderung . . . 19 I. Gang der Darstellung – zu beantwortende Fragestellungen und Problemkreise . . 20 II. Rechtliche Grundlagen des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1. Völker- und europarechtliche Grundlagen des Datenschutzes . . . . . . . . . . . . . . 21 a) Art. 8 Abs. 1 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 b) Art. 7, 8 GRCh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 c) Art. 16 AEUV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2. Nationale verfassungsrechtliche Grundlagen des Datenschutzes . . . . . . . . . . . . 25 a) Das allgemeine Persönlichkeitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 b) Das Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . 26 aa) Grenzen des Rechts auf informationelle Selbstbestimmung . . . . . . . . . . 28 bb) Das Recht auf informationelle Selbstbestimmung im Arbeitsverhältnis
29
c) Weitere nationale grundrechtliche Gewährleistungen . . . . . . . . . . . . . . . . . . 30 3. Zusammenfassender Überblick über den Rechtsrahmen des Datenschutzes . . . 31 4. Die Gesetzgebung zum Beschäftigtendatenschutz auf unionsrechtlicher und nationaler Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 a) Entwicklung des Beschäftigtendatenschutzrechts . . . . . . . . . . . . . . . . . . . . . 32 aa) Europäische Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 bb) Nationale Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 b) Status quo: Die aktuellen Rechtsquellen des Beschäftigtendatenschutzes . . 36 aa) Unionsrechtliche Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 bb) Nationale Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 (1) BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 (2) Bereichsspezifischer Datenschutz im BetrVG . . . . . . . . . . . . . . . . . . 39 (a) Die Regelung des § 75 Abs. 2 S. 1 BetrVG als Ausgangspunkt
40
(b) Mitwirkungs- und Mitbestimmungsrechte des Betriebsrats . . . . 41 (c) Informationsrechte des Betriebsrats als Quelle bereichsspezifischen Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 (d) Geheimhaltungspflichten des Betriebsrats als datenschutzrechtliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 (e) Eine Sammlung der Ergebnisse: Bereichsspezifischer Beschäftigtendatenschutz im BetrVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
8
Inhaltsverzeichnis (3) Betriebsvereinbarungen als Rechtsquellen des Beschäftigtendatenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 (a) Der unionsrechtliche Begriff der Kollektivvereinbarung . . . . . . . 50 (b) Betriebsvereinbarungen als datenschutzrechtlicher Erlaubnistatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 (4) Datenschutz- und Betriebsverfassungsrecht als Grenze datenschutzrechtlicher Betriebsvereinbarungen . . . . . . . . . . . . . . . . . . . . . . . . . . 53 cc) Zusammenfassender Überblick über die nationalen Rechtsquellen des Beschäftigtendatenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 c) Zusammenfassender Überblick über die aktuellen Rechtsquellen des Beschäftigtendatenschutzes auf nationaler und unionsrechtlicher Ebene . . . . . 54 5. Eine Sammlung der Ergebnisse: Die Gesetzgebung zum Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes . . . . . . . . . . . . . . . . . 55 1. Inhaltliche Grundstrukturen der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 2. Inhaltliche Grundstrukturen des BDSG – Vergleich zur DSGVO für den Bereich des Beschäftigtendatenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3. Bestand allgemeiner datenschutzrechtlicher Grundstrukturen im Betriebsverfassungsrecht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 4. Eine Ordnung der Argumente: Das Prinzip der Interessenabwägung als inhaltliche Grundstruktur des Beschäftigtendatenschutzes . . . . . . . . . . . . . . . . . . . . . 62 IV. Die Betriebsratsarbeit als Gegenstand des Beschäftigtendatenschutzes . . . . . . . . . 63
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel . . . . . . . . . . . . . . . . . . 66 I. Das Verhältnis von BDSG und DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht . . . . . . . . . . . 69 1. Das Verhältnis von DSGVO und Betriebsverfassungsrecht . . . . . . . . . . . . . . . . 69 2. Das Verhältnis von BDSG und Betriebsverfassungsrecht . . . . . . . . . . . . . . . . . . 72 a) Untersuchung der Vorrangstellung einzelner Vorschriften des BetrVG gegenüber dem BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 aa) Mitbestimmungs- und Mitwirkungsrechte des Betriebsrats als vorrangige Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 bb) Informationsansprüche des Betriebsrats als vorrangige Regelungen . . . 75 cc) Verschwiegenheitspflichten des Betriebsrats als vorrangige Regelungen 79 (1) Dogmatische Grundlage der Vorrangstellung der betriebsverfassungsrechtlichen Verschwiegenheitspflichten . . . . . . . . . . . . . . . . . . 81 (2) Inhaltliche Voraussetzungen der Vorrangstellung i. S. v. § 1 Abs. 2 S. 1 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 (3) Vorrangige Verschwiegenheitspflichten des BetrVG . . . . . . . . . . . . . 84 (4) Möglichkeit des Rückgriffs auf die Vorschriften des BDSG . . . . . . . 85
Inhaltsverzeichnis
9
dd) Überblick über die Besonderheiten der Verschwiegenheitspflichten . . . 87 b) Folgerungen für das Verhältnis von BetrVG und BDSG . . . . . . . . . . . . . . . . 87 3. Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zum Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 a) Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zur DSGVO b) Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zum BDSG
89 92
4. Überblick über die Stellung datenschutzrechtlicher Betriebsvereinbarungen im System des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 III. Ein erstes Zwischenergebnis: Ein Nebeneinander der Regelungskomplexe . . . . . 94 C. Kompetenzen des Betriebsrats – Kontrolle der Einhaltung des Datenschutzrechts 96 I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats . . . . . . . . 97 1. Mitbestimmung in sozialen Angelegenheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 2. Mitbestimmung in personellen Angelegenheiten . . . . . . . . . . . . . . . . . . . . . . . . 103 a) Mitbestimmung in allgemeinen personellen Angelegenheiten . . . . . . . . . . . 103 b) Mitbestimmung bei personellen Einzelmaßnahmen . . . . . . . . . . . . . . . . . . . . 105 c) Überblick über die Mitbestimmung in personellen Angelegenheiten . . . . . . 107 3. Unterlassungs- und Beseitigungsansprüche als Folge der Verletzung datenschutzrechtlicher Mitbestimmungsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 4. Eine Ordnung der Erkenntnisse: Mitbestimmungsrechte als Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . 109 II. Pflicht zur Überwachung der Einhaltung der Vorschriften des Datenschutzrechts, § 80 Abs. 1 Nr. 1 BetrVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 1. Recht des Betriebsrats zur Hinzuziehung Dritter bei der Erfüllung seiner Überwachungsaufgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 a) Der betriebliche Datenschutzbeauftragte als Sachverständiger i. S. v. § 80 Abs. 3 BetrVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 b) Anwendbarkeit des Grundsatzes der vorrangigen Nutzung betriebsinternen Sachverstandes bei externen betrieblichen Datenschutzbeauftragten . . . . . . 114 2. Überwachungsbefugnisse gegenüber vom Arbeitgeber eingesetzten Auftragsverarbeitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 3. Handlungsmöglichkeiten des Betriebsrats bei der Begehung von Datenschutzverstößen durch den Arbeitgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 a) Unterlassungsansprüche des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 aa) Kein Unterlassungsanspruch unmittelbar aus § 80 Abs. 1 Nr. 1 BetrVG 119 bb) Sonstige betriebsverfassungsrechtliche Unterlassungsansprüche . . . . . . 120 (1) Unterlassungsanspruch gem. § 23 Abs. 3 S. 1 BetrVG . . . . . . . . . . . 121 (2) Unterlassungsanspruch des Betriebsrats bei Verstoß gegen datenschutzrelevante Regelungen einer Betriebsvereinbarung . . . . . . . . . 123
10
Inhaltsverzeichnis cc) Folgerung: Das Betriebsverfassungsrecht als maßgebliche Grundlage betriebsratsseitiger Unterlassungsansprüche . . . . . . . . . . . . . . . . . . . . . . 126 b) Recht des Betriebsrats zur Meldung von Datenschutzverstößen gegenüber der Aufsichtsbehörde – Der Betriebsrat als datenschutzrechtlicher Whistleblower . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 aa) Bestandsaufnahme: Der Betriebsrat als Whistleblower im Betriebsverfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 bb) Geltung der anerkannten Grundsätze auch für den Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 cc) Keine abweichende Beurteilung angesichts von DSGVO und BDSG . . 130 c) Zusammenfassender Überblick über die Handlungsmöglichkeiten des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 4. Zusammenfassender Überblick über die Überwachungsaufgabe des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 III. Informations- und Einsichtsrechte des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . 135 1. Betriebsverfassungsrechtliche Grenzen des § 80 Abs. 2 S. 1 BetrVG . . . . . . . . 137 2. Datenschutzrechtliche Grenzen betriebsratsseitiger Informationsrechte . . . . . . 139 3. Spezielle betriebsverfassungsrechtliche Informationsansprüche und ihre Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 IV. Möglichkeit der Erweiterung der Kompetenzen des Betriebsrats durch Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 V. Ein zweites Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
D. Gestaltung des Datenschutzes durch den Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . 148 I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung . . . . . . . 149 1. Die Öffnungsklausel des Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG als Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 2. Personelle Reichweite datenschutzrechtlicher Betriebsvereinbarungen . . . . . . . 151 a) Nationale Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 b) Der Beschäftigtenbegriff der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 c) Der betriebsverfassungsrechtliche Arbeitnehmerbegriff als Maßstab . . . . . . 156 3. Sachliche Reichweite datenschutzrechtlicher Betriebsvereinbarungen . . . . . . . 156 a) Datenverarbeitung im „Beschäftigungskontext“ oder ausschließlich für „Zwecke des Beschäftigungsverhältnisses“? . . . . . . . . . . . . . . . . . . . . . . . . . 157 aa) Der Beschäftigungskontext als Maßstab der DSGVO . . . . . . . . . . . . . . . 158 bb) „Zwecke des Beschäftigungsverhältnisses“ als nationale Beschränkung der Regelungskompetenz? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 cc) Betriebliche Reichweite datenschutzrechtlicher Betriebsvereinbarungen: Legitimation der Datenweitergabe an Dritte . . . . . . . . . . . . . . . . . . 162
Inhaltsverzeichnis
11
b) Umfassende Regelungsbefugnis der Betriebspartner oder ausschließliches Recht zur Schaffung von Erlaubnistatbeständen? . . . . . . . . . . . . . . . . . . . . . 163 4. Folgerung: Betriebsvereinbarungen als weitreichende Rechtsgrundlage im Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen . . . . 166 1. Betriebsverfassungsrechtliche Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . 167 2. Inhaltliche Vorgaben der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 a) Anforderungen des Art. 88 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . 171 b) Anforderungen des Art. 88 Abs. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . 172 aa) „Besondere“ und „angemessene“ Regelungen . . . . . . . . . . . . . . . . . . . . . 172 bb) Konkret zu regelnde Fragestellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 cc) Insbesondere: Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 c) Sonstige Vorgaben der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 d) Vergleich der inhaltlichen Voraussetzungen des BetrVG und der DSGVO
182
3. Keine zusätzlichen inhaltlichen Vorgaben im BDSG . . . . . . . . . . . . . . . . . . . . . 185 4. Zwingende Anforderungen vs. Empfehlungen für eine rechtssichere Gestaltung 186 III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau der DSGVO 189 1. Zuungunsten des Arbeitnehmers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 a) Bestandsaufnahme des Streitstandes zur bisherigen Rechtslage . . . . . . . . . . 190 b) Neue Akzentuierung des Streites durch die DSGVO . . . . . . . . . . . . . . . . . . . 192 c) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 2. Zugunsten des Arbeitnehmers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 3. Überblick über die Abweichungsmöglichkeiten datenschutzrechtlicher Betriebsvereinbarungen vom Schutzniveau der DSGVO . . . . . . . . . . . . . . . . . . . . 199 4. Zulässigkeit der Abweichungen vom gesetzlichen Datenschutzniveau des BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 IV. Ein kritischer Blick auf die praktische Relevanz datenschutzrechtlicher Betriebsvereinbarungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 V. Ein drittes Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts . . . . . . . . . . . 205 I. Der Betriebsrat als Verantwortlicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 1. Die Rechtslage nach § 3 Abs. 7 BDSG a. F. als Ausgangspunkt der Überlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 2. Veränderung der bisherigen Beurteilung auf Grundlage von Art. 4 Nr. 7 DSGVO? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 a) Der Begriff des tauglichen Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 aa) Eine systematische Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
12
Inhaltsverzeichnis bb) Eine teleologische Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 cc) Keine unzumutbare Beeinträchtigung der Interessen des Arbeitgebers
211
dd) Folgerung: Der Betriebsrat ist selbst kein tauglicher Adressat . . . . . . . . 214 b) Der Begriff der Entscheidungsbefugnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 aa) Entscheidungsbefugnis über die Zwecke der Verarbeitung . . . . . . . . . . . 214 bb) Entscheidungsbefugnis über die Mittel der Verarbeitung . . . . . . . . . . . . 216 cc) Keine Einzelfallbetrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 c) Keine gemeinsame Verantwortlichkeit von Betriebsrat und Arbeitgeber . . . 219 3. Keine abweichende Beurteilung für den Konzernbetriebsrat . . . . . . . . . . . . . . . 220 4. Keine abweichende Beurteilung aufgrund nationaler Regelungen . . . . . . . . . . . 222 5. Eine Sammlung der Ergebnisse: Der Betriebsrat ist kein eigenständiger Verantwortlicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 II. Haftung für Datenschutzverstöße des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . 224 1. Haftung des Arbeitgebers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 a) Haftung gem. Art. 82 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 b) Keine Exkulpationsmöglichkeit des Arbeitgebers nach Art. 82 Abs. 3 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 c) Haftung auf Grundlage anderer Sanktionstatbestände . . . . . . . . . . . . . . . . . . 229 2. Haftung des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 3. Haftung der Mitglieder des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 a) Unmittelbare Haftung der Betriebsratsmitglieder . . . . . . . . . . . . . . . . . . . . . 232 aa) Haftung nach allgemeinen zivilrechtlichen Grundsätzen . . . . . . . . . . . . 233 bb) Kein Haftungsausschluss aufgrund datenschutzrechtlicher Wertungen 234 cc) Deliktische Haftung der Betriebsratsmitglieder . . . . . . . . . . . . . . . . . . . . 235 dd) Keine Haftungsprivilegierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 b) Mittelbare Haftung im Wege des Regresses durch den Arbeitgeber . . . . . . . 237 4. Zusammenfassender Überblick zur Haftung für Datenschutzverstöße des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 III. Rechtliche Grenzen der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 1. Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten durch den Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 a) Allgemeiner Erlaubnistatbestand für Datenverarbeitungen durch den Betriebsrat, § 26 Abs. 1 S. 1 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 b) § 26 Abs. 3 BDSG als spezifische Rechtsgrundlage für den Umgang mit sensiblen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 aa) Pflichten des Betriebsrats beim Umgang mit sensiblen Daten . . . . . . . . 244 bb) Recht des Arbeitgebers zur Auskunftsverweigerung bei fehlender Pflichtwahrung durch den Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 c) Bereichsspezifische Erlaubnistatbestände des BetrVG . . . . . . . . . . . . . . . . . 246 d) Betriebsvereinbarungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Inhaltsverzeichnis
13
2. Umfang der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 a) Diskrepanz von datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 b) Kritische Betrachtung der Rechtsprechung zur Einsicht in Bruttoentgeltlisten, § 80 Abs. 2 S. 2 Hs. 2 BetrVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 c) Kritische Betrachtung der Rechtsprechung zum betrieblichen Eingliederungsmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 aa) Schwachstellen der Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 bb) Bewertung allein am Maßstab der betriebsverfassungsrechtlichen Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 cc) Abweichungen mit Blick auf die datenschutzrechtliche Erforderlichkeit 264 d) Folgerung: Datenschutzrechtliche Erforderlichkeit als maßgebliche Grenze für den Umfang der betriebsratsseitigen Datenverarbeitung . . . . . . . . . . . . . 266 3. Zulässigkeit der Datenweitergabe innerhalb des Betriebsratsgremiums und an andere Betriebsratsgremien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 4. Überblick über die rechtlichen Grenzen betriebsratsseitiger Datenverarbeitung 268 IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten . . . . . 270 1. Unterscheidung und Identität der Aufgaben beider Institutionen . . . . . . . . . . . . 270 a) Überwachungsaufgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 b) Handlungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 c) Sonstige Kompetenzen für den Beschäftigtendatenschutz . . . . . . . . . . . . . . . 275 d) Möglichkeit der Erweiterung der Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . 276 e) Unabhängige Stellung im Betrieb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 2. Möglichkeit und Pflicht der Zusammenarbeit von Betriebsrat und betrieblichem Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 a) Recht zur Zusammenarbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 b) Pflicht zur Kooperation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 3. Mitwirkung des Betriebsrats bei der Bestellung des Datenschutzbeauftragten 280 a) Zustimmungsverweigerungsrecht des Betriebsrats . . . . . . . . . . . . . . . . . . . . . 282 b) Erweiterung der Mitbestimmungsrechte auf die Bestellung durch Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 4. Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten 287 a) Kontrollmöglichkeiten unter Geltung des BDSG a. F. . . . . . . . . . . . . . . . . . . 287 b) Kontrollmöglichkeiten unter Geltung der DSGVO . . . . . . . . . . . . . . . . . . . . 289 c) Reichweite der Kontrollmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 d) Folgerung: Kontrolle des Betriebsrats durch den Datenschutzbeauftragten 291 5. Kontrolle des Datenschutzbeauftragten durch den Betriebsrat? . . . . . . . . . . . . . 291 6. Bestellung eines Betriebsratsmitglieds zum Datenschutzbeauftragten . . . . . . . . 293 7. Ambivalentes Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
14
Inhaltsverzeichnis V. Ein letztes Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
F. Thesenartige Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Abkürzungsverzeichnis a. A. ABl. Abs. AEUV a. F. AGG AiB AktG Alt. Anh. Anm. AP ArbG ArbR ArbRAktuell Art. Aufl. BAG BB BDSG BeckRS Begr. Beschl. BetrVG BGB BGBl. BGH BGHZ BT-Drs. BR-Drs. BVerfG BVerwG bzw. CCZ CR DB d. h. DSGVO DStR DuD Ed.
andere Ansicht Amtsblatt Absatz Vertrag über die Arbeitsweise der Europäischen Union alte Fassung Allgemeines Gleichbehandlungsgesetz Arbeitsrecht im Betrieb Aktiengesetz Alternative Anhang Anmerkung Arbeitsrechtliche Praxis Arbeitsgericht Arbeitsrecht Arbeitsrecht Aktuell Artikel Auflage Bundesarbeitsgericht Betriebs-Berater Bundesdatenschutzgesetz Beck-Rechtsprechung Begründer Beschluss Betriebsverfassungsgesetz Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Zivilsachen Bundestagsdrucksache Bundesratsdrucksache Bundesverfassungsgericht Bundesverwaltungsgericht beziehungsweise Corporate Compliance Zeitschrift Computer und Recht Der Betrieb das heißt Datenschutzgrundverordnung Deutsches Steuerrecht Datenschutz und Datensicherheit Edition
16 EGMR Einf. Einl. EL EMRK ErwG EuGH EUV EuZA EuZW f. ff. Fn. GA GG ggf. GRCh GVBl. HdB HDSG Hrsg. Hs. i. E. i. R. v. i. S. d. i. S. v. i. V. m. KAGH KSchG LAG LG lit. Ls. LV MMR m. w. N. NJW NJW-RR Nr. NRW NVwZ NZA NZA-RR OLG RdA RDV RG RGZ
Abkürzungsverzeichnis Europäischer Gerichtshof für Menschenrechte Einführung Einleitung Ergänzungslieferung Europäische Menschenrechtskonvention Erwägungsgrund Europäischer Gerichtshof Vertrag über die Europäische Union Europäische Zeitschrift für Arbeitsrecht Europäische Zeitschrift für Wirtschaftsrecht folgende fortfolgende Fußnote Generalanwalt Grundgesetz gegebenenfalls Charta der Grundrechte der Europäischen Union Gesetz- und Verordnungsblatt Handbuch Hessisches Datenschutzgesetz Herausgeber Halbsatz im Ergebnis im Rahmen von im Sinne der/des im Sinne von in Verbindung mit Kirchlicher Arbeitsgerichtshof Kündigungsschutzgesetz Landesarbeitsgericht Landgericht litera (Buchstabe) Leitsatz Landesverfassung Multimedia und Recht mit weiteren Nachweisen Neue Juristische Wochenschrift Neue Juristische Wochenschrift Rechtsprechungs-Report Nummer Nordrhein-Westfalen Neue Zeitschrift für Verwaltungsrecht Neue Zeitschrift für Arbeitsrecht Rechtsprechungs-Report-Arbeitsrecht Oberlandesgericht Recht der Arbeit Recht der Datenverarbeitung Reichsgericht Entscheidungen des Reichgerichts in Zivilsachen
Abkürzungsverzeichnis RL Rn. Rspr. S. s. SGB Slg. st. Rspr. TVG u. a. Urt. UWG v. Var. VGH vgl. WP z. B. ZD ZfA z. T. zit. zust. ZTR
Richtlinie Randnummer Rechtsprechung Satz/Seite siehe Sozialgesetzbuch Sammlung ständige Rechtsprechung Tarifvertragsgesetz unter anderem/und andere Urteil Gesetz gegen den unlauteren Wettbewerb vom/von Variante Verwaltungsgerichtshof vergleiche Working Paper zum Beispiel Zeitschrift für Datenschutz Zeitschrift für Arbeitsrecht zum Teil zitiert zustimmend Zeitschrift für Tarifrecht
17
A. Worum es geht: Der Beschäftigtendatenschutz als aktuelle Herausforderung Das Datenschutzrecht unterlag in den vergangenen Jahren wie kaum ein anderes Rechtsgebiet einer erheblichen Entwicklung. So haben die seit dem 25. 5. 2018 geltende Datenschutzgrundverordnung (DSGVO) und das seit diesem Tag ebenfalls anwendbare, neu gefasste Bundesdatenschutzgesetz (BDSG) den Datenschutz wieder zu einer allgegenwärtigen rechtlichen Thematik gemacht, der man sich kaum entziehen kann. Eine gesetzliche Neuregelung bringt indes beinahe zwangsläufig auch neu entstehende Problematiken bei der Auslegung und Anwendung der jeweiligen Normen mit sich. Ein besonders relevanter Teilbereich des Datenschutzrechts ist – mit Blick auf die Praxis – im Beschäftigtendatenschutz zu verorten, denn die Zahl derjenigen personenbezogenen Daten, die im Beschäftigungsverhältnis erhoben werden, ist mit kaum einem anderen privatrechtlichen Vertragsverhältnis vergleichbar.1 Im Rahmen des Beschäftigtendatenschutzes ergibt sich insbesondere die Fragestellung, inwiefern Arbeitnehmervertretungen, namentlich im Besonderen der Betriebsrat, durch diese veränderten Rahmenbedingungen bei der Wahrnehmung ihrer Aufgaben inhaltlich neuen rechtlichen Vorgaben unterliegen und inwiefern sich Unterschiede gegenüber ihrer bisherigen Rechtsstellung ergeben können. Die Relevanz dieser Fragestellung sowohl für die Wissenschaft wie auch für die Praxis des Beschäftigungsalltags ist offenkundig: Im Jahr 2018 waren in Deutschland in der Privatwirtschaft 47 % der Beschäftigten durch Arbeitnehmervertretungen repräsentiert, in 90 % der Betriebe mit mehr als 500 Arbeitnehmern bestanden in diesem Jahr Betriebsräte.2 Arbeitnehmer, in deren Betrieb ein Betriebsrat gebildet ist, werden dabei zwangsläufig auch durch diesen repräsentiert,3 unabhängig davon, ob dies ihrem Willen entspricht.4 Damit kommt dem Handeln des Betriebsrats im Hinblick auf den Beschäftigtendatenschutz für die durch ihn repräsentierten Arbeitnehmer erhebliche Bedeutung zu. Die Brisanz der aufgeworfenen Fragestellung ist dabei nicht zu übersehen, denn der Betriebsrat erlangt im Rahmen der Erfüllung seiner ihm zugewiesenen Aufgaben Zugang zu einer Vielzahl von personenbezo1
Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 11. Statistisches Bundesamt, Indikatoren zur Qualität der Arbeit, abrufbar unter: https://www. destatis.de/DE/Themen/Arbeit/Arbeitsmarkt/Qualitaet-Arbeit/Dimension-5/arbeitnehmervertre tungen.html (letzter Abruf v. 25. 6. 2020). 3 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 54; Däubler, NZA 1988, 857, 860. 4 Däubler, NZA 1988, 857, 860. 2
20
A. Worum es geht
genen Daten der im Betrieb beschäftigten Arbeitnehmer.5 Soweit Fragestellungen im Hinblick auf die bis zum 24. 5. 2018 geltende Rechtslage jedenfalls für die Praxis durch die Rechtsprechung geklärt waren, können die insofern anerkannten Grundsätze nunmehr nicht ohne Auseinandersetzung mit den durch die neue Rechtslage veränderten Rahmenbedingungen weiter angewandt werden. Vielmehr stellen sich einerseits gänzlich neue Fragen, andererseits müssen aber auch bereits bekannte Probleme neu bewertet werden. Diese in einem ersten Schritt aufzuzeigen und anschließend unter besonderer Beachtung der Veränderungen gegenüber der bisherigen Rechtslage einer Klärung zuzuführen, ist Ziel der vorliegenden Arbeit und soll in ihrem Verlauf erfolgen.
I. Gang der Darstellung – zu beantwortende Fragestellungen und Problemkreise Um die Rolle des Betriebsrats im Rahmen des Beschäftigtendatenschutzes zu konturieren, ist schrittweise vorzugehen: Zunächst müssen die rechtlichen Grundlagen des Beschäftigtendatenschutzes ausgelotet werden, um ein argumentatives Fundamt für den weiteren Verlauf der Arbeit zu schaffen (Abschnitt A. I.). Auf dieser Grundlage können die inhaltlichen Grundstrukturen des Beschäftigtendatenschutzes herausgearbeitet werden (Abschnitt A. II.). Daran anknüpfend muss das Wechselspiel der verschiedenen Rechtsquellen einer näheren Betrachtung unterzogen werden: Ausgangspunkt ist eine kurze Auseinandersetzung mit dem Verhältnis von DSGVO und BDSG (Abschnitt B. I.), bevor anschließend auf das Zusammenspiel von Betriebsverfassungsrecht und Datenschutzrecht einzugehen ist (Abschnitt B. II.). Dabei ist sowohl das Verhältnis von DSGVO und BetrVG (Abschnitt B. II. 1.) als auch von BDSG und BetrVG (Abschnitt B. II. 2.) im Einzelnen zu untersuchen. Zuletzt sind Betriebsvereinbarungen im Rahmen des Beschäftigtendatenschutzes zu verorten (Abschnitt B. II. 3.). Im weiteren Verlauf sind die Kompetenzen des Betriebsrats für den Beschäftigtendatenschutz herauszuarbeiten, wobei die Betrachtung mit seinen in diesem Bereich relevanten Mitbestimmungsrechten beginnt (Abschnitt C. I.) und sich anschließend der ihm durch § 80 Abs. 1 Nr. 1 BetrVG eingeräumten Überwachungsaufgabe zuwendet (Abschnitt C. II.). Letztlich sind seine Informations- und Auskunftsansprüche näher in den Blick zu nehmen (Abschnitt C. III.). Im Anschluss werden die Möglichkeiten des Betriebsrats zur aktiven Gestaltung des Beschäftigtendatenschutzes untersucht (Abschnitt D.). Zu klären ist dabei, unter welchen Voraussetzungen Betriebsvereinbarungen Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten sein können (Abschnitt D. I.), bevor die inhaltlichen Anforderungen an derartige Kollektivvereinbarungen, die sich sowohl aus dem Betriebsverfassungsrecht (Abschnitt D. II. 1.), als auch aus der DSGVO (Abschnitt D. II. 2.) ergeben, im Einzelnen herauszuar5
Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 209.
II. Rechtliche Grundlagen des Datenschutzrechts
21
beiten sind. Schließlich gilt es zu diskutieren, inwiefern durch Betriebsvereinbarungen vom gesetzlichen Datenschutzniveau abgewichen werden kann (Abschnitt D. III.). Auf Grundlage der gewonnenen Erkenntnisse ist ein kritischer Blick auf die praktische Relevanz dieses Gestaltungsmittels zu werfen (Abschnitt D. IV.). Abschließend muss beleuchtet werden, welche Verantwortung der Betriebsrat im Rahmen des Beschäftigtendatenschutzes trägt (Abschnitt E.): Ist er datenschutzrechtlich Verantwortlicher (Abschnitt E. I.)? Wer haftet für durch den Betriebsrat begangene Datenschutzverstöße (Abschnitt E. II.)? Und welchen rechtlichen Grenzen unterliegt der Betriebsrat, sofern er selbst personenbezogene Beschäftigtendaten verarbeitet (Abschnitt E. III.)? Zuletzt wird in diesem Kapitel das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten untersucht (Abschnitt E. IV.). Die Ausführungen münden in einer thesenartigen Zusammenfassung der gewonnenen Erkenntnisse (Abschnitt F.), welche die Rolle des Betriebsrats im Rahmen des Beschäftigtendatenschutzes schließlich konturiert.
II. Rechtliche Grundlagen des Datenschutzrechts Ausgangspunkt zur Beantwortung der aufgeworfenen Fragestellung bildet dabei eine Betrachtung des rechtlichen Grundgerüstes, auf dem der Beschäftigtendatenschutz fußt. In einem ersten Schritt ist dazu auf diejenigen Grenzen einzugehen, die diesem Rechtsgebiet durch das Völkerrecht sowie das europäische Primärrecht gesteckt werden. Anschließend werden die im nationalen Verfassungsrecht bestehenden Grundlagen aufgezeigt. Auf dieser Grundlage gilt es schließlich die Entwicklung der datenschutzrechtlichen Gesetzgebung sowohl im sekundären Unionsrecht wie auch auf nationaler Ebene zu beleuchten, um den Status quo des Beschäftigtendatenschutzes festhalten und zur Basis der weiteren Bearbeitung machen zu können.
1. Völker- und europarechtliche Grundlagen des Datenschutzes Technischer Fortschritt und die daraus resultierende zunehmende rechtliche und wirtschaftliche Verflechtung der Mitgliedstaaten der Europäischen Union haben eine unionsweite Harmonisierung des Datenschutzrechts erforderlich gemacht.6 Denn rein nationale Datenschutzkonzepte könnten angesichts der zunehmenden Häufigkeit grenzüberschreitender Tätigkeiten der Unionsbürger und des damit verbundenen Datentransfers zwischen den Mitgliedstaaten nicht mehr ausreichen, um einen effektiven Schutz personenbezogener Daten zu gewährleisten.7 Die Grundlagen für ein 6
ErwG 9 DSGVO. S. ErwG 6 und 7 DSGVO; Albrecht, ZD 2013, 587, 588; Schmidt, Datenschutz für „Beschäftigte“, 2016, S. 27. 7
22
A. Worum es geht
solches unionsweit harmonisiertes Datenschutzrecht bilden dabei neben Art. 16 AEUV auch die Art. 7, 8 GRCh, die ihrerseits wiederum auf Art. 8 EMRK zurückgehen, sodass dieser zum Ausgangspunkt der nachfolgenden Betrachtung wird. a) Art. 8 Abs. 1 EMRK Art. 8 Abs. 1 EMRK räumt jeder Person ein Recht auf „Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz“ ein. Aus dem Wortlaut der Regelung ergibt sich damit jedenfalls nicht unmittelbar ein Recht des Einzelnen auf den Schutz seiner personenbezogenen Daten. Allerdings entzieht sich der dort enthaltene Begriff des Privatlebens einer abschließenden Definition,8 sondern ist angesichts der vielfältigen neuartigen Beeinträchtigungen vielmehr weit zu verstehen und einer ständigen Fortentwicklung zugänglich.9 So gewährleistet Art. 8 EMRK unzweifelhaft das Recht, einen privaten Lebensbereich zu erhalten, der dem Einzelnen eine Möglichkeit zur Selbstverwirklichung bietet, indem er äußeren Zugriffen entzogen ist.10 Dieses Recht kann indes durch die Verarbeitung personenbezogener Daten erheblich beeinträchtigt werden,11 sodass – um dieser besonderen Gefährdungslage für das Privatleben begegnen zu können – das Recht des Einzelnen auf informationelle Selbstbestimmung und damit auf den Schutz der ihn betreffenden personenbezogenen Daten dem Schutz des Art. 8 Abs. 1 EMRK unterstellt werden muss.12 Dabei kommt den Gewährleistungen der EMRK jedoch keine unmittelbare Wirkung im Rechtsverhältnis zwischen Privaten zu, sondern verpflichtet allein den Staat, die Einhaltung dieser Rechte auch im Privatrechtsverhältnis zu garantieren.13 b) Art. 7, 8 GRCh Eine Art. 8 Abs. 1 EMRK beinahe wortlautidentisch entsprechende Regelung findet sich in Art. 7 GRCh. Die daraus resultierende inhaltliche Übereinstimmung
8 EGMR, Urt. v. 12.6.2014 – 56030/07, NZA 2015, 533, 534 Rn. 109; EGMR, Urt. v. 23.9.2010 – 425/03, NZA 2011, 277 Ls. 1; EGMR, Urt. v. 23.9.2010 – 1620/03, NZA 2011, 279 Ls. 1. 9 EGMR, Urt. v. 25.4.1978 – 5856/72, BeckRS 1978, 108297, der die EMRK als „living instrument“ bezeichnet. 10 Franzen/Gallner/Oetker/Schubert, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 8 EMRK Rn. 6; Grabenwarter/Pabel, EMRK, 6. Aufl. 2016, § 22 Rn. 9. 11 BeckOK InfoMedienR/Gersdorf, 28. Ed. (Stand 1. 5. 2019), Art. 8 EMRK Rn. 29. 12 EGMR, Urt. v. 4.12.2008 – 30562/04 u. a., NJOZ 2010, 696, 697 Rn. 66 f.; Franzen/ Gallner/Oetker/Schubert, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 8 EMRK Rn. 8. 13 EGMR, Urt. v. 23.9.2010 – 425/03, NZA 2011, 277, 278 Rn. 41; Calliess/Ruffert/Kingreen, EUV/AEUV, 5. Aufl. 2016, Art. 51 GRCh Rn. 21; Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 233.
II. Rechtliche Grundlagen des Datenschutzrechts
23
der Gewährleistungen beider Normen ist dabei keineswegs zufällig.14 Vielmehr kommt Art. 7 GRCh gem. Art. 52 Abs. 3 S. 1 GRCh dieselbe Bedeutung und Tragweite zu wie Art. 8 Abs. 1 EMRK, sodass der EuGH bei der Auslegung der Gewährleistungen der GRCh auf die Rechtsprechung des EGMR zurückgreifen kann.15 Weitergehend enthält Art. 8 GRCh jedoch eine spezielle Gewährleistung des Datenschutzes, der ausdrücklich jeder Person „das Recht auf Schutz der sie betreffenden personenbezogenen Daten“ einräumt und insofern ein eigenständiges Grundrecht normiert.16 Personenbezogen sind dabei alle Daten, die eine bestimmte oder bestimmbare natürliche Person betreffen.17 Zu beachten ist allerdings, dass auch Art. 8 GRCh nicht speziell auf den Beschäftigtendatenschutz zugeschnitten ist und sich eine entsprechende Regelung auch nicht an anderer Stelle in der GRCh findet.18 Es bleibt mithin auch im Rahmen der Verarbeitung von Beschäftigtendaten einzig der Rückgriff auf die allgemeine Gewährleistung des Datenschutzes. Dabei wendet der EuGH – trotz der in Art. 8 GRCh enthaltenen, spezifisch auf den Datenschutz zugeschnittenen Regelung – Art. 7, 8 GRCh wegen ihrer erheblichen inhaltlichen Überschneidungen nebeneinander an.19 Obwohl mithin der Schutz personenbezogener Daten in der GRCh und damit im europäischen Primärrecht verbürgt ist,20 sind auch diese Gewährleistungen nicht schrankenlos zu verstehen, sondern unterliegen gem. Art. 52 Abs. 1 GRCh (i. V. m. Art. 8 Abs. 2 GRCh) Einschränkungsmöglichkeiten. Fraglich bleibt, inwiefern die Regelungen der GRCh auch auf Privatrechtsverhältnisse – und damit insbesondere auch auf das Arbeitsverhältnis – Anwendung finden. Ausweislich Art. 51 Abs. 1 S. 1 GRCh bindet die Charta die Organe, Einrichtungen und sonstigen Stellen der Union, sowie die Mitgliedstaaten, soweit sie das Recht der Union durchführen. Privatpersonen werden unter Zugrundelegung dieser Formulierung hingegen von den sich aus den Grundrechten der Charta ergebenden 14 ABl. 2007 C 303/20, S. 20: „Die Rechte nach Artikel 7 entsprechen den Rechten, die durch Artikel 8 EMRK garantiert sind. Um der technischen Entwicklung Rechnung zu tragen, wurde der Begriff „Korrespondenz“ durch „Kommunikation“ ersetzt“. 15 EuGH, Urt. v. 8. 4. 2014 – C-293/12 u. a., NJW 2014, 2169, 2170 ff. Rn. 35, 47, 55; Calliess/Ruffert/Kingreen, EUV/AEUV, 5. Aufl. 2016, Art. 8 GRCh Rn. 4. 16 BeckOK InfoMedienR/Gersdorf, 28. Ed. (Stand 1. 5. 2019), Art. 8 GRCh Rn. 6; Jarass, EU-GRCh, 3. Aufl. 2016, Art. 8 Rn. 2; Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 165. 17 EuGH, Urt. v. 17. 10. 2013 – C-291/12, NVwZ 2014, 435, 436 Rn. 26; EuGH, Urt. v. 9. 11. 2010 – C-92/09 u. a., EuZW 2010, 939, 941 Rn. 52; Jarass, EU-GRCh, 3. Aufl. 2016, Art. 8 Rn. 5. 18 Schmidt, Datenschutz für „Beschäftigte“, 2016, S. 30. 19 EuGH, Urt. v. 17. 10. 2013 – C-291/12, NVwZ 2014, 435, 436 Rn. 24 f.; EuGH, Urt. v. 24. 11. 2011 – C-468/10, NZA 2011, 1409, 1411 Rn. 41 f.; EuGH, Urt. v. 9. 11. 2010 – C-92/09 u. a., EuZW 2010, 939, 941 Rn. 52; kritisch Jarass, EU-GRCh, 3. Aufl. 2016, Art. 8 Rn. 4. 20 S. Art. 6 Abs. 1 EUV, der der Grundrechtecharta den gleichen Rang einräumt, wie den europäischen Verträgen; EuGH, Urt. v. 21. 6. 2012 – C-78/11, NZA 2012, 851, 852 Rn. 17; Jarass, EU-GRCh, 3. Aufl. 2016, Einl. Rn. 12.
24
A. Worum es geht
Verpflichtungen nicht erfasst.21 Dennoch gewinnen sie auch in den Rechtsverhältnissen zwischen Privaten eine entscheidende Bedeutung, da Rechtsnormen des Unionsrechts, die gegen die Grundrechte verstoßen, ungültig sind22 und nationales Recht in einem solchen Fall unanwendbar ist.23 Zudem müssen auch Regelungen, die grundsätzlich mit den Grundrechten der Charta vereinbar sind, in ihrem Lichte ausgelegt und angewendet werden,24 sodass sie zumindest mittelbar auch auf die Rechtsverhältnisse zwischen Privaten einwirken. Dies betrifft auch nationale Regelungen, sofern sie der Durchführung von Unionsrecht dienen.25 Weitergehend fordern einige Stimmen trotz des eindeutigen Wortlauts des Art. 51 Abs. 1 S. 1 GRCh eine unmittelbare Wirkung zumindest des Datenschutzgrundrechts des Art. 8 GRCh auch in Privatrechtsverhältnissen, da die praktische Wirksamkeit (effet utile) des Grundrechts andernfalls nicht gewährleistet sei, weil gerade von Privatpersonen eine große Gefahr für personenbezogene Daten ausgehe.26 Jedoch darf nicht verkannt werden, dass auch eine unmittelbare Drittwirkung des Art. 8 GRCh allein in den Grenzen des Art. 51 GRCh in Betracht käme.27 Da das Datenschutzrecht allerdings in erheblichem Maße durch das sekundäre Unionsrecht geprägt und durch nationale Regelungen lediglich konkretisiert wird, kommt den Grundrechten der GRCh ohnehin eine weitreichende mittelbare Wirkung bei der Anwendung und Auslegung dieser Normen zu, sodass sie bereits auf diesem Wege auf die Rechtsverhältnisse zwischen Privaten einwirken und der Frage nach einer unmittelbaren Wirkung mithin – jedenfalls für die vorliegende Arbeit – keine eigenständige Bedeutung zukommt.28 c) Art. 16 AEUV Letztlich gewährleistet auch Art. 16 Abs. 1 AEUV dem Einzelnen ein Recht auf Schutz der ihn betreffenden personenbezogenen Daten. Die Regelung ist dabei wortgleich mit Art. 8 Abs. 1 GRCh formuliert, sodass beide Normen auch inhaltlich 21
Jarass, EU-GRCh, 3. Aufl. 2016, Art. 51 Rn. 31. EuGH, Urt. v. 1. 3. 2011 – C-236/09, NJW 2011, 907, 909 Rn. 32 f.; Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 232. 23 EuGH, Urt. v. 19. 1. 2010 – C-555/07, NJW 2010, 427, 429 f. Rn. 51, 53; EuGH, Urt. v. 22. 11. 2005 – C-144/04, NZA 2005, 1345, 1348 Rn. 77; Jarass, EU-GRCh, 3. Aufl. 2016, Art. 51 Rn. 33. 24 EuGH, Urt. v. 13. 5. 2014 – C-131/12, NJW 2014, 2257, 2261 Rn. 68 f.; EuGH, Urt. v. 18. 7. 2013 – C-426/11, NZA 2013, 835, 836 Rn. 30. 25 Jarass, EU-GRCh, 3. Aufl. 2016, Art. 51 Rn. 34. 26 Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 233 f. 27 Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 226; Seifert, EuZW 2011, 696, 701 f. 28 GA Maduro, Schlussantrag v. 23. 5. 2007 – C- 438/05, Slg. 2007, I-10779, I-10795 Rn. 40, der feststellt, dass „in der Sache […] kein Unterschied“ besteht. Dafür, dass der Frage für die Rechtspraxis generell nur untergeordnete Bedeutung zuzumessen ist: Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 236. 22
II. Rechtliche Grundlagen des Datenschutzrechts
25
identisch zu verstehen sind29 und Art. 16 Abs. 1 AEUV ebenfalls Grundrechtscharakter zukommt.30 Inhaltlich über Art. 8 Abs. 1 GRCh hinaus geht jedoch Art. 16 Abs. 2 S. 1 AEUV. Dort heißt es: „Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr“. Die Vorschrift beinhaltet mithin die Kompetenzgrundlage für die Union zum Erlass der zum Schutz des in Absatz 1 festgeschriebenen subjektiven Rechts auf Datenschutz erforderlichen Vorschriften.31 Dabei schafft Art. 16 Abs. 2 S. 1 AEUV in seinem ersten Halbsatz allein die Kompetenz zum Erlass von Normen für die Datenverarbeitung durch die Organe der Union und die Mitgliedstaaten; erst der zweite Halbsatz enthält die Ermächtigung zur Regelung der Zulässigkeit von Datenverarbeitungen durch Privatpersonen.32
2. Nationale verfassungsrechtliche Grundlagen des Datenschutzes Nachdem der Streifzug durch die völker- und europarechtlichen Grundlagen des Datenschutzes beendet ist, bedarf es – in der gebotenen Kürze – zudem eines Blicks auf die diesbezüglichen nationalen, verfassungsrechtlichen Vorgaben. Dabei enthält das GG, anders als das europäische Primärrecht und einige Landesverfassungen,33 kein ausdrückliches Datenschutzgrundrecht.34 Dies bedeutet jedoch nicht, dass der Datenschutz nicht grundrechtlich verankert ist. Ausgangspunkt bildet insofern das allgemeine Persönlichkeitsrecht, auf dessen Grundlage sowohl auf das Recht auf informationelle Selbstbestimmung als auch auf das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme einzugehen ist. Letztlich gilt es zudem einen Blick auf Art. 10 Abs. 1 GG und Art. 13 Abs. 1 GG zu werfen, die ebenfalls Bedeutung für den Datenschutz erlangen können. 29 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 16 AEUV Rn. 6. 30 Calliess/Ruffert/Kingreen, EUV/AEUV, 5. Aufl. 2016, Art. 16 AEUV Rn. 3; kritisch Streinz/Schröder, EUV/AEUV, 3. Aufl. 2018, Art. 16 AEUV Rn. 5. 31 Forgó/Helfrich/Schneider/Forgó, 3. Aufl. 2019, Teil I, Kapitel 2 Rn. 24; Franzen/Gallner/Oetker/ Franzen, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 16 AEUV Rn. 7 f.; Paal/Pauly/Paal/Pauly, 2. Aufl. 2018, Einl. Rn. 18. 32 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 16 AEUV Rn. 7 f.; Streinz/Schröder, EUV/AEUV, 3. Aufl. 2018, Art. 16 AEUV Rn. 9 f. 33 S. beispielhaft Art. 33 LV Berlin; Art. 12a LV Hessen, Art. 4 Abs. 2 LV NRW; Art. 6 Abs. 2 LV Thüringen. 34 S. insofern den Gesetzesvorschlag der Fraktion Bündnis 90/Die Grünen v. 18. 6. 2008, BT-Drs. 16/9607.
26
A. Worum es geht
a) Das allgemeine Persönlichkeitsrecht Die Erkenntnis, dass die Persönlichkeitsrechte des Einzelnen eines besonderen Schutzes bedürfen, ist dabei keineswegs neu. Bereits im deutschen Kaiserreich reifte ein Verständnis für die aus dem ständigen technischen Fortschritt folgenden Bedrohungen für die Persönlichkeitsrechte des Einzelnen heran.35 Anerkannt war dabei, dass Beeinträchtigungen der persönlichen Lebenssphäre nur durch eine dynamische Fortentwicklung des Rechts effektiv begegnet werden konnte.36 Dieses Bedürfnis hat sich seitdem angesichts der wachsenden Geschwindigkeit des technischen Fortschritts, insbesondere aber auch angesichts der Organisation und Reichweite des modernen Pressewesens, namentlich von Rundfunk und Fernsehen, zunehmend verstärkt.37 Die Grundlage für das moderne Verständnis des Persönlichkeitsschutzes bildet dabei eine Entscheidung des BGH aus dem Jahr 1954, in dem dieser erstmals den Bestand eines aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleiteten allgemeinen Persönlichkeitsrechts anerkannte.38 Dieses schützt nach heutiger Auffassung im Wesentlichen drei Teilbereiche: die Privatsphäre, das Recht auf Selbstdarstellung und die persönliche Ehre.39 Allerdings entzieht sich das allgemeine Persönlichkeitsrecht einer abschließenden Definition, da es in Anbetracht der raschen technischen Entwicklungen und der daraus resultierenden, immer neuen Gefahren für die Persönlichkeitsrechte des Einzelnen ebenfalls der ständigen Konkretisierung durch die Rechtsprechung unterliegt.40 b) Das Recht auf informationelle Selbstbestimmung Diese Weiterentwicklung ist zwingend erforderlich, damit der Schutz des Einzelnen auch angesichts der aus dem stetigen technischen Fortschritt folgenden Herausforderungen gewährleistet bleibt.41 Eine solche für das Datenschutzrecht maßgebliche Fortentwicklung ist durch das Volkszählungsurteil des BVerfG erfolgt, in dem das Gericht erstmals das Recht auf informationelle Selbstbestimmung als
35 RG, Urt. v. 28. 12. 1899 – VI 259/99, RGZ 45, 170 in Bezug auf Fotografien des Leichnams von Otto von Bismarck. 36 RG, Urt. v. 28. 12. 1899 – VI 259/99, RGZ 45, 170, 173 f. 37 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 14. 38 BGH, Urt. v. 25. 5. 1954 – I ZR 211/53, BGHZ 13, 334; bereits vier Jahre später bezeichnet der BGH das allgemeine Persönlichkeitsrecht als anerkannten „Grundwert der Rechtsordnung“, BGH, Urt. v. 14. 2. 1958 – I ZR 151/56, NJW 1958, 827, 830; eingehend zur Entwicklung des allgemeinen Persönlichkeitsrechts Seifert, NJW 1999, 1889. 39 ErfK/Schmidt, 20. Aufl. 2020, Art. 2 GG Rn. 34; Maunz/Dürig/Di Fabio, GG, 90. EL (Februar 2020), Art. 2 Abs. 1 Rn. 148. 40 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 421. 41 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 16.
II. Rechtliche Grundlagen des Datenschutzrechts
27
Ausprägung des allgemeinen Persönlichkeitsrechts herausgearbeitet hat.42 Bis zur Ausformung dieser speziellen Gewährleistung wurden datenschutzrechtliche Sachverhalte am Maßstab des allgemeinen Persönlichkeitsrecht bewertet, das unter anderem die Befugnis des Einzelnen verbürgt, selbst und in eigener Verantwortung die Entscheidung darüber zu treffen, zu welchem Zeitpunkt persönliche Lebenssachverhalte offenbart werden und in welchen inhaltlichen Grenzen dies geschehen soll.43 Dieser Grundsatz wurde im Volkszählungsurteil konkretisiert, indem das Gericht anerkannte, dass dem Einzelnen auf Grundlage von Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG die Befugnis zustehen müsse, „grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“44, um ihn vor der unbegrenzten „Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten“45 zu schützen. Für eine derartige Fortentwicklung bestand angesichts der vielfältigen Möglichkeiten der modernen Datenverarbeitung ein erhebliches Bedürfnis, denn durch die zunehmende Automatisierung und der damit einhergehenden Gefahr einer Verknüpfung von Daten, kann kein einziges, eine konkrete Person betreffendes Datum mehr als belanglos eingeordnet werden.46 Die im Grundgesetz angelegte Selbstbestimmung des Einzelnen fordert daher in einer Gesellschaft, die eine automatisierte Datenverarbeitung als selbstverständlich ansieht, die Anerkennung eines Rechts jedes Einzelnen, selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden.47 Insofern scheint es nur konsequent, dass sich das aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleitete Recht auf informationelle Selbstbestimmung als grundrechtliche Verbürgung des Datenschutzes etabliert hat.48 Das Grundgesetz schafft eine normative Vorgabe, die jedoch
42
BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; zuvor wurde ein besonderer Schutz von personenbezogenen Daten nur bei einem Eingriff in die Persönlichkeitsund Individualsphäre des Betroffenen gewährt, s. BVerfG, Beschl. v. 16. 7. 1969 – 1 BvL 19/63, NJW 1969, 1707. 43 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 421; BVerfG, Beschl. v. 3. 6. 1980 – 1 BvR 185/77, NJW 1980, 2070, 2071; BVerfG, Beschl. v. 16. 7. 1969 – 1 BvL 19/ 63, NJW 1969, 1707. 44 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 Ls. 1; seitdem st. Rspr. des BVerfG, s. beispielhaft BVerfG, Beschl. v. 24. 1. 2012 – 1 BvR 1299/05, NJW 2012, 1419, 1422 Rn. 122; BVerfG, Urt. v. 13. 2. 2007 – 1 BvR 421/05, NJW 2007, 753, 754 Rn. 66; BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 979 Rn. 85. 45 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 Ls. 1; seitdem st. Rspr. des BVerfG, s. beispielhaft BVerfG, Beschl. v. 24. 1. 2012 – 1 BvR 1299/05, NJW 2012, 1419, 1422 Rn. 122; BVerfG, Urt. v. 13. 2. 2007 – 1 BvR 421/05, NJW 2007, 753, 754 Rn. 66; BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 979 Rn. 85. 46 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; Gurlit, NJW 2010, 1035, 1036. 47 Simitis, NJW 1984, 398, 399. 48 BVerfG, Urt. v. 27. 6. 1991 – 2 BvR 1493/89, NJW 1991, 2129, 2132; ErfK/Franzen, 20. Aufl. 2020, § 1 BDSG Rn. 1; Simitis, NJW 1984, 398, 399.
28
A. Worum es geht
selbst wiederum einer steten Anpassung an die sich wandelnden und fortentwickelnden technischen Möglichkeiten moderner Datenverarbeitung bedarf.49 aa) Grenzen des Rechts auf informationelle Selbstbestimmung Gleichzeitig hat das BVerfG jedoch betont, dass dem Einzelnen keine absolute, unbeschränkbare Herrschaft über die ihn betreffenden Daten zusteht, er mithin keine Freiheit von jedweder Datenverarbeitung genießt, sondern das Grundgesetz der Verarbeitung personenbezogener Daten lediglich Grenzen zieht, sodass auch die grundsätzlich bestehende Herrschaftsmacht über die eigenen Daten ihrerseits wiederum Beschränkungen unterliegt.50 So sind Einschränkungen des aus dem allgemeinen Persönlichkeitsrecht entwickelten Rechts auf informationelle Selbstbestimmung aus Gründen des überwiegenden Allgemeininteresses zulässig,51 wobei indes jede Einschränkung einer gesetzlichen Grundlage bedarf, die dem Gebot der Normenklarheit und dem Grundsatz der Verhältnismäßigkeit genügt.52 Daher muss eine Norm, die eine rechtliche Grundlage für eine Datenverarbeitung schafft und damit das Recht auf informationelle Selbstbestimmung einschränkt, den Verwendungszweck der Daten präzise bestimmen und darf nur solche Datenverarbeitungen zulassen, die zur Erreichung des verfolgten Zwecks auch geeignet und erforderlich sind.53 Zudem ist der Gesetzgeber dazu angehalten, verfahrensrechtliche Vorschriften für die Vornahme der jeweiligen Datenverarbeitungen vorzusehen, um einer Zweckentfremdung vorzubeugen und den Schutz des Betroffenen abzusichern.54 Dies findet seine Grundlage in der Erwägung, dass der Einzelne nicht allein als Individuum, sondern gleichzeitig als Teil der sozialen Gemeinschaft, in der er lebt, zu
49
Simitis, NJW 1984, 398, 402. BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; Gurlit, NJW 2010, 1035, 1036; Simitis, NJW 1984, 398, 399 f. 51 Grundlegend BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 Ls. 2; seitdem st. Rspr. BVerfG, Urt. v. 19. 9. 2018 – 2 BvF 1/15 u. a., NVwZ 2018, 1703, 1714 Rn. 220; BVerfG, Beschl. v. 5. 7. 2010 – 2 BvR 759/10, NJW 2010, 2717 Rn. 8; BVerfG, Beschl. v. 11. 8. 2009 – 2 BvR 941/08, NJW 2009, 3293, 3294 Rn. 17; Maunz/Dürig/Di Fabio, GG, 90. EL (Februar 2020), Art. 2 Abs. 1 Rn. 181. 52 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; BeckOK DatenschutzR/Brink, 30. Ed. (Stand 1. 11. 2017), Grundlagen, Verfassungsrecht Rn. 91; Gurlit, NJW 2010, 1035, 1038. 53 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; BeckOK DatenschutzR/Brink, 30. Ed. (Stand 1. 11. 2017), Grundlagen, Verfassungsrecht Rn. 102 ff.; Gurlit, NJW 2010, 1035, 1038. 54 Grundlegend BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422 f.; näher konkretisiert durch BVerfG, Urt. v. 2. 3. 2010 – 1 BvR 256/08 u. a., NJW 2010, 833, 840 Rn. 221 ff. in Bezug auf eine Datenspeicherung; BeckOK DatenschutzR/Brink, 30. Ed. (Stand 1. 11. 2017), Grundlagen, Verfassungsrecht Rn. 91; Gurlit, NJW 2010, 1035, 1038. 50
II. Rechtliche Grundlagen des Datenschutzrechts
29
begreifen ist.55 Für das Zusammenleben in einer solchen Gemeinschaft ist die Verarbeitung und Nutzung personenbezogener Daten zwingende Voraussetzung.56 Dies wird offenkundig, wirft man einen Blick auf den Beschäftigtendatenschutz, denn auch dort ist der Arbeitnehmer nicht als Individuum zu begreifen, sondern das Arbeitsverhältnis ist sowohl durch die Beziehung von Arbeitnehmer und Arbeitgeber als auch von Arbeitnehmer und Betriebsrat geprägt.57 Auf der einen Seite steht das individuelle Interesse des Arbeitnehmers am Schutz seiner personenbezogenen Daten, auf der anderen Seite ist er jedoch auch einer bestimmten betrieblichen Gemeinschaft zuzuordnen, woraus sich die Notwendigkeit der Verarbeitung seiner Daten ergeben kann. Dies schafft ein gewisses Spannungsverhältnis, das nur durch eine Abwägung zwischen dem Informationsbedürfnis von Arbeitgeber und Betriebsrat einerseits und dem Recht des Arbeitnehmers auf informationelle Selbstbestimmung andererseits aufzulösen ist.58 bb) Das Recht auf informationelle Selbstbestimmung im Arbeitsverhältnis Allerdings finden die Grundrechte – und damit auch das Recht auf informationelle Selbstbestimmung – im Rechtsverhältnis zwischen Privaten keine unmittelbare Anwendung, da sie gem. Art. 1 Abs. 3 GG lediglich die Staatsgewalten als unmittelbar geltendes Recht binden.59 Dennoch können Grundrechte auch in Privatrechtsverhältnissen zumindest mittelbare Wirkung entfalten, da sie eine objektive Werteordnung darstellen, die bei der Anwendung und Auslegung des einfachen Rechts zu berücksichtigen ist.60 Das in den Grundrechten zum Ausdruck kommende Wertverständnis ist als verfassungsrechtliche Grundentscheidung zu begreifen, die auf alle Rechtsbereiche einwirkt.61 Eine solche mittelbare Wirkung kommt daher auch dem Recht auf informationelle Selbstbestimmung im Verhältnis zwischen Arbeitnehmer und Arbeitgeber, aber auch zwischen Arbeitnehmer und Betriebsrat zu.62 Denn das Selbstbestimmungsrecht des Einzelnen im Hinblick auf seine per-
55 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; BeckOK DatenschutzR/Brink, 30. Ed. (Stand 1. 11. 2017), Grundlagen, Verfassungsrecht Rn. 90; Gurlit, NJW 2010, 1035, 1036. 56 Wronka/Gola/Pötters, HdB Arbeitnehmerdatenschutz, 7. Aufl. 2016, Rn. 9. 57 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 22. 58 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 22. 59 Maunz/Dürig/Herdegen, GG, 90. EL (Februar 2020), Art. 1 Abs. 3 Rn. 64. 60 Grundlegend BVerfG, Urt. v. 15. 1. 1958 – 1 BvR 400/57, NJW 1958, 257; Maunz/Dürig/ Herdegen, GG, 90. EL (Februar 2020), Art. 1 Abs. 3 Rn. 57, 71. 61 BVerfG, Urt. v. 15. 1. 1958 – 1 BvR 400/57, NJW 1958, 257. 62 BAG, Urt. v. 16. 11. 2010 – 9 AZR 573/09, NZA 2011, 453, 456 Rn. 38; BAG, Urt. v. 4. 4. 1990 – 5 AZR 299/89, NZA 1990, 933, 934; Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 53 f.; Maunz/Dürig/Di Fabio, GG, 90. EL (Februar 2020), Art. 2 Abs. 1 Rn. 191; für
30
A. Worum es geht
sonenbezogenen Daten verliert nicht an Gewicht, nur weil die Datenverarbeitung durch einen Privaten erfolgt.63 Im Gegenteil: Im Arbeitsverhältnis treffen besonders viele Informationserwartungen verschiedener Akteure aufeinander.64 Daher bedürfen auch die Vorschriften des BetrVG einer am Maßstab der Grundrechte, insbesondere einer an den Vorgaben des aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleiteten Rechts auf informationelle Selbstbestimmung, orientierten Auslegung.65 Wesentlichen Eingang in das Verhältnis zwischen Arbeitnehmer, Arbeitgeber und Betriebsrat finden die aus dem informationellen Selbstbestimmungsrecht folgenden Wertungen dabei über § 75 Abs. 2 S. 1 BetrVG, der Arbeitgeber und Betriebsrat verpflichtet, die freie Entfaltung der Persönlichkeit der im jeweiligen Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern.66 Auf diesem Wege wird das Recht auf informationelle Selbstbestimmung mithin zu einer wesentlichen Grundlage des Beschäftigtendatenschutzes.67 c) Weitere nationale grundrechtliche Gewährleistungen Eine weitere Ausprägung des allgemeinen Persönlichkeitsrechts, die für den Datenschutz Bedeutung erlangen kann, stellt das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme dar.68 Dieses Recht schützt den Einzelnen unabhängig von einem konkreten Kommunikations- oder Datenverarbeitungsvorgang vor einem Zugriff auf von ihm genutzte informationstechnische Systeme.69 Darüber hinaus kann für den Datenschutz das von Art. 10 Abs. 1 GG geschützte Brief-, Post- und Fernmeldegeheimnis relevant sein. Gewährleistet wird dabei die Vertraulichkeit des individuellen Kommunikationsvorgangs, der eben auf die Übermittlung von Informationen an einen Empfänger angelegt und damit dem besonderen Risiko eines Zugriffs durch Dritte ausgesetzt ist.70 Angesichts der vielfältigen modernen Kommunikationsformen unterliegt die Gewährleistung des Art. 10 Abs. 1 GG einer dynamischen Interpretation durch die Rechtsprechung des BVerfG, um neuartigen Bedrohungen sachgerecht begegnen zu das allgemeine Persönlichkeitsrecht BAG, Urt. v. 27. 3. 2003 – 2 AZR 51/02, NZA 2003, 1193, 1194. 63 Simitis, NJW 1984, 398, 401. 64 Simitis, NJW 1984, 398, 401. 65 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 20. 66 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1279 f.; BAG, Urt. v. 19. 1. 1999 – 1 AZR 499/98, NZA 1999, 546, 548; Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 56. 67 BAG, Urt. v. 4. 4. 1990 – 5 AZR 299/89, NZA 1990, 933, 934. 68 BVerfG, Urt. v. 2. 7. 2008 – 1 BvR 370/07 u. a., NJW 2008, 822, 827 Rn. 201. 69 BVerfG, Urt. v. 2. 7. 2008 – 1 BvR 370/07 u. a., NJW 2008, 822, 827 Rn. 200 ff. 70 BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 978 Rn. 65; Maunz/Dürig/ Durner, GG, 90. EL (Februar 2020), Art. 10 Rn. 49.
II. Rechtliche Grundlagen des Datenschutzrechts
31
können.71 Allerdings schützt Art. 10 Abs. 1 GG allein den Übertragungsvorgang – außerhalb dieses konkreten Vorgangs werden weder Inhalte noch Umstände der Kommunikation vom Schutz des Grundrechts erfasst.72 In den Fällen, in denen der Eingriff nicht den Kommunikationsvorgang als solchen betrifft, bleibt daher nur der Rückgriff auf das allgemeine Persönlichkeitsrecht, insbesondere in Gestalt des Rechts auf informationelle Selbstbestimmung.73 Letztlich bedarf es eines Blicks auf Art. 13 Abs. 1 GG, der die Unverletzlichkeit der Wohnung auf verfassungsrechtlicher Ebene absichert, indem er die Privatsphäre in räumlicher Hinsicht schützt.74 Der Begriff der „Wohnung“ muss dabei weit ausgelegt werden und erfasst alle Räume, die nicht allgemein zugänglich sind und die der Einzelne zur Stätte seines Aufenthalts oder Wirkens macht.75 Zwar sind grundsätzlich auch Geschäftsräume unter diesen Begriff zu fassen,76 der Arbeitsort ist jedoch gerade auf ein räumliches Zusammenwirken von Arbeitnehmer und Arbeitgeber angelegt, sodass jedenfalls eine räumliche Privatheit vor dem Arbeitgeber nicht erwartet werden kann und Arbeitsräume daher regelmäßig nicht in den Schutzbereich des Art. 13 Abs. 1 GG fallen.77 Die Gewährleistungen des Art. 13 Abs. 1 GG können mithin für den Beschäftigtendatenschutz allenfalls bei einem Zugriff auf die Privatwohnung des Arbeitnehmers Bedeutung erlangen.
3. Zusammenfassender Überblick über den Rechtsrahmen des Datenschutzes Der Datenschutz ist sowohl auf völkerrechtlicher als auch auf unionsrechtlicher sowie auf nationaler, verfassungsrechtlicher Ebene verankert. So bildet Art. 8 Abs. 1 EMRK die Grundlage des Datenschutzes im Völkerrecht, auf unionsrechtlicher Ebene übernehmen diese Funktion insbesondere Art. 7, 8 GRCh. Auf nationaler Ebene ist der Datenschutz durch das aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleitete allgemeine Persönlichkeitsrecht abgesichert, wobei im Vordergrund dessen Ausprägung in Form des Rechts auf informationelle Selbstbestimmung steht. 71 BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 978 Rn. 67; Maunz/Dürig/ Durner, GG, 90. EL (Februar 2020), Art. 10 Rn. 4, 47. 72 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 270/07 u. a., NJW 2008, 822, 825 Rn. 184 f.; BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 978 Rn. 68 ff.; Maunz/Dürig/Durner, GG, 90. EL (Februar 2020), Art. 10 Rn. 62. 73 BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 979 Rn. 80; Maunz/Dürig/ Durner, GG, 90. EL (Februar), Art. 10 Rn. 56. 74 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 270/07 u. a., NJW 2008, 822, 826 Rn. 192; BeckOK GG/Kluckert, 43. Ed. (Stand 15. 5. 2020), Art. 13 Rn. 1; Maunz/Dürig/Papier, GG, 90. EL (Februar 2020), Art. 13 Rn. 1. 75 Maunz/Dürig/Papier, GG, 90. EL (Februar 2020), Art. 13 Rn. 10. 76 BVerfG, Beschl. v. 13. 10. 1971 – 1 BvR 280/66, NJW 1971, 2299 Ls. 1; BeckOK GG/ Kluckert, 43. Ed. (Stand 15. 5. 2020), Art. 13 Rn. 3. 77 I. E. ebenso Schmidt, Datenschutz für „Beschäftigte“, 2016, S. 58.
32
A. Worum es geht
Daneben können Art. 10 Abs. 1 GG und Art. 13 Abs. 1 GG einen Maßstab für den Datenschutz vorgeben. Diese Regelungen enthalten zwar in erster Linie Vorgaben für die einfachgesetzliche Ausgestaltung des Datenschutzes. Die grundrechtlichen Gewährleistungen wirken jedoch zumindest mittelbar auch auf Privatrechtsverhältnisse – d. h. auch auf das Verhältnis zwischen Arbeitgeber, Arbeitnehmer und Betriebsrat – ein, wodurch sie die entscheidende Grundlage des Beschäftigtendatenschutzes bilden.
4. Die Gesetzgebung zum Beschäftigtendatenschutz auf unionsrechtlicher und nationaler Ebene Für das Verständnis des Beschäftigtendatenschutzes ist neben einer Auseinandersetzung mit seinen rechtlichen Grundlagen auch ein Überblick über die historische Entwicklung dieses Rechtsgebiets notwendig. Erst darauf aufbauend kann sich die Systematik der aktuellen, für den Beschäftigtendatenschutz maßgeblichen Rechtsquellen erschließen. Denn die inhaltliche Komplexität des Beschäftigtendatenschutzes ergibt sich nicht auf den ersten Blick: Er hat lediglich eine spärliche Normierung in § 26 BDSG erfahren, sodass es einer eingehenden Betrachtung des Status quo nationaler, wie auch unionsrechtlicher Regelungen, die für den Beschäftigtendatenschutz Bedeutung erlangen können, bedarf. Im Folgenden soll daher ein kurzer Abriss der Entwicklung des Datenschutzes, mit besonderem Augenmerk auf dem Beschäftigtendatenschutz erfolgen, um anschließend die aktuell maßgeblichen Rechtsquellen aufzuzeigen und in der Regelungssystematik des Rechtsgebiets zu verorten. a) Entwicklung des Beschäftigtendatenschutzrechts Das Datenschutzrecht ist ein vergleichsweise junges Rechtsgebiet. Zwar belegt die Herausarbeitung des allgemeinen Persönlichkeitsrechts durch den BGH im Jahr 1954,78 dass schon zu diesem Zeitpunkt ein gewisses Bewusstsein für die Notwendigkeit des Schutzes personenbezogener Daten bestand. Die Entwicklung eines eigenständigen Datenschutzrechts jedoch begann erst in den 1970er Jahren auf Grundlage von zum damaligen Zeitpunkt noch nicht tatsächlich eingetretenen, aber angesichts der zunehmenden Möglichkeiten der elektronischen Datenverarbeitung erahnten Gefährdungen für den Persönlichkeitsschutz.79
78
BGH, Urt. v. 25. 5. 1954 – I ZR 211/53, BGHZ 13, 334. Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 22; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 23. 79
II. Rechtliche Grundlagen des Datenschutzrechts
33
aa) Europäische Ebene Auf europäischer Ebene ist der für den heutigen Datenschutz grundlegende Baustein im Übereinkommen des Europarats zum Schutz der Menschen bei der automatisierten Verarbeitung personenbezogener Daten80 zu erkennen, das 1981 als völkerrechtlicher Vertrag zur Zeichnung aufgelegt wurde und am 1. 10. 1985 in der Bundesrepublik Deutschland in Kraft getreten ist. Ziel der Vereinbarung war die Herstellung eines einheitlichen Datenschutzniveaus im Hoheitsgebiet der Vertragsparteien.81 Rückblickend kann sie als Vorläufer der im Jahr 1995 in Kraft getretenen Richtlinie 95/46/EG82 der Europäischen Union bezeichnet werden.83 Durch diese Richtlinie strebte die Europäische Union neben der Schaffung eines einheitlichen Datenschutzniveaus auch die Errichtung einer einheitlichen Rechtsgrundlage für Datenverarbeitungen in den Mitgliedstaaten an, um dadurch die grenzüberschreitende Wirtschaftstätigkeit innerhalb der Union rechtssicher zu gestalten und damit zu fördern.84 In Bezug auf den Beschäftigtendatenschutz enthielt die Richtlinie allerdings kaum spezifische Vorgaben, einzig in Art. 8 Abs. 2 lit. b RL 95/46/EG fand das „Gebiet des Arbeitsrechts“ Erwähnung, indem den Mitgliedstaaten die Möglichkeit eröffnet wurde, in diesem Bereich teilweise von der Richtlinie abweichende Regelungen zu treffen. Der vorerst letzte Meilenstein im europäischen Datenschutzrecht ist schließlich in der am 4. 5. 2016 im Amtsblatt der Europäischen Union85 veröffentlichten und seit 25. 5. 2018 geltenden DSGVO zu sehen. Durch ihren Verordnungscharakter finden die durch die Union geschaffenen datenschutzrechtlichen Vorschriften nunmehr gem. Art. 288 Abs. 2 AEUV unmittelbare Anwendung in den Mitgliedstaaten. Indes enthält auch die DSGVO keine eigenständigen, auf den Beschäftigtendatenschutz zugeschnittenen Regelungen,86 sondern ermächtigt lediglich die Mitgliedstaaten durch die in Art. 88 Abs. 1 DSGVO enthaltene Öffnungsklausel, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ zu schaffen. 80 Vertrag des Europarats Nr. 108, abrufbar unter: https://rm.coe.int/1680078b38 (letzter Abruf v. 25. 6. 2020). 81 Simitis/Simitis, 8. Aufl. 2014, Einl. Rn. 152. 82 „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“, ABl. 1995 L 281, S. 31 – 50. 83 Vgl. ErwG 11 RL 95/46/EG, der das Übereinkommen des Europarats ausdrücklich in Bezug nimmt; Schmidt, Datenschutz für „Beschäftigte“, 2016, S. 71; in dieselbe Richtung Simitis/Simitis, 8. Aufl. 2014, Einl. Rn. 151, wo er einen nachhaltigen Einfluss des Europarats auf die Entwicklung des Datenschutzes konstatiert sowie Rn. 181, wo er feststellt, dass die Konvention jedenfalls faktisch durch die Datenschutzrichtlinie abgelöst wurde. 84 S. ErwG 8 und 9 RL 95/46/EG; Forst, RDV 2010, 150; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 38. 85 ABl. 2016 L 119, S. 1 – 88. 86 Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 1; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 1.
34
A. Worum es geht
bb) Nationale Ebene Auf nationaler Ebene reicht die Geschichte des Datenschutzes vergleichsweise weiter zurück: So erließ das Land Hessen im Jahr 1970 das weltweit erste Datenschutzgesetz,87 das jedoch wegen der diesbezüglich eingeschränkten Gesetzgebungskompetenz der Länder allein den Schutz personenbezogener Daten bei der Verarbeitung durch öffentliche Stellen des Landes, nicht jedoch durch Private regelte (s. § 1 HDSG 1970). Auch im Bereich des Beschäftigtendatenschutzes erfasste das Gesetz daher nur die Verarbeitung von Personaldaten durch öffentliche Stellen88 und enthielt letztlich keine konkret auf das Arbeitsverhältnis zugeschnittenen Regelungen.89 Auf Bundesebene bestanden bis zur Verabschiedung des ersten BDSG im Jahr 197790 nur einzelne bereichsspezifische Datenschutzbestimmungen, wovon einige – wie das Akteneinsichtsrecht des Arbeitnehmers, das mit der Novellierung des BetrVG im Jahr 1972 in § 83 Abs. 1 BetrVG eingefügt worden war – den Schutz personenbezogener Daten von Arbeitnehmern zum Gegenstand hatten. Demgegenüber waren spezielle Regelungen für den Beschäftigtendatenschutz in der Fassung des BDSG aus dem Jahr 1977 noch nicht vorgesehen. Bereits enthalten war hingegen das noch heute im Datenschutzrecht vorherrschende Prinzip des unter Erlaubnisvorbehalt stehenden grundsätzlichen Verbots der Verarbeitung personenbezogener Daten (§ 3 BDSG 1977). Zur Anpassung an die ständig fortschreitende technische Entwicklung wurden im Laufe der Jahrzehnte stetige Überarbeitungen des BDSG vorgenommen.91 Mit Blick auf den Beschäftigtendatenschutz ist dabei die Novellierung aus dem Jahr 2009 hervorzuheben, in deren Zuge mit § 32 BDSG erstmals eine spezielle Regelung zur Verarbeitung von Beschäftigtendaten in das BDSG eingefügt wurde. Diese Normierung hatte allerdings allein deklaratorischen Charakter, da sie nur die bereits zuvor durch Rechtsprechung und Literatur entwickelten Grundsätze zum Schutz personenbezogener Beschäftigtendaten kodifizierte, ohne auf eine Veränderung der bestehenden Rechtslage abzuzielen.92 Obwohl damit eine spezifisch auf den Ar87
GVBl. Hessen I 1970, S. 625 – 642. Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 24. 89 Im hessischen Datenschutzgesetz fand sich in der Fassung aus dem Jahr 1986 (GVBl. Hessen I 1986, S. 309 – 320) in § 34 HDSG erstmals eine spezifisch beschäftigtendatenschutzrechtliche Regelung, deren Anwendungsbereich jedoch weiterhin auf die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Landes beschränkt war. 90 Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung, BGBl. I 1977, S. 201 – 214. 91 S. nur beispielhaft die Novellierung des BDSG v. 20. 12. 1990 (BGBl. 1990, S. 2954) und insbesondere die der Umsetzung der RL 95/46/EG dienende Fassung v. 18. 5. 2001 (BGBl. 2001, S. 904). 92 BT-Drs. 16/13657, S. 20 f.; BAG, Urt. v. 29. 6. 2017 – 2 AZR 597/16, NZA 2017, 1179, 1182 Rn. 29; BAG, Urt. v. 16. 11. 2010 – 9 AZR 573/09, NZA 2011, 453, 455 Rn. 31; BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 7; Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 46. 88
II. Rechtliche Grundlagen des Datenschutzrechts
35
beitnehmerdatenschutz zugeschnittene Vorschrift geschaffen wurde, enthielt diese dennoch keine abschließende Normierung des Beschäftigtendatenschutzes.93 Vielmehr forderten und fordern nach wie vor einige Stimmen aus Literatur und Politik die Einführung eines eigenständigen Arbeitnehmerdatenschutzgesetzes.94 Dies wird im Wesentlichen damit begründet, dass der Arbeitnehmerdatenschutz wegen seiner zahlreichen Besonderheiten sowie dem zwischen Arbeitgeber und Arbeitnehmer bestehenden sozialen Gefälle einer sorgfältigen Konzeption bedürfe, die den Rahmen des BDSG als Querschnittsgesetz schlichtweg überschreiten würde.95 Trotz entsprechender Vorstöße in der Politik96 ist es jedoch bislang nicht zur Verabschiedung eines solchen, eigenständigen Arbeitnehmerdatenschutzgesetzes gekommen. Seine letzte wegweisende Änderung erfuhr der Beschäftigtendatenschutz durch die Anpassung des nationalen Rechts an die Vorgaben der DSGVO. Infolgedessen wurde der bisherige § 32 BDSG a. F. durch § 26 BDSG ersetzt, wobei es sich weniger um eine Neuregelung, als um eine Fortschreibung der bisherigen Rechtslage handelt.97 Zu einer differenzierten Regelung des Beschäftigtendatenschutzes hat jedoch auch diese Novellierung nicht geführt. Durch den seitens des Unionsgesetzgebers im Rahmen der Öffnungsklausel des Art. 88 Abs. 1 DSGVO eingeräumten Gestaltungsspielraum ist die Möglichkeit einer umfassenden nationalen Normierung des Beschäftigtendatenschutzes zwar weiterhin eröffnet,98 bislang jedoch nicht genutzt worden. Jedenfalls für die Schnittstellen zwischen den für die vorliegende Arbeit relevanten Bereichen – nämlich dem kollektivrechtlichen Persönlichkeitsschutz des BetrVG und dem individuellen Schutz personenbezogener Daten, den das BDSG gewährleistet – wäre zumindest eine inhaltliche Abstimmung beider Bereiche durchaus wünschenswert.99 Denn das BetrVG enthält keine umfassenden Regelungen des Beschäftigtendatenschutzes, sondern beschränkt sich auf vereinzelte be93
Schmidt, Datenschutz für „Beschäftigte“, 2016, S. 66. BT-Drs. 13/1636, S. 3, 6; BT-Drs. 13/4909, S. 20; BT-Drs. 13/7699, S. 2, 5; BT-Drs. 14/ 1527, S. 8; BT-Drs. 14/4329, S. 38; BT-Drs. 16/4882 S. 2; BT-Drs. 18/11655, S. 15; Koalitionsvertrag zwischen CDU, CSU und SPD für die 19. Legislaturperiode v. 7. 2. 2018, S. 129 f. (Zeile 6112 ff.); BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 389; Grobys, BB 2003, 682; Mester, Arbeitnehmerdatenschutz, 2008, S. 329; kritisch Fleck, BB 2003, 306; differenziert Thüsing, RDV 2009, 1. 95 BT-Drs. 11/4306, S. 44; BT-Drs. 13/1636, S. 6. 96 Insbesondere der „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“ aus der 17. Legislaturperiode BT-Drs. 17/4230; zuletzt – wenn auch recht zurückhaltend – Koalitionsvertrag zwischen CDU, CSU und SPD für die 19. Legislaturperiode v. 7. 2. 2018, S. 129 f. (Zeile 6112 ff.). 97 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 5. 98 Gola/Pötters/Thüsing, RDV 2016, 57; in diese Richtung auch Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 26. 99 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 40; Thüsing, RDV 2009, 1, 5, der für eine Anpassung und Ausdifferenzierung der Regelungen des BetrVG streitet. 94
36
A. Worum es geht
reichsspezifische Normierungen.100 Zugleich enthält jedoch auch das BDSG kaum passgenau auf die Bedürfnisse des Arbeitsverhältnisses zugeschnittene Vorgaben. Es treffen damit zwei Normenkomplexe aufeinander, die einerseits beide nicht auf eine umfassende Regelung des Beschäftigtendatenschutzes ausgerichtet sind und andererseits sogar divergierende Zielsetzungen verfolgen. Während das BDSG den Einzelnen vor einer Beeinträchtigung seines Rechts auf informationelle Selbstbestimmung schützen soll, dient das BetrVG dem Schutz der in eine betriebliche Organisation eingegliederten Personen auf einer kollektiven Ebene, wobei jedoch nicht der Schutz vor der Verarbeitung ihrer personenbezogenen Daten im Vordergrund steht, sondern vielmehr der Ausgleich des allgemein zwischen Arbeitnehmer und Arbeitgeber bestehenden strukturellen Ungleichgewichts.101 b) Status quo: Die aktuellen Rechtsquellen des Beschäftigtendatenschutzes Deutlich wird mithin, dass das Datenschutzrecht, obwohl es ein vergleichsweise junges Rechtsgebiet ist, in den vergangenen Jahrzehnten bereits eine Vielzahl von Änderungen und Modernisierungen erfahren hat und den politischen Diskurs weiterhin prägt.102 Denn stetige Anpassungen des Datenschutzrechts bleiben aufgrund der rasanten Entwicklung moderner Technologien und der daraus resultierenden neuen Gefahren für die Persönlichkeitsrechte des Einzelnen notwendig. Um den – mangels einheitlicher Kodifikation vielfältigen – aktuellen Rechtsquellen für den Beschäftigtendatenschutz Herr zu werden, muss eine Systematisierung der maßgeblichen Regelungen erfolgen, wobei ein besonderes Augenmerk auf diejenigen Normen zu legen ist, die im Rahmen der Betriebsratstätigkeit Bedeutung gewinnen können. aa) Unionsrechtliche Ebene Die gem. Art. 99 Abs. 2 DSGVO seit dem 25. 5. 2018 in allen Mitgliedstaaten geltende DSGVO ist zur maßgeblichen Rechtsquelle des Datenschutzes auf europäischer, aber auch auf nationaler Ebene avanciert.103 Denn sie trifft umfangreiche Regelungen zur Zulässigkeit der Verarbeitung personenbezogener Daten und umfasst damit grundsätzlich auch die Datenverarbeitung im Beschäftigungsverhält-
100 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 41. 101 Kort, RDV 2012, 8; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 41; zur Zielsetzung des BetrVG s. ErfK/Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 1. 102 S. zuletzt Koalitionsvertrag zwischen CDU, CSU und SPD für die 19. Legislaturperiode v. 7. 2. 2018, S. 129 f. (Zeile 6112 ff.). 103 Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einl. Rn. 3a.
II. Rechtliche Grundlagen des Datenschutzrechts
37
nis.104 Dabei beansprucht die DSGVO als Verordnung gem. Art. 288 Abs. 2 AEUV allgemeine und unmittelbare Geltung auch in den Mitgliedstaaten und ist in all ihren Teilen verbindlich. Sie bedarf mithin keiner Umsetzung in das nationale Recht, sondern es besteht vielmehr ein Umsetzungsverbot, das Modifikationen der in der Verordnung enthaltenen Regelungen grundsätzlich untersagt.105 Daher können sogar inhaltsgleiche Vorschriften im nationalen Recht nur in Ausnahmefällen zulässig sein.106 Der DSGVO kommt damit ein Anwendungsvorrang gegenüber entgegenstehenden nationalen Vorschriften zu.107 Im Rahmen des Datenschutzrechts gelten diese Grundsätze indes nicht uneingeschränkt, da die DSGVO selbst zahlreiche Öffnungsklauseln enthält, die den Mitgliedstaaten begrenzte Gestaltungsspielräume eröffnen und damit nationale Regelungen in gewissen Grenzen zulassen.108 Für den Beschäftigtendatenschutz kommt dabei Art. 88 DSGVO entscheidende Bedeutung zu,109 der den Mitgliedstaaten in seinem ersten Absatz das Recht einräumt, „durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten“, vorzusehen. Diese Vorschrift ist mit einem Seitenblick auf ErwG 155 DSGVO zu lesen, der klarstellt, dass der in Art. 88 Abs. 1 DSGVO verwendete Begriff der Kollektivvereinbarung auch Betriebsvereinbarungen umfasst, sodass auch diese „spezifischere Vorschriften“ i. S. d. DSGVO darstellen können. Allerdings wird auch der den Mitgliedstaaten insofern eingeräumte Gestaltungsspielraum seinerseits wesentlich durch Art. 88 Abs. 2 DSGVO begrenzt, der sowohl formelle als auch materielle Anforderungen an die zur Ausgestaltung der Öffnungsklausel geschaffen nationalen Regelungen stellt. Obwohl damit der Unionsgesetzgeber den Mitgliedstaaten gewisse Gestaltungsspielräume eröffnet, gilt: Sofern nicht auf unionsrechtlicher oder nationaler Ebene eine datenschutzrechtliche Fragestellung spezialgesetzlich geregelt ist, richtet sich die Zulässigkeit einer Datenverarbeitung nach den
104 Düwell/Brink, NZA 2016, 665; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 1. 105 S. beispielhaft EuGH, Urt. v. 15. 11. 2012 – C-539/10 u. a., BeckRS 2012, 82443 Rn. 86; EuGH, Urt. v. 18. 2. 1970 – C-40/69, Slg. 1970, 69, 80; Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 129; Gola/Pötters/Thüsing, RDV 2016, 57. 106 EuGH, Urt. v. 28. 3. 1985 – C-272/83, Slg. 1985, 1057, 1074 Rn. 27. 107 Gola/Pötters/Thüsing, RDV 2016, 57; Simitis/Hornung/Spiecker/Hornung/Spiecker, 1. Aufl. 2019, Einl. Rn. 265; Wybitul, NZA 2017, 413. 108 Kühling, NJW 2017, 1985, 1987; Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 19, 38; Wybitul, BB 2016, 1077, 1079. 109 Zu dieser Öffnungsklausel instruktiv Gola/Pötters/Thüsing, RDV 2016, 57; Düwell/ Brink, NZA 2016, 665.
38
A. Worum es geht
Maßstäben der DSGVO.110 Eine vorrangige nationale Regelung kann es dabei indes nur dort geben, wo die DSGVO keine abschließenden Regelungen enthält, sondern den Mitgliedstaaten im Rahmen von Öffnungsklauseln – wie im Bereich des Beschäftigtendatenschutzes – einen eigenen Gestaltungsspielraum einräumt.111 bb) Nationale Ebene Entscheidend ist daher, inwiefern auf nationaler Ebene spezialgesetzliche Regelungen zum Beschäftigtendatenschutz bestehen, und in welchem Verhältnis sie zu den Normen der DSGVO stehen. Dabei gilt es in einem ersten Schritt, die einschlägigen Rechtsquellen im nationalen Recht auszumachen: Im Fokus steht im Rahmen des Beschäftigtendatenschutzes zweifellos das BDSG, das – soweit es um die Rolle des Betriebsrats beim Umgang mit personenbezogenen Daten geht – durch bereichsspezifische Regelungen im BetrVG ergänzt wird. Zudem sind Kollektivvereinbarungen, die ausweislich Art. 88 Abs. 1 DSGVO ebenfalls konkretisierende Regelungen vorsehen können, was der deutsche Gesetzgeber in § 26 Abs. 4 BDSG aufgegriffen hat, in den Blick zu nehmen. (1) BDSG Ausgangspunkt bildet dabei das BDSG, mit dem der deutsche Gesetzgeber die ihm durch die DSGVO zugewiesenen Regelungsaufträge erfüllt und zugleich Gebrauch von einigen ihrer Öffnungsklauseln macht.112 Zwar findet die DSGVO grundsätzlich auch auf die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis Anwendung, allerdings enthält sie insofern keine bereichsspezifischen, konkret auf den Beschäftigtendatenschutz zugeschnittenen Vorschriften.113 Das Beschäftigungsverhältnis ist jedoch in erheblicher Weise durch das zwischen Arbeitgeber und Arbeitnehmer bestehende strukturelle Ungleichgewicht geprägt, sodass ein Bedürfnis nach bereichsspezifischen Regelungen für den Beschäftigtendatenschutz besteht, die diesem Umstand Rechnung tragen.114 Darüber hinaus
110 Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 20; Kühling/Buchner/Buchner/Raab, 2. Aufl. 2018, Einf. Rn. 3a, der die DSGVO als „zentrale Kodifikation“ des Datenschutzes beschreibt; Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 128 ff., der die DSGVO als „Grundgesetz“ des Datenschutzes bezeichnet. 111 Düwell/Brink, NZA 2016, 665. 112 Simitis/Hornung/Spiecker/Hornung/Spiecker, 1. Aufl. 2019, Einl. Rn. 274. 113 Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 1; Simitis/Hornung/Spiecker/ Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 1; zur grundsätzlichen Anwendbarkeit der DSGVO auf den Beschäftigtendatenschutz Düwell/Brink, NZA 2016, 665; Heidelberger Kommentar/ Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 49; Maschmann, DB 2016, 2480. 114 Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 4; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 12; der Bestand eines strukturellen Ungleichgewichts im Arbeitsverhältnis ist allgemein anerkannt, s. beispielhaft nur aus der
II. Rechtliche Grundlagen des Datenschutzrechts
39
bestehen im Beschäftigungsverhältnis hohe Informationserwartungen seitens des Arbeitgebers, da dieser zum einen ein berechtigtes Interesse an einer effizienten Personalplanung hat, zum anderen aber auch gesetzlichen Pflichten unterliegt, die eine Verarbeitung von Arbeitnehmerdaten notwendig machen.115 Angesichts des Fehlens spezifisch auf den Beschäftigungskontext zugeschnittener Vorschriften in der DSGVO überrascht es daher nicht, dass in der Literatur das BDSG als maßgebliche Rechtsquelle des Beschäftigtendatenschutzes angesehen wird.116 Indes darf nicht verkannt werden, dass das BDSG ausschließlich ergänzend zur DSGVO Anwendung findet und nur dort Bedeutung gewinnen kann, wo die DSGVO zumindest ergänzungsoffen ist.117 Jedenfalls für den Beschäftigungskontext ergibt sich eine solche Ergänzungsoffenheit der DSGVO aus der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel, von der der deutsche Gesetzgeber durch die Schaffung von § 26 BDSG ausdrücklich Gebrauch gemacht hat.118 (2) Bereichsspezifischer Datenschutz im BetrVG Hinzu treten bereichsspezifische datenschutzrechtliche Regelungen, die gem. § 1 Abs. 2 S. 1 BDSG den Vorschriften des BDSG vorgehen.119 In der Regelung ist mithin eine Zweiteilung des Datenschutzes auf nationaler Ebene in die allgemeinen Datenschutzvorschriften der unmittelbar anzuwendenden DSGVO sowie des BDSG einerseits und eine Vielzahl bereichsspezifischer Regelungen andererseits angelegt.120 Daran hat sich auch unter Geltung der DSGVO im Grundsatz nichts verändert. Denn aufgrund der dort in großer Zahl enthaltenen Öffnungsklauseln ergibt sich ein erheblicher Spielraum für die Mitgliedstaaten, der die Beibehaltung und auch Neuregelung bereichsspezifischen Datenschutzes grundsätzlich zulässt.121 Demgegenüber ist die DSGVO wegen der diesbezüglich nur spärlichen Normierungen – selbst im Zusammenspiel mit dem neu gefassten BDSG – nicht geeignet, datenschutzrechtliche Konflikte auch in Lebens- und Rechtsbereichen aufzulösen, die spezifische Besonderheiten aufweisen,122 wie es beim Beschäftigtendatenschutz der Fall ist. Rechtsprechung BVerfG, Beschl. v. 23. 11. 2006 – 1 BvR 1909/06, NJW 2007, 286, 287 m. w. N.; BAG, Urt. v. 21. 5. 2014 – 4 AZR 50/13, NZA 2015, 115, 119 Rn. 29. 115 Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 4; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 14. 116 Inzwischen relativierend Forgó/Helfrich/Schneider/Forgó/Helfrich/Schneider, 3. Aufl. 2019, Teil I, Kapitel 1 Rn. 43. 117 Kühling, NJW 2017, 1985, 1986 f.; Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einf. Rn. 128 f. 118 BT-Drs. 18/11325, S. 96 f. 119 Dazu ausführlich Gliederungspunkt B. II. 2. 120 Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einf. Rn. 131. 121 Simitis/Hornung/Spiecker/Hornung/Spiecker, 1. Aufl. 2019, Einl. Rn. 303. 122 Simitis/Hornung/Spiecker/Hornung/Spiecker, 1. Aufl. 2019, Einl. Rn. 303.
40
A. Worum es geht
Bereichsspezifische Regelungen spielen mithin eine bedeutende Rolle für den betrieblichen Datenschutz, wobei das BetrVG im Rahmen der vorliegenden Arbeit im Vordergrund steht. Die Bedeutung des Betriebsverfassungsrechts für den Beschäftigtendatenschutz ist bereits in § 26 Abs. 1 S. 1 BDSG angelegt, der bestimmt, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, soweit dies zur Erfüllung der sich aus einem Gesetz oder einer Betriebsvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Mithin kommt klar zum Ausdruck, dass Zwecke des Betriebsverfassungsrechts Grundlage für die Verarbeitung personenbezogener Daten im Beschäftigungskontext sein können.123 Jedoch enthält auch das BetrVG weder eine ausdrückliche Normierung der Zuständigkeit des Betriebsrats für datenschutzrechtliche Angelegenheiten, noch regelt es kollektivrechtliche Problemstellungen des Arbeitnehmerdatenschutzes in einer spezifischen Vorschrift.124 Vielmehr lässt sich die datenschutzrechtliche Relevanz der Betriebsratsarbeit nur mittelbar aus den allgemeinen Mitwirkungs- und Mitbestimmungstatbeständen des BetrVG herleiten.125 Maßgeblich für die Beurteilung, welche Vorschriften des BetrVG als bereichsspezifische Regelungen des Datenschutzes heranzuziehen sind, ist dabei, ob sie auf den Schutz der Persönlichkeitsrechte des Arbeitnehmers im Rahmen des Umgangs mit personenbezogenen Daten im Beschäftigungskontext abzielen.126 Auf welche betriebsverfassungsrechtlichen Vorschriften dies zutrifft, gilt es daher herauszuarbeiten. (a) Die Regelung des § 75 Abs. 2 S. 1 BetrVG als Ausgangspunkt Die Bedeutung des Datenschutzes für die Betriebsratstätigkeit ergibt sich grundlegend aus § 75 Abs. 2 S. 1 BetrVG, der bestimmt, dass sowohl Arbeitgeber als auch Betriebsrat die „freie Entfaltung der Persönlichkeit“ der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben. Die „freie Entfaltung der Persönlichkeit“ umfasst dabei einerseits die allgemeine Handlungsfreiheit der Arbeitnehmer, andererseits deren allgemeines Persönlichkeitsrecht.127 Diese Freiheiten zu schützen macht § 75 Abs. 2 S. 1 BetrVG ausdrücklich zur Aufgabe des Be123
Reiserer/Christ/Heinz, DStR 2018, 1501, 1505. Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 30 ff.; Körner, Wirksamer Beschäftigtendatenschutz im Lichte der DSGVO, 2017, S. 85; Kramer/Raif, ITArbeitsrecht, 2. Aufl. 2019, Kollektives Arbeitsrecht Rn. 1; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 43. 125 Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 32. 126 Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 43. 127 BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, NZA 2014, 551, 555 Rn. 40; BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1189 Rn. 14; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 75 Rn. 33; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 50; kritisch wie weit der grundrechtliche Bezug der Norm reicht GK-BetrVG/Kreutz/Jacobs, 11. Aufl. 2018, § 75 Rn. 102 f. 124
II. Rechtliche Grundlagen des Datenschutzrechts
41
triebsrats.128 Die Norm geht jedoch über diese Funktion hinaus und verpflichtet die Betriebsparteien nicht allein zum Schutz, sondern auch zur aktiven Förderung der Persönlichkeitsrechte der Beschäftigten.129 Vor dem Hintergrund, dass das Recht auf informationelle Selbstbestimmung als spezielle Fallgruppe des allgemeinen Persönlichkeitsrechts geschützt ist,130 müssen Arbeitgeber und Betriebsrat bei ihrer Tätigkeit die sich daraus ergebenden Anforderungen beachten. Arbeitnehmerdatenschutz wird damit durch § 75 Abs. 2 S. 1 BetrVG zur gesetzlichen Aufgabe des Betriebsrats erhoben.131 Weitergehend stellt § 75 Abs. 2 S. 1 BetrVG eine Zielnorm der Betriebsverfassung dar, sodass sie als Auslegungsmaxime für alle Vorschriften des BetrVG dient und zugleich die den Betriebspartnern im Rahmen von Betriebsvereinbarungen zustehende Regelungsbefugnis begrenzt.132 Mithin handelt es sich bei § 75 Abs. 2 S. 1 BetrVG um eine weichenstellende Norm für die Verknüpfung von Datenschutz- und Betriebsverfassungsrecht, die bei der weiteren Auseinandersetzung mit den bereichsspezifischen datenschutzrechtlichen Regelungen des BetrVG als gedanklicher Ausgangspunkt heranzuziehen ist. (b) Mitwirkungs- und Mitbestimmungsrechte des Betriebsrats Bereichsspezifische Datenschutzregelungen finden sich insbesondere in den betriebsverfassungsrechtlichen Mitwirkungs- und Mitbestimmungsrechten des Betriebsrats. Ihre Bedeutung für den Beschäftigtendatenschutz wird dabei durch § 26 Abs. 6 BDSG betont, der klarstellt: „Die Beteiligungsrechte der Interessenvertretung der Beschäftigten bleiben unberührt“. Die Norm schafft damit ein grundsätzliches Nebeneinander von Datenschutz- und Betriebsverfassungsrecht und verdeutlicht, 128 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1189 Rn. 14; Fitting, BetrVG, 30. Aufl. 2020, § 75 Rn. 136, 142 und 144 ff. zu sich aus dieser Schutzpflicht ergebenden Einzelfragen in Bezug auf den Beschäftigtendatenschutz; GK-BetrVG/Kreutz/Jacobs, 11. Aufl. 2018, § 75 Rn. 106; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 60; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 231. 129 Fitting, BetrVG, 30. Aufl. 2020, § 75 Rn. 136, 166 ff.; GK-BetrVG/Kreutz/Jacobs, 11. Aufl. 2018, § 75 Rn. 134; Kramer/Raif, IT-Arbeitsrecht, 2. Aufl. 2019, Kollektives Arbeitsrecht Rn. 64; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 44. 130 Grundlegend dazu das Volkzählungsurteil des BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/ 83 u. a., NJW 1984, 419; seitdem st. Rspr. des BVerfG, s. beispielhaft BVerfG, Beschl. v. 24. 1. 2012 – 1 BvR 1299/05, NJW 2012, 1419, 1422 Rn. 122; BVerfG, Urt. v. 13. 2. 2007 – 1 BvR 421/05, NJW 2007, 753, 754 Rn. 66; BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 979 Rn. 85. 131 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1189 Rn. 14; GK-BetrVG/ Kreutz/Jacobs, 11. Aufl. 2018, § 75 Rn. 126; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 60; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 231; Wybitul, NZA 2014, 225, 226. 132 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 231; zum Charakter des § 75 Abs. 2 S. 1 BetrVG als Zielnorm der Betriebsverfassung s. Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 44; zu ihrer Funktion als Auslegungsregel ErfK/Kania, 20. Aufl. 2020, § 75 BetrVG Rn. 1; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 75 Rn. 34; zu ihrer Funktion als Grenze der Regelungsbefugnis DKW/Berg, BetrVG, 17. Aufl. 2020, § 75 Rn. 114.
42
A. Worum es geht
dass diese sich nicht pauschal gegenseitig verdrängen, sondern einander vielmehr ergänzen.133 Damit wird der bestehende bereichsspezifische, kollektive Beschäftigtendatenschutz des BetrVG durch das neu gefasste BDSG im Ausgangspunkt nicht verändert.134 Beleuchtet werden sollen daher diejenigen betriebsverfassungsrechtlichen Mitwirkungs- und Mitbestimmungsrechte, die auf die Gewährleistung des Persönlichkeitsschutzes auf kollektiver Ebene abzielen und somit für den Beschäftigtendatenschutz eine herausgehobene Stellung einnehmen. Zunächst rückt dabei § 80 Abs. 1 Nr. 1 BetrVG in den Fokus, der dem Betriebsrat die Aufgabe zuweist, „darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden“. Soweit datenschutzrechtliche Vorschriften arbeitnehmerschützenden Charakter aufweisen, hat der Betriebsrat daher auch ihre Einhaltung zu überwachen,135 wodurch die Norm datenschutzrechtlichen Bezug erlangt. Hinzu tritt § 87 Abs. 1 Nr. 6 BetrVG, der dem Betriebsrat ein Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“, einräumt. Denn durch den Einsatz technischer Hilfsmittel bei der Überwachung der Arbeitsleistung, ergeben sich in besonderem Maße Gefahren für die Persönlichkeitsrechte der Arbeitnehmer.136 Aus diesem Grund besteht das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG allein für den Fall, dass die Arbeitnehmerüberwachung durch technische Einrichtungen erfolgen soll, nicht aber bei sonstigen Überwachungsmaßnahmen.137 Der Betriebsrat kann seine Tätigkeit daher nur dann auf § 87 Abs. 1 Nr. 6 BetrVG stützen, wenn er die gerade aus dem Einsatz der technischen Überwachungseinrichtung für die Persönlichkeitssphäre des Arbeitnehmers folgenden Gefahren verhindern oder zumindest beschränken 133
Lücke, NZA 2019, 658, 659; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 73. 134 Die Norm hat bereits ausweislich der Gesetzesbegründung allein klarstellenden Charakter, s. BT-Drs. 18/11325, S. 98; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 226. 135 ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 3; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16; HWGNRH/Nicolai, BetrVG, 10. Aufl. 2018, § 80 Rn. 13; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 10; Simitis/Hornung/ Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 233; zum BDSG a. F. auch die Rspr. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747 Ls. 1. 136 BT-Drs. VI/1786, S. 48 f.; ErfK/Kania, 20. Aufl. 2020, § 87 BetrVG Rn. 48; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 215; GK-BetrVG/Wiese/Gutzeit, 11. Aufl. 2018, § 87 Rn. 509; MHdB ArbR/Salamon, 4. Aufl. 2018, § 325 Rn. 1; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 487, 492; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 243. 137 S. beispielsweise zur Überwachung durch Vorgesetze oder sonstige Personen BAG, Urt. v. 18. 11. 1999 – 2 AZR 743/98, NZA 2000, 418 Ls. 2; BAG, Urt. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 931; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 224; GK-BetrVG/Wiese/ Gutzeit, 11. Aufl. 2018, § 87 Rn. 529; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 87 Rn. 349.
II. Rechtliche Grundlagen des Datenschutzrechts
43
möchte.138 Da technische Einrichtungen im Arbeitsleben jedoch allgegenwärtig sind, gewinnt § 87 Abs. 1 Nr. 6 BetrVG erhebliche praktische Bedeutung für den Beschäftigtendatenschutz.139 Im datenschutzrechtlichen Kontext relevant ist zudem das dem Betriebsrat gem. § 87 Abs. 1 Nr. 1 BetrVG im Hinblick auf die „Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb“ zustehende Mitbestimmungsrecht, das jedenfalls dann heranzuziehen ist, wenn eine Ordnungsmaßnahme des Arbeitgebers zur Verarbeitung personenbezogener Daten führt.140 Zudem kann der Mitbestimmungstatbestand Bedeutung erlangen, wenn der Arbeitgeber seine Arbeitnehmer anweist, bei der Feststellung eines Datenschutzverstoßes einen bestimmten Meldeweg einzuhalten.141 Zuletzt besteht – unabhängig davon, ob eines dieser zwingenden Mitbestimmungsrechte einschlägig ist142 – auch in datenschutzrechtlichen Angelegenheiten die Möglichkeit, den Weg der freiwilligen Mitbestimmung des § 88 BetrVG zu beschreiten. Darüber hinaus bedürfen die Vorschriften über die Mitbestimmung des Betriebsrats in personellen Angelegenheiten (§§ 92 ff. BetrVG) einer eingehenden Betrachtung. Denn es leuchtet bereits auf den ersten Blick ein, dass eine effektive, am Interesse der Arbeitnehmer orientierte Mitbestimmung in personellen Angelegenheiten notwendig auch den Umgang des Betriebsrats mit personenbezogenen Daten der jeweils betroffenen Arbeitnehmer voraussetzt.143 Zunächst stößt man insofern auf § 92 Abs. 1 BetrVG, der dem Betriebsrat ein Mitwirkungsrecht bei der Personalplanung des Arbeitgebers einräumt. Dabei stellt die vorgelagerte Erhebung von Personaldaten eine notwendige Grundlage für die nachfolgende Personalplanung dar,144 sodass die Ausübung seines darauf bezogenen Mitwirkungsrechts den Umgang des Betriebsrats mit personenbezogenen Daten der Arbeitnehmer erforderlich macht. Weitaus spezifischer ist insofern noch § 94 Abs. 1 S. 1 BetrVG, der Personalfragebögen der Zustimmung des Betriebsrats unterwirft und damit die rechtliche Zulässigkeit einer Informationserwartung des Arbeitgebers, die sich in dem jewei138
Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 252. Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 36; MHdB ArbR/ Salamon, 4. Aufl. 2018, § 325 Rn. 2; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 488; kritisch zum weiten Anwendungsbereich der Norm Kort, RdA 2018, 24, 31 f. mit besonderem Verweis auf BAG, Beschl. v. 13. 12. 2016 – 1 ABR 7/15, NZA 2017, 657; kritisch HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 87 Rn. 346, der die Regelung als „zu Unrecht zu einer zentralen Schutznorm“ aufgewertet sieht. 140 Gola, BB 2017, 1462, 1471. 141 LAG Schleswig-Holstein, Beschl. v. 6. 8. 2019 – 2 TaBV 9/19, NZA-RR 2019, 647, 649, Rn. 41 ff. 142 Über § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG hinaus können im Einzelfall auch die übrigen Mitbestimmungstatbestände des § 87 Abs. 1 BetrVG Bedeutung erlangen, s. Gliederungspunkt C. I. 1. 143 Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 34; so für die Aufgabenwahrnehmung im Allgemeinen HWGNRH/Nicolai, BetrVG, 10. Aufl. 2018, § 80 Rn. 2. 144 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 92 Rn. 16. 139
44
A. Worum es geht
ligen Personalfragebogen niederschlägt, an die Billigung durch den Betriebsrat knüpft, wodurch die Norm ihm in datenschutzrechtlicher Hinsicht einen entscheidenden Standpunkt einräumt.145 Denn dem Betriebsrat wird das Recht zugewiesen, aktiv die Erhebung von Beschäftigtendaten durch den Arbeitgeber mitzugestalten, indem er sämtliche in Aussicht genommene Maßnahmen vorab am informationellen Selbstbestimmungsrecht des Befragten messen kann.146 Dieses Mitwirkungsrecht erweitert § 94 Abs. 2 BetrVG auf Angaben in schriftlichen Arbeitsverträgen und die Aufstellung allgemeiner Beurteilungsgrundsätze. Kurz gefasst erfolgt damit eine Ausdehnung auf sämtliche innerbetrieblichen Regelungen, die eine verobjektivierte Bewertung von Verhalten und Leistung der Arbeitnehmer im Betrieb ermöglichen sollen.147 Dadurch erlangt der Betriebsrat erheblichen Einfluss auf den Umgang des Arbeitgebers mit personenbezogenen Daten der Arbeitnehmer und kann die von diesem geplanten Maßnahmen an den Persönlichkeitsrechten der Arbeitnehmer messen und entsprechend mitsteuern.148 Ebenso verhält es sich mit § 95 Abs. 1 BetrVG, der „Richtlinien über die personelle Auswahl bei Einstellungen, Versetzungen, Umgruppierungen und Kündigungen“ der Zustimmung durch den Betriebsrat unterwirft. Der Begriff der Richtlinie bezieht sich dabei auf abstrakt-generelle Grundsätze, die bei der Entscheidung über personelle Einzelmaßnahmen durch den Arbeitgeber zu berücksichtigen sind.149 Allerdings setzen der Bestand und die Anwendung solcher Richtlinien zwangsläufig voraus, dass der Arbeitgeber – sofern es zur Anwendung der durch die Richtlinie aufgestellten Grundsätze kommt – personenbezogene Daten der Arbeitnehmer erhebt, um zu überprüfen, ob die in Aussicht genommene personelle Maßnahme den in der Richtlinie festgelegten Grundsätzen entspricht, sodass der Betriebsrat durch die vorgelagerte Mitwirkung bei der Gestaltung der Richtlinie auch Art und Umfang der später durch den Ar-
145 GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 2; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 237; bei fehlender Zustimmung des Betriebsrats ist die Datenerhebung unzulässig, s. Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 94 Rn. 52. 146 Fitting, BetrVG, 30. Aufl. 2020, § 94 Rn. 10; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 237; das Mitbestimmungsrecht bezweckt gerade den Schutz des informationellen Selbstbestimmungsrechts des Arbeitnehmers, s. ErfK/Kania, 20. Aufl. 2020, § 94 BetrVG Rn. 1; insofern allgemeiner GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 2, der allgemein auf den Persönlichkeitsschutz abstellt. 147 BAG, Beschl. v. 14. 1. 2014 – 1 ABR 49/12, NZA-RR 2014, 356 Rn. 13; BAG, Beschl. v. 23. 10. 1984 – 1 ABR 2/83, NZA 1985, 224, 227; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 94 Rn. 58; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 240. 148 GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 19; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 240. 149 BAG, Beschl. v. 26. 7. 2005 – 1 ABR 29/04, NZA 2005, 1372, 1373; BAG, Beschl. v. 27. 10. 1992 – 1 ABR 4/92, NZA 1993, 607, 610; ErfK/Kania, 20. Aufl. 2020, § 95 BetrVG Rn. 1; Fitting, BetrVG, 30. Aufl. 2020, § 95 Rn. 7; GK-BetrVG/Raab, 11. Aufl. 2018, § 95 Rn. 5; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, § 95 Rn. 7; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 95 Rn. 6; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 241.
II. Rechtliche Grundlagen des Datenschutzrechts
45
beitgeber erhobenen Daten mitsteuert.150 Einen vergleichbaren datenschutzrechtlichen Bezug weisen schließlich alle betriebsverfassungsrechtlichen Normen auf, die dem Betriebsrat ein Mitwirkungs- oder Mitbestimmungsrecht in personellen Angelegenheiten einräumen. Dies gilt für § 96 Abs. 1 S. 2 BetrVG, der den Arbeitgeber auf Verlangen des Betriebsrats verpflichtet, den Berufsbildungsbedarf im Betrieb zu ermitteln, ebenso wie für § 99 Abs. 1 BetrVG, der die Zulässigkeit bestimmter personeller Einzelmaßnahmen an die Zustimmung des Betriebsrats – und damit vorgelagert an dessen Information über den konkreten Sachverhalt – knüpft. Keine andere Bewertung ist auch für die Mitbestimmungsrechte der § 97 Abs. 2 BetrVG, § 98 Abs. 1 BetrVG, § 102 BetrVG, § 103 Abs. 1 und Abs. 3 BetrVG vorzunehmen. Denn letztlich weist jede Regelung des BetrVG, die dem Betriebsrat ein Mitwirkungs- oder Mitbestimmungsrecht einräumt und dafür denklogisch in irgendeinem Stadium des Mitwirkungsprozesses den Umgang mit Beschäftigtendaten voraussetzt, datenschutzrechtlichen Bezug auf und ist damit als bereichsspezifische Vorschrift des Datenschutzes einzuordnen. (c) Informationsrechte des Betriebsrats als Quelle bereichsspezifischen Datenschutzes Darüber hinaus räumt das BetrVG dem Betriebsrat zahlreiche für den Beschäftigtendatenschutz relevante Informationsrechte ein. Der Zusammenhang betriebsverfassungsrechtlicher Informationsrechte mit dem Beschäftigtendatenschutz ist offenkundig, da die Erfüllung der dem Betriebsrat durch das BetrVG eingeräumten Informationsansprüche die Verarbeitung personenbezogener Beschäftigtendaten voraussetzt.151 Nur wenn der Arbeitgeber Informationen über seine Arbeitnehmer sammelt, festhält und schließlich an den Betriebsrat in dem gesetzlich zulässigen Umfang weitergibt, kann dessen betriebsverfassungsrechtlichen Informationsansprüchen Genüge getan werden. Diese Auskunftsansprüche sind in der Regel einem konkreten Mitwirkungs- oder Mitbestimmungsrecht des Betriebsrats vorgelagert und betreffen regelmäßig Informationen, die dem Schutz von DSGVO und BDSG unterfallen.152 Dennoch ist zu differenzieren: Während der Umgang des Betriebsrats mit Beschäftigtendaten teilweise allein logische Konsequenz der Ausübung seiner Mitwirkungsrechte ist, spricht das BetrVG dem Betriebsrat teilweise ausdrücklich eigenständige Rechte zum Umgang mit Beschäftigtendaten im Rahmen von Informationsansprüchen zu. Diese zweite Gruppe gilt es nachfolgend näher zu beleuchten. Ein allgemeiner Informationsanspruch des Betriebsrats ergibt sich zunächst aus § 80 Abs. 2 BetrVG, der den Arbeitgeber zur umfassenden Unterrichtung des Betriebsrats verpflichtet, sofern dies zur Erfüllung der diesem durch das BetrVG zu150
Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 241. Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 137; Wybitul, NZA 2017, 413, 415; in diese Richtung auch ErfK/Kania, 20. Aufl. 2020, § 90 BetrVG Rn. 1. 152 BAG, Beschl. v. 12. 8. 2009 – 1 ABR 15/08, NZA 2009, 1218, 1220 f. Rn. 26; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 35. 151
46
A. Worum es geht
gewiesenen Aufgaben erforderlich ist. In datenschutzrechtlicher Hinsicht nimmt dabei insbesondere § 80 Abs. 2 S. 2 BetrVG eine herausgehobene Stellung ein, der dem Betriebsrat ausdrücklich ein Recht auf Zurverfügungstellung aller in diesem Zusammenhang erforderlichen Unterlagen einräumt (Hs. 1), was auch ein Einsichtsrecht in Bruttolohn- und Gehaltslisten umfasst (Hs. 2). Dadurch soll dem Betriebsrat ermöglicht werden, in eigener Verantwortung zu prüfen, ob betriebsverfassungsrechtliche Aufgaben seinerseits im Einzelfall bestehen und er zu ihrer Erfüllung tätig werden muss.153 Er hat daher auf Grundlage der ihm übermittelten Informationen auch zu prüfen, ob Datenschutzverstöße durch den Arbeitgeber begangen worden sind, eingetretene Beeinträchtigungen beseitigt werden können und inwiefern er ihnen künftig bereits im Vorfeld entgegenwirken kann.154 Allerdings ist der Unterrichtungsanspruch des § 80 Abs. 2 BetrVG keineswegs abschließend, sondern das BetrVG hält eine Reihe weiterer Informationsrechte zugunsten des Betriebsrats bereit. Dabei zielen insbesondere diejenigen Regelungen, die dem Betriebsrat in Zusammenhang mit der Ausübung seiner Mitwirkungs- und Mitbestimmungsrechte im Rahmen personeller Angelegenheiten ausdrücklich ein eigenständiges Informationsrecht einräumen, auf den Umgang mit personenbezogenen Daten der Beschäftigten ab. Dies gilt beispielsweise für § 83 Abs. 1 S. 2 BetrVG, der an das dem Arbeitnehmer durch § 83 Abs. 1 S. 1 BetrVG eingeräumte Recht auf Einsicht in seine Personalakte anknüpft und ihm die Möglichkeit einräumt, den Betriebsrat dazu hinzuzuziehen. Zwar ist das Einsichtsrecht des Arbeitnehmers grundsätzlich unabhängig vom Bestand eines Betriebsrats und verpflichtet ihn auch nicht dazu, die Belegschaftsvertretung zu beteiligen.155 Entscheidet der Arbeitnehmer sich jedoch für den Beistand des Betriebsrats, so hat dies zur Folge, dass dieser Kenntnis von den in der Personalakte zusammengefassten personenbezogenen Daten des Arbeitnehmers erlangt. Darüber hinaus stehen dem Betriebsrat zahlreiche Informationsansprüche auch unabhängig vom Willen des Arbeitnehmers zu. Im Rahmen des Beschäftigtendatenschutzes relevant werden können dabei insbesondere § 90 Abs. 1 Nr. 3 und Nr. 4 BetrVG, die den Arbeitgeber verpflichten, den Betriebsrat über die Planung der Arbeitsabläufe und der Arbeitsplätze zu unterrichten, sowie § 92 Abs. 1 S. 1 BetrVG, der eine Informationspflicht hinsichtlich der seitens des Arbeitgebers in Aussicht genommenen personellen Einzelmaßnahmen normiert. Schließlich reihen sich auch § 100 Abs. 2 S. 1 BetrVG, § 102 Abs. 1 S. 2 BetrVG und § 105 BetrVG in die Liste der datenschutzrechtlich bedeutsamen Informationsansprüche ein. Denn auch sie räumen dem Betriebsrat Auskunftsrechte gegenüber dem Arbeitgeber hinsichtlich der im Betrieb relevanten personellen Angelegenheiten ein und zielen damit auf einen Umgang des Betriebsrats mit den 153 BAG, Beschl. v. 27. 10. 2010 – 7 ABR 86/09, NZA 2011, 418, 420 Rn. 31; BAG, Beschl. v. 23. 3. 2010 – 1 ABR 81/08, NZA 2011, 811, 812 Rn. 16; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 51; GK-BetrVG/ Weber, 11. Aufl. 2018, § 80 Rn. 56; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 49. 154 BAG, Beschl v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749. 155 ErfK/Kania, 20. Aufl. 2020, § 83 BetrVG Rn. 1; Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 54; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 83 Rn. 2.
II. Rechtliche Grundlagen des Datenschutzrechts
47
personenbezogenen Daten der Belegschaft ab. Es handelt sich mithin um bereichsspezifische datenschutzrechtliche Regelungen. (d) Geheimhaltungspflichten des Betriebsrats als datenschutzrechtliche Regelungen Mit den Informationsrechten des Betriebsrats geht allerdings häufig eine Verpflichtung zur Geheimhaltung der im Rahmen der Betriebsratstätigkeit gewonnenen Erkenntnisse einher. Daher stellen auch solche Regelungen, die eine spezifische Geheimhaltungspflicht in Bezug auf personenbezogene Beschäftigtendaten normieren, Vorschriften des bereichsspezifischen Beschäftigtendatenschutzes dar. Ausgangspunkt ist insofern die allgemeine Geheimhaltungspflicht des § 79 Abs. 1 BetrVG: Die Norm verpflichtet die Mitglieder des Betriebsrats zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse, von denen sie im Rahmen ihrer Betriebsratstätigkeit Kenntnis erlangt haben. Der Begriff des Betriebs- bzw. Geschäftsgeheimnisses bezieht sich dabei auf Tatsachen, Erkenntnisse oder Unterlagen, die in Zusammenhang mit dem technischen Betrieb oder der wirtschaftlichen Betätigung des Unternehmens stehen, nur einem eng begrenzten Personenkreis zugänglich sind und an deren Geheimhaltung nach dem ausdrücklich erklärten Willen des Arbeitgebers ein berechtigtes wirtschaftliches Interesse besteht.156 Dennoch dient die Vorschrift nicht allein den Interessen des Arbeitgebers, denn Betriebs- oder Geschäftsgeheimnisse können auch Informationen über die im Betrieb beschäftigten Arbeitnehmer enthalten. Beispielsweise können auch Lohn- und Gehaltslisten ein Betriebs- oder Geschäftsgeheimnis darstellen.157 Werden diese Informationen weitergegeben, bedeutet dies für den betroffenen Arbeitnehmer eine erhebliche Beeinträchtigung seiner Persönlichkeitsrechte und belastet ihn ebenso wie den Arbeitgeber. Bereits unter diesem Gesichtspunkt schützt § 79 Abs. 1 BetrVG jedenfalls auch die Interessen der im Betrieb beschäftigten Arbeitnehmer.158 Die Norm trägt den Interessen der Belegschaft aber auch in anderer Hinsicht Rechnung. Denn eine effektive Betriebsratsarbeit ist nur dann möglich, wenn der Arbeitgeber dem Betriebsrat die in diesem Zusammenhang erforderlichen Auskünfte erteilt. Dies wird der Arbeitgeber allerdings nur dann tun, wenn er nicht um die Weitergabe der dem Betriebsrat zur Verfügung gestellten Informationen fürchten muss.159 Damit sichert 156 BAG, Beschl. v. 26. 2. 1987 – 6 ABR 46/84, NZA 1988, 63; BAG, Urt. v. 16. 3. 1982 – 3 AZR 83/79, NJW 1983, 134 Ls. 2; ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 2; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 3; GK-BetrVG/Oetker, 11. Aufl. 2018, § 79 Rn. 11; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 5. 157 BAG, Beschl. v. 13. 2. 2007 – 1 ABR 14/06, NZA 2007, 1121, 1123 Rn. 32; BAG, Urt. v. 26. 2. 1987 – 6 ABR 46/84, NZA 1988, 63; ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 5; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 4; GK-BetrVG/Oetker, 11. Aufl. 2018, § 79 Rn. 15; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 6; differenzierend Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 65 f. 158 Zum Schutz der Persönlichkeitsrechte der Arbeitnehmer im Rahmen von § 79 Abs. 1 BetrVG s. BAG, Beschl. v. 20. 12. 1988 – 1 ABR 63/87, NZA 1989, 393, 395. 159 ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 1; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 1.
48
A. Worum es geht
die mit den Informationsrechten des Betriebsrats korrespondierende Geheimhaltungspflicht des § 79 Abs. 1 BetrVG letztlich die Effektivität der Mitarbeitervertretung.160 Jedenfalls sofern die sich aus § 79 Abs. 1 BetrVG ergebende Verpflichtung sich inhaltlich auf personenbezogene Daten der Belegschaft bezieht, ist sie daher als bereichsspezifische Regelung des Beschäftigtendatenschutzes einzuordnen. Gleiches gilt für die übrigen Verschwiegenheitsverpflichtungen des Betriebsrats. So sichern insbesondere diejenigen Vorschriften, die eine Geheimhaltungspflicht im Hinblick auf die durch den Betriebsrat in Ausübung seiner Mitbestimmungsrechte in personellen Angelegenheiten erlangten Informationen normieren, den Schutz der Persönlichkeitsrechte der Beschäftigten, indem sie die Weitergabe dieser Daten verbieten. Zu nennen sind in diesem Kontext insbesondere § 99 Abs. 1 S. 3 BetrVG und § 102 Abs. 2 S. 5 BetrVG. Sie verpflichten die Mitglieder des Betriebsrats zum Stillschweigen über persönliche Umstände der Beschäftigten, die ihnen im Zuge der Beteiligung bei personellen Einzelmaßnahmen bekannt geworden sind,161 sofern es sich um Informationen handelt, die ihrer Bedeutung oder ihrem Inhalt nach eine vertrauliche Behandlung erfordern.162 Zudem finden sich in § 82 Abs. 2 S. 3 BetrVG und § 83 Abs. 1 S. 3 BetrVG zusätzliche Geheimhaltungspflichten. Diese knüpfen weder an die Bedeutung noch an den Inhalt der erlangten Information an und begründen damit eine weitergehende Verschwiegenheitsverpflichtung der Betriebsratsmitglieder.163 Auf einer abstrakten Ebene bedeutet dies: All jene Vorschriften, die dem Betriebsrat – ausdrücklich oder mittelbar – in Bezug auf personenbezogene Daten der Belegschaft Schweigepflichten auferlegen, sind bereichsspezifische Vorschriften des Beschäftigtendatenschutzes. (e) Eine Sammlung der Ergebnisse: Bereichsspezifischer Beschäftigtendatenschutz im BetrVG Durch die in der DSGVO enthaltenen Öffnungsklauseln wird den Mitgliedstaaten Raum zur Beibehaltung aber auch Neuregelung nationalen Datenschutzes eröffnet. Dabei ist das deutsche Datenschutzrecht, wie § 1 Abs. 2 S. 1 BDSG belegt, auf ein Zusammenspiel originär datenschutzrechtlicher Vorschriften mit bereichsspezifischen datenschutzrechtlichen Regelungen angelegt. Eine bedeutende Rechtsquelle des bereichsspezifischen Datenschutzes ist dabei das BetrVG, das jedoch nicht eine spezifisch auf den kollektiven Beschäftigtendatenschutz zugeschnittene Vorschrift bereithält, sondern sich aus einer Vielzahl verschiedener Regelungen zusammensetzt. Diese enthalten zudem keine allgemeine Kompetenz des Betriebsrats für da160
Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 1. BAG, Beschl. v. 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218, 1221 Rn. 26; GK-BetrVG/ Oetker, 11. Aufl. 2018, § 79 Rn. 82; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 33. 162 Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 32; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 158; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 33. 163 Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 33. 161
II. Rechtliche Grundlagen des Datenschutzrechts
49
tenschutzrechtliche Angelegenheiten, sondern weisen vielmehr lediglich mittelbaren Bezug zum Beschäftigtendatenschutz auf. Datenschutzrechtlicher Natur sind letztlich sämtliche Normen, die inhaltlich auf den Schutz der Persönlichkeitsrechte des Arbeitnehmers im Rahmen von Datenverarbeitungsvorgängen im Arbeitsverhältnis ausgerichtet sind. Dabei genügt es bereits, wenn eine Norm den Umgang mit personenbezogenen Beschäftigtendaten für die sachgerechte Erfüllung einer dem Betriebsrat übertragenen Aufgabe logisch voraussetzt. Ausgangspunkt ist dabei § 75 Abs. 2 S. 1 BetrVG, der den Schutz der Persönlichkeitsrechte der im Betrieb beschäftigten Arbeitnehmer – und damit zugleich den Arbeitnehmerdatenschutz als Ausgestaltung des dem allgemeinen Persönlichkeitsrecht unterfallenden Rechts auf informationelle Selbstbestimmung – zur Aufgabe des Betriebsrats macht. Regelungen des bereichsspezifischen Datenschutzes finden sich zunächst in einigen Mitwirkungs- und Mitbestimmungstatbeständen des BetrVG. Dies gilt zum einen für § 80 Abs. 1 Nr. 1 BetrVG, der den Betriebsrat verpflichtet, über die Einhaltung der zugunsten der Arbeitnehmer wirkenden Vorschriften – und damit auch arbeitnehmerschützender datenschutzrechtlicher Normen – zu wachen. Daneben treten die Mitbestimmungstatbestände des § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG sowie die Regelungen über die Mitbestimmung des Betriebsrats in personellen Angelegenheiten. Deren datenschutzrechtliche Relevanz ergibt sich schlichtweg daraus, dass eine effektive, an den Interessen der Arbeitnehmer orientierte Mitbestimmung in personellen Angelegenheiten zwangsläufig den zeitlich vorgelagerten Umgang mit den personenbezogenen Daten der jeweils durch die Maßnahme betroffenen Arbeitnehmer voraussetzt. Eine ähnliche Betrachtung ist auch in Bezug auf die im BetrVG enthaltenen Informationsrechte des Betriebsrats sowie die damit korrespondierenden Geheimhaltungsverpflichtungen geboten. So können die dem Betriebsrat eingeräumten Informationsansprüche nur erfüllt werden, wenn ihm der Umgang mit den fraglichen Daten – worunter unter Umständen auch personenbezogene Beschäftigtendaten fallen können – ermöglicht wird. Neben den allgemeinen Informationsanspruch des Betriebsrats gem. § 80 Abs. 2 BetrVG treten dabei insbesondere diejenigen Vorschriften, die ihm im Rahmen seiner Aufgabe der Mitbestimmung in personellen Angelegenheiten ausdrücklich ein Informationsrecht zubilligen und somit gerade auf den Umgang mit personenbezogenen Daten der Arbeitnehmer abzielen. Diese stellen damit ebenso wie diejenigen Regelungen, die den Betriebsrat spiegelbildlich zur Geheimhaltung der im Rahmen seiner Tätigkeit gewonnenen Erkenntnisse verpflichten, bereichsspezifische datenschutzrechtliche Regelungen dar. (3) Betriebsvereinbarungen als Rechtsquellen des Beschäftigtendatenschutzes Die Bedeutung von Betriebsvereinbarungen als Rechtsquelle des Beschäftigtendatenschutzes ist in Art. 88 Abs. 1 DSGVO angelegt, der den Mitgliedstaaten die Möglichkeit eröffnet, spezifischere datenschutzrechtliche Regelungen durch Rechtsvorschriften oder Kollektivvereinbarungen zu treffen, wobei der Begriff der
50
A. Worum es geht
Kollektivvereinbarung gem. ErwG 155 DSGVO auch Betriebsvereinbarungen umfasst. Durch diese Konzeption kann der Beschäftigtendatenschutz der DSGVO durch bereichsspezifische Regelungen auf nationaler Ebene ergänzt werden.164 Allerdings räumt Art. 88 Abs. 1 DSGVO den Betriebspartnern nicht unmittelbar die Befugnis ein, datenschutzrechtliche Regelungen in Betriebsvereinbarungen zu treffen, sondern eröffnet lediglich den Mitgliedstaaten die Möglichkeit, Kollektivvereinbarungen im nationalen Recht eine entsprechende Wirkung einzuräumen.165 Von dieser Ermächtigung hat der deutsche Gesetzgeber mit § 26 Abs. 4 S. 1 BDSG Gebrauch gemacht,166 indem er dort festlegt: „Die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig“. Grundlage für die datenschutzrechtliche Zulässigkeit von Betriebsvereinbarungen ist damit Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG.167 (a) Der unionsrechtliche Begriff der Kollektivvereinbarung Zwar stellt ErwG 155 DSGVO klar, dass der in Art. 88 Abs. 1 DSGVO enthaltene Begriff der Kollektivvereinbarung auch Betriebsvereinbarungen umfasst. Eine darüberhinausgehende Definition des Begriffs findet sich jedoch weder im Verordnungstext noch in den Erwägungsgründen. Damit bleibt einerseits offen, ob jede Art von Betriebsvereinbarung „spezifischere Vorschriften“ i. S. v. Art. 88 Abs. 1 DSGVO enthalten kann und wie andererseits das betriebsverfassungsrechtliche Instrument der Regelungsabrede zu behandeln ist. Entscheidend für die Beurteilung beider Problemstellungen ist ein autonom unionsrechtliches Verständnis: Konstituierendes Element einer Kollektivvereinbarung ist ihre normative Wirkung, sodass unverbindliche Übereinkünfte nicht als Kollektivvereinbarung i. S. v. Art. 88 Abs. 1 DSGVO angesehen werden können.168 Dies fußt auf dem Argument, dass eine Regelung durch die Sozialpartner der Mitgliedstaaten, die der Umsetzung oder Ausgestaltung des Unionsrechts dient, nur dann sinnvoll ist, wenn auch die Verbindlichkeit dieser Regelungen gewährleistet ist.169 Legt man dieses Verständnis zugrunde, so ergibt sich, dass zwischen Arbeitgeber und Betriebsrat geschlossene 164
Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 55. Düwell/Brink, NZA 2017, 1081, 1085; Jerchel/Schubert, DuD 2016, 782, 783; Traut, RDV 2016, 312, 313. 166 Kühling/Buchner/Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 66; Simitis/Hornung/ Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 26. 167 Byers/Wenzel, BB 2017, 2036, 2040; Kort, NZA 2018, 1097, 1101; Martini/Botta, NZA 2018, 625, 633. 168 Calliess/Ruffert/Krebber, EUV/AEUV, 5. Aufl. 2016, Art. 153 AEUV Rn. 36; Götz, Big Data im Personalmanagement, 2020, S. 62; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 26; Maschmann, DB 2016, 2480, 2482; nicht ausdrücklich, aber i. E. ebenso Martini/Botta, NZA 2018, 625, 633. 169 In diesem Sinne jeweils zu Kollektivvereinbarungen, die der Durchführung einer Richtlinie dienen EuGH, Urt. v. 10. 7. 1986 – C-235/84, Slg. 1986, 2296, 2302 Rn. 21; Calliess/ Ruffert/Krebber, EUV/AEUV, 5. Aufl. 2016, Art. 153 AEUV Rn. 36. 165
II. Rechtliche Grundlagen des Datenschutzrechts
51
Regelungsabreden, denen allein schuldrechtliche Wirkung zukommt, keine Kollektivvereinbarungen im Sinne des Unions- und damit auch Datenschutzrechts darstellen.170 Demgegenüber kann es bei einer gem. § 77 Abs. 4 BetrVG normativ wirkenden Betriebsvereinbarung nicht darauf ankommen, ob sich ihre Regelungen auf einen einzelnen Betrieb beschränken, oder ob es sich um eine Gesamt- oder Konzernbetriebsvereinbarung handelt.171 Solange das nationale Recht im konkreten Einzelfall die Möglichkeit eröffnet, eine Betriebsvereinbarung auf Betriebs-, Unternehmens- oder Konzernebene zu schließen, kann sie daher Rechtsquelle des Beschäftigtendatenschutzes sein.172 (b) Betriebsvereinbarungen als datenschutzrechtlicher Erlaubnistatbestand Offen ist indes die konkrete Reichweite solcher datenschutzrechtlichen Betriebsvereinbarungen. Bereits im Hinblick auf die bis zum 24. 5. 2018 geltende Rechtslage wurde kontrovers diskutiert, ob eine Betriebsvereinbarung einen Erlaubnistatbestand für die Verarbeitung personenbezogener Beschäftigtendaten enthalten konnte.173 Dieser Streit ist inhaltlich nunmehr neu konturiert worden, wobei Dreh- und Angelpunkt die Formulierung des Art. 88 Abs. 1 DSGVO ist. Denn die Norm lässt allein die Schaffung „spezifischerer“ Vorschriften durch Kollektivvereinbarungen zu. Aus der Verwendung des Begriffs „spezifischere“, der sich nicht nur in Art. 88 Abs. 1 DSGVO, sondern auch in Art. 6 Abs. 2 DSGVO findet, leiten einige Stimmen in der Literatur ab, dass sich die Regelungsbefugnis der Betriebspartner allein darauf erstrecke, präzisere, nicht aber gänzlich eigenständige datenschutzrechtliche Regelungen zu treffen.174 Nach dieser Ansicht erschöpft sich die datenschutzrechtliche Funktion von Betriebsvereinbarungen daher darin, die in der DSGVO enthaltenen Erlaubnistatbestände inhaltlich zu konkretisieren, nicht jedoch selbst Rechtfertigungstatbestände für die Verarbeitung personenbezogener Daten zu
170 Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 27; Maschmann, DB 2016, 2480, 2482; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 28. 171 I. E. ebenso Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 27; dies wird in der Literatur z. T. ohne Begründung schlichtweg vorausgesetzt, s. beispielsweise Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 44; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 78; Wybitul, NZA 2017, 1488, 1491 f. 172 Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 28. 173 Zustimmend grundlegend BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643, 646; später zust. BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, ZD 2014, 426 Ls. 2; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 189 ff.; Taeger/Rose, BB 2016, 819, 821; offen gelassen BAG, Urt. v. 17. 11. 2016 – 2 AZR 730/15, NZA 2017, 394, 396 Rn. 27; ablehnend Simitis/Seifert, 8. Aufl. 2014, § 32 BDSG Rn. 167. 174 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 97; Forgó/Helfrich/Schneider/Hanloser, 3. Aufl. 2019, Teil V, Kapitel 1 Rn. 14, 31.
52
A. Worum es geht
schaffen.175 Dieses Verständnis ist jedoch keineswegs zwingend, wie die erhebliche Anzahl von Anhängern der Gegenauffassung belegt, die Betriebsvereinbarungen als Rechtsgrundlage für datenschutzrechtliche Erlaubnistatbestände anerkennen.176 Für die letztgenannte Ansicht streitet zunächst der Wortlaut von Art. 88 Abs. 1 DSGVO: Zwar erlaubt die Norm lediglich die Schaffung „spezifischerer“ Vorschriften, allerdings verdeutlicht der Zusatz, dass sich diese Regelungsbefugnis „insbesondere“ auf die aufgezählten Bereiche – wie die Zwecke der Einstellung und die Erfüllung des Arbeitsvertrages – erstreckt, dass Art. 88 Abs. 1 DSGVO tatsächlich eine materielle Regelungsbefugnis für die Mitgliedstaaten sowie die Kollektivpartner bereithält.177 Darauf deutet auch die Systematik des Art. 88 DSGVO hin, denn Art. 88 Abs. 2 DSGVO normiert umfassende inhaltliche Vorgaben für auf Grundlage von Art. 88 Abs. 1 DSGVO geschaffene Kollektivvereinbarungen. Eine solche Normierung spezifischer inhaltlicher Anforderungen wäre schlichtweg überflüssig, wenn Art. 88 Abs. 1 DSGVO ohnehin nur die Konkretisierung der in der DSGVO enthaltenen Regelungen erlauben würde und diese damit alleiniger Maßstab für die rechtliche Zulässigkeit der Verarbeitung personenbezogener Daten bliebe.178 Und auch der Blick auf Art. 6 Abs. 2 DSGVO führt zu keinem anderen Ergebnis. Zwar spricht dieser ausdrücklich davon, dass „spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften“ der DSGVO dienen und legt damit nahe, dass diese spezifischeren Vorschriften die DSGVO lediglich konkretisieren.179 Demgegenüber enthält Art. 88 Abs. 1 DSGVO einen entsprechenden Zusatz nicht. Dies muss dahingehend verstanden werden, dass Art. 88 Abs. 1 DSGVO für den Beschäftigungskontext über den Regelungsgehalt des Art. 6 Abs. 2 DSGVO hinausgeht und nicht nur konkretisierende Regelungen ermöglicht, sondern vielmehr die Schaffung von selbstständigen Erlaubnistatbeständen zulässt.180 In Anbetracht vorstehender Erwägungen eröffnet Art. 88 Abs. 1 DSGVO daher die Möglichkeit, auf nationaler Ebene datenschutzrechtliche Erlaubnistatbestände im Rahmen von Kollektivvereinbarungen zu schaffen. 175 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 97; Forgó/Helfrich/Schneider/Hanloser, 3. Aufl. 2019, Teil V, Kapitel 1 Rn. 51. 176 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 54 f.; Byers/Wenzel, BB 2017, 2036, 2040; Dzida, BB 2019, 3060, 3063; Dzida, BB 2018, 2677, 2681; Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 66: Heidelberger Kommentar/Thüsing/ Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 44; Klösel/Mahnhold, NZA 2017, 1428, 1429; Körner, NZA 2019, 1389; Kort, ZD 2017, 319, 322; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 66; Martini/Botta, NZA 2018, 625, 633; Maschmann, NZA-Beil. 2018, 115, 116; Schrey/Kielkowski, BB 2018, 629, 631; Sörup/Marquardt, ArbRAktuell 2016, 103, 105; Wurzberger, ZD 2017, 258; Wybitul, NZA 2017, 1488; Wybitul, NZA 2017, 413, 417; Wybitul/Sörup/Pötters, ZD 2015, 559, 561. 177 Schrey/Kielkowski, BB 2018, 629, 631. 178 Klösel/Mahnhold, NZA 2017, 1428, 1429; so auch Körner, NZA 2019, 1389, 1391; Schrey/Kielkowski, BB 2018, 629, 631. 179 In diese Richtung Heidelberger Kommentar/Schwartmann/Jacquemain, 2. Aufl. 2020, Art. 6 DSGVO Rn. 195. 180 Klösel/Mahnhold, NZA 2017, 1428, 1429.
II. Rechtliche Grundlagen des Datenschutzrechts
53
(4) Datenschutz- und Betriebsverfassungsrecht als Grenze datenschutzrechtlicher Betriebsvereinbarungen Allerdings kann eine Betriebsvereinbarung nur dort Rechtsgrundlage für eine Datenverarbeitung sein, wo die Betriebspartner nach nationalem Recht auch zu ihrem Abschluss befugt sind. Zwar findet sich im BetrVG keine Kompetenznorm, die den Betriebspartnern ausdrücklich eine Regelungsbefugnis für den Beschäftigtendatenschutz zuweist, jedoch genügt es, dass sich eine solche Zuständigkeit aus den allgemeinen Kompetenzvorschriften des Betriebsverfassungsrechts ableiten lässt.181 Wo dem Betriebsrat betriebsverfassungsrechtliche Mitbestimmungsrechte eingeräumt werden, kann eine datenschutzrechtliche Betriebsvereinbarung daher grundsätzlich wirksam geschlossen werden.182 Hält der Betriebsrat sich im Rahmen dieser gesetzlichen Kompetenzen, kann er durch Betriebsvereinbarungen im Zusammenwirken mit dem Arbeitgeber sowohl datenschutzrechtlich relevante Rechte als auch Pflichten der Arbeitnehmer schaffen.183 Dabei muss indes jede Betriebsvereinbarung, die Rechtsgrundlage für eine Datenverarbeitung sein soll, zugleich den Anforderungen der DSGVO genügen.184 Dies stellt auch § 26 Abs. 4 S. 2 BDSG ausdrücklich klar, der die Betriebspartner zur Einhaltung der Vorgaben von Art. 88 Abs. 2 DSGVO verpflichtet,185 um auch im Rahmen datenschutzrechtlicher Betriebsvereinbarungen den Schutz der Grundrechte des betroffenen Arbeitnehmers zu gewährleisten.186 cc) Zusammenfassender Überblick über die nationalen Rechtsquellen des Beschäftigtendatenschutzes Auf nationaler Ebene besteht im Rahmen des Beschäftigtendatenschutzes mithin ein Nebeneinander verschiedenster Rechtsquellen. Obwohl die DSGVO zwar grundsätzlich auch auf die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis Anwendung findet, enthält sie keine speziell auf den Beschäftigtendatenschutz zugeschnittenen Vorschriften. Hingegen hat der nationale Gesetzgeber in Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel versucht, dem aus der strukturellen Unterlegenheit des Arbeitnehmers resultierenden Bedürfnis nach bereichsspezifischen Regelungen durch die Einführung des § 26 BDSG Rechnung zu tragen. Hinzu treten zahlreiche bereichsspezifische Vorschriften im BetrVG, die entweder unmittelbar die Verarbeitung personenbezogener Daten regeln oder diese jedenfalls voraussetzen. Vervollständigt wird das Bild der im 181
Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 28, 82. Schrey/Kielkowski, BB 2018, 629, 633; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 249. 183 Kort, RdA 2018, 24, 33. 184 Schrey/Kielkowski, BB 2018, 629, 632; s. ausführlich Gliederungspunkt D. II. 2. 185 Ausführlich zu den Grenzen der Regelungskompetenz s. Gliederungspunkt D. II. 186 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 31. 182
54
A. Worum es geht
Beschäftigtendatenschutz mit Blick auf die Betriebsratsarbeit relevanten Rechtsquellen durch Betriebsvereinbarungen, die gem. Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG ebenfalls als Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Betracht kommen. c) Zusammenfassender Überblick über die aktuellen Rechtsquellen des Beschäftigtendatenschutzes auf nationaler und unionsrechtlicher Ebene Jedoch genügt der Blick auf nationale Rechtsquellen allein nicht. Denn die DSGVO findet als unionsrechtliche Verordnung gem. Art. 288 Abs. 2 AEUV grundsätzlich auch in den Mitgliedstaaten unmittelbare Anwendung – und zwar auch auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext. Mit Blick auf die in Art. 88 Abs. 1 DSGVO enthaltene Öffnungsklausel stellt die DSGVO im Bereich des Beschäftigtendatenschutzes allerdings keine abschließende Regelung dar, sondern ebnet selbst den Weg zur Schaffung spezifischer datenschutzrechtlicher Regelungen für den Beschäftigungskontext auf nationaler Ebene.187 Sie ist mithin auf ein Zusammenspiel von unionsrechtlichen und nationalem Beschäftigtendatenschutz angelegt.
5. Eine Sammlung der Ergebnisse: Die Gesetzgebung zum Beschäftigtendatenschutz Der Beschäftigtendatenschutz erweist sich im Ergebnis als komplexes Rechtsgebiet, was nicht zuletzt aus seiner fragmentarischen Regelungssystematik folgt. Zwar findet die DSGVO grundsätzlich auch auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext Anwendung, jedoch enthält sie – abgesehen von der Öffnungsklausel des Art. 88 Abs. 1 DSGVO – keine inhaltlich spezifisch auf dieses Gebiet zugeschnittenen Regelungen. Ähnlich verhält es sich mit dem BDSG, das mit § 26 BDSG auch nur eine spärliche Normierung des Beschäftigtendatenschutzes bereithält, sodass in Ermangelung eines spezifischen Arbeitnehmerdatenschutzgesetzes ein Rückgriff auf bereichsspezifische Regelungen unausweichlich ist. Für die vorliegende Arbeit kommt insofern dem Betriebsverfassungsrecht entscheidende Bedeutung zu. Allerdings verzichtet auch dieses auf eine umfassende Regelung des Beschäftigtendatenschutzes, sondern enthält vielmehr allein vereinzelte Vorschriften, die inhaltlichen Bezug zum Schutz der personenbezogenen Daten der im jeweiligen Betrieb beschäftigten Arbeitnehmer aufweisen. Dabei sind BDSG und BetrVG als zwei der maßgeblichen Rechtsquellen des Beschäftigtendatenschutzes indes inhaltlich nicht aufeinander abgestimmt. Grund dafür ist die unterschiedliche Zielsetzung beider Normenkomplexe. Während das BDSG auf die Wahrung des dem Einzelnen zustehenden informationellen Selbstbestimmungsrechts ausgerichtet ist, 187
Düwell/Brink, NZA 2016, 665.
III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes
55
zielt das BetrVG auf den kollektiven Schutz der Belegschaft ab, um das im Arbeitsverhältnis zulasten des Arbeitnehmers bestehende strukturelle Ungleichgewicht auszugleichen. Zu diesen bereits in der Vergangenheit miteinander konkurrierenden Rechtsquellen tritt nunmehr die DSGVO hinzu, wodurch der Beschäftigtendatenschutz erneut an Komplexität gewinnt. Daher ist es umso wichtiger, im Folgenden die inhaltlichen Strukturen des Beschäftigtendatenschutzes sowie das Verhältnis der einzelnen Vorschriften untereinander herauszuarbeiten, um auf dieser Grundlage inhaltliche Fragen einer sachgerechten Lösung zuführen zu können.
III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes Zunächst ist sich der Frage zuzuwenden, inwieweit im Beschäftigtendatenschutz übereinstimmende inhaltliche Grundstrukturen der verschiedenen Rechtsquellen bestehen, die sich als roter Faden durch das Rechtsgebiet ziehen. Zugleich muss herausgearbeitet werden, wo die einzelnen Regelungskomplexe sich inhaltlich unterscheiden und wie mit derartigen Abweichungen umzugehen ist. Entscheidende Bedeutung für das Verständnis des Datenschutzrechts hat dabei die Verknüpfung der einzelnen Rechtsquellen: Die DSGVO ist darauf ausgelegt, die grundlegenden Regelungen des Datenschutzes selbst zu treffen, den Mitgliedstaaten jedoch in gewissem Umfang deren Konkretisierung zu überlassen.188 Folge dieser dem nationalen Gesetzgeber eröffneten Konkretisierungsmöglichkeit ist, dass im Datenschutzrecht der einer Verordnung grundsätzlich immanente Anspruch auf abschließende Normierung des geregelten Bereichs jedenfalls teilweise aufgegeben wird.189 Allerdings sind dennoch – wie § 1 Abs. 5 BDSG klarstellt190 – die Bestimmungen der DSGVO grundsätzlich vorrangig gegenüber denjenigen des BDSG. Dieses gilt vielmehr ergänzend, kann aber eben nur dort eingreifen, wo die DSGVO solche Ergänzungen auch zulässt.191 Das BDSG ist seinerseits wiederum gem. § 1 Abs. 2 BDSG subsidiär gegenüber nationalen bereichsspezifischen datenschutzrechtlichen Regelungen. Daher ist es umso wichtiger, auszuloten, inwiefern die einzelnen Regelungskomplexe inhaltlich übereinstimmen, wo Abweichungen zulässig sind und tatsächlich bestehen. Abweichungen und Übereinstimmungen werden jedoch nur dort relevant, wo überhaupt mehrere Regelungskomplexe nebeneinander zur Anwendung kommen. Daher sind zunächst die Anwendungsbereiche von DSGVO und BDSG aufzuzeigen um darauf aufbauend die inhaltlichen Grundstrukturen der einzelnen Re188 BR-Drs. 110/17, S. 68; Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einf. Rn. 98; Roßnagel, DuD 2017, 277, 278. 189 Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einf. Rn. 98b. 190 Zum allein deklaratorischen Charakter der Norm s. ErfK/Franzen, 20. Aufl. 2020, § 1 BDSG Rn. 18; Kühling/Sackmann, NVwZ 2018, 681 f.; Paal/Pauly/Ernst, 2. Aufl. 2018, § 1 BDSG Rn. 13. 191 Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einf. Rn. 129; Kühling/Sackmann, NVwZ 2018, 681, 682; Paal/Pauly/Paal/Pauly, 2. Aufl. 2018, Einl. Rn. 21.
56
A. Worum es geht
gelungsbereiche herauszuarbeiten. Erst zuletzt können schließlich durch einen Vergleich der gewonnenen Erkenntnisse Gemeinsamkeiten und etwaige Unterschiede aufgezeigt werden.
1. Inhaltliche Grundstrukturen der DSGVO Der Anwendungsbereich der DSGVO ist weit gefasst. So konstatiert Art. 2 Abs. 1 DSGVO, dass die Verordnung in sachlicher Hinsicht für die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten [gilt], die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Anknüpfungspunkte sind also das Vorliegen von „personenbezogenen Daten“ und deren „Verarbeitung“. In diesem Zusammenhang gibt Art. 4 Nr. 1 DSGVO vor, dass „personenbezogene Daten“ alle Informationen sind, „die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Unter „Verarbeitung“ ist demgegenüber gem. Art. 4 Nr. 2 DSGVO jeder Vorgang bzw. jede Vorgangsreihe zu verstehen, die in Zusammenhang mit personenbezogenen Daten ausgeführt wird. Dabei legt die DSGVO wiederum einen weiten Verarbeitungsbegriff zugrunde, indem sie nicht nach den einzelnen Verarbeitungsschritten differenziert.192 Entscheidendes Kriterium ist vielmehr – wie sich aus Art. 2 Abs. 1 DSGVO ergibt – allein, dass die Verarbeitung automatisiert erfolgt oder, sofern dies nicht der Fall ist, die verarbeiteten Daten zumindest in einem Dateisystem gespeichert werden, sodass lediglich die rein manuelle, nicht dateigebundene Datenverarbeitung nicht in den Anwendungsbereich der Verordnung fällt.193 Möchte man die inhaltlichen Strukturen des Datenschutzes der DSGVO ausmachen, muss die Betrachtung bei Art. 5 DSGVO ansetzen, der bereits ausweislich seiner Überschrift „Grundsätze für die Verarbeitung personenbezogener Daten“ enthält. Als die wohl grundlegendste Maxime des Datenschutzrechts ist dabei das Prinzip des grundsätzlichen Verbots der Verarbeitung personenbezogener Daten, das lediglich einem Erlaubnisvorbehalt unterliegt, anzusehen.194 Denn Art. 5 Abs. 1 lit. a Var. 1 DSGVO stellt ausdrücklich klar, dass eine Verarbeitung personenbezogener Daten nur in rechtmäßiger Weise erfolgen darf, wobei Art. 6 DSGVO die Frage beantwortet, wann eine Datenverarbeitung rechtmäßig ist.195 Eine Datenverarbeitung ist demnach nur dann rechtlich zulässig, wenn zumindest einer der von Art. 6 192
Gola/Gola, 2. Aufl. 2018, Art. 2 DSGVO Rn. 7; Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Art. 2 DSGVO Rn. 13. 193 Gola/Gola, 2. Aufl. 2018, Art. 2 DSGVO Rn. 9; Heidelberger Kommentar/Pabst, 2. Aufl. 2020, Art. 2 DSGVO Rn. 30; Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Art. 2 DSGVO Rn. 17. 194 Kritisch zur Bezeichnung des „Verbots mit Erlaubnisvorbehalt“ Simitis/Hornung/Spiecker/Roßnagel, 1. Aufl. 2019, Art. 5 DSGVO Rn. 35 ff.; Roßnagel, NJW 2019, 1. 195 S. für besondere Kategorien personenbezogener Daten die erhöhten Rechtmäßigkeitsanforderungen des Art. 9 DSGVO.
III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes
57
DSGVO genannten Erlaubnistatbestände erfüllt ist – im Übrigen ist sie von vornherein rechtswidrig.196 Dabei stellen – mit Ausnahme von Art. 6 Abs. 1 lit. a DSGVO – alle Erlaubnistatbestände des Art. 6 DSGVO die Zulässigkeit der Datenverarbeitung unter die Maxime der Erforderlichkeit: Eine Datenverarbeitung kann demnach nur dann zulässig sein, wenn sie auch erforderlich ist, um das vom jeweiligen Erlaubnistatbestand als grundsätzlich legitim eingeordnete Ziel zu erreichen, d. h. andere sinnvolle und zumutbare Wege nicht zur Verfügung stehen.197 Darüber hinaus normiert Art. 5 Abs. 1 DSGVO weitere datenschutzrechtliche Grundprinzipien, wobei der Grundsatz der Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a Var. 2 DSGVO) hervorzuheben ist. Die Regelung zielt darauf ab, eine Verarbeitungssituation zu verhindern, die ein Kräfteungleichgewicht zum Nachteil des Betroffenen herstellt, das – obwohl keine spezifische Bestimmung der DSGVO durch die konkrete Verarbeitung verletzt wird – dennoch dem Gesamtbild des Datenschutzrechts grundlegend widerspricht.198 Bedeutsam ist zudem der von Art. 5 Abs. 1 lit. a Var. 3 DSGVO normierte Transparenzgrundsatz, der die heimliche Verarbeitung personenbezogener Daten ausschließt, indem er grundsätzlich die umfassende Information des Betroffenen über das „Ob“ und das „Wie“ der Verarbeitung fordert.199 Hinzu kommt der Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b DSGVO), aus dem sich ergibt, dass schon bei Erhebung personenbezogener Daten der Zweck des Verarbeitungsvorgangs festgelegt sein muss200 und jede Weiterverarbeitung zu einem neuen Zweck sich auf einen eigenständigen Erlaubnistatbestand stützen können muss,201 wobei der Zweck der weiteren Verarbeitung mit dem Erhebungszweck nicht unvereinbar sein darf. Daneben treten zudem die Grundsätze der Datenminimierung (lit. c), der Datenrichtigkeit (lit. d), der Speicherbegrenzung (lit. e) und der Integrität und Vertraulichkeit der Verarbeitung (lit. f). Diese Grundsätze bilden als verbindliche Vorgaben das inhaltliche Grundgerüst des Da-
196 Gola/Schulz, 2. Aufl. 2018, Art. 6 DSGVO Rn. 1; Kühling/Buchner/Buchner/Petri, 2. Aufl. 2018, Art. 6 DSGVO Rn. 22; Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 6 DSGVO Rn. 7; Schantz, NJW 2016, 1841, 1843; Ziegenhorn/von Heckel, NVwZ 2016, 1585, 1586. 197 BeckOK DatenschutzR/Albers/Veit, 32. Ed. (Stand 1. 5. 2020), Art. 6 DSGVO Rn. 16 f.; Kühling/Buchner/Buchner/Petri, 2. Aufl. 2018, Art. 6 DSGVO Rn. 15; Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 6 DSGVO Rn. 9. 198 Kühling/Buchner/Herbst, 2. Aufl. 2018, Art. 5 DSGVO Rn. 17; Simitis/Hornung/Spiecker/Roßnagel, 1. Aufl. 2019, Art. 5 DSGVO Rn. 47; i. E. ebenso Schantz/Wolff/Wolff, Das neue Datenschutzrecht, 2017, Rn. 393. 199 BeckOK DatenschutzR/Schantz, 32. Ed. (Stand 1. 5. 2020), Art. 5 DSGVO Rn. 10 f.; Kühling/Buchner/Herbst, 2. Aufl. 2018, Art. 5 DSGVO Rn. 18; Schantz/Wolff/Wolff, Das neue Datenschutzrecht, 2017, Rn. 394; Simitis/Hornung/Spiecker/Roßnagel, 1. Aufl. 2019, Art. 5 DSGVO Rn. 50. 200 Kühling/Buchner/Herbst, 2. Aufl. 2018, Art. 5 DSGVO Rn. 21; Simitis/Hornung/Spiecker/Roßnagel, 1. Aufl. 2019, Art. 5 DSGVO Rn. 74. 201 Kühling/Buchner/Herbst, 2. Aufl. 2018, Art. 5 DSGVO Rn. 24; Schantz, NJW 2016, 1841, 1844; Schantz/Wolff/Wolff, Das neue Datenschutzrecht, 2017, Rn. 398.
58
A. Worum es geht
tenschutzes und prägen damit das gesamte Verständnis der Vorschriften des Datenschutzrechtes.202
2. Inhaltliche Grundstrukturen des BDSG – Vergleich zur DSGVO für den Bereich des Beschäftigtendatenschutzes Auf Grundlage der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel hat der deutsche Gesetzgeber § 26 BDSG geschaffen.203 Denn obwohl die DSGVO grundsätzlich auch auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext Anwendung findet204 und damit auch in diesem Bereich die grundlegenden inhaltlichen Maßstäbe setzt,205 hält sie dennoch keine konkret auf diesen Regelungskomplex zugeschnittenen Vorschriften bereit.206 Der Anwendungsbereich von § 26 BDSG wird dabei grundsätzlich ebenfalls durch – den auch für die auf Grundlage der Öffnungsklauseln geschaffenen nationalen Vorschriften maßgeblichen – Art. 2 Abs. 1 DSGVO abgesteckt.207 Der Anwendungsbereich des nationalen Datenschutzrechts kann demgegenüber zulässigerweise erweitert werden, da dort, wo die Verordnung gar keine Anwendung auf eine bestimmte Form der Datenverarbeitung findet, ein inhaltlicher Widerspruch der Regelungskomplexe von vornherein ausgeschlossen ist.208 Soll der Anwendungsbereich des nationalen Datenschutzrecht gegenüber der DSGVO erweitert werden, muss dies jedoch ausdrücklich geregelt sein.209 Dies hat der deutsche Gesetzgeber in § 26 Abs. 7 DSGVO getan, indem er den Anwendungsbereich von § 26 BDSG auf die vollständig nichtautomatisierte und nicht dateigebundene Datenverarbeitung ausweitet.210 Demgegenüber ist der persönliche Anwendungsbereich von § 26 BDSG enger gefasst: Während die 202 Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 5 DSGVO Rn. 1; Schantz/Wolff/Wolff, Das neue Datenschutzrecht, 2017, Rn. 382; Simitis/Hornung/Spiecker/Roßnagel, 1. Aufl. 2019, Art. 5 DSGVO Rn. 1, 15, 24; zur Frage der Verbindlichkeit der Regelungen instruktiv Roßnagel, ZD 2018, 339. 203 BT-Drs. 18/11325, S. 96. 204 Düwell/Brink, NZA 2016, 665; Franzen, EuZA 2017, 313, 346; Simitis/Hornung/ Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 1. 205 Reiserer/Christ/Heinz, DStR 2018, 1501, 1503 f.; insofern spricht Kort, NZA 2018, 1097 vom „Ineinandergreifen von zwei Zahnrädern“. 206 Ebenso Fischer, NZA 2018, 8. 207 Dies ist Folge der unmittelbaren Wirkung der Verordnung gem. Art. 288 Abs. 2 AEUV. 208 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 61; Kühling/Buchner/Klar, 2. Aufl. 2018, Art. 2 DSGVO Rn. 33; Simitis/Hornung/ Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 71; Wybitul, NZA 2017, 413, 418. 209 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 60 f. 210 Düwell/Brink, NZA 2017, 1081, 1083; Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 107; Kühling/Buchner/Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 4; Paal/Pauly/Gräber/ Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 55; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 70 f.; Ströbel/Böhm/Breunig/Wybitul, CCZ 2018, 14, 17.
III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes
59
DSGVO gem. Art. 2 Abs. 1 DSGVO i. V. m. Art. 4 Nr. 1 DSGVO natürliche Personen bei der Verarbeitung jedweder sie betreffender personenbezogener Daten schützt, erfasst § 26 BDSG allein die Verarbeitung von Beschäftigtendaten, wobei § 26 Abs. 8 BDSG den Begriff des Beschäftigten abschließend definiert.211 Eine Einschränkung hinsichtlich der Person des Verarbeitenden nimmt § 26 BDSG hingegen nicht vor. Entscheidend ist allein, dass personenbezogene Daten von Beschäftigten im Beschäftigungskontext verarbeitet werden, nicht jedoch, wer die Daten verarbeitet.212 Neben den zulässigerweise in Ausgestaltung der Öffnungsklauseln geschaffenen nationalen Regelungen finden die allgemeinen Vorschriften der DSGVO weiterhin Anwendung.213 Dies stellt § 26 Abs. 5 BDSG ausdrücklich klar,214 indem er festlegt, dass insbesondere die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO auch im Rahmen von § 26 BDSG einzuhalten sind. Durch den Zusatz „insbesondere“ wird jedoch zugleich deutlich, dass nicht nur Art. 5 DSGVO, sondern alle Vorschriften der DSGVO auch auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext Anwendung finden.215 Dies ergibt sich indes bereits aus der unmittelbaren Anwendbarkeit der DSGVO im nationalen Recht.216 Eigenständige Bedeutung erlangt die Vorschrift daher nur im Hinblick auf die nicht automatisierte und nicht dateigebundene Datenverarbeitung, da insofern der Anwendungsbereich der DSGVO nicht eröffnet ist, sodass die Grundsätze des Art. 5 Abs. 1 DSGVO allein über den Verweis in § 26 Abs. 5 BDSG für diese Form der Datenverarbeitung Geltung beanspruchen können.217 Zentral ist auch im Rahmen des Beschäftigtendatenschutzes die Frage nach der Rechtmäßigkeit einzelner Datenverarbeitungsvorgänge. Auf Grundlage von Art. 88 Abs. 1 DSGVO schafft § 26 BDSG eigenständige, spezifische Rechtfertigungstatbestände für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis und erweitert damit den Kreis möglicher Rechtsgrundlagen über die in Art. 6 DSGVO enthaltenen Erlaubnistatbestände hinaus.218 Ebenso wie im Rahmen von Art. 6 DSGVO gewinnt jedoch auch bei § 26 BDSG der Zweck der jeweiligen Datenverarbeitung entscheidende Bedeutung.219 So kommt § 26 BDSG nur für solche Datenverarbeitungsvorgänge als Rechtsgrundlage in Betracht, die für Zwecke 211
Zum abschließenden Charakter der Norm Kühling/Buchner/Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 7. 212 Wybitul, NZA 2017, 413, 414. 213 Düwell/Brink, NZA 2017, 1081, 1085. 214 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 58; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 58; Wybitul, NZA 2017, 413, 414. 215 Düwell/Brink, NZA 2017, 1081, 1085. 216 Wybitul, NZA 2017, 413, 414. 217 Wybitul, NZA 2017, 413, 414. 218 Reiserer/Christ/Heinz, DStR 2018, 1501, 1504. 219 Gola, BB 2017, 1462, 1464; Wybitul, NZA 2017, 413, 414.
60
A. Worum es geht
des Beschäftigungsverhältnisses erfolgen.220 Infolge dieser inhaltlichen Beschränkung ist die Norm damit spezieller als die allgemeinen, nicht konkret auf das Beschäftigungsverhältnis zugeschnittenen Rechtfertigungstatbestände der DSGVO.221 Soweit eine Datenverarbeitung allerdings zu anderen, über den Beschäftigungskontext hinausgehenden Zwecken erfolgt, kann sie wiederum nicht auf § 26 BDSG, sondern nur auf die allgemeinen Erlaubnistatbestände der DSGVO gestützt werden.222 Bewegt sie sich in den Grenzen des Beschäftigungsverhältnisses, so bleibt Maßstab der Rechtmäßigkeit indes § 26 BDSG. Dabei rückt § 26 Abs. 1 S. 1 BDSG die Verarbeitung für Zwecke des Betriebsverfassungsrechts in den Mittelpunkt datenschutzrechtlicher Fragestellungen.223 Denn die Norm bestimmt, dass eine Datenverarbeitung zulässig ist, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Damit sind die zulässigen Zwecke der Datenverarbeitung im Rahmen von § 26 BDSG präziser – und damit letztlich enger – gefasst als in der DSGVO. Dennoch haben die Erlaubnistatbestände des § 26 BDSG und der DSGVO eine entscheidende Gemeinsamkeit: Die Verarbeitung ist stets nur dann zulässig, wenn sie im Einzelfall auch erforderlich ist, wodurch die Abwägung der widerstreitenden Interessen von Verantwortlichem und Betroffenem in den Mittelpunkt gestellt wird.224 Aufgrund ihrer unmittelbaren Anwendbarkeit in den Mitgliedstaaten zeichnet letztlich die DSGVO die inhaltlichen Grundstrukturen auch des nationalen Beschäftigtendatenschutzes maßgeblich vor. Allerdings hält das BDSG mit § 26 BDSG eine für den Bereich des Beschäftigtendatenschutzes spezifischere Vorschrift bereit, die sich im Verhältnis zur DSGVO durch einen erweiterten sachlichen und zugleich einen engeren persönlichen Anwendungsbereich auszeichnet. Ist der Anwendungsbereich beider Normenkomplexe eröffnet, so geht § 26 BDSG den Vorschriften der DSGVO als speziellere Regelung grundsätzlich vor.225 Dies gilt jedoch – wie § 26 Abs. 5 BDSG klarstellt – nicht hinsichtlich der durch Art. 5 DSGVO festgelegten allgemeinen Verarbeitungsgrundsätze sowie sonstiger allgemeiner Regelungen, die im Rahmen von § 26 BDSG keine Konkretisierung erfahren haben. Vorrangig ist § 26 220
Dies folgt bereits aus dem Umstand, dass Art. 88 DSGVO den Mitgliedstaaten nur für den Beschäftigungskontext die Möglichkeit der Schaffung spezifischerer Vorschriften einräumt, s. Düwell/Brink, NZA 2017, 1081, 1082. 221 Benkert, NJW-Spezial 2018, 562, 563; Kort, NZA 2018, 1097, 1100; i. E. ebenso Gola, BB 2017, 1462, 1464. 222 Düwell/Brink, NZA 2017, 1081, 1082; Gola, BB 2017, 1462, 1464; Kort, NZA 2018, 1097, 1099; Reiserer/Christ/Heinz, DStR 2018, 1501, 1504; Ströbel/Böhm/Breunig/Wybitul, CCZ 2018, 14, 17; Wybitul, NZA 2013, 413, 415. 223 Dies erkennend Reiserer/Christ/Heinz, DStR 2018, 1501, 1504. 224 Wybitul, NZA 2017, 413, 415. 225 Benkert, NJW-Spezial 2018, 562, 563; Kort, NZA 2018, 1097, 1100.
III. Inhaltliche Grundstrukturen des Beschäftigtendatenschutzes
61
BDSG jedoch im Verhältnis zu Art. 6 DSGVO, wobei die Erlaubnistatbestände allerdings inhaltlich ähnlich ausgestaltet sind, da sie die Rechtmäßigkeit der Verarbeitung letztlich daran messen, ob der konkrete Verarbeitungsvorgang erforderlich ist.
3. Bestand allgemeiner datenschutzrechtlicher Grundstrukturen im Betriebsverfassungsrecht? Aber auch im BetrVG finden sich bereichsspezifische datenschutzrechtliche Regelungen. Dabei fehlt es jedoch an einem umfassenden, in sich geschlossenen datenschutzrechtlichen Regelungssystem. Vielmehr gibt es im BetrVG eine Vielzahl verschiedener Vorschriften, die inhaltlichen Bezug zum Beschäftigtendatenschutz aufweisen. So fehlt es bereits an einer ausdrücklichen Normierung der Zuständigkeit des Betriebsrats in datenschutzrechtlichen Angelegenheiten, sodass diese sich allein mittelbar aus den allgemeinen Mitwirkungs- und Mitbestimmungstatbeständen herleiten lassen.226 Letztlich ist jedoch jede Regelung des BetrVG als bereichsspezifische Vorschrift des Datenschutzes einzuordnen, die inhaltlichen Bezug zum Schutz der Persönlichkeitsrechte des Arbeitnehmers im Beschäftigungsverhältnis aufweist.227 Dabei knüpfen die bereichsspezifischen datenschutzrechtlichen Regelungen des BetrVG den Umgang mit personenbezogenen Daten der Beschäftigten regelmäßig an eine Interessenabwägung im Einzelfall. Dies gilt zunächst für § 75 Abs. 2 S. 1 BetrVG, der als Zielnorm des Betriebsverfassungsrechts eine Auslegungsmaxime für sämtliche Vorschriften des BetrVG – und somit auch für diejenigen des bereichsspezifischen Datenschutzes – darstellt.228 Indem § 75 Abs. 2 S. 1 BetrVG festschreibt, dass Arbeitgeber und Betriebsrat „die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern“ haben, verpflichtet die Norm den Betriebsrat, bei der Erfüllung seiner betriebsverfassungsrechtlichen Aufgaben die Persönlichkeitsrechte der Arbeitnehmer zu berücksichtigen und sie gegen etwaige widerstreitende Interessen abzuwägen.229 Auch anderen bereichsspezifischen Vorschriften des Beschäftigtendatenschutzes wohnt dieser Gedanke inne: Soweit das BetrVG dem Betriebsrat Mitbestimmungs- und Mitwirkungsrechte einräumt, wird er verpflichtet, das Verhältnis zwischen Belegschaft und Arbeitgeber auf Grundlage einer Abwägung der widerstreitenden Inter-
226
Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 30 ff. Strenger Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 43. 228 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 231; zum Charakter als Zielnorm der Betriebsverfassung s. Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 44; zu ihrer Funktion als Auslegungsregel ErfK/Kania, 20. Aufl. 2020, § 75 BetrVG Rn. 1; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 75 Rn. 34. 229 Fitting, BetrVG, 30. Aufl. 2020, § 75 Rn. 144. 227
62
A. Worum es geht
essen mitzugestalten.230 Soweit das Betriebsverfassungsrecht dem Betriebsrat Informationsrechte gegenüber dem Arbeitgeber einräumt, soll er dadurch in die Lage versetzt werden, Maßnahmen des Arbeitgebers an den Persönlichkeitsrechten der betroffenen Arbeitnehmer zu überprüfen,231 und die gewonnenen Erkenntnisse bei der Ausübung seiner Mitwirkungsrechte zugrunde zu legen. Seine Informationsrechte sind dabei wiederum dadurch begrenzt, dass sie sich inhaltlich nur auf solche Informationen erstrecken, die zur ordnungsgemäßen Erfüllung der dem Betriebsrat obliegenden Aufgaben erforderlich sind.232 Dies ist zweifellos nur eine beispielhafte Darstellung. Dennoch verdeutlicht sie, dass die bereichsspezifischen datenschutzrechtlichen Regelungen im BetrVG maßgeblich durch das Prinzip der Interessenabwägung geprägt sind. Auch das Betriebsverfassungsrecht enthält mithin keinen allgemeingültigen Maßstab für die Beurteilung der rechtlichen Zulässigkeit einer Datenverarbeitung, sondern – und insofern überschneiden sich seine Grundstrukturen mit denen von DSGVO und BDSG – knüpft an eine im Einzelfall vorzunehmende Interessenabwägung an.
4. Eine Ordnung der Argumente: Das Prinzip der Interessenabwägung als inhaltliche Grundstruktur des Beschäftigtendatenschutzes Das Datenschutzrecht ist geprägt durch ein Mehrebenensystem,233 denn neben dem Unionsrecht gewinnen verschiedene nationale Rechtsquellen Bedeutung. Dominiert wird das Verhältnis dieser Vorschriften durch die von Art. 288 Abs. 2 S. 2 AEUV angeordnete unmittelbare Geltung der DSGVO in den Mitgliedstaaten, die mithin auch auf nationaler Ebene die inhaltlichen Grundsätze für den Beschäftigtendatenschutz vorgibt. Dennoch enthält sie zugleich zahlreiche Öffnungsklauseln, sodass der deutsche Gesetzgeber § 26 BDSG auf Grundlage von Art. 88 Abs. 1 DSGVO schaffen konnte. Indes findet die DSGVO auch im Beschäftigtendatenschutz weiterhin Anwendung, soweit durch § 26 BDSG nicht zulässigerweise spe230
So beispielhaft für § 87 Abs. 1 Nr. 6 BetrVG BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205, 1209 Rn. 21; Zweck der betrieblichen Mitbestimmung ist nämlich gerade die gleichberechtigte Berücksichtigung der Arbeitnehmerinteressen, s. Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 87 Rn. 8. 231 S. beispielhaft in Bezug auf § 94 Abs. 1 BetrVG Fitting, BetrVG, 30. Aufl. 2020, § 94 Rn. 10; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 237; das Mitbestimmungsrecht bezweckt gerade den Schutz des informationellen Selbstbestimmungsrechts des Arbeitnehmers, s. ErfK/Kania, 20. Aufl. 2020, § 94 BetrVG Rn. 1; GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 2; sowie für § 94 Abs. 2 BetrVG GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 19; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 240. 232 S. beispielhaft für § 80 Abs. 2 BetrVG BAG, Beschl. v. 23. 3. 2010 – 1 ABR 81/08, NZA 2011, 811, 812 Rn. 16; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 90; Gola, HdB Arbeitnehmerdatenschutz, 8. Aufl. 2019, Rn. 1659 ff.; HWGNRH/Nicolai, BetrVG, 10. Aufl. 2018, § 80 Rn. 54; Kort, NZA 2010, 1267; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 53, 65. 233 Kühling/Sackmann, NVwZ 2018, 681, 683.
IV. Die Betriebsratsarbeit als Gegenstand des Beschäftigtendatenschutzes
63
zifischere Regelungen getroffen werden. Zudem ist ein gewisser inhaltlicher Gleichlauf zwischen § 26 BDSG und der DSGVO gewährleistet, wie ein vergleichender Blick auf Art. 6 Abs. 1 DSGVO verdeutlicht. Denn beide Normen knüpfen die Rechtmäßigkeit einer Datenverarbeitung in einem ersten Schritt an die Verfolgung eines gesetzlich zugelassen Zwecks. Dabei beschränkt § 26 BDSG die Verarbeitung auf Zwecke des Beschäftigungsverhältnisses und ist damit präziser gefasst als Art. 6 Abs. 1 DSGVO. Zudem knüpfen beide Normen auf der zweiten Stufe – und dies ist die wohl grundlegendste und bedeutendste inhaltliche Übereinstimmung beider Regelungskomplexe – die rechtliche Zulässigkeit der Verarbeitung personenbezogener Daten an eine im Einzelfall vorzunehmende Abwägung der widerstreitenden Interessen von Verantwortlichem und Betroffenem.234 Dieses Grundprinzip findet sich zugleich im bereichsspezifischen Datenschutz des Betriebsverfassungsrechts wieder. Denn auch das BetrVG enthält keinen allgemeingültigen Maßstab zur Beurteilung der Zulässigkeit eines Datenverarbeitungsvorgangs, sondern erfordert ebenfalls eine Interessenabwägung im Einzelfall. Seine Grundlage findet dieses Prinzip für das Betriebsverfassungsrecht in § 75 Abs. 2 S. 1 BetrVG, wohnt aber auch den übrigen bereichsspezifischen datenschutzrechtlichen Normen des BetrVG inne. Der Grundsatz der Interessenabwägung ist daher als übereinstimmende inhaltliche Grundstruktur aller Rechtsquellen des Beschäftigtendatenschutzes festzuhalten und zum Ausgangspunkt der weiteren Betrachtung zu machen.
IV. Die Betriebsratsarbeit als Gegenstand des Beschäftigtendatenschutzes Fragt man nach den aktuell in Wissenschaft und Praxis bestehenden Herausforderungen des Beschäftigtendatenschutzes, so stößt man unweigerlich auf die Problematik der datenschutzrechtlichen Rolle des Betriebsrats, die bereits in Art. 88 Abs. 1 DSGVO angelegt ist. Denn die Mitgliedstaaten können nicht nur durch Rechtsvorschriften, sondern auch durch Kollektivvereinbarungen – worunter gem. ErwG 155 DSGVO auch Betriebsvereinbarungen zu verstehen sind – spezifischere Vorschriften zum Beschäftigtendatenschutz treffen. Auch der nationale Gesetzgeber hat diese enge Verzahnung von Datenschutz- und Betriebsverfassungsrecht im Rahmen von § 26 BDSG mehrfach betont. So ergibt sich aus § 26 Abs. 1 S. 1 Var. 2 BDSG, dass die Verarbeitung personenbezogener Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses unter anderem zulässig ist, wenn sie zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Betriebsvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Darüber hinaus stellt § 26 Abs. 4 BDSG klar, dass die Verarbeitung personenbezogener Daten auf Grundlage von Kollektivvereinbarungen zulässig ist. Vervollständigt wird das Bild durch § 26 Abs. 6 BDSG, der konstatiert, dass die Be234
Wybitul, NZA 2017, 413, 415.
64
A. Worum es geht
teiligungsrechte der Interessenvertretungen der Beschäftigten durch die Bestimmungen des BDSG unberührt bleiben. Originär ergibt sich die besondere Stellung des Betriebsrats auf dem Gebiet des Beschäftigtendatenschutzes jedoch letztlich aus dem BetrVG und nicht aus dem Datenschutzrecht.235 Denn das kollektive Arbeitsrecht weist den Interessenvertretungen die Aufgabe zu, die Beschäftigten vor denjenigen Gefahren zu schützen, die sich gerade aus der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis ergeben, was im Interesse eines effektiven Schutzes der Beschäftigten durch § 26 Abs. 6 BDSG lediglich abgesichert wird.236 Seine Schutzfunktion nimmt der Betriebsrat einerseits dadurch wahr, dass er die durch den Arbeitgeber vorgenommenen Datenverarbeitungsvorgänge überwacht, andererseits aber auch, indem er präventiv auf die Wahrung der Persönlichkeitsrechte der Arbeitnehmer hinwirkt.237 Vor diesem Hintergrund ist es wenig überraschend, dass einige Stimmen in der Literatur den Betriebsrat als betrieblichen „Hüter des Arbeitnehmerdatenschutzes“238 oder „Oberdatenschützer“239 bezeichnen. Andererseits darf nicht außer Acht gelassen werden, dass nicht nur der Arbeitgeber personenbezogene Daten der Beschäftigten verarbeitet, sondern auch der Betriebsrat selbst in erheblichem Umfang mit Beschäftigtendaten in Kontakt kommt.240 Möchte er die ihm zugewiesenen Aufgaben effektiv wahrnehmen, so ist die Verarbeitung personenbezogener Daten der Belegschaft nahezu unumgänglich, wodurch jedoch die Betriebsratstätigkeit in der Konsequenz die gleichen Missbrauchsgefahren birgt, wie sie auch bei einer Datenverarbeitung durch den Arbeitgeber bestehen.241 Daher erlangen die Beteiligungsrechte des Betriebsrats in datenschutzrechtlicher Hinsicht unter verschiedenen Aspekten Bedeutung: Einerseits nimmt der Betriebsrat Datenschutzfunktionen im Interesse der Arbeitnehmer wahr, andererseits wird er im Rahmen seiner Tätigkeit selbst verpflichtet, den datenschutzrechtlichen Belangen der Beschäftigten Rechnung tragen.242 Daher ist auch die Betriebsratsarbeit an den Vorgaben des Datenschutzrechts zu messen.243 Die praktische Brisanz der Problematik wird durch einen Blick auf die arbeitsgerichtliche Rechtsprechung belegt: So hatte sie sich in der Vergangenheit mit der Frage nach der 235
Kort, NZA 2015, 1345, 1346. Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 227. 237 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 227. 238 Kort, NZA 2015, 1345, 1346. 239 Ehmann, NZA 1993, 241, 243. 240 Aßmus, ZD 2011, 27; Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 137; Kort, NZA 2018, 1097, 1103. 241 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NJW 1998, 2466, 2469; Aßmus, ZD 2011, 27. 242 Althoff, ArbRAktuell 2018, 414, 416; Gola, BB 2017, 1462, 1469; Kort, NZA 2015, 1345, 1346 f. 243 So zum BDSG a. F. BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1; BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NJW 1998, 2466, 2469; Forgó/Helfrich/ Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 140; Kort, NZA 2015, 1345, 1347. 236
IV. Die Betriebsratsarbeit als Gegenstand des Beschäftigtendatenschutzes
65
datenschutzrechtlichen Verantwortlichkeit des Betriebsrats244 ebenso zu beschäftigen wie mit dem Verhältnis des Betriebsrats zu anderen datenschutzrechtlichen Institutionen, wie dem betrieblichen Datenschutzbeauftragten.245 Daneben finden sich Judikate zur Mitbestimmung auf dem Gebiet des Beschäftigtendatenschutzes246 sowie zu den datenschutzrechtlichen Grenzen der Betriebsratsarbeit.247 Dies ist lediglich eine beispielhafte Aufzählung, gibt jedoch einen ersten Eindruck von den zahlreichen in der Praxis im Hinblick auf die Verknüpfung von Beschäftigtendatenschutz und Betriebsratsarbeit auftretenden Problemstellungen. Dem Betriebsrat wird durch das Betriebsverfassungsrecht zweifellos eine herausgehobene Stellung im Kontext des Beschäftigtendatenschutzes eingeräumt, woran sich auch durch das Inkrafttreten der DSGVO und des neu gefassten BDSG im Grundsatz nichts verändert hat, wie auch § 26 Abs. 6 BDSG betont.248 Die Bedeutung der Betriebsratstätigkeit im Rahmen des Beschäftigtendatenschutzes wird daher auch unter der neuen Rechtslage von der Literatur nicht in Zweifel gezogen.249 Allerdings sind zahlreiche Fragen hinsichtlich der datenschutzrechtlichen Stellung des Betriebsrats angesichts von DSGVO und neuem BDSG noch nicht abschließend geklärt.250 Bislang jedenfalls für die Praxis durch die Rechtsprechung entschiedene Problemstellungen müssen neu bewertet werden. Es gilt daher, diese im Verlauf der Arbeit zunächst zu verorten und anschließend einer sachgerechten Lösung zuzuführen. 244 BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/12, NZA 2014, 738, 739 Rn. 28; BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 43; BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 386; zur neuen Rechtslage ausdrücklich offen gelassen BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 45; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 47; bejaht von LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – 3 TaBV 10/18, ZD 2019, 573, 574 Rn. 17; LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 37; verneint von LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 32. 245 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 386 ff. 246 Beispielhaft zur Mitbestimmung bei der Einführung technischer Einrichtungen zum Namensabgleich mit „Anti-Terror-Listen“ BAG, Beschl. v. 19. 12. 2017 – 1 ABR 32/16, NZA 2018, 673. Zur Einführung technischer Einrichtungen zur Leistungskontrolle BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205; BAG, Beschl. v. 13. 12. 2016 – 1 ABR 7/15, NZA 2017, 657. 247 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 38 ff.; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23 ff.; BAG, Urt. v. 17. 11. 2016 – 2 AZR 730/15, NZA 2017, 394, 396 Rn. 25 f.; BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/ 12, NZA 2014, 738, 739 Rn. 27 ff. 248 Kort, NZA 2018, 1097, 1103. 249 Kort, ZD 2017, 3, 5. Dies zeigt sich auch allein durch die große Anzahl der insofern bestehenden Literatur s. beispielhaft Althoff, ArbRAktuell 2018, 414; Brams/Möhle, ZD 2018, 570; Brink/Joos, NZA 2019, 1395; Gola, BB 2017, 1462; Gola/Pötters, RDV 2017, 111; Kleinebrink, DB 2019, 2577; Körner, NZA 2019, 1389; Lücke, NZA 2019, 658; Klösel/ Mahnhold, NZA 2017, 1428; Staben, ZfA 2020, 287; Stück, ZDB 2019, 256; Wurzberger, ZD 2017, 258. 250 So zutreffend Brams/Möhle, ZD 2018, 570.
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel Grundlegend für das inhaltliche Verständnis des Beschäftigtendatenschutzes ist das Verhältnis der einzelnen datenschutzrechtlich relevanten Regelungskomplexe zueinander. Für die vorliegende Arbeit unerlässlich ist daher eine Auseinandersetzung mit dem Zusammenspiel von DSGVO, BDSG, BetrVG und datenschutzrechtlichen Betriebsvereinbarungen. Dem ist zugrunde zu legen, dass sich mit dem Beschäftigtendatenschutzrecht und dem Betriebsverfassungsrecht zwei komplementäre Materien gegenüberstehen: Während das Betriebsverfassungsrecht der kollektiven, aktiven Mitwirkung der Arbeitnehmer an betrieblichen Entscheidungsabläufen dient, ist das Datenschutzrecht auf eine individuelle Defensive gegen Eingriffe in die Persönlichkeitsrechte der Arbeitnehmer ausgerichtet.1 Trotz dieser inhaltlichen Divergenz wird die betriebliche Mitbestimmung im Rahmen des Beschäftigtendatenschutzes durch § 26 Abs. 6 BDSG hervorgehoben, der klarstellt, dass Datenschutz- und Betriebsverfassungsrecht grundsätzlich gleichberechtigt nebeneinander stehen,2 sodass die betriebsverfassungsrechtliche Rolle des Betriebsrats auch in Anbetracht der Regelungen des Datenschutzrechts im Grundsatz erhalten bleibt.3 Darüber hinaus ist der Stellenwert des Zusammenspiels von Datenschutz- und Betriebsverfassungsrecht indes auch losgelöst von § 26 Abs. 6 BDSG ohne weiteres erkennbar, da der Betriebsrat zwar zugunsten der Beschäftigten tätig wird, aber bei seiner Tätigkeit selbst wiederum den Vorgaben des Datenschutzrechts unterliegt.4 Eine inhaltliche Trennung von Betriebsverfassungsrecht und Beschäftigtendatenschutz erscheint vor diesem Hintergrund von vornherein ausgeschlossen. In bestimmten Bereichen stimmen die Vorgaben des Betriebsverfassungsrechts und des Datenschutzes überein,5 unausweichliche Folge der Regelungssystematik ist jedoch zugleich die Entstehung eines Spannungsverhältnisses zwischen den Beteiligungsrechten des Betriebsrats und dem Datenschutzrecht dort, wo die jeweils maßgeblichen Regelungen voneinander abweichen.6 Stimmen sie inhaltlich nicht 1 Kort, RDV 2012, 8; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 41; zur Zielsetzung des BetrVG s. ErfK/Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 1. 2 Kort, ZD 2017, 3, 5; Lücke, NZA 2019, 658, 659; Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 54. 3 Kort, NZA 2018, 1097, 1103. 4 Gola, BB 2017, 1462, 1469; Wybitul, NZA 2017, 413, 418. 5 Kort, ZD 2017, 3, 5. 6 I. E. ebenso Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 54.
I. Das Verhältnis von BDSG und DSGVO
67
vollständig überein, so stellt sich mithin die Frage, wie ein solcher Konflikt aufzulösen ist. Im Folgenden soll daher im Einzelnen beleuchtet werden, ob – und ggf. welchen – Normen eine Vorrangstellung gegenüber konkurrierenden Vorschriften zukommt.
I. Das Verhältnis von BDSG und DSGVO Voranzustellen ist dabei eine Betrachtung des Zusammenspiels von DSGVO und BDSG als originär datenschutzrechtlichen Regelungskomplexen. Ihr Verhältnis ist in erster Linie durch die von Art. 288 Abs. 2 S. 2 AEUV angeordnete unmittelbare Geltung der DSGVO in den Mitgliedstaaten geprägt: Sofern ihr Anwendungsbereich eröffnet ist, stellt sie eine gegenüber dem nationalen Recht grundsätzlich vorrangige Regelung dar,7 sodass sich die inhaltlichen Vorgaben des Datenschutzes primär nach der DSGVO richten.8 Eröffnet die DSGVO den Mitgliedstaaten allerdings die Möglichkeit, Konkretisierungen des Datenschutzrechts vorzunehmen – ist sie also ergänzungsoffen oder gar ergänzungsbedürftig – so verdrängt sie nationale Vorschriften ausnahmsweise nicht, sondern lässt deren Anwendung vielmehr ausdrücklich zu.9 Daher kommt der DSGVO letztlich nur ein partieller Anwendungsvorrang zu.10 Dennoch bleibt es beim grundsätzlichen Vorrang des Unionsrechts, dem auch § 1 Abs. 5 BDSG Rechnung trägt,11 indem er bestimmt, dass die Vorschriften des BDSG keine Anwendung finden, soweit die DSGVO oder sonstiges Unionsrecht unmittelbar gelten. Mit Blick auf den von Art. 288 Abs. 2 S. 2 AEUV angeordneten Anwendungsvorrang des Unionsrechts hat diese Vorschrift jedoch allein klarstellende Bedeutung.12 Eröffnet die DSGVO den Mitgliedstaaten allerdings die Möglichkeit, Konkretisierungen des Datenschutzes im nationalen Recht vorzunehmen, gehen die auf dieser Grundlage geschaffenen Normen der DSGVO als speziellere Regelungen vor.13 Diese Vorrangstellung beschränkt sich indes auf das Verhältnis der denselben Regelungskomplex betreffenden Normen von DSGVO und 7 Greve, NVwZ 2017, 737; Kühling, NJW 2017, 1985, 1986; Wybitul, BB 2016, 1077, 1079; zum Anwendungsvorrang einer Verordnung gegenüber nationalem Recht s. Calliess/Ruffert/ Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 288 AEUV Rn. 20. 8 Kühling, NJW 2017, 1985, 1986; Rolf/Siewert, RDV 2017, 236. 9 Kühling, NJW 2017, 1985, 1986; Wybitul, BB 2016, 1077, 1079; in diese Richtung auch Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 19. 10 Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 38. 11 Kühling, NJW 2017, 1985, 1986; Paal/Pauly/Ernst, 2. Aufl. 2018, § 1 BDSG Rn. 13. 12 ErfK/Franzen, 20. Aufl. 2020, § 1 BDSG Rn. 18; Kühling/Sackmann, NVwZ 2018, 681 f.; Paal/Pauly/Ernst, 2. Aufl. 2018, § 1 BDSG Rn. 13; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 74; i. E. ebenso Rolf/Siewert, RDV 2017, 236, 237, die die Vorschrift als „sinnlos“ bezeichnen. 13 Die Öffnungsklauseln normieren den Grundsatz „lex specialis derogat legi generali“, s. BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 16.
68
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
BDSG. Nicht in Betracht kommt hingegen eine Verdrängung der DSGVO in ihrer Gesamtheit, da dem nationalen Recht lediglich ergänzender Charakter zukommt.14 Zudem kommen die Vorschriften der DSGVO dort von vornherein nicht zum Zuge, wo der Anwendungsbereich der Verordnung gar nicht erst eröffnet ist,15 sodass ein Konflikt beider Regelungskomplexe von vornherein ausgeschlossen ist. Im Rahmen des Beschäftigtendatenschutzes erlangt insbesondere die Frage nach dem Verhältnis der einzelnen datenschutzrechtlichen Erlaubnistatbestände, d. h. von § 26 BDSG auf nationaler und Art. 6 Abs. 1 DSGVO auf unionsrechtlicher Ebene, Bedeutung. Ausweislich der Gesetzesbegründung wurde § 26 BDSG zur inhaltlichen Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel geschaffen.16 Sie betrifft daher einen Bereich, in dem die DSGVO den Mitgliedstaaten die Konkretisierung der unionsrechtlichen Vorgaben überlassen hat.17 Soweit es also um die Beurteilung der Zulässigkeit eines Datenverarbeitungsvorgangs zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses geht, ist § 26 Abs. 1 BDSG als spezifischere Vorschrift Art. 6 Abs. 1 DSGVO und den dort normierten allgemeinen Erlaubnistatbeständen vorzuziehen.18 Indes kann Art. 6 Abs. 1 DSGVO auch neben oder anstelle von § 26 Abs. 1 BDSG Bedeutung erlangen, sofern zwar Beschäftigtendaten verarbeitet werden, dies jedoch nicht zum Zwecke des Beschäftigungsverhältnisses geschieht und damit der Anwendungsbereich des § 26 Abs. 1 BDSG nicht eröffnet ist.19 Ist Gegenstand der rechtlichen Beurteilung die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, schließt § 26 Abs. 1 BDSG allerdings einen Rückgriff auf Art. 6 Abs. 1 DSGVO aus.20 Dabei verdrängt § 26 Abs. 1 BDSG keineswegs sämtliche Vorschriften der DSGVO im Bereich des Beschäftigtendatenschutzes, sondern es
14
Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Einf. Rn. 3a, 128. Dies ist beispielsweise im Rahmen der nichtautomatisierten, nicht dateigebundenen Datenverarbeitung im Beschäftigungsverhältnis der Fall, die nur von § 26 BDSG erfasst wird (§ 26 Abs. 7 BDSG), nicht hingegen von der DSGVO (Art. 2 Abs. 1 DSGVO), Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 36. 16 BT-Drs. 18/11325, S. 96. 17 Kühling/Buchner/Buchner/Petri, 2. Aufl. 2018, Art. 6 DSGVO Rn. 50. 18 Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 62; Heidelberger Kommentar/Thüsing/ Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 32; Kort, NZA 2018, 1097, 1100; Staben, ZfA 2020, 287, 300. 19 Benkert, NJW-Spezial 2018, 562, 563; Kort, NZA 2018, 1097, 1099 m. Verweis auf LAG Hamm, Beschl. v. 19. 9. 2017 – 7 TaBV 43/17, NZA-RR 2018, 82, 84 Rn. 35; Gola/Gola, 2. Aufl. 2018, Art. 6 DSGVO Rn. 95, 97; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 32; Kühling/Buchner/Buchner/Petri, 2. Aufl. 2018, Art. 6 DSGVO Rn. 51; Staben, ZfA 2020, 287, 300; Ströbel/Böhm/Breunig, CCZ 2018, 14, 19. 20 Kort, NZA 2018, 1097, 1099. 15
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
69
verbleibt im Übrigen bei der von Art. 288 Abs. 2 S. 2 AEUV angeordneten unmittelbaren Geltung des Unionsrechts.21
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht In einem zweiten Schritt drängt sich die Frage nach dem Verhältnis originär datenschutzrechtlicher Regelungen zu nationalen, bereichsspezifischen Vorschriften auf. Für die vorliegende Arbeit betrifft dies einerseits das Verhältnis von DSGVO und bereichsspezifischem Datenschutz im BetrVG sowie andererseits das Zusammenspiel dieser Regelungen mit dem BDSG. Letztlich gilt es auch, datenschutzrechtliche Betriebsvereinbarungen im System des Beschäftigtendatenschutzes zu verorten. Vor Inkrafttreten der DSGVO und des neu gefassten BDSG wurde das Verhältnis von Datenschutz- und Betriebsverfassungsrecht in der Literatur als durch eine Art „Sphärenharmonie“ geprägt beschrieben, sodass eine betriebsverfassungsrechtlich zulässige Tätigkeit des Betriebsrats datenschutzrechtlich nicht unzulässig und umgekehrt eine datenschutzrechtlich verbotene Tätigkeit nicht betriebsverfassungsrechtlich erlaubt sein konnte.22 Inwiefern diese These auch angesichts der nunmehr geltenden Rechtslage weiterhin Gültigkeit beanspruchen kann, gilt es auszuloten.
1. Das Verhältnis von DSGVO und Betriebsverfassungsrecht Ein Konflikt von DSGVO und BetrVG – und daran anknüpfend die Frage nach der Vorrangstellung einzelner Normen – kann nur dort aufkommen, wo der Anwendungsbereich beider Regelungskomplexe eröffnet ist. Findet die DSGVO keine Anwendung,23 so tritt sie auch nicht mit dem BetrVG in Konkurrenz. Daher beschränkt sich die weitere Darstellung auf den Fall, dass ein Datenverarbeitungsvorgang sowohl in den Anwendungsbereich der DSGVO als auch in den des BetrVG fällt. Dabei ist das Verhältnis beider Regelungskomplexe grundsätzlich klar: Die DSGVO ist eine Verordnung i. S. v. Art. 288 Abs. 2 AEUV, die in den Mitgliedstaaten unmittelbar und zwingend gilt und Anwendungsvorrang vor kollidierenden Vorschriften des nationalen Rechts genießt. Daher kann dem BetrVG als nationalem Regelungskomplex schon aus diesem Grund kein Vorrang oder auch nur eine sonst 21 In diese Richtung Greve, NVwZ 2017, 737, 738; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 74. 22 Kort, ZD 2017, 319, 322; Kort, ZD 2017, 3, 5. 23 So z. B. bei rein manuellen, nicht dateibasierten Datenverarbeitungsvorgängen, s. Art. 2 Abs. 1 DSGVO, vgl. auch Gola/Gola, 2. Aufl. 2018, Art. 2 DSGVO Rn. 9; Heidelberger Kommentar/Pabst, 2. Aufl. 2020, Art. 2 DSGVO Rn. 30; Kühling/Buchner/Kühling/Raab, 2. Aufl. 2018, Art. 2 DSGVO Rn. 17.
70
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
privilegierte Stellung gegenüber der DSGVO eingeräumt werden.24 Enthält das Betriebsverfassungsrecht inhaltlich von der DSGVO abweichende Normen, werden sie durch diese überlagert.25 Eine andere Bewertung wäre nur dann denkbar, wenn die Normen des BetrVG der Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel dienen würden. Denn die DSGVO verzichtet dort, wo sie Öffnungsklauseln enthält und damit dem nationalen Gesetzgeber Raum zur Konkretisierung des Datenschutzrechts eröffnet, partiell auf ihren Anwendungsvorrang.26 Teilweise wird angenommen, dass das BetrVG schon deshalb nicht der Ausgestaltung von Art. 88 Abs. 1 DSGVO dienen könne, da es im Datenschutzrecht zu einem Durcheinander verschiedenster Rechtsgrundlagen käme, wenn neben der DSGVO und den ausdrücklich im Rahmen ihrer Öffnungsklauseln geschaffenen – und damit auch gem. Art. 88 Abs. 3 DSGVO an die Kommission gemeldeten – Vorschriften weitere datenschutzrechtliche Bestimmungen auf nationaler Ebene Relevanz erlangten.27 Dem ist jedoch entgegen zu halten, dass es infolge der Vielzahl von Öffnungsklauseln in der DSGVO ohnehin nicht nur ein einziges „Datenschutzgesetz“ gibt, sondern die durch den Unionsgesetzgeber gewählte Regelungssystematik zwangsläufig auf ein Nebeneinander verschiedenster Rechtsquellen hinausläuft. Dabei lässt er gem. Art. 88 Abs. 1 DSGVO ausdrücklich auch die Konkretisierung datenschutzrechtlicher Vorschriften im Rahmen von Kollektivvereinbarungen zu, die gem. Art. 88 Abs. 3 DSGVO ebenfalls nicht an die Kommission zu melden sind. Entscheidend kann daher nicht sein, ob der deutsche Gesetzgeber durch eine nationale Vorschrift ausdrücklich von einer in der DSGVO enthaltenen Öffnungsklausel Gebrauch macht, sondern ob die jeweilige Norm inhaltlich der Ausgestaltung der eröffneten Spielräume dient. Eben deshalb kann jedoch das BetrVG im Verhältnis zur DSGVO nicht als beschäftigtendatenschutzrechtliche Spezialregelung angesehen werden.28 Die Vorschriften des BetrVG sollen nämlich nicht den betrieblichen Datenschutz näher ausgestalten.29 Vielmehr ist Zweck des Betriebsverfassungsrechts die aktive Teilhabe der im Betrieb beschäftigten Arbeitnehmer an betrieblichen Entscheidungsprozessen durch kollektive Ausübung von Beteiligungsrechten,30 während das Datenschutzrecht auf die Abwehr 24 Kort, ZD 2017, 3, 5; Lücke, NZA 2019, 658, 659; Staben, ZfA 2020, 287, 300; im Ergebnis ebenso, wenn auch ohne Begründung Kort, NZA 2018, 1097, 1103 f.; s. Wybitul, BB 2016, 1077, 1079, der ausdrücklich feststellt, dass die DSGVO in Abgrenzung zum BDSG kein „Auffanggesetz“ darstellt. 25 Grimm/Göbel, jM 2018, 278, 281. 26 Kühling, NJW 2017, 1985, 1987; Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 19, 38; Wybitul, BB 2016, 1077, 1079. 27 Rolf/Siewert, RDV 2017, 236, 238. 28 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 189; Wybitul, ZD 2016, 203, 206. 29 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 189. 30 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 189; ErfK/Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 1; Wybitul, ZD 2016, 203, 206; so zur Mitbestimmung insgesamt BT-Drs. VI/334, S. 56.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
71
von Eingriffen in die Persönlichkeitsrechte der Arbeitnehmer ausgerichtet ist.31 Beide Regelungskomplexe verfolgen damit grundlegend unterschiedliche Zielrichtungen.32 Sofern einzelne Regelungen des BetrVG zumindest auch den Schutz der Persönlichkeitsrechte der Arbeitnehmer bezwecken,33 entspricht dies nicht dem Regelungsgrund des Betriebsverfassungsrechts.34 Hinzu kommt, dass die Vorschriften des BetrVG regelmäßig nicht den von Art. 88 Abs. 1, Abs. 2 DSGVO aufgestellten inhaltlichen Anforderungen genügen.35 Daher können betriebsverfassungsrechtliche Normen nicht als inhaltliche Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel verstanden werden, sodass ihnen keine Vorrangstellung im Verhältnis zu konkurrierenden Vorschriften der DSGVO zukommen kann. Dies bedeutet jedoch nicht, dass die Vorschriften des BetrVG in datenschutzrechtlichen Fragestellungen überhaupt nicht zur Anwendung kommen können. Denn dort, wo spezifischere nationale Regelungen, die in Ausgestaltung einer Öffnungsklausel geschaffen worden sind – d. h. für den Beschäftigtendatenschutz im Anwendungsbereich des § 26 BDSG – den Vorschriften der DSGVO vorgehen, können andere nationale Normen – und damit auch das BetrVG – zum Zuge kommen, wenn sie ihrerseits aufgrund einer im nationalen Recht enthaltenen Kollisionsregel wiederum § 26 BDSG verdrängen. Dies darf indes nicht darüber hinwegtäuschen, dass nationale Kollisionsregeln auch allein das Verhältnis zweier nationaler Vorschriften betreffen und im Verhältnis von DSGVO und BetrVG nicht herangezogen werden können.36 Rechtssystematisch kann das BetrVG daher jedenfalls keinen unmittelbaren Vorrang gegenüber den Vorschriften der DSGVO beanspruchen, eine generelle Vorrangstellung des Betriebsverfassungsrechts oder einzelner seiner Vorschriften besteht im Verhältnis zur DSGVO nicht. Eine abweichende Beurteilung wäre mit der von Art. 288 Abs. 2 S. 2 AEUV angeordneten unmittelbaren Geltung der DSGVO und dem Anwendungsvorrang des Unionsrechts unvereinbar.
31 Kort, RDV 2012, 8; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 41. 32 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 189; Wybitul, ZD 2016, 203, 206; weniger streng Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 91. 33 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 227. 34 Zum Grundgedanken, der der betrieblichen Mitbestimmung zugrunde liegt, s. BT-Drs. VI/334, S. 56 ff.; ErfK/Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 1. 35 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 190; Lücke, NZA 2019, 658, 662; sowie Böhm, NZA-RR 2019, 530, 532 in Bezug auf § 80 Abs. 2 S. 2 Hs. 2 BetrVG. 36 Ehmann/Selmayr/Selk, 2. Aufl. 2018 Art. 88 DSGVO Rn. 188; eine Vorrangstellung anderer Rechtsvorschriften gegenüber der DSGVO wäre wegen Art. 288 Abs. 2 AEUV auch nicht begründbar, s. Wybitul, NZA 2017, 413, 418.
72
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
2. Das Verhältnis von BDSG und Betriebsverfassungsrecht Auf nationaler Ebene stehen sich BDSG und BetrVG gegenüber. Dieser Gemengelage hat der deutsche Gesetzgeber durch § 1 Abs. 2 S. 1 BDSG Rechnung getragen, der bestimmt: „Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor“. Einschränkend sieht § 1 Abs. 2 S. 2 BDSG jedoch vor, dass die Subsidiaritätsanordnung des § 1 Abs. 2 S. 1 BDSG ausnahmsweise nicht eingreift, soweit die jeweils konkurrierende Vorschrift den Sachverhalt, für den grundsätzlich sowohl das BDSG als auch die bereichsspezifische Norm gelten, „nicht oder nicht abschließend“ regelt. Denn der Gesetzgeber wollte zwar den Charakter des BDSG als Auffanggesetz erhalten, spezifischeren Bundesgesetzen allerdings zugleich nur Vorrang einräumen, soweit sie tatsächlich denselben Tatbestand regeln wie die jeweils konkurrierende Norm des BDSG.37 Ein Rückgriff auf dessen Vorschriften wird durch eine spezialgesetzliche Regelung daher nur ausgeschlossen, sofern diese eine Vollregelung des jeweiligen Verarbeitungsvorgangs enthält,38 und damit in diesem Bereich eine vollständige Tatbestandskongruenz besteht.39 Denn nur in diesem Fall regelt die jeweilige spezialgesetzliche Norm die Verarbeitung personenbezogener Daten in Bezug auf einen konkreten Bereich ebenso umfassend und abschließend wie das BDSG, sodass für dieses letztlich kein Anwendungsbereich mehr verbleibt.40 Allgemein liegt Tatbestandskongruenz vor, wenn die jeweilige bereichsspezifische Regelung eine konkrete Aussage über die Art der zu verarbeitenden Daten, den Zweck, sowie Art und Weise der Datenverarbeitung trifft.41 Nicht ausreichend ist indes, dass die Vorschrift abstrakt eine Aufgabe oder Pflicht beschreibt, zu deren Erfüllung die Verarbeitung personenbezogener Daten lediglich logische Voraussetzung ist.42 Ebenfalls zu weit gefasst wäre es, einer Norm den Vorrang gegenüber konkurrierenden Vorschriften des BDSG zuzusprechen, wenn sie zwar über eine bloße Aufgabenzuweisung hinausgeht, indem sie ausdrücklich einen Informationsfluss regelt, aber dennoch keine Konkretisierung hinsichtlich der Art der zu verarbeitenden Informationen sowie Art und Weise der Informationsübermittlung enthält.43 Dieses enge Verständnis rechtfertigt sich durch einen Blick auf die Rechtsprechung des BVerfG. Demnach bedarf jede Beschränkung des durch Art. 2 37
BT-Drs. 18/11325, S. 79; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1646; zum Charakter als Auffanggesetz s. Gola, BB 2017, 1462, 1463. 38 BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 81. 39 Zum insofern übereinstimmenden § 1 Abs. 3 S. 1 BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 Rn. 170. 40 BT-Drs, 18/11325, S. 79. 41 Gola, BB 2017, 1462, 1463 und 1465; so auch schon zu § 1 Abs. 3 BDSG a. F. Jordan/ Bissels/Löw, BB 2010, 2889, 2890. 42 Gola, BB 2017, 1462, 1463; ebenso Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 11. 43 So jedoch Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 11.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
73
Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG geschützten Rechts auf informationelle Selbstbestimmung einer gesetzlichen Grundlage, aus der sich Vorrausetzungen und Umfang der Grundrechtsbeschränkung klar und insbesondere auch für den Bürger eindeutig ergeben.44 Übertragen auf den Bereich des Datenschutzes bedeutet dies: Der Betroffene muss einerseits erkennen können, unter welchen Voraussetzungen ihn betreffende Informationen verarbeitet werden dürfen und andererseits auch den Ablauf des durch die jeweilige Norm zugelassenen Datenverarbeitungsprozesses sowie seinen Umfang einschätzen können.45 Der zulässige Umfang einer Datenverarbeitung ist indes jedenfalls dann nicht eindeutig erkennbar, wenn der Betroffene nicht ersehen kann, welche konkreten personenbezogenen Informationen von einer Erlaubnisnorm umfasst sind. Sind die dargestellten Anforderungen nicht erfüllt, genügt die jeweilige Norm nicht den verfassungsrechtlichen Bestimmtheitsanforderungen.46 Zwar kann im Einzelfall ausreichen, dass sich diese Punkte durch Auslegung der jeweils in Rede stehenden bereichsspezifischen Norm ermitteln lassen,47 unerlässlich ist jedoch, dass dies zu einer sicheren und für den Betroffenen eindeutigen Beantwortung der Frage nach der Art der zu verarbeitenden Daten sowie der Art und Weise des Verarbeitungsvorgangs führt. Im Rahmen des Beschäftigtendatenschutzes kann es dabei insbesondere zu einer Kollision von § 26 BDSG mit den Regelungen des Betriebsverfassungsrechts kommen. Auch Bestimmungen des BetrVG können jedoch angesichts der dargelegten Grundsätze nur dann eine Vorrangstellung gegenüber konkurrierenden Regelungen des BDSG einnehmen, wenn sie eine Tatbestandskongruenz zu diesen aufweisen.48 Nicht in Betracht kommt daher, das BDSG allgemein als subsidiär gegenüber den betriebsverfassungsrechtlichen Vorschriften einzuordnen.49 Vielmehr muss jede Norm des BetrVG mit datenschutzrechtlichem Bezug daraufhin hinterfragt werden, ob sie tatsächlich als vorrangige Spezialregelung gegenüber den Vorschriften des BDSG anzusehen ist. Ist dies der Fall, so können Normen des BetrVG eigenständige datenschutzrechtliche Erlaubnistatbestände enthalten und somit den für den Beschäftigungskontext maßgeblichen § 26 BDSG verdrängen. In Anwendung vorstehender Grundsätze genügt allerdings nicht, dass das BetrVG dem Betriebsrat lediglich eine Aufgabe zuweist, zu deren Erfüllung die Verarbeitung personenbezogener Daten logisch notwendig ist.50 Erforderlich ist vielmehr, dass sich aus dem BetrVG konkrete Verpflichtungen oder Befugnisse des Betriebsrats zur 44
BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422. BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1. 46 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1. 47 Gola, BB 2017, 1462, 1465. 48 Düwell/Brink, NZA 2017, 1081, 1085; übereinstimmend zur Regelung des § 1 Abs. 3 BDSG a. F. Gola/Pötters, RDV 2017, 111, 113; Kort, RDV 2012, 8, 9. 49 So zu § 1 Abs. 3 BDSG a. F. Forgó/Helfrich/Schneider/Helfrich, 2. Aufl. 2017, Teil IV, Kapitel 3 Rn. 15; Kort, RDV 2012, 8, 9; Trittin/Fischer, NZA 2009, 343, 345. 50 Gola, BB 2017, 1462, 1464; zu § 1 Abs. 3 BDSG a. F. Jordan/Bissels/Löw, BB 2010, 2889, 2891. 45
74
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
Verarbeitung bestimmter Arten personenbezogener Daten der Beschäftigten ergeben51 und, dass Art und Weise des jeweiligen Datenverarbeitungsvorgangs konkret vorgegeben werden.52 Auf welche Vorschriften des BetrVG dies zutrifft, gilt es nachfolgend herauszuarbeiten. a) Untersuchung der Vorrangstellung einzelner Vorschriften des BetrVG gegenüber dem BDSG Die Beantwortung der Frage, welchen bereichsspezifischen datenschutzrechtlichen Vorschriften des BetrVG Vorrang im Verhältnis zu § 26 BDSG zukommt, soll systematisch erfolgen. Dabei werden zunächst die Beteiligungsrechte des Betriebsrats thematisiert, anschließend seine Informationsrechte näher betrachtet und schließlich seine Geheimhaltungspflichten zum Gegenstand der Untersuchung gemacht. Im Einzelnen muss stets hinterfragt werden, ob die jeweilige Norm konkrete Befugnisse in Bezug auf bestimmte Arten personenbezogener Daten der Beschäftigten festlegt sowie Art und Weise der Verarbeitung regelt. aa) Mitbestimmungs- und Mitwirkungsrechte des Betriebsrats als vorrangige Regelungen Das BetrVG weist dem Betriebsrat im Rahmen der ihm zustehenden Mitbestimmungsrechte zahlreiche Aufgaben zu, die zwar regelmäßig die Notwendigkeit einer Datenverarbeitung implizieren, diese aber nicht ausdrücklich regeln.53 Enthält eine Vorschrift solche Konkretisierungen nicht, so genügt sie auch nicht den Anforderungen von § 1 Abs. 2 S. 2 BDSG und kann mithin keine Subsidiarität des BDSG begründen.54 Für das Konkurrenzverhältnis zwischen § 89 Abs. 1 S. 2 BetrVG und den Vorschriften des BDSG a. F. hat die Rechtsprechung dies in der Vergangenheit ausdrücklich klargestellt: Die Norm verpflichte den Betriebsrat zwar zur Unterstützung außerbetrieblicher Stellen bei der Bekämpfung von Unfall- und Gesundheitsgefahren, jedoch regele sie diese Unterstützungspflicht allein in Form einer Generalklausel, ohne die Art der zu verarbeitenden Daten und den Zweck ihrer Verarbeitung näher zu bestimmen.55 Nichts anderes gilt im Hinblick auf die übrigen Mitwirkungsrechte des Betriebsrats: So weist § 80 Abs. 1 Nr. 1 BetrVG ihm die allgemeine Aufgabe zu, über die Einhaltung der zugunsten der Arbeitnehmer gel51
Gola, BB 2017, 1462, 1464; Gola/Pötters, RDV 2017, 111, 113. Gola, BB 2017, 1462, 1465; Gola/Pötters, RDV 2017, 111, 113; i. E. ebenso Düwell/ Brink, NZA 2017, 1081, 1085. 53 Für die Aufgabenwahrnehmung im Allgemeinen HWGNRH/Nicolai, BetrVG, 10. Aufl. 2018, § 80 Rn. 2; für die Mitbestimmung in personellen Angelegenheiten Forgó/Helfrich/ Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 30 ff. 54 So zum Verhältnis des BDSG a. F. und des BetrVG Wronka, RDV 2012, 277, 278. 55 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1; zust. Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 11. 52
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
75
tenden Gesetze – und damit auch der DSGVO56 und des BDSG57 – zu wachen. Konkrete inhaltliche Vorgaben, welche Maßnahmen der Betriebsrat zur Wahrnehmung der ihm zugewiesenen Aufgabe ergreifen darf und in welchem Umfang er dazu personenbezogene Daten verarbeiten kann, macht die Norm hingegen nicht. Auch § 87 Abs. 1 Nr. 6 BetrVG, der wegen des großen Umfangs, in dem technische Einrichtungen im modernen Arbeitsleben eingesetzt werden, erhebliche praktische Bedeutung hat,58 enthält keine entsprechenden Vorgaben.59 Übertragen lassen sich diese Erwägungen letztlich auf sämtliche Mitwirkungs- und Mitbestimmungsrechte des Betriebsrats. Keine der betreffenden Normen enthält eine Regelung zu den konkreten Datenverarbeitungsbefugnissen des Betriebsrats. Es fehlt sowohl an einer näheren Bestimmung der Art der zulässigerweise zu verarbeitenden Daten als auch an einer Eingrenzung hinsichtlich Art und Weise der Verarbeitung. Daher können die Mitwirkungs- und Mitbestimmungstatbestände des BetrVG nicht als vorrangige Sonderregelungen eingeordnet werden, sondern ergänzen vielmehr lediglich den individualrechtlichen Beschäftigtendatenschutz des § 26 BDSG.60 bb) Informationsansprüche des Betriebsrats als vorrangige Regelungen Deutlich differenzierter muss hingegen die Betrachtung der Informations- und Unterrichtungsrechte des Betriebsrats ausfallen. Im Vordergrund steht dabei zunächst der Informationsanspruch des § 80 Abs. 2 BetrVG, bei dessen rechtlicher Beurteilung zwingend zwischen den verschiedenen Varianten der Vorschrift unterschieden werden muss.61 Denn die Norm enthält zunächst zwei allgemeine Informationsansprüche, die vorsehen, dass der Betriebsrat „zur Durchführung seiner Aufgaben […] rechtzeitig und umfassend vom Arbeitgeber zu unterrichten ist“ (§ 80 Abs. 2 S. 1 Hs. 1 BetrVG) und ihm „auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen“ sind (§ 80 Abs. 2 S. 2 Hs. 1 BetrVG). Sie verpflichten den Arbeitgeber pauschal zur 56 Althoff, ArbRAktuell 2018, 414, 416; Dzida, BB 2018, 2677; Fitting, 30. Aufl. 2020, § 80 Rn. 7 und § 83 Rn. 18; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16: Kort, ZD 2017, 3, 5; Schulz, ZESAR 2017, 270, 278. 57 DKW/Buschmann, BetrVG, 17. Aufl. 2020, § 80 Rn. 14; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 3; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16; HWGNRH/Nicolai, BetrVG, 10. Aufl. 2018, § 80 Rn. 13; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 10; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 233; zum BDSG a. F. vgl. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747 Ls. 1; Trittin/Fischer, NZA 2009, 343, 345. 58 Forgó/Helfrich/Schneider/Selk, 3. Aufl. 2019, Teil V, Kapitel 3 Rn. 36; MHdB ArbR/ Salamon, 4. Aufl. 2018, § 325 Rn. 2; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 488; kritisch HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 87 Rn. 346, der die Regelung als „zu Unrecht zu einer zentralen Schutznorm“ aufgewertet sieht. 59 Trittin/Fischer, NZA 2009, 343, 345. 60 Ebenso Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 73. 61 Ebenso Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 12.
76
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
Weitergabe derjenigen Informationen, die zur Aufgabenwahrnehmung durch den Betriebsrat erforderlich sind, treffen jedoch keine Aussage zu der Frage, welche Daten dies konkret erfasst – insbesondere inwiefern sich die Befugnis zur Weitergabe auch auf besondere Kategorien personenbezogener Daten bezieht – und wie die Datenweitergabe zu erfolgen hat.62 Damit sind die Vorschriften zu allgemein gefasst, um den Anforderungen von § 1 Abs. 2 S. 2 BDSG zu genügen.63 Anders zu bewerten ist demgegenüber § 80 Abs. 2 S. 2 Hs. 2 BetrVG. Zwar lehnt das BAG eine auf § 1 Abs. 2 S. 1 BDSG gestützte Vorrangstellung von § 80 Abs. 2 S. 2 Hs. 2 BetrVG ab.64 Dies ist jedoch schlichtweg darauf zurückzuführen, dass das Gericht auf jegliche inhaltliche Auseinandersetzung mit der Norm im Hinblick auf die Anforderungen des § 1 Abs. 2 S. 2 BDSG verzichtet. Vielmehr verweist es pauschal auf seine bisherige Rechtsprechung.65 Denn § 26 BDSG führe nach dem Willen des Gesetzgebers § 32 BDSG fort, der ebenfalls nicht durch § 80 Abs. 2 S. 2 Hs. 2 BetrVG verdrängt worden sei.66 Dass es sich bereits im Hinblick auf das Verhältnis von § 32 BDSG und § 80 Abs. 2 S. 2 Hs. 2 BetrVG nicht umfassend mit den inhaltlichen Voraussetzungen einer etwaigen Tatbestandskongruenz beschäftigt hatte, übergeht das Gericht. Bei näherer Betrachtung wird indes deutlich: § 80 Abs. 2 S. 2 Hs. 2 BetrVG berechtigt den Betriebsrat „in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen“. Die Vorschrift legt damit einerseits die Art und Weise der Datenweitergabe an den Betriebsrat eindeutig fest, indem ihm lediglich ein Recht zur Einsichtnahme gewährt, im Umkehrschluss eine dauerhafte Speicherung der Informationen seitens des Betriebsrats jedoch ausgeschlossen wird.67 Andererseits wird dem Betriebsrat ein Recht zur Einsichtnahme nur in Bezug auf Lohn- und Gehaltsdaten eingeräumt, womit § 80 Abs. 2 S. 2 Hs. 2 BetrVG das Informationsrecht auf bestimmte Arten personenbezogener Daten beschränkt.68 Angesichts dieser konkreten Bestimmung der Art der Informationen, die dem Betriebsrat zulässigerweise offenbart werden dürfen, sowie der genauen Festlegung von Art und Weise des 62 Gola, BB 2017, 1462, 1465; Gola/Pötters, RDV 2017, 111, 114; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 12; Jordan/ Bissels/Löw, BB 2010, 2889, 2891; Wronka, RDV 2012, 277, 278. 63 Jordan/Bissels/Löw, BB 2010, 2889, 2891; anders für § 80 Abs. 2 S. 1 Hs. 1 BetrVG Lelley/Bruck/Yildiz, BB 2018, 2164, 2172. 64 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 38; so wohl auch schon zur alten Rechtslage BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/22, NZA 2014, 738 Rn. 28; zust. Böhm, NZA-RR 2019, 530, 532. 65 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 38 mit Verweis auf BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/22, NZA 2014, 738 Rn. 28. 66 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 38. 67 Jordan/Bissels/Löw, BB 2010, 2889, 2891. Zur Unzulässigkeit der dauerhaften Überlassung der Informationen an den Betriebsrat BAG, Beschl. v. 3. 12. 1981 – 6 ABR 8/80, AP BetrVG 1972 § 80 Nr. 17; BAG, Beschl. v. 15. 6. 1976 – 1 ABR 116/74, AP BetrVG 1972 § 80 Nr. 9; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 76. 68 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 12; Jordan/Bissels/Löw, BB 2010, 2889, 2891; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
77
Umgangs mit den jeweiligen Daten, ist § 80 Abs. 2 S. 2 Hs. 2 BetrVG als vorrangige Spezialregelung i. S. v. § 1 Abs. 2 S. 1, 2 BDSG anzusehen.69 Auch die weiteren betriebsverfassungsrechtlichen Informationsansprüche bedürfen einer näheren Betrachtung, wobei Maßstab für die Beantwortung der Frage, ob diese Normen hinreichend konkret die Art der personenbezogenen Daten, den Zweck, sowie Art und Weise der Verarbeitung regeln, ein Vergleich mit § 80 Abs. 2 S. 2 Hs. 2 BetrVG sein kann. Vor diesem Hintergrund ist auch § 99 Abs. 1 S. 1 BetrVG als vorrangige Regelung im Verhältnis zu den in § 26 BDSG enthaltenen Erlaubnistatbeständen einzuordnen.70 Die Norm bestimmt, dass der „Arbeitgeber den Betriebsrat vor jeder Einstellung, Eingruppierung, Umgruppierung und Versetzung zu unterrichten, ihm die erforderlichen Bewerbungsunterlagen vorzulegen und Auskunft über die Person der Beteiligten zu geben [hat]“. Insofern ist einerseits die Art der weiterzuleitenden Daten eindeutig bestimmt: Sie bezieht sich auf jene Angaben zur Person des Beteiligten, die für die Entscheidung des Betriebsrats von Bedeutung sind, sowie auf dessen Bewerbungsunterlagen.71 Dadurch wird insbesondere die Weitergabe von Informationen ausgeschlossen, die für die Auswahlentscheidung irrelevant sind.72 Andererseits ist auch die Art und Weise der Informationsweitergabe auf eine bloße Vorlage beschränkt, sodass zwar eine Aushändigung der Informationen bis zur Beschlussfassung durch den Betriebsrat erforderlich, eine dauerhafte Überlassung hingegen unzulässig ist.73 Damit geht die Vorschrift über die bloß ausdrückliche Normierung einer Informationsweitergabe an den Betriebsrat hinaus, indem sie auch die Art der weiterzuleitenden Daten eingrenzt, sowie Art und Weise der Informationsübermittlung auf die bloße Vorlage beschränkt. Sie genügt somit ebenfalls den Anforderungen des § 1 Abs. 2 S. 2 BetrVG und kann eine Subsidiarität der Erlaubnistatbestände des § 26 BDSG begründen. Betrachtet man unter den dargelegten Kriterien die übrigen durch das BetrVG normierten Informationsansprüche, wird jedoch offenkundig, dass die jeweiligen Vorschriften jedenfalls einen der wesentlichen Punkte nicht hinreichend konkret regeln. Dies gilt ohne jeden Zweifel für jene Normen, die dem Betriebsrat zwar einen Informationsanspruch zubilligen, allerdings nicht ausdrücklich die Übermittlung von Beschäftigtendaten zulassen, sondern lediglich die Notwendigkeit der Weiter69 Ebenso Gola, BB 2017, 1462, 1465; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1647; Gola/Pötters, RDV 2017, 111, 113; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 12; Jordan/Bissels/Löw, BB 2010, 2889, 2891; so zu § 1 Abs. 3 S. 1 BDSG a. F. Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 113. 70 Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1650; Gola/Pötters, RDV 2017, 111, 114; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; so zum BDSG a. F. Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 114. 71 Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 174; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 164, 166. 72 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 166. 73 BAG, Beschl. v. 3. 12. 1985 – 1 ABR 72/83, NZA 1986, 335; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 181; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 172.
78
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
leitung personenbezogener Daten implizieren. Beispielhaft können § 90 Abs. 1 Nr. 3 und Nr. 4 BetrVG ebenso wie § 92 Abs. 1 S. 1 BetrVG angeführt werden. Lässt eine Vorschrift nicht ausdrücklich die Weitergabe personenbezogener Informationen der Belegschaft an den Betriebsrat zu, sondern setzt diese lediglich konkludent voraus, so enthält sie bereits keine explizite Aussage hinsichtlich der grundsätzlichen Zulässigkeit der Weitergabe von Beschäftigtendaten, sodass es selbstverständlich auch an einer Konkretisierung der Frage, welche Arten von Daten der Beschäftigten tatsächlich auf Grundlage der jeweiligen Vorschrift übermittelt werden dürfen, fehlt. Schon unter diesem Gesichtspunkt sind die genannten Normen daher zu allgemein gefasst, um eine vorrangige Regelung i. S. d. § 1 Abs. 2 BDSG darstellen zu können. Jedoch darf nicht außer Acht gelassen werden, dass auch zahlreiche Vorschriften zwar eine ausdrückliche Regelung zur Informationsweitergabe an den Betriebsrat enthalten, aber dennoch keine hinreichend konkrete Aussage über die zulässige Form der Weitergabe personenbezogener Daten an den Betriebstrat treffen. Dies gilt beispielsweise im Rahmen von § 102 Abs. 1 S. 2 BetrVG, der den Arbeitgeber verpflichtet, dem Betriebsrat die Gründe für den Ausspruch einer Kündigung mitzuteilen. Die Wendung „mitzuteilen“ sagt nichts darüber aus, in welcher Form die Weiterleitung der konkreten Informationen zu erfolgen hat.74 Dies zeigt insbesondere ein Vergleich mit der Formulierung des – den Anforderungen von § 1 Abs. 2 S. 2 BDSG entsprechenden – § 99 Abs. 1 S. 1 BetrVG, der vorgibt, dass die Unterrichtungspflicht des Arbeitgebers nur durch die Vorlage bestimmter Unterlagen erfüllt werden kann.75 Eine entsprechende Konkretisierung der von § 102 Abs. 1 S. 2 BetrVG normierten Mitteilungspflicht fehlt indes im Gesetzestext. Um ein auf § 102 Abs. 1 S. 2 BetrVG gestütztes Informationsverlangen zu erfüllen, ist der Arbeitgeber zwar nicht verpflichtet, dem Betriebsrat Unterlagen vorzulegen,76 allerdings handelt es sich im Rahmen von § 102 Abs. 1 S. 2 BetrVG gerade um ein nicht formalisiertes Verfahren,77 sodass eine Vorlage von Unterlagen zumindest auch nicht ausgeschlossen ist. Damit sind Art und Weise der Informationsweitergabe deutlich weniger konkret geregelt, als im Rahmen von § 99 Abs. 1 S. 1 BetrVG.78 Ein klares Bild der zulässigen Art und Weise der Verarbeitung von personenbezogenen Daten lässt sich auch durch eine Auslegung der Vorschrift nicht zeichnen. Daher genügt die
74
So kann die Mitteilung der beabsichtigten Kündigung mündlich oder schriftlich erfolgen, BAG, Urt. v. 23. 6. 2009 – 2 AZR 474/07, NZA 2009, 1136, 1140 Rn. 34; BAG, Urt. v. 23. 10. 2008 – 2 AZR 163/07, AP KSchG 1969 § 1 Namensliste Nr. 18 Rn. 18; es handelt sich nach Ansicht der Rechtsprechung um ein „nicht formalisiertes Verfahren“, s. BAG, Urt. v. 26. 1. 1995 – 2 AZR 386/94, NZA 1995, 672, 674; Fitting, BetrVG, 30. Aufl. 2020, § 102 Rn. 21. 75 Zur Frage der Vorlage von Unterlagen trifft § 102 BetrVG indes gerade keine Aussage, s. Fitting, BetrVG, 30. Aufl. 2020, § 102 Rn. 26. 76 BAG, Urt. v. 26. 1. 1995 – 2 AZR 386/94, NZA 1995, 672, 674; ErfK/Kania, 20. Aufl. 2020, § 102 BetrVG Rn. 4. 77 BAG, Urt. v. 26. 1. 1995 – 2 AZR 386/94, NZA 1995, 672, 674. 78 A. A. Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 114.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
79
Norm nicht den Anforderungen von § 1 Abs. 2 S. 2 BDSG.79 Angesichts der gleichlautenden Formulierung beider Vorschriften treffen diese Erwägungen ebenso auf § 105 BetrVG zu. Die genannten Bedenken lassen sich auf sämtliche übrige Informationsansprüche des Betriebsrats übertragen: Setzt ein Informationsanspruch zwar die Weitergabe personenbezogener Daten an den Betriebsrat voraus, trifft diesbezüglich jedoch keine ausdrückliche Regelung, kann die jeweilige Vorschrift bereits aus diesem Grund keine vorrangige Spezialregelung darstellen. Auch sofern diese Voraussetzung erfüllt ist, fehlt es den betriebsverfassungsrechtlichen Informationsansprüchen zudem an einer konkreten Festlegung der Art und Weise der Informationsübermittlung. Eine Ausnahme bilden allein § 80 Abs. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG, die beide Kriterien erfüllen und damit eigenständige datenschutzrechtliche Erlaubnistatbestände darstellen. Sie enthalten eine bereichsspezifische Vollregelung der jeweiligen Verarbeitungssituation, sodass sie in ihrem Anwendungsbereich einen Rückgriff auf die in § 26 BDSG enthaltenen Erlaubnistatbestände ausschließen. Im Übrigen kommt den Informationsansprüchen des BetrVG keine subsidiaritätsbegründende Wirkung zu. Im Rahmen des Beschäftigtendatenschutzes bleiben daher – bis auf die genannten Ausnahmen – die in § 26 BDSG genannten Rechtfertigungstatbestände maßgeblich, auch sofern es um die Weitergabe personenbezogener Daten zur Erfüllung von Rechten und Pflichten des Betriebsrats geht.80 Ungeachtet dessen gilt: Genügt ein betriebsverfassungsrechtlicher Informationsanspruch nicht den Anforderungen des § 1 Abs. 2 S. 2 BDSG, sodass er keine Vorrangstellung gegenüber § 26 BDSG beanspruchen kann, hat dies allein zur Folge, dass die Zulässigkeit des Datenverarbeitungsvorgangs im Verhältnis zum Betroffenen an den von § 26 BDSG normierten Erlaubnistatbeständen zu messen ist.81 Dies führt jedoch nicht dazu, dass der Informationsanspruch des Betriebsrats unterlaufen würde, denn die Unterrichtungspflicht des Arbeitgebers gegenüber dem Betriebsrat bleibt unberührt, die konkrete Informationsübermittlung muss sich jedoch an den von § 26 BDSG vorgegebenen Kriterien messen lassen.82 cc) Verschwiegenheitspflichten des Betriebsrats als vorrangige Regelungen Wirft man einen Blick auf die durch das BetrVG normierten Verschwiegenheitspflichten des Betriebsrats, so muss zunächst festgestellt werden, dass diese im Gegensatz zu dessen Informationsrechten gerade keinen Erlaubnis-, sondern einen ausdrücklichen Verbotstatbestand für die Verarbeitung personenbezogener Daten beinhalten. Sie treten daher lediglich in mittelbare Konkurrenz zu den in § 26 BDSG 79
A. A. Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/ § 26 BDSG Rn. 11, die ausreichen lassen wollen, dass § 102 Abs. 1 S. 2 BetrVG unmittelbar einen Informationsfluss regelt. 80 Gola/Pötters, RDV 2017, 111, 112; Pötters/Gola, RDV 2017, 279, 281. 81 Wronka, RDV 2012, 277, 278. 82 Wronka, RDV 2012, 277, 278.
80
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
enthaltenen Rechtfertigungstatbeständen, indem sie die Frage aufwerfen, inwieweit eine Datenverarbeitung trotz des Bestehens einer spezialgesetzlichen Verschwiegenheitspflicht auf Grundlage eines in § 26 BDSG normierten Erlaubnistatbestands zulässig sein kann. Diese Problematik ergibt sich indes erst in einem zweiten Schritt, im Vordergrund steht vielmehr die Frage nach der Konkurrenz von betriebsverfassungsrechtlichen und datenschutzrechtlichen Verschwiegenheitspflichten. Zwar enthält das neu gefasste BDSG keine spezifische, für den Bereich des Beschäftigtendatenschutzes anzuwendende Geheimhaltungspflicht mehr,83 wie sie noch in § 5 BDSG a. F. vorgesehen war.84 Die betriebsverfassungsrechtlichen Verschwiegenheitspflichten können daher lediglich in Konkurrenz zu dem allgemeinen Verbot der Verarbeitung personenbezogener Daten treten, das in Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 DSGVO ausdrücklich normiert ist und für den Bereich des Beschäftigtendatenschutzes durch die in § 26 BDSG enthaltenen Erlaubnistatbestände konkludent aufgegriffen wird.85 Zwar ergibt sich das allgemeine Verarbeitungsverbot damit originär aus der DSGVO. Da es jedoch im Rahmen der Rechtfertigungstatbestände des § 26 BDSG übernommen wird, die für den Bereich des Beschäftigtendatendatenschutzes auf Grundlage von Art. 88 Abs. 1 DSGVO als speziellere Regelung etwaigen konkurrierenden Normen der DSGVO vorgehen,86 erhält das Verbot der Verarbeitung personenbezogener Beschäftigtendaten eine Grundlage im nationalen Recht. Damit wird die Frage nach der Konkurrenz zu bereichsspezifischen Verschwiegenheitspflichten zu einem Problem des nationalen Rechts, das durch § 1 Abs. 2 BDSG aufgelöst wird. Aus welcher Norm eine Verschwiegenheitspflicht des Betriebsrats folgt, erscheint auf den ersten Blick zwar als rein dogmatisches Problem. Dies ist jedoch zu kurz gedacht, denn praktisch relevant wird die Frage jedenfalls dann, wenn die Verschwiegenheitspflichten des BetrVG restriktiver sind als das in den Erlaubnistatbeständen des § 26 BDSG aufgegriffene allgemeine Verarbeitungsverbot. Denn in einem solchen Fall kann eine auf Grundlage von § 26 BDSG grundsätzlich erlaubte Datenverarbeitung mit Blick auf die jeweilige spezialgesetzliche Verschwiegenheitspflicht des BetrVG unzulässig 83 Insbesondere begründet auch § 29 BDSG keine eigenständige Geheimhaltungspflicht, sondern findet nur in dem Fall Anwendung, dass sich bereits aus einer anderen Rechtsvorschrift oder aufgrund des Wesens der Information, insbesondere aufgrund eines überwiegenden Interesses eines Dritten, eine Geheimhaltungspflicht ergibt, s. auch Gola/Heckmann/Lapp, 13. Aufl. 2019, § 29 BDSG Rn. 1. 84 Zwar findet sich eine auf § 5 BDSG a. F. Bezug nehmende Regelung nunmehr in § 53 BDSG. Dieser findet jedoch gem. § 45 BDSG lediglich Anwendung auf eine Datenverarbeitung durch öffentliche Stellen. Durch den Wegfall einer § 5 BDSG a. F. entsprechenden Regelung hat sich auch die in der Vergangenheit kontrovers diskutierte Frage erübrigt, inwiefern der Betriebsrat auf das sich aus der Vorschrift ergebende Datengeheimnis verpflichtet ist, vgl. Linnenkohl, NJW 1981, 201, 207; ausführlich zu dessen Verhältnis zum BetrVG Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 122 ff. 85 Gola/Heckmann/Gola, 13. Aufl. 2019, § 26 BDSG Rn. 3. 86 Zum komplexen Verhältnis der DSGVO und des BetrVG zueinander s. Gliederungspunkt B. II. 1.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
81
sein,87 sofern die betriebsverfassungsrechtliche Geheimhaltungspflicht abschließend ist und damit nicht durch Rückgriff auf einen Erlaubnistatbestand des § 26 BDSG durchbrochen werden kann. Inwiefern das BetrVG solche vorrangigen Geheimhaltungspflichten enthält und inwieweit diese einen Rückgriff auf die Erlaubnistatbestände des § 26 BDSG tatsächlich ausschließen, gilt es daher herauszuarbeiten. (1) Dogmatische Grundlage der Vorrangstellung der betriebsverfassungsrechtlichen Verschwiegenheitspflichten In einem ersten Schritt ist zu klären, auf welche dogmatische Grundlage eine etwaige subsidiaritätsbegründende Wirkung betriebsverfassungsrechtlicher Verschwiegenheitspflichten gestützt werden kann. Neben § 1 Abs. 2 S. 1 BDSG kommt auch § 1 Abs. 2 S. 3 BDSG in Betracht, der ausdrücklich anordnet, dass spezialgesetzliche Geheimhaltungspflichten sowie sonstige Berufs- oder besondere Amtsgeheimnisse durch die Vorschriften des BDSG „unberührt“ bleiben. Geheimhaltungspflichten in diesem Sinne sind dabei alle außerhalb des BDSG gesetzlich normierten Verschwiegenheitspflichten.88 Beziehen diese sich auf personenbezogene Daten, so treten sie in Konkurrenz zu der allgemeinen Verschwiegenheitspflicht des BDSG.89 Trotz des insofern missverständlichen Wortlauts der Norm sind auch Berufs- und Amtsgeheimnisse als Geheimhaltungspflichten einzuordnen, sofern sie außerhalb des BDSG eine ausdrückliche Normierung erfahren haben.90 Soweit das BetrVG dem Betriebsrat eine besondere Geheimhaltungspflicht in Bezug auf personenbezogene Beschäftigtendaten auferlegt, stellt dies daher eine spezialgesetzliche Verschwiegenheitspflicht i. S. v. § 1 Abs. 2 S. 3 BDSG dar. Allerdings muss auch das Verhältnis von § 1 Abs. 2 S. 1 BDSG und § 1 Abs. 2 S. 3 BDSG geklärt werden. Denn § 1 Abs. 2 S. 3 BDSG ist als Ausprägung des durch § 1 Abs. 2 S. 1 BDSG angeordneten Subsidiaritätsgrundsatzes zu verstehen.91 Er wiederholt mithin nicht lediglich die Subsidiaritätsanordnung des § 1 Abs. 2 S. 1 BDSG,92 sondern modifiziert sie vielmehr. Eine Subsidiaritätsanordnung, die gleichzeitig einen Rückgriff auf die Vorschriften des BDSG ausschließt, besteht nämlich gem. § 1 Abs. 2 S. 2 BDSG nur für solche Normen, die einen Sachverhalt, 87 So schon zu spezialgesetzlichen Verschwiegenheitspflichten unter dem BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 BDSG Rn. 186. 88 BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 85; Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 13; zu § 1 Abs. 3 S. 2 BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 BDSG Rn. 180. 89 BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 85. 90 Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 13; zu § 1 Abs. 3 S. 2 BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 BDSG Rn. 177; a. A. wohl BeckOK DatenschutzR/Gusy/ Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 85. 91 Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 12. 92 So wohl BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 83 und Paal/Pauly/Ernst, 2. Aufl. 2018, § 1 BDSG Rn. 9.
82
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
für den sowohl das BDSG als auch die konkurrierende spezialgesetzliche Regelung gelten, abschließend regeln. Will man die Anordnung des § 1 Abs. 2 S. 3 BetrVG, dass gesetzliche Verschwiegenheitspflichten „unberührt“ bleiben, nicht zu einer inhaltsleeren Floskel verkommen lassen,93 so muss der abweichenden Wortwahl Bedeutung zugemessen werden.94 Dem wird allein folgendes Verständnis gerecht: Normiert eine spezialgesetzliche Vorschrift eine für einen bestimmten Sachverhalt abschließende Verschwiegenheitspflicht, so findet der Subsidiaritätsgrundsatz des § 1 Abs. 2 S. 1 BDSG Anwendung. Enthält eine spezialgesetzliche Vorschrift eine solche abschließende Regelung hingegen nicht, erfüllt sie nicht die Voraussetzungen von § 1 Abs. 2 S. 2 BDSG und kann daher keine Vorrangstellung gegenüber konkurrierenden Regelungen des BDSG einnehmen. Für sie greift allein § 1 Abs. 2 S. 3 BDSG: Sie bleibt „unberührt“. Damit bleibt in ihrem Anwendungsbereich zwar die bereichsspezifische Norm – und eben nicht das den Erlaubnistatbeständen des § 26 BDSG innewohnende allgemeine Verarbeitungsverbot – dogmatische Grundlage der jeweiligen Verschwiegenheitspflicht, sie begründet aber keine Subsidiarität von § 26 BDSG. Daher bleibt eine Durchbrechung der jeweiligen Verschwiegenheitspflicht aufgrund der von § 26 BDSG normierten Erlaubnistatbestände weiterhin möglich. Wichtig ist es daher zu klären, welche Normen des BetrVG abschließende Verschwiegenheitspflichten i. S. v. § 1 Abs. 2 S. 2 BDSG enthalten und welche Vorschriften diese Anforderungen nicht erfüllen. Diese Frage kann indes nur für jede Norm einzeln beantwortet werden. (2) Inhaltliche Voraussetzungen der Vorrangstellung i. S. v. § 1 Abs. 2 S. 1 BDSG Zentral ist daher, wann eine Verschwiegenheitspflicht abschließender Natur i. S. v. § 1 Abs. 2 S. 2 BDSG ist. Hier gelten keine anderen Maßstäbe als im Rahmen konkurrierender Erlaubnistatbestände: Die jeweilige spezialgesetzliche Regelung muss Tatbestandskongruenz zu der im Einzelfall konkurrierenden Regelung des BDSG aufweisen.95 Beide Normen müssen demnach dieselbe Fragestellung regeln.96 Für den Beschäftigtendatenschutz enthalten die Erlaubnistatbestände des § 26 BDSG zunächst ein konkludentes allgemeines Verarbeitungsverbot für personenbezogene Beschäftigtendaten, benennen jedoch zugleich diejenigen Fälle, in denen das Verbot ausnahmsweise nicht eingreift. Eine bereichsspezifische Norm kann daher nur umfassende Tatbestandskongruenz zum allgemeinen Verarbeitungsverbot des § 26 BDSG aufweisen, wenn sie nicht nur eine spezifische Geheimhaltungs93
Dazu würde beispielsweise das Verständnis von BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 83 und Paal/Pauly/Ernst, 2. Aufl. 2018, § 1 BDSG Rn. 9 führen. 94 Dies gleichfalls erkennend für § 1 Abs. 3 S. 2 BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 BDSG Rn. 180. 95 BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 78; Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 11. 96 Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 11; zu § 1 Abs. 3 S. 1 BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 BDSG Rn. 170.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
83
pflicht in Bezug auf personenbezogene Beschäftigtendaten enthält, sondern zugleich eine Aussage darüber trifft, in welchen Fällen Ausnahmen von diesem grundsätzlichen Verarbeitungsverbot bestehen.97 Dies erfordert keine enumerative Aufzählung der zulässigen Ausnahmen, wie sie § 26 BDSG vornimmt, sondern kann sich auch darin erschöpfen, Ausnahmen vollständig zu verbieten. Zwingende Voraussetzung ist allein, dass die bereichsspezifische Vorschrift überhaupt eine Aussage zu der Frage nach zulässigen Durchbrechungen der jeweiligen Verschwiegenheitspflicht trifft. Erfüllt eine Vorschrift diese Anforderungen nicht, kann ihr mangels Tatbestandskongruenz keine subsidiaritätsbegründende Wirkung gem. § 1 Abs. 2 S. 1 BDSG zukommen. Vielmehr greift § 1 Abs. 2 S. 3 BDSG ein: Die Verschwiegenheitspflicht bleibt „unberührt“, sodass sie zwar dogmatisch vorrangige Grundlage der jeweiligen Geheimhaltungspflicht ist, jedoch unter Rückgriff auf einen der in § 26 BDSG enthaltenen Erlaubnistatbestände durchbrochen werden kann. Allerdings setzt Tatbestandskongruenz i. S. v. § 1 Abs. 2 S. 2 BDSG darüber hinaus auch voraus, dass die jeweilige bereichsspezifische Norm eine konkrete Aussage über die Art der zu verarbeitenden Daten, den Zweck sowie Art und Weise der Datenverarbeitung trifft.98 Aber wie konkret muss diese Regelung tatsächlich sein? Insofern ist das verfassungsrechtliche Bestimmtheitsgebot zu beachten, dessen Anforderungen jedoch auch nicht überspannt werden dürfen. Denn die Intensität des durch eine gesetzliche Regelung bewirkten Grundrechtseingriffs ist entscheidendes Kriterium für die Ermittlung des notwendigen Maßes an Bestimmtheit.99 Eine spezialgesetzliche Verschwiegenheitspflicht bedeutet indes keinen Eingriff in das Recht des Betroffenen auf informationelle Selbstbestimmung, sondern dient vielmehr dessen Schutz.100 Daher muss die spezialgesetzliche Verschwiegenheitspflicht zwar eine Aussage darüber treffen, welche Arten von Daten der Betriebsrat nicht weitergeben darf und welche Art und Weise der Übermittlung konkret untersagt ist. Dabei genügt es jedoch letztlich, wenn die jeweilige betriebsverfassungsrechtliche Norm pauschal jede Art der Weitergabe jedweder personenbezogener Beschäftigtendaten verbietet.101 Denn auch dann ist sowohl für den Betroffenen als auch für den Betriebsrat erkennbar, welche Art personenbezogener Daten er nicht weitergeben darf und welche Form der Weitergabe ihm untersagt wird. Normiert eine Vorschrift 97
Ebenso zu § 1 Abs. 3 S. 2 BDSG a. F. Simitis/Dix, 8. Aufl. 2014, § 1 BDSG Rn. 185. Gola, BB 2017, 1462, 1463 und 1465; so auch schon zu § 1 Abs. 3 BDSG a. F. Jordan/ Bissels/Löw, BB 2010, 2889, 2890; s. Gliederungspunkt B. II. 2. 99 St. Rspr. BVerfG, Beschl. v. 7. 3. 2017 – 1 BvR 1314/12, NVwZ 2017, 1111, 1116 Rn. 125; BVerfG, Beschl v. 9. 8. 1995 – 1 BvR 2263/94, NJW 1996, 709, 710; BVerfG, Beschl. v. 3. 6. 1992 – 2 BvR 1041/88, NJW 1992, 2947, 2948; BVerfG, Beschl v. 24. 11. 1981 – 2 BvL 4/ 80, NJW 1982, 1275; BVerfG, Beschl. v. 8. 1. 1981 – 2 BvL 3/77 u. a., NJW 1981, 1311. 100 Dies hat das BAG für § 79 Abs. 1 BetrVG ausdrücklich festgestellt, s. BAG, Beschl. v. 20. 12. 1988 – 1 ABR 63/87, NZA 1989, 393, 395. Ausführlich zu der Frage, inwiefern die Verschwiegenheitspflichten die Interessen der Arbeitnehmer zu schützen bestimmt sind, s. Gliederungspunkt A. II. 4. b) bb) (2) (d). 101 Ebenso Linnenkohl, NJW 1981, 202, 207, der ohne besondere Voraussetzungen jede Norm als vorrangig ansehen will, die „die gleiche Konfliktlage zum Gegenstand“ hat. 98
84
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
darüber hinausgehend ein Verbot nur für die Weitergabe bestimmter personenbezogener Daten oder erstreckt es sich lediglich auf bestimmte Weitergabeformen, so genügt sie erst recht den dargestellten Bestimmtheitsanforderungen. Diese abstrakten Maßstäbe zugrunde legend, ist im Folgenden zu erörtern, welche Normen des BetrVG diese Voraussetzungen erfüllen und damit als vorrangige Regelungen i. S. d. § 1 Abs. 2 S. 1 BDSG anzusehen sind. (3) Vorrangige Verschwiegenheitspflichten des BetrVG Beginnen muss die Betrachtung mit der sich aus § 79 Abs. 1 S. 1 BetrVG ergebenden Geheimhaltungspflicht des Betriebsrats, die seine Mitglieder dazu verpflichtet, „Betriebs- oder Geschäftsgeheimnisse, die […] vom Arbeitgeber ausdrücklich als geheimhaltungsbedürftig bezeichnet worden sind, nicht zu offenbaren und nicht zu verwerten“. Untersagt wird dem Betriebsrat damit die Weitergabe von Informationen, die den technischen Betrieb oder die wirtschaftliche Betätigung des Unternehmens betreffen und an deren Geheimhaltung ein berechtigtes, wirtschaftliches Interesse besteht.102 Dies kann auch personenbezogene Beschäftigtendaten betreffen, sofern sie den vorgenannten Bezug aufweisen und an ihrer Geheimhaltung ebenfalls ein wirtschaftliches Interesse des Arbeitgebers besteht.103 Betrifft der Geheimnisinhalt personenbezogene Daten, kann sich daher eine Konkurrenz zwischen § 79 Abs. 1 S. 1 BetrVG und dem allgemeinen, in den Erlaubnistatbeständen des § 26 BDSG enthaltenen, datenschutzrechtlichen Verarbeitungsverbot ergeben.104 Durch § 79 Abs. 1 S. 1 BetrVG wird den Mitgliedern des Betriebsrats die Pflicht auferlegt, generell jede Form der Weitergabe aller personenbezogenen Beschäftigtendaten zu unterlassen, die dem Begriff des Betriebs- oder Geschäftsgeheimnisses unterfallen. Zugleich definiert die Norm die Reichweite der Verschwiegenheitspflicht abschließend, indem § 79 Abs. 1 S. 3, 4 BetrVG zulässige Ausnahmen von der Geheimhaltungsverpflichtung benennt. Damit enthält die Vorschrift eine umfassende, hinreichend bestimmte und abschließende Regelung, sodass sie in ihrem Anwendungsbereich, d. h. für sämtliche personenbezogenen Beschäftigtendaten, die dem Begriff des Betriebs- und Geschäftsgeheimnisses unterfallen, tatbestandskon-
102 BAG, Beschl. v. 26. 2. 1987 – 6 ABR 46/84, NZA 1988, 63; BAG, Urt. v. 16. 3. 1982 – 3 AZR 83/79, NJW 1983, 134 Ls. 2; ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 2; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 3; GK-BetrVG/Oetker, 11. Aufl. 2018, § 79 Rn. 11; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 5. 103 Dies wird beispielsweise für Lohn- und Gehaltslisten anzunehmen sein, s. BAG, Beschl. v. 13. 2. 2007 – 1 ABR 14/06, NZA 2007, 1121, 1123 Rn. 32; BAG, Urt. v. 26. 2. 1987 – 6 ABR 46/84, NZA 1988, 63; ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 5; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 4; GK-BetrVG/Oetker, 11. Aufl. 2018, § 79 Rn. 15; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 6. 104 So für § 17 UWG, der ebenfalls den Begriff der Betriebs- und Geschäftsgeheimnisse verwendet Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 13.
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
85
gruent zu § 26 BDSG ist. Ihr kommt mithin gem. § 1 Abs. 2 S. 1 BDSG subsidiaritätsbegründende Wirkung zu.105 Auch im Rahmen von § 99 Abs. 1 S. 3 BetrVG sowie § 102 Abs. 2 S. 5 BetrVG kann keine andere Bewertung erfolgen. Die Vorschriften verpflichten die Mitglieder des Betriebsrats, über Informationen bezüglich der im Betrieb beschäftigten Arbeitnehmer Stillschweigen zu bewahren, die ihnen im Rahmen personeller Einzelmaßnahmen bekannt geworden sind, sofern diese wegen ihrer Bedeutung oder ihres Inhalts einen gewissen Vertraulichkeitscharakter aufweisen. Sie untersagen dem Betriebsrat mithin jede Form der Weitergabe bestimmter Arten – nämlich gerade vertraulicher – personenbezogener Informationen. Dabei verweist § 102 Abs. 2 S. 5 BetrVG auf § 99 Abs. 1 S. 3 BetrVG, der seinerseits wiederum § 79 Abs. 1 S. 2 bis 4 BetrVG in Bezug nimmt, sodass die Normen aufgrund der jeweiligen Verweisungskette auch eine Regelung über zulässige Ausnahmen von der grundsätzlichen Verschwiegenheitspflicht beinhalten und damit deren Reichweite abschließend definieren. Sie enthalten mithin ebenfalls eine sowohl umfassende als auch abschließende Regelung i. S. d. § 1 Abs. 2 S. 2 BDSG und begründen daher gem. § 1 Abs. 2 S. 1 BDSG die Subsidiarität konkurrierender Vorschriften des BDSG.106 Ebenso verhält es sich im Rahmen von § 82 Abs. 2 S. 3 BetrVG, der die Mitglieder des Betriebsrats zur Verschwiegenheit über Informationen verpflichtet, die sie im Rahmen von Verhandlungen zwischen Arbeitgeber und Arbeitnehmer erlangt haben, soweit sie nicht ausnahmsweise durch den jeweiligen Arbeitnehmer von ihrer Verschwiegenheitspflicht entbunden worden sind. Gleiches gilt auch für § 83 Abs. 1 S. 3 BetrVG, der Betriebsratsmitgliedern die Weitergabe von Informationen über den Inhalt der Personalakte einzelner Arbeitnehmer untersagt, soweit der Betroffene sie nicht ausnahmsweise erlaubt. Damit enthalten auch diese beiden Vorschriften eine umfassende, abschließende Regelung in Bezug auf die Art derjenigen Daten, die der Geheimhaltung unterliegen, untersagen jede Form der Weitergabe und treffen eine Aussage über zulässige Ausnahmen von der Verschwiegenheitspflicht. Auch sie genügen daher den Anforderungen des § 1 Abs. 2 S. 2 BDSG und sind damit im Verhältnis zu konkurrierenden Regelungen des BDSG gem. § 1 Abs. 2 S. 1 BDSG vorrangig. Mithin weisen sämtliche betriebsverfassungsrechtliche Verschwiegenheitspflichten eine Tatbestandskongruenz zum konkurrierenden § 26 BDSG auf und begründen damit gem. § 1 Abs. 2 S. 1 BDSG dessen Subsidiarität. (4) Möglichkeit des Rückgriffs auf die Vorschriften des BDSG Grundsätzlich wird durch die von § 1 Abs. 2 S. 1 BDSG angeordnete Subsidiarität des BDSG ein Rückgriff auf dessen Vorschriften ausgeschlossen. Offen ist indes die 105
Linnenkohl, NJW 1981, 202, 207. So wohl auch BAG, Beschl. v. 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218, 1220 Rn. 26; LAG Berlin-Brandenburg, Beschl. v. 4. 3. 2011 – 10 TaBV 1984/10, NZA-RR 2011, 359, 361; Linnenkohl, NJW 1981, 202, 207. 106
86
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
Frage, wie weit dieses Rückgriffsverbot reicht. Einen Rückgriff vollständig zu untersagen erscheint problematisch, da die Geheimhaltungspflichten des BetrVG sich regelmäßig nur auf Betriebs- und Geschäftsgeheimnisse oder personenbezogene Daten mit einem gewissen Vertraulichkeitscharakter beziehen.107 Der Schutz des BDSG ist hingegen weiter gefasst, da er vor jedweder Gefährdung, die sich aus der Verarbeitung personenbezogener Daten der Beschäftigten ergibt, schützt.108 Nimmt man zunächst allein § 1 Abs. 2 S. 3 BDSG in den Blick, der klarstellt, dass spezialgesetzliche Geheimhaltungspflichten eine zusätzliche Schutzebene für den durch einen Datenverarbeitungsvorgang Betroffenen darstellen und als solche nicht beschränkt werden sollen,109 ergibt sich daraus beinahe zwangsläufig die Schlussfolgerung, dass stets diejenigen Vorschriften Anwendung finden müssen, die einen weitergehenden Schutz des Betroffenen ermöglichen. Das BDSG muss – allein das durch § 1 Abs. 2 S. 3 BDSG vorgegebene Verständnis zugrunde gelegt – so angewendet werden, dass es den Schutz, der durch die spezialgesetzlichen Verschwiegenheitspflichten gewährleistet wird, nicht beschränkt, aber andererseits auch das Schutzniveau des BDSG nicht ausgehebelt wird.110 Daher muss im Rahmen von § 1 Abs. 2 S. 3 BDSG ein subsidiärer Rückgriff auf das BDSG möglich bleiben, soweit die bereichsspezifische Regelung dessen Schutzniveau unterschreitet.111 Indes muss beachtet werden, dass die Verschwiegenheitspflichten des BetrVG durch die Vorschriften des BDSG nicht bloß gem. § 1 Abs. 2 S. 3 BDSG „unberührt“ bleiben, sondern diesen vielmehr gem. § 1 Abs. 2 S. 1 BDSG vorgehen. Diese Subsidiaritätsanordnung ist unabhängig davon, ob die vorrangige, bereichsspezifische Regelung im Vergleich zum BDSG eine weitergehende oder engere Regelung beinhaltet, sodass sie auch solchen Normen den Vorzug einräumt, die das Schutzniveau des BDSG unterschreiten.112 Ein Rückgriff auf das BDSG ist gem. § 1 Abs. 2 S. 2 BDSG nur möglich, sofern eine spezialgesetzliche Geheimhaltungspflicht keine abschließende Regelung enthält. Sämtliche Verschwiegenheitspflichten des BetrVG haben jedoch abschließenden Charakter, wodurch sie einen Rückgriff auf das BDSG ausschließen. Dies führt zu folgendem Ergebnis: Sofern der Anwendungsbereich einer betriebsverfassungsrechtlichen Verschwiegenheitspflicht eröffnet ist, bildet sie die alleinige rechtliche Grundlage der jeweiligen Geheimhaltungspflicht. Ausnahmen kommen nur dort in Betracht, wo das BetrVG sie selbst zulässt. Weitere Durchbrechungen betriebsverfassungsrechtlicher Verschwiegenheitspflichten durch 107
Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 36. Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 36. 109 BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 88; Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 12. 110 Auer-Reinsdorff/Conrad/Conrad/Treeger, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 34 Rn. 157. 111 Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 12; so i. E. auch Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 36. 112 BT-Drs. 18/11325, S. 79; Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 11; Paal/Pauly/Ernst, 2. Aufl. 2018, § 1 BDSG Rn 8. 108
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
87
Rückgriff auf Erlaubnistatbestände des BDSG sind nicht möglich. Nur soweit die betriebsverfassungsrechtlichen Verschwiegenheitspflichten bereits tatbestandlich nicht einschlägig sind, ergibt sich eine Geheimhaltungspflicht für den Betriebsrat unmittelbar aus dem in den Erlaubnistatbeständen des § 26 BDSG enthaltenen allgemeinen datenschutzrechtlichen Verarbeitungsverbot. Andernfalls würden diejenigen personenbezogenen Daten, die allein durch das allgemeine Verarbeitungsverbot des § 26 BDSG, nicht jedoch durch die spezifischen Verschwiegenheitspflichten des BetrVG erfasst sind, schutzlos gestellt.113 Damit sind die Verschwiegenheitspflichten des BetrVG zwar in ihrem Anwendungsbereich abschließend, untersagen darüber hinaus jedoch nicht den Rückgriff auf das BDSG. dd) Überblick über die Besonderheiten der Verschwiegenheitspflichten Die durch das BetrVG normierten Verschwiegenheitspflichten konkurrieren sowohl unmittelbar mit dem – den Rechtfertigungstatbeständen des § 26 BDSG innewohnenden – allgemeinen Verbot der Verarbeitung personenbezogener Beschäftigtendaten als auch mittelbar mit den in § 26 BDSG enthaltenen Erlaubnistatbeständen. Maßgeblich für die Auflösung dieses Konkurrenzverhältnisses ist § 1 Abs. 2 S. 1 BDSG, der bereichsspezifischen Vorschriften unter den Voraussetzungen von § 1 Abs. 2 S. 2 BDSG subsidiaritätsbegründende Wirkung einräumt. Dazu müssen sie Tatbestandskongruenz zur jeweils konkurrierenden Norm des BDSG aufweisen. Dies ist der Fall, wenn sie den jeweiligen Sachverhalt, auf den grundsätzlich beide Normen Anwendung finden, umfassend und abschließend regeln. Dazu müssen sie – über die allgemeinen verfassungsrechtlichen Bestimmtheitsanforderungen hinaus – auch eine Aussage dazu enthalten, ob und unter welchen Voraussetzungen Ausnahmen von der Geheimhaltungspflicht möglich sind. Diesen Anforderungen genügen sämtliche Geheimhaltungstatbestände des BetrVG, sodass ihnen im Verhältnis zu § 26 BDSG subsidiaritätsbegründende Wirkung zukommt. Daher können die betriebsverfassungsrechtlichen Verschwiegenheitspflichten nicht durch einen Rückgriff auf einen in § 26 BDSG enthaltenen Erlaubnistatbestand umgangen werden. Nur soweit der Anwendungsbereich der betriebsverfassungsrechtlichen Verschwiegenheitspflichten nicht eröffnet ist, greift weiterhin das in den Rechtfertigungstatbeständen des § 26 BDSG enthaltene allgemeine Verarbeitungsverbot ein, das dann sowohl über die in § 26 BDSG enthaltenen als auch auf Grundlage der im BetrVG normierten Erlaubnistatbestände zulässigerweise durchbrochen werden kann. b) Folgerungen für das Verhältnis von BetrVG und BDSG Das Zusammenspiel von BDSG und BetrVG wird maßgeblich durch § 1 Abs. 2 S. 1 BDSG bestimmt, der eine grundsätzliche Subsidiarität der Regelungen des 113
Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 36.
88
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
BDSG anordnet, soweit die jeweils konkurrierende bereichsspezifische Vorschrift den jeweiligen Datenverarbeitungsvorgang – entsprechend der Vorgaben von § 1 Abs. 2 S. 2 BDSG – hinreichend konkret regelt. Dazu muss sie sowohl die Art der zu verarbeitenden Daten als auch den Zweck sowie Art und Weise des Verarbeitungsvorgangs präzise vorgeben. Die betriebsverfassungsrechtlichen Mitwirkungsund Mitbestimmungsrechte sowie die Informationsansprüche des Betriebsrats konkurrieren dabei mit den in § 26 BDSG enthaltenen Erlaubnistatbeständen. Jedoch treffen jedenfalls die Mitwirkungs- und Mitbestimmungstatbestände des BetrVG keine konkrete Aussage in Bezug auf die Art der zu verarbeitenden Daten oder Art und Weise der Verarbeitung, sondern weisen dem Betriebsrat lediglich Aufgaben zu, deren Erfüllung die Verarbeitung personenbezogener Beschäftigtendaten voraussetzt. Daher können sie die in § 26 BDSG normierten Erlaubnistatbestände nicht verdrängen. Mit Ausnahme von § 80 Abs. 2 S. 2 Hs. 2 BetrVG sowie § 99 Abs. 1 S. 1 BetrVG genügen auch die betriebsverfassungsrechtlichen Informationsansprüche den Bestimmtheitsanforderungen des § 1 Abs. 2 S. 2 BDSG nicht und können damit nicht die Subsidiarität des § 26 BDSG begründen. Denn auch sie setzen lediglich eine Datenweitergabe an den Betriebsrat voraus, treffen jedoch keine Regelung in Bezug auf die Art der zu verarbeitenden Daten oder die Art und Weise der Datenübermittlung. Daher bilden allein § 80 Abs. 2 S. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG eigenständige und im Verhältnis zu § 26 BDSG vorrangige Erlaubnistatbestände. Hinsichtlich der im BetrVG normierten Verschwiegenheitspflichten tritt daneben die Frage nach ihrem Verhältnis zu dem in den Rechtfertigungstatbeständen des § 26 BDSG aufgegriffenen allgemeinen Verbot der Verarbeitung personenbezogener Daten. Dabei kommt sämtlichen betriebsverfassungsrechtlichen Geheimhaltungspflichten subsidiaritätsbegründende Wirkung i. S. v. § 1 Abs. 2 S. 1 BDSG zu, sodass sie in ihrem Anwendungsbereich einen Rückgriff auf die Vorschriften des BDSG ausschließen. Daher kann ein nach dem BetrVG unzulässiger Datenverarbeitungsvorgang nicht durch Rückgriff auf die Erlaubnistatbestände des BDSG gerechtfertigt werden.
3. Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zum Datenschutzrecht Eine weitere bedeutsame Rechtsquelle des Beschäftigtendatenschutzes stellen datenschutzrechtliche Betriebsvereinbarungen dar. Dies findet seine Grundlage in Art. 88 Abs. 1 DSGVO, der den Mitgliedstaaten die Möglichkeit eröffnet, spezifischere Bestimmungen zum Datenschutz durch Kollektivvereinbarungen zu treffen, was ausweislich ErwG 155 DSGVO auch Regelungen im Rahmen von Betriebsvereinbarungen umfasst. Dies wird durch den nationalen Gesetzgeber in § 26 Abs. 4 S. 1 BDSG ausdrücklich aufgegriffen, indem er festlegt: „Die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses […] ist auf der Grundlage von Kollektivvereinbarungen zulässig“. Die Funktion
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
89
datenschutzrechtlicher Betriebsvereinbarungen erschöpft sich in diesem Zusammenhang keinesfalls allein in der inhaltlichen Ausgestaltung der in der DSGVO und dem BDSG enthaltenen Regelungen, sondern ermöglicht den Betriebsparteien vielmehr die Schaffung eigenständiger Erlaubnistatbestände.114 Dabei gilt es zu beachten, dass Betriebsvereinbarungen gem. § 77 Abs. 4 S. 1 BetrVG unmittelbare und zwingende Wirkung entfalten und ihnen damit innerhalb des Betriebes rechtssetzende Wirkung zukommt.115 Treffen sie tatsächlich eigenständige, materielle Regelungen in Bezug auf den betrieblichen Datenschutz, so können sie daher mit gesetzlichen datenschutzrechtlichen Normen kollidieren.116 Dies wirft die Frage auf, wie mit einer solchen inhaltlichen Kollision von in Betriebsvereinbarungen enthaltenen datenschutzrechtlichen Regelungen mit den Vorschriften der DSGVO einerseits sowie des BDSG andererseits umzugehen ist: Welcher Norm muss der Vorrang eingeräumt werden und inwiefern schließt sie einen Rückgriff auf Regelungen des unterliegenden Normenkomplexes aus? Dies gilt es im Folgenden schrittweise zu beantworten. a) Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zur DSGVO Zunächst bedarf der Klärung, wie das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zu den Vorschriften der DSGVO ausgestaltet ist. Von grundlegender Bedeutung ist insofern der dem Unionsrecht und damit der DSGVO grundsätzlich zukommende Anwendungsvorrang.117 Allerdings enthält die DSGVO für den Bereich des Beschäftigtendatenschutzes mit Art. 88 Abs. 1 DSGVO eine Öffnungsklausel für die Schaffung bereichsspezifischer Regelungen durch Rechtsvorschriften sowie Kollektivvereinbarungen auf nationaler Ebene. Diese Öffnungsklausel schränkt zwar selbst nicht unmittelbar den Anwendungsvorrang des Unionsrechts ein, räumt den Mitgliedstaaten allerdings für den Beschäftigtendatenschutz die Regelungsoption ein, auch den Betriebspartnern die Schaffung bereichsspezifischer Regelungen zu ermöglichen, sodass entsprechende Normen – soweit die Regelungsmöglichkeit genutzt wird – den Vorschriften der DSGVO vorgehen und auf Grundlage der im Unionsrecht enthaltenen Öffnungsklausel deren Anwendungsvorrang ausnahmsweise entfallen lassen.118 Dabei ermöglicht Art. 88 Abs. 1 DSGVO allein die Schaffung „spezifischerer“ Vorschriften, womit er eine 114 S. eingehend zum Streitstand und zur Begründung hiesiger Ansicht Gliederungspunkt A. II. 4. b) bb) (3) (b). 115 ErfK/Kania, 20. Aufl. 2020, § 77 BetrVG Rn. 5; Franck, ZD 2017, 509, 511. 116 Schrey/Kielkowski, BB 2018, 629. 117 Zum Anwendungsvorrang gerade der DSGVO Greve, NVwZ 2017, 737; Kühling, NJW 2017, 1985, 1986; Simitis/Hornung/Spiecker/Hornung/Spiecker, 1. Aufl. 2019, Einl. Rn. 265; Wybitul, NZA 2017, 413; Wybitul, BB 2016, 1077, 1079; allgemein zum Anwendungsvorrang einer Verordnung gegenüber nationalem Recht s. Calliess/Ruffert/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 288 AEUV Rn. 20. 118 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 16; Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 13.
90
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
Ausprägung des Grundsatzes „lex specialis derogat legi generali“ normiert.119 Vor diesem Hintergrund kann nur einer kollektivvertraglichen Norm der Vorrang gegenüber Vorschriften der DSGVO eingeräumt werden, die im Vergleich zu dieser tatsächlich eine inhaltlich spezifischere Regelung zu einer Frage des Beschäftigtendatenschutzes trifft. Keinesfalls kommt es daher zu einer vollständigen Verdrängung der DSGVO. Vielmehr entfällt deren Anwendungsvorrang nur insoweit, wie eine Betriebsvereinbarung tatsächlich eine speziellere Regelung einer einzelnen Fragestellung enthält. Innerhalb dieses Rahmens kann einzelnen Normen einer datenschutzrechtlichen Betriebsvereinbarung jedoch eine Vorrangstellung gegenüber einzelnen Regelungen der DSGVO zukommen. Dies darf indes nicht darüber hinwegtäuschen, dass Betriebsvereinbarungen mit höherrangigem, zwingendem Recht vereinbar sein müssen.120 Inhaltliche Schranken und damit auch der regulatorische Rahmen für datenschutzrechtliche Betriebsvereinbarungen finden sich einerseits – insbesondere mit Art. 88 Abs. 1 und Abs. 2 DSGVO – im Unionsrecht, andererseits im mitgliedstaatlichen Recht.121 Denn die Öffnungsklausel des Art. 88 Abs. 1 DSGVO schränkt den Geltungsbereich der DSGVO allein für solche kollektivvertraglichen Regelungen ein, die sich in dem durch Art. 88 Abs. 1 DSGVO begrenzten Bereich halten und den inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO entsprechen.122 Liegen die genannten Voraussetzungen vor, sind die jeweiligen bereichsspezifischen kollektivvertraglichen Regelungen vorrangig gegenüber den Vorschriften der DSGVO anzuwenden. Damit stellt sich jedoch zugleich die Frage, ob dadurch auch ein Rückgriff auf die jeweils konkurrierenden Regelungen der DSGVO ausgeschlossen wird. Bedeutung erlangt dies insbesondere, soweit eine Betriebsvereinbarung Vorschriften der DSGVO nicht lediglich konkretisiert, sondern inhaltlich von ihnen abweicht.123 Denkbar ist beispielsweise, dass eine kollektivvertragliche Regelung einen Datenverarbeitungsvorgang verbietet, den die DSGVO erlaubt. Eine vergleichbare Problematik besteht auch im Verhältnis zwischen den Vorschriften der DSGVO und des BDSG. Dort gilt: Soweit das BDSG der Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel dient, gehen seine Vorschriften denen der DSGVO vor.124 Nur soweit der Anwendungsbereich der jeweiligen spezifi119
BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 16. BeckOK ArbR/Werner, 56. Ed. (Stand 1. 6. 2020), § 77 BetrVG Rn. 44; DKW/Berg, BetrVG, 17. Aufl. 2020, § 77 Rn. 16; ErfK/Kania, 20. Aufl. 2020, § 77 BetrVG Rn. 38; Fitting, BetrVG, 30. Aufl. 2020, § 77 Rn. 53. 121 Traut, RDV 2016, 312, 313; ausführlich zu den inhaltlichen Grenzen datenschutzrechtlicher Betriebsvereinbarungen Gliederungspunkt D. II. 122 Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 13; Jerchel/Schubert, DuD 2016, 782, 783. 123 Zur Möglichkeit Abweichungen vom gesetzlichen Datenschutzniveau vorzusehen, s. Gliederungspunkt D. III. 124 Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 62; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 32; Kort, NZA 2018, 1097, 1100. 120
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
91
scheren Vorschrift des BDSG nicht eröffnet ist, bleibt ein Rückgriff auf die konkurrierenden Normen der DSGVO möglich,125 im Übrigen scheidet ein Rückgriff aus.126 Nichts anderes kann auch im Verhältnis von kollektivvertraglichen Regelungen zu den Vorschriften der DSGVO gelten. Denn nach der Konzeption der DSGVO reicht die Regelungskompetenz der Betriebspartner grundsätzlich ebenso weit, wie die des nationalen Gesetzgebers.127 Dies folgt bereits unmittelbar aus dem Wortlaut des Art. 88 Abs. 1 DSGVO, der Betriebsvereinbarungen und mitgliedstaatliche Regelungen grundsätzlich gleichstellt, indem er bestimmt, dass die Mitgliedstaaten „durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften“ vorsehen können. Soweit Betriebsvereinbarungen eine Frage spezifischer regeln als die DSGVO, gehen sie dieser daher – ebenso wie nationale gesetzliche Regelungen – vor und schließen zugleich einen Rückgriff auf die jeweils konkurrierenden Vorschriften der DSGVO aus. Dies gilt jedoch nur, soweit auch der Anwendungsbereich der kollektivvertraglichen Norm eröffnet ist. Ist dies nicht der Fall, kommt die DSGVO voll zum Zuge. Jedenfalls insofern stehen auch kollektivvertragliche und gesetzliche Erlaubnistatbestände nicht in einem Exklusivitätsverhältnis.128 Zwar kommt es dadurch zu einem Nebeneinander datenschutzrechtlicher Erlaubnistatbestände, jedoch ist dies unbedenklich, denn Rechtsunsicherheiten können mit Blick auf Art. 13 Abs. 1 lit. c Fall 2 DSGVO nicht entstehen: Der für den konkreten Datenverarbeitungsvorgang Verantwortliche muss den Betroffenen ohnehin über die Rechtsgrundlage der Verarbeitung informieren, sodass stets eindeutig bestimmt werden kann, ob sich diese aus einer Betriebsvereinbarung oder aus dem Gesetz ergibt.129 Zusammenfassend gilt also: Soweit der Anwendungsbereich der kollektivvertraglichen Regelung eröffnet ist, verdrängt sie die jeweils konkurrierende Vorschrift der DSGVO, im Übrigen bleibt ein Rückgriff auf deren Vorschriften möglich. Zudem bleibt der Rückgriff auf die DSGVO stets möglich, sofern die konkurrierende kollektivvertragliche Regelung unwirksam ist. 130 Andernfalls käme es zu nicht sachgerechten Ergebnissen, wie das folgende Beispiel belegt: Verbietet eine Betriebsvereinbarung einen Datenverarbeitungsvorgang, den die DSGVO erlaubt, so gilt grundsätzlich vorrangig das kollektivvertragliche Verarbeitungsverbot. Ist die Betriebsvereinbarung nun aber unwirksam, muss ein Rückgriff auf die DSGVO 125 Benkert, NJW-Spezial 2018, 562, 563; Gola/Gola, 2. Aufl. 2018, Art. 6 DSGVO Rn. 95, 97; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 31; Kort, NZA 2018, 1097, 1099 m. Verweis auf LAG Hamm, Beschl. v. 19. 9. 2017 – 7 TaBV 43/17, NZA-RR 2018, 82, 84 Rn. 35; Kühling/Buchner/Buchner/Petri, 2. Aufl. 2018, Art. 6 DSGVO Rn. 51; Ströbel/Böhm/Breunig, CCZ 2018, 14, 19. 126 Kort, NZA 2018, 1097, 1099. 127 Klocke, ZTR 2018, 116, 118. 128 Schrey/Kielkowksi, BB 2018, 629, 633. 129 Schrey/Kielkowski, BB 2018, 629, 633. 130 Schrey/Kielkowksi, BB 2018, 629, 633.
92
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
möglich sein. Denn würde auch eine unwirksame Betriebsvereinbarung den Rückgriff auf die DSGVO ausschließen, so käme die aus der DSGVO folgende Verarbeitungserlaubnis nicht zum Zuge. Die Verarbeitung wäre daher unzulässig, obwohl die kollektivvertragliche Regelung, die das Verarbeitungsverbot normiert, ihrerseits unwirksam ist und es damit letztlich an einer Rechtsgrundlage für das Verarbeitungsverbot fehlt. Dies zugrunde legend ist ein Rückgriff auf die Vorschriften der DSGVO in zwei Konstellationen denkbar: Zum einen, wenn die konkurrierende kollektivvertragliche Vorschrift unwirksam ist, zum anderen wenn ihr Anwendungsbereich nicht eröffnet ist. Im Übrigen verdrängen kollektivvertragliche Regelungen konkurrierende Vorschriften der DSGVO. Zweifellos möglich ist es indes, in Betriebsvereinbarungen ausdrücklich eine Rückgriffsmöglichkeit auf die Regelungen der DSGVO – und insbesondere die in ihr enthaltenen Erlaubnistatbestände – zu vereinbaren.131 b) Das Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zum BDSG Das Zusammenspiel datenschutzrechtlicher Betriebsvereinbarungen mit dem BDSG ist wiederum in Art. 88 Abs. 1 DSGVO, aber auch in § 26 Abs. 4 S. 1 BDSG angelegt, der bestimmt: „Die Verarbeitung personenbezogener Daten […] ist auf der Grundlage von Kollektivvereinbarungen zulässig“. Den Betriebspartnern soll damit ermöglicht werden, den Beschäftigtendatenschutz im Interesse praxisorientierter Lösungen an die konkreten Bedürfnisse des jeweiligen Betriebes anzupassen.132 Zwangsläufig führt dieses Modell jedoch auch zu Konkurrenzen zwischen kollektivvertraglichen datenschutzrechtlichen Regelungen und dem BDSG, soweit beide Normkomplexe dieselbe Frage inhaltlich abweichend regeln, eine Betriebsvereinbarung also beispielsweise einen Datenverarbeitungsvorgang verbietet, der auf Grundlage des BDSG zulässig wäre. In einem solchen Fall stellt sich die Frage, welcher der kollidierenden Normen der Vorrang einzuräumen ist und inwiefern sie einen Rückgriff auf die jeweils unterliegende Regelung ausschließt. Ausgangspunkt zur Lösung dieses Problems bildet § 26 Abs. 4 BDSG. Die Norm ordnet ausdrücklich an, dass Datenverarbeitungen auf Grundlage von Betriebsvereinbarungen zulässig sind, woraus sich folgern lässt, dass Betriebsvereinbarungen eigenständige datenschutzrechtliche Erlaubnistatbestände enthalten können, wo das Gesetz sie gerade nicht vorsieht und damit eine Datenverarbeitung auf gesetzlicher Grundlage unzulässig wäre.133 Dadurch will § 26 Abs. 4 BDSG den Betriebspartnern ermöglichen, den Beschäftigtendatenschutz den konkreten Bedürfnissen des je-
131
Klösel/Mahnhold, NZA 2017, 1428, 1432; Schrey/Kielkowski, BB 2018, 629, 633; Stück, ZD 2019, 256, 257; Wurzberger, ZD 2017, 258, 260; Wybitul, NZA 2017, 1488, 1492; Wybitul/Sörup/Pötters, ZD 2015, 559, 562. 132 So die Gesetzesbegründung, s. BT-Drs. 18/11325, S. 98. 133 Ausführlich s. Gliederungspunkt A. II. 4. b) bb) (3) (b).
II. Das Verhältnis von Betriebsverfassungsrecht und Datenschutzrecht
93
weiligen Betriebes anzupassen.134 Diese Zielsetzung liefe weitgehend leer, wenn die von ihnen geschaffenen kollektivvertraglichen Regelungen keinen Vorrang im Verhältnis zu konkurrierenden Regelungen des BDSG beanspruchen könnten. Denn dürften Betriebsvereinbarungen nur das regeln, was sich ohnehin bereits aus dem Gesetz ergibt, wären sie letztlich überflüssig. Daraus folgt zwar, dass Betriebsvereinbarungen grundsätzlich Vorrang gegenüber den Regelungen des BDSG zukommen kann, jedoch benennt die Norm nicht die konkreten Voraussetzungen einer solchen Vorrangstellung. Nicht unmittelbar zur Auflösung des Konkurrenzverhältnisses kann § 1 Abs. 2 BDSG herangezogen werden. Denn die Norm betrifft allein das Verhältnis des BDSG zu anderen „Rechtsvorschriften des Bundes“, nicht jedoch – da sie kein von Bundesorganen gesetztes Recht darstellen – das Verhältnis zu Betriebsvereinbarungen.135 Der Gesetzgeber hat für das Zusammentreffen von Normen des BDSG mit bereichsspezifischen bundesrechtlichen Regelungen explizit die Subsidiarität des BDSG angeordnet. Zu weitgehend wäre es jedoch, im Umkehrschluss – auch mit Blick auf § 26 Abs. 4 BDSG – zu folgern, dass kollektivvertraglichen Normen niemals Vorrang gegenüber konkurrierenden Vorschriften des BDSG zukommen kann.136 Zwar ist der ausdrücklichen Klarstellung des § 1 Abs. 2 BDSG unzweifelhaft zu entnehmen, dass für eine Kollision von Betriebsvereinbarungen und BDSG nicht derselbe Maßstab gelten soll wie für eine Kollision von BDSG und bereichsspezifischen gesetzlichen Regelungen. Dies bedeutet aber nur, dass Letztere bei Vorliegen der Voraussetzungen des § 1 Abs. 2 S. 2 BDSG in jedem Fall vorrangig sind und einen Rückgriff auf das BDSG stets ausschließen. Dass dies nicht einschränkungslos auch für Betriebsvereinbarungen gelten kann, ist klar, da zwingendes staatliches Recht der Betriebsautonomie Grenzen setzt.137 Daher kann eine Betriebsvereinbarung im Verhältnis zu konkurrierenden Vorschriften des BDSG nur dann vorrangig sein, wenn sie sich innerhalb dieser Grenzen hält, d. h. auch den zwingenden Vorgaben von DSGVO und BDSG genügt. Nur soweit diese Voraussetzungen erfüllt sind, können einzelne Regelungen einer Betriebsvereinbarung überhaupt vorrangig gegenüber Vorschriften des BDSG zur Anwendung kommen. Zusätzlich muss die jeweilige kollektivvertragliche Regelung allerdings entsprechend § 1 Abs. 2 S. 2 BDSG eine Vollregelung des Sachverhalts enthalten, auf den grundsätzlich auch das BDSG Anwendung findet. Denn wenn schon konkurrierende gesetzliche Regelungen einzelne Vorschriften des BDSG nur bei Vorliegen einer derartigen Tatbestandskongruenz verdrängen können, muss dies erst recht für Betriebsvereinbarungen gelten. Sind diese Voraussetzungen gewahrt, gehen kollek134
So die Gesetzesbegründung, s. BT-Drs. 18/11325, S. 98. BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 79; entsprechend zu § 1 Abs. 3 BDSG a. F. Brandt, DuD 2010, 213, 214; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 98; Simitis/ Dix, 8. Aufl. 2014, § 1 BDSG Rn. 166. 136 So aber zu § 1 Abs. 3 BDSG a. F. Brandt, DuD 2010, 213, 214. 137 Brandt, DuD 2010, 213, 214. 135
94
B. Datenschutz und Betriebsverfassungsrecht im Wechselspiel
tivvertragliche datenschutzrechtliche Regelungen dem BDSG als lex specialis grundsätzlich vor. Ein Rückgriff auf das BDSG bleibt jedoch möglich, wenn der Anwendungsbereich der jeweiligen kollektivvertraglichen Regelung nicht eröffnet oder sie wegen Verstoßes gegen höherrangiges Recht unwirksam ist.
4. Überblick über die Stellung datenschutzrechtlicher Betriebsvereinbarungen im System des Datenschutzes Die Frage nach der Konkurrenz von datenschutzrechtlichen Betriebsvereinbarungen und BDSG stellt sich nur, wenn sowohl der nationale Gesetzgeber als auch die Kollektivpartner beide zur Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel tätig geworden sind. Denn nur dort stehen sich BDSG und Betriebsvereinbarung unmittelbar gegenüber. Enthält das BDSG indes keine Spezialregelung im Hinblick auf eine bestimmte Fragestellung, tritt die Betriebsvereinbarung in direkte Konkurrenz zur DSGVO. Beide Fälle sind jedoch nach denselben Grundsätzen aufzulösen: Kollektivvertragliche Normen gehen sowohl der DSGVO als auch dem BDSG vor, soweit sie denselben Sachverhalt regeln wie die jeweils konkurrierende gesetzliche Vorschrift und sie sich innerhalb des durch das Gesetz zwingend vorgegebenen Regelungsrahmens halten. Ein Rückgriff auf die konkurrierende gesetzliche Vorschrift bleibt denkbar, wenn die kollektivvertragliche Regelung unwirksam oder ihr Anwendungsbereich gar nicht erst eröffnet ist.
III. Ein erstes Zwischenergebnis: Ein Nebeneinander der Regelungskomplexe Auf betrieblicher Ebene treffen mit DSGVO, BDSG, BetrVG und datenschutzrechtlichen Betriebsvereinbarungen komplementäre, aber dennoch wechselseitig ineinandergreifende Regelungskomplexe aufeinander. Daraus resultieren Probleme, soweit ihre Vorschriften inhaltlich voneinander abweichende Vorgaben enthalten. Grundsätzlich besteht ein Anwendungsvorrang der DSGVO gegenüber nationalen Rechtsvorschriften. Jedoch wird dieser Grundsatz für den Beschäftigtendatenschutz durch die in Art. 88 Abs. 1 DSGVO enthaltene Öffnungsklausel gelockert. Soweit sich die Vorschriften des BDSG innerhalb des durch Art. 88 DSGVO abgesteckten Rahmens halten, gehen sie ihr daher vor. Keine derartige Vorrangstellung kann demgegenüber das BetrVG beanspruchen. Seine Regelungen können von Vornherein nicht der Ausgestaltung von Art. 88 Abs. 1 DSGVO dienen, da ihr Regelungsgrund die aktive Teilhabe an betrieblichen Entscheidungsprozessen und nicht der Schutz der Persönlichkeitsrechte der Arbeitnehmer ist. Bedeutung kann das BetrVG für den Beschäftigtendatenschutz dennoch erlangen, wo die DSGVO wiederum hinter den Vorschriften des BDSG zurücktritt. Denn auf dessen Verhältnis zum BetrVG findet
III. Ein erstes Zwischenergebnis
95
die nationale Kollisionsregel des § 1 Abs. 2 BDSG Anwendung. Danach sind die Vorschriften des BDSG gegenüber bereichsspezifischen Regelungen subsidiär, sofern eine Tatbestandskongruenz besteht, die bereichsspezifische Regelung mithin denselben Datenverarbeitungsvorgang betrifft wie die konkurrierende Norm des BDSG und dabei die Art der zu verarbeitenden Daten, den Zweck sowie Art und Weise des Verarbeitungsvorgangs präzise regelt. Diesen Anforderungen genügen zunächst § 80 Abs. 2 S. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG. Die Normen räumen dem Betriebsrat Informationsansprüche in Bezug auf bestimmte personenbezogene Beschäftigtendaten ein und enthalten damit eigenständige Erlaubnistatbestände, die innerhalb ihres Anwendungsbereichs denen des § 26 BDSG vorgehen. Zudem kommt auch den Verschwiegenheitspflichten des BetrVG subsidiaritätsbegründende Wirkung zu, sodass sie einen Rückgriff auf konkurrierende Vorschriften des BDSG ausschließen. Daher kann eine nach dem BetrVG unzulässige Datenverarbeitung nicht durch Rückgriff auf die in § 26 BDSG enthaltenen Erlaubnistatbestände gerechtfertigt werden. Vervollständigt wird das Bild durch datenschutzrechtliche Betriebsvereinbarungen, für die sowohl im Verhältnis zur DSGVO als auch zum BDSG gilt: Regelt eine kollektivvertragliche Norm denselben Sachverhalt wie eine konkurrierende gesetzliche Vorschrift, so ist sie grundsätzlich vorrangig anzuwenden, sofern sie nicht den durch das Gesetz zwingend vorgegebenen Regelungsrahmen überschreitet. Ein Rückgriff auf die gesetzlichen Vorschriften ist indes zweifellos möglich, wenn die jeweilige kollektivvertragliche Regelung unwirksam oder ihr Anwendungsbereich gar nicht erst eröffnet ist.
C. Kompetenzen des Betriebsrats – Kontrolle der Einhaltung des Datenschutzrechts Der Betriebsrat wird in der Literatur immer wieder als „Hüter“1 oder auch „Wächter“2 des Beschäftigtendatenschutzes beschrieben. Dies sind treffende Bezeichnungen, da er eine bedeutende Rolle für den betrieblichen Datenschutz spielt, soweit es um die Wahrung datenschutzrechtlicher Interessen der Belegschaft geht.3 Diese Rolle ergibt sich jedoch nicht primär aus dem Datenschutz-, sondern vielmehr aus dem Betriebsverfassungsrecht.4 Ausgangspunkt ist § 75 Abs. 2 S. 1 BetrVG, der den Betriebsrat verpflichtet, „die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern“. Damit bildet § 75 Abs. 2 S. 1 BetrVG die Grundlage der datenschutzrechtlichen Funktion des Betriebsrats,5 indem die Norm den Beschäftigtendatenschutz zu seiner gesetzlichen Aufgabe macht.6 Sie erlegt ihm nicht nur eine Schutzpflicht auf, sondern verpflichtet ihn zugleich, aktiv darauf hinzuwirken, dass im jeweiligen Betrieb Rahmenbedingungen geschaffen werden, um die Einhaltung des Beschäftigtendatenschutzes zu fördern.7 Allerdings enthält § 75 Abs. 2 S. 1 BetrVG nur eine Zielvorgabe für die Tätigkeit des Betriebsrats,8 ohne ihm jedoch konkrete Handlungsmöglichkeiten aufzuzeigen oder gar Verpflichtungen detailliert vorzugeben. Es handelt sich vielmehr um eine Generalklausel, die erst durch die speziellen Kompetenznormen des BetrVG konkretisiert wird.9 Diese gilt es daher näher zu beleuchten, um herauszuarbeiten, welche Kompetenzen dem Betriebsrat im Beschäftigtendatenschutz zugunsten der Be-
1 Kort, NZA 2015, 1345, 1346; Kramer/Raif, IT-Arbeitsrecht, 2. Aufl. 2019, Kollektives Arbeitsrecht Rn. 1. 2 Pötters/Gola, RDV 2017, 279, 282. 3 Kort, ZD 2017, 3, 5; Pötters/Gola, RDV 2017, 279, 282. 4 Kort, NZA 2015, 1345, 1346; Kramer/Raif, IT-Arbeitsrecht, 2. Aufl. 2019, Kollektives Arbeitsrecht Rn. 1 f. 5 Kort, NZA 2015, 1345, 1346. 6 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1189 Rn. 14; GK-BetrVG/ Kreutz/Jacobs, 11. Aufl. 2018, § 75 Rn. 126; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 60; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 231; Wybitul, NZA 2014, 225, 226. 7 Gola, BB 2017, 1462, 1469. 8 Gola, BB 2017, 1462, 1469; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 44. 9 So ausdrücklich für das Verhältnis von § 75 Abs. 2 S. 1 BetrVG und § 80 Abs. 1 Nr. 1 BetrVG Schierbaum, AiB 2001, 512, 520.
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
97
schäftigten zukommen und inwieweit seine Aufgaben durch die DSGVO eine inhaltliche Veränderung erfahren haben.10
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats Der Arbeitgeber kann aufgrund des im Arbeitsverhältnis zulasten des Arbeitnehmers bestehenden strukturellen Ungleichgewichts maßgeblichen Einfluss auf die Verarbeitung personenbezogener Daten der Beschäftigten im Betrieb nehmen.11 Um dieser Gefahr effektiv zu begegnen bedarf es – über die Vorschriften von DSGVO und BDSG hinaus – passgenauer, präzise auf den einzelnen Betrieb zugeschnittener Regelungen.12 Dies kann erreicht werden, indem der Betriebsrat im Rahmen der ihm zustehenden Mitbestimmungsrechte auf betrieblicher Ebene regulatorisch tätig wird.13 Angelegt ist dies auch im Datenschutzrecht. Bereits Art. 88 Abs. 1 DSGVO räumt den Mitgliedstaaten das Recht ein, im Beschäftigungskontext die Schaffung spezifischerer Vorschriften zum Schutz personenbezogener Daten auch durch Kollektivvereinbarungen zuzulassen. Damit kommt zum Ausdruck, dass der Unionsgesetzgeber die Rolle der Mitarbeitervertretungen auf nationaler Ebene grundsätzlich achtet. Daran anknüpfend bestimmt § 26 Abs. 6 BDSG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten – und damit auch die des Betriebsrats – „unberührt“ bleiben. Dies erfasst unzweifelhaft seine betriebsverfassungsrechtlichen Mitbestimmungsrechte.14 Das Datenschutzrecht soll mithin nichts am grundsätzlichen Bestand der Mitbestimmungsrechte des Betriebsrats ändern,15 was jedoch freilich nur dort gelten kann, wo ihm das Betriebsverfassungsrecht überhaupt ein solches Recht zugesteht. Allein aus dem Umstand, dass die Schaffung eines betriebsverfassungsrechtlichen Mitbestimmungsrechts angesichts der Gefahren für die Persönlichkeitsrechte der Arbeitnehmer wünschenswert oder sogar geboten erscheint, kann sich ein solches Recht nämlich nicht herleiten lassen.16 Denn die Persönlichkeitsrechte der repräsentierten Arbeitnehmer sind höchstpersönliche Rechte, weshalb sie nicht Grundlage von Ansprüchen des Betriebsrats10
Inwiefern der Betriebsrat bei seiner eigenen Tätigkeit an die Vorgaben des Datenschutzrechts gebunden ist und seine betriebsverfassungsrechtlichen Rechte durch DSGVO oder BDSG ihrerseits Einschränkungen erfahren, wird hingegen erst an späterer Stelle erörtert, s. dazu Gliederungspunkt E. III. 11 Herfurth, ZD 2018, 514, 518; Schwarze, RdA 2019, 115, 119. 12 Schwarze, RdA 2019, 115, 119. 13 Schwarze, RdA 2019, 115, 119; zur Mitbestimmung des Betriebsrats im Bereich PeopleAnalytics s. Götz, Big Data im Personalmanagement, 2020, S. 186 ff. 14 Fitting, BetrVG, 30. Aufl. 2020, § 83 Rn. 19; Kort, NZA 2018, 1097, 1103. 15 Kort, NZA 2018, 1097, 1103. 16 BAG, Beschl. v. 14. 9. 1984 – 1 ABR 23/82, NZA 1985, 28, 30; Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 100.
98
C. Kompetenzen des Betriebsrats
gremiums sein können.17 Vielmehr stehen dem Betriebsrat Mitbestimmungsrechte nur dort zu, wo sie ihm durch das BetrVG ausdrücklich eingeräumt werden.
1. Mitbestimmung in sozialen Angelegenheiten In einem ersten Schritt ist die Mitbestimmung in sozialen Angelegenheiten näher zu beleuchten. Zentrale Bedeutung erlangt dabei § 87 Abs. 1 Nr. 6 BetrVG, der dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ einräumt. Dieses Mitbestimmungsrecht wird sowohl in der Rechtsprechung als auch in der Literatur extensiv ausgelegt, sodass es die Grundlage weitreichender datenschutzrechtlicher Kompetenzen des Betriebsrats bildet: Der Betriebsrat kann sowohl auf das „Ob“ als auch das „Wie“ der Überwachung Einfluss nehmen,18 solange die Arbeitnehmerüberwachung nur tatsächlich durch eine technische Einrichtung erfolgen soll – bei sonstigen Überwachungsmaßnahmen greift das Mitbestimmungsrecht hingegen nicht ein.19 Denn nur die Überwachung unter Einsatz technischer Hilfsmittel birgt wegen ihrer Anonymität eine besondere Gefahr für die Persönlichkeitsrechte der Arbeitnehmer.20 Zudem kann eine Überwachung mit Hilfe technischer Einrichtungen Informationen zutage fördern, die dem Arbeitgeber bei einer rein analogen Mitarbeiterkontrolle nicht zugänglich wären, da er nur durch den Einsatz technischer Hilfsmittel seine Arbeitnehmer einerseits in zeitlicher Hinsicht unbegrenzt überwachen kann und diese andererseits die Überwachung häufig gar nicht wahrnehmen werden und sich ihr damit auch nicht entziehen können.21 Ausreichend ist daher, dass die jeweilige technische Einrichtung objektiv zur Arbeitnehmerüberwachung geeignet ist,22 ohne dass der Arbeitgeber sie dazu auch tatsächlich einsetzen muss.23 17 BAG, Beschl. v. 21. 11. 2017 – 1 ABR 47/16, NZA 2018, 380 Rn. 18; BAG, Beschl. v. 4. 12. 2013 – 7 ABR 7/12, NZA 2014, 803 Rn. 39. 18 Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 525; Schwarze, RdA 2019, 115, 119. 19 So beispielsweise für die Überwachung durch Vorgesetze oder sonstige Personen BAG, Urt. v. 18. 11. 1999 – 2 AZR 743/98, NZA 2000, 418 Ls. 2; BAG, Urt. v. 27. 6. 1989 – 1 ABR 19/ 88, NZA 1989, 929, 931; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 224; GK-BetrVG/Wiese/ Gutzeit, 11. Aufl. 2018, § 87 Rn. 529; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 87 Rn. 252; zum Einsatz von Privatdetektiven Thüsing/Rombey, NZA 2018, 1105, 1110. 20 Dahl/Brink, NZA 2018, 1231, 1232. 21 BAG, Beschl. v. 10. 12. 2013 – 1 ABR 43/12, NZA 2014, 439, 441 f. Rn. 27; BAG, Beschl. v. 8. 11. 1994 – 1 ABR 20/94, NZA 1995, 313; BAG, Beschl. v. 6. 12. 1983 – 1 ABR 43/ 81, NJW 1984, 1476, 1483; Dahl/Brink, NZA 2018, 1231, 1232; GK-BetrVG/Wiese/Gutzeit, BetrVG, 11. Aufl. 2018, § 87 Rn. 509. 22 BAG, Beschl. v. 13. 12. 2016 – 1 ABR 7/15, NZA 2017, 657, 659 Rn. 22; BAG, Beschl. v. 10. 12. 2013 – 1 ABR 43/12, NZA 2014, 439, 440 Rn. 20; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 226; GK-BetrVG/Wiese/Gutzeit, 11. Aufl. 2018, § 87 Rn. 532; a. A. Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 513.
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
99
Durch die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung derartiger Überwachungseinrichtungen sollen die Arbeitnehmer präventiv vor Eingriffen in ihre Persönlichkeitsrechte geschützt werden.24 Dazu wird dem Betriebsrat eine starke Position eingeräumt,25 denn § 87 Abs. 1 Nr. 6 BetrVG normiert ein zwingendes Mitbestimmungsrecht, sodass der Arbeitgeber zum einen die in Aussicht genommenen Maßnahmen nicht ohne vorherige Einigung mit dem Betriebsrat ergreifen darf und dem Betriebsrat zum anderen ein Initiativrecht zusteht,26 soweit er selbst Maßnahmen treffen möchte, um Gefahren für die Persönlichkeitsrechte der Arbeitnehmer abzuwenden.27 Mithin kann er im Rahmen von § 87 Abs. 1 Nr. 6 BetrVG die durch den Arbeitgeber geplante Einführung und Anwendung technischer Einrichtungen vorab auf ihre datenschutzrechtliche Zulässigkeit überprüfen.28 Dabei ist der Betriebsrat seinerseits wiederum an die Vorgaben des Datenschutzrechts gebunden.29 Seine Entscheidung, die Zustimmung zu einer vom Arbeitgeber geplanten Maßnahme zu erteilen oder zu verweigern, muss sich daher an der datenschutzrechtlichen Zulässigkeit der Überwachungsmaßnahme messen lassen.30 Über diese allgemeine Bindung an die Vorschriften des Datenschutzrechts hinaus hat der Betriebsrat bei der Ausübung seines Mitbestimmungsrechts zu berücksichtigen, dass § 87 Abs. 1 Nr. 6 BetrVG gerade auf den Schutz der Persönlichkeitsrechte der Arbeitnehmer abzielt.31 Diesem Ziel darf seine Tätigkeit nicht widersprechen.32 Daher kann er beispielsweise sein Initiativrecht nicht nutzen, um unabhängig von einem entsprechenden Willen des Arbeitgebers selbst die Einführung einer technischen Überwachungseinrichtung zu verlangen.33 Damit wird sein Mitbestimmungsrecht nicht nur durch die ausdrücklich normierten gesetzlichen Vorgaben des Datenschutzrechts begrenzt. Vielmehr muss der Betriebsrat die
23 Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 226; Fuhlrott, ArbRAktuell 2019, 90, 92; GKBetrVG/Wiese/Gutzeit, BetrVG, 11. Aufl. 2018, § 87 Rn. 533. 24 Althoff, ArbRAktuell 2018, 414, 417; GK-BetrVG/Wiese/Gutzeit, 11. Aufl. 2018, § 87 Rn. 509; Grimm/Schiefer, RdA 2009, 329, 337. 25 Fuhlrott, ArbRAktuell 2019, 90, 92. 26 Althoff, ArbRAktuell 2018, 414, 417. 27 GK-BetrVG/Wiese/Gutzeit, 11. Aufl. 2018, § 87 Rn. 597. 28 Althoff, ArbRAktuell 2018, 414, 417. 29 Dahl/Brink, NZA 2018, 1231, 1234; zur Frage wie weit diese Bindung konkret reicht s. Gliederungspunkt E. III. 30 Ehmann, NZA 1993, 241, 245. 31 BAG, Beschl. v. 28. 11. 1989 – 1 ABR 97/88, NZA 1990, 406, 407; Ehmann, NZA 1993, 241, 245; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 251; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 530; Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 7. 32 BAG, Beschl. v. 28. 11. 1989 – 1 ABR 97/88, NZA 1990, 406, 408. 33 BAG, Beschl. v. 28. 11. 1989 – 1 ABR 97/88, NZA 1990, 406, 407 f.; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 251; GK-BetrVG/Wiese/Gutzeit, 11. Aufl. 2018, § 87 Rn. 597; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 87 Rn. 530.
100
C. Kompetenzen des Betriebsrats
Wahrung datenschutzrechtlicher Belange der Arbeitnehmer zur Maxime seines Handelns machen. Daneben steht dem Betriebsrat gem. § 87 Abs. 1 Nr. 1 BetrVG ein Mitbestimmungsrecht bei „Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb“ zu. Dies erstreckt sich auf sämtliche allgemeingültige Verhaltensregeln, die darauf gerichtet sind, das Ordnungsverhalten der Arbeitnehmer im Betrieb zu beeinflussen.34 Nicht erfasst und damit mitbestimmungsfrei sind hingegen solche Regelungen, die das Arbeitsverhalten betreffen, d. h. die Arbeitspflicht unmittelbar konkretisieren.35 Datenschutzrechtliche Relevanz erlangt § 87 Abs. 1 Nr. 1 BetrVG dabei, wenn eine entsprechende Maßnahme oder Regelung des Arbeitgebers zur Verarbeitung personenbezogener Daten der im Betrieb beschäftigten Arbeitnehmer führt.36 Dies gilt beispielsweise für Überwachungsmaßnahmen, die zwar nicht unter Einsatz technischer Einrichtungen erfolgen, aber auf die Kontrolle des betrieblichen Ordnungsverhaltens der Arbeitnehmer gerichtet sind und daher der Mitbestimmung nach § 87 Abs. 1 Nr. 1 BetrVG unterliegen.37 Damit hat das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG eigenständige datenschutzrechtliche Bedeutung neben § 87 Abs. 1 Nr. 6 BetrVG.38 Auch im Rahmen von § 87 Abs. 1 Nr. 1 BetrVG markiert in erster Linie der Zweck des Mitbestimmungsrechts die inhaltliche Grenze der den Betriebspartnern zukommenden Regelungsbefugnis.39 Durch § 87 Abs. 1 Nr. 1 BetrVG soll den Arbeitnehmern die gleichberechtigte Beteiligung an der Gestaltung der Ordnung des Betriebes ermöglicht werden.40 Dies ist notwendig, da der Arbeitgeber die Arbeitsorganisation vorgibt, innerhalb derer die Arbeitnehmer ihre Arbeitsleistung
34 ErfK/Kania, 20. Aufl. 2020, § 87 BetrVG Rn. 18; GK-BetrVG/Wiese, 11. Aufl. 2018, § 87 Rn. 182; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 87 Rn. 176. 35 BAG, Beschl. v. 25. 9. 2012 – 1 ABR 50/11, NZA 2013, 467, 468 Rn. 14; BAG, Beschl. v. 27. 1. 2004 – 1 ABR 7/03, NZA 2004, 556, 557; BAG, Beschl. v. 11. 6. 2002 – 1 ABR 46/01, NZA 2002, 1299; BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 168; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 65. 36 Gola, BB 2017, 1462, 1471. 37 Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 69; so beispielhaft aus der Rechtsprechung zur Bescheinigung der Notwendigkeit eines Arztbesuches BAG, Beschl. v. 21. 1. 1997 – 1 ABR 53/ 96, NZA 1997, 785; ein Mitbestimmungsrecht dagegen verneinend bei der Arbeitszeitmessung durch manuell betätigte Stoppuhren BAG, Beschl. v. 8. 11. 1994 – 1 ABR 20/94, NZA 1995, 313. 38 Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 69; die eigenständige Bedeutung des Tatbestands zeigt sich auch bei BAG, Beschl. v. 8. 11. 1994 – 1 ABR 20/94, NZA 1995, 313 f. 39 Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 63. 40 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 63/10, NZA 2012, 685, 686 Rn. 16; BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 167; BAG, Beschl. v. 18. 4. 2000 – 1 ABR 22/99, NZA 2000, 1176, 1177; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 63; GK-BetrVG/Wiese, 11. Aufl. 2018, § 87 Rn. 175.
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
101
erbringen müssen und sie zugleich dessen Weisungen unterliegen.41 Damit ist jedoch auch klar, dass der Schutz der Persönlichkeitsrechte der Arbeitnehmer jedenfalls nicht primäres Ziel von § 87 Abs. 1 Nr. 1 BetrVG ist und damit – anders als im Rahmen von § 87 Abs. 1 Nr. 6 BetrVG – nicht zur Maxime für die Ausübung des Mitbestimmungsrechts gemacht werden kann. Zwar bildet das informationelle Selbstbestimmungsrecht der Arbeitnehmer mit Blick auf § 75 Abs. 2 S. 1 BetrVG eine allgemeine Schranke für die Regelungsbefugnis der Betriebspartner,42 sodass ihre Persönlichkeitsrechte letztlich auch dem Mitbestimmungsrecht des § 87 Abs. 1 Nr. 1 BetrVG eine Grenze ziehen.43 Jedoch folgt daraus allein, dass jede Ordnungsvorschrift, die Arbeitgeber und Betriebsrat auf Grundlage von § 87 Abs. 1 Nr. 1 BetrVG einführen, einer Abwägung zwischen den Persönlichkeitsrechten der Arbeitnehmer und den mit der Regelung verfolgten kollektiven Interessen standhalten muss.44 Der Betriebsrat hat mithin bei der Ausübung seines Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 1 BetrVG die Persönlichkeitsrechte der Arbeitnehmer zu achten, aber nicht zur Maxime seines Handelns zu machen. Dies bedeutet, dass er die datenschutzrechtlichen Belange der Beschäftigten zwar im Rahmen der vorzunehmenden Interessenabwägung berücksichtigen, ihnen aber nicht zwingend den Vorzug vor anderen, konkurrierenden Interessen einräumen muss. Unabhängig davon hat der Betriebsrat zudem auch bei Ausübung seines Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 1 BetrVG die zwingenden gesetzlichen Vorgaben des Beschäftigtendatenschutzes einzuhalten. Datenschutzrechtliche Bedeutung können daneben sowohl die übrigen in § 87 Abs. 1 BetrVG normierten Mitbestimmungstatbestände,45 als auch die freiwillige Mitbestimmung nach § 88 BetrVG erlangen, sodass auch sie als Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats anzusehen sind. So kann der Betriebsrat im Rahmen von § 88 BetrVG datenschutzrechtliche Fragen im Einvernehmen mit dem Arbeitgeber in einer freiwilligen Betriebsvereinbarung regeln.46 Dabei unterliegt die Regelungsmacht der Betriebspartner wiederum den allgemeinen Schranken:47 Sie müssen grundrechtliche Wertentscheidungen berücksichtigen,48 41
BAG, Beschl. v. 7. 2. 2012 – 1 ABR 63/10, NZA 2012, 685, 686 Rn. 16; BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 167; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 63; GK-BetrVG/Wiese, 11. Aufl. 2018, § 87 Rn. 175. 42 DKW/Berg, BetrVG, 17. Aufl. 2020, § 75 Rn. 114; Gundelach, NZA 2018, 1606, 1607. 43 Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 70; GK-BetrVG/Wiese, 11. Aufl. 2018, § 87 Rn. 241; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 87 Rn. 147. 44 BAG, Urt. v. 21. 8. 1990 – 1 AZR 567/89, NZA 1991, 154, 156; GK-BetrVG/Wiese, 11. Aufl. 2018, § 87 Rn. 241. 45 So für § 87 Abs. 1 Nr. 7 BetrVG BAG, Beschl. v. 21. 11. 2017 – 1 ABR 47/16, NZA 2018, 380, 383 Rn. 26 ff. auch wenn ein Mitbestimmungsrecht im Fall wegen der konkreten Ausgestaltung der Mitarbeiterbefragung verneint wurde. 46 So auch GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 88 Rn. 12; Schrey/Kielkowski, BB 2018, 629, 630; Taeger/Rose, 2016, 819, 828. 47 St. Rspr., s. beispielhaft BAG, Urt. v. 5. 3. 2013 – 1 AZR 417/12, NZA 2013, 916, 918 Rn. 24; BAG, Urt. v. 12. 4. 2011 @ 1 AZR 412/09, NZA 2011, 989, 990 Rn. 20; BAG, Urt. v.
102
C. Kompetenzen des Betriebsrats
sodass das informationelle Selbstbestimmungsrecht der Beschäftigten die erste Grenze für die Regelungsbefugnis der Betriebspartner markiert.49 Eingriffe in diese grundrechtlich geschützte Position dürfen auch durch die Betriebspartner nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit erfolgen.50 Darüber hinaus müssen sie sonstiges höherrangiges Recht beachten,51 wodurch sie wiederum an gesetzliche datenschutzrechtliche Vorgaben – insbesondere von DSGVO und BDSG – gebunden werden.52 Dadurch werden die datenschutzrechtlichen Interessen der Arbeitnehmer auch im Rahmen von § 88 BetrVG zur Grenze der Regelungsbefugnis der Betriebspartner, bilden jedoch nicht die ausschließliche Maxime des Handelns des Betriebsrats. Damit wird neben den Mitbestimmungstatbeständen des § 87 Abs. 1 BetrVG auch § 88 BetrVG zur gesetzlichen Grundlage der datenschutzrechtlichen Kompetenzen des Betriebsrats. Allerdings räumt die Norm ihm eine vergleichsweise schwache Rechtsposition ein, da der Betriebsrat zwar ein Regelungsbegehren gegenüber dem Arbeitgeber vorbringen, die von ihm gewünschte Regelung aber – anders als gem. § 87 Abs. 2 BetrVG bei der zwingenden Mitbestimmung – nicht vor der Einigungsstelle erzwingen kann.53 Vielmehr muss der Arbeitgeber sich gar nicht erst auf Verhandlungen einlassen,54 sondern kann das Regelungsbegehren des Betriebsrats auch ohne tiefergehende Begründung ablehnen.55 Regelungen können im Rahmen der freiwilligen Mitbestimmung mithin nur im beiderseitigen Einvernehmen von Arbeitgeber und Betriebsrat getroffen werden.56 Daher ist der Betriebsrat im Rahmen von § 88 BetrVG darauf beschränkt, datenschutzrechtliche Regelungen anzuregen, wobei er auf das freiwillige Entgegenkommen des Arbeitgebers angewiesen ist und damit die datenschutzrechtlichen Interessen der Arbeitnehmer 12. 12. 2006 – 1 AZR 96/06, NZA 2007, 453, 455 Rn. 22; GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 88 Rn. 7; Schaub/Koch, ArbR HdB, 18. Aufl. 2019, § 236 Rn. 2. 48 BAG, Urt. v. 5. 3. 2013 – 1 AZR 417/12, NZA 2013, 916, 918 Rn. 26; BAG, Urt. v. 12. 4. 2011 @ 1 AZR 412/09, NZA 2011, 989, 990 Rn. 20; BAG, Urt. v. 12. 12. 2006 – 1 AZR 96/06, NZA 2007, 453, 455 Rn. 23; Fitting, BetrVG, 30. Aufl. 2020, § 88 Rn. 8. 49 Gundelach, NZA 2018, 1606, 1607. 50 BAG, Urt. v. 12. 4. 2011 @ 1 AZR 412/09, NZA 2011, 989, 990 f. Rn. 12, 29 ff.; BAG, Urt. v. 12. 12. 2006 – 1 AZR 96/06, NZA 2007, 453, 455 Rn. 22; Fitting, BetrVG, 30. Aufl. 2020, § 88 Rn. 8; Linsenmaier, RdA 2014, 336, 338. 51 BAG, Urt. v. 5. 3. 2013 – 1 AZR 417/12, NZA 2013, 916, 918 Rn. 24; BAG, Urt. v. 12. 12. 2006 – 1 AZR 96/06, NZA 2007, 453, 455 Rn. 22; Fitting, BetrVG, 30. Aufl. 2020, § 88 Rn. 4; Schaub/Koch, ArbR HdB, 18. Aufl. 2019, § 236 Rn. 3. 52 Zu den Grenzen datenschutzrechtlicher Betriebsvereinbarungen s. Gliederungspunkt D. II. 53 Fitting, BetrVG, 30. Aufl. 2020, § 88 Rn. 7; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 88 Rn. 1; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 88 Rn. 2. 54 GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 88 Rn. 3. 55 HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 88 Rn. 1. 56 GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 88 Rn. 3; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 88 Rn. 2.
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
103
deutlich weniger effektiv durchsetzen kann, als im Rahmen der zwingenden Mitbestimmung nach § 87 BetrVG.
2. Mitbestimmung in personellen Angelegenheiten Daneben tritt die Mitbestimmung in personellen Angelegenheiten. Datenschutzrechtliche Relevanz erlangen dabei grundsätzlich alle Mitbestimmungsrechte, deren Ausübung voraussetzt, dass der Betriebsrat mit personenbezogenen Daten in Kontakt kommt.57 Nicht alle dieser Vorschriften räumen dem Betriebsrat aber auch tatsächlich eine Kompetenz zur Wahrung datenschutzrechtlicher Interessen der Beschäftigten ein. Denn häufig wird der Betriebsrat nicht zum Schutz ihrer personenbezogenen Daten tätig, sondern gerät vielmehr sogar selbst in Konflikt mit den Vorgaben des Datenschutzrechts, wenn er Beschäftigtendaten verarbeitet, um auf dieser Grundlage seine Mitbestimmungsrechte effektiv ausüben zu können. Nur soweit primäres Ziel des Mitbestimmungstatbestandes der Schutz personenbezogener Beschäftigtendaten ist, ist er als Grundlage einer spezifisch datenschutzrechtlichen Kompetenz des Betriebsrats anzusehen. Auf welche Vorschriften der Mitbestimmung in personellen Angelegenheiten dies konkret zutrifft, gilt es nachfolgend herauszuarbeiten. a) Mitbestimmung in allgemeinen personellen Angelegenheiten Zunächst fällt der Blick auf § 94 Abs. 1 BetrVG, der dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Erstellung von Personalfragebögen einräumt. Ergänzt wird die Regelung durch § 94 Abs. 2 BetrVG, der das Mitbestimmungsrecht auf persönliche Angaben in schriftlichen Arbeitsverträgen und Beurteilungsgrundsätze erweitert. Damit wird die gezielte Erhebung personenbezogener Beschäftigtendaten durch den Arbeitgeber – solange sie auf eine der genannten Arten erfolgt – der Mitbestimmung des Betriebsrats unterworfen.58 Die arbeitgeberseitige Datenerhebung soll dadurch auf diejenigen Informationen beschränkt werden, an deren Kenntnis er tatsächlich ein berechtigtes Interesse hat.59 Die Norm konkretisiert insofern die dem Betriebsrat durch § 75 Abs. 2 S. 1 BetrVG auferlegte Schutzpflicht.60 Der Persönlichkeitsschutz der Arbeitnehmer ist mithin primäres Ziel von § 94 Abs. 1
57
S. Gliederungspunkt A. II. 4. b) bb) (2) (b). Schwarze, RdA 2019, 115, 120; in diese Richtung auch Thüsing/Thüsing/Granetzny, Datenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 59. 59 BT-Drs. VI/1786, S. 50; Fitting, BetrVG, 30. Aufl. 2020, § 94 Rn. 2; GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 2; Schierbaum, AiB 2001, 512, 521. 60 GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 2; Ottmann, ArbRAktuell 2018, 493, 495; Schierbaum, AiB 2001, 512, 521. 58
104
C. Kompetenzen des Betriebsrats
und Abs. 2 BetrVG,61 wodurch die Norm zur Grundlage einer entscheidenden datenschutzrechtlichen Kompetenz des Betriebsrats wird. Kompetenzen des Betriebsrats für den Beschäftigtendatenschutz lassen sich zudem aus § 95 Abs. 1 und Abs. 2 BetrVG herleiten.62 Die Norm räumt dem Betriebsrat ein Recht zur Mitbestimmung bei der Erstellung von Auswahlrichtlinien für personelle Einzelmaßnahmen ein, um diese zu versachlichen und Personalentscheidungen transparenter zu machen.63 Damit ist zwar vorrangiges Ziel des Mitbestimmungsrechts nicht der Schutz personenbezogener Daten der Beschäftigten,64 dennoch hat die Ausgestaltung der Auswahlrichtlinien jedenfalls mittelbar erhebliche Auswirkungen auf die datenschutzrechtlichen Belange der Belegschaft. Denn möchte der Arbeitgeber eine personelle Einzelmaßnahme vornehmen, bei der die Auswahl des konkret betroffenen Arbeitnehmers auf Grundlage einer Richtlinie i. S. d. § 95 BetrVG erfolgt, so gibt diese dem Arbeitgeber vor, welche Kriterien er bei seiner Entscheidung zu berücksichtigen hat.65 Damit bestimmt letztlich der Inhalt der Richtlinie, welche Informationen der Arbeitgeber über die für die personelle Maßnahme in Betracht kommenden Arbeitnehmer einzuholen und seiner Entscheidung zugrunde zu legen hat.66 Durch seine Mitbestimmung bei der Aufstellung der Auswahlrichtlinien kann der Betriebsrat daher auch Einfluss auf die durch den Arbeitgeber zu erhebenden Daten nehmen und damit auf die Schaffung eines sachgerechten Ausgleichs zwischen dem Informationsbedürfnis des Arbeitgebers und den Persönlichkeitsrechten der Arbeitnehmer hinwirken. Dies zugrunde legend ergeben sich spezifisch datenschutzrechtliche Kompetenzen mithin auch aus den Mitbestimmungsrechten des § 95 Abs. 1 und Abs. 2 BetrVG. 61 BAG, Beschl. v. 21. 9. 1993 – 1 ABR 28/93, NZA 1994, 375, 376; BAG, Beschl v. 9. 7. 1991 – 1 ABR 57/90, NZA 1992, 126, 129; ErfK/Kania, 20. Aufl. 2020, § 94 BetrVG Rn. 1; Fitting, BetrVG, 30. Aufl. 2020, § 94 Rn. 2; GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 2; Ottmann, ArbRAktuell 2018, 493, 495; dies gilt auch im Rahmen des § 94 Abs. 2 BetrVG, da der Arbeitnehmer durch die Offenlegung personenbezogener Daten in Fragebögen und schriftlichen Arbeitsverträgen gleichermaßen belastet wird, s. GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 3. 62 Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 60; i. E. ebenso Weth/Herberger/Wächter/Sorge/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 14. 63 BT-Drs. VI/1786, S. 50; BAG, Beschl. v. 26. 7. 2005 – 1 ABR 29/04, NZA 2005, 1372 f.; BAG, Beschl. v. 31. 5. 1983 – 1 ABR 6/80, NZA 1984, 49, 50; ErfK/Kania, 20. Aufl. 2020, § 95 BetrVG Rn. 1; Fitting, BetrVG, 30. Aufl. 2020, § 95 Rn. 2; GK-BetrVG/Raab, 11. Aufl. 2018, § 95 Rn. 1. 64 A. A. Weth/Herberger/Wächter/Sorge/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 14, der den Beschäftigtendatenschutz ohne Begründung als vorrangiges Ziel der Regelung einordnet. 65 BAG, Beschl. v. 26. 7. 2005 – 1 ABR 29/04, NZA 2005, 1372 f.; BAG, Beschl. v. 27. 10. 1992 – 1 ABR 4/92, NZA 1993, 607, 610; Fitting, BetrVG, 30. Aufl. 2020, § 95 Rn. 7; GKBetrVG/Raab, 11. Aufl. 2018, § 95 Rn. 5, 13; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 95 Rn. 6. 66 Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 60.
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
105
Keine datenschutzrechtlichen Kompetenzen des Betriebsrats lassen sich hingegen aus seinen übrigen Mitbestimmungsrechten im Bereich allgemeiner personeller Angelegenheiten herleiten. Gleiches gilt für die Mitbestimmung im Rahmen der Berufsbildung. Denn keiner der maßgeblichen Normen liegt der Persönlichkeitsschutz der Arbeitnehmer als Ziel der Mitbestimmung zugrunde, wie es bei § 94 Abs. 1, Abs. 2 BetrVG der Fall ist. Auch fehlt es ihnen an einer § 95 BetrVG vergleichbaren, zumindest mittelbaren Auswirkung auf die datenschutzrechtlichen Belange der Belegschaft. Daher normieren insofern allein § 94 Abs. 1, Abs. 2 BetrVG und § 95 Abs. 1, Abs. 2 BetrVG datenschutzrechtliche Kompetenzen des Betriebsrats.67 b) Mitbestimmung bei personellen Einzelmaßnahmen Im Bereich personeller Einzelmaßnamen rückt zunächst § 99 Abs. 1 BetrVG in den Fokus, der die Wirksamkeit von Einstellungen, Eingruppierungen, Umgruppierungen oder Versetzungen an die Zustimmung des Betriebsrats knüpft. Dadurch soll Bestandsschutz sowohl für die Arbeitsverhältnisse der vorhandenen Belegschaft,68 als auch für den im Einzelfall betroffenen Arbeitnehmer gewährleistet werden.69 Daneben gewinnt § 102 BetrVG Bedeutung, der im Rahmen von Kündigungen eine Einwirkung des Betriebsrats auf den Willensbildungsprozess des Arbeitgebers ermöglicht, um Kündigungen zu verhindern und damit den Fortbestand des einzelnen Arbeitsverhältnisses zu schützen.70 Hinzu tritt § 103 Abs. 1 BetrVG, der die außerordentliche Kündigung von Mitgliedern der Belegschaftsvertretung von der Zustimmung des Betriebsratsgremiums abhängig macht und damit verhindert, dass der Arbeitgeber sich unliebsamer Belegschaftsvertreter entledigen kann,71 wodurch die Funktionsfähigkeit des Gremiums erhalten werden soll.72 Dieser knappe Überblick zeigt, dass die Mitbestimmung des Betriebsrats im Bereich personeller Einzelmaßnahmen maßgeblich darauf abzielt, Bestandsschutz zugunsten der Gesamtbelegschaft einerseits und des konkret betroffenen Arbeitnehmers andererseits 67 Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 59 f. 68 BAG, Beschl. v. 27. 10. 2010 – 7 ABR 36/09, NZA 2011, 527, 529 Rn. 26; BAG, Beschl. v. 25. 1. 2005 – 1 ABR 59/03, NZA 2005, 945, 946; BAG, Beschl. v. 22. 4. 1997 – 1 ABR 74/96, NZA 1997, 1297, 1299; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 3; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 5; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 29. 69 BAG, Beschl. v. 8. 12. 2009 – 1 ABR 41/09, NZA 2010, 665, 667 Rn. 22; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 3; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 5. 70 BAG, Urt. v. 22. 9. 2016 – 2 AZR 700/15, NZA 2017, 304, 306 Rn. 25; GK-BetrVG/Raab, 11. Aufl. 2018, § 102 Rn. 3. 71 BT-Drs. VI/1786, S. 53; GK-BetrVG/Raab, 11. Aufl. 2018, § 103 Rn. 1. 72 BAG, Urt. v. 17. 9. 1981 – 2 AZR 402/79, NJW 1982, 2891, 2892; ErfK/Kania, 20. Aufl. 2020, § 103 BetrVG Rn. 1; Fitting, BetrVG, 30. Aufl. 2020, § 103 Rn. 1; GK-BetrVG/Raab, 11. Aufl. 2018, § 103 Rn. 1; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 98 Rn. 2.
106
C. Kompetenzen des Betriebsrats
zu gewährleisten. Hingegen ist die Wahrung des Beschäftigtendatenschutzes nicht Zweck der jeweiligen Regelungen. Denkbar ist eine abweichende Beurteilung allein im Hinblick auf § 99 Abs. 1 BetrVG. Denn der Betriebsrat kann seine Zustimmung zu einer geplanten personellen Maßnahme unter Berufung auf § 99 Abs. 2 Nr. 1 BetrVG verweigern, wenn die in Aussicht genommene Maßnahme gegen ein Gesetz verstößt. In Betracht kommt daher, dem Betriebsrat ein Zustimmungsverweigerungsrecht gem. § 99 Abs. 2 Nr. 1 BetrVG zuzubilligen, wenn das der personellen Maßnahme vorgelagerte Auswahlverfahren unter Verstoß gegen datenschutzrechtliche Bestimmungen erfolgt ist.73 Dann könnte er auf Grundlage von § 99 Abs. 2 Nr. 1 BetrVG zum Schutz personenbezogener Daten der Arbeitnehmer tätig werden, indem er die Zustimmung zu einer unter Verstoß gegen das Datenschutzrecht getroffenen Auswahlentscheidung verweigert. Allerdings setzt das Zustimmungsverweigerungsrecht nach § 99 Abs. 2 Nr. 1 BetrVG voraus, dass der Gesetzesverstoß gerade durch die Vornahme der geplanten Maßnahme eintritt und der Zweck der Verbotsnorm daher nur erreicht werden kann, wenn die jeweilige Maßnahme unterbleibt.74 Dazu muss in der Verbotsnorm selbst deutlich zum Ausdruck kommen, dass sie die Vornahme einer unter Verstoß gegen die jeweilige Norm zustande gekommenen Maßnahme verhindern will.75 Daher begründen Rechtsverstöße im Rahmen des der personellen Einzelmaßnahme vorgelagerten Auswahlverfahrens nur dann ein Zustimmungsverweigerungsrecht, wenn bei Vornahme der jeweiligen Maßnahme die Benachteiligung besonders schutzwürdiger Personen droht.76 Vor diesem Hintergrund hat die Rechtsprechung ein Zustimmungsverweigerungsrecht in der Vergangenheit beispielsweise bei Verstößen gegen Vorschriften zum Schutz von Schwerbehinderten77 oder Leiharbeitnehmern78 anerkannt. Demgegenüber beschränkt sich der Beschäftigtendatenschutz nicht auf eine bestimmte, besonders schützenswerte Personengruppe, sondern erstreckt sich auf sämtliche Personen, die dem Beschäftigtenbegriff 73 So für ein unzulässiges Drogenscreening s. Diller/Powietzka, NZA 2001, 1227, 1229; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 193; Weth/Herberger/Wächter/Sorge/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 26. 74 BAG, Beschl. v. 30. 9. 2014 – 1 ABR 79/12, NZA 2015, 240, 241 Rn. 14; BAG, Beschl. v. 10.10. 2012 – 7 ABR 42/11, NJOZ 2013, 1954, 1959 f. Rn. 65; BAG, Beschl. v. 17. 6. 2008 – 1 ABR 20/07, NZA 2008, 1139, 1141 Rn. 23; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 189a; HWGNRH/Huke, BetrVG, 10. Aufl. 2018, § 99 Rn. 183; differenzierend nach der Art der Maßnahme Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 211. 75 BAG, Beschl. v. 30. 9. 2014 – 1 ABR 79/12, NZA 2015, 240, 241 Rn. 14; BAG, Beschl. v. 10.10. 2012 – 7 ABR 42/11, NJOZ 2013, 1954, 1959 f. Rn. 65; BAG, Beschl. v. 17. 6. 2008 – 1 ABR 20/07, NZA 2008, 1139, 1141 Rn. 23. 76 BAG, Beschl. v. 10. 11. 1992 – 1 ABR 21/92, NZA 1993, 376, 377; BAG, Beschl. v. 14. 11. 1989 – 1 ABR 88/88, NZA 1990, 368; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 188. 77 BAG, Beschl. v. 17. 6. 2008 – 1 ABR 20/07, NZA 2008, 1139, 1141 Rn. 24 ff.; BAG, Beschl. v. 10. 11. 1992 – 1 ABR 21/92, NZA 1993, 376, 377 f.; BAG, Beschl. v. 14. 11. 1989 – 1 ABR 88/88, NZA 1990, 368. 78 BAG, Beschl. v. 30. 9. 2014 – 1 ABR 79/12, NZA 2015, 240, 241 f. Rn. 17 ff.
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
107
des § 26 Abs. 8 BDSG unterfallen. Zudem kommt in datenschutzrechtlichen Vorschriften kein hinreichend konkreter Wille des Gesetzgebers zum Ausdruck, unter Verstoß gegen die jeweiligen Normen vorgenommene personelle Einzelmaßnahmen zu verhindern, da vielmehr ein eigenständiges datenschutzrechtliches Sanktionssystems besteht. Dem Betriebsrat steht daher bei einem Verstoß gegen datenschutzrechtliche Vorschriften kein Zustimmungsverweigerungsrecht gem. § 99 Abs. 2 Nr. 1 BetrVG zu. Mithin begründet auch § 99 Abs. 1 BetrVG – ebenso wie die übrigen betriebsverfassungsrechtlichen Mitbestimmungsrechte im Bereich personeller Einzelmaßnahmen – keine spezifisch datenschutzrechtliche Kompetenz des Betriebsrats. c) Überblick über die Mitbestimmung in personellen Angelegenheiten Datenschutzrechtliche Relevanz kommt sämtlichen im Bereich personeller Angelegenheiten bestehenden Mitbestimmungsrechten des Betriebsrats zu, da sie dessen Umgang mit personenbezogenen Daten der Arbeitnehmer voraussetzen und ihn damit bei seiner Tätigkeit an die Vorgaben des Datenschutzrechts binden. Eine spezifische Kompetenz des Betriebsrats zugunsten des Beschäftigtendatenschutzes tätig zu werden, ergibt sich jedoch allein aus zwei Vorschriften: Zunächst § 94 Abs. 1, Abs. 2 BetrVG, der die gezielte Erhebung personenbezogener Beschäftigtendaten durch den Arbeitgeber der Mitbestimmung des Betriebsrats unterwirft und damit ermöglicht, die Datenerhebung auf diejenigen Informationen zu beschränken, an deren Kenntnis der Arbeitgeber tatsächlich ein berechtigtes Interesse hat. Hinzu treten § 95 Abs. 1 und Abs. 2 BetrVG, die Auswahlrichtlinien für personelle Einzelmaßnahmen von der Zustimmung des Betriebsrats abhängig machen und diesem damit mittelbar die Möglichkeit eröffnen, Einfluss darauf zu nehmen, welche Daten der Arbeitgeber im Vorfeld seiner Personalentscheidung erhebt.
3. Unterlassungs- und Beseitigungsansprüche als Folge der Verletzung datenschutzrechtlicher Mitbestimmungsrechte Führt der Arbeitgeber datenschutzrechtlich relevante Maßnahmen betriebsverfassungswidrig ohne Beteiligung des Betriebsrats durch, so stellt sich die Frage, welche Reaktionsmöglichkeiten für den Betriebsrat bestehen. Besondere Bedeutung erlangen dabei etwaige Unterlassungsansprüche, da diese ein aktives Vorgehen gegen das betriebsverfassungswidrige Verhalten des Arbeitgebers ermöglichen.79 Im Rahmen von § 87 Abs. 1 BetrVG sollen die dort aufgezählten Maßnahmen nach dem 79
Denkbar sind auch Beweisverwertungsverbote für solche Informationen, die der Arbeitgeber durch eine Maßnahme erlangt hat, die der Zustimmung des Betriebsrats bedurft hätte, s. beispielsweise Fuhlrott/Oltmanns, NZA 2019, 1105, 1107 f. Der vorliegende Abschnitt konzentriert sich allerdings auf die aktiven Handlungsmöglichkeiten des Betriebsrats, sodass auf die Frage nach etwaigen Beweisverwertungsverboten nicht einzugehen ist.
108
C. Kompetenzen des Betriebsrats
eindeutigen Willen des Gesetzgebers nur mit Zustimmung des Betriebsrats durchgeführt werden.80 Würde man ihm nun keinen Unterlassungsanspruch zugestehen, wenn seine Beteiligungsrechte durch den Arbeitgeber schlichtweg ignoriert werden, so wären sie gegen Beeinträchtigungen durch den Arbeitgeber nicht wirksam abgesichert.81 Zwar fehlt es an einem ausdrücklich normierten Unterlassungsanspruch,82 allerdings schafft § 87 Abs. 1 BetrVG im Bereich der sozialen Angelegenheiten eine besondere Rechtsbeziehung zwischen Arbeitgeber und Betriebsrat, indem er die Zustimmung des Betriebsrats zur Voraussetzung für die rechtliche Zulässigkeit des Verhaltens des Arbeitgebers macht.83 Diese von der Vorschrift angeordnete Einigungsnotwendigkeit darf nicht einseitig umgangen werden.84 Denn aus § 2 Abs. 1 BetrVG folgt das Gebot, jedes Verhalten zu unterlassen, das der Wahrnehmung konkreter Mitbestimmungsrechte entgegensteht.85 Legt man dies zugrunde, so lässt sich ein allgemeiner Unterlassungsanspruch des Betriebsrats gegen den Arbeitgeber herleiten, sofern dieser die in § 87 Abs. 1 BetrVG normierten Mitbestimmungsrechte verletzt.86 Voraussetzung ist allerdings, dass eine Wiederholungsgefahr besteht,87 wobei jedoch keine allzu strengen Maßstäbe anzulegen sind, denn bereits das mitbestimmungswidrige Verhalten des Arbeitgebers in der Vergangenheit begründet – sofern im Einzelfall keine gegenteiligen Anhaltspunkte bestehen – die ernsthafte Gefahr, dass er die Beteiligungsrechte des Betriebsrats auch in Zukunft übergehen wird.88 Verletzt der Arbeitgeber die datenschutzrechtlichen Mitbestimmungsrechte des § 87 Abs. 1 – insbesondere nach Nr. 1 und Nr. 6 – BetrVG, so steht dem Betriebsrat unter den genannten Voraussetzungen mithin ein Unterlassungsanspruch zu.89 Indes kann ein Unterlassungsanspruch nur künftigen Rechtsverletzungen vorbeugen. Um eine vollständige Absicherung betriebsverfassungsrechtlicher Beteiligungsrechte zu erreichen, bedarf es eines korrespondierenden Beseitigungsanspruchs, der dem Betriebsrat das Recht einräumt, die Aufhebung
80
BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40, 42. BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40, 43; Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 101. 82 In Betracht kommt allein ein Vorgehen gem. § 23 Abs. 3 BetrVG, sofern das Verhalten des Arbeitgebers einen groben Verstoß gegen die Pflicht zur Beachtung der Mitbestimmungsrechte des Betriebsrats darstellt, s. BAG, Beschl. v. 26. 3. 1991 – 1 ABR 26/90, NZA 1991, 729. 83 BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40, 42. 84 Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 87 Rn. 138; Richardi, NZA 1995, 8, 10. 85 BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40, 42. 86 BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40, 42; DKW/Klebe, BetrVG, 17. Aufl. 2020, § 87 Rn. 392. 87 BAG, Beschl. v. 29. 2. 2000 – 1 ABR 4/99, NZA 2000, 1066, 1068; DKW/Klebe, BetrVG, 17. Aufl. 2020, § 87 Rn. 392; Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 102. 88 BAG, Beschl. v. 29. 2. 2000 – 1 ABR 4/99, NZA 2000, 1066, 1068; Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 102. 89 Gola, BB 2017, 1462, 1472; Stück, ArbRAktuell 2019, 216, 219. 81
I. Datenschutzrechtlich relevante Mitbestimmungsrechte des Betriebsrats
109
von Maßnahmen zu verlangen, die der Arbeitgeber unter Verletzung betriebsverfassungsrechtlicher Mitbestimmungsrechte durchgeführt hat.90 Dieser allgemeine Unterlassungsanspruch besteht nach Ansicht der Rechtsprechung auch bei Verstößen des Arbeitgebers gegen die in § 95 Abs. 1, Abs. 2 BetrVG normierten Mitbestimmungsrechte, da er diese andernfalls nicht wirksam durchsetzen könne.91 Da dies gleichermaßen für § 94 Abs. 1, Abs. 2 BetrVG gilt, liegt es nahe, einen allgemeinen Unterlassungs- sowie einen korrespondierenden Beseitigungsanspruch auch bei einem arbeitgeberseitigen Verstoß gegen die dort normierten Mitbestimmungsrechte anzunehmen.92 Unabhängig davon steht dem Betriebsrat bei Vorliegen der entsprechenden Voraussetzungen in beiden Fällen zudem jedenfalls ein Anspruch nach § 23 Abs. 3 BetrVG zu.93
4. Eine Ordnung der Erkenntnisse: Mitbestimmungsrechte als Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats Die Mitbestimmungsrechte des BetrVG bilden eine zentrale Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats. Denn sowohl durch die Mitbestimmung gem. § 87 Abs. 1 Nr. 1, Nr. 6 BetrVG in sozialen als auch gem. § 94 Abs. 1, Abs. 2 BetrVG und § 95 Abs. 1, Abs. 2 BetrVG in personellen Angelegenheiten kann der Betriebsrat aktiv zum Schutz der Persönlichkeitsrechte der Arbeitnehmer tätig werden. Verletzt der Arbeitgeber zwingende Mitbestimmungsrechte des Betriebsrats, so steht diesem ein aus § 2 Abs. 1 BetrVG i. V. m. dem jeweiligen Mitbestimmungsrecht hergeleiteter allgemeiner Unterlassungsanspruch sowie hinsichtlich bereits eingetretener Rechtsverletzungen ein Beseitigungsanspruch zu. Zudem kann er gem. § 23 Abs. 3 BetrVG gegen den Arbeitgeber vorgehen. Wo sich aus dem Betriebsverfassungsrecht jedoch kein Mitbestimmungsrecht ergibt, lässt sich ein solches auch nicht aus datenschutzrechtlichen Erwägungen herleiten. Möglich bleibt dann allein der Weg über die freiwillige Mitbestimmung nach § 88 BetrVG.
90 BAG, Beschl. v. 16. 6. 1998 – 1 ABR 68/97, NZA 1999, 49, 51 f.; BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40 Ls. 1; Fitting, BetrVG, 30. Aufl. 2020, § 87 Rn. 597. 91 BAG, Beschl. v. 26. 7. 2005 – 1 ABR 29/04, NZA 2005, 1372, 1374. 92 LAG Niedersachsen, Beschl. v. 6. 3. 2007 – 11 TaBV 101/06, BeckRS 2007, 48467; ErfK/ Kania, 20. Aufl. 2020, § 94 BetrVG Rn. 5; GK-BetrVG/Raab, 11. Aufl. 2018, § 94 Rn. 68; kritisch, aber offen gelassen LAG Nürnberg, Beschl. v. 21. 12. 2010 – 6 TaBVGa 12/10, NZARR 2011, 130, 131. 93 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 94 Rn. 74 und § 95 Rn. 75.
110
C. Kompetenzen des Betriebsrats
II. Pflicht zur Überwachung der Einhaltung der Vorschriften des Datenschutzrechts, § 80 Abs. 1 Nr. 1 BetrVG Über die aus den betriebsverfassungsrechtlichen Mitbestimmungsrechten folgenden Kompetenzen hinaus hat der Betriebsrat gem. § 80 Abs. 1 Nr. 1 BetrVG die Aufgabe, „darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden“. Der Betriebsrat hat daher auf Grundlage von § 80 Abs. 1 Nr. 1 BetrVG auch zu überprüfen, ob der Arbeitgeber die zugunsten der Arbeitnehmer bestehenden Vorgaben des Beschäftigtendatenschutzes einhält.94 Diese Überwachungsaufgabe erstreckt sich sowohl auf die Einhaltung der im nationalen Recht unmittelbar geltenden Normen der DSGVO,95 als auch auf die Wahrung der im BDSG enthaltenen Vorschriften.96 Darüber hinaus hat der Betriebsrat zu kontrollieren, ob der Arbeitgeber gegen datenschutzrechtliche Betriebsvereinbarungen verstößt.97 Der inhaltliche Maßstab seiner Kontrollaufgabe ergibt sich dabei aus der jeweiligen Norm, deren Einhaltung er überwacht.98 Grundvoraussetzung ist jedoch in allen Fällen, dass die jeweiligen Regelungen tatsächlich auf die Arbeitnehmer des konkreten Betriebes Anwendung finden.99 Zugleich beschränkt § 80 Abs. 1 Nr. 1 BetrVG die Kontrollaufgabe des Betriebsrats auf die „zugunsten der Arbeitnehmer“ geltenden Vorschriften. Er kann mithin nur überwachen, ob die im Betrieb stattfindende Verarbeitung personenbezogener Beschäftigtendaten den Vorgaben des Datenschutzrechts genügt, hat jedoch nicht das Recht, auch sonstige durch den Arbeitgeber vorgenommene Datenverarbeitungsvorgänge – beispielsweise aus dessen Verhältnis zu seinen Kunden – auf ihre datenschutzrechtliche Rechtmäßigkeit zu überprüfen.100 Und auch der Betriebsrat unterliegt bei seiner Aufgabenwahrnehmung wiederum datenschutzrechtlichen Beschränkungen: Zwar muss er zur Erfüllung seiner Überwachungsaufgabe wissen, 94
Lücke, NZA 2019, 658, 667; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 79; Stück, ZD 2019, 256, 259. 95 Althoff, ArbRAktuell 2018, 414, 416; Dzida, BB 2018, 2677; Fitting, 30. Aufl. 2020, § 80 Rn. 7 und § 83 Rn. 18; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16: Kort, ZD 2017, 3, 5; Schulz, ZESAR 2017, 270, 278. 96 Dzida, BB 2018, 2677; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 3; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 14; Linnenkohl, NJW 1981, 202, 204; für das BDSG a. F. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 748. 97 Weth/Herberger/Wächter/Sorge/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 8. 98 Trittin/Fischer, NZA 2009, 343, 345; s. insofern zu der Frage, ob der Betriebsrat auch die Tätigkeit des betrieblichen Datenschutzbeauftragten kontrollieren darf Gliederungspunkt E. IV. 5. 99 Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16. 100 Lelley/Bruck/Yildiz, BB 2018, 2164, 2165; Linnenkohl, NJW 1981, 202, 204.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
111
welche personenbezogenen Daten der Beschäftigten der Arbeitgeber konkret verarbeitet und auf welche Weise er dies tut, jedoch ergibt sich aus § 80 Abs. 1 Nr. 1 BetrVG nicht zugleich das Recht, inhaltliche Kenntnis von den betreffenden personenbezogenen Daten zu erlangen.101 § 80 Abs. 1 Nr. 1 BetrVG verpflichtet den Betriebstat zum Tätigwerden, wenn er Anhaltspunkte dafür hat, dass der Arbeitgeber zulasten der Beschäftigten gegen die Vorgaben des Datenschutzrechts verstößt.102 Jedoch ist er nicht darauf beschränkt, nur dann aktiv zu werden, wenn ihm ein konkreter Datenschutzverstoß des Arbeitgebers bekannt geworden ist.103 So kann er seine Kontrollaufgabe dazu nutzen, die Begehung künftiger Datenschutzverstöße schon im Vorfeld zu verhindern, auch wenn es bislang keine konkreten Anhaltspunkte für ein datenschutzwidriges Verhalten des Arbeitgebers gibt.104 Dazu kann er grundsätzlich auch in der Vergangenheit liegende Datenverarbeitungsvorgänge auf ihre Rechtmäßigkeit kontrollieren, wobei er wegen der Gegenwarts- und Zukunftsbezogenheit seiner Überwachungsaufgabe jedoch darauf beschränkt ist, das bisherige Verhalten des Arbeitgebers daraufhin zu überprüfen, ob es Rückschlüsse auf seinen aktuellen oder künftigen Umgang mit personenbezogenen Daten der Beschäftigten zulässt.105 Jedoch ergeben sich auch im Rahmen der Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG verschiedene Problemfelder, die es nachfolgend zu beleuchten gilt: Inwiefern ist der Betriebsrat berechtigt, Dritte zur Erfüllung seiner Überwachungsaufgabe hinzuzuziehen? Darf er auch die Verarbeitung von Beschäftigtendaten durch Dritte kontrollieren, soweit sie durch den Arbeitgeber veranlasst ist? Und welche Handlungsmöglichkeiten hat er schließlich, wenn er im Rahmen seiner Überwachungsaufgabe tatsächlich Datenschutzverstöße seitens des Arbeitgebers feststellt?
1. Recht des Betriebsrats zur Hinzuziehung Dritter bei der Erfüllung seiner Überwachungsaufgabe Verfügt der Betriebsrat nicht über die erforderliche Sachkunde, um tatsächlich überwachen zu können, ob der Arbeitgeber die zugunsten der Arbeitnehmer geltenden datenschutzrechtlichen Bestimmungen einhält, so kann er seine Kontrollaufgabe nur dann effektiv wahrnehmen, wenn er sachkundige Dritte hinzuzieht. Ausgangspunkt ist dabei § 80 Abs. 2 S. 4 BetrVG, der den Arbeitgeber verpflichtet, 101
Kort, NZA 2010, 1267, 1269. Lelley/Bruck/Yildiz, BB 2018, 2164; Taeger/Rose, BB 206, 819, 828. 103 BAG, Beschl. v. 7. 2. 2012 @ 1 ABR 46/10, NZA 2012, 744 Rn. 7; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 5. 104 BAG, Beschl. v. 19. 2. 2008 – 1 ABR 84/06, NZA 2008, 1078, 1080 Rn. 21; BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 750; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 5; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 27. 105 BAG, Beschl. v. 19. 2. 2008 – 1 ABR 84/06, NZA 2008, 1078, 1080 Rn. 21; GK-BetrVG/ Weber, 11. Aufl. 2018, § 80 Rn. 11. 102
112
C. Kompetenzen des Betriebsrats
dem Betriebsrat „sachkundige Arbeitnehmer als Auskunftspersonen zur Verfügung zu stellen“. Aus dieser Pflicht des Arbeitgebers folgt im Umkehrschluss, dass der Betriebsrat seinerseits verpflichtet ist, zunächst den betriebsinternen Sachverstand vollständig auszuschöpfen, bevor er externe Dritte hinzuziehen darf.106 Ein sachkundiger Arbeitnehmer i. S. v. § 80 Abs. 2 S. 4 BetrVG kann insbesondere auch der betriebliche Datenschutzbeauftragte sein.107 Angesichts des eindeutigen Wortlauts der Norm, der gerade von einem sachkundigen „Arbeitnehmer“ spricht, kann auf Grundlage von § 80 Abs. 2 S. 4 BetrVG jedoch allein der interne Datenschutzbeauftragte zu Rate gezogen werden. Denn die Formulierung der Norm verdeutlicht, dass in jedem Fall der Bestand eines Arbeitsverhältnisses zwischen der sachkundigen Person und dem Arbeitgeber erforderlich ist.108 Die Hinzuziehung eines externen betrieblichen Datenschutzbeauftragten durch den Betriebsrat kann damit mangels Arbeitnehmereigenschaft nicht auf Grundlage von § 80 Abs. 2 S. 4 BetrVG erfolgen. Steht ein entsprechend sachkundiger Arbeitnehmer nicht zur Verfügung oder reicht dessen Hinzuziehung nicht aus, um eine sachgerechte Aufgabenwahrnehmung durch den Betriebsrat zu gewährleisten, so kann dieser allerdings auch auf externen Sachverstand zurückgreifen.109 Dieses Recht räumt ihm § 80 Abs. 3 BetrVG ein, der bestimmt, dass der Betriebsrat zur „Durchführung seiner Aufgaben nach näherer Vereinbarung mit dem Arbeitgeber Sachverständige hinzuziehen [kann], soweit dies zur ordnungsgemäßen Erfüllung seiner Aufgaben erforderlich ist“. a) Der betriebliche Datenschutzbeauftragte als Sachverständiger i. S. v. § 80 Abs. 3 BetrVG Sachverständige sind Personen, die dem Betriebsrat alle fachlichen oder rechtlichen Kenntnisse vermitteln, über die er selbst nicht verfügt, die er jedoch benötigt, um seine Aufgaben sachgemäß erfüllen zu können.110 Nicht unter den Begriff des Sachverständigen i. S. v. § 80 Abs. 3 BetrVG fallen allerdings Personen, die dem 106 BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 31; BAG, Beschl. v. 26. 2. 1992 – 7 ABR 51/90, NZA 1993, 86, 88 f.; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls.; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 85, 93; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 150; Lelley/Bruck/Yildiz, BB 2018, 2164, 2170; Venema, NZA 1993, 252, 253. 107 LAG Rheinland-Pfalz, Beschl. v. 15. 6. 2012 – 9 TaBV 1/12, BeckRS 2012, 71659; GKBetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 139; Oetker, NZA 2003, 1233, 1236. 108 Umstritten ist allein, ob es sich um einen betriebsangehörigen Arbeitnehmer handeln muss oder auch ein Arbeitnehmer des Unternehmens hinzugezogen werden kann, s. GKBetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 137; Oetker, NZA 2003, 1233, 1234 f.; für letztere Ansicht Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 99. 109 BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 32; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls. 110 BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 29; BAG, Beschl. v. 26. 2. 1992 – 7 ABR 51/90, NZA 1993, 86, 88; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 90; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 158; Venema, NZA 1993, 252, 253.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
113
Betriebsrat ohnehin Auskunft geben können oder dazu sogar verpflichtet sind.111 Denn die Heranziehung eines Sachverständigen durch den Betriebsrat bedarf stets einer Vereinbarung mit dem Arbeitgeber über die Person des Sachverständigen, das konkrete Thema der Beratung und die dadurch entstehenden Kosten.112 Holt der Betriebsrat sich Informationen von einer Person ein, die ihm ohnehin Auskunft erteilen kann oder muss, entstehen dem Arbeitgeber keine zusätzlichen Kosten, sodass es keiner entsprechenden Vereinbarung bedarf.113 Dieses Verständnis, das die Sachverständigeneigenschaft allein an die Entstehung zusätzlicher Kosten seitens des Arbeitgebers knüpft, kann indes jedenfalls in Bezug auf die Hinzuziehung des externen betrieblichen Datenschutzbeauftragten nicht überzeugen. Da es ihm an der notwendigen Arbeitnehmereigenschaft fehlt, kann der Betriebsrat ihn nicht auf Grundlage von § 80 Abs. 2 S. 4 BetrVG konsultieren. Der externe Datenschutzbeauftragte wird vielmehr gem. Art. 37 Abs. 6 Var. 2 DSGVO aufgrund eines Dienstleistungsvertrages tätig, sodass sich aus der mit dem Arbeitgeber getroffenen Vereinbarung ergibt, ob durch die konkrete Hinzuziehung des Datenschutzbeauftragten durch den Betriebsrat Kosten für den Arbeitgeber entstehen. Denn sie können eine monatliche Vergütung vereinbaren, die den allgemeinen Beratungsbedarf des jeweiligen Betriebes abdeckt, allerdings unabhängig davon ist, wie oft und durch wen der Datenschutzbeauftragte tatsächlich zu Rate gezogen wird.114 In diesem Fall ergeben sich aus der konkreten Hinzuziehung durch den Betriebsrat keine Zusatzkosten, sodass der Datenschutzbeauftragte nicht als Sachverständiger i. S. v. § 80 Abs. 3 BetrVG einzuordnen wäre. Anders wäre es hingegen, wenn der Arbeitgeber und der externe Datenschutzbeauftragte vereinbaren, dass sich dessen Vergütung danach bemisst, wie oft und in welchem Umfang er tatsächlich beratend tätig wird. Es käme letztlich zu zufälligen Ergebnissen, was mit Blick auf die Stellung des Datenschutzbeauftragten kritisch zu bewerten ist. Denn wegen seiner besonderen Sachkunde auf dem Gebiet des Datenschutzes ist er als „geborener Sachverständiger“ anzusehen.115 Würde man ihm dennoch die Sachverständigeneigenschaft i. S. v. § 80 Abs. 3 BetrVG absprechen, bestünde unter Umständen – abhängig von der zwischen Arbeitgeber und Datenschutzbeauftragtem getroffenen Vergütungsvereinbarung – keine rechtliche Grundlage für einen gegen den Arbeitgeber gerichteten Anspruch des Betriebsrats auf Hinzuziehung des externen betrieblichen Datenschutzbeauftragten. Zwar macht Art. 39 Abs. 1 lit. a DSGVO die Beratung des Verantwortlichen zur Aufgabe des Datenschutzbeauftragten, jedoch handelt es sich dabei – wie schon aus der Überschrift der Norm folgt – um eine reine Aufgaben-
111
GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 159. BAG, Beschl. v. 26. 2. 1992 – 7 ABR 51/90, NZA 1993, 86, 88; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 90; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 154. 113 GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 159. 114 Koreng/Lachenmann/Kremer/Sander, Formularhandbuch, 2. Aufl. 2018, B. II. 1. Anm. 11. 115 Franck/Reif, ZD 2015, 405, 408; Kort, ZD 2016, 3, 4. 112
114
C. Kompetenzen des Betriebsrats
zuweisung an den Datenschutzbeauftragten.116 Sie verbürgt indes keinen gegenüber dem Arbeitgeber durchsetzbaren, eigenständigen Anspruch des Betriebsrats auf Hinzuziehung des externen Datenschutzbeauftragten. Würde man dem Betriebsrat einen solchen Anspruch auf Grundlage von § 80 Abs. 3 BetrVG nicht zubilligen, so könnte der Arbeitgeber die Beratung des Betriebsrats durch den betrieblichen Datenschutzbeauftragten allerdings bewusst verhindern: Denn zum einen steht es ihm gem. Art. 37 Abs. 6 DSGVO frei, einen internen oder einen externen Datenschutzbeauftragten zu ernennen. Entscheidet der Arbeitgeber sich für die Bestellung eines internen Datenschutzbeauftragten, hätte der Betriebsrat gem. § 80 Abs. 2 S. 4 BetrVG einen Anspruch, diesen zur Vermittlung der notwendigen Sachkunde heranzuziehen. Wählt der Arbeitgeber hingegen einen externen Datenschutzbeauftragten, so hätte der Betriebsrat nur dann ein Recht, diesen bei der Erfüllung seiner Aufgaben hinzuzuziehen, wenn durch die Beratungstätigkeit zusätzliche Kosten für den Arbeitgeber entstehen – was dieser wiederum durch die mit dem Datenschutzbeauftragten getroffene Vergütungsvereinbarung beeinflussen kann. Dies stünde einer effektiven Wahrnehmung der aus § 80 Abs. 1 Nr. 1 BetrVG folgenden Kontrollaufgabe durch den Betriebsrat entgegen. Vor diesem Hintergrund kann die Sachverständigeneigenschaft gem. § 80 Abs. 3 BetrVG jedenfalls für den externen betrieblichen Datenschutzbeauftragten nicht davon abhängen, ob dem Arbeitgeber durch dessen Hinzuziehung zusätzliche Kosten entstehen. Vielmehr muss er stets als Sachverständiger i. S. d. Norm angesehen werden, sodass der Betriebsrat auf Grundlage von § 80 Abs. 3 BetrVG einen Anspruch darauf hat, ihn bei der Erfüllung seiner Überwachungsaufgabe hinzuzuziehen b) Anwendbarkeit des Grundsatzes der vorrangigen Nutzung betriebsinternen Sachverstandes bei externen betrieblichen Datenschutzbeauftragten Bevor der Betriebsrat auf externe Sachverständige zurückgreifen darf, muss er jedoch grundsätzlich gem. § 80 Abs. 2 S. 4 BetrVG zunächst alle betriebsinternen Erkenntnisquellen ausschöpfen.117 Ob dies auch im Verhältnis zum externen betrieblichen Datenschutzbeauftragten uneingeschränkt gelten kann, erscheint angesichts dessen Stellung als „geborener Sachverständiger“118 auf dem Gebiet des Datenschutzes allerdings zweifelhaft. Jedoch beeinträchtigt die vorrangige Inanspruchnahme sachkundiger Arbeitnehmer nicht die Effektivität der Betriebsratsar116 Gola/Klug, 2. Aufl. 2018, Art. 39 DSGVO Rn. 2; Heidelberger Kommentar/Jaspers/ Reif, 2. Aufl. 2020, Art. 39 DSGVO Rn. 8. 117 BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 31; BAG, Beschl. v. 26. 2. 1992 – 7 ABR 51/90, NZA 1993, 86, 88 f.; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls.; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 85, 93; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 150; Lelley/Bruck/Yildiz, BB 2018, 2164, 2170; Venema, NZA 1993, 252, 253. 118 Franck/Reif, ZD 2015, 405, 408; Kort, ZD 2016, 3, 4.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
115
beit im Hinblick auf die Kontrolle der Einhaltung des Datenschutzrechts. Denn sofern die zu Rate gezogenen Arbeitnehmer dem Betriebsrat die notwendige Sachkenntnis nicht vermitteln können, kann er weiterhin auf externe Sachverständige – und damit auch den externen betrieblichen Datenschutzbeauftragten – zurückgreifen.119 Dieses zweistufige Verfahren entspricht dem Willen des Gesetzgebers.120 Denn dieser hat dem Betriebsrat im Rahmen von § 80 Abs. 2 S. 4 BetrVG ausdrücklich einen Anspruch auf Hinzuziehung sachkundiger Arbeitnehmer eingeräumt – und zwar in Kenntnis der Rechtsprechung, die ein solches Recht bereits zuvor anerkannt, jedoch unter den Vorbehalt der vorrangigen Nutzung internen Sachverstandes gestellt hatte und einen Rückgriff auf externe Sachverständige nur nachrangig zuließ.121 Auch das Datenschutzrecht zwingt nicht zu einer abweichenden Beurteilung. Denn weder die DSGVO noch das BDSG regeln die Zusammenarbeit von betrieblichem Datenschutzbeauftragten und Betriebsrat. Vielmehr stellt § 26 Abs. 6 BDSG lediglich klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben. Daneben weist Art. 39 Abs. 1 DSGVO dem Datenschutzbeauftragten verschiedene Aufgaben zu. Die Erfüllung dieser Aufgaben wird durch das Erfordernis der vorrangigen Inanspruchnahme betriebsinternen Sachverstandes allerdings nicht beeinträchtigt. Denn die Überwachungsfunktionen von Betriebsrat und betrieblichem Datenschutzbeauftragten stehen selbstständig nebeneinander.122 Dies gilt auch, wenn der Betriebsrat zur Erfüllung seiner Aufgaben den Datenschutzbeauftragten zu Rate zieht. Denn ein Sachverständiger darf nicht anstelle des Betriebsrats tätig werden, sondern muss sich allein auf die Vermittlung der erforderlichen Sachkunde beschränken.123 Es bleibt dann dem Betriebsrat überlassen, welche Schlussfolgerungen er aus der jeweiligen Information zieht und inwieweit er auf ihrer Grundlage tätig wird.124 Zieht der Betriebsrat den betrieblichen Datenschutzbeauftragten nicht oder nur nachrangig zu Rate, so wird dadurch umgekehrt auch die Überwachungsaufgabe des betrieblichen Datenschutzbeauftragten nicht berührt. Allein im Verhältnis mehrerer externer Sachverständiger i. S. v. § 80 Abs. 3 BetrVG kann sich aus der besonderen Sachkunde des Datenschutzbeauftragten die Notwendigkeit ergeben, ihn vorrangig heranzuziehen.125 Dies folgt indes allein aus dem Umstand, dass er wegen seiner 119 BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 32; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls. 120 BT-Drs. 14/5741, S. 46 f.; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 131; Natzel, NZA 2001, 872. 121 BAG, Beschl. v. 26. 2. 1992 – 7 ABR 51/90, NZA 1993, 86, 88 f.; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls. 122 Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16; Weth/Herberger/Wächter/Sorge/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 8; zur Frage nach den Kontrollrechten der Institutionen untereinander s. Gliederungspunkt E. IV. 4. und 5. 123 Venema, NZA 1993, 252, 253. 124 Venema, NZA 1993, 252, 253. 125 Kort, ZD 2016, 3, 4.
116
C. Kompetenzen des Betriebsrats
besonderen Kenntnisse auf dem Gebiet des Beschäftigtendatenschutzes und seiner über die bloß einmalige Konsultation hinausgehenden Beziehung zum jeweiligen Betrieb regelmäßig im Vergleich zu anderen Externen über eine größere Kompetenz verfügen wird, die spezifischen betrieblichen Vorgänge auf ihre Datenschutzkonformität zu überprüfen. Kommen zur Unterstützung des Betriebsrats sowohl interne als auch externe Sachverständige in Betracht, so muss der Betriebsrat vorrangig den betriebsinternen Sachverstand nutzen – auch wenn dies dazu führt, dass ein externer Datenschutzbeauftragter nur nachrangig konsultiert werden kann.
2. Überwachungsbefugnisse gegenüber vom Arbeitgeber eingesetzten Auftragsverarbeitern Problematisch ist zudem, inwieweit der Betriebsrat im Rahmen von § 80 Abs. 1 Nr. 1 BetrVG kontrollieren kann, ob durch den Arbeitgeber eingesetzte Auftragsverarbeiter, die ebenfalls personenbezogene Beschäftigtendaten verarbeiten, die Vorgaben des Datenschutzrechts einhalten. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Eine Auftragsverarbeitung liegt daher im Beschäftigungskontext beispielsweise vor, wenn der Arbeitgeber die Lohnbuchhaltung an externe Stellen auslagert. Forscht man nun nach den Überwachungsbefugnissen des Arbeitgebers gegenüber solchen Auftragsverarbeitern, so muss Ausgangspunkt Folgendes sein: Das BetrVG soll dem Betriebsrat allein die Beteiligung an Entscheidungen des Arbeitgebers ermöglichen, ihn jedoch nicht zu einer allgemeinen, arbeitgeberunabhängigen Interessenvertretung der Arbeitnehmer machen.126 Daher steht dem Betriebsrat grundsätzlich auch nur gegenüber dem Arbeitgeber das Recht zu, die Einhaltung datenschutzrechtlicher Vorschriften zu überwachen.127 Allerdings birgt die Einschaltung weiterer Personen bei der Verarbeitung von Beschäftigtendaten besondere Gefahren für die Persönlichkeitsrechte der Betroffenen,128 sodass es auch nicht sachgerecht erscheint, die Überwachungsaufgabe des Betriebsrats nicht auf deren Umgang mit personenbezogenen Daten zu erstrecken. Denn kämen dem Betriebsrat in Bezug auf die durch Dritte vorgenommene Verarbeitung personenbezogener Daten keinerlei Überwachungsbefugnisse zu, könnte der Arbeitgeber sich der Kontrolle durch den Betriebsrat bewusst entziehen, indem er datenschutzrechtlich relevante Tätigkeiten nicht selbst ausführt, sondern gezielt auf Externe verlagert. Dies wäre im Rahmen der Auftragsverarbeitung besonders gravierend, da sich die Datenverarbeitung durch Auftragsverarbeiter gem. Art. 28 Abs. 3 S. 2 lit. a DSGVO, Art. 29 DSGVO nach 126
GK-BetrVG/Wiese, 11. Aufl. 2018, Einl. Rn. 78; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 1 Rn. 8. 127 GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 25. 128 BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749; Simitis/Hornung/ Spiecker/Petri, 1. Aufl. 2019, Art. 28 DSGVO Rn. 2.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
117
den Weisungen des Verantwortlichen – also des Arbeitgebers – richtet. Wäre bei einer Auftragsverarbeitung die Kontrolle durch den im Betrieb des Arbeitgebers gebildeten Betriebsrat nicht möglich, würde dies eine deutliche Schwächung des Beschäftigtendatenschutzes bedeuten, da eine der im nationalen Recht angelegten drei Kontrollinstanzen – nämlich betrieblicher Datenschutzbeauftragter, Aufsichtsbehörde und Betriebsrat – vollständig entfiele.129 Zwar ist durch die DSGVO nur die Kontrolle durch die Aufsichtsbehörde (Art. 51 DSGVO) sowie durch den betrieblichen Datenschutzbeauftragten (Art. 37 ff. DSGVO) vorgesehen und eine zusätzliche Überwachung durch die Interessenvertretungen der Arbeitnehmer nicht zwingend vorgeschrieben. Daraus lässt sich allerdings nicht ableiten, dass eine durch das mitgliedstaatliche Recht vorgesehene weitere Kontrollinstanz ohne Weiteres umgangen werden darf. Vielmehr ist der Arbeitgeber an die Vorgaben von DSGVO und nationalem Recht gleichermaßen gebunden. Vor diesem Hintergrund erschiene es rechtsmissbräuchlich, wenn der Arbeitgeber der Kontrolle durch den Betriebsrat entgehen könnte, indem er problematische Datenverarbeitungsvorgänge nicht selbst durchführt, sondern auf einen Auftragsverarbeiter auslagert. Jedoch werden die Befugnisse des Betriebsrats durch seine betriebsverfassungsrechtliche Zuständigkeit begrenzt, weshalb sein aus § 80 Abs. 1 Nr. 1 BetrVG folgendes Kontrollrecht grundsätzlich nur im Verhältnis zum Arbeitgeber besteht.130 Überträgt der Arbeitgeber die Datenverarbeitung jedoch bewusst auf einen nach seinen Weisungen tätigen Auftragsverarbeiter, so bleibt letztlich der Arbeitgeber „Herr“ der betroffenen Daten und trägt die Verantwortung dafür, dass sie nur auf datenschutzrechtlich zulässige Weise verarbeitet werden.131 Daher muss der Betriebsrat auch das Recht haben, zumindest mittelbar über die Verarbeitung personenbezogener Beschäftigtendaten durch Auftragsverarbeiter zu wachen.132 Da diese Kontrollbefugnis jedoch allein aus der Weisungsgebundenheit des Auftragsverarbeiters folgt,133 darf der Betriebsrat auch allein die Weisungen des Arbeitgebers, die Art und Umfang der Datenverarbeitung durch den Auftragsverarbeiter vorgeben, nicht jedoch dessen tatsächliche Tätigkeit, überprüfen.134 Verarbeitet der Auftragsverarbeiter personenbezogene Beschäftigtendaten weisungswidrig in einer datenschutzrechtlich unzulässigen Weise, so verliert der Arbeitgeber die Herrschaft über
129
Dies wird auch kritisch betrachtet, sofern es um die Frage geht, ob ein Betriebsratsmitglied zum Datenschutzbeauftragten bestellt werden kann, s. Gliederungspunkt E. IV. 6. 130 BAG, Beschl. v. 15. 10. 2014 – 7 ABR 74/12, NZA 2015, 560, 562 Rn. 26; i. E. ebenso GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 25. 131 BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 750; Ehmann/Selmayr/ Bertermann, 2. Aufl. 2018, Art. 28 DSGVO Rn. 11; Paal/Pauly/Martini, 2. Aufl. 2018, Art. 28 DSGVO Rn. 77. 132 BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749. 133 So zu § 11 Abs. 3 BDSG a. F. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749 f. 134 BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749.
118
C. Kompetenzen des Betriebsrats
die jeweiligen Daten.135 Der Betriebsrat darf eine entsprechende Tätigkeit des Auftragsverarbeiters mithin nicht kontrollieren. Zwar hat auch in einem solchen Fall der Arbeitgeber durch die Weitergabe der Daten an den Auftragsverarbeiter die Ursache für die rechtswidrige Verarbeitung gesetzt, allerdings kann dies nicht dazu führen, dass die Grenzen der betriebsverfassungsrechtlichen Zuständigkeit aufgehoben werden. Zwar schrumpft auch in einer solchen Konstellation das nationale Drei-Säulen-Kontrollsystem zusammen. Dies ist allerdings nicht die Folge rechtsmissbräuchlichen Verhaltens des Arbeitgebers, sondern ergibt sich schlichtweg aus der betriebsverfassungsrechtlichen Zuständigkeitsverteilung. Diesem Ergebnis steht auch die DSGVO nicht entgegen: Denn diese sieht ohnehin nur eine zweigliedrige Überwachung durch die Aufsichtsbehörde (Art. 51 DSGVO) und den betrieblichen Datenschutzbeauftragten vor (Art. 37 ff. DSGVO). Soweit das nationale Recht mit dem Betriebsrat eine dritte Kontrollinstanz schafft, können dessen Kompetenzen auch durch nationales Recht – vorliegend die betriebsverfassungsrechtliche Zuständigkeitsverteilung – begrenzt werden. Dies gilt umso mehr, als die Überwachungsaufgabe des Betriebsrats nicht originär datenschutzrechtlicher, sondern betriebsverfassungsrechtlicher Art ist. Zusammenfassend gilt mithin: Gibt der Arbeitgeber Beschäftigtendaten an einen Auftragsverarbeiter weiter, der diese nach den Weisungen des Arbeitgebers verarbeitet, so erstreckt sich die Überwachungsaufgabe des Betriebsrats auch auf die durch den Arbeitgeber erteilten Weisungen, welche die Tätigkeit des Auftragsverarbeiters vorzeichnen. Jedenfalls mittelbar kann er damit auch die Tätigkeit des Auftragsverarbeiters überwachen. Wird dieser indes außerhalb der Weisungen des Arbeitgebers tätig, stehen dem Betriebsrat keine Kontrollbefugnisse zu.
3. Handlungsmöglichkeiten des Betriebsrats bei der Begehung von Datenschutzverstößen durch den Arbeitgeber Stellt der Betriebsrat fest, dass der Arbeitgeber beim Umgang mit personenbezogenen Daten der Beschäftigten Datenschutzverstöße begeht, so muss er ausloten, welche Handlungsmöglichkeiten ihm zur Verfügung stehen. Dabei wird er einerseits gegen noch andauernde Datenschutzverstöße vorzugehen haben, und sich andererseits mit der Frage befassen müssen, wie er diesen für die Zukunft vorbeugen kann. Im Fokus der Betrachtung stehen dabei einerseits Unterlassungsansprüche des Betriebsrats sowie andererseits dessen Möglichkeit, sich bei einem datenschutzwidrigen Verhalten des Arbeitgebers an die Aufsichtsbehörde als externe Stelle zu wenden.
135 Denn dadurch wird der Auftragsverarbeiter selbst gem. Art. 28 Abs. 10 DSGVO zum Verantwortlichen, s. Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 28 DSGVO Rn. 103; Paal/ Pauly/Martini, 2. Aufl. 2018, Art. 28 DSGVO Rn. 77; Simitis/Hornung/Spieker/Petri, 1. Aufl. 2019, Art. 28 DSGVO Rn. 93.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
119
a) Unterlassungsansprüche des Betriebsrats Der Blick ist zunächst darauf zu lenken, wie der Betriebsrat betriebsintern gegen Datenschutzverstöße des Arbeitgebers vorgehen kann. Daher sind die ihm gegenüber dem Arbeitgeber zustehenden Unterlassungsansprüche herauszuarbeiten, wobei in einem ersten Schritt auszuloten ist, ob sich solche Ansprüche unmittelbar aus dem BetrVG ergeben, bevor anschließend erörtert werden muss, ob sich auch im Datenschutzrecht eine entsprechende Rechtsgrundlage findet. aa) Kein Unterlassungsanspruch unmittelbar aus § 80 Abs. 1 Nr. 1 BetrVG Ein Unterlassungsanspruch könnte sich – als Ergänzung zu seiner dort normierten Überwachungsaufgabe – unmittelbar aus § 80 Abs. 1 Nr. 1 BetrVG herleiten lassen. Allerdings setzt der Bestand eines Unterlassungsanspruchs im Verhältnis von Betriebsrat und Arbeitgeber gem. § 23 Abs. 3 BetrVG stets voraus, dass der Arbeitgeber eine betriebsverfassungswidrige Lage geschaffen hat, wovon nur dann auszugehen ist, wenn Rechte des Betriebsrats beeinträchtigt werden.136 Denn könnte der Betriebsrat im Rahmen von Unterlassungsansprüchen nicht nur die Verletzung eigener Rechte geltend machen, sondern auch eine Rechtsverletzung des einzelnen Arbeitnehmers rügen, so liefe dies auf ein umfassendes Mitbestimmungsrecht des Betriebsrats hinaus, welches das Betriebsverfassungsrecht allerdings nicht kennt.137 Die Rechtsstreitigkeiten über Ansprüche der Arbeitnehmer würden letztlich auf das Verhältnis zwischen Betriebsrat und Arbeitgeber verlagert,138 was das BetrVG jedoch allein im Rahmen von § 99 BetrVG vorsieht, woraus im Umkehrschluss gefolgert werden kann, dass eine entsprechende Befugnis mangels ausdrücklicher Anordnung in § 80 Abs. 1 Nr. 1 BetrVG dort gerade nicht bestehen soll.139 Denn aus § 80 Abs. 1 Nr. 1 BetrVG ergeben sich keine eigenen Rechte des Betriebsrats, sondern er hat allein über die Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze zu wachen. Daher kann § 80 Abs. 1 Nr. 1 BetrVG nicht Grundlage eines gegen den Arbeitgeber gerichteten Unterlassungsanspruchs des Betriebsrats sein.140 Als Kehrseite dessen kann der Betriebsrat vom Arbeitgeber auch keine konkreten Maßnahmen im Hinblick auf die ordnungsgemäße Durchführung der zugunsten der Arbeitnehmer geltenden Gesetze verlangen.141 Ihm steht im Rahmen von § 80 Abs. 1 136
Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 14. Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 14. 138 BAG, Beschl. v. 10. 6. 1986 – 1 ABR 59/84, NZA 1987, 28, 29. 139 BAG, Beschl. v. 10. 6. 1986 – 1 ABR 59/84, NZA 1987, 28, 29. 140 BAG, Beschl. v. 22. 8. 2017 – 1 ABR 24/16, NZA 2018, 115 Ls. 2; BAG, Beschl. v. 28. 5. 2002 – 1 ABR 40/01, NZA 2003, 1352, 1355; BAG, Beschl. v. 10. 6. 1986 – 1 ABR 59/84, NZA 1987, 28, Ls. 2; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 7; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 14; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 32; Lelley/Bruck/Yildiz, BB 2018, 2164; Lücke, NZA 2019, 658, 667. 141 BAG, Beschl. v. 9. 12. 2003 – 1 ABR 44/02, NZA 2004, 746, 749; BAG, Beschl. v. 10. 6. 1986 – 1 ABR 59/84, NZA 1987, 28, 29; Lücke, NZA 2019, 658, 667. 137
120
C. Kompetenzen des Betriebsrats
Nr. 1 BetrVG mithin weder ein Anspruch gegen den Arbeitgeber auf Unterlassung datenschutzwidrigen Verhaltens, noch ein Anspruch auf Durchführung konkreter Maßnahmen zur Verbesserung des Datenschutzes zu.142 Ihm bleibt allein, den Arbeitgeber auf etwaige Datenschutzverstöße aufmerksam zu machen, sie zu beanstanden und auf Abhilfe zu drängen.143 Etwas anderes könnte für Betriebsvereinbarungen gelten, über deren Einhaltung der Betriebsrat ebenfalls gem. § 80 Abs. 1 Nr. 1 BetrVG wacht, sofern sie zugunsten der Arbeitnehmer geltende Vorschriften enthalten. Denn der Betriebsrat hat grundsätzlich einen eigenen Anspruch darauf, dass von ihm abgeschlossene Betriebsvereinbarungen durchgeführt werden.144 Daher kann er vom Arbeitgeber verlangen, dass dieser sämtliche gegen eine Betriebsvereinbarung verstoßende Maßnahmen unterlässt.145 Allerdings hat der Betriebsrat auch hier nur einen Anspruch auf Einhaltung derjenigen Vorschriften, die ihm eine eigene Rechtsposition gegenüber dem Arbeitgeber einräumen, er ist jedoch nicht dazu berechtigt, aus der Betriebsvereinbarung folgende Ansprüche der Arbeitnehmer durchzusetzen.146 Andernfalls würden auch insofern entgegen der Konzeption des BetrVG die im Verhältnis zwischen Arbeitgeber und Arbeitnehmer bestehenden Streitigkeiten auf das Verhältnis zwischen Arbeitgeber und Betriebsrat verlagert.147 Daher kann der Betriebsrat jedenfalls auf Grundlage von § 80 Abs. 1 Nr. 1 BetrVG nicht die Unterlassung datenschutzwidrigen Verhaltens verlangen – unabhängig davon, ob der Arbeitgeber gegen eine gesetzliche Vorschrift oder eine kollektivvertragliche Regelung verstößt. bb) Sonstige betriebsverfassungsrechtliche Unterlassungsansprüche Ausgangspunkt der weiteren Suche nach betriebsverfassungsrechtlichen Unterlassungsansprüchen muss demnach sein, dass diese – sofern nicht ausdrücklich etwas anderes normiert ist – stets die Verletzung eigener Rechte des Betriebsrats durch den
142
ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 7; Göpfert/Meyer, NZA 2011, 486, 488; Lücke, NZA 2019, 658, 667; Weth/Herberger/Wächter/Sorge/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 9. 143 BAG, Beschl. v. 22. 8. 2017 – 1 ABR 24/16, NZA 2018, 115, 116 Rn. 19; BAG, Beschl. v. 18. 5. 2010 – 1 ABR 6/09, NZA 2010, 1433, 1435 Rn. 21; BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 170; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 27; Lelley/Bruck/ Yildiz, BB 2018, 2164. 144 BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255 f.; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 12. 145 BAG, Beschl. v. 17. 10. 1989 – 1 ABR 75/88, NZA 1990, 441; BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255 f.; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 14; s. Gliederungspunkt C. II. 3. a) bb) (2). 146 BAG, Beschl. v. 17. 10. 1989 – 1 ABR 75/88, NZA 1990, 441 Ls. 1; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 32. 147 BAG, Beschl. v. 17. 10. 1989 – 1 ABR 75/88, NZA 1990, 441, 442; BAG, Beschl. v. 10. 6. 1986 – 1 ABR 59/84, NZA 1987, 28, 29.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
121
Arbeitgeber voraussetzen,148 um zu verhindern, dass ihm die durch das BetrVG nicht vorgesehene Rolle eines gesetzlichen Prozessstandschafters zukommt.149 Jedoch stellt nicht jeder Datenschutzverstoß des Arbeitgebers zugleich einen Verstoß gegen betriebsverfassungsrechtliche Rechte dar.150 Verstößt der Arbeitgeber gegen datenschutzrechtliche Vorschriften, so erscheint es indes denkbar, einen Unterlassungsanspruch aus § 75 Abs. 2 BetrVG herzuleiten, da die Norm Arbeitgeber und Betriebsrat verpflichtet, die Persönlichkeitsrechte der Arbeitnehmer zu schützen und zu fördern. Daraus könnte man schließen, dass der Betriebsrat in Ausübung seiner Schutzpflichten vom Arbeitgeber verlangen kann, sämtliche, die Persönlichkeitsrechte der Arbeitnehmer verletzenden Maßnahmen zu unterlassen. Allerdings betrifft die Vorschrift allein das Verhältnis von Arbeitgeber und Betriebsrat zu den im Betrieb beschäftigten Arbeitnehmern, nicht jedoch deren Beziehung zueinander.151 Die Norm begründet mithin ebenfalls keine eigenen Rechte des Betriebsrats, sondern verpflichtet ihn vielmehr lediglich dazu, bei eigenen Maßnahmen die Persönlichkeitsrechte der Arbeitnehmer zu achten und Maßnahmen, die diese verletzen könnten, zu unterlassen.152 Daher kann auch § 75 Abs. 2 S. 1 BetrVG nicht Grundlage eines gegen den Arbeitgeber gerichteten Anspruchs des Betriebsrats auf Unterlassung persönlichkeitsrechtsverletzender Maßnahmen sein.153 (1) Unterlassungsanspruch gem. § 23 Abs. 3 S. 1 BetrVG Denkbar scheint allerdings, einen gegen den Arbeitgeber gerichteten Unterlassungsanspruch des Betriebsrats – und damit eine Möglichkeit, aktiv gegen arbeitgeberseitige Datenschutzverstöße vorzugehen – auf § 23 Abs. 3 S. 1 BetrVG zu stützen. Denn § 23 Abs. 3 S. 1 BetrVG fordert nicht, dass der Arbeitgeber Pflichten aus seinem Verhältnis zum Betriebsrat verletzt. Vielmehr genügt nach dem Wortlaut der Vorschrift allgemein ein Verstoß des Arbeitgebers gegen seine aus dem BetrVG folgenden Pflichten. Daher kann der Betriebsrat auf Grundlage von § 23 Abs. 3 S. 1 BetrVG grundsätzlich auch einen Verstoß gegen betriebsverfassungsrechtliche Vorschriften rügen, die nur das Verhältnis von Arbeitgeber und Arbeitnehmer betreffen.154 Indes genügt auch hier nicht jedwede Pflichtverletzung. Denn § 23 Abs. 3 S. 1 BetrVG fordert ausdrücklich einen „groben“ Verstoß gegen die dem Arbeitgeber
148
Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 14. BAG, Beschl. v. 18. 1. 2005 – 3 ABR 21/04, NZA 2006, 167, 171. 150 Kort, ZD 2016, 3, 8. 151 BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 169. 152 BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 169. 153 BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 169; GK-BetrVG/Kreutz/ Jacobs, 11. Aufl. 2018, § 75 Rn. 154; Gola, BB 2017, 1462, 1469; Kort, ZD 2016, 3, 8. 154 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 75 Rn. 92, 94. 149
122
C. Kompetenzen des Betriebsrats
obliegenden Pflichten. Dies setzt einen objektiv erheblichen Pflichtverstoß voraus.155 Davon ist auszugehen, wenn der Arbeitgeber den Zweck der jeweiligen betriebsverfassungsrechtlichen Norm durch sein Verhalten in schwerwiegender Weise verletzt.156 Insofern kann bereits ein einmaliger, aber im Einzelfall besonders schwerwiegender Pflichtverstoß ausreichen.157 Aber auch leichte Pflichtverstöße, die für sich genommen noch keine schwerwiegende Verletzung betriebsverfassungsrechtlicher Pflichten bedeuten, können, sofern sie fortgesetzt oder wiederholt stattfinden, die Erheblichkeitsschwelle überschreiten.158 Verstößt der Arbeitgeber in derart schwerwiegender Weise gegen seine aus § 75 Abs. 2 S. 1 BetrVG folgende Pflicht zur Achtung der Persönlichkeitsrechte der Arbeitnehmer, so kann der Betriebsrat zwar nicht unmittelbar aus § 75 Abs. 2 S. 1 BetrVG gegen den Arbeitgeber vorgehen. Jedoch kann ihm ein Unterlassungsanspruch auf Grundlage von § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG zustehen.159 Damit wird ihm eine Möglichkeit eröffnet, gegen Datenschutzverstöße des Arbeitgebers, die zugleich einen groben Verstoß gegen die Persönlichkeitsrechte der Arbeitnehmer bedeuten, vorzugehen. Zur Beurteilung der Schwere des Verstoßes ist in erster Linie auf die Wertungen des Datenschutzrechts zurückzugreifen: So wiegt schon ein einmaliges datenschutzwidriges Verhalten besonders schwer, wenn von dem Datenschutzverstoß sensible Beschäftigtendaten i. S. v. Art. 9 Abs. 1 DSGVO betroffen sind. Denn indem die Vorschrift die Verarbeitung solcher Informationen grundsätzlich verbietet und nur ausnahmsweise unter besonders strengen Anforderungen zulässt, unterstellt sie die dort genannten Kategorien personenbezogener Daten einem besonderen Schutz.160 Darüber hinaus begründet jedenfalls ein wiederholt datenschutzwidriges Verhalten einen groben Pflichtverstoß. Neben den datenschutzrechtlichen Wertungen gewinnen auch die verfassungsrechtlichen Maßstäbe, die sich zur Beurteilung der Schwere einer Persönlichkeitsrechtsverletzung im Arbeitsverhältnis herausgebildet haben, Bedeutung. So wiegt ein Datenschutzverstoß des Arbeitgebers be-
155 BAG, Beschl. v. 18. 3. 2014 – 1 ABR 77/12, NZA 2014, 987, 988 Rn. 15; BAG, Beschl. v. Beschl. v. 7. 2. 2012 @ 1 ABR 77/10, NZA-RR 2012, 359, 360 Rn. 15; ErfK/Koch, 20. Aufl. 2020, § 23 BetrVG Rn. 18; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 23 Rn. 96. 156 BAG, Beschl. v. 18. 3. 2014 – 1 ABR 77/12, NZA 2014, 987, 988 Rn. 15; BAG, Beschl. v. 7. 2. 2012 @ 1 ABR 77/10, NZA-RR 2012, 359, 360 Rn. 15; BAG, Beschl. v. 19. 1. 2010 – 1 ABR 55/08, NZA 2010, 659, 662 Rn. 28; GK-BetrVG/Oetker, 11. Aufl. 2018, § 23 Rn. 225. 157 BAG, Beschl. v. 18. 3. 2014 – 1 ABR 77/12, NZA 2014, 987, 988 Rn. 18; BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 169; BAG, Beschl. v. 14. 11. 1989 – 1 ABR 87/88, NZA 1990, 357, 359; GK-BetrVG/Oetker, 11. Aufl. 2018, § 23 Rn. 228. 158 GK-BetrVG/Oekter, 11. Aufl. 2018, § 23 Rn. 229; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 23 Rn. 96. 159 BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 169; DKW/Berg, BetrVG, 17. Aufl. 2020, § 75 Rn. 144; Gola, BB 2017, 1462, 1469; Kort, ZD 2016, 3, 8. 160 Vgl. ErwG 51 DSGVO.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
123
sonders schwer, wenn er datenschutzwidrig Informationen aus der Intim-161 oder Privatsphäre162 der Beschäftigten verarbeitet. Ist unter Zugrundelegung dieser Maßstäbe ein datenschutzwidriges Verhalten des Arbeitgebers, das die Persönlichkeitsrechte der Arbeitnehmer verletzt, als besonders schwerwiegend einzuordnen, kann der Betriebsrat einen auf § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG gestützten Unterlassungsanspruch gegen den Arbeitgeber geltend machen.163 Dieser Unterlassungsanspruch stellt daher im Rahmen des Beschäftigtendatenschutzes eine bedeutende Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats dar. (2) Unterlassungsanspruch des Betriebsrats bei Verstoß gegen datenschutzrelevante Regelungen einer Betriebsvereinbarung Darüber hinaus kommt ein Unterlassungsanspruch des Betriebsrats in Betracht, wenn der Arbeitgeber gegen eine Regelung in einer Betriebsvereinbarung verstößt, die dem Betriebsrat eigene datenschutzrechtlich relevante Ansprüche gegenüber dem Arbeitgeber einräumt. Denn gem. § 77 Abs. 1 S. 1 BetrVG ist der Arbeitgeber verpflichtet, die mit dem Betriebsrat getroffenen Vereinbarungen durchzuführen, woraus im Umkehrschluss ein Anspruch des Betriebsrats nicht nur auf Durchführung,164 sondern zugleich auch auf Unterlassung betriebsvereinbarungswidriger Maßnahmen folgt.165 Dabei erfährt die von § 77 Abs. 1 S. 1 BetrVG normierte Durchführungspflicht erst durch die im Einzelfall durchzuführende konkrete Regelung ihre inhaltliche Ausgestaltung. Rechtsgrundlage des Unterlassungsanspruchs bildet daher § 77 Abs. 1 S. 1 BetrVG i. V. m. mit der jeweiligen Vorschrift der Betriebsvereinbarung.166
161 ArbG Hamburg, Urt. v. 1. 9. 2006 – 27 Ca 136/06, BeckRS 2006, 43820 zu ärztlichen Untersuchungen mit anschließender Offenbarung der Untersuchungsergebnisse an den Arbeitgeber; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 23 Rn. 55. 162 Beispielhaft BAG, Urt. v. 20. 6. 2013 – 2 AZR 546/12, NZA 2014, 143, 147 f. Rn. 27 zum persönlichen Schrank des Arbeitnehmers als Teil der Privatsphäre; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 23 Rn. 55. 163 Sofern der Datenschutzverstoß zugleich eine schwerwiegende Diskriminierung i. S. v. §§ 7 Abs. 1, 1 AGG bedeutet, besteht zudem ein Anspruch des Betriebsrats auf Unterlassung gem. § 17 Abs. 2 AGG i. V. m. § 23 Abs. 3 S. 1 BetrVG. 164 BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255. 165 BAG, Beschl. v. 13. 3. 2007 – 1 ABR 22/06, NZA 2007, 581, 583; BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255; GK-BetrVG/Kreutz, 11. Aufl. 2018, § 77 Rn. 28. 166 BAG, Beschl. v. 18. 5. 2010 – 1 ABR 6/09, NZA 2010, 1433, 1434 Rn. 16; BAG, Beschl. v. 24. 1. 2006 – 1 ABR 60/04, NZA 2006, 1050, 1052; anders GK-BetrVG/Kreutz, 11. Aufl. 2018, § 77 Rn. 24 ff., der § 77 Abs. 1 S. 1 BetrVG als Anspruchsgrundlage einordnet. Früher tendierte die Rspr. demgegenüber dazu, die in der Betriebsvereinbarung enthaltene Regelung selbst als Rechtsgrundlage heranzuziehen s. noch BAG, Beschl. v. 29. 4. 2004 – 1 ABR 30/02, NZA 2004, 670, 677; BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255, wenn auch im Ergebnis offen gelassen.
124
C. Kompetenzen des Betriebsrats
Jedoch kann ein eigener Anspruch des Betriebsrats nur dort bestehen, wo die Betriebsvereinbarung einen bestimmten Sachverhalt erkennbar abschließend regelt.167 Dies ist beispielsweise der Fall, wenn Arbeitgeber und Betriebsrat die Einführung eines Zeitdatenmanagement-Systems vereinbaren, das die An- und Abwesenheitsdaten der Arbeitnehmer erfasst und diese zum Zwecke der Vergütungsabrechnung an ein Abrechnungssystem übermittelt: In einem solchen Fall legen Arbeitgeber und Betriebsrat in der Betriebsvereinbarung erkennbar einen Verwendungszweck für die erhobenen Daten fest, was eine Datenverarbeitung zu anderen Zwecken ausschließt.168 Verarbeitet der Arbeitgeber die erhobenen Daten entgegen der getroffenen Vereinbarung nun zu anderen Zwecken, so verstößt er gegen die entsprechende Regelung der Betriebsvereinbarung und dem Betriebsrat steht ein Unterlassungsanspruch gegen diese betriebsvereinbarungswidrige Form der Datenverwendung zu.169 Eine Grenze für den betriebsratsseitigen Unterlassungsanspruch ergibt sich jedoch aus dem Inhalt der kollektivvertraglichen Regelung: Wird dem Arbeitgeber durch Betriebsvereinbarung beispielsweise untersagt, Leistungsund Verhaltenskontrollen der Arbeitnehmer unter Einführung und Anwendung einer EDV-Anlage vorzunehmen und führt der Arbeitgeber eine entsprechende Anlage unter Verstoß gegen die Betriebsvereinbarung dennoch ein, steht dem Betriebsrat ein gegen den Arbeitgeber gerichteter Unterlassungsanspruch zu.170 Nimmt der Arbeitgeber allerdings Verhaltenskontrollen ohne Zuhilfenahme eines entsprechenden Systems vor, steht dem Betriebsrat ein solcher Anspruch nicht zu, da diese Maßnahme bereits nicht in den Anwendungsbereich der Betriebsvereinbarung fällt.171 Letztlich kann der Betriebsrat die Durchführung einer Betriebsvereinbarung – und umgekehrt die Unterlassung betriebsvereinbarungswidriger Maßnahmen – nur verlangen, soweit er dadurch nicht im eigenen Namen individualrechtliche, durch die Betriebsvereinbarung begründete, Ansprüche der Arbeitnehmer geltend macht.172 Verpflichtet der Arbeitgeber sich gegenüber dem Betriebsrat, ein im Betrieb geltendes Alkoholverbot nur durch Vorgesetzte und freiwillige ärztliche Kontrollen überprüfen zu lassen und auf den Einsatz von Privatdetektiven zu verzichten, hält sich jedoch nicht an diese Zusage, so verstößt er gegen die Betriebsvereinbarung.173 Daher kann der Betriebsrat verlangen, dass der Arbeitgeber den Einsatz von Privatdetektiven unterlässt. Hat der Arbeitgeber jedoch bereits betriebsvereinbarungswidrig einen Detektiv eingesetzt, so kann der Betriebsrat nicht die Verwertung
167
BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255, 256. LAG Köln, Beschl. v. 21. 2. 2006 – 9 TaBV 34/05, BeckRS 2006, 44822. 169 LAG Köln, Beschl. v. 21. 2. 2006 – 9 TaBV 34/05, BeckRS 2006, 44822. 170 LAG Hamm, Beschl. v. 15. 7. 2005 – 10 TaBV 44/05, BeckRS 2005, 43143. 171 LAG Hamm, Beschl. v. 15. 7. 2005 – 10 TaBV 44/05, BeckRS 2005, 43143. 172 BAG, Beschl. v. 18. 5. 2010 – 1 ABR 6/09, NZA 2010, 1433, 1434 Rn. 14 ff.; BAG; Beschl. v. 18. 1. 2005 – 3 ABR 21/04, NZA 2006, 167, 171; GK-BetrVG/Kreutz, 11. Aufl. 2018, § 77 Rn. 30. 173 BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255 f. 168
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
125
der erlangten Informationen verhindern, da dieses Recht nicht ihm, sondern allein den betroffenen Arbeitnehmern zusteht.174 Der Betriebsrat ist indes nicht darauf beschränkt, vom Arbeitgeber zu verlangen, eigenes betriebsvereinbarungswidriges Verhalten zu unterlassen. Vielmehr muss der Arbeitgeber auch sicherstellen, dass die in der Betriebsvereinbarung getroffenen Regelungen durch die im Betrieb beschäftigten Arbeitnehmer eingehalten werden.175 Er muss die Betriebsvereinbarung nicht nur selbst durchführen, sondern auch auf Dritte, die seinem Organisationsbereich zuzuordnen sind, aktiv einwirken, um zu verhindern, dass diese gegen eine Betriebsvereinbarung verstoßen.176 Die datenschutzrechtliche Relevanz dieses Anspruchs offenbart sich durch einen Blick auf die Rechtsprechung: Unterstellt eine Betriebsvereinbarung die persönlichen Passwörter der Arbeitnehmer, die ihnen Zugang zu den vom Arbeitgeber zur Verfügung gestellten EDV-Systemen gewähren, dem Datenschutz und untersagt daher deren Weitergabe, so muss der Arbeitgeber darauf hinwirken, dass diese Regelung auch durch Dritte, deren Verhalten innerhalb seines Verantwortungsbereichs liegt, eingehalten wird.177 Gibt beispielsweise ein leitender Angestellter – dessen Verhalten dem Arbeitgeber zuzurechnen ist – das persönliche Passwort einer abwesenden Mitarbeiterin an eine Praktikantin weiter, damit diese am Arbeitsplatz der abwesenden Mitarbeiterin arbeiten kann, so ist dies mit der in der Betriebsvereinbarung getroffenen Regelung unvereinbar.178 Auch wenn die Regelung erkennbar dem Schutz der Persönlichkeitsrechte der betroffenen Arbeitnehmer dient,179 wird ihnen kein eigenständiger, durchsetzbarer Anspruch auf Geheimhaltung ihrer Passwörter eingeräumt. Vielmehr ist der Arbeitgeber nur gegenüber dem Betriebsrat verpflichtet, die entsprechende Vereinbarung einzuhalten, weshalb dieser einen Unterlassungsanspruch gegenüber dem Arbeitgeber geltend machen kann.180 Diese Beispiele aus der Praxis verdeutlichen, dass der Anspruch des Betriebsrats auf Durchführung von Betriebsvereinbarungen – und der korrespondierende Anspruch auf Unterlassung betriebsvereinbarungswidriger Maßnahmen – eine bedeutende Grundlage datenschutzrechtlicher Kompetenzen des Betriebsrats darstellen. Vor diesem Hintergrund ist es für den Betriebsrat sinnvoll, auf eine umfassende Regelung der datenschutzrechtlichen Zulässigkeit denkbarer Maßnahmen hinzuwirken. Denn der Betriebsrat hat auf gesetzlicher Grundlage nur im Rahmen von § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG die Möglichkeit, vom Arbeitgeber die Unterlassung datenschutzwidrigen Verhaltens zu verlangen. Wird eine entsprechende Regelung hingegen in eine Betriebsvereinbarung aufgenommen, 174 175 176 177 178 179 180
BAG, Beschl. v. 10. 11. 1987 – 1 ABR 55/86, NZA 1988, 255, 256. LAG Hamm, Beschl. v. 10. 2. 2012 – 10 TaBV 59/11, BeckRS 2012, 68956. BAG, Beschl. v. 29. 4. 2004 – 1 ABR 30/02, NZA 2004, 670, 676. LAG Hamm, Beschl. v. 10. 2. 2012 – 10 TaBV 59/11, BeckRS 2012, 68956. LAG Hamm, Beschl. v. 10. 2. 2012 – 10 TaBV 59/11, BeckRS 2012, 68956. LAG Hamm, Beschl. v. 10. 2. 2012 – 10 TaBV 59/11, BeckRS 2012, 68956. LAG Hamm, Beschl. v. 10. 2. 2012 – 10 TaBV 59/11, BeckRS 2012, 68956.
126
C. Kompetenzen des Betriebsrats
kann der Betriebsrat die Unterlassung betriebsvereinbarungswidrigen Verhaltens – und damit eines datenschutzwidrigen Verhaltens – auch dann verlangen, wenn die strengen Voraussetzungen des § 23 Abs. 3 S. 1 BetrVG nicht erfüllt sind. cc) Folgerung: Das Betriebsverfassungsrecht als maßgebliche Grundlage betriebsratsseitiger Unterlassungsansprüche Das Betriebsverfassungsrecht bildet mithin im Rahmen des Beschäftigtendatenschutzes die maßgebliche rechtliche Grundlage für gegen den Arbeitgeber gerichtete Unterlassungsansprüche. So kann der Betriebsrat die Verletzung datenschutzrechtlicher Vorschriften gegenüber dem Arbeitgeber gem. § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG rügen, wenn dieser seine ihm im Verhältnis zu den Arbeitnehmern obliegende Pflicht zur Achtung ihrer Persönlichkeitsrechte in schwerwiegender Weise verletzt. Hinzu tritt bei einem Verstoß des Arbeitgebers gegen datenschutzrelevante Regelungen in einer Betriebsvereinbarung ein Unterlassungsanspruch aus § 77 Abs. 1 S. 1 BetrVG i. V. m. mit der jeweils maßgeblichen Vorschrift der Betriebsvereinbarung. Voraussetzung ist insofern allerdings, dass der Arbeitgeber eigene Rechte des Betriebsrats verletzt, die diesem gerade durch die Betriebsvereinbarung eingeräumt werden. Hingegen ist der Betriebsrat nicht berechtigt, die Verletzung individualrechtlicher Ansprüche der Arbeitnehmer geltend zu machen, auch wenn diese unmittelbar aus der Betriebsvereinbarung folgen. Offen ist allein, ob sich auch aus dem Datenschutzrecht Unterlassungsansprüche des Betriebsrats herleiten lassen, soweit er im Rahmen seiner Überwachungsaufgabe Datenschutzverstöße des Arbeitgebers feststellt. Das BDSG enthält keine entsprechende Regelung und auch die DSGVO normiert jedenfalls keinen ausdrücklichen Unterlassungsanspruch.181 Zwar wohnt dem von Art. 17 Abs. 1 DSGVO verbürgten Löschungsrecht zugleich ein Unterlassungsanspruch des Betroffenen inne.182Allerdings steht dieses Recht eben allein dem Betroffenen zu, wie bereits die dem dritten Kapitel der DSGVO vorangestellte Überschrift „Rechte der betroffenen Person“, verdeutlicht. Dies entspricht dem bislang herausgearbeiteten Bild: Zwar beschneidet die DSGVO nicht die nach nationalem Recht bestehende Rechtsposition der Interessenvertretungen der Arbeitnehmer, räumt ihnen jedoch auch keine neuen, originär datenschutzrechtlichen Rechte ein. Datenschutzrechtliche Unterlassungsansprüche stehen damit nur dem jeweils betroffenen Arbeitnehmer, nicht aber dem Betriebsrat zu.
181
LG München I, Urt. v. 7. 11. 2019 – 34 O 13123/19, BeckRS 2019, 28276. Einen Unterlassungsanspruch aus Art. 17 Abs. 1 DSGVO herleitend OLG Frankfurt a. M., Urt. v. 6. 9. 2018 – 16 U 193/17, ZD 2019, 78, 79 Rn. 45; LG Frankfurt a. M., Urt. v. 28. 6. 2019 – 2 – 03 O 315/17, ZD 2019, 410, 411 Rn. 31 f.; BeckOK DatenschutzR/Worms, 32. Ed. (Stand 1. 11. 2019), Art. 17 DSGVO Rn. 77a. 182
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
127
b) Recht des Betriebsrats zur Meldung von Datenschutzverstößen gegenüber der Aufsichtsbehörde – Der Betriebsrat als datenschutzrechtlicher Whistleblower Stellt der Betriebsrat Datenschutzverstöße seitens des Arbeitgebers fest, so ergibt sich zudem die Frage, inwieweit er berechtigt ist, Dritte einzuschalten, um das Verhalten des Arbeitgebers zu unterbinden. Es geht damit letztlich um die Reichweite seiner aus § 80 Abs. 1 Nr. 1 BetrVG folgenden Überwachungsaufgabe: Umfasst diese auch das Recht, festgestellte Verstöße gegen arbeitnehmerschützende Vorschriften gegenüber Dritten anzuzeigen, damit diese im Rahmen ihrer Kompetenzen darauf hinwirken können, den jeweiligen Rechtsverstoß abzustellen? Für den Bereich des Beschäftigtendatenschutzes geht es konkret darum, ob der Betriebsrat sich an die datenschutzrechtlichen Aufsichtsbehörden wenden darf, wenn er einen Datenschutzverstoß des Arbeitgebers feststellt. Kurzum: Hat der Betriebsrat auf dem Gebiet des Beschäftigtendatenschutzes ein Recht zum Whistleblowing? Die praktische Brisanz dieser Frage wird offensichtlich, betrachtet man die Konsequenzen, die ein Datenschutzverstoß nach sich ziehen kann: Da Art. 83 Abs. 4 – 6 DSGVO datenschutzwidriges Verhalten mit hohen Geldbußen sanktioniert, steht dem Betriebsrat im Verhältnis zum Arbeitgeber ein nicht unerhebliches Druckmittel zur Verfügung, wenn es in seiner Hand liegt, ihm bekannt gewordene Datenschutzverstöße des Arbeitgebers gegenüber der Aufsichtsbehörde zu melden.183 aa) Bestandsaufnahme: Der Betriebsrat als Whistleblower im Betriebsverfassungsrecht In einem ersten Schritt gilt es daher zu klären, ob das Betriebsverfassungsrecht überhaupt ein Whistleblowing durch den Betriebsrat zulässt. Für den Bereich des Beschäftigtendatenschutzes fehlt es bislang an einschlägiger Rechtsprechung und auch in der Literatur wird die Problematik nur vereinzelt diskutiert.184 Indes kommt eine Meldung von Rechtsverstößen des Arbeitgebers nicht nur im datenschutzrechtlichen Kontext in Betracht. So ist das Whistleblowing durch den Betriebsrat beispielsweise im Bereich des Arbeitsschutzes schon Gegenstand der Rechtsprechung geworden.185 Grundlage bildet dabei § 89 Abs. 1 S. 2 BetrVG, der bestimmt, dass der Betriebsrat „bei der Bekämpfung von Unfall- und Gesundheitsgefahren die für den Arbeitsschutz zuständigen Behörden […] durch Anregung, Beratung und Auskunft zu unterstützen [hat]“. Trotz dieser ausdrücklich normierten, öffentlichrechtlichen Unterstützungspflicht erkennt die Rechtsprechung jedoch zumindest kein einschränkungsloses Recht des Betriebsrats an, Rechtsverstöße bei der zu-
183 Dzida, BB 2018, 2677; in diese Richtung auch Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 657. 184 So insbesondere durch Kort, ZD 2016, 3, 9; Kort, NZA 2015, 1345, 1352. 185 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1.
128
C. Kompetenzen des Betriebsrats
ständigen Behörde anzuzeigen.186 Dies folge aus dem von § 2 Abs. 1 BetrVG normierten Grundsatz der vertrauensvollen Zusammenarbeit, der einen vorherigen, erfolglos gebliebenen Versuch, den Arbeitgeber zu bewegen, selbst Abhilfe zu schaffen, seitens des Betriebsrats erforderlich mache.187 Dem stehe nicht entgegen, dass das BetrVG die Hinzuziehung der Behörde – anders als noch § 49 Abs. 4 BetrVG (i. d. F. v. 11. 10. 1952) – nicht ausdrücklich an einen erfolglosen vorherigen innerbetrieblichen Einigungsversuch knüpft.188 Denn die Gesetzesbegründung189 zeige, dass der Gesetzgeber auf die Übernahme einer entsprechenden Regelung in die Neufassung des BetrVG nur deshalb verzichtet habe, weil er davon ausging, dass sich dieses Erfordernis bereits aus § 2 Abs. 1 BetrVG ergebe.190 Diese Erwägungen finden auch in der Literatur Anklang.191 Zurecht: Zwar erlegt § 89 Abs. 1 S. 2 BetrVG dem Betriebsrat eine Pflicht zur Unterstützung der Aufsichtsbehörde auf, macht ihn aber nicht zu einem nur ihr verpflichteten „verlängerten Arm der Aufsichtsbehörde“192. Vielmehr unterliegt der Betriebsrat dem Kooperationsgebot des § 2 Abs. 1 BetrVG, das als Leitprinzip des Betriebsverfassungsrechts193 zur Auslegung sämtlicher Vorschriften des BetrVG heranzuziehen ist.194 Die Norm verpflichtet die Betriebspartner als unmittelbar geltendes Recht.195 Zwar müssen sie die Interessen der jeweiligen Gegenseite nicht aktiv fördern, allerdings dürfen sie diese bei der eigenen Tätigkeit auch nicht vollständig unberücksichtigt lassen.196 Daher ist es sachgerecht, wenn die Rechtsprechung auch § 89 Abs. 1 S. 2 BetrVG mit Blick auf § 2 Abs. 1 BetrVG liest und eine innerbetriebliche Konfliktlösung einer Anzeige bei der 186 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1; ausführlich zu dieser Rechtsprechung Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 179 ff. 187 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1; Fitting, BetrVG, 30. Aufl. 2020, § 89 Rn. 18; a. A. Simitis/Kreuder, NZA 1992, 1009, 1014. 188 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1. 189 BT-Drs. VI/1786, S. 46. 190 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1. 191 ErfK/Kania, 20. Aufl. 2020, § 89 BetrVG Rn. 5; Fitting, BetrVG, 30. Aufl. 2020, § 89 Rn. 18; GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 89 Rn. 58; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 31; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 181; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 89 Rn. 19; Wiebauer, NZA 2015, 22, 25; a. A. Kohte, jurisPR-ArbR 22/2003 Anm. 1; Simitis/Kreuder, NZA 1992, 1009, 1014. 192 Wiebauer, NZA 2015, 22, 25. 193 Galperin/Löwisch, BetrVG, 6. Aufl. 1982, § 2 Rn. 2; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 3. 194 Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 22; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 13; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 18. 195 Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 22; Galperin/Löwisch, BetrVG, 6. Aufl. 1982, § 2 Rn. 23; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 5; Hueck/Nipperdey, II/2, 7. Aufl. 1970, S. 1335; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 18. 196 GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 12; MHdB ArbR/Boemke, 4. Aufl. 2019, § 288 Rn. 4.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
129
Aufsichtsbehörde vorzieht. Damit ist jedenfalls im Bereich des Arbeitsschutzes das Recht, etwaige Rechtsverstöße des Arbeitgebers der Aufsichtsbehörde zu melden, davon abhängig, dass der Betriebsrat zuvor auf den Arbeitgeber eingewirkt hat, damit dieser selbst Abhilfe schaffen kann. bb) Geltung der anerkannten Grundsätze auch für den Beschäftigtendatenschutz Möchte man diese Grundsätze auf den Bereich des Beschäftigtendatenschutzes übertragen, muss beachtet werden, dass es dort an einer § 89 Abs. 1 S. 2 BetrVG vergleichbaren Normierung einer Kooperationspflicht von Betriebsrat und zuständiger Aufsichtsbehörde fehlt. Dies gibt den Ausgangspunkt vor: Wenn der Betriebsrat sich schon im Rahmen des Arbeitsschutzes, wo § 89 Abs. 1 S. 2 BetrVG eine Kooperationspflicht explizit anordnet, nur nach einem vorherigen innerbetrieblichen Abhilfeversuch an die Aufsichtsbehörde wenden darf, können ihm im Rahmen des Beschäftigtendatenschutzes, wo es – jedenfalls im Betriebsverfassungsrecht – an einer ausdrücklich normierten Auskunftspflicht gegenüber der Behörde fehlt, keine weitreichenderen Befugnisse zustehen. Auch hier ist daher ein vorheriger betriebsinterner Abhilfeversuch Voraussetzung für die Hinzuziehung der Aufsichtsbehörde.197 Keinesfalls steht ihm auf betriebsverfassungsrechtlicher Grundlage mit Blick auf das von § 2 Abs. 1 BetrVG normierte Gebot der vertrauensvollen Zusammenarbeit ein einschränkungsloses Recht zum Whistleblowing zu.198 Denkbar wäre jedoch auch, aus dem Fehlen einer § 89 Abs. 1 S. 2 BetrVG entsprechenden Regelung im Rahmen des Beschäftigtendatenschutzes sogar eine weitergehende Beschränkung zu folgern und dem Betriebsrat ein Recht zum Whistleblowing vollständig zu versagen. Denn § 79 Abs. 1 BetrVG verpflichtet den Betriebsrat grundsätzlich zur Verschwiegenheit in Bezug auf Betriebs- und Geschäftsgeheimnisse des Arbeitgebers. Im Arbeitsschutz tritt diese allgemeine Schweigepflicht ausnahmsweise hinter der von § 89 Abs. 1 S. 2 BetrVG im Verhältnis zur Aufsichtsbehörde ausdrücklich angeordneten Auskunftspflicht zurück.199 Da eine solche Regelung für die Auskunft gegenüber den Datenschutzaufsichtsbehörden jedoch fehlt, könnte man erwägen, dass die dem Betriebsrat durch § 79 Abs. 1 BetrVG auferlegte Geheimhaltungspflicht der Meldung von Datenschutzverstößen an die Aufsichtsbehörde entgegensteht. Allerdings verpflichtet § 79 Abs. 1 BetrVG den Betriebsrat nur in Bezug auf „Betriebs- und Geschäftsgeheimnisse“ zur Verschwiegenheit. Dies sind Informationen, die den technischen Betrieb oder die wirtschaftliche Betätigung des Unternehmens betreffen und an deren Geheimhaltung
197
Kort, ZD 2017, 3, 6; Kort, ZD 2016, 3, 9; a. A. wohl Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 657. 198 So aber wohl Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 657; vollständig gegen ein Recht zum Whistleblowing Dzida, BB 2018, 2677. 199 BAG, Beschl. v. 3. 6. 2003 – 1 ABR 19/02, AP BetrVG 1972 § 89 Nr. 1.
130
C. Kompetenzen des Betriebsrats
ein berechtigtes, wirtschaftliches Interesse seitens des Arbeitgebers besteht.200 Dadurch soll verhindert werden, dass die Wettbewerbslage des Arbeitgebers im Verhältnis zu Mitbewerbern durch die Weitergabe sensibler Informationen beeinträchtigt wird.201 Betriebsgeheimnisse sind dabei Informationen, die der Erreichung des Betriebszwecks dienen, während der Begriff „Geschäftsgeheimnisse“ sich auf das „Know-How“ des Arbeitgebers bezieht.202 Die Information, ob und durch welches konkrete Verhalten der Arbeitgeber Datenschutzverstöße begangen hat, betrifft indes weder die Erreichung des Betriebszwecks noch das „Know-How“ des jeweiligen Arbeitgebers. Zeigt der Betriebsrat einen Datenschutzverstoß bei den Aufsichtsbehörden an, beeinträchtigt dies die Wettbewerbslage nicht zulasten des Arbeitgebers. Daher fällt die Information über einen Datenschutzverstoß grundsätzlich nicht in den Anwendungsbereich von § 79 Abs. 1 BetrVG, sodass die Norm nicht zu einer Einschränkung der Betriebsratsrechte führt. Eine andere Bewertung kann nur im Ausnahmefall angezeigt sein, wenn der Betriebsrat die Aufsichtsbehörde nicht nur darüber informiert, dass der Arbeitgeber überhaupt einen Datenschutzverstoß begangen hat, sondern zugleich schildert, auf welche Art und Weise die Rechtsverletzung erfolgt ist und dabei Informationen offenlegt, die ihrerseits als Betriebsoder Geschäftsgeheimnis anzusehen sind. Offenbart der Betriebsrat durch die Anzeige eines Datenschutzverstoßes jedoch keine Betriebs- oder Geschäftsgeheimnisse, schränkt § 79 Abs. 1 BetrVG sein Recht zum Whistleblowing nicht zusätzlich ein. Vielmehr kann der Betriebsrat nach allgemeinen betriebsverfassungsrechtlichen Grundsätzen einen Datenschutzverstoß des Arbeitgebers bei der Aufsichtsbehörde melden, soweit vorherige innerbetriebliche Abhilfeversuche erfolglos geblieben sind.203 cc) Keine abweichende Beurteilung angesichts von DSGVO und BDSG Möglicherweise könnte sich eine andere Beurteilung unmittelbar aus dem Datenschutzrecht ergeben. So wird die Möglichkeit des Betriebsrats, Datenschutzverstöße an die Datenschutzaufsichtsbehörden zu melden, teilweise mit Blick auf Art. 77 Abs. 1 DSGVO, der dem Betroffenen ein Recht zur Beschwerde gegenüber der Aufsichtsbehörde einräumt, abgelehnt.204 Denn die Vorschrift gestehe eben nur 200
BAG, Beschl. v. 26. 2. 1987 – 6 ABR 46/84, NZA 1988, 63; BAG, Urt. v. 16. 3. 1982 – 3 AZR 83/79, NJW 1983, 134 Ls. 2; ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 2; Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 3; GK-BetrVG/Oetker, 11. Aufl. 2018, § 79 Rn. 11; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 5. 201 ErfK/Kania, 20. Aufl. 2020, § 79 BetrVG Rn. 1; Galperin/Löwisch, BetrVG, 6. Aufl. 1982, § 79 Rn. 1; GK-BetrVG/Oetker, 11. Aufl. 2018, § 79 Rn. 9. 202 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 79 Rn. 6. 203 Kort, ZD 2017, 3, 6; Kort, ZD 2016, 3, 9; Kort, NZA 2015, 1345, 1352; wohl für ein einschränkungsloses Recht zum Whistleblowing Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 657; DKW/Buschmann, BetrVG, 17. Aufl. 2020, § 80 Rn. 15; gegen ein solches Recht Dzida, BB 2018, 2677. 204 Dzida, BB 2018, 2677, 2678.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
131
dem Betroffenen das Recht zu, sich an die Aufsichtsbehörde zu wenden und sehe eine entsprechende Befugnis für den Betriebsrat gerade nicht vor.205 Zwar trifft es zu, dass Art. 77 Abs. 1 DSGVO ein ausdrückliches Beschwerderecht nur dem Betroffenen einräumt. Eine Aussage über die Kompetenzen des Betriebsrats lässt sich der Vorschrift jedoch – weder in positiver noch in negativer Hinsicht – nicht entnehmen. Vielmehr muss zusätzlich Art. 80 Abs. 1 DSGVO in den Blick genommen werden, der den Betroffenen berechtigt, eine für den Datenschutz tätige Einrichtung, Organisation oder Vereinigung zu beauftragen, in seinem Namen Beschwerde einzureichen. Daraus könnte man zunächst folgern, dass es allgemein in der Hand des Betroffenen liegen soll, ob er Beschwerde bei der Aufsichtsbehörde einlegt. Allerdings sind Einrichtungen i. S. v. Art. 80 Abs. 1 DSGVO zur verbesserten Kontrolle und Durchsetzung des Datenschutzrechts gem. Art. 80 Abs. 2 DSGVO berechtigt, auch ohne einen entsprechenden Auftrag des Betroffenen Beschwerde bei der Aufsichtsbehörde einzulegen, wenn ihnen ein entsprechendes Recht durch die Mitgliedstaaten eingeräumt wird.206 Damit lässt die DSGVO die Anzeige von Datenschutzverstößen bei der Aufsichtsbehörde auch unabhängig vom Willen des Betroffenen zu. Jedoch könnte der deutsche Gesetzgeber nur dann auf Grundlage von Art. 80 Abs. 2 DSGVO ein Verbandsbeschwerderecht für den Betriebsrat schaffen, wenn dieser als Einrichtung i. S. v. Art. 80 Abs. 1 DSGVO anzusehen wäre. Der Begriff der „Einrichtung“ ist dabei weder an eine konkrete Gesellschaftsform geknüpft, noch kommt es darauf an, ob die Einrichtung öffentlich-rechtlich oder privatrechtlich organisiert ist.207 Entscheidend ist ausweislich Art. 80 Abs. 1 DSGVO allein, dass sie ohne Gewinnerzielungsabsicht für den Datenschutz tätig wird und ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist. Erforderlich ist mithin, dass sie im nationalen Recht rechtsfähig ist.208 Außerdem müssen ihre satzungsmäßigen Ziele im öffentlichen Interesse liegen. Daher muss die Einrichtung überhaupt über eine Satzung verfügen, wobei indes ausreicht, dass ihre Ziele in irgendeiner Form verbindlich festgelegt sind.209 Geht man nun der Frage nach, ob der Betriebsrat unter diesen Voraussetzung als Einrichtung i. S. v. Art. 80 Abs. 1 DSGVO anzusehen ist, so stößt man auf zwei Probleme: Zum einen ist der Betriebsrat nur insoweit rechtsfähig, wie ihm das Gesetz Rechte und Pflichten zuschreibt.210 Zwar stehen dem Betriebsbrat 205
Dzida, BB 2018, 2677, 2678. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, Art. 80 DSGVO Rn. 12; Simitis/Hornung/ Spiecker/Boehm, 1. Aufl. 2019, Art. 80 DSGVO Rn. 2. 207 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 80 DSGVO Rn. 5; Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 80 DSGVO Rn. 7. 208 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 80 DSGVO Rn. 5. 209 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 80 DSGVO Rn. 8; Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 80 DSGVO Rn. 8. 210 Allgemein zur Rechtsfähigkeit s. BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382, 1383; Rn. 10; Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 222; ErfK/Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 292; MHdB ArbR/Boemke, 4. Aufl. 2019, § 286 Rn. 16; Richardi/ 206
132
C. Kompetenzen des Betriebsrats
verschiedene datenschutzrechtlich relevante Mitwirkungs- und Mitbestimmungsrechte zu,211 die er vor Gericht selbstständig geltend machen kann.212 Allerdings kann er nur gegen die Verletzung dieser Mitbestimmungs- und Mitwirkungsrechte vorgehen, nicht aber etwaige Rechtsverletzungen der Arbeitnehmer geltend machen.213 Ihm kommt eben nicht die Rolle eines gesetzlichen Prozessstandschafters der Belegschaft zu.214 Damit fehlt es ihm an der notwendigen Rechtsfähigkeit, um zu Lasten der Arbeitnehmer gehende Rechtsverstöße des Arbeitgebers geltend zu machen.215 Zum anderen wird der Betriebsrat nicht aufgrund seiner satzungsmäßigen Ziele für den Beschäftigtendatenschutz tätig, sondern vielmehr in Wahrnehmung seiner gesetzlichen Aufgaben.216 Daher ist er nicht als Einrichtung i. S. v. Art. 80 Abs. 1 DSGVO einzuordnen.217 Mithin kann der deutsche Gesetzgeber im Rahmen der in Art. 80 Abs. 2 DSGVO enthaltenen Öffnungsklausel kein Verbandsbeschwerderecht für den Betriebsrat schaffen.218 Allerdings folgt daraus nicht zugleich, dass die Meldung von Datenschutzverstößen durch den Betriebsrat zwangsläufig unzulässig ist. Zwar kann der deutsche Gesetzgeber auf Grundlage von Art. 80 Abs. 2 DSGVO kein allgemeines Beschwerderecht des Betriebsrats schaffen,219 jedoch enthält Art. 80 Abs. 2 DSGVO keine Anhaltspunkte dafür, dass durch die Vorschrift die auf nationaler Ebene bestehenden Rechte des Betriebsrats eingeschränkt werden sollen. Vielmehr erwähnt die DSGVO die Interessenvertretungen der Beschäftigten allein im Rahmen der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel, indem sie den Mitgliedstaaten die Möglichkeit eröffnet, spezifischere Vorschriften für den Beschäftigungskontext auch durch Kollektivvereinbarungen zu schaffen. Darüber hinaus schweigt sie zur Rolle des Betriebsrats und trifft insbesondere keine Regelung über dessen Verhältnis zur Aufsichtsbehörde. Dies lässt jedoch nicht darauf schließen, dass eine Zusammenarbeit von Aufsichtsbehörde und Betriebsrat ausgeschlossen sein soll, sondern ist letztlich der Regelungssystematik der DSGVO geschuldet: Welche Rolle den Interessenvertretungen der Beschäftigten im Rahmen des Datenschutzes zukommen Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 10; spezifisch für Art. 80 Abs. 1 DSGVO noch Heidelberger Kommentar/Keppeler, 1. Aufl. 2018, Art. 80 DSGVO Rn. 16; Kort, ZD 2017, 3, 7. 211 S. Gliederungspunkt A. II. 4. b) bb) (2) (b) sowie ausführlich C. I. 212 BeckOK DatenschutzR/Karg, 32. Ed. (Stand 1. 11. 2019), Art. 80 DSGVO Rn. 14. 213 S. ausführlich Gliederungspunkt C. I. 3. sowie C. II. 3. a) aa). 214 BAG, Beschl. v. 18. 1. 2005 – 3 ABR 21/04, NZA 2006, 167, 171. 215 Heidelberger Kommentar/Keppeler, 1. Aufl. 2018, Art. 80 DSGVO Rn. 16; Kort, ZD 2017, 3, 7. 216 Heidelberger Kommentar/Keppeler, 1. Aufl. 2018, Art. 80 DSGVO Rn. 16; Kort, ZD 2017, 3, 7; kritisch, aber eine entsprechend weite Auslegung der Norm für möglich haltend Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 80 DSGVO Rn. 8. 217 Heidelberger Kommentar/Keppeler, 1. Aufl. 2018, Art. 80 DSGVO Rn. 16; Kort, ZD 2017, 3, 7; Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 80 DSGVO Rn. 8; a. A. BeckOK DatenschutzR/Karg, 32. Ed. (Stand 1. 11. 2019), Art. 80 DSGVO Rn. 12 ff. 218 Kort, ZD 2017, 3, 7. 219 Kort, ZD 2017, 3, 7.
II. Pflicht zur Überwachung der Einhaltung der Vorschriften
133
soll, unterliegt ausweislich Art. 88 Abs. 1 DSGVO grundsätzlich der Regelung durch die Mitgliedstaaten. Die DSGVO verändert die betriebsverfassungsrechtliche Rolle des Betriebsrats mithin jedenfalls im Grundsatz nicht.220 Die Frage, ob dem Betriebsrat ein Recht zum Whistleblowing zusteht, richtet sich daher allein nach nationalem Recht. Jedoch trifft auch das BDSG keine Regelung zum Verhältnis von Aufsichtsbehörde und Betriebsrat. Zwar stellt § 26 Abs. 6 BDSG klar, dass die Beteiligungsrechte der Interessenvertretungen „unberührt“ bleiben sollen. Eine Aussage zum Recht des Betriebsrats, Datenschutzverstöße des Arbeitgebers bei der Aufsichtsbehörde anzuzeigen, lässt sich daraus indes nicht entnehmen. Zwar wird teilweise unter Verweis auf § 4 g Abs. 1 S. 2 BDSG a. F., der ausdrücklich regelte, unter welchen Voraussetzungen der betriebliche Datenschutzbeauftragte sich an die Aufsichtsbehörde wenden durfte, ein Recht des Betriebsrats zum Whistleblowing vollständig abgelehnt.221 Denn wenn schon der Datenschutzbeauftragte eine ausdrückliche gesetzliche Grundlage braucht, damit er Datenschutzverstöße bei der Aufsichtsbehörde anzeigen kann, dann könne für den Betriebsrat – für den eine solche Regelung nicht besteht – ein Recht zum Whistleblowing nicht anerkannt werden.222 Jedoch verkennt diese Ansicht, dass der Gesetzgeber eine entsprechende Regelung in die Neufassung des BDSG gar nicht erst aufgenommen hat. Auch dieser Vorschrift lässt sich daher keine Aussage zum Recht des Betriebsrats zum Whistleblowing entnehmen, sodass sich dieses allein auf Grundlage des BetrVG beurteilt. Es finden die allgemeinen Grundsätze Anwendung: Der Betriebsrat darf etwaige Datenschutzverstöße des Arbeitgebers an die Aufsichtsbehörde melden, muss jedoch aufgrund des aus § 2 Abs. 1 BetrVG folgenden Gebots der vertrauensvollen Zusammenarbeit zunächst versuchen, betriebsintern Abhilfe zu schaffen.223 Nur soweit diese Versuche gescheitert sind, darf er sich an die Aufsichtsbehörde wenden. c) Zusammenfassender Überblick über die Handlungsmöglichkeiten des Betriebsrats Stellt der Betriebsrat in Wahrnehmung seiner aus § 80 Abs. 1 Nr. 1 BetrVG folgenden Überwachungsaufgabe Datenschutzverstöße des Arbeitgebers fest, so stehen ihm verschiedene Handlungsmöglichkeiten zur Verfügung. Als betriebsinterne Abhilfemöglichkeit kommt zunächst die Geltendmachung von gegen den Arbeitgeber gerichteten Unterlassungsansprüchen in Betracht. Jedoch kann dem Betriebsrat grundsätzlich nur dort ein Unterlassungsanspruch zustehen, wo er durch das datenschutzwidrige Verhalten des Arbeitgebers in eigenen Rechten verletzt ist. 220
Kort, NZA 2018, 1097, 1103. Dzida, BB 2018, 2677 f. 222 Dzida, BB 2018, 2677 f. 223 So auch Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, S. 72; Kort, ZD 2017, 3, 6. 221
134
C. Kompetenzen des Betriebsrats
Andernfalls würden die Rechtsstreitigkeiten aus dem Verhältnis zwischen Arbeitgeber und Arbeitnehmer entgegen der Konzeption des BetrVG auf das Verhältnis von Arbeitgeber und Betriebsrat verlagert. Daher kann der Betriebsrat auch nicht unmittelbar aus § 80 Abs. 1 Nr. 1 BetrVG einen gegen den Arbeitgeber gerichteten Unterlassungsanspruch herleiten, da die Vorschrift ihn lediglich verpflichtet, über die Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze zu wachen, deren Verletzung er aber eben nicht selbst geltend machen darf. Jedoch steht ihm ein Unterlassungsanspruch zu, wenn der Arbeitgeber gegen eine Betriebsvereinbarung verstößt, die dem Betriebsrat eigene datenschutzrelevante Rechte einräumt. Anspruchsgrundlage bildet dabei § 77 Abs. 1 S. 1 BetrVG i. V. m. der jeweiligen kollektivvertraglichen Vorschrift. Eine Ausnahme besteht allein im Rahmen von § 23 Abs. 3 S. 1 BetrVG, der den Betriebsrat berechtigt, auch die Verletzung von Arbeitnehmerrechten geltend zu machen. Die Norm billigt ihm einen Unterlassungsanspruch zu, wenn der Arbeitgeber seine betriebsverfassungsrechtlichen Pflichten in schwerwiegender Weise verletzt. Unter dieser Voraussetzung kann er auch einen Verstoß des Arbeitgebers gegen dessen aus § 75 Abs. 2 S. 1 BetrVG folgende Pflicht zur Achtung der Persönlichkeitsrechte der Arbeitnehmer rügen. Weitergehende Unterlassungsansprüche lassen sich aus dem Datenschutzrecht nicht entnehmen. Über diese betriebsinternen Handlungsmöglichkeiten hinaus kann der Betriebsrat zudem einen Datenschutzverstoß des Arbeitgebers der Aufsichtsbehörde melden, soweit – dies fordert das aus § 2 Abs. 1 BetrVG folgende Gebot der vertrauensvollen Zusammenarbeit – vorherige innerbetriebliche Abhilfeversuche erfolglos geblieben sind. Eine zusätzliche Einschränkung erfährt dieses Recht allerdings insoweit, als der Betriebsrat darauf achten muss, keine Informationen an die Aufsichtsbehörde weiterzugeben, die als Betriebs- oder Geschäftsgeheimnisse i. S. v. § 79 Abs. 1 BetrVG einzuordnen sind.
4. Zusammenfassender Überblick über die Überwachungsaufgabe des Betriebsrats Aus der von § 80 Abs. 1 Nr. 1 BetrVG normierten Überwachungsaufgabe folgt für den Betriebsrat die Pflicht, zu kontrollieren, ob der Arbeitgeber die zugunsten der Arbeitnehmer geltenden Vorgaben des Beschäftigtendatenschutzes einhält. Dies erstreckt sich auf alle arbeitnehmerschützenden Vorschriften von DSGVO, BDSG und datenschutzrelevanten Betriebsvereinbarungen. Zur Erfüllung dieser Aufgabe kann er Dritte hinzuziehen, wobei er zunächst den betriebsinternen Sachverstand vollständig ausschöpfen muss, bevor er externe Dritte zu Rate ziehen darf.224 Daher 224
BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 31; BAG, Beschl. v. 26. 2. 1992 – 7 ABR 51/90, NZA 1993, 86, 88 f.; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls.; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 85, 93; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 150; Lelley/Bruck/Yildiz, BB 2018, 2164, 2170; Venema, NZA 1993, 252, 253.
III. Informations- und Einsichtsrechte des Betriebsrats
135
kann er interne Datenschutzbeauftragte nach § 80 Abs. 2 S. 4 BetrVG hinzuziehen, auf den externen Datenschutzbeauftragten jedoch nur nachrangig als Sachverständigen auf Grundlage von § 80 Abs. 3 BetrVG zurückgreifen. Gibt der Arbeitgeber Beschäftigtendaten an einen Auftragsverarbeiter weiter, der diese nach den Weisungen des Arbeitgebers verarbeitet, so erstreckt sich die Überwachungsaufgabe des Betriebsrats auch auf die durch den Arbeitgeber erteilten Weisungen, welche die Tätigkeit des Auftragsverarbeiters vorzeichnen. Jedenfalls mittelbar kann er damit auch die Tätigkeit des Auftragsverarbeiters überwachen. Wird dieser indes außerhalb der Weisungen des Arbeitgebers tätig, so kann der Betriebsrat dies nicht überprüfen. Stellt der Betriebsrat in Ausübung seiner Überwachungsaufgabe Datenschutzverstöße fest, so kann er – soweit die Tätigkeit des Arbeitgebers allein zugunsten der Arbeitnehmer geltende Vorschriften verletzt – nur gem. § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG bei schwerwiegenden Verstößen gegen die Persönlichkeitsrechte der Betroffenen Unterlassung verlangen. Im Übrigen steht dem Betriebsrat ein Unterlassungsanspruch nur dann zu, wenn er durch das Verhalten des Arbeitgebers in eigenen datenschutzrechtlich relevanten Rechten verletzt wird, was er im Rahmen seiner Überwachungsaufgabe – da er nur die Einhaltung der zugunsten der Arbeitnehmer geltenden Vorschriften überwachen darf – regelmäßig nur in Bezug auf datenschutzrelevante Betriebsvereinbarungen, die zwar mittelbar zugunsten der Arbeitnehmer wirken, aber zugleich dem Betriebsrat eigene Rechte einräumen, feststellen wird. An die Aufsichtsbehörde darf er sich nur wenden, wenn innerbetriebliche vorherige Abhilfeversuche erfolglos geblieben sind.
III. Informations- und Einsichtsrechte des Betriebsrats Neben seinen Mitbestimmungs- und Mitwirkungsrechten sowie der ihm obliegenden Überwachungsaufgabe stehen dem Betriebsrat verschiedene Informationsrechte zu, die das Bild seiner datenschutzrechtlichen Kompetenzen vervollständigen. Zentrale Bedeutung erlangt zunächst § 80 Abs. 2 S. 1 BetrVG, der den Arbeitgeber verpflichtet, den Betriebsrat zur Durchführung der ihm durch das BetrVG zugewiesenen Aufgaben rechtzeitig und umfassend zu unterrichten. Dazu sind ihm gem. § 80 Abs. 2 S. 2 BetrVG „auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen“. Durch das Informationsrecht soll dem Betriebsrat die tatsächliche, ordnungsgemäße Erfüllung seiner Aufgaben ermöglicht werden.225 Daher erstreckt sich das Unterrichtungsrecht des Betriebsrats auf alle Informationen, die er zur Erfüllung sämtlicher ihm auferlegter
225 Althoff, ArbRAktuell 2018, 414, 416; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 17; Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 64.
136
C. Kompetenzen des Betriebsrats
betriebsverfassungsrechtlicher Pflichten benötigt.226 Auch mit Blick auf den Beschäftigtendatenschutz gewinnt das Informationsrecht nach § 80 Abs. 2 S. 1 BetrVG daher Bedeutung: Soweit dem Betriebsrat datenschutzrechtlich relevante Mitbestimmungs- und Mitwirkungsrechte zustehen, wird durch seinen Auskunftsanspruch gegenüber dem Arbeitgeber sichergestellt, dass der Betriebsrat seinen Aufgaben ordnungsgemäß nachkommen kann.227 So muss der Betriebsrat durch die arbeitgeberseitige Information in die Lage versetzt werden, zu überprüfen, ob ihm beispielsweise bei der Einführung von Überwachungsmaßnahmen seitens des Arbeitgebers tatsächlich ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG zusteht oder ob er bei dem geplanten Einsatz von IT-Anwendungen nach § 87 Abs. 1 Nr. 1 BetrVG im Einzelfall mitzubestimmen hat.228 Aber auch soweit der Betriebsrat gem. § 80 Abs. 1 Nr. 1 BetrVG verpflichtet ist, die Einhaltung der zugunsten der Arbeitnehmer geltenden Vorschriften des Beschäftigtendatenschutzes zu überwachen, kann er unter Berufung auf das Unterrichtungsrecht nach § 80 Abs. 2 S. 1 BetrVG weitreichende Informationen vom Arbeitgeber fordern.229 Schon in der Vergangenheit sind Rechtsprechung und Literatur davon ausgegangen, dass der Betriebsrat Auskunft über die Art der vom Arbeitgeber verarbeiteten personenbezogenen Daten, deren Gegenstand, den Verarbeitungszweck sowie über sämtliche zugriffsberechtigte Personen, die etwaige Übermittlung an Dritte und über getroffene Sicherungsvorkehrungen verlangen kann.230 Dies entspricht weitgehend denjenigen Informationen, die der Verantwortliche gem. Art. 13 Abs. 1 DSGVO und Art. 14 Abs. 1 DSGVO auch dem Betroffenen zur Verfügung stellen muss, um die Transparenz der Datenverarbeitung zu gewährleisten. Diese Informationen werden durch die DSGVO mithin als notwendig angesehen, um einen Datenverarbeitungsvorgang für den Betroffenen nachvollziehbar zu machen. Daher kann für den Betriebsrat nichts anderes gelten. Denn auch er muss in die Lage versetzt werden, tatsächlich zur kontrollieren, ob der Arbeitgeber sich an die Vorschriften des Beschäftigtendatenschutzes hält.231 Auch er benötigt daher die entsprechenden Auskünfte, um die Rechtmäßigkeit eines Datenverarbeitungsvorgangs tatsächlich überprüfen zu können. Sein Unterrichtungsrecht muss sich daher grundsätzlich ebenfalls auf sämtliche Informationen erstrecken, die auch dem Betroffenen nach Art. 13 DSGVO oder 226 ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 17; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 56; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 51, 64; Thüsing/Thüsing/ Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 63. 227 Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Schierbaum, AiB 2001, 512, 520; Taeger/ Rose, BB 2016, 819, 829. 228 Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1. 229 Althoff, ArbRAktuell 2018, 414, 416; Kort, NZA 2015, 1345, 1346; Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Schierbaum, AiB 2001, 512, 520; Taeger/Rose, BB 2016, 819, 829; Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 64. 230 BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749; Althoff, ArbRAktuell 2018, 414, 416; Schierbaum, AiB 2001, 512, 520. 231 Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1.
III. Informations- und Einsichtsrechte des Betriebsrats
137
Art. 14 DSGVO mitzuteilen sind, sofern diese für den Betriebsrat relevant und ihm nicht ohnehin bekannt sind. Vor diesem Hintergrund kommt dem Informationsrecht nach § 80 Abs. 2 S. 1 BetrVG entscheidende Bedeutung zur Absicherung der aus § 80 Abs. 1 Nr. 1 BetrVG folgenden Überwachungspflicht zu.
1. Betriebsverfassungsrechtliche Grenzen des § 80 Abs. 2 S. 1 BetrVG Allerdings schränkt das Betriebsverfassungsrecht das aus § 80 Abs. 2 S. 1 BetrVG folgende Informationsrecht des Betriebsrats selbst in verschiedener Hinsicht ein: Zunächst werden die Informationsrechte durch die Zuständigkeit des Betriebsrats begrenzt, sodass ein örtlicher Betriebsrat nur solche Informationen verlangen kann, die sich auf seinen Betrieb beziehen, da auch seine Mitbestimmungsrechte und Überwachungspflichten sich auf diesen Betrieb beschränken.232 Dabei gilt es jedoch zu beachten, dass allein die Auslagerung des konkreten Datenverarbeitungsvorgangs durch den Arbeitgeber auf einen Dritten nicht zu einer Beschränkung der im Verhältnis von Arbeitgeber und Betriebsrat bestehenden betriebsratsseitigen Informationsansprüche führt, da der Arbeitgeber als Auftraggeber weiterhin Verantwortlicher der Datenverarbeitung bleibt.233 Denn auch soweit der Arbeitgeber sich eines Auftragsverarbeiters bedient, bleibt die Überwachungsaufgabe des Betriebsrats jedenfalls im Hinblick auf die Weisungen, die der Arbeitgeber dem Auftragsverarbeiter für die Datenverarbeitung erteilt, erhalten.234 Daher muss sein Informationsanspruch, der ihm zur Erfüllung seiner Überwachungsaufgabe zusteht, ebenso weit reichen. Andernfalls könnte der Arbeitgeber sich einem Auskunftsverlangen des Betriebsrats gezielt entziehen, indem er die Datenverarbeitung auf Dritte auslagert und dadurch die Effektivität der Aufgabenwahrnehmung durch den Betriebsrat erheblich beeinträchtigen. Eine weitere Grenze ergibt sich unmittelbar aus § 80 Abs. 2 S. 1 BetrVG, der den Arbeitgeber nur dann verpflichtet, dem Betriebsrat Informationen zu gewähren, soweit diese „zur Durchführung seiner Aufgaben“ notwendig sind. Damit muss jedes Auskunftsbegehren einen Bezug zu einer dem Betriebsrat zugewiesenen konkreten betriebsverfassungsrechtlichen Aufgabe aufweisen.235 Das Informationsrecht reicht nämlich stets nur so weit, wie dem Betriebsrat auch tatsächlich eine Aufgabe zu-
232
Stück, ZD 2019, 346, 348. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 750; Ehmann/Selmayr/ Bertermann, 2. Aufl. 2018, Art. 28 DSGVO Rn. 11; Paal/Pauly/Martini, 2. Aufl. 2018, Art. 28 DSGVO Rn. 77. 234 BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747, 749. 235 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1056 Rn. 12; BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; Kort, ZD 2016, 3; Thüsing/ Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 65 f. 233
138
C. Kompetenzen des Betriebsrats
kommt, zu deren Wahrnehmung er die jeweilige Information benötigt.236 Daher hat der Betriebsrat auch kein allgemeines Recht, ohne konkreten Anlass jederzeit auf das arbeitgeberseitige Personalinformationssystem zuzugreifen.237 Allerdings sind die Hürden für den notwendigen Aufgabenbezug nicht allzu hoch: Da es dem Betriebsrat ermöglicht werden muss, in eigener Verantwortung zu prüfen, ob er zur Wahrnehmung einer Aufgabe tatsächlich tätig werden darf oder sogar muss, reicht es aus, wenn eine betriebsverfassungsrechtliche Aufgabe mit gewisser Wahrscheinlichkeit besteht.238 Allerdings kann der Betriebsrat auch dann nur solche Informationen vom Arbeitgeber verlangen, die zur Erfüllung seiner Aufgaben erforderlich sind.239 Dabei sind der Aufgabenbezug und die Erforderlichkeit der Informationsweitergabe eng verknüpft, da die begehrte Auskunft gerade zur Wahrnehmung einer bestimmten betriebsverfassungsrechtlichen Aufgabe erforderlich sein muss.240 Infolgedessen muss der Betriebsrat darlegen, zur Erfüllung welcher konkreten Aufgabe er die begehrte Information benötigt.241 Nicht ausreichend ist hingegen, dass er sich allein darauf beruft, dass die Information allgemein für seine Zwecke dienlich sei.242 Ist diese Hürde genommen, kommt es jedoch nicht darauf an, welche Bedeutung der konkreten Information für die Erfüllung der jeweiligen Aufgabe zukommt.243 Die Grenze liegt erst dort, wo eine Aufgabe des Betriebsrats offensichtlich nicht besteht.244 Zwar sind damit schrankenlose Zugriffsrechte des Betriebsrats – auch bei hinreichendem Aufgabenbezug – regelmäßig unzulässig, da sie nicht erforderlich
236 Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 53. 237 Stück, ZD 2019, 256, 259; ausführlich Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 143 ff. 238 BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; BAG, Beschl. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 930; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 51; Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 53. 239 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1056 Rn. 12; BAG, Beschl. v. 7. 2. 2012 @ 1 ABR 46/10, NZA 2012, 744 Rn. 7; BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; Althoff, ArbRAktuell 2018, 414, 416; Stück, ZD 2019, 346, 348. 240 BAG, Beschl. v. 17. 9. 2013 – 1 ABR 26/12, NZA 2014, 269, 270 Rn. 13; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18. 241 BAG, Beschl. v. 24. 4. 2018 – 1 ABR 6/16, NZA 2018, 1565, 1572 Rn. 22; BAG, Beschl. v. 17. 9. 2013 – 1 ABR 26/12, NZA 2014, 269, 270 Rn. 13. 242 BAG, Beschl. v. 20. 3. 2018 – 1 ABR 15/17, NZA 2018, 1017, 1018 Rn. 17. 243 BAG, Beschl. v. 27. 10. 2010 – 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; BAG, Beschl. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 930. 244 BAG, Beschl. v. 27. 10. 2010 – 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; BAG, Beschl. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 930.
III. Informations- und Einsichtsrechte des Betriebsrats
139
sind.245 Und auch in zeitlicher Hinsicht können sich für die Informationsrechte Einschränkungen ergeben: Jedenfalls dann, wenn dem Betriebsrat zu Informationszwecken Unterlagen überlassen wurden, dürfen diese nur so lange bei ihm verbleiben, wie dies für seine Aufgabenerfüllung notwendig ist.246 Weitergehende Beschränkungen der betriebsratsseitigen Informationsansprüche lassen sich indes jedenfalls aus dem betriebsverfassungsrechtlichen Erforderlichkeitserfordernis nicht ableiten.247
2. Datenschutzrechtliche Grenzen betriebsratsseitiger Informationsrechte Beschäftigt man sich mit den betriebsverfassungsrechtlichen Grenzen betriebsratsseitiger Informationsrechte, so drängt sich zugleich die Frage auf, welche Schranken ihnen durch das Datenschutzrecht gezogen werden. Denn gibt der Arbeitgeber Daten der Beschäftigten an den Betriebsrat weiter, um dessen Auskunftsansprüche zu erfüllen, kommt dadurch auch der Betriebsrat in Kontakt mit den jeweiligen personenbezogenen Informationen. Zwar kann der Arbeitgeber ein Auskunftsverlangen nicht unter Berufung auf die Persönlichkeitsrechte der Arbeitnehmer verweigern, da die Geltendmachung dieser Rechte allein den betroffenen Arbeitnehmern, nicht jedoch dem Arbeitgeber zusteht.248 Dies ist jedoch gar nicht notwendig, da auch der Betriebsrat – selbst wenn er im Interesse der Belegschaft tätig wird – nicht im rechtsfreien Raum agiert.249 Auch er unterliegt den Vorgaben von DSGVO und BDSG, soweit er im Rahmen seiner betriebsverfassungsrechtlichen Aufgaben mit personenbezogenen Daten in Berührung kommt,250 sodass auch seine Informationsrechte nicht nur betriebsverfassungsrechtlichen, sondern auch datenschutzrechtlichen Schranken unterliegen.251 Zwar stellt § 26 Abs. 6 BDSG ausdrücklich klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben. Dies bedeutet indes allein, dass das Datenschutzrecht die betriebsverfassungsrechtliche Rolle des Betriebsrats im Grundsatz unverändert lässt, sodass seine Informationsrechte zwar bestehen bleiben, er bei ihrer Ausübung 245
Brams/Möhle, ZD 2018, 570, 571; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 212. 246 Gola, BB 2017, 1462, 1466. 247 Zum Erfordernis der unionsrechtskonformen Auslegung bereichsspezifischer Erlaubnistatbestände s. Gliederungspunkt E. III. 1. c) sowie zur Diskrepanz von datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit Gliederungspunkt E. III. 2. a). 248 Althoff, ArbRAktuell 2018, 414, 416; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 61; Lücke, NZA 2019, 658, 659; Stück, ZD 2019, 346, 348. 249 Stück, ZD 2019, 346, 350. 250 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; Kleinebrink, DB 2019, 2577; Wybitul, NZA 2017, 413, 418. 251 GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 91.
140
C. Kompetenzen des Betriebsrats
aber selbst dem Datenschutzrecht unterliegt.252 Denn § 26 Abs. 6 BDSG räumt den Normen des BetrVG keineswegs einen generellen Vorrang vor den Bestimmungen des BDSG oder – was durch nationales Recht ohnehin nicht möglich wäre253 – vor den Vorschriften der DSGVO ein.254 Daher können seine betriebsverfassungsrechtlichen Rechte ihrerseits durch das Datenschutzrecht beschränkt werden.255 Der Betriebsrat darf mithin nur dann Auskunft über personenbezogene Daten der Beschäftigten verlangen, wenn ihm einerseits ein diesbezüglicher betriebsverfassungsrechtlicher Auskunftsanspruch zusteht und er sich andererseits auch auf einen datenschutzrechtlichen Erlaubnistatbestand berufen kann.256
3. Spezielle betriebsverfassungsrechtliche Informationsansprüche und ihre Grenzen Neben den allgemeinen Informationsanspruch des § 80 Abs. 2 S. 1 BetrVG treten weitere betriebsverfassungsrechtliche Auskunftsrechte. Datenschutzrechtlich relevant sind neben dem aus § 80 Abs. 2 S. 2 Hs. 2 BetrVG folgenden Recht des Betriebsrats auf Einsicht in Bruttolohn- und Gehaltslisten insbesondere die Rechte aus § 90 Abs. 1 Nr. 3, Nr. 4 BetrVG, § 92 Abs. 1 S. 1 BetrVG, § 99 Abs. 1 S. 1 BetrVG, § 100 Abs. 2 S. 1 BetrVG und § 102 Abs. 1 S. 2 BetrVG.257 Diese speziellen Unterrichtungsrechte verdrängen – mit Ausnahme von § 80 Abs. 2 Hs. 2 BetrVG258 – in ihrem Anwendungsbereich im Wege der Spezialität den allgemeinen Informationsanspruch nach § 80 Abs. 2 S. 1 BetrVG sowohl in Bezug auf die Voraussetzungen als auch den Umfang der Auskunftspflicht.259 Denn in ihrem Anwendungsbereich regeln die jeweiligen Normen die dem Betriebsrat durch die konkrete Vorschrift eingeräumte Aufgabe sowie die ihm zur Erfüllung dieser Pflichten zustehenden 252 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; Fuhlrott, ArbRAktuell 2019, 408; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 90 f.; Kleinebrink, DB 2019, 2577; Kort, NZA 2018, 1097, 1103; Lücke, NZA 2019, 658, 661. 253 GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 90. 254 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; GK-BetrVG/ Weber, 11. Aufl. 2018, § 80 Rn. 90 f.; Lücke, NZA 2019, 658, 659. 255 Lücke, NZA 2019, 658, 659; missverständlich hingegen BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23. 256 Fuhlrott, ArbRAktuell 2019, 408; Lücke, NZA 2019, 658, 661 f.; Wybitul, NZA 2014, 413, 418; s. ausführlich zu den datenschutzrechtlichen Grenzen der betriebsratsseitigen Datenverarbeitung Gliederungspunkt E. III. 257 S. umfassend zu den datenschutzrechtlich relevanten Informationsrechten des Betriebsrats Gliederungspunkte A. II. 4. b) bb) (2) (c) und C. III. 258 BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 101 Rn. 22; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 17; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 58. 259 ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 17; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 58; für § 102 Abs. 1 S. 2 BetrVG BAG, Urt. v. 26. 1. 1995 – 2 AZR 386/94, NZA 1995, 672, 674; a. A. Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 48; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 52.
III. Informations- und Einsichtsrechte des Betriebsrats
141
Informationsrechte abschließend.260 Ließe man hingegen stets den Rückgriff auf den allgemeinen Auskunftsanspruch nach § 80 Abs. 2 S. 1 BetrVG zu,261 so wären die speziell normierten Unterrichtungsrechte des Betriebsrats letztlich überflüssig, da ihre inhaltlichen Grenzen jederzeit durch Rückgriff auf § 80 Abs. 2 S. 1 BetrVG umgangen werden könnten. Dies kann beispielhaft anhand von § 102 Abs. 1 S. 2 BetrVG verdeutlicht werden, der dem Betriebsrat nur einen Anspruch auf Mitteilung derjenigen Gründe einräumt, die der Arbeitgeber zur Grundlage einer Kündigung machen möchte. Damit wird sein Informationsanspruch zugleich auf das Kündigungsverfahren beschränkt, sodass der Betriebsrat über § 102 Abs. 1 S. 2 BetrVG keinen allgemeinen Anspruch auf Auskunft über alle durch den Arbeitgeber erteilten Abmahnungen herleiten kann.262 Dies würde ausgehebelt, könnte er unter Rückgriff auf § 80 Abs. 2 S. 1 BetrVG im Rahmen eines Kündigungsverfahrens auch Informationen über die der Kündigung vorausgegangenen Abmahnungen verlangen. Soweit der allgemeine und die speziellen Auskunftsansprüche allerdings der Wahrnehmung unterschiedlicher Aufgaben dienen, stehen sie selbstständig nebeneinander.263 Dies gewinnt für den Beschäftigtendatenschutz besondere Bedeutung. Zwar haben sämtliche Informationsansprüche des Betriebsrats datenschutzrechtliche Relevanz, da sie ihm gegenüber dem Arbeitgeber ein Recht einräumen, Kenntnis von bestimmten personenbezogenen Beschäftigtendaten zu nehmen. Übt der Betriebsrat diese Auskunftsansprüche aus, so wird er zwar möglicherweise zugleich zufällige Kenntnis von etwaigen Datenschutzverstößen des Arbeitgebers erlangen, beispielsweise, wenn dieser dem Betriebsrat im Rahmen von § 102 Abs. 1 S. 2 BetrVG die Gründe für die Kündigung eines Arbeitnehmers mitteilt. Denn in einem solchen Fall kann der Betriebsrat durchaus feststellen, dass der Arbeitgeber die Informationen, die er zur Grundlage der Kündigung macht, nur durch unzulässige technische Überwachungsmaßnahmen erlangt haben kann, bei deren Einführung der Arbeitgeber den Betriebsrat betriebsverfassungswidrig nicht beteiligt hat. Möchte der Betriebsrat diesem Verdacht nachgehen, so sind weitere Auskunftsverlangen allerdings nicht auf § 102 Abs. 1 S. 2 BetrVG, sondern auf § 80 Abs. 2 S. 1 BetrVG zu stützen. Dieser Rückgriff bleibt möglich, da der Betriebsrat, soweit er den Rechtsverstoß des Arbeitgebers näher erforscht, nicht im Rahmen der ihm durch § 102 Abs. 1 S. 1 BetrVG zugewiesenen Aufgabe, sondern vielmehr zur Wahrung seines Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG tätig wird. Eine aktive Förderung des Beschäftigtendatenschutzes ist dem Betriebsrat mithin allein auf 260
ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 17; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 58. 261 So Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 48; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 52; Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 63; für § 99 Abs. 1 S. 1 BetrVG BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 37. 262 BAG, Beschl. v. 17. 9. 2013 – 1 ABR 26/12, NZA 2014, 269, 270 Rn. 14; Stück, ZD 2019, 346, 349. 263 GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 58.
142
C. Kompetenzen des Betriebsrats
Grundlage des allgemeinen Auskunftsanspruchs nach § 80 Abs. 2 S. 1 BetrVG möglich. Im Rahmen der speziellen Informationsrechte wird er regelmäßig vielmehr selbst mit dem Datenschutzrecht in Konflikt geraten und allenfalls zufällig Datenschutzverstöße des Arbeitgebers aufdecken, deren Erforschung er dann indes wiederum auf § 80 Abs. 2 S. 1 BetrVG stützen muss. Daher ist nur diese Vorschrift als datenschutzrechtliche Kompetenznorm des Betriebsrats einzuordnen.
IV. Möglichkeit der Erweiterung der Kompetenzen des Betriebsrats durch Betriebsvereinbarung Mithin kommen dem Betriebsrat bereits auf gesetzlicher Grundlage verschiedene Möglichkeiten zu, den Beschäftigtendatenschutz aktiv zu fördern. Zu beleuchten ist jedoch auch, inwiefern seine Kompetenzen auf diesem Gebiet zusätzlich erweitert werden können. Grundsätzlich versteht die Rechtsprechung die durch das BetrVG normierten Beteiligungsrechte lediglich als „Mindestbestimmungen“,264 die im Rahmen freiwilliger Betriebsvereinbarungen i. S. v. § 88 BetrVG erweiterbar sind.265 Daher stehe den Betriebspartnern auch im Bereich betriebsverfassungsrechtlicher Fragen eine umfassende Regelungsbefugnis zu.266 Dem schließt sich auch die Literatur weitgehend an.267 Dennoch wird die Rechtsprechung vereinzelt kritisch betrachtet.268 Denn § 77 Abs. 3 S. 1 BetrVG bestimme ausdrücklich, dass „Arbeitsentgelte und sonstige Arbeitsbedingungen, die durch Tarifvertrag geregelt sind oder üblicherweise geregelt werden, […] nicht Gegenstand einer Betriebsvereinbarung sein“ können. Daraus folge im Umkehrschluss, dass eben nur Arbeitsentgelte und sonstige Arbeitsbedingungen, nicht aber andere tarifvertraglich regelbare Fragen zum Inhalt einer Betriebsvereinbarung gemacht werden können.269 Jedoch ist § 77 Abs. 3 S. 1 BetrVG allein zu entnehmen, dass im Bereich der Arbeitsentgelte und sonstigen Arbeitsbedingungen ein Vorrang tarifvertraglicher Regelungen besteht, was jedoch nicht zugleich ausschließt, dass andere tariflich regelbare Angelegen264 BAG, Beschl. v. 23. 8. 2016 – 1 ABR 22/14, NZA 2017, 194, 198 Rn. 38; BAG, Beschl. v. 18. 8. 2009 – 1 ABR 49/08, NZA 2010, 112, 114 Rn. 20; BAG, Beschl. v. 21. 10. 2003 – 1 ABR 39/02, NZA 2004, 936, 939. 265 BAG, Beschl. v. 23. 8. 2016 – 1 ABR 22/14, NZA 2017, 194, 198 Rn. 38; BAG, Beschl. v. 18. 8. 2009 – 1 ABR 49/08, NZA 2010, 112, 114 Rn. 20; BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818. 266 BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818; Fitting, BetrVG, 30. Aufl. 2020, § 77 Rn. 45. 267 ErfK/Kania, 20. Aufl. 2020, § 77 BetrVG Rn. 45; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 338, 341; Kort, ZD 2016, 3, 7; Lerch/Weinbrenner, NZA 2011, 664, 667; kritisch zur Herleitung, i. E. aber ebenso Richardi/Richardi, BetrVG, 16. Aufl. 2018, Einl. Rn. 139, § 88 Rn. 9. 268 Galperin/Löwisch, BetrVG, 6. Aufl. 1982, § 87 Rn. 14, § 88 Rn. 5; GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 88 Rn. 10; GK-BetrVG/Kreutz, 11. Aufl. 2018, § 77 Rn. 106. 269 GK-BetrVG/Kreutz, 11. Aufl. 2018, § 77 Rn. 106.
IV. Möglichkeit der Erweiterung der Kompetenzen des Betriebsrats
143
heiten auch Gegenstand einer Betriebsvereinbarung sein können.270 Vielmehr sind innerhalb der Grenzen des § 77 Abs. 3 S. 1 BetrVG sämtliche Fragen, die Inhalt eines Tarifvertrages sein können, auch durch Betriebsvereinbarung regelbar.271 Gegenstand eines Tarifvertrages können dabei nach § 1 Abs. 1 TVG Fragen des Inhalts und der Beendigung von Arbeitsverhältnissen sowie betriebliche und betriebsverfassungsrechtliche Angelegenheiten sein. Unter den Begriff der „betriebsverfassungsrechtlichen Angelegenheiten“ fallen dabei sämtliche Regelungen in Bezug auf die Rechtsstellung der Arbeitnehmervertretung, d. h. insbesondere ihrer Rechte und Pflichten im Verhältnis zum Arbeitgeber.272 Vor diesem Hintergrund können grundsätzlich sowohl die Mitbestimmungsrechte als auch die Informationsansprüche des Betriebsrats durch freiwillige Betriebsvereinbarung erweitert werden.273 Jedoch muss sich die Erweiterung der Beteiligungsrechte in die Konzeption des Betriebsverfassungsrechts einfügen, d. h. die freiwillige Betriebsvereinbarung muss tatsächlich die Rechtsgrundlage des Beteiligungsrechts bilden.274 Insbesondere durch eine Erweiterung der betriebsverfassungsrechtlichen Mitbestimmungsrechte in sozialen und allgemeinen personellen Angelegenheiten kann dem Betriebsrat eine zusätzliche Förderung des Beschäftigtendatenschutzes ermöglicht werden. Denkbar ist beispielsweise, dass ihm über den Anwendungsbereich von § 87 Abs. 1 Nr. 6 BetrVG hinaus ein Mitbestimmungsrecht auch bei der Einführung und Anwendung rein analoger Überwachungsmaßnahmen, wie beispielsweise dem Einsatz von Privatdetektiven, eingeräumt wird.275 Abzulehnen ist hingegen eine Erweiterung der Mitbestimmungsrechte im Bereich personeller Einzelmaßnahmen.276 Häufig wird mit einer Erweiterung der Mitbestimmungsrechte zugleich auch eine Ausweitung der dem Betriebsrat zustehenden Informationsrechte einhergehen, da eine wirksame Interessenvertretung voraussetzt, dass der Betriebsrat in die Lage versetzt wird, zu überprüfen, ob der Arbeitgeber die betriebsratsseitigen Mitbestimmungsrechte tatsächlich wahrt. Die Erweiterung der Mitbestimmungsrechte begegnet dabei regelmäßig auch keinen datenschutzrechtlichen Bedenken, da es vielmehr vorteilhaft sein wird, wenn der Betriebsrat über die ihm gesetzlich zu270
BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818. BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818. 272 Däubler/Nebe, TVG, 4. Aufl. 2016, § 1 Rn. 369; Wiedemann/Thüsing, TVG, 8. Aufl. 2019, § 1 Rn. 717. 273 Ausdrücklich Dahl/Brink, NZA 2018, 1231, 1233; Kort, ZD 2016, 3, 7; so jedenfalls für solche Informationsansprüche, die zwingende Mitbestimmungsrechte absichern sollen BAG, Urt. v. 23. 10. 2018 – 1 ABR 10/17, NZA 2019, 186, 188 Rn. 21; vgl. von einer umfassenden Regelungskompetenz ausgehend BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818; Fitting, BetrVG, 30. Aufl. 2020, § 88 Rn. 2; zur Zulässigkeit der Erweiterung von Mitbestimmungsrechten im Rahmen von Regelungsabreden s. BAG, Urt. v. 14. 8. 2001 – 1 AZR 744/ 00, NZA 2002, 342, 344 f. 274 Richardi/Richardi, BetrVG, 16. Aufl. 2018, Einl. Rn. 139, § 88 Rn. 9. 275 Zur Mitbestimmung des Betriebsrats beim Einsatz von Privatdetektiven s. Thüsing/ Rombey, NZA 2018, 1105, 1110. 276 S. Gliederungspunkt E. IV. 3. b). 271
144
C. Kompetenzen des Betriebsrats
gewiesenen Kompetenzen hinaus eine weitere Möglichkeit hat, aktiv für den Beschäftigtendatenschutz tätig zu werden. Kritischer ist hingegen die damit einhergehende sowie die davon unabhängige Erweiterung seiner Informationsrechte zu betrachten: Denn dadurch wird der Arbeitgeber in größerem als dem gesetzlich vorgesehenen Umfang verpflichtet, personenbezogene Beschäftigtendaten an den Betriebsrat weiterzugeben. Allerdings ist die Regelungsmacht der Betriebspartner auch beim Abschluss freiwilliger Betriebsvereinbarungen begrenzt.277 Sie müssen insbesondere höherrangiges Recht beachten,278 wodurch sie auch an die gesetzlichen Vorgaben von DSGVO und BDSG gebunden werden. Zudem ist auch – selbst wenn dem Betriebsrat durch die jeweilige Betriebsvereinbarung ein zusätzliches Informationsrecht eingeräumt wird – die konkrete Datenweitergabe ihrerseits wiederum an den Vorgaben des Datenschutzrechts zu messen. Bildet die Betriebsvereinbarung zugleich die datenschutzrechtliche Rechtsgrundlage für die Weitergabe der Informationen an den Betriebsrat, so wird sie inzident auf ihre Vereinbarkeit mit den Vorgaben von Art. 88 Abs. 2 DSGVO zu überprüfen sein. Regelt sie hingegen nur ein Informationsrecht des Betriebsrats, ohne zugleich einen eigenständigen datenschutzrechtlichen Erlaubnistatbestand zu normieren, muss die Informationsweitergabe ohnehin auf einen gesetzlichen Rechtfertigungstatbestand gestützt werden. Daher begegnet auch die Erweiterung der Informationsansprüche keinen grundsätzlichen datenschutzrechtlichen Bedenken. Mithin können sowohl die Mitbestimmungsrechte des Betriebsrats als auch die ihm zustehenden Informationsansprüche im Wege freiwilliger Betriebsvereinbarungen erweitert werden.279
V. Ein zweites Zwischenergebnis Dem Betriebsrat kommt im Rahmen des Beschäftigtendatenschutzes eine Schlüsselfunktion zu. Ausgangspunkt seiner datenschutzrechtlichen Kompetenzen ist § 75 Abs. 2 S. 1 BetrVG, der den Beschäftigtendatenschutz zur gesetzlichen Aufgabe des Betriebsrats macht. Jedoch ergeben sich aus der Vorschrift noch keine konkreten Handlungsbefugnisse. Diese folgen erst aus den speziellen Kompetenz277 St. Rspr., s. beispielhaft BAG, Urt. v. 5. 3. 2013 – 1 AZR 417/12, NZA 2013, 916, 918 Rn. 24; BAG, Urt. v. 12. 4. 2011 @ 1 AZR 412/09, NZA 2011, 989, 990 Rn. 20; BAG, Urt. v. 12. 12. 2006 – 1 AZR 96/06, NZA 2007, 453, 455 Rn. 22; GK-BetrVG/Gutzeit, 11. Aufl. 2018, § 88 Rn. 7; Kort, ZD 2016, 3, 7; Schaub/Koch, ArbR HdB, 18. Aufl. 2019, § 236 Rn. 3. 278 BAG, Urt. v. 5. 3. 2013 – 1 AZR 417/12, NZA 2013, 916, 918 Rn. 24; BAG, Urt. v. 12. 12. 2006 – 1 AZR 96/06, NZA 2007, 453, 455 Rn. 22; BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818; Fitting, BetrVG, 30. Aufl. 2020, § 88 Rn. 4; Schaub/Koch, ArbR HdB, 18. Aufl. 2019, § 236 Rn. 3. 279 Anders aber bei der Mitbestimmung im Bereich personeller Einzelmaßnahmen am Beispiel der Erweiterung der Beteiligungsrechte bei der Bestellung des Datenschutzbeauftragten s. Gliederungspunkt E. IV. 3. b).
V. Ein zweites Zwischenergebnis
145
normen des BetrVG: Ein aktives Tätigwerden des Betriebsrats für den Beschäftigtendatenschutz ist zunächst im Rahmen der ihm zustehenden Mitbestimmungsrechte möglich. Zentral ist dabei § 87 Abs. 1 Nr. 6 BetrVG, der den Schutz der Persönlichkeitsrechte der Arbeitnehmer bezweckt. Diese Zielsetzung bildet zugleich die Maxime des auf die Vorschrift gestützten Handelns des Betriebsrats, wodurch die herausragende Stellung der Norm für den Beschäftigtendatenschutz offenkundig wird. Daneben können indes insbesondere auch § 87 Abs. 1 Nr. 1 BetrVG, § 94 Abs. 1, Abs. 2 BetrVG sowie § 95 Abs. 1, Abs. 2 BetrVG Bedeutung erlangen. Sie zielen jedoch nicht primär auf den Schutz der Persönlichkeitsrechte der Belegschaft ab, sodass dieser jedenfalls nicht zum alleinigen Leitbild der auf diese Normen gestützten Betriebsratstätigkeit werden muss. Allerdings findet auch die Wahrnehmung dieser Mitbestimmungsrechte ihre Grenze in zwingendem höherrangigem Recht. Daher ist der Betriebsrat bei ihrer Ausübung sowohl an die Vorschriften der DSGVO als auch des BDSG gebunden, wodurch der Schutz der Persönlichkeitsrechte der Arbeitnehmer jedenfalls zur äußersten Schranke für die Betriebsratsarbeit wird. Verletzt der Arbeitgeber zwingende Mitbestimmungsrechte des Betriebsrats, so steht diesem ein allgemeiner betriebsverfassungsrechtlicher Unterlassungs-, sowie ein damit korrespondierender Beseitigungsanspruch zu. Eine weitergehende aktive Mitgestaltung des Beschäftigtendatenschutzes ist dem Betriebsrat zudem im Rahmen der freiwilligen Mitbestimmung nach § 88 BetrVG möglich. Darüber hinaus stellt auch die dem Betriebsrat durch § 80 Abs. 1 Nr. 1 BetrVG eingeräumte Überwachungsaufgabe eine wichtige datenschutzrechtliche Kompetenz dar. Denn die Vorschrift verpflichtet den Betriebsrat, zu überprüfen, ob der Arbeitgeber die zugunsten der Arbeitnehmer geltenden Vorgaben des Beschäftigtendatenschutzes einhält, wodurch er die seitens des Arbeitgebers vorgenommene Verarbeitung personenbezogener Beschäftigtendaten am Maßstab des Datenschutzrechts überprüfen kann. Dabei steht es ihm grundsätzlich frei, Dritte zur Erfüllung dieser Aufgabe hinzuzuziehen. Allerdings muss er zunächst den betriebsinternen Sachverstand ausschöpfen, bevor er externe Dritte konsultieren darf. Daher kann der Betriebsrat auch einen externen Datenschutzbeauftragten nur dann auf Grundlage von § 80 Abs. 3 BetrVG als Sachverständigen zu Rate ziehen, wenn er zuvor den betriebsinternen Sachverstand vollständig erschöpft hat. Datenschutzrechtliche Bedenken bestehen gegen dieses gestufte Vorgehen trotz der besonderen Sachkunde des Datenschutzbeauftragten nicht, da dadurch nur die Kontrolle seitens des Betriebsrats, die aus unionsrechtlicher Sicht zwar zulässig, aber eben nicht zwingend ist, nicht aber die europarechtlich determinierte Überwachungsaufgabe des betrieblichen Datenschutzbeauftragten eingeschränkt wird. Der Betriebsrat kann auf Grundlage von § 80 Abs. 1 Nr. 1 BetrVG auch dann tätig werden, wenn der Arbeitgeber personenbezogene Beschäftigtendaten an einen Auftragsverarbeiter weitergibt, da dieser die Daten nach den Weisungen des Arbeitgebers verarbeitet. Indes ist die Kontrollbefugnis des Betriebsrats auch auf diese durch den Arbeitgeber erteilten Weisungen beschränkt, ein unmittelbares Kontrollrecht gegenüber dem Auftragsverarbeiter steht ihm nicht zu. Deckt der Betriebsrat im Rahmen seiner
146
C. Kompetenzen des Betriebsrats
Überwachungsaufgabe Datenschutzverstöße des Arbeitgebers auf, so kann er vom Arbeitgeber unter bestimmten Voraussetzungen verlangen, dass dieser sein datenschutzwidriges Verhalten unterlässt. Verletzt die arbeitgeberseitige Tätigkeit den Betriebsrat nicht in eigenen Rechten, sondern verstößt allein gegen eine zugunsten der Arbeitnehmer geltende Vorschrift, steht dem Betriebsrat nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen ein Unterlassungsanspruch auf Grundlage von § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG zu. Darüber hinaus kann er Unterlassung verlangen, wenn er durch das datenschutzwidrige Verhalten des Arbeitgebers in eigenen Rechten verletzt ist. Solche Rechte können sich insbesondere aus datenschutzrechtlich relevanten Betriebsvereinbarungen ergeben. Rechtsgrundlage des Unterlassungsanspruchs bildet dann § 77 Abs. 1 S. 1 BetrVG i. V. m. der jeweiligen kollektivvertraglichen Regelung. Bei der Aufsichtsbehörde darf er einen Datenschutzverstoß des Arbeitgebers mit Blick auf das aus § 2 Abs. 1 BetrVG folgende Gebot der vertrauensvollen Zusammenarbeit nur dann melden, wenn er zuvor erfolgslos versucht hat, innerbetrieblich Abhilfe zu schaffen. Vervollständigt wird das Bild seiner datenschutzrechtlichen Kompetenzen durch die dem Betriebsrat zustehenden Informationsansprüche. Um eine ordnungsgemäße Aufgabenwahrnehmung zu gewährleisten, kann der Betriebsrats gem. § 80 Abs. 2 S. 1 BetrVG vom Arbeitgeber Auskunft über die zur Durchführung seiner betriebsverfassungsrechtlichen Aufgaben notwendigen Informationen verlangen. Allerdings unterliegt der Informationsanspruch Grenzen: Zum einen muss das Auskunftsverlangen der Wahrnehmung einer konkreten betriebsverfassungsrechtlichen Aufgabe des Betriebsrats dienen und zum anderen muss die begehrte Information zur Erfüllung dieser Aufgabe auch erforderlich sein. Dabei genügt im Rahmen des Betriebsverfassungsrechts jedoch grundsätzlich, dass tatsächlich eine betriebsratsseitige Aufgabe besteht, für deren Wahrnehmung er die jeweilige Information benötigt. Neben diesem allgemeinen Auskunftsanspruch finden sich weitere datenschutzrechtlich relevante Informationsrechte insbesondere in § 90 Abs. 1 Nr. 3, Nr. 4 BetrVG, § 92 Abs. 1 S. 1 BetrVG, § 99 Abs. 1 S. 1 BetrVG, § 100 Abs. 2 S. 1 BetrVG und § 102 Abs. 1 S. 2 BetrVG, die dem allgemeinen Informationsanspruch des § 80 Abs. 2 S. 1 BetrVG im Wege der Spezialität vorgehen. Das allgemeine und die speziellen Informationsrechte stehen nur dort selbstständig nebeneinander, wo die verschiedenen Auskunftsansprüche der Wahrnehmung unterschiedlicher betriebsverfassungsrechtlicher Aufgaben dienen. Eine spezifisch datenschutzrechtliche Kompetenzgrundlage enthält jedoch letztlich allein § 80 Abs. 2 S. 1 BetrVG. Denn nur diese Vorschrift ermöglicht dem Betriebsrat ein aktives Tätigwerden für den Beschäftigtendatenschutz, da er ein Auskunftsverlangen, das der Ausübung eines datenschutzrechtlich relevanten Mitbestimmungsrechts vorangeht oder das er in Wahrnehmung seiner Überwachungsaufgabe äußert, allein auf § 80 Abs. 2 S. 1 BetrVG stützen kann. Die spezielleren Informationsrechte zielen hingegen nicht auf die Absicherung datenschutzrechtlicher Kompetenzen des Betriebsrats ab, sodass er auf ihrer Grundlage allenfalls zufällige Kenntnis von Datenschutzverstößen des Arbeitgebers erlangen kann. Ihre Grenze finden seine Auskunftsansprüche indes
V. Ein zweites Zwischenergebnis
147
wiederum im Datenschutzrecht, da jede Weitergabe personenbezogener Beschäftigtendaten an den Betriebsrat – auch soweit er sich auf ein betriebsverfassungsrechtliches Informationsrecht berufen kann – an den Maßstäben von DSGVO und BDSG zu messen ist.280
280 Etwas anderes kann nur im Rahmen von § 80 Abs. 2 S. 2 Hs. 2 BetrVG sowie § 99 Abs. 1 S. 1 BetrVG gelten, die eigenständige, vorrangige Erlaubnistatbestände normieren.
D. Gestaltung des Datenschutzes durch den Betriebsrat Eine aktive Gestaltung des betrieblichen Datenschutzes wird dem Betriebsrat darüber hinaus im Rahmen von Betriebsvereinbarungen ermöglicht. Denn Art. 88 Abs. 1 DSGVO bestimmt, dass die „Mitgliedstaaten […] durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, vorsehen [können]“, womit die Norm den Betriebspartnern eine ebenso weitreichende Regelungsbefugnis eröffnet, wie den Mitgliedstaaten.1 Dafür besteht ein praktisches Bedürfnis, denn weder die DSGVO noch das BDSG sind umfassend auf die Eigenarten des Arbeitsrechts abgestimmt.2 Vor diesem Hintergrund bieten Betriebsvereinbarungen die Möglichkeit, innerhalb des gesetzlich vorgegebenen Rahmens passgenaue Regelungen zu treffen, um nicht nur den Besonderheiten des Arbeitsverhältnisses, sondern auch des jeweiligen Betriebs Rechnung zu tragen.3 Dadurch erlangen Betriebsvereinbarungen erhebliche praktische Relevanz für den Beschäftigtendatenschutz.4 Die Betriebspartner haben dabei sowohl die Möglichkeit, datenschutzrechtliche Fragestellungen umfassend oder nur in Teilbereichen zu regeln, da – soweit keine kollektivvertragliche Regelung getroffen wird – das BDSG und die DSGVO im Übrigen weiterhin Anwendung finden.5 Datenschutzrechtliche Bedeutung erlangt eine Betriebsvereinbarung allerdings nur, soweit sie inhaltlich tatsächlich konkrete, materiell datenschutzrechtliche Fragestellungen regelt.6 Denkbar erscheinen daher beispielsweise Regelungen zur Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten,7 die Ausgestaltung unbestimmter Rechtsbegriffe der DSGVO8 und die Schaffung eigenständiger datenschutzrechtlicher Erlaubnistatbestände.9
1
Klocke, ZTR 2018, 116, 118. Wybitul, ZD 2016, 203, 207. 3 Schrey/Kielkowski, BB 2018, 629, 630; Wybitul, ZD 2016, 203, 207; Wybitul/Sörup/ Pötters, ZD 2015, 559, 560. 4 Althoff, ArbRAktuell 2018, 414, 417; Klocke, ZTR 2018, 116; Klösel/Mahnhold, NZA 2017, 1428, 1433; Wybitul, NZA 2017, 413, 419. 5 Traut, RDV 2016, 312, 317. 6 Schrey/Kielkowski, BB 2018, 629. 7 Kort, DB 2016, 711, 715. 8 Schrey/Kielkowski, BB 2018, 629, 630. 9 Schrey/Kielkowksi, BB 2018, 629, 631; Wybitul/Sörup/Pötters, ZD 2015, 559, 560. 2
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
149
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung Soll eine Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten herangezogen werden, so muss stets im Einzelfall überprüft werden, ob sie auch tatsächlich einen datenschutzrechtlichen Erlaubnistatbestand normiert.10 Nicht ausreichend kann es insofern sein, dass eine Betriebsvereinbarung überhaupt eine Regelung zur Verarbeitung personenbezogener Daten der Beschäftigten trifft.11 Denn auch eine bereichsspezifische gesetzliche Vorschrift kann nur dann als – gem. § 1 Abs. 2 S. 1 BDSG gegenüber den Normen des BDSG vorrangiger – Erlaubnistatbestand qualifiziert werden, wenn sie eine Vollregelung der jeweiligen bereichsspezifischen Verarbeitungssituation enthält.12 Erforderlich ist, dass sie einen bestimmten Datenverarbeitungsvorgang ebenso umfassend und abschließend wie die jeweils konkurrierende Vorschrift des BDSG regelt, sodass für diese in Bezug auf den konkreten Verarbeitungsvorgang kein Anwendungsbereich mehr verbleibt.13 Dies ist regelmäßig anzunehmen, wenn die bereichsspezifische Vorschrift eine konkrete Aussage über die Art der zu verarbeitenden Daten, den Zweck, sowie die Art und Weise der Datenverarbeitung trifft.14 Daher kann weder eine Regelung, die zwar abstrakt eine Aufgabe oder Pflicht beschreibt, zu deren Erfüllung eine Verarbeitung personenbezogener Daten indes lediglich logische Voraussetzung ist,15 noch eine Norm, die zwar ausdrücklich einen Informationsfluss regelt, aber dennoch keine Konkretisierung hinsichtlich der Art der zu verarbeitenden Informationen und der Art und Weise der Informationsübermittlung beinhaltet, als Erlaubnistatbestand eingeordnet werden.16 Dies ergibt sich durch einen Blick auf die Rechtsprechung des BVerfG, das fordert, dass jede Beschränkung des durch Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG geschützten Rechts auf informationelle Selbstbestimmung auf eine gesetzliche Grundlage gestützt werden kann, aus der sich Voraussetzungen und Umfang der Beschränkung der grundrechtlichen Freiheit klar und insbesondere auch für den Bürger eindeutig ergeben.17 Für eine
10
Zur Qualität datenschutzrechtlicher Betriebsvereinbarungen als eigenständiger Erlaubnistatbestand s. Gliederungspunkt A. II. 4. b) bb) (3) (b). 11 Schrey/Kielkowski, BB 2018, 629, 630. 12 BeckOK DatenschutzR/Gusy/Eichenhofer, 32. Ed. (Stand 1. 5. 2020), § 1 BDSG Rn. 81; s. ausführlich dazu Gliederungspunkt B. II. 2. 13 BT-Drs. 18/11325, S. 79. 14 Gola, BB 2017, 1462, 1463 und 1465; Stück, ZD 2019, 256; so auch schon zu § 1 Abs. 3 BDSG a. F. Jordan/Bissels/Löw, BB 2010, 2889, 2890. 15 Gola, BB 2017, 1462, 1463; ebenso Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 11. 16 So jedoch Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 11. 17 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422.
150
D. Gestaltung des Datenschutzes durch den Betriebsrat
Betriebsvereinbarung können keine anderen Maßstäbe anzulegen sein.18 Wenn bereits eine gesetzliche Vorschrift derart strengen Anforderungen unterliegt, dann müssen diese erst Recht für eine Betriebsvereinbarung gelten, die gem. § 77 Abs. 4 S. 1 BetrVG unmittelbare und zwingende, d. h. normative und damit gesetzesgleiche19 Wirkung entfaltet. Eine in einer Betriebsvereinbarung enthaltene Vorschrift kann daher ebenfalls nur dann als datenschutzrechtlicher Erlaubnistatbestand eingeordnet werden, wenn sie einen bestimmten Datenverarbeitungsvorgang umfassend regelt, was anzunehmen ist, wenn sie eine konkrete Aussage über die Art der zu verarbeitenden Daten, den Zweck, sowie die Art und Weise der Datenverarbeitung trifft.20 Sind diese Voraussetzungen erfüllt, so kann eine Betriebsvereinbarung eigenständige Rechtsfertigungstatbestände normieren und insbesondere auch dazu dienen, die weit gefassten gesetzlichen Erlaubnistatbestände im Hinblick auf die betrieblichen Bedürfnisse zu konkretisieren.21 In diesem Fall steht sie als Erlaubnistatbestand selbstständig neben den gesetzlichen Rechtsgrundlagen.22 Dabei bieten Betriebsvereinbarungen – neben der Möglichkeit, präzise auf die betrieblichen Besonderheiten abgestimmte Regelungen zu treffen23 – den Vorteil, dass sie, anders als beispielsweise die Einwilligung, in ihrer rechtfertigenden Wirkung nicht vom Verhalten des Arbeitnehmers abhängig sind.24 Jedenfalls unter diesem Gesichtspunkt stellen sie daher eine besonders rechtssichere Legitimationsgrundlage dar.25
1. Die Öffnungsklausel des Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG als Rechtsgrundlage Genügt eine Betriebsvereinbarung diesen inhaltlichen Mindestanforderungen, so kann sie einen eigenständigen datenschutzrechtlichen Erlaubnistatbestand darstellen.26 Die entsprechende Regelungsbefugnis der Betriebspartner ergibt sich aus 18
Stück, ZD 2019, 256. ErfK/Kania, 20. Aufl. 2020, § 77 BetrVG Rn. 5; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1927; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 77 BetrVG Rn. 148. 20 Gola, BB 2017, 1462, 1463 und 1465; so auch schon zu § 1 Abs. 3 BDSG a. F. Jordan/ Bissels/Löw, BB 2010, 2889, 2890. 21 Althoff, ArbRAktuell 2018, 414, 417. 22 Schrey/Kielkowski, BB 2018, 629, 632 f., die daraus jedoch folgern, dass kollektivvertragliche und gesetzliche Verarbeitungsgrundlagen stets nebeneinander Anwendung finden; s. zum Verhältnis datenschutzrechtlicher Betriebsvereinbarungen zu DSGVO und BDSG ausführlich Gliederungspunkt B. II. 3. 23 Schrey/Kielkowski, BB 2018, 629, 630; Wybitul, ZD 2016, 203, 207; Wybitul/Sörup/ Pötters, ZD 2015, 559, 560. 24 Klösel/Mahnhold, NZA 2017, 1428; Schrey/Kielkowski, BB 2018, 629, 630. 25 Schrey/Kielkowski, BB 2018, 629, 630. 26 Ausführlich zur Einordnung einer Betriebsvereinbarung als Erlaubnistatbestand s. Gliederungspunkt A. II. 4. b) bb) (3) (b). 19
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
151
Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG.27 Denn Art. 88 Abs. 1 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, „durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften“ zum Beschäftigtendatenschutz vorzusehen, wobei eine Kollektivvereinbarung in diesem Sinne gem. ErwG 155 DSGVO auch eine Betriebsvereinbarung sein kann. Art. 88 Abs. 1 DSGVO benennt als Regelungsadressat selbst jedoch nur die Mitgliedstaaten und überlässt es damit ihnen, ob sie den Weg für bereichsspezifische Vorschriften durch Kollektivvereinbarungen frei machen.28 Mithin räumt – entgegen teilweise geäußerter anderer Auffassung29 – nicht bereits Art. 88 Abs. 1 DSGVO den Betriebspartnern die notwendige Regelungsbefugnis ein. Dies greift der deutsche Gesetzgeber durch § 26 Abs. 4 BDSG auf, indem er bestimmt, dass die „Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, […] auf der Grundlage von Kollektivvereinbarungen zulässig“ ist. Vor diesem Hintergrund handelt es sich bei § 26 Abs. 4 BDSG nicht um eine bloße Klarstellung,30 sondern vielmehr – in Verbindung mit Art. 88 Abs. 1 DSGVO – um die rechtliche Grundlage der Regelungsbefugnis der Betriebspartner zur Schaffung datenschutzrechtlicher Erlaubnistatbestände in Betriebsvereinbarungen.
2. Personelle Reichweite datenschutzrechtlicher Betriebsvereinbarungen In einem ersten Schritt ist die personelle Reichweite datenschutzrechtlicher Betriebsvereinbarungen zu klären. Grundsätzlich erstreckt sich die Regelungskompetenz der Betriebspartner auf die gesamte Belegschaft. Diese umfasst gem. § 5 Abs. 1 BetrVG die im Betrieb tätigen Arbeitnehmer, d. h. sämtliche „Arbeiter und Angestellte einschließlich der zu ihrer Berufsausbildung Beschäftigten, […] [sowie] die in Heimarbeit Beschäftigten, die in der Hauptsache für den Betrieb arbeiten. Als Arbeitnehmer gelten ferner Beamte (Beamtinnen und Beamte), Soldaten (Soldatinnen und Soldaten) sowie Arbeitnehmer des öffentlichen Dienstes einschließlich der zu ihrer Berufsausbildung Beschäftigten, die in Betrieben privatrechtlich organisierter Unternehmen tätig sind.“ Ausgenommen sind die in § 5 Abs. 2 BetrVG genannten Personengruppen sowie gem. § 5 Abs. 3 BetrVG leitende Angestellte. Unklar ist allerdings, ob sich dieser durch das BetrVG in personeller Hinsicht abgesteckte Rahmen auch mit der den Betriebspartnern durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG eingeräumten Regelungskompetenz deckt. Denn Art. 88 27 Byers/Wenzel, BB 2017, 2036, 2040; Kort, NZA 2018, 1097, 1101; Martini/Botta, NZA 2018, 625, 633. 28 Düwell/Brink, NZA 2017, 1081, 1085; Jerchel/Schubert, DuD 2016, 782, 783; Traut, RDV 2016, 312, 313. 29 Klösel/Mahnhold, NZA 2017, 1428, 1429; auf Art. 88 Abs. 1 DSGVO i. V. m. ErwG 155 DSGVO abstellend Wurzberger, ZD 2017, 258. 30 So aber Kühling, NJW 2018, 1985, 1988.
152
D. Gestaltung des Datenschutzes durch den Betriebsrat
Abs. 1 DSGVO bestimmt, dass durch Kollektivvereinbarungen spezifischere Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext getroffen werden können. Zentraler Begriff ist mithin der des „Beschäftigten“. Daran knüpft auf nationaler Ebene § 26 Abs. 8 BDSG an, der den Beschäftigtenbegriff des BDSG definiert, indem er bestimmt, dass darunter Arbeitnehmer, Leiharbeitnehmer, zur Berufsbildung Beschäftigte, Rehabilitanden, behinderte Menschen in anerkannten Werkstätten, arbeitnehmerähnliche Personen, Beamte, Bewerber und aus dem Beschäftigungsverhältnis Ausgeschiedene zu verstehen sind. a) Nationale Grenzen Um nun festzustellen, für welche Personengruppen die Betriebspartner datenschutzrechtliche Betriebsvereinbarungen schließen dürfen, muss vorab klargestellt werden: Die betriebsverfassungsrechtliche Regelungszuständigkeit markiert zugleich auch die äußerste Grenze der Regelungskompetenzen.31 Wo das BetrVG den Betriebspartnern in personeller Hinsicht keine entsprechende Kompetenz einräumt, kann sie sich auch nicht aus dem Datenschutzrecht ableiten lassen. Das ist in datenschutzrechtlicher Hinsicht unbedenklich, denn Art. 88 Abs.1 DSGVO i. V. m. § 26 Abs. 4 BDSG eröffnet zwar die Möglichkeit, spezifischere Vorschriften durch Kollektivvereinbarungen zu schaffen, setzt die Nutzung dieser Option aber nicht zwingend voraus.32 Umgekehrt können aus dem BDSG folgende Beschränkungen der Regelungskompetenz auf bestimmte Personengruppen nicht einfach übergangen werden, indem unter Rückgriff auf die allgemeinen Vorschriften des BetrVG eine entsprechende Befugnis hergeleitet wird. Beispielsweise ist das BDSG in Bezug auf die arbeitnehmerähnlichen Personen weiter gefasst: Diese sind nicht als Arbeitnehmer i. S. d. BetrVG einzuordnen,33 wohl aber als Beschäftigte i. S. d. BDSG (§ 26 Abs. 8 S. 1 Nr. 6 BDSG). Auch für Bewerber, die § 26 Abs. 8 S. 2 BDSG dem Beschäftigtenbegriff unterstellt, fehlt es den Betriebspartnern an der notwendigen Regelungskompetenz, da sie eben noch keine Arbeitnehmer des Betriebes sind.34 Zudem ordnet § 26 Abs. 8 S. 1 Nr. 7 BDSG Beamte ausnahmslos als Beschäftigte ein, während sie dem BetrVG ausweislich dessen § 5 Abs. 1 S. 3 nur dann unterfallen, wenn sie in Betrieben privatrechtlich organisierter Unternehmen tätig sind. Ebenso sind auch Rehabilitanden (§ 26 Abs. 8 S. 1 Nr. 3 BDSG),35 behinderte 31 BeckOK ArbR/Werner, 56. Ed. (Stand 1. 6. 2020), § 77 BetrVG Rn. 35; Fitting, BetrVG, 30. Aufl. 2020, § 77 Rn. 30; GK-BetrVG/Kreutz, 11. Aufl. 2018, § 77 BetrVG Rn. 63. 32 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 3; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 1. 33 Fitting, BetrVG, 30. Aufl. 2020, § 5 Rn. 92; GK-BetrVG/Raab, 11. Aufl. 2018, § 5 Rn. 35. 34 Greßlin, BB 2015, 117, 121. 35 Fitting, BetrVG, 30. Aufl. 2020, § 5 Rn. 336 f.; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 5 Rn. 194.
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
153
Menschen in anerkannten Werkstätten (§ 26 Abs. 8 S. 1 Nr. 4 BDSG)36 und aus dem Betrieb Ausgeschiedene (§ 26 Abs. 8 S. 2 BDSG)37 nicht stets als Arbeitnehmer i. S. d. § 5 Abs. 1 BetrVG einzuordnen. Vergleicht man BDSG und BetrVG, so zeigt sich, dass der Beschäftigtenbegriff des BDSG deutlich weiter gefasst ist, als der Arbeitnehmerbegriff des § 5 Abs. 1 BetrVG.38 Die Betriebspartner können datenschutzrechtliche Betriebsvereinbarungen indes nur dort treffen, wo ihnen auch eine betriebsverfassungsrechtliche Regelungskompetenz zusteht. Nur wenn eine Personengruppe durch beide Normenkomplexe ihrer Regelungszuständigkeit unterstellt wird, sind datenschutzrechtliche Betriebsvereinbarungen möglich. Sie können mithin Regelungen für Arbeitnehmer, Leiharbeitnehmer, zur Berufsbildung Beschäftigte und Beamte in privatrechtlich organisierten Unternehmen vorsehen, nicht jedoch für Bewerber und arbeitnehmerähnliche Personen sowie nur ausnahmsweise für aus dem Betrieb Ausgeschiedene, Rehabilitanden, und behinderte Menschen in anerkannten Werkstätten, wenn diese im Einzelfall in den Anwendungsbereich des BetrVG fallen. b) Der Beschäftigtenbegriff der DSGVO Wie aber fügt sich die DSGVO in dieses Konzept ein? Sie ermöglicht den Mitgliedstaaten gem. Art. 88 Abs. 1 DSGVO, Regelungen für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu treffen und rückt damit ebenfalls den Begriff des „Beschäftigten“ in den Vordergrund. Dieser wird zwar durch die DSGVO selbst nicht definiert, muss aber zweifelsohne autonom unionsrechtlich bestimmt werden,39 da die Mitgliedstaaten andernfalls die Öffnungsklausel des Art. 88 Abs. 1 DSGVO als Hintertür nutzen könnten, um sich über die Auslegung des Beschäftigtenbegriffs auf die Union übertragene Rechtsetzungsmacht zurück zu holen.40 Zudem bestünde ohne ein übereinstimmendes unionsrechtliches Begriffsverständnis die Gefahr einer uneinheitlichen Anwendung des Datenschutzrechts.41 Zwar fehlt es auf unionsrechtlicher Ebene an einem einheitlichen Arbeitnehmer- bzw. Beschäftigtenbegriff, dennoch hat sich in der Vergangenheit ein eher weites Verständnis herausgebildet.42 So ist das Arbeitsverhältnis 36 Fitting, BetrVG, 30. Aufl. 2020, § 5 Rn. 341; GK-BetrVG/Raab, 11. Aufl. 2018, § 5 Rn. 154; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 5 Rn. 195. 37 BAG, Urt. v. 28. 6. 2005 – 1 AZR 213/04, NJOZ 2005, 5080, 5082 Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 77 Rn. 35; Richardi/ Richardi, BetrVG, 16. Aufl. 2018, § 77 Rn. 82. 38 Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1947. 39 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 29; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 35; Heidelberger Kommentar/ Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 14; Henssler, NZA-Beil. 2018, 31, 32; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 8 ff.; Simitis/Hornung/ Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 17. 40 Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 10. 41 Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 7. 42 Maschmann, DB 2016, 2480.
154
D. Gestaltung des Datenschutzes durch den Betriebsrat
nach der ständigen Rechtsprechung des EuGH dadurch gekennzeichnet, dass eine Person während eines bestimmten Zeitraums für eine andere Person nach deren Weisungen Leistungen erbringt und dafür eine Vergütung erhält.43 Dabei hat das Gericht ausdrücklich klargestellt, dass dieses Verständnis auch auf Rechtsakte i. S. d. Art. 288 AEUV Anwendung findet.44 Gleichzeitig neigt der EuGH allerdings dazu, Ausnahmevorschriften eng auszulegen,45 sodass auch im Rahmen von Art. 88 Abs. 1 DSGVO, der in gewissem Maße eben nationale Ausnahmen von der DSGVO zulässt, ein restriktives Verständnis des Arbeitnehmerbegriffs denkbar erschiene.46 Wegweisend ist insofern ein Blick auf den Wortlaut des Art. 88 Abs. 1 DSGVO, der nationale Vorschriften „insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten […], der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz […] und für Zwecke der Beendigung des Beschäftigungsverhältnisses“ zulässt. Die Norm selbst nennt damit Beispiele, die eindeutig aus der Situation des Arbeitsverhältnisses herausgegriffen sind.47 Insbesondere der Verweis auf die Erfüllung der arbeitsvertraglichen Pflichten sowie die Planung und Organisation der Arbeit zeigt, dass der Unionsgesetzgeber nationale Regelungen gerade für das besondere Verhältnis zwischen Arbeitnehmer und Arbeitgeber zulassen wollte, das maßgeblich durch die aus der Weisungsbefugnis des Arbeitgebers folgende persönliche Abhängigkeit des Arbeitnehmers geprägt ist.48 Ein entsprechendes Verständnis liegt auch mit Blick auf die Systematik des Art. 88 Abs. 1 DSGVO nahe, der abweichende nationale Regelungen durch Rechtsvorschriften aber auch Kollektivvereinbarungen zulässt, wobei Letztere gerade im – durch die persönliche Abhängigkeit des Arbeitnehmers geprägten – Arbeitsverhältnis Bedeutung erlangen.49 Dies deutet darauf hin, dass vom Beschäftigtenbegriff der DSGVO sämtliche Personen in persönlich abhängiger Tätigkeit erfasst sind.50 Soweit einige Stimmen in der Literatur den Beschäftigtenbegriff des Art. 88 Abs. 1 43
EuGH, Urt. v. 11. 11. 2015 – C-422/14, EuZW 2016, 25, 26 Rn. 29; EuGH, Urt. v. 9. 7. 2015 – C-229/14, EuZW 2015, 682, 683 Rn. 34; EuGH, Urt. v. 11. 11. 2010 – C-232/09, NJW 2011, 2343, 2344 Rn. 39; EuGH, Urt. v. 20. 9. 2007 – C-116/06, NZA 2007, 1274, 1276 Rn. 25. 44 EuGH, Beschl. v. 7. 4. 2011 – C-519/09, BeckRS 2013, 87054 Rn. 22. 45 EuGH, Urt. v. 10. 9. 2014 – C-270/13, EuZW 2014, 946, 947 Rn. 43; EuGH, Urt. v. 30. 9. 2003 – C-405/01, BeckRS 2004, 77070 Rn. 44; EuGH, Urt. v. 3. 7. 1986 – C-66/85, NVwZ 1987, 41. 46 Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 13; Maschmann, DB 2016, 2480, 2481. 47 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 46; Franzen, EuZA 2017, 313, 348. 48 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 46. 49 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 46; Maschmann, DB 2016, 2480, 2481. 50 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 32; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 46.
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
155
DSGVO inhaltlich genauso verstehen wie den Arbeitnehmerbegriff des § 611a BGB, ist dies daher zu kurz gefasst.51 Einerseits ist nicht davon auszugehen, dass der Unionsgesetzgeber mit Blick auf das traditionell weite Verständnis des Arbeitnehmerbegriffs seitens des EuGH ohne eine entsprechende Klarstellung den Beschäftigtenbegriff des Art. 88 Abs. 1 DSGVO im restriktiven Sinne versteht.52 Dennoch eine verengte Lesart zugrunde zu legen, hieße letztlich, die Rechtsprechung des EuGH zu ignorieren.53 Ein solches Verständnis würde auch den Zweck der Öffnungsklausel, die gerade den Besonderheiten des nationalen Arbeitsrechts umfassend durch spezifische Regelungen Rechnung tragen soll, konterkarieren.54 Mit Blick auf den Wortlaut, der – ebenso wie die ständige Rechtsprechung des EuGH – gerade die Abhängigkeit der Beschäftigung in den Fokus rückt, erscheint es daher sachgerecht, Selbstständige und freie Mitarbeiter nicht als Beschäftigte i. S. d. Art. 88 Abs. 1 DSGVO einzuordnen.55 Gleichzeitig sind jedoch alle Personen, deren Beschäftigungsverhältnis durch die Abhängigkeit vom Arbeitgeber gekennzeichnet ist, d. h. sowohl Arbeitnehmer i. S. d. § 611a BGB, aber weitergehend auch Leiharbeitnehmer, Beamte und Praktikanten,56 als Beschäftigte anzusehen.57 Insbesondere Beamte unterfallen dem Beschäftigtenbegriff, da Art. 88 Abs. 1 DSGVO keine Differenzierung zwischen der Beschäftigung im öffentlichen und privaten Bereich vornimmt.58 Auch die Einordnung von Bewerbern als Beschäftigte ergibt sich unmittelbar aus dem Wortlaut der Vorschrift, da ausdrücklich spezifischere Regelungen für „Zwecke der Einstellung“, also gerade für den Zeitraum vor dem Zustandekommen des Beschäftigungsverhältnisses, d. h. in der Bewerbungsphase getroffen werden können.59 Da die persönliche Abhängigkeit der Tätigkeit grundlegendes Merkmal des Beschäftigtenbegriffs ist, fallen jedoch arbeitnehmerähnliche Personen, die allein wirtschaftlich abhängig von ihrem Vertragspartner, nicht jedoch an dessen Weisungen gebunden sind, nicht in den Anwendungsbereich des Art. 88 Abs. 1 DSGVO.60 Mithin ist im Rahmen von Art. 88 Abs. 1 DSGVO jeder als „Beschäftigter“ einzuordnen, der seine Tätigkeit in persönlicher Abhängigkeit 51
So aber Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 13; Maschmann, DB 2016, 2480, 2481. 52 In diese Richtung auch Franzen, EuZA 2017, 313, 349; Körner, NZA 2016, 1383, 1384. 53 In diesem Sinne Henssler, NZA-Beil. 2018, 31, 32. 54 Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 14. 55 Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 7. 56 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 31. 57 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 32; Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 15; Paal/Pauly/ Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 7; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 18. 58 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 30; Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 7. 59 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 18; i. E. ebenso Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 7. 60 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 19.
156
D. Gestaltung des Datenschutzes durch den Betriebsrat
ausübt, wobei es weder auf die Phase des Beschäftigungsverhältnisses ankommt,61 d. h. insbesondere nicht darauf, ob der Betroffene sich noch in der Bewerbungsphase befindet oder das Beschäftigungsverhältnis schon wieder beendet worden ist, noch darauf, ob die Tätigkeit im öffentlichen oder privaten Bereich stattfindet. c) Der betriebsverfassungsrechtliche Arbeitnehmerbegriff als Maßstab Insofern decken sich der Beschäftigtenbegriff der DSGVO und des BDSG weitgehend, stimmen jedoch insbesondere in Bezug auf arbeitnehmerähnliche Personen nicht überein.62 Da diese indes ohnehin nicht unter den Arbeitnehmerbegriff des § 5 Abs. 1 BetrVG fallen, ergeben sich aus Art. 88 Abs. 1 DSGVO jedoch keine zusätzlichen Einschränkungen für die personelle Reichweite datenschutzrechtlicher Betriebsvereinbarungen. Denn die Betriebspartner können Betriebsvereinbarungen ohnehin nur abschließen, soweit ihnen durch das BetrVG eine entsprechende Regelungskompetenz eingeräumt wird. Vor diesem Hintergrund sind Betriebsvereinbarungen nur dort möglich, wo sich datenschutzrechtlicher Beschäftigtenbegriff und betriebsverfassungsrechtlicher Arbeitnehmerbegriff inhaltlich überschneiden. Unzulässig sind mithin Regelungen für Personengruppen, die zwar vom Beschäftigtenbegriff des Art. 88 Abs. 1 DSGVO bzw. § 26 Abs. 8 BDSG, nicht aber vom Arbeitnehmerbegriff des § 5 Abs. 1 BetrVG umfasst sind. Möglich sind Betriebsvereinbarungen aber in Bezug auf Arbeitnehmer, Leiharbeitnehmer, zur Berufsbildung Beschäftigte und Beamte in privatrechtlich organisierten Unternehmen. Mangels betriebsverfassungsrechtlicher Zuständigkeit nicht zulässig sind hingegen Regelungen für Bewerber und Beamte im öffentlichen Bereich. Zudem können Betriebsvereinbarungen nur ausnahmsweise für aus dem Betrieb Ausgeschiedene, Rehabilitanden und behinderte Menschen in anerkannten Werkstätten getroffen werden, wenn diese im Einzelfall in den Anwendungsbereich des BetrVG fallen.
3. Sachliche Reichweite datenschutzrechtlicher Betriebsvereinbarungen Daneben erlangt auch die Frage nach der sachlichen Reichweite datenschutzrechtlicher Betriebsvereinbarungen Bedeutung. Vorab muss dabei klargestellt werden, dass Betriebsvereinbarungen sowohl Regelungen in Bezug auf die automatisierte als auch die rein manuelle Verarbeitung personenbezogener Beschäftigtendaten enthalten können. Zwar gilt die DSGVO gem. Art. 2 Abs. 1 DSGVO nur für die 61 Paal/Pauly/Pauly, 2. Aufl. 2018, Art. 88 DSGVO Rn. 7; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 18. 62 Ebenso Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 19; restriktiver und weitere Abweichungen erkennend Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 65; Maschmann, DB 2016, 2480, 2481.
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
157
„ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Daher kann sich auch die Öffnungsklausel des Art. 88 Abs. 1 DSGVO nur dann auf die nichtautomatisierte Verarbeitung personenbezogener Beschäftigtendaten erstrecken, wenn diese dateigebunden erfolgt.63 Demgegenüber findet § 26 BDSG ausweislich § 26 Abs. 7 BDSG auch Anwendung, „wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, womit sie über den Anwendungsbereich der DSGVO hinausgeht.64 Ist der sachliche Anwendungsbereich der DSGVO gar nicht eröffnet, bezweckt der Unionsgesetzgeber in diesem Bereich erkennbar keine Vollharmonisierung, sodass es den Mitgliedstaaten frei steht, über den Anwendungsbereich der DSGVO hinaus zusätzliche Regelungen zu treffen.65 Dies hat der deutsche Gesetzgeber getan: Da § 26 Abs. 4 BDSG Kollektivvereinbarungen als zulässige Rechtsgrundlage zur Verarbeitung personenbezogener Beschäftigtendaten benennt und ausweislich § 26 Abs. 7 BDSG auch bei der rein manuellen Datenverarbeitung außerhalb von Dateisystemen gilt, können die Betriebspartner sowohl Regelungen für den Bereich der automatisierten, als auch der vollständig nichtautomatisierten, nicht dateigebunden Datenverarbeitung treffen. Denkbar sind insofern beispielsweise Betriebsvereinbarungen über die Zulässigkeit von Taschenkontrollen66 oder die Durchsuchung von Arbeitnehmerspinden.67 a) Datenverarbeitung im „Beschäftigungskontext“ oder ausschließlich für „Zwecke des Beschäftigungsverhältnisses“? Weitaus problematischer ist demgegenüber die Frage, wie eng der Bezug des jeweiligen Datenverarbeitungsvorgangs zum Beschäftigungsverhältnis sein muss, damit dieser durch die Betriebspartner im Rahmen einer Betriebsvereinbarung geregelt werden kann. Aus betriebsverfassungsrechtlicher Sicht können Betriebsvereinbarungen für alle betrieblichen und betriebsverfassungsrechtlichen Fragen, sowie in Bezug auf Inhalt, Abschluss und Beendigung der Arbeitsverhältnisse der im
63
Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 20. BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 37; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 20. 65 Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 71; kritisch, aber zustimmend Pfrang, DuD 2018, 380, 381; i. E. ebenso BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 37; Düwell/Brink, NZA 2017, 1081. 66 BAG, Urt. v. 20. 6. 2013 – 2 AZR 546/12, NZA 2014, 143, 146 Rn. 24; Pfrang, DuD 2018, 380. 67 Pfrang, DuD 2018, 380. 64
158
D. Gestaltung des Datenschutzes durch den Betriebsrat
Betrieb beschäftigten Arbeitnehmer getroffen werden.68 Die aufgezeigte Unklarheit ergibt sich jedoch auch nicht aus dem BetrVG, sondern vielmehr aus der unterschiedlichen Wortwahl in Art. 88 Abs. 1 DSGVO und § 26 Abs. 1 S. 1, Abs. 4 BDSG. Während Art. 88 Abs. 1 DSGVO den Mitgliedstaaten die Möglichkeit einräumt, „spezifischere Vorschriften […] hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorzusehen, spricht § 26 Abs. 1 S. 1, Abs. 4 BDSG von der Datenverarbeitung „für Zwecke des Beschäftigungsverhältnisses“. Es bedarf daher der Klärung, ob sich aus dieser Abweichung in der Formulierung zugleich ein qualitativer Unterschied für die Regelungskompetenz der Betriebspartner ergibt. aa) Der Beschäftigungskontext als Maßstab der DSGVO Dabei ist zunächst der Begriff des Beschäftigungskontexts autonom unionsrechtlich auszulegen.69 Der erste Blick muss dem Wortlaut der Norm gelten, wobei ins Auge fällt, dass Art. 88 Abs. 1 DSGVO den Begriff des Beschäftigungskontexts durch die Nennung zahlreicher Beispiele selbst konturiert. So heißt es ausdrücklich, dass „insbesondere [Datenverarbeitungen] […] für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses“ zum Beschäftigungskontext zu zählen sind. Dieser erhebliche Umfang von durch die Norm angeführten Beispielen kann als erstes Indiz für ein weites Begriffsverständnis gewertet werden.70 Hinzu kommt, dass der Unionsgesetzgeber durch den Einschub des Wortes „insbesondere“, deutlich macht, dass es sich um eine nicht abschließende Aufzählung handelt.71 Er stellt mithin – obwohl er selbst schon zahlreiche Beispiele benennt, die dem Beschäftigungskontext unterfallen – zugleich klar, dass noch unzählige weitere Fälle hinzukommen können. Dies streitet eindeutig für ein weites Verständnis. Zudem sind bereits in der beispielhaften Aufzählung des Art. 88 Abs. 1 DSGVO Belange wie der „Schutz des Eigentums der Arbeitgeber oder der Kunden“ genannt. Dies deutet darauf hin, dass auch solche Datenverarbeitungen, 68
Grundlegend BAG, Beschl. v. 16. 3. 1956 – GS 1/55, NJW 1956, 1086; später ebenso BAG, Urt. v. 19. 10. 2005 – 7 AZR 32/05, NZA 2006, 393, 395 f. Rn. 16; BAG, Beschl. v. 7. 11. 1989 – GS 3/85, NZA 1990, 816, 818; ErfK/Kania, 20. Aufl. 2020, § 77 BetrVG Rn. 36; Fitting, BetrVG, 30. Aufl. 2020, § 77 Rn. 45. 69 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 50; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 35. 70 In diese Richtung wohl auch Franzen, EuZA 2017, 313, 349. 71 Düwell/Brink, NZA 2017, 1081, 1082; Klösel/Mahnhold, NZA 2017, 1428, 1430; Kühling/Buchner/Maschmann, Art. 88 DSGVO Rn. 16; Maschmann, DB 2016, 2480, 2481.
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
159
die zwar einen inhaltlichen Bezug zum Arbeitsverhältnis haben, aber nicht dessen Kernbereich betreffen, als Gegenstand des Beschäftigungskontexts einzuordnen sind.72 Auch an anderer Stelle stützt der Wortlaut diese Auffassung. Bereits die Bezugnahme auf das Eigentum der Kunden – mithin auf außerhalb des Arbeitsverhältnisses stehende Dritte – zeigt, dass nicht nur das unmittelbare Verhältnis von Arbeitgeber und Arbeitnehmer dem Beschäftigungskontext zuzurechnen ist. Gleiches ergibt sich mit Blick auf Art. 88 Abs. 2 DSGVO, der besondere Anforderungen an nationale Vorschriften über die Datenübermittlung innerhalb einer Unternehmensgruppe vorsieht und damit verdeutlicht, dass allein maßgeblich ist, ob die Datenverarbeitung aus dem Beschäftigungsverhältnis resultiert, nicht jedoch, in welchem Verhältnis sie stattfindet.73 Auf ein weites Begriffsverständnis weist auch der Umstand hin, dass der Unionsgesetzgeber – obwohl er den Begriff durch die zahlreichen angeführten Beispiele präzisiert – auf eine darüber hinaus gehende sprachliche Konturierung des Beschäftigungskontexts und damit zugleich auf eine inhaltliche Beschränkung verzichtet hat.74 Zudem kann der Vergleich mit anderen Sprachfassungen der DSGVO zur Klärung beitragen: So ist in der englischen Version die Rede vom „employment context“, in der französischen Fassung heißt es „le cadre des relations de travail“. Damit sind zwar die englische und die deutsche Formulierung identisch, jedoch kann der französische Gesetzestext einen Anhaltspunkt liefern. Denn dort ist vom „Rahmen der Arbeitsbeziehungen“ die Rede. Dies deutet darauf hin, dass die Datenverarbeitung eben nur rahmenmäßig aus dem Arbeitsverhältnis herrühren muss – mehr aber auch nicht.75 Auch vor diesem Hintergrund ist eine weite Auslegung daher vorzugswürdig. Zu keinem anderen Ergebnis führt auch der Blick auf die Systematik der DSGVO. Bereits der Umstand, dass der Unionsgesetzgeber in Art. 88 Abs. 1 DSGVO – aber auch an anderen Stellen in der DSGVO – die Begriffe „Beschäftigungskontext“ und „Zwecke“ nebeneinander verwendet, deutet darauf hin, dass er ihnen inhaltlich unterschiedliche Bedeutung zumisst.76 So ergibt sich aus der in Art. 88 Abs. 1 DSGVO gewählten Formulierung, dass spezifischere Regelungen „im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags […] und für Zwecke der Beendigung des Beschäftigungsverhältnisses“ zulässig sind, dass der Beschäftigungskontext als Oberbegriff für eine Vielzahl dem Beschäftigungsverhältnis zuzurechnender Zwecke zu verstehen ist und damit weit ausgelegt werden muss. Gestützt wird dieses Ergebnis letztlich auch durch den Zweck der Öffnungsklausel. Zwar wird vereinzelt eingewandt, dass ein zu extensives Verständnis des Begriffs „Beschäftigungskontext“ die von der DSGVO beabsichtigte 72 Ähnlich BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 54. 73 Traut, RDV 2016, 312, 313. 74 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 52. 75 In diese Richtung Franzen, EuZA 2017, 313, 348. 76 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 50.
160
D. Gestaltung des Datenschutzes durch den Betriebsrat
Harmonisierung des Datenschutzrechts beeinträchtigen könnte.77 Allerdings liegt das Ziel der Öffnungsklausel darin, Raum zu schaffen, um den Besonderheiten des nationalen Arbeitsrechts durch spezifische Regelungen umfassend Rechnung zu tragen.78 Dem kann nur durch ein weites Begriffsverständnis entsprochen werden. Legt man dies als Maßstab an, so muss der Beschäftigungskontext i. S. d. Art. 88 Abs. 1 DSGVO sämtliche Datenverarbeitungen seitens des Arbeitgebers umfassen, die einen irgendwie gearteten Zusammenhang mit dem Beschäftigungsverhältnis aufweisen und darf nicht auf Verarbeitungsvorgänge beschränkt werden, die im engeren Sinne zum Zwecke des Beschäftigungsverhältnisses erfolgen.79 Ausgenommen sind lediglich solche Datenverarbeitungen, bei denen gar kein Zusammenhang zum Beschäftigungsverhältnis besteht, sodass der Arbeitnehmer seinem Arbeitgeber wie ein beliebiger Dritter gegenübersteht.80 Dies wird allerdings nur ausnahmsweise der Fall sein, da der Arbeitnehmer schon dann nicht mehr als beliebiger Dritter anzusehen ist, wenn die Datenverarbeitung durch das Arbeitsverhältnis veranlasst ist, wie beispielsweise bei der Vermietung von Werkswohnungen,81 da diese allein in Folge des Bestandes des Arbeitsverhältnisses erfolgt. bb) „Zwecke des Beschäftigungsverhältnisses“ als nationale Beschränkung der Regelungskompetenz? Eine andere Formulierung enthält demgegenüber § 26 Abs. 4 S. 1 BDSG: Demnach dürfen personenbezogene Daten auf Grundlage von Kollektivvereinbarungen „für Zwecke des Beschäftigungsverhältnisses“ verarbeitet werden. Dies eröffnet Raum für die Frage, ob aus der abweichenden Formulierung zugleich eine inhaltliche Einschränkung gegenüber der von der DSGVO zugelassenen Verarbeitung „im Beschäftigungskontext“ folgt. Ausgangspunkt für das Verständnis der Formulierung „für Zwecke des Beschäftigungsverhältnisses“ kann ein Blick auf die Gesetzesbegründung sein. Dort stellt der Gesetzgeber klar, dass § 26 BDSG die Regelung des § 32 BDSG a. F. fortführt,82 der ebenfalls die Zulässigkeit der Verarbeitung personenbezogener Daten „für Zwecke des Beschäftigungsverhältnisses“ regelte. Da der Gesetzgeber ausdrücklich an diese Regelung anknüpft, ist davon auszugehen, dass er beiden Normen dasselbe inhaltliche Verständnis zugrunde gelegt hat. Allerdings herrschte schon in Bezug auf § 32 Abs. 1 S. 1 BDSG a. F. Uneinigkeit über den Bedeutungsgehalt der gewählten Formulierung: Während einige davon 77
Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 15. Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 52; Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 14. 79 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 51; a. A. wohl Kühling/ Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 18, der einen „inneren Zusammenhang“ fordert. 80 Morasch, Datenverarbeitung im Beschäftigungskontext, 2019, S. 173. 81 A. A. Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 18. 82 BT-Drs. 18/11325, S. 96 f. 78
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
161
ausgingen, dass eine Datenverarbeitung nur dann „für Zwecke des Beschäftigungsverhältnisses“ erfolgte, wenn sie der Erfüllung der arbeitsvertraglichen Hauptleistungspflichten diente,83 wollten andere sämtliche Verarbeitungsvorgänge darunter subsumieren, die mit dem Beschäftigungsverhältnis in irgendeinem inhaltlichen Zusammenhang standen.84 Da es mithin schon im Rahmen von § 32 BDSG a. F. an einem einheitlichen Verständnis fehlte, kann die Norm auch nicht wegweisend für die Auslegung des § 26 Abs. 4 BDSG sein. Jedoch stellt die Gesetzesbegründung zugleich ausdrücklich klar, dass § 26 BDSG der Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel dient,85 sodass ohne entsprechenden Hinweis nicht davon ausgegangen werden kann, dass der mitgliedstaatliche Gesetzgeber den Umfang der Verarbeitungsermächtigung im nationalen Recht gegenüber der DSGVO beschränken wollte. Auch die unterschiedliche Wortwahl bildet dafür keinen Anhaltspunkt, da sie allein dem Umstand geschuldet ist, dass der Gesetzgeber sich an der Formulierung des durch § 26 BDSG fortgeführten § 32 BDSG a. F. orientiert hat. Zudem darf in systematischer Hinsicht nicht außer Acht gelassen werden, dass sich die Formulierung „für Zwecke des Beschäftigungsverhältnisses“ sowohl in § 26 Abs. 1 S. 1 BDSG als auch in § 26 Abs. 4 BDSG wiederfindet. Dabei benennt § 26 Abs. 1 S. 1 BDSG zahlreiche denkbare Zwecke, wie die „Entscheidung über die Begründung eines Beschäftigungsverhältnisses, […] dessen Durchführung oder Beendigung oder [die] Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten“, aufgrund derer die Verarbeitung personenbezogener Daten gerechtfertigt sein kann. Damit schafft die Norm bereits eine Rechtsgrundlage für alle unmittelbar aus dem Beschäftigungsverhältnis resultierenden Datenverarbeitungsvorgänge. Die Schaffung weiterer Erlaubnistatbestände durch Kollektivvereinbarungen macht jedoch nur Sinn, wo eine Datenverarbeitung nicht bereits auf gesetzlicher Grundlage gerechtfertigt ist. Würde man die Formulierung „für Zwecke des Beschäftigungsverhältnisses“ in § 26 Abs. 4 BDSG restriktiv auslegen, so bliebe für datenschutzrechtliche Betriebsvereinbarungen mithin kaum ein eigenständiger Anwendungsbereich. Vor diesem Hintergrund ist die Formel „für Zwecke des Beschäftigungsverhältnisses“ in § 26 Abs. 4 BDSG weit auszulegen. Eine inhaltliche Einschränkung im Vergleich zu Art. 88 Abs. 1 DSGVO besteht damit nicht.86 Die Kollektivpartner können auch unter Berücksichtigung von § 26 Abs. 4 BDSG Regelungen für sämtliche Datenverarbeitungen treffen, die in einem irgendwie gearteten Zusammenhang mit dem Beschäftigungsverhältnis stehen. Ausgenommen sind auch hier lediglich solche Da83
Joussen, NZA 2010, 254, 258; wohl auch Bissels/Meyer-Michaelis/Schiller, DB 2016, 3042, 3045. 84 Taeger/Rose, BB 2016, 819, 823. 85 BT-Drs. 18/11325, S. 96. 86 A. A. Düwell/Brink, NZA 2017, 1081, 1083; a. A. wohl auch Haußmann/Brauneisen, BB 2017, 3065, 3066.
162
D. Gestaltung des Datenschutzes durch den Betriebsrat
tenverarbeitungen, die vollkommen losgelöst vom Arbeitsverhältnis sind, der Arbeitnehmer seinem Arbeitgeber mithin wie ein beliebiger Dritter gegenübersteht. cc) Betriebliche Reichweite datenschutzrechtlicher Betriebsvereinbarungen: Legitimation der Datenweitergabe an Dritte Ist der abstrakte Rahmen abgesteckt, so stellt sich im Hinblick auf die Reichweite der Regelungskompetenz der Betriebspartner die Frage, ob durch datenschutzrechtliche Betriebsvereinbarungen auch die Datenweitergabe durch den Arbeitgeber an Dritte legitimiert werden kann. Aus datenschutzrechtlicher Sicht können die Betriebspartner Regelungen im Hinblick auf sämtliche Datenverarbeitungsvorgänge treffen, die einen inhaltlichen Bezug zum Beschäftigungsverhältnis aufweisen – ohne dass es darauf ankommt, dass die Datenverarbeitung unmittelbar im Verhältnis zwischen Arbeitgeber und Arbeitnehmer stattfindet. Dies verdeutlicht bereits Art. 88 Abs. 1 DSGVO, der spezifischere Vorschriften unter anderem zum Schutz des Eigentums der Kunden des Arbeitgebers zulässt, womit die Norm selbst auf außerhalb des Arbeitsverhältnisses stehende Dritte Bezug nimmt und diese in den „Beschäftigungskontext“ einbezieht. Dieselbe Stoßrichtung hat auch Art. 88 Abs. 2 DSGVO, der besondere Anforderungen für nationale Vorschriften über die Datenübermittlung innerhalb einer Unternehmensgruppe vorsieht, wodurch ebenfalls zum Ausdruck kommt, dass es für die Zuordnung einer Datenverarbeitung zum „Beschäftigungskontext“ nicht darauf ankommt, ob diese im Verhältnis von Arbeitgeber und Arbeitnehmer stattfindet. Entscheidend ist allein, dass die Datenverarbeitung ihren Ursprung im Arbeitsverhältnis hat, nicht jedoch, in welchem Verhältnis sie tatsächlich erfolgt.87 Auf Grundlage des durch Art. 88 DSGVO gebotenen weiten Verständnisses des „Beschäftigungskontexts“ – das durch § 26 Abs. 4 BDSG keine Einschränkung erfährt – können mithin datenschutzrechtliche Kollektivvereinbarungen eine Legitimationsgrundlage für die Datenweitergabe an Dritte bilden. Voraussetzung ist allerdings, dass die Betriebspartner aus betriebsverfassungsrechtlicher Sicht überhaupt für eine solche Regelung zuständig sind. Denn grundsätzlich ist die Zuständigkeit des Betriebsrats auf denjenigen Betrieb beschränkt, für den er gebildet wurde: Das Betriebsverfassungsrecht soll dem Betriebsrat allein die Beteiligung an Entscheidungen des Arbeitgebers ermöglichen, ihn jedoch nicht zu einer allgemeinen, arbeitgeberunabhängigen Interessenvertretung der Arbeitnehmer machen.88 Daher können Arbeitgeber und Betriebsrat zweifellos keine Regelung im Hinblick auf den Umgang des Dritten mit den an ihn weitergegebenen Daten treffen. Personenbezogene Beschäftigtendaten überhaupt an Dritte weiterzugeben, ist jedoch eine Entscheidung des Arbeitgebers und betrifft die Frage, wie im Betrieb mit personenbezogenen Beschäftigtendaten umgegangen wird – ob sie eben betriebs87
Traut, RDV 2016, 312, 313. GK-BetrVG/Wiese, 11. Aufl. 2018, Einl. Rn. 78; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 1 Rn. 8. 88
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
163
intern bleiben oder auch Dritten zugänglich gemacht werden. Daher kann der Betriebsrat jedenfalls an der Entscheidung über die Weitergabe beteiligt werden und die Betriebspartner können durch Betriebsvereinbarung eine entsprechende Legitimationsgrundlage schaffen. Dies verdeutlicht der Vergleich zu den Grenzen der betriebsverfassungsrechtlichen Zuständigkeit des Betriebsrats im Rahmen seiner Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG: Auch hier werden seine Befugnisse durch seine betriebsverfassungsrechtliche Zuständigkeit begrenzt, weshalb ihm ein Kontrollrecht nur im Verhältnis zum Arbeitgeber zusteht.89 Daher kann er beispielsweise im Rahmen der Auftragsverarbeitung allein die durch den Arbeitgeber gegenüber dem Auftragsverarbeiter erteilten Weisungen kontrollieren, nicht jedoch dessen Tätigkeit.90 Diese Wertungen lassen sich auf den vorliegenden Fall übertragen: Die Zuständigkeit des Betriebsrats endet erst dort, wo die aus der Entscheidung des Arbeitgebers resultierende Tätigkeit des Dritten beginnt. Die Weitergabe als solche unterliegt aber der Entscheidung des Arbeitgebers. Auf diese erstreckt sich die Zuständigkeit des Betriebsrats, sodass die Betriebspartner auch aus betriebsverfassungsrechtlicher Sicht auf Grundlage von § 88 BetrVG eine Legitimationsgrundlage für die Weitergabe personenbezogener Beschäftigtendaten an Dritte schaffen können. b) Umfassende Regelungsbefugnis der Betriebspartner oder ausschließliches Recht zur Schaffung von Erlaubnistatbeständen? Zusätzlich gilt es zu klären, ob die Betriebspartner sämtliche mit der Verarbeitung von Beschäftigtendaten in Zusammenhang stehende Fragen regeln – also beispielsweise die gesetzlichen Erlaubnistatbestände näher konkretisieren – können oder ob sie darauf beschränkt sind, eigene Erlaubnistatbestände zu schaffen. Nähme man eine umfassende Regelungsbefugnis an, so wäre beispielsweise denkbar, dass die Betriebspartner eine konkrete Speicherdauer für auf Grundlage eines gesetzlichen Rechtfertigungstatbestandes gespeicherte Daten festlegen oder im Einzelfall den zur Verarbeitung der Beschäftigtendaten befugten Personenkreis näher konkretisieren.91 Zweifel an dem Bestand einer derart weitreichenden Regelungsbefugnis können sich allerdings mit Blick auf § 26 Abs. 4 S. 1 BDSG ergeben, der ausdrücklich bestimmt, dass die „Verarbeitung personenbezogener Daten […] auf der Grundlage von Kollektivvereinbarungen zulässig“ ist. Die Norm stellt damit letztlich klar, dass Betriebsvereinbarungen Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein können – darin erschöpft sich ausgehend vom Wortlaut jedoch zugleich die Funktion der Vorschrift. Unzweifelhaft umfasst dieses Recht zur Schaffung zusätzlicher Erlaubnistatbestände auch die Befugnis, diese inhaltlich näher auszugestalten, da nur so ein in sich schlüssiges Regelungssystem 89 BAG, Beschl. v. 15. 10. 2014 – 7 ABR 74/12, NZA 2015, 560, 562 Rn. 26; i. E. ebenso GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 25. 90 Ausführlich s. Gliederungspunkt C. II. 2. 91 Althoff, ArbRAktuell 2018, 414, 417.
164
D. Gestaltung des Datenschutzes durch den Betriebsrat
geschaffen werden kann. Allerdings wäre ein derart restriktives Verständnis zu kurz gefasst, wie ein Blick auf die Gesetzesbegründung zeigt. Dort heißt es ausdrücklich, dass § 26 Abs. 4 S. 1 BDSG klarstellen soll, dass Betriebsvereinbarungen allgemein „Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz“92 sein können. Mithin können sie ganz allgemein Regelungen zum Beschäftigtendatenschutz – und gerade nicht nur zusätzliche Erlaubnistatbestände – enthalten. Ein abweichendes Verständnis wäre mit Blick auf den Zweck der Norm, die einen an die Bedürfnisse des jeweiligen Betriebs angepassten Beschäftigtendatenschutz ermöglichen soll,93 auch verfehlt. Denn dieses Ziel könnte kaum erreicht werden, wenn die Betriebspartner allein zu Schaffung eigenständiger Erlaubnistatbestände, nicht aber zur Konkretisierung der gesetzlichen Vorgaben zum Beschäftigtendatenschutz berechtigt wären. Insofern ist zwar die Formulierung des § 26 Abs. 4 S. 1 BDSG missverständlich, enthält jedoch keine inhaltliche Einschränkung der Regelungsbefugnis von Arbeitgeber und Betriebsrat.
4. Folgerung: Betriebsvereinbarungen als weitreichende Rechtsgrundlage im Beschäftigtendatenschutz Im Rahmen datenschutzrechtlicher Betriebsvereinbarungen können die Betriebspartner den Beschäftigtendatenschutz an die konkreten betrieblichen Bedürfnisse anpassen: Sie können sowohl eigenständige Erlaubnistatbestände zur Verarbeitung personenbezogener Beschäftigtendaten schaffen – was voraussetzt, dass sie einen bestimmten Datenverarbeitungsvorgang umfassend normieren, d. h. eine konkrete Aussage über die Art der zu verarbeitenden Daten, den Zweck, sowie die Art und Weise der Datenverarbeitung treffen, – als auch sonstige, mit der Verarbeitung von Beschäftigtendaten in Zusammenhang stehende Fragen regeln. Diese Kompetenz wird ihnen durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG eingeräumt. Allerdings ist sie zugleich in verschiedener Hinsicht beschränkt: Zunächst ergibt sich die personelle Reichweite der Regelungskompetenz aus dem Zusammenspiel von Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG sowie § 5 Abs. 1 BetrVG: Das Betriebsverfassungsrecht lässt Regelungen für „Arbeitnehmer“ zu, das Datenschutzrecht für „Beschäftigte“. Dabei unterscheiden sich bereits der Beschäftigtenbegriff von BDSG und DSGVO. Letzterer ist autonom unionsrechtlich unter Berücksichtigung der Rechtsprechung des EuGH auszulegen, der die persönliche Abhängigkeit der Tätigkeit zum maßgeblichen Abgrenzungskriterium macht.94 Daher ist im Rahmen von Art. 88 Abs. 1 DSGVO jeder „Beschäftigter“, dessen Beschäftigungsverhältnis durch die persönliche Abhängigkeit vom Arbeit92
BT-Drs. 18/11325, S. 98. BT-Drs. 18/11325, S. 98. 94 EuGH, Urt. v. 11. 11. 2015 – C-422/14, EuZW 2016, 25, 26 Rn. 29; EuGH, Urt. v. 9. 7. 2015 – C-229/14, EuZW 2015, 682, 683 Rn. 34; EuGH, Urt. v. 11. 11. 2010 – C-232/09, NJW 2011, 2343, 2344 Rn. 39; EuGH, Urt. v. 20. 9. 2007 – C-116/06, NZA 2007, 1274, 1276 Rn. 25. 93
I. Betriebsvereinbarungen als Rechtsgrundlage für eine Datenverarbeitung
165
geber geprägt ist. Unerheblich ist hingegen die Phase des Beschäftigungsverhältnisses und ob die Tätigkeit im öffentlichen oder privaten Bereich stattfindet. Nicht in den Anwendungsbereich des Art. 88 Abs. 1 DSGVO fallen indes – und hierin liegt auch die einzige inhaltliche Abweichung gegenüber § 26 Abs. 4, Abs. 8 BDSG – mangels persönlicher Abhängigkeit arbeitnehmerähnliche Personen. Demgegenüber ist der betriebsverfassungsrechtliche Arbeitnehmerbegriff deutlich enger zu verstehen. Da eine datenschutzrechtliche Betriebsvereinbarung jedoch nur dort geschlossen werden kann, wo sowohl Datenschutz- als auch Betriebsverfassungsrecht dem Betriebsrat die notwendige Regelungsbefugnis einräumen, bildet der enge betriebsverfassungsrechtliche Arbeitnehmerbegriff die äußerste Grenze der Regelungskompetenz. Betriebsvereinbarungen sind daher nur möglich in Bezug auf Arbeitnehmer, Leiharbeitnehmer, zur Berufsbildung Beschäftigte und Beamte in privatrechtlich organisierten Unternehmen. Mangels betriebsverfassungsrechtlicher Zuständigkeit nicht zulässig sind Regelungen für Bewerber und Beamte im öffentlichen Bereich. Nur ausnahmsweise können zudem Regelungen für aus dem Betrieb Ausgeschiedene, Rehabilitanden und behinderte Menschen in anerkannten Werkstätten getroffen werden, wenn diese im Einzelfall in den Anwendungsbereich des BetrVG fallen. In sachlicher Hinsicht können die Betriebspartner Regelungen für sämtliche Datenverarbeitungen treffen, die in einem irgendwie gearteten Zusammenhang mit dem Beschäftigungsverhältnis stehen. Die Grenze ihrer Regelungskompetenz ist erst dort erreicht, wo eine Datenverarbeitung vollständig losgelöst vom Arbeitsverhältnis ist, sodass der Arbeitnehmer seinem Arbeitgeber wie ein beliebiger Dritter gegenübersteht. Jedoch ist der Arbeitnehmer schon dann nicht mehr als Dritter anzusehen, wenn die Datenverarbeitung in irgendeiner Form durch das Arbeitsverhältnis veranlasst ist. Dies folgt aus einer autonom unionsrechtlichen Auslegung des Art. 88 Abs. 1 DSGVO, der den Mitgliedstaaten ermöglicht, spezifischere datenschutzrechtliche Vorschriften „im Beschäftigungskontext“ vorzusehen. Dabei zählt Art. 88 Abs. 1 DSGVO in großem Umfang auf, was konkret dem Beschäftigungskontext unterfällt, stellt dabei jedoch zugleich klar, dass diese Aufzählung – obwohl sie so umfangreich ist – dennoch nicht abschließend ist. Dies streitet ebenso für ein weites Verständnis wie der Blick auf Art. 88 Abs. 2 DSGVO. Dort legt der Unionsgesetzgeber unter anderem inhaltliche Voraussetzungen für Kollektivvereinbarungen zur Konzerndatenverarbeitung fest – wodurch er zugleich klarstellt, dass die Kollektivpartner Regelungen auch für Datenverarbeitungen treffen können, die nicht unmittelbar im Verhältnis von Arbeitnehmer und Arbeitgeber, sondern eben zwischen dem Arbeitgeber und einem weiteren Konzernunternehmen stattfinden. Dieses weite Verständnis wird auf nationaler Ebene nicht durch § 26 Abs. 4 BDSG eingeschränkt. Zwar betrifft die Norm ausweislich ihres Wortlauts die Datenverarbeitung „für Zwecke des Beschäftigungsverhältnisses“. Diese abweichende Formulierung ist jedoch allein dem Umstand geschuldet, dass der Gesetzgeber sich am Wortlaut der Vorgängervorschrift des § 32 BDSG a. F. orientiert hat. Entscheidend ist vielmehr der systematische Vergleich von § 26 Abs. 1 S. 1 BDSG und § 26 Abs. 4 BDSG: So
166
D. Gestaltung des Datenschutzes durch den Betriebsrat
regelt bereits § 26 Abs. 1 S. 1 BDSG sämtliche denkbaren, unmittelbar aus dem Beschäftigungsverhältnis resultierenden Datenverarbeitungen, sodass für die Verarbeitung aufgrund einer Kollektivvereinbarung gem. § 26 Abs. 4 S. 1 BDSG – die ebenfalls nur „für Zwecke des Beschäftigungsverhältnisses möglich ist – kein eigenständiger Anwendungsbereich verbliebe, wenn nur die in § 26 Abs. 1 S. 1 BDSG benannten Zwecke „Zwecke des Beschäftigungsverhältnisses“ wären.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen Sind die äußeren Grenzen der Regelungskompetenz ausgelotet, so muss in einem zweiten Schritt festgestellt werden, welche inhaltlichen Anforderungen an datenschutzrechtliche Betriebsvereinbarungen zu stellen sind. Denn allein aus dem Umstand, dass die Betriebspartner innerhalb ihrer betriebsverfassungsrechtlichen Zuständigkeit und den personellen sowie sachlichen Grenzen ihrer Regelungskompetenz tätig werden, folgt keineswegs auch in inhaltlicher Hinsicht die datenschutzrechtliche Zulässigkeit der getroffenen Regelung.95 Insofern bestehen im Wesentlichen zwei Schranken: Einerseits die DSGVO, andererseits das nationale Recht.96 Die Ausarbeitung der von ihnen vorgegebenen Grenzen hat große praktische Bedeutung, da nicht nur künftig neu abzuschließende Betriebsvereinbarungen, sondern – in Ermangelung von Übergangsvorschriften – auch bereits vor Inkrafttreten der DSGVO geschlossene Betriebsvereinbarungen den neuen gesetzlichen Vorgaben genügen müssen.97 Die äußerste Grenze der inhaltlichen Regelungsbefugnis markieren Art. 7, 8 GRCh98 sowie Art. 16 AEUV, da die DSGVO ausweislich Art. 1 Abs. 1 DSGVO den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bezweckt, der primärrechtlich durch die vorgenannten Normen abgesichert ist.99 Auf nationaler Ebene spielen zudem die Wertungen des aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleiteten Rechts auf informationelle Selbstbestimmung eine Rolle.100 Dabei gilt es jedoch zu berücksichtigen, dass sich aus den Grundrechten keine konkreten inhaltlichen Vorgaben ableiten
95
In diese Richtung auch Schrey/Kielkowski, BB 2018, 629. Ebenso Traut, RDV 2016, 312. 97 Dzida, BB 2018, 2677, 2681. 98 Traut, RDV 2016, 312, 316. 99 ErwG 1 DSGVO, s. ausführlich Gliederungspunkt A. II. 1. b) und c). 100 Dessen Wertungen finden wesentlich über § 75 Abs. 2 S. 1 BetrVG Eingang in die Betriebsratstätigkeit, s. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1279 f.; BAG, Urt. v. 19. 1. 1999 – 1 AZR 499/98, NZA 1999, 546, 548; zum Recht auf informationelle Selbstbestimmung grundlegend BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422. 96
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
167
lassen, sondern diese lediglich als äußerste Grenze möglicher Regelungen zu begreifen sind.101
1. Betriebsverfassungsrechtliche Anforderungen Fragt man nach dem konkret zulässigen Inhalt datenschutzrechtlicher Betriebsvereinbarungen, so sind in einem ersten Schritt die aus dem Betriebsverfassungsrecht folgenden Grenzen auszumachen. Denn Art. 88 Abs. 1 DSGVO eröffnet den Betriebspartnern nicht unmittelbar die Möglichkeit, spezifischere Vorschriften für den Beschäftigtendatenschutz zu treffen, sondern ermächtigt nur den nationalen Gesetzgeber, die Schaffung solcher Vorschriften durch Kollektivvereinbarung zuzulassen.102 Daraus folgt zugleich, dass datenschutzrechtliche Betriebsvereinbarungen nur innerhalb des durch das nationale Recht – und damit insbesondere durch das BetrVG – abgesteckten Rahmens zulässig sind.103 Ungeachtet der inhaltlichen Vorgaben des Datenschutzrechts können die Betriebspartner daher keine Regelungen treffen, die inhaltlich ihre betriebsverfassungsrechtliche Regelungsbefugnis überschreiten. Nur soweit diese Grenze eingehalten ist, kommt es überhaupt auf die aus dem Datenschutzrecht folgenden, zusätzlichen Beschränkungen für den Regelungsinhalt datenschutzrechtlicher Kollektivvereinbarungen an.104 Aus betriebsverfassungsrechtlicher Sicht ist § 75 Abs. 2 S. 1 BetrVG maßgeblich, der die Betriebspartner zum Schutz und zur Förderung der freien Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer verpflichtet. Das Recht zur freien Entfaltung der Persönlichkeit umfasst neben der allgemeinen Handlungsfreiheit auch das allgemeine Persönlichkeitsrecht,105 dem als eine von zahlreichen Ausprägungen wiederum das Recht auf informationelle Selbstbestimmung unterfällt.106 Die daraus folgenden grundrechtlichen Wertentscheidung macht § 75 101 Dies folgt aus dem Umstand, dass nur ein Schutz vor „unverhältnismäßigen“ Eingriffen besteht, s. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1280. Ähnlich auch Traut, RDV 2016, 312, 316. 102 Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 3; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 1. 103 Traut, RDV 2016, 312, 313; i. E. ebenso Wybitul, NZA 2017, 413, 417. 104 Für ein Nebeneinander der maßgeblichen Normen auch Wybitul, NZA 2017, 413, 417. 105 BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, NZA 2014, 551, 555 Rn. 40; BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1189 Rn. 14; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 75 Rn. 33; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 50; kritisch wie weit der grundrechtliche Bezug der Norm reicht GK-BetrVG/Kreutz/Jacobs, 11. Aufl. 2018, § 75 Rn. 102 f. 106 Grundlegend dazu das Volkzählungsurteil des BVerfG, s. Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419; seitdem st. Rspr. des BVerfG, s. beispielhaft BVerfG, Beschl. v. 24. 1. 2012 – 1 BvR 1299/05, NJW 2012, 1419, 1422 Rn. 122; BVerfG, Urt. v. 13. 2. 2007 – 1 BvR 421/05, NJW 2007, 753, 754 Rn. 66; BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976, 979 Rn. 85.
168
D. Gestaltung des Datenschutzes durch den Betriebsrat
Abs. 2 S. 1 BetrVG zur verbindlichen Vorgabe für die Tätigkeit der Betriebspartner,107 sodass die Norm eine inhaltliche Schranke für Betriebsvereinbarungen bildet.108 Sie alle sind am Maßstab von § 75 Abs. 2 S. 1 BetrVG zu messen.109 Jedoch kann auch das allgemeine Persönlichkeitsrecht gem. Art. 2 Abs. 1 GG im Rahmen der verfassungsmäßigen Ordnung – und damit auch durch Betriebsvereinbarungen – beschränkt werden, sofern diese dem Grundsatz der Verhältnismäßigkeit genügen.110 Dies setzt voraus, dass die von ihr getroffenen Regelungen geeignet und erforderlich sind, um das mit der Vereinbarung verfolgte Ziel zu erreichen und die in diesem Zusammenhang erstrebten Vorteile in einem angemessenen Verhältnis zu den eintretenden Nachteilen stehen.111 Über § 75 Abs. 2 S. 1 BetrVG bildet mithin nicht nur das aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleitete allgemeine Persönlichkeitsrecht, sondern auch der Grundsatz der Verhältnismäßigkeit eine unmittelbare inhaltliche Grenze für die Regelungsbefugnis von Betriebsrat und Arbeitgeber.112 Starre Vorgaben für den Inhalt datenschutzrechtlicher Betriebsvereinbarungen lassen sich daraus jedoch ebenfalls nicht ableiten, da den Betriebspartnern innerhalb der aufgezeigten Grenzen weiterhin ein gewisser Einschätzungsspielraum verbleibt.113 Die Zulässigkeit einer Betriebsvereinbarung bemisst sich stets anhand einer am Einzelfall orientierten Interessenabwägung, die sowohl die Schwere des durch die Betriebsvereinbarung bewirkten Eingriffs in die Persönlichkeitsrechte der Arbeitnehmer als auch die ihnen gegenüberstehenden, mit der Regelung verfolgten Ziele berücksichtigt.114 Dabei kann jedoch die in der Vergangenheit zur Auslegung 107 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1190 f. Rn. 17; Fitting, BetrVG, 30. Aufl. 2020, § 75 Rn. 3. 108 BAG, Beschl. v. 9. 7. 2013 – 1 ABR 2/13 (A), NZA 2013, 1433, 1435 Rn. 22; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1279; BAG, Urt. v. 21. 8. 1990 – 1 AZR 567/89, NZA 1991, 154, 156; DKW/Berg, BetrVG, 17. Aufl. 2020, § 75 Rn. 114; HWGNRH/ Worzalla, BetrVG, 10. Aufl. 2018, § 75 Rn. 34. 109 BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, NZA 2014, 551, 556 Rn. 39 f.; BAG, Beschl. v. 9. 7. 2013 – 1 ABR 2/13 (A), NZA 2013, 1433, 1435 Rn. 21 ff.; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1279; HWGNRH/Worzalla, BetrVG, 10. Aufl. 2018, § 75 Rn. 34; Schrey/Kielkowski, BB 2018, 629. 110 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205, 1209 Rn. 19; BAG, Beschl. v. 9. 7. 2013 – 1 ABR 2/13 (A), NZA 2013, 1433, 1435 Rn. 22 f.; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1280. 111 BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, NZA 2014, 551, 556 Rn. 41; BAG, Beschl. v. 9. 7. 2013 – 1 ABR 2/13 (A), NZA 2013, 1433, 1435 Rn. 23; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1279 f.; Grimm/Schiefer, RdA 2009, 329, 337; Linsenmaier, RdA 2008, 1, 8; Maschmann, DB 2016, 2480, 2485. 112 BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, NZA 2014, 551, 556 Rn. 41; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1279 f.; Grimm/Schiefer, RdA 2009, 329, 337; Kort, NZA 2018, 10977, 1102; Linsenmaier, RdA 2008, 1, 8; Maschmann, NZA-Beil. 2018, 115, 116; Taeger/Rose, BB 2016, 819, 821; Wurzberger, ZD 2017, 258, 259. 113 Wybitul/Sörup/Pötters, ZD 2015, 559, 560. 114 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1280 f.; BAG, Urt. v. 27. 3. 2003 – 2 AZR 51/02, NZA 2003, 1193, 1194; Maschmann, NZA-Beil. 2018, 115, 116; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 80.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
169
von § 75 Abs. 2 S. 1 BetrVG ergangene Rechtsprechung als Richtschnur für die rechtliche Beurteilung von datenschutzrechtlichen Betriebsvereinbarungen herangezogen werden.115 So sind im Rahmen der Videoüberwachung die Anzahl der beobachteten Personen, der Zeitraum der Beobachtung sowie der Umstand, ob der Betroffene einen zurechenbaren Anlass für die Überwachung gesetzt hat, als Indizien für die Bewertung der Eingriffsintensität heranzuziehen.116 Zudem können Eingriffe in das allgemeine Persönlichkeitsrecht durch verfahrensrechtliche Sicherungen in ihrer belastenden Wirkung abgemildert und damit eher als verhältnismäßig eingestuft werden.117 So kann beispielsweise ein zugunsten des Betriebsrats für jede einzelne, konkrete Überwachungsmaßnahme des Arbeitgebers bestehendes Zustimmungserfordernis die mit der Überwachung einhergehende Belastung der betroffenen Arbeitnehmer abschwächen.118 Darüber hinaus unterstellt § 75 Abs. 2 S. 1 BetrVG Gesundheitsdaten einem besonderen Schutz, da sie einen engen Bezug zum Kernbereich der Persönlichkeit aufweisen.119 Aus dieser beispielhaften Aufzählung lassen sich – ebenso wie aus den übrigen zu § 75 Abs. 2 S. 1 BetrVG ergangenen Judikaten – zumindest Anhaltspunkte für die zur rechtlichen Beurteilung einer Betriebsvereinbarung notwendige Interessenabwägung entnehmen. Bislang nicht erforderlich war es demgegenüber, datenschutzrechtliche Betriebsvereinbarungen inhaltlich am Maßstab des BDSG (a. F.) zu überprüfen. Denn § 4 Abs. 1 BDSG a. F. sah ausdrücklich vor, dass die Verarbeitung personenbezogener Daten auf Grundlage von Rechtsvorschriften außerhalb des BDSG zulässig sein konnte.120 Da es sich bei einer Betriebsvereinbarung um eine solche Rechtsvorschrift außerhalb des BDSG handelte, sollte dieses mithin auch nicht inhaltlicher Maßstab für die Betriebsvereinbarung sein.121 Allerdings wurden die inhaltlichen Anforderungen von § 75 Abs. 1 BetrVG und § 32 BDSG a. F. ohnehin als identisch angesehen,122 sodass von der betriebsverfassungsrechtlichen Zulässigkeit einer Regelung auch auf ihre datenschutzrechtliche Rechtmäßigkeit geschlossen werden konnte und eine eigenständige Überprüfung am Maßstab des Datenschutzrechts überflüssig war.123
115
Maschmann, NZA-Beil. 2018, 115, 116; Maschmann, DB 2016, 2480, 2485. BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1190 Rn. 21. 117 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1190 Rn. 40. 118 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1190 Rn. 40. 119 BAG, Urt. v. 12. 9. 2006 – 9 AZR 271/06, NZA 2007, 269, 272 Rn. 25; Taeger/Rose, BB 2016, 819, 821. 120 Grundlegend BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643, 646; Schrey/ Kielkowski, BB 2018, 629. 121 Schrey/Kielkowski, BB 2018, 629, 630. 122 Schrey/Kielkowski, BB 2018, 629, 630. 123 Schrey/Kielkowksi, BB 2018, 629; i. E. ebenso Kort, ZD 2017, 319, 322. 116
170
D. Gestaltung des Datenschutzes durch den Betriebsrat
2. Inhaltliche Vorgaben der DSGVO Ob dieser Grundsatz auch nach Inkrafttreten der DSGVO weiterhin Geltung beanspruchen kann, erscheint indes zweifelhaft. Zwar findet § 75 Abs. 2 BetrVG neben der DSGVO und dem neu gefassten BDSG weiterhin Anwendung.124 Da die DSGVO allerdings gem. Art. 288 Abs. 2 AEUV auch in den Mitgliedstaaten unmittelbar gilt, muss sie von den Betriebspartnern – anders als mit Blick auf § 4 Abs. 1 BDSG a. F. noch das BDSG a. F. – beachtet werden.125 Infolgedessen ist eine Betriebsvereinbarung, die den zwingenden inhaltlichen Anforderungen der DSGVO nicht genügt, unanwendbar.126 Indes kann die DSGVO nur dort einen inhaltlichen Maßstab für Betriebsvereinbarungen vorgeben, wo ihr Anwendungsbereich eröffnet ist. Jedenfalls im Rahmen der nicht automatisierten, nicht dateigebundenen Datenverarbeitung können aus ihr mithin keine inhaltlichen Einschränkungen folgen.127 In diesem Bereich bildet weiterhin § 75 Abs. 2 S. 1 BetrVG den entscheidenden Maßstab.128 Ist der Anwendungsbereich der DSGVO jedoch eröffnet, muss in erster Linie Art. 88 DSGVO in den Blick genommen werden, der sowohl in seinem ersten als auch seinem zweiten Absatz inhaltliche Anforderungen für Kollektivvereinbarungen aufstellt.129 Zunächst legt Art. 88 Abs. 1 DSGVO fest, dass durch Kollektivvereinbarungen nur solche Regelungen getroffen werden können, die „spezifischer“ sind als diejenigen der DSGVO, während Art. 88 Abs. 2 DSGVO das allgemein zu beachtende Schutzniveau näher bestimmt.130 Die daraus folgenden materiellen Voraussetzungen gelten für sämtliche datenschutzrechtlich relevanten Kollektivvereinbarungen und – entgegen teilweise vertretener Auffassung131 – nicht lediglich für datenschutzrechtliche Ermächtigungsgrundlagen.132 Denn Art. 88 Abs. 1 DSGVO ermächtigt die Kollektivpartner umfassend zur Schaffung spezifischer datenschutzrechtlicher Vorschriften im Beschäftigungskontext. Sie können grundsätzlich – in den Grenzen des Art. 88 DSGVO – Regelungen zu sämtlichen Fragen treffen, die auch die DSGVO selbst regelt.133 Daran anknüpfend unterfallen alle von den Be124
Wybitul, NZA 2017, 413, 417. Schrey/Kielkowski, BB 2018, 629, 632. 126 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 47; Jerchel/Schubert, DuD 2016, 782, 783; Traut, RDV 2016, 312, 319; für Gesetze Klocke, ZTR 2018, 1116, 118. 127 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 55. 128 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 55. 129 Düwell/Brink, NZA 2017, 1081, 1082; Klösel/Mahnhold, NZA 2017, 1428, 1430. 130 Düwell/Brink, NZA 2017, 1081, 1082; Klösel/Mahnhold, NZA 2017, 1428, 1430. 131 So wohl Klocke, ZTR, 2018, 116, 118; Schrey/Kielkowski, BB 2018, 629, 631; Wybitul, NZA 2017, 1488. 132 Körner, NZA 2019, 1389, 1391 f. 133 Klocke, ZTR 2018, 116, 118; Traut, RDV 2016, 312, 315. 125
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
171
triebspartnern getroffenen Regelungen auch den inhaltlichen Schranken des Art. 88 Abs. 2 DSGVO, der ausdrücklich bestimmt, dass „diese Vorschriften“ – die eben auf Grundlage von Art. 88 Abs. 1 DSGVO geschaffen wurden – den von ihm aufgestellten Maßstäben genügen müssen. Umgekehrt gilt selbstverständlich, dass eine Betriebsvereinbarung überhaupt nur dann als datenschutzrechtlicher Erlaubnistatbestand in Betracht kommen kann, wenn sie den inhaltlichen Vorgaben des Art. 88 DSGVO genügt.134 a) Anforderungen des Art. 88 Abs. 1 DSGVO Erste Hürde für datenschutzrechtliche Betriebsvereinbarungen ist stets Art. 88 Abs. 1 DSGVO, der bestimmt, dass „durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ getroffen werden können. Darin ist ein eigenständiger materieller Maßstab für datenschutzrechtliche Betriebsvereinbarungen zu erblicken: Betriebsvereinbarungen können eben nur spezifischere Regelungen treffen.135 Schon gesetzliche Regelungen können vor diesem Hintergrund nur ergänzenden Charakter haben und auch nur dort geschaffen werden, wo für sie mit Blick auf die Besonderheiten des Beschäftigungsverhältnisses ein Bedürfnis besteht.136 Für Betriebsvereinbarungen bedeutet dies, dass die von den Betriebspartnern getroffenen Regelungen dazu dienen müssen, nicht nur den Besonderheiten des Beschäftigungsverhältnisses, sondern auch ihres Betriebs Rechnung zu tragen und einen auf diese Bedürfnisse zugeschnittenen Interessenausgleich herbeizuführen.137 Sie können im Beschäftigungskontext zwar grundsätzlich Regelungen zu sämtlichen datenschutzrechtlichen Fragestellungen treffen, die auch die DSGVO regelt,138 – aber eben nur, wenn sich aus den Besonderheiten des Betriebes das Bedürfnis gibt, die abstrakten Vorgaben der DSGVO zu spezifizieren. Ist diese Voraussetzung erfüllt, bestätigt jedoch auch Art. 88 Abs. 2 DSGVO die grundsätzlich umfassende Regelungskompetenz der Betriebspartner, indem er fordert, dass etwaige Kollektivvereinbarungen Regelungen im Hinblick auf die Transparenz der Verarbeitung enthalten müssen. Die Anforderungen an die Transparenz der Verarbeitung ergeben sich indes bereits unmittelbar aus Art. 12 ff. DSGVO. Wird den Kollektivpartnern dennoch auferlegt, Maßnahmen zur Wahrung der Transparenz zu treffen, deutet dies darauf hin, dass sie – trotz der in den Art. 12 ff. DSGVO bestehenden Regelungen – auch hinsichtlich der Transparenz der Verarbeitung eine umfassende Regelungskompetenz innehaben.139 134 135 136 137 138 139
Klösel/Mahnhold, NZA 2017, 1428, 1429. Klösel/Mahnhold, NZA 2017, 1428, 1430. Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 21. Klocke, ZTR 2018, 116, 119. Klocke, ZTR 2018, 116, 118; Traut, RDV 2016, 312, 315. Traut, RDV 2016, 312, 316.
172
D. Gestaltung des Datenschutzes durch den Betriebsrat
Zudem greift bereits Art. 88 Abs. 1 DSGVO das Erfordernis, die widerstreitenden Interessen von Verantwortlichem und Betroffenem abzuwägen, auf, indem die Norm die Kollektivpartner dazu verpflichtet, nur Vorschriften „zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigungskontext“ zu treffen.140 Dabei enthält der Wortlaut keine Beschränkung auf die Rechte und Freiheiten der betroffenen Person, sodass auch auf Grundlage von Art. 88 Abs. 1 DSGVO zusätzlich die Interessen des Verantwortlichen Berücksichtigung finden müssen. Zwar lassen sich aus der Norm keine konkreten Maßstäbe für die vorzunehmende Interessenabwägung ableiten. Jedoch kommt gerade durch dieses Fehlen fester Leitlinien zum Ausdruck, dass auch den Kollektivpartnern bei der Schaffung datenschutzrechtlicher Betriebsvereinbarungen eine gewisse Einschätzungsprärogative zukommt, die derjenigen des nationalen Gesetzgebers entspricht.141 b) Anforderungen des Art. 88 Abs. 2 DSGVO Konkretere materielle Vorgaben könnten sich indes aus Art. 88 Abs. 2 DSGVO ergeben. Die Vorschrift legt fest, dass sämtliche auf Grundlage von Art. 88 Abs. 1 DSGVO geschaffenen Regelungen – und damit insbesondere auch Kollektivvereinbarungen – „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen müssen. Damit legt die Norm zumindest ausdrücklich gewisse Mindestinhalte für datenschutzrechtliche Betriebsvereinbarungen fest.142 Inwiefern sich daraus tatsächlich konkrete Maßstäbe zur Beurteilung der datenschutzrechtlichen Rechtmäßigkeit einer Betriebsvereinbarung ableiten lassen, gilt es auf dieser Grundlage herauszuarbeiten. aa) „Besondere“ und „angemessene“ Regelungen Zunächst fordert Art. 88 Abs. 2 DSGVO „angemessene“ und „besondere“ Maßnahmen. Die Vorgabe, dass eine Betriebsvereinbarung „besondere“ Schutzmaßnahmen vorsehen muss, ist dahingehend zu verstehen, dass die dort enthaltenen Regelungen im Vergleich zu den abstrakten und nicht spezifisch auf den Beschäftigtendatenschutz – und erst recht nicht auf die Bedürfnisse des einzelnen Betriebs – zugeschnittenen Vorschriften der DSGVO konkrete Schutzmechanismen vorsehen
140 141 142
Traut, RDV 2016, 312, 315. Traut, RDV 2016, 312, 315. Klösel/Mahnhold, NZA 2017, 1428, 1430.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
173
müssen.143 Pauschale Verweise auf Datenschutzbestimmungen der DSGVO genügen daher nicht den Anforderungen des Art. 88 Abs. 2 DSGVO.144 Jedoch könnte man daran zweifeln, ob diesem Merkmal überhaupt eigenständige Bedeutung zukommt, da bereits Art. 88 Abs. 1 DSGVO nur „spezifischere“ Vorschriften zulässt: Während Absatz 1 jedoch nur allgemein konkrete, auf die Besonderheiten des einzelnen Betriebes zugeschnittene Regelung fordert, geht Absatz 2 noch einen Schritt weiter und verpflichtet die Kollektivpartner, auch die Schutzmechanismen, die mit der jeweiligen Regelung einhergehen, an den Erfordernissen des Betriebes auszurichten. Damit hat das Merkmal zwar eigenständige Bedeutung, wichtiger noch ist aber die Forderung nach „angemessenen“145 Schutzmaßnahmen, die der „Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ dienen müssen. Daraus folgt, dass die in einer Betriebsvereinbarung getroffenen Regelungen eine Abwägung der widerstreitenden Interessen des Arbeitnehmers als Betroffenem und des Verantwortlichen im Sinne einer Verhältnismäßigkeitsprüfung erlauben müssen.146 In die Abwägung einzustellen sind dabei beispielsweise die Eingriffsintensität in die Persönlichkeitsrechte der Betroffenen,147 die Dauer, die Anlassbezogenheit und die Möglichkeit der Kenntniserlangung,148 aber auch der etwaige Bestand prozeduraler Absicherungen.149 Auch hier kommt den Betriebspartnern ein an den konkreten betrieblichen Bedürfnissen orientierter Einschätzungsspielraum zu.150 Zwingende Voraussetzung ist allein, dass die Regelung einen Interessenausgleich sicherstellt.151 Offen bleibt damit jedoch, ob die von den Kollektivpartnern geschaffene Vorschrift selbst bereits eine konkrete Regelung treffen kann oder weiteren Raum für eine einzelfallbezogene Abwägung lassen muss. Denkbar erscheint es grundsätzlich,
143
Düwell/Brink, NZA 2017, 1081, 1082; Wybitul, NZA 2017, 413, 414; ähnlich Götz, Big Data im Personalmanagement, 2020, S. 181. 144 Düwell/Brink, NZA 2017, 1081, 1082. 145 Die insofern in einigen Quellen zu findende Formulierung, es müsse sich um „geeignete“ Maßnahmen handeln, ist angesichts der eindeutigen Formulierung im Amtsblatt der Europäischen Union (ABl. L 119/2016, S. 84) als falsch einzustufen. 146 Düwell/Brink, NZA 2017, 1081, 1082 f.; Klocke, ZTR 2018, 116, 119; Kühling/ Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 43; Maschmann, DB 2016, 2480, 2484; Schrey/Kielkowski, BB 2018, 629, 632; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19; Wybitul, NZA 2017, 413, 414. 147 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 55; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19. 148 Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19. 149 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 55. 150 Klösel/Mahnhold, NZA 2017, 1428, 1432. 151 Düwell/Brink, NZA 2017, 1081, 1082 f.
174
D. Gestaltung des Datenschutzes durch den Betriebsrat
in Betriebsvereinbarungen auch pauschale Verarbeitungsverbote aufzunehmen.152 Insofern muss jedoch sorgfältig differenziert werden: Ein pauschales Verarbeitungsverbot kann nur dann zulässig sein, wenn der entsprechenden Regelung eine an den konkreten betrieblichen Bedürfnissen orientierte Interessenabwägung vorausgegangen ist, die ergeben hat, dass im betreffenden Betrieb kein Fall denkbar ist, in dem der jeweilige Verarbeitungsvorgang in Anbetracht der widerstreitenden Interessen von Verantwortlichem und Betroffenem zulässig wäre.153 Keinesfalls möglich sind pauschalierende Regelungen, die die Verwirklichung eines der in die Abwägung einzustellenden Grundrechte vollständig außer Acht lassen.154 Nur wenn schon bei Schaffung der Regelung klar ist, dass eines der relevanten Interessen in jeder vorstellbaren Konstellation hinter dem jeweiligen Gegeninteresse zurücktreten muss, kann eine solche vorweggenommene Abwägung in Form einer pauschalierenden Regelung in die Betriebsvereinbarung aufgenommen werden.155 Möglich erschiene beispielsweise, dem Arbeitgeber allgemein die Überwachung von betrieblichen Umkleideräumen aufgrund der damit einhergehenden massiven Beeinträchtigung der Persönlichkeitsrechte der Betroffenen zu untersagen. Ist es jedoch in der Vergangenheit zu tätlichen Auseinandersetzungen von Arbeitnehmern in den Umkleideräumen gekommen, sodass der Arbeitgeber die Überwachung zur Gewährleistung der Sicherheit der Arbeitnehmer durchführen möchte, schiene es möglich, zwar die Videoüberwachung auszuschließen, aber andere Formen der Überwachung – z. B. durch speziell dafür eingesetzte, vor dem Umkleideraum postierte Mitarbeiter, die bei Bedarf einschreiten können und etwaige Vorfälle dokumentieren – unter konkreten, näher zu bestimmenden Voraussetzungen zuzulassen. Daher ist es jedenfalls nicht ausgeschlossen, dass eine vorweggenommene Interessenabwägung für den jeweiligen Betrieb bestimmte Kontrollarten allgemein als zulässig bzw. unzulässig einstuft.156 Unzweifelhaft erfordert dies aber eine konkrete, auf bestimmte Einzelfälle zugeschnittene Regelung.157 Pauschale Verarbeitungsverbote sind nämlich in jedem Fall unzulässig, wenn sie im Einzelfall möglicherweise bestehende legitime Interessen vollständig außer Acht lassen.158 So muss beispielsweise ein allgemeines Verbot der Videoüberwachung im gesamten Betrieb in aller Regel als unzulässig eingeordnet werden. Letztlich handelt es sich indes um eine Gratwanderung: Pauschalierungen können nur ausnahmsweise zulässig sein, sind jedoch im Zweifel eher als angemessen einzustufen, wenn sie weiterhin Raum für eine Abwägung und eine abweichende Beurteilung im Einzelfall bieten. Allerdings werden allzu offen ge152 Düwell/Brink, NZA 2017, 1081, 1083; Traut, RDV 2016, 312, 316; a. A. Dzida/Grau, DB 2018, 189, 193; Haußmann/Brauneisen, BB 2017, 3065, 3066; Maschmann, NZA-Beil. 2018, 115, 117; Wybitul, NZA 2017, 413, 418. 153 Düwell/Brink, NZA 2017, 1081, 1083; Traut, RDV 2016, 312, 316. 154 Traut, RDV 2016, 312, 316. 155 Traut, RDV 2016, 312, 316. 156 Düwell/Brink, NZA 2017, 1081, 1083; Traut, RDV 2016, 312, 316. 157 Traut, RDV 2016, 312, 316. 158 So auch zutreffend Dzida/Grau, DB 2018, 189, 193; Wybitul, NZA 2017, 1488, 1489.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
175
haltene Regelungen regelmäßig nicht dem Erfordernis des Art. 88 Abs. 2 DSGVO, „besondere“ Regelungen zu treffen, genügen. Nicht ausreichend wäre beispielsweise eine bloße – auch sinngemäße – Wiederholung von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Zwar wäre dadurch die Notwendigkeit einer Interessenabwägung ausreichend berücksichtigt, aber zugleich keine über die DSGVO hinausgehende, an die Bedürfnisse des einzelnen Betriebes angepasste, Konkretisierung vorhanden. Diese Kluft zeigt, dass sich auch aus der Forderung nach „angemessenen“ Maßnahmen kein allgemeingültiger Maßstab für die erforderliche Detailtiefe einer Betriebsvereinbarung ableiten lässt.159 bb) Konkret zu regelnde Fragestellungen Art. 88 Abs. 2 DSGVO benennt beispielhaft verschiedene, durch datenschutzrechtliche Betriebsvereinbarungen zu regelnde Aspekte,160 wie „die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben [oder] die Überwachungssysteme am Arbeitsplatz“. Jedoch ist nicht notwendig, dass jede Betriebsvereinbarung sämtliche der aufgezählten Bereiche regelt.161 Hat ein Aspekt für einen Betrieb gar keine praktische Relevanz, so kann in einer für den Betrieb abgeschlossenen Betriebsvereinbarung auf eine entsprechende Regelung verzichtet werden.162 Ein Paradebeispiel ist insofern die Konzerndatenverarbeitung, die nur für Betriebe Bedeutung erlangen kann, die auch in eine Konzernstruktur eingebunden sind und soweit die von der Betriebsvereinbarung inhaltlich erfassten Daten auch konzernweit übermittelt werden sollen.163 Auch bestehen in einem Betrieb nicht selten mehrere Betriebsvereinbarungen nebeneinander, die jeweils nicht sämtliche dort relevanten Fragen, sondern eben nur einen bestimmten Gegenstand bereichsspezifisch regeln.164 Die von Art. 88 Abs. 2 DSGVO aufgezählten Aspekte sind daher nur in Betriebsvereinbarungen aufzunehmen, soweit eine entsprechende Regelung im Hinblick auf die konkreten betrieblichen Umstände auch tatsächlich erforderlich ist.165 Daraus folgt zugleich, dass die von Art. 88 Abs. 2 DSGVO aufgezählten Aspekte nicht im Sinne eindeutiger, unabhängig vom Einzelfall gültiger inhaltlicher Vorgaben zu verstehen sind. Den159
Klösel/Mahnhold, NZA 2017, 1428, 1432. BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 83; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 31. 161 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 79; Dzida/Grau, DB 2018, 189, 191; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 57; Klösel/Mahnhold, NZA 2017, 1428, 1433. 162 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 57. 163 Klösel/Mahnhold, NZA 2017, 1428, 1433. 164 Dzida/Grau, DB 2018, 189, 191; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 57. 165 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 79. 160
176
D. Gestaltung des Datenschutzes durch den Betriebsrat
noch lassen sie zumindest Rückschlüsse auf den materiellen Regelungsgehalt datenschutzrechtlicher Betriebsvereinbarungen zu: So ergibt sich beispielsweise aus der Bezugnahme auf die Konzerndatenverarbeitung in Art. 88 Abs. 2 DSGVO i. V. m. ErwG 48 DSGVO, dass der Unionsgesetzgeber ein grundsätzliches Interesse an der konzerninternen Datenübermittlung anerkennt.166 Zwar folgt daraus nicht, dass jede Betriebsvereinbarung eine Regelung zur Konzerndatenverarbeitung vorsehen muss, die enthaltene Wertung kann aber zumindest bei der zur rechtlichen Überprüfung der Betriebsvereinbarung notwendigen Interessenabwägung Bedeutung erlangen.167 cc) Insbesondere: Transparenz Konkret fordert Art. 88 Abs. 2 DSGVO unter anderem, dass die auf Grundlage von Art. 88 Abs. 1 DSGVO geschaffenen kollektivvertraglichen Vorschriften Regelungen „im Hinblick auf die Transparenz der Verarbeitung“ enthalten müssen. Was transparent ausgestaltet werden muss, ist dabei die von der Betriebsvereinbarung geregelte Datenverarbeitung.168 Welche inhaltlichen Anforderungen folgen daraus aber konkret? Ausgangspunkt muss ein Blick auf die in der Vergangenheit ergangene Rechtsprechung sein: Denn schon vor Inkrafttreten der DSGVO hatte das BVerfG in seinem Volkszählungsurteil gefordert, dass der Einzelne Kenntnis davon haben müsse, welche ihn betreffenden, personenbezogenen Daten für welche Zwecke verarbeitet werden.169 Daran anknüpfend hat das Gericht später in seiner Entscheidung zur Vorratsdatenspeicherung klargestellt, dass die Transparenz der Datenverarbeitung ein wesentlicher Grundpfeiler des Datenschutzes sei.170 Denn nur wer Kenntnis von der Verarbeitung seiner personenbezogenen Daten hat, könne seine diesbezüglichen Rechte – insbesondere auf Löschung und Berichtigung – auch wahrnehmen.171 Jedoch legte das BVerfG keine allgemeingültigen Maßstäbe fest, welche Informationen dem Betroffenen dazu konkret zugänglich zu machen waren, sondern stellte klar, dass diese jeweils von der Eingriffsintensität im Einzelfall abhängen.172 Ähnlich hat sich auch der EGMR im Hinblick auf Art. 8 Abs. 1 EMRK positioniert, indem er Überwachungsmaßnahmen grundsätzlich nur dann als hinreichend transparent einordnete, wenn der Betroffene die Intensität des Eingriffs in
166 Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 54; Traut, RDV 2016, 312, 313. 167 Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 54. 168 Von dem Bussche/Zeiter/Brombach, DB 2016, 1359, 1363; Klösel/Mahnhold, NZA 2017, 1428, 1431. 169 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; nachfolgend auch BVerfG, Urt. v. 2. 3. 2010 – 1 BvR 256/08 u. a., NJW 2010, 833, 843 Rn. 242. 170 BVerfG, Urt. v. 2. 3. 2010 – 1 BvR 256/08 u. a., NJW 2010, 833, 843 Rn. 242. 171 BVerfG, Urt. v. 2. 3. 2010 – 1 BvR 256/08 u. a., NJW 2010, 833, 843 Rn. 242; in diesem Sinne später auch BVerfG, Urt. v. 20. 4. 2016 – 1 BvR 966/09, NJW 2016, 1781, 1788 Rn. 135. 172 BVerfG, Beschl. v. 18. 12. 2018 – 1 BvR 142/15, NJW 2019, 827, 835 Rn. 101.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
177
seine Persönlichkeitsrechte abschätzen könne, indem er vorab darüber informiert werde, dass er überwacht wird und auf welche Weise dies geschieht.173 Nunmehr stellt ErwG 41 S. 2 DSGVO ausdrücklich klar, dass datenschutzrechtliche Betriebsvereinbarungen jedenfalls dort, wo sie Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein sollen, klar und präzise und somit in ihrer Anwendung vorhersehbar sein müssen.174 Damit knüpft er an die Rechtsprechung des EuGH an, der fordert, dass der Einzelne stets in die Lage versetzt werden müsse, von den ihm zustehenden Rechten Kenntnis zu erlangen und diese auch geltend zu machen.175 Auch daraus lassen sich jedoch letztlich keine konkreten inhaltlichen Maßstäbe ableiten. Deutlich wird allerdings, dass auch für den Unionsgesetzgeber die effektive Rechtewahrnehmung seitens der Betroffenen Hintergrund des Transparenzerfordernisses ist.176 Zudem begnügt er sich nicht mit dem in ErwG 41 S. 2 DSGVO enthaltenen Verweis auf die Rechtsprechung des EuGH, sondern nimmt sowohl in Art. 5 Abs. 1 lit. a DSGVO als auch in den Art. 12 ff. DSGVO explizite Regelungen zur Transparenz auf. Konkrete inhaltliche Vorgaben ergeben sich dabei insbesondere aus den Art. 13 – 15 DSGVO,177 die abstrakt eine Vielzahl von Informationen festlegen, die dem Betroffenen teilweise unabhängig von den konkreten Umständen des Einzelfalls zugänglich zu machen sind. Durch diese präzisen Vorgaben geht die DSGVO über das bislang durch die Rechtsprechung ausgeformte Transparenzgebot, dessen Reichweite nicht abstrakt bestimmt war, sondern sich stets anhand der Umstände des Einzelfalls definierte, hinaus.178 Nicht erforderlich ist es indes, die Art. 12 ff. DSGVO inhaltsgleich in jede datenschutzrechtliche Betriebsvereinbarung zu übernehmen.179 Denn diese Regelungen sind ohnehin – unabhängig von ihrer Aufnahme in eine Betriebsvereinbarung – verbindlich und beanspruchen Geltung für sämtliche Datenverarbeitungsvorgänge im Betrieb.180 Die aus ihnen folgenden Wertungen müssen damit zweifellos berücksichtigt werden, allerdings räumt Art. 88 Abs. 2 DSGVO den Kollektivpartnern gerade die Möglichkeit ein, eigene Maßnahmen zur Wahrung der erforderlichen Transparenz zu schaffen.181 Dabei muss es sich gem. Art. 88 Abs. 2 DSGVO um „besondere Maßnahmen“ handeln, die also über die ohnehin bestehenden Regelungen hinausgehen, indem sie diese konkretisieren und im Hinblick auf die je173
EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1442, 1446 Rn. 121. Maschmann, DB 2016, 2480, 2484. 175 EuGH, Urt. v. 20. 3. 1996 – C-96/95, NVwZ 1998, 48, 49 Rn. 35; EuGH, Urt. v. 11. 8. 1995 – C-433/93, NVwZ 1996, 367, 368 Rn. 18; EuGH, Urt. v. 30. 5. 1991 – C-361/88, NVwZ 1991, 866 Rn. 15; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 23. 176 Traut, RDV 2016, 312, 316; Wybitul, NZA 2017, 1488, 1489. 177 In diese Richtung auch Maschmann, DB 2016, 2480, 2484. 178 Schrey/Kielkowski, BB 2018, 629, 632; Wybitul, ZD 2016, 203, 207 f. 179 Haußmann/Brauneisen, BB 2017, 3065, 3066; Traut, RDV 2016, 312, 316; Wybitul, NZA 2017, 1488, 1489. 180 Haußmann/Brauneisen, BB 2017, 3065, 3066; Klocke, ZTR 2018, 116, 118. 181 Traut, RDV 2016, 312, 316; Wybitul, NZA 2017, 1488, 1489. 174
178
D. Gestaltung des Datenschutzes durch den Betriebsrat
weiligen betrieblichen Bedürfnisse ergänzen.182 Gemeint sind damit Vorschriften, die nicht die Transparenzvorgaben der Art. 12 ff. DSGVO wiederholen, sondern konkrete Regelungen, welche die gesetzlichen Transparenzvorgaben in Bezug auf die von der jeweiligen Betriebsvereinbarung geregelten Datenverarbeitungsvorgänge erfüllen.183 So müssen unter anderem der Verantwortliche, die Zwecke der Verarbeitung und die betroffenen Daten konkret benannt werden.184 Denkbar wären zudem auch Vorschriften, die das Auskunftsverfahren, in dessen Rahmen die Betroffenen die ihnen zustehenden Informationen erlangen, mit Blick auf die im Betrieb vorhandene Infrastruktur ausgestalten.185 Daher handelt es sich bei der bloß wortgleichen Übernahme der Art. 12 ff. DSGVO nicht um „besondere“ Regelungen im Hinblick auf die Transparenz i. S. v. Art. 88 Abs. 2 DSGVO186 – sondern eben um eine bloße Abbildung der ohnehin geltenden gesetzlichen Vorschriften.187 Zwar bleibt diese – ebenso wie ein im Vergleich zur vollständigen Abbildung sicherlich zielführenderer – Verweis auf die gesetzlichen Vorschriften weiterhin möglich.188 Sie ist jedoch weder erforderlich189 noch ausreichend, da sie nicht die Forderung von Art. 88 Abs. 2 DSGVO nach „besonderen“ Schutzmaßnahmen erfüllt.190 Fraglich ist zudem, ob die jeweiligen besonderen Transparenzregelungen unmittelbar in jeder einzelnen Betriebsvereinbarung enthalten sein müssen. Während einige Stimmen dies fordern,191 halten es andere für ausreichend, wenn die entsprechenden Regelungen an anderer Stelle, außerhalb der Betriebsvereinbarung bekannt gemacht werden.192 Angesichts des Wortlauts des Art. 88 Abs. 2 DSGVO kann zumindest letztgenannte Auffassung in dieser Allgemeinheit nicht überzeugen: Art. 88 Abs. 2 DSGVO verlangt, dass die auf Grundlage von Art. 88 Abs. 1 DSGVO geschaffenen Vorschriften besondere Maßnahmen im Hinblick auf die Transparenz „umfassen“. Nach dem allgemeinen Begriffsverständnis ist davon auszugehen, dass 182
Haußmann/Brauneisen, BB 2017, 3065, 3066. Klösel/Mahnhold, NZA 2017, 1428, 1431; in diese Richtung auch Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 20. 184 Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 20. 185 Haußmann/Brauneisen, BB 2017, 3065, 3066; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 20. 186 Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 20; a. A. wohl Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 15; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 53; Wybitul, ZD 2016, 203, 207. 187 Haußmann/Brauneisen, BB 2017, 3065, 3066; Klösel/Mahnhold, NZA 2017, 1428, 1431. 188 Klocke, ZTR 2018, 116, 118; Klösel/Mahnhold, NZA 2017, 1428, 1431. 189 Klösel/Mahnhold, NZA 2017, 1428, 1431 f.; a. A. wohl Wurzberger, ZD 2017, 258, 262. 190 Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 20; a. A. wohl Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 15; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 53; Wybitul, ZD 2016, 203, 207. 191 Schrey/Kielkowski, BB 2018, 629, 632; allgemein für sämtliche Vorgaben des Art. 88 Abs. 2 DSGVO Dzida/Grau, DB 2018, 189, 191. 192 Klösel/Mahnhold, NZA 2017, 1428, 1431 f. 183
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
179
dies zumindest einen inneren Zusammenhang mit den getroffenen Regelungen voraussetzt.193 Indes ist es ebenfalls nicht zielführend, zu fordern, dass – gerade wenn im Betrieb mehrere Betriebsvereinbarungen bestehen – alle dieselben, sich wiederholenden Transparenzregelungen enthalten. Um den betroffenen Arbeitnehmern nicht aufzubürden, die jeweils für sie einschlägige Betriebsvereinbarung im Hinblick auf die Transparenz der Datenverarbeitung im Detail zu kennen, kann es sinnvoll sein, jedenfalls diejenigen Transparenzvorschriften, die für sämtliche Betriebsvereinbarungen gleichermaßen gelten, in einer Rahmenbetriebsvereinbarung festzuhalten.194 Zweifel an der Vereinbarkeit eines solchen Vorgehens mit Art. 88 Abs. 2 DSGVO bestehen nicht. Denn sofern die jeweiligen Transparenzregelungen ebenso verbindlich sind, als wären sie in jeder einzelnen Betriebsvereinbarung enthalten und sich insofern in ein inhaltlich kohärentes Regelungssystem einfügen, ist dies rechtlich nicht anders zu bewerten, als wären die Regelungen in jeder Betriebsvereinbarung separat enthalten. Damit können die erforderlichen Transparenzregelungen entweder in jeder Betriebsvereinbarung selbst oder einer entsprechenden Rahmenbetriebsvereinbarung festgelegt werden. Dies lässt sich selbstverständlich auf sämtliche anderen datenschutzrechtlichen Aspekte, die innerhalb des Betriebes stets gleich ausgestaltet sind, übertragen: Auch diese können in Rahmenbetriebsvereinbarungen geregelt werden.195 Zwingend in die einzelne Betriebsvereinbarung muss nur aufgenommen werden, was auch allein für die konkrete Betriebsvereinbarung eine Rolle spielt.196 c) Sonstige Vorgaben der DSGVO Problematisch erscheint allerdings, inwiefern neben den von Art. 88 Abs. 2 DSGVO ausdrücklich genannten Vorgaben weitere inhaltliche Grundsätze der DSGVO Eingang in Betriebsvereinbarungen finden müssen. Im Mittelpunkt der Betrachtung steht dabei insbesondere Art. 5 DSGVO, der bereits ausweislich seiner Überschrift „Grundsätze für die Verarbeitung personenbezogener Daten“ enthält. Aufgrund ihrer Stellung im für die gesamte Verordnung geltenden zweiten Kapitel der DSGVO beansprucht die Norm auch für Datenverarbeitungen auf Grundlage von Betriebsvereinbarungen Geltung.197 Klar ist daher, dass diese jedenfalls nicht gegen die Grundsätze des Art. 5 Abs. 1 DSGVO verstoßen dürfen.198 Da Art. 88 Abs. 1 193 Strenger und eine ausdrückliche Regelung in der Betriebsvereinbarung fordernd Dzida/ Grau, DB 2018, 189, 191. 194 Klösel/Mahnhold, NZA 2017, 1428, 1432. 195 Körner, NZA 2019, 1389, 1392. 196 Körner, NZA 2019, 1389, 1392. 197 Götz, Big Data im Personalmanagement, 2020, S. 182; Jerchel/Schubert, DuD 2016, 782, 784. 198 Dzida, BB 2018, 2677, 2681; Jerchel/Schubert, DuD 2016, 782, 784; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 68; Schrey/Kielkowski, BB 2018, 629, 634; Stück, ZD 2019, 256; differenzierend Klösel/Mahnhold, NZA 2017, 1428, 1432.
180
D. Gestaltung des Datenschutzes durch den Betriebsrat
DSGVO kollektivvertragliche, „spezifischere“ Regelungen im Hinblick auf sämtliche von der DSGVO geregelten Gegenstände zulässt,199 haben die Betriebspartner darüber hinaus jedenfalls die Möglichkeit, konkretisierende Regelungen zu den Grundsätzen des Art. 5 Abs. 1 DSGVO in Betriebsvereinbarungen aufzunehmen, um den Gegebenheiten des jeweiligen Betriebes Rechnung zu tragen. Zu klären ist allerdings, ob es – von freiwilligen Konkretisierungen abgesehen – ausreicht, dass eine Betriebsvereinbarung nicht gegen die Grundsätze des Art. 5 Abs. 1 DSGVO verstößt oder ob diese vielmehr ausdrücklich in datenschutzrechtliche Betriebsvereinbarungen aufgenommen werden müssen. Die wohl herrschende Meinung in der Literatur geht davon aus, dass Betriebsvereinbarungen explizite Regelungen im Hinblick auf die Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO enthalten müssen.200 In dieser Allgemeinheit kann dem allerdings nicht gefolgt werden.201 Denn die Grundsätze des Art. 5 Abs. 1 DSGVO beanspruchen ohnehin Geltung, unabhängig davon, ob sie in einer Betriebsvereinbarung aufgegriffen werden.202 Demgegenüber ordnet Art. 88 Abs. 2 DSGVO an, dass datenschutzrechtliche Betriebsvereinbarungen zu den von der Vorschrift ausdrücklich genannten Gegenständen besondere Vorschriften „umfassen“ müssen. Daraus ergibt sich im Umkehrschluss, dass sämtliche dort nicht aufgezählte Vorgaben auch nicht zwingend in jeder thematisch einschlägigen Betriebsvereinbarung enthalten sein müssen.203 Dies zeigt sich am Beispiel der Transparenz: So folgt schon aus Art. 5 Abs. 1 lit. a DSGVO, dass die Transparenz der Datenverarbeitung ein wesentlicher Grundsatz des gesamten Datenschutzrechts ist. Dennoch verpflichtet Art. 88 Abs. 2 DSGVO die Betriebspartner noch einmal ausdrücklich dazu, besondere Schutznahmen zur Wahrung der Transparenz in die von ihnen geschlossenen Betriebsvereinbarungen aufzunehmen. Damit hat der Unionsgesetzgeber den Grundsatz der Transparenz aus dem Regelungszusammenhang des Art. 5 Abs. 1 DSGVO herausgelöst und noch einmal eigenständig in Art. 88 Abs. 2 DSGVO hervorgehoben. Daraus lässt sich schließen, dass er dem Transparenzgrundsatz einen besonderen Stellenwert beimisst und zudem davon ausgeht, dass gerade in Bezug auf die Transparenz der Datenverarbeitung konkrete, an die betrieblichen Bedürfnisse angepasste Maßnahmen dem Schutzbedürfnis der Betroffenen am besten Rechnung tragen können. Daraus lässt sich jedoch zugleich ableiten, dass er eine entsprechende Notwendigkeit für die übrigen Grundsätze des Art. 5 Abs. 1 DSGVO nicht sieht. Würde man dennoch fordern, dass jede Betriebsvereinbarung Regelungen in Bezug auf sämtliche 199
Klocke, ZTR 2018, 116, 118; Traut, RDV 2016, 312, 315. Düwell/Brink, NZA 2016, 665, 666 f.; Grimm, ArbRB 2018, 78, 79; Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, S. 31; Schrey/Kielkowski, BB 2018, 629, 634; Wurzberger, ZD 2017, 258, 261; Wybitul, NZA 2017, 413, 416; a. A. Götz, Big Data im Personalmanagement, 2020, S. 182. 201 Dzida, BB 2018, 2677, 2681; Dzida/Grau, DB 2018, 189, 192. 202 Dzida, BB 2018, 2677, 2681; Dzida/Grau, DB 2018, 189, 192; Jerchel/Schubert, DuD 2016, 782, 784. 203 Dzida/Grau, DB 2018, 189, 192. 200
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
181
Grundsätze des Art. 5 Abs. 1 DSGVO enthält, liefe dies der Systematik des Art. 88 Abs. 2 DSGVO zuwider. Dies gilt umso mehr, als sogar die explizit in Art. 88 Abs. 2 DSGVO genannten Aspekte nur insoweit in Betriebsvereinbarungen aufzunehmen sind, wie eine entsprechende Regelung im Hinblick auf die konkreten betrieblichen Umstände auch tatsächlich erforderlich ist.204 Datenschutzrechtliche Betriebsvereinbarungen müssen daher nicht stets Regelungen zu allen Grundsätzen des Art. 5 Abs. 1 DSGVO enthalten. Dies darf jedoch keineswegs darüber hinwegtäuschen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO auch im Rahmen datenschutzrechtlicher Betriebsvereinbarungen beachtet werden müssen.205 Die Betriebspartner dürfen durch die von ihnen getroffenen Regelungen keinesfalls gegen allgemeine Datenschutzgrundsätze verstoßen.206 Wo ein Verzicht auf eine entsprechende Regelung einen Verstoß gegen einen der Grundsätze des Art. 5 Abs. 1 DSGVO darstellt, muss eine Regelung daher zwingend erfolgen. Deutlich wird dies am Beispiel der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO). Denn Daten dürfen nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Soll eine Betriebsvereinbarung Rechtsgrundlage für eine Datenverarbeitung sein, so müssen die Zwecke der Verarbeitung durch die Betriebsvereinbarung selbst festgelegt werden.207 Dies jedoch nicht, weil Betriebsvereinbarungen allgemein Regelungen zu sämtlichen Grundsätzen des Art. 5 Abs. 1 DSGVO enthalten müssten, sondern weil sich ein derartiges Erfordernis aus dem Inhalt der Betriebsvereinbarung ergibt. Datenverarbeitungen sind nur für festgelegte Zwecke zulässig, sodass eine Betriebsvereinbarung, die einen Datenverarbeitungsvorgang erlaubt, auch den Zweck der Verarbeitung festlegen muss, da ein Verzicht darauf einen Verstoß gegen Art. 5 Abs. 1 lit. b DSGVO darstellen würde. Die inhaltlichen Anforderungen an das Maß der Konkretisierung des Verarbeitungszwecks ergeben sich dabei wiederum mit Blick auf das Transparenzgebot, das gem. Art. 88 Abs. 2 DSGVO zusätzlich beachtet werden muss.208 Dabei kann es jedenfalls nicht ausreichen, die Zwecke ebenso abstrakt zu beschreiben, wie der Unionsgesetzgeber dies in Art. 88 Abs. 1 DSGVO getan hat.209 Denn er lässt eben nur die Schaffung „spezifischerer“ Vorschriften durch Kollektivvereinbarungen zu, die an den Erfordernissen des einzelnen Betriebs orientiert sind. Regelt eine Betriebsvereinbarung jedoch umgekehrt keinen konkreten Datenverarbeitungsvorgang, 204
BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 79. Dzida, BB 2018, 2677, 2681; Dzida/Grau, DB 2018, 189, 192. 206 Dzida, BB 2018, 2677, 2681; Jerchel/Schubert, DuD 2016, 782, 784; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 68; Schrey/Kielkowski, BB 2018, 629, 634; Stück, ZD 2019, 256; differenzierend Klösel/Mahnhold, NZA 2017, 1428, 1432. 207 Dzida, BB 2018, 2677, 2681; Dzida/Grau, DB 2018, 189, 192; Körner, NZA 2019, 1389, 1392; Wybitul, NZA 2017, 1488, 1492. 208 Haußmann/Brauneisen, BB 2017, 3065, 3066; Klösel/Mahnhold, NZA 2017, 1428, 1433; Schrey/Kielkowski, BB 2018, 629, 634; dies verkennend Klocke, ZTR 2018, 116, 119. 209 So aber Klocke, ZTR 2018, 116, 119. 205
182
D. Gestaltung des Datenschutzes durch den Betriebsrat
sondern betrifft beispielsweise das Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat, muss sie auch keine Zweckbestimmung vornehmen. Ähnliches gilt im Hinblick auf die Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Eine Betriebsvereinbarung darf nicht allgemein die Verarbeitung sämtlicher personenbezogener Daten der Beschäftigten erlauben, wenn angesichts des verfolgten Zwecks auch die Verarbeitung anonymisierter Daten ausreichen würde.210 Tut sie es dennoch, verstößt dies gegen Art. 5 Abs. 1 lit. c DSGVO. Um dies zu vermeiden, muss sie eine Regelung zur Einhaltung des Datenminimierungsgrundsatzes treffen. Genügt für den verfolgten Zweck die Verarbeitung anonymisierter Daten nicht, so muss die Betriebsvereinbarung jedoch auch keine diesbezügliche Regelung vorsehen. Ebenso gilt: Enthält eine Betriebsvereinbarung eine Regelung zur Speicherung erhobener Daten, so muss sie auch den Grundsätzen zur Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) genügen. Regelt die Betriebsvereinbarung diesen Umstand gar nicht, muss sie auch nicht auf Art. 5 lit. e DSGVO Bezug nehmen. Dies gilt sinngemäß für sämtliche Grundsätze des Art. 5 Abs. 1 DSGVO. Auch in Bezug auf die Grundsätze des Art. 9 DSGVO ist keine andere Bewertung gerechtfertigt: Auch diese müssen jedenfalls beachtet werden, d. h. es darf nicht gegen sie verstoßen werden.211 Die Anforderungen, die für die in Art. 9 DSGVO genannten besonders sensiblen Daten gelten, müssen auch im Rahmen von Betriebsvereinbarungen berücksichtigt werden.212 Dies gilt beispielsweise für Betriebsvereinbarungen, die Regelungen zu Zutrittssystemen mit biometrischer Erkennungssoftware enthalten.213 Betrifft eine Betriebsvereinbarung hingegen bereits keine Daten i. S. v. Art. 9 DSGVO, muss sie auch keine entsprechenden Regelungen enthalten. d) Vergleich der inhaltlichen Voraussetzungen des BetrVG und der DSGVO Inwieweit weichen nun aber diese aus der DSGVO folgenden inhaltlichen Grenzen datenschutzrechtlicher Betriebsvereinbarungen von den bislang geltenden Grundsätzen ab? Während einige Stimmen in der Literatur davon ausgehen, dass sich der Maßstab des Art. 88 DSGVO und derjenige des § 75 Abs. 2 S. 1 BetrVG inhaltlich decken,214 ordnen andere die in Art. 88 DSGVO enthaltenen materiellen Voraussetzungen als strenger ein.215 Einigkeit besteht damit allein dahingehend, dass die Anforderungen des Art. 88 DSGVO jedenfalls nicht hinter denen des § 75 Abs. 2 210
Dzida, BB 2018, 2677, 2681. Klösel/Mahnhold, NZA 2017, 1428, 1432; Wybitul/Sörup/Pötters, ZD 2015, 559, 562. 212 Wybitul/Sörup/Pötters, ZD 2015, 559, 562. 213 Wurzberger, ZD 2017, 258, 262. 214 Götz, Big Data im Personalmanagement, 2020, S. 181; Körner, NZA 2019, 1389; Maschmann, DB 2016, 2480, 2485; Schrey/Kielkowski, BB 2018, 629, 632. 215 Jerchel/Schubert, DuD 2016, 782, 785; Körner, Die Auswirkungen der DatenschutzGrundverordnung (DSGVO) in der betrieblichen Praxis, S. 26; Wurzberger, ZD 2017, 258, 259; Wybitul, NZA 2017, 413, 414; Wybitul, ZD 2016, 203, 207. 211
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
183
S. 1 BetrVG zurückbleiben. Ob sie nun aber strenger oder gleichwertig sind, ist nicht ohne weiteres zu beantworten. Denn aus § 75 Abs. 2 S. 1 BetrVG ergeben sich keine starren inhaltlichen Grenzen für datenschutzrechtliche Betriebsvereinbarungen. Vielmehr muss jede Regelung im Einzelfall einer Verhältnismäßigkeitsprüfung standhalten, welche die Schwere des durch die Betriebsvereinbarung erfolgenden Eingriffs in die Persönlichkeitsrechte der Arbeitnehmer und die ihnen gegenüberstehenden, konkret verfolgten Ziele gegeneinander abwägt.216 Dabei hat die Rechtsprechung in der Vergangenheit insbesondere die Anzahl der Betroffenen, die Dauer der Datenverarbeitung, den Umstand, ob der Betroffene einen zurechenbaren Anlass für die Verarbeitung gesetzt hat217 und den etwaigen Bestand verfahrensrechtlicher Sicherungen in die Abwägung einbezogen.218 Zudem hat sie ein besonderes Schutzbedürfnis für Gesundheitsdaten anerkannt.219 Deutlich konkreter normiert demgegenüber die DSGVO die für Betriebsvereinbarungen geltenden inhaltlichen Maßstäbe. Denn jedenfalls Art. 88 Abs. 2 DSGVO enthält klare Anforderungen, wenn er im Hinblick auf einige ausdrücklich benannte Aspekte „besondere“ und „angemessene“ Schutzmaßnahmen fordert. Indem Art. 88 Abs. 2 DSGVO einzelne Aspekte herausgreift, die – sofern sie für den jeweiligen Betrieb thematisch einschlägig sind – in besonderem Maße von den Betriebspartnern zu berücksichtigen sind, macht er deutlich konkretere inhaltliche Vorgaben als § 75 Abs. 2 S. 1 BetrVG. Aber auch im Rahmen des Art. 88 Abs. 2 DSGVO kann eine Regelung wiederum nur dann angemessen sein, wenn sie verhältnismäßig ist.220 Erforderlich ist also auch hier eine Interessenabwägung, in deren Rahmen neben der Eingriffsintensität auch die Dauer, die Anlassbezogenheit, und der Bestand prozeduraler Absicherungen zu berücksichtigen sind.221 Maßgeblich ist und bleibt mithin, dass die getroffenen Regelungen einer Verhältnismäßigkeitsprüfung standhalten. Insofern besteht – sowohl im Rahmen von Art. 88 Abs. 2 DSGVO als auch von § 75 Abs. 2 S. 1 BetrVG – eine Einschätzungsprärogative der Betriebspartner. Einer der von Art. 88 Abs. 2 DSGVO ausdrücklich hervorgehobenen Aspekte ist die Transparenz der Verarbeitung. Das Transparenzgebot wird dabei durch die Art. 12 ff. DSGVO inhaltlich näher ausgestaltet; insbesondere die Art. 13 – 15 DSGVO legen spezifisch fest, welche Informationen in Bezug auf die Datenverar216 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278, 1280 f.; BAG, Urt. v. 27. 3. 2003 – 2 AZR 51/02, NZA 2003, 1193, 1194; Maschmann, NZA-Beil. 2018, 115, 116; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 75 Rn. 80. 217 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1190 Rn. 21. 218 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187, 1190 Rn. 40. 219 BAG, Urt. v. 12. 9. 2006 – 9 AZR 271/06, NZA 2007, 269, 272 Rn. 25; Taeger/Rose, BB 2016, 819, 821. 220 Düwell/Brink, NZA 2017, 1081, 1082 f.; Klocke, ZTR 2018, 116, 119; Kühling/ Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 43; Maschmann, DB 2016, 2480, 2484; Schrey/Kielkowski, BB 2018, 629, 632; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19; Wybitul, NZA 2017, 413, 414. 221 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 55; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19.
184
D. Gestaltung des Datenschutzes durch den Betriebsrat
beitung dem Betroffenen zur Verfügung zu stellen sind. Daher müssen datenschutzrechtliche Betriebsvereinbarungen nunmehr Regelungen enthalten, welche die gesetzlichen Transparenzanforderungen im Hinblick auf die Erfordernisse des einzelnen Betriebes konkretisieren und ergänzen. Zugleich müssen sie die aus dem Gesetz folgenden Transparenzanforderungen in Bezug auf die von der jeweiligen Betriebsvereinbarung geregelten Datenverarbeitungsvorgänge erfüllen.222 Bereits in der Vergangenheit hatte die Rechtsprechung festgestellt, dass der Einzelne Kenntnis darüber haben müsse, welche ihn betreffenden, personenbezogenen Daten für welche Zwecke verarbeitet werden, und damit ein Transparenzgebot entwickelt.223 Allerdings gab es keinen abstrakten Katalog von Informationen, die dem Betroffenen stets zugänglich gemacht werden mussten. Dies richtete sich vielmehr im Einzelfall nach der jeweiligen Eingriffsintensität.224 Darüber gehen die Vorgaben der DSGVO hinaus: Zwar sind auch die von ihr aufgestellten Transparenzanforderungen nicht in Stein gemeißelt. So müssen gewisse Transparenzanforderungen von jeder Betriebsvereinbarung erfüllt werden, allerdings legen beispielsweise Art. 13 Abs. 2 DSGVO und Art. 14 Abs. 2 DSGVO fest, dass einige Informationen nur zur Verfügung gestellt werden müssen, soweit dies erforderlich ist, „um eine faire und transparente Verarbeitung zu gewährleisten“. Insofern ergibt sich, dass im Einzelfall aufgrund der konkreten Umstände durchaus ein höheres Maß an Transparenz erforderlich sein kann. Abgesehen davon, dass die DSGVO gewisse Mindestanforderungen aufstellt, hängt die notwendige Transparenz damit weiterhin von einer einzelfallbezogenen Interessenabwägung ab. Mithin werden im Ergebnis regelmäßig keine Unterschiede zum bisherigen Transparenzgebot bestehen. Ein Erfordernis, die nunmehr normierten Mindestanforderungen in Betriebsvereinbarungen aufzunehmen, wird sich nämlich in der Regel schon bislang aufgrund der im Einzelfall vorzunehmenden Abwägung ergeben haben. Weitere inhaltliche Vorgaben ergeben sich aus Art. 9 DSGVO, der bestimmte Daten, die eine hohe Relevanz für den Kernbereich der Persönlichkeit haben, einem besonderen Schutzbedürfnis unterstellt. Dies ist indes keineswegs neu: Auch im Rahmen von § 75 Abs. 2 S. 1 BetrVG ist für die Verarbeitung solcher Daten ein besonders strenger Rechtfertigungsmaßstab anzulegen.225 Bedeutung erlangen zudem die Grundsätze des Art. 5 Abs. 1 DSGVO, die nach hier vertretener Ansicht zwar nicht stets ausdrücklich in Betriebsvereinbarungen aufgenommen werden müssen, gegen die eine Betriebsvereinbarung aber dennoch keinesfalls verstoßen darf. Die ausdrückliche Implementierung dieser Grundsätze in die DSGVO wird jedoch regelmäßig keine materiellen Änderungen im Vergleich zu den bisherigen 222 Klösel/Mahnhold, NZA 2017, 1428, 1431; in diese Richtung auch Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 20. 223 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422; nachfolgend auch BVerfG, Urt. v. 2. 3. 2010 – 1 BvR 256/08 u. a., NJW 2010, 833, 843 Rn. 242. 224 BVerfG, Beschl. v. 18. 12. 2018 – 1 BvR 142/15, NJW 2019, 827, 835 Rn. 101. 225 Für Gesundheitsdaten BAG, Urt. v. 12. 9. 2006 – 9 AZR 271/06, NZA 2007, 269, 272 Rn. 25; Taeger/Rose, BB 2016, 819, 821.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
185
Anforderungen nach sich ziehen. Denn die von Art. 5 Abs. 1 DSGVO normierten Grundsätze sind auch in die nach § 75 Abs. 2 S. 1 BetrVG vorzunehmende Interessenabwägung einzubeziehen. Im Ergebnis decken sich die inhaltlichen Maßstäbe des § 75 Abs. 2 S. 1 BetrVG und der DSGVO mithin beinahe vollständig. Wesentlicher Unterschied ist, dass viele der bislang aufgrund der Rechtsprechung in die vorzunehmende Verhältnismäßigkeitsprüfung einzustellenden Grundsätze nunmehr ausdrücklich als inhaltliche Vorgabe für Betriebsvereinbarungen normiert sind, insbesondere in Art. 88 Abs. 2 DSGVO, Art. 5 Abs. 1 DSGVO und Art. 9 DSGVO. Bisher sind Umstände wie ein zu geringes Maß an Transparenz oder eine zu ungenaue Zweckbestimmung lediglich als einer von vielen Faktoren in die Interessenabwägung eingeflossen. Demgegenüber führt jetzt bereits der Verstoß gegen eines dieser von der DSGVO normierten Prinzipien zur Unzulässigkeit der Betriebsvereinbarung. In der Praxis wird dies indes häufig keinen Unterschied bedeuten, da die durch die DSGVO ausdrücklich normierten Aspekte auch in der Interessenabwägung nach § 75 Abs. 2 S. 1 BetrVG besonderes Gewicht erlangen und ein Verstoß meist auch auf dieser Grundlage zur Rechtswidrigkeit der Betriebsvereinbarung führt. So ist zwar der erforderliche Regelungsumfang auf den ersten Blick erweitert worden226 – aber eben nur auf den ersten, rein formalen Blick. Es bleibt letztlich dabei, dass angesichts der weiten Vorgaben der DSGVO und dem weiterhin zu berücksichtigenden Grundsatz der Verhältnismäßigkeit kaum allgemeingültige Vorgaben für den Inhalt von datenschutzrechtlichen Betriebsvereinbarungen bestehen.227
3. Keine zusätzlichen inhaltlichen Vorgaben im BDSG Keine inhaltlichen Vorgaben für datenschutzrechtliche Betriebsvereinbarungen folgen indes aus dem BDSG. Zwar müssen die Kollektivpartner auch inhaltliche Anforderungen beachten, die sich aus den mitgliedstaatlichen Spezifizierungsrechtsakten zur DSGVO ergeben228 – aber eben nur, soweit diese auch tatsächlich Vorgaben enthalten. Dies ist im BDSG aber gerade nicht der Fall: § 26 Abs. 4 S. 2 BDSG verweist im Hinblick auf die von den Betriebspartnern zu beachtenden Maßstäbe ausdrücklich auf Art. 88 Abs. 2 DSGVO. Dieser Verweis ist zwar aufgrund der aus Art. 288 Abs. 2 AEUV folgenden unmittelbaren Geltung der DSGVO ohnehin rein deklaratorischer Natur,229 kann aber zugleich als klarstellender Hinweis verstanden werden, dass der deutsche Gesetzgeber auf die Normierung darüber hinausgehender, zusätzlicher Voraussetzungen verzichtet. Keine inhaltlichen Anforderungen für Betriebsvereinbarungen ergeben sich zudem aus § 26 Abs. 5 BDSG, 226 227 228 229
Wurzberger, ZD 2017, 258, 259. Ähnlich Klösel/Mahnhold, NZA 2017, 1428, 1432 f. Traut, RDV 2016, 312, 313. Düwell/Brink, NZA 2017, 1081, 1085; Wybitul, NZA 2017, 1488, 1489.
186
D. Gestaltung des Datenschutzes durch den Betriebsrat
der den Verantwortlichen verpflichtet, geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO eingehalten werden. Dies ist ebenfalls allein als Klarstellung zu begreifen, dass die Grundsätze des Art. 5 Abs. 1 DGSVO nicht abdingbar sind.230 Weitergehenden Bedeutungsgehalt kann der Vorschrift allerdings nicht beigemessen werden. Sie verpflichtet allein den Verantwortlichen, aktiv auf die Wahrung der Grundsätze des Art. 5 Abs. 1 DSGVO hinzuwirken, die Kollektivpartner dürfen lediglich nicht gegen die Vorgaben dieser Norm verstoßen – was sich jedoch bereits unmittelbar auf Grundlage von Art. 5 DSGVO ergibt.
4. Zwingende Anforderungen vs. Empfehlungen für eine rechtssichere Gestaltung Datenschutzrechtlichen Betriebsvereinbarungen werden mithin in verschiedener Hinsicht inhaltliche Grenzen gezogen. Erste Hürde ist die Vereinbarkeit mit dem Betriebsverfassungsrecht, in dessen Rahmen § 75 Abs. 2 S. 1 BetrVG den entscheidenden Maßstab vorgibt. Die Norm bildet ein Einfallstor zur Einbeziehung der grundrechtlichen Wertungen des aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hergeleiteten allgemeinen Persönlichkeitsrechts. Wird dieses Grundrecht durch eine Betriebsvereinbarung eingeschränkt, so muss diese Einschränkung ihrerseits dem Grundsatz der Verhältnismäßigkeit genügen, was letztlich den Weg für eine am Einzelfall orientierten Abwägung frei macht, die sowohl die Schwere des durch die Betriebsvereinbarung erfolgenden Eingriffs in die Persönlichkeitsrechte der Arbeitnehmer als auch die ihnen gegenüberstehenden Ziele berücksichtigt. Daraus folgt indes zugleich, dass sich aus § 75 Abs. 2 S. 1 BetrVG keine starren inhaltlichen Vorgaben für datenschutzrechtliche Betriebsvereinbarungen ableiten lassen. Umso entscheidender sind daher die aus der DSGVO folgenden inhaltlichen Anforderungen. Dreh- und Angelpunkt ist dabei Art. 88 DSGVO, der in seinem ersten Absatz bestimmt, dass die in Kollektivvereinbarungen getroffenen Regelungen „spezifischer“ sein müssen, als diejenigen der DSGVO. Damit sind nur solche Regelungen zulässig, die dazu dienen, den Besonderheiten des Betriebs umfassend Rechnung zu tragen und einen auf die insofern bestehenden Bedürfnisse zugeschnittenen Interessenausgleich herbeizuführen. Deutlich ausdifferenzierter ist demgegenüber Art. 88 Abs. 2 DSGVO, der gewisse Mindestinhalte für datenschutzrechtliche Betriebsvereinbarungen festlegt. Erforderlich sind zunächst „besondere“ Schutzmaßnahmen, weshalb die auf Grundlage von Art. 88 Abs. 1 DSGVO geschaffenen, auf die spezifischen Bedürfnisse des Betriebs zugeschnittenen Regelungen zugleich an diesen konkreten betrieblichen Erfordernissen orientierte Schutzmaßnahmen enthalten müssen. Diese Schutzmaßnahmen müssen zudem auch „angemessen“ sein. Dies eröffnet wiederum Raum für eine Abwägung der wider230
Wybitul, NZA 2017, 1488, 1489.
II. Inhaltliche Anforderungen an datenschutzrechtliche Betriebsvereinbarungen
187
streitenden Interessen des Arbeitnehmers als Betroffenem und des Verantwortlichen – erlaubt also letztlich eine Verhältnismäßigkeitsprüfung. Pauschalierende Regelungen werden dadurch jedoch nicht ausgeschlossen, sofern ihnen eine Interessenabwägung vorausgegangen ist, die ergeben hat, dass eines der betroffenen Interessen in jeder vorstellbaren Konstellation hinter dem jeweiligen Gegeninteresse zurücktreten muss. Da mithin auch Art. 88 Abs. 2 DSGVO an die Verhältnismäßigkeit der getroffenen Regelungen anknüpft, lässt sich indes aus der Norm ebenfalls kein allgemeingültiger Maßstab für den Inhalt datenschutzrechtlicher Betriebsvereinbarungen ableiten. Einzelne Aspekte benennt Art. 88 Abs. 2 DSGVO jedoch ausdrücklich als regelungsbedürftig. Dies gilt allerdings nicht ausnahmslos, sondern nur soweit der jeweilige Regelungsbereich im einzelnen Betrieb auch praktische Relevanz hat. Keinesfalls muss jede Betriebsvereinbarung sämtliche der aufgezählten Bereiche tatsächlich regeln. Eine hervorgehobene Stellung nimmt dabei das Transparenzgebot ein. Aus dessen Erwähnung in Art. 88 Abs. 2 DSGVO folgt indes nicht, dass jede Betriebsvereinbarung die Art. 12 ff. DSGVO inhaltsgleich übernehmen muss, da diese auch ohne Bezugnahme in einzelnen Betriebsvereinbarungen für sämtliche Datenverarbeitungsvorgänge des Betriebes gelten. Soweit Art. 88 Abs. 2 DSGVO Regelungen zur Transparenz fordert, meint dies daher nicht eine Wiederholung der gesetzlichen Vorschriften, sondern die Schaffung konkreter Regelungen, welche die gesetzlichen Transparenzvorgaben in Bezug auf die betrieblichen Bedürfnisse konkretisieren und hinsichtlich der von der jeweiligen Betriebsvereinbarung geregelten Datenverarbeitungsvorgänge erfüllen. Grundsätzlich nicht ausdrücklich in Betriebsvereinbarungen aufgenommen werden müssen die in Art. 5 Abs. 1 DSGVO normierten Grundsätze. Denn diese beanspruchen ebenfalls auch ohne ausdrückliche Bezugnahme in einzelnen Betriebsvereinbarungen allgemeine Geltung. Daraus folgt jedoch zugleich, dass die Betriebspartner die Grundsätze des Art. 5 Abs. 1 DSGVO zwar nicht wiederholen müssen, aber eben auch nicht gegen sie verstoßen dürfen. Dort, wo ein Verzicht auf eine entsprechende Regelung zugleich einen Verstoß gegen einen der Grundsätze des Art. 5 Abs. 1 DSGVO darstellen würde, ist eine Regelung daher ausnahmsweise zwingend erforderlich. Beispielsweise dürfen Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ (Art. 5 Abs. 1 lit. b DSGVO). Soll eine Betriebsvereinbarung Rechtsgrundlage für eine Datenverarbeitung sein, so müssen daher auch die Zwecke der Verarbeitung durch die Betriebsvereinbarung festgelegt werden. Tut sie dies nicht, verstößt sie gegen Art. 5 Abs. 1 lit. b DSGVO. Umgekehrt gilt jedoch ebenso: Regelt eine Betriebsvereinbarung keinen konkreten Datenverarbeitungsvorgang, muss sie auch keine Zweckbestimmung vornehmen. Die Möglichkeit, konkretisierende Regelungen zu den Grundsätzen des Art. 5 Abs. 1 DSGVO zu treffen, um den Bedürfnissen des jeweiligen Betriebes gerecht zu werden, haben die Betriebspartner allerdings stets. Gleiches gilt für die Grundsätze des Art. 9 DSGVO. Deutlich wird auf dieser
188
D. Gestaltung des Datenschutzes durch den Betriebsrat
Grundlage, dass sich auch aus der DSGVO – ebenso wie aus § 75 Abs. 2 S. 1 BetrVG – kaum allgemeingültige Vorgaben für den Inhalt datenschutzrechtlicher Betriebsvereinbarungen ableiten lassen. Entscheidend bleibt letztlich eine im Einzelfall vorzunehmende Abwägung der widerstreitenden Interessen im Sinne einer Verhältnismäßigkeitsprüfung. Soweit darüber hinaus in der Literatur Hinweise für eine rechtssichere Gestaltung gegeben werden, können diese allenfalls als Versuch verstanden werden, den Betriebspartnern eine Richtschnur an die Hand zu geben, um Fehler zu vermeiden – zwingend müssen datenschutzrechtliche Betriebsvereinbarungen nach hier vertretener Auffassung indes nur die genannten Vorgaben umsetzen. So findet sich häufig die Empfehlung, Betriebsvereinbarungen, die einen datenschutzrechtlichen Erlaubnistatbestand normieren, sollten zugleich eine ausdrückliche Klarstellung dieses Regelungswillens enthalten.231 Sinnvoll ist dies sicherlich, um Unsicherheiten insbesondere für die Arbeitnehmer zu vermeiden – rechtlich zwingend ist ein entsprechender Verweis indes nicht.232 Gleiches gilt für den Hinweis, dass die in einer Betriebsvereinbarung enthaltenen Erlaubnistatbestände nicht abschließend sind und ein Rückgriff auf gesetzliche Erlaubnistatbestände möglich bleibt. Dieser kann unzweifelhaft der Vermeidung von Unklarheiten dienen, muss jedoch grundsätzlich nicht zwingend erfolgen.233 Denn jedenfalls wenn die in der Betriebsvereinbarung enthaltene Rechtsgrundlage unwirksam oder ihr Anwendungsbereich nicht eröffnet ist, besteht ohnehin stets die Möglichkeit, auf die gesetzlichen Regelungen zurückzugreifen.234 Wollen die Betriebspartner hingegen eine allgemeine Rückgriffsmöglichkeit eröffnen, sodass gesetzliche und kollektivvertragliche Erlaubnistatbestände nebeneinander zur Anwendung kommen, hat ein entsprechender Hinweis konstitutive Wirkung und ist daher zwingend aufzunehmen. Kritischer zu betrachten ist die Empfehlung der Literatur, auf die Grundsätze des Art. 5 Abs. 1 DSGVO235 und auf die gesetzlichen Transparenzvorgaben der Art. 12 ff. DSGVO236 zu verweisen oder diese sogar zu übernehmen. Denn jedenfalls die Wiederholung gesetzlicher Vorschriften wird im Zweifel nicht zur Schaffung von Rechtssicherheit beitragen, da dies seitens des Arbeitnehmers den Eindruck erwecken könnte, dass gerade nur die übernommenen, nicht aber die sonstigen Vorschriften der DSGVO für ihn Anwendung finden. Allenfalls ein Verweis, der mit einem ausdrücklichen Hinweis versehen 231 Dzida/Grau, DB 2018, 189, 193; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 56; Klösel/Mahnhold, NZA 2017, 1428, 1432; Körner, NZA 2019, 1389, 1392; Schrey/Kielkowski, BB 2018, 629, 631; Stück, ZD 2019, 256, 257; Wurzberger, ZD 2017, 258, 260; Wybitul, NZA 2017, 1488, 1492; Wybitul/Sörup/Pötters, ZD 2015, 559, 561 f. 232 Dzida/Grau, DB 2018, 189, 193. 233 Klösel/Mahnhold, NZA 2017, 1428, 1432; Schrey/Kielkowski, BB 2018, 629, 633; Stück, ZD 2019, 256, 257; Wurzberger, ZD 2017, 258, 260; Wybitul, NZA 2017, 1488, 1492; Wybitul/Sörup/Pötters, ZD 2015, 559, 562. 234 S. Gliederungspunkt B. II. 3. 235 Schrey/Kielkwoski, BB 2018, 629, 634; Wurzberger, ZD 2017, 258, 261. 236 Traut, RDV 2016, 312, 317.
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau
189
ist, dass die jeweiligen Vorschriften unabhängig von der Inbezugnahme in der Betriebsvereinbarung gelten, birgt dieses Risiko nicht. Wichtiger als ein Verweis auf die gesetzlichen Vorschriften ist indes, dass die aus diesen Normen folgenden inhaltlichen Vorgaben auch tatsächlich für den konkreten Betrieb umgesetzt werden, soweit sich ein entsprechendes Erfordernis aus dem Inhalt der Betriebsvereinbarung ergibt. So ist in der Betriebsvereinbarung nicht der Verweis auf den Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) entscheidend, sondern vielmehr, dass die Betriebsvereinbarung – jedenfalls soweit sie die Zulässigkeit eines Datenverarbeitungsvorgangs regelt – auch den konkreten Zweck, zu dem die Verarbeitung erfolgen darf, benennt. Abgesehen von den nach hiesiger Ansicht zwingend zu beachtenden Vorgaben ist letztlich entscheidend, dass innerhalb des Betriebes ein kohärentes datenschutzrechtliches System geschaffen wird, sodass die in den maßgeblichen Einzelbetriebsvereinbarungen enthaltenen Regelungen mit etwaigen Rahmenbetriebsvereinbarungen und formlosen internen Informationen ein einheitliches Bild zeichnen.237 Dies zu gewährleisten, trägt mehr zu einem rechtssicheren Umgang mit datenschutzrechtlichen Fragestellungen bei, als die in der Literatur verbreiteten Gestaltungsempfehlungen.
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau der DSGVO Sind die inhaltlichen Grenzen datenschutzrechtlicher Betriebsvereinbarungen ausgelotet, so schließt sich daran die Frage an, inwiefern Abweichungen vom gesetzlichen Datenschutzniveau möglich sind. Ihren Ursprung findet diese Problematik in der Formulierung des Art. 88 Abs. 1 DSGVO, der die Mitgliedstaaten ermächtigt, durch Rechtsvorschriften oder Kollektivvereinbarungen „spezifischere Vorschriften“ für die Verarbeitung personenbezogener Daten im Beschäftigungskontext zu schaffen.238 Einige Stimmen in der Literatur wollen aus der Verwendung des Komparativs „spezifischere“ den Willen des Unionsgesetzgebers herauslesen, nur solche bereichsspezifischen Regelungen zuzulassen, für die ein inhaltlicher Vergleich mit den Vorschriften der DSGVO ergibt, dass sie deren Schutzniveau entsprechen.239 Demgegenüber sehen andere dies nicht als Hinweis auf einen Vergleich in Bezug auf das Schutzniveau der Regelungskomplexe, sondern darauf, dass die in Betriebsvereinbarungen getroffenen Regelungen vergleichsweise spezieller auf einzelne Regelungsbereiche zugeschnitten sein müssen als die abstrakten Normen 237
Klösel/Mahnhold, NZA 2017, 1428, 1432. Dies ebenfalls als Grundlage der Problematik anführend Düwell/Brink, NZA 2017, 1081, 1082; Klösel/Mahnhold, NZA 2017, 1428, 1430. 239 Wybitul, NZA 2017, 413. 238
190
D. Gestaltung des Datenschutzes durch den Betriebsrat
der DSGVO.240 Zwar wurde diese Problematik schon vor Inkrafttreten der DSGVO diskutiert,241 dennoch ist der Streit durch die Formulierung des Art. 88 Abs. 1 DSGVO neu angeheizt worden,242 sodass auch an dieser Stelle eine eingehende Auseinandersetzung mit den vorgebrachten Argumenten erfolgen muss.
1. Zuungunsten des Arbeitnehmers Denkbar sind Abweichungen sowohl „nach unten“, also zuungunsten der Arbeitnehmer, als auch „nach oben“, d. h. eine Erhöhung des Datenschutzniveaus zugunsten der Beschäftigten. Wegen ihrer besonderen Brisanz, die sich aus der nachteiligen Wirkung für die Betroffenen ergibt, ist in einem ersten Schritt auf die Möglichkeit negativer Abweichungen vom gesetzlichen Datenschutzniveau einzugehen. a) Bestandsaufnahme des Streitstandes zur bisherigen Rechtslage Die Problematik ist indes keineswegs neu. Denn bereits vor Inkrafttreten der DSGVO und des neu gefassten BDSG war heftig umstritten, inwiefern Abweichungen vom gesetzlichen Datenschutzniveau möglich sein sollten.243 Befürwortet wurde eine Abweichungsmöglichkeit insbesondere durch die Rechtsprechung. So formulierte das BAG in einer Entscheidung aus dem Jahr 1986 ausdrücklich: „Betriebsvereinbarungen […] können auch zuungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen“244. Datenschutzrechtliche Betriebsvereinbarungen seien gerade nicht darauf beschränkt, unbestimmte Rechtsbegriffe im Hinblick auf die Erfordernisse des einzelnen Betriebes auszugestalten oder Verstärkungen des gesetzlichen Datenschutzniveaus vorzunehmen.245 Das BDSG enthalte insofern keinen unabdingbaren Mindeststandard.246 Dies ergebe sich daraus, dass § 3 S. 1 Nr. 1 BDSG (i. d. F. v. 27. 1. 1977) die Verarbeitung personenbezogener Daten auf Grundlage „anderer Rechtsvorschriften“ außerhalb des BDSG zulasse, diese ausdrückliche Normierung jedoch nur dann einen eigenständigen Bedeutungsgehalt habe, wenn man damit auch eine Unterschreitung des gesetzlichen Datenschutzniveaus zulasse, da Abweichungen zugunsten der Arbeitnehmer auf Grundlage des 240
Düwell/Brink, NZA 2016, 665, 666. S. ausführlich sogleich Gliederungspunkt D. III. 1. a). 242 S. beispielhaft nur Dzida/Grau, DB 2018, 189, 193; Klösel/Mahnhold, NZA 2017, 1428, 1430; Maschmann, DB 2016, 2480, 2483; Schrey/Kielkowksi, BB 2018, 629, 632; Traut, RDV 2016, 312, 314. 243 Ausführliche Streitdarstellung bei Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 192 ff. 244 BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643 Ls. 3. 245 BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643, 646. 246 BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643, 646. 241
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau
191
Günstigkeitsprinzips ohnehin möglich seien.247 Allerdings stellte das BAG zugleich klar, dass keine beliebigen Abweichungen von den Vorschriften des BDSG möglich seien, sondern nur solche, die sich innerhalb der Grenzen der Regelungsautonomie der Betriebspartner halten, also insbesondere mit § 75 Abs. 2 S. 1 BetrVG vereinbar sind, grundrechtliche Wertentscheidungen, zwingendes Gesetzesrecht und die allgemeinen Grundsätze des Arbeitsrechts beachten.248 Deutlich zurückhaltender zeigte sich das Gericht indes in späteren Entscheidungen: So bestätigte es seine frühere Auffassung, dass Abweichungen vom gesetzlichen Datenschutzniveau grundsätzlich zulässig seien, jedenfalls nicht mehr ausdrücklich. Vielmehr stellte es allgemein darauf ab, dass Betriebsvereinbarungen einen angemessenen Ausgleich zwischen den Interessen des Arbeitgebers und den Persönlichkeitsrechten der Arbeitnehmer enthalten müssen.249 Grundlage dieser neuerlichen Zurückhaltung dürfte dabei wohl eine Entscheidung des EuGH gewesen sein, in der er der RL 95/46/EG eine grundsätzlich vollharmonisierende Wirkung zusprach.250 Das Gericht stellte klar, dass daraus ein grundsätzliches Verbot für die Mitgliedstaaten folge, neue Grundsätze hinsichtlich der Zulässigkeit der Verarbeitung personenbezogener Daten oder sonstige Bedingungen einzuführen, die die datenschutzrechtlichen Grundsätze über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art. 7 RL 95/46/ EG) verändern könnten.251 Zulässig sei allein, die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten näher zu konkretisieren.252 Insofern war davon auszugehen, dass der EuGH Abweichungen vom Datenschutzniveau der RL 95/46/EG – sowohl durch nationale gesetzliche Vorschriften als auch durch Betriebsvereinbarungen – als unzulässig einordnen würde. Ähnlich hatte sich vorab bereits die Literatur positioniert.253 Wesentliches Argument gegen eine Abweichungsmöglichkeit war insofern, dass es sich bei Betriebsvereinbarungen um untergesetzliche Normen handele, die inhaltlich nicht gegen Regelungen verstoßen dürften, die ihnen auf Grundlage der allgemeinen Normenhierarchie vorgehen.254 Allerdings wurde auch diese Argumentation in Zweifel gezogen: Denn sofern das BDSG gerade selbst ohne Einschränkungen die Verarbeitung personenbezogener Daten auf Grundlage „anderer Rechtsvorschriften“ zulasse, sei dies als bewusste Abweichung von der Normenhierarchie zu verstehen.255 Mit Blick auf die Recht247
BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643, 646. BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643, 647. 249 BAG, Urt. v. 25. 9. 2013 – 10 AZR 270/12, NZA 2014, 41, 43 Rn. 34. 250 EuGH, Urt. v. 24. 11. 2011 – C-468/10 u. a., EuZW 2012, 37, 39 Rn. 29 f. 251 EuGH, Urt. v. 24. 11. 2011 – C-468/10 u. a., EuZW 2012, 37, 39 Rn. 32. 252 EuGH, Urt. v. 24. 11. 2011 – C-468/10 u. a., EuZW 2012, 37, 39 Rn. 33; zust. Trittin/ Fischer, NZA 2009, 343, 344. 253 Trittin/Fischer, NZA 2009, 343, 344; zur Abweichung vom BDSG auf dieser Grundlage Freckmann/Störing/Müller, BB 2011, 2549, 2550; Linnenkohl/Rauschenberger/Schütz, BB 1987, 1454 f.; Simitis/Scholz/Sokol, 8. Aufl. 2014, § 4 BDSG Rn. 16; Wohlgemuth, BB 1991, 340, 341. 254 Simitis/Scholz/Sokol, 8. Aufl. 2014, § 4 BDSG Rn. 16. 255 Kirsch, MMR-Aktuell, 2011, 317362. 248
192
D. Gestaltung des Datenschutzes durch den Betriebsrat
sprechung des EuGH musste allerdings letztlich davon ausgegangen werden, dass jedenfalls negative Abweichungen vom gesetzlichen Datenschutzniveau, d. h. zuungunsten der Arbeitnehmer, unzulässig waren. b) Neue Akzentuierung des Streites durch die DSGVO Nicht weniger kontrovers diskutiert wird die Frage, inwiefern die vorgenannten Grundsätze angesichts der Ablösung der RL 95/46/EG durch die DSGVO weiterhin Geltung beanspruchen können. Insofern haben sich im Wesentlichen zwei Positionen herausgebildet: Eine Ansicht lehnt eine Unterschreitung des Datenschutzniveaus der DSGVO durch Betriebsvereinbarungen schlichtweg ab.256 Dies folge daraus, dass auch die DSGVO die Vollharmonisierung des Beschäftigtendatenschutzes in den Mitgliedstaaten bezwecke.257 Dies war durch den EuGH für die RL 95/46/EG, die durch die DSGVO abgelöst worden ist, ausdrücklich anerkannt.258 Dass für die DSGVO jedenfalls im Bereich des Beschäftigtendatenschutzes nichts anderes gelten könne, ergebe sich zum einen bereits aus ihrer Rechtsnatur,259 zum anderen aber auch mit Blick auf den Wortlaut des Art. 88 Abs. 1 DSGVO, der allein die Schaffung „spezifischerer Vorschriften“ zulässt, wohingegen andere Öffnungsklauseln, wie beispielsweise Art. 85 Abs. 2 DSGVO, „Abweichungen und Ausnahmen“ ermöglichen.260 Letztlich ziele Art. 88 DSGVO gerade darauf ab, den effektiven Schutz personenbezogener Daten im Beschäftigungskontext zu gewährleisten, was nur dann möglich sei, wenn die inhaltlichen Vorgaben der DSGVO als nicht zu unterschreitender Mindeststandard verstanden würden.261 Andere halten demgegenüber grundsätzlich auch Regelungen in Betriebsvereinbarungen für möglich, die das allgemeine Datenschutzniveau der DSGVO un-
256 Dzida/Grau, DB 2018, 189, 193; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 92; Franck, ZD 2017, 509, 511; Gola/Pötters, 2. Aufl. 2018, Art. 88 DSGVO Rn. 18; Götz, Big Data im Personalmanagement, 2020, S. 62; Grimm/Göbel, jM 2018, 278, 284; Kort, NZA 2018, 1097, 1101; Kort, DB 2017, 711, 714; Kort, ZD 2016, 555, 557; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 32 ff.; Maschmann, NZA-Beil. 2018, 115, 116; Maschmann, DB 2016, 2480, 2482 f.; Schrey/Kielkowksi, BB 2018, 629, 630; Stück, ZD 2019, 256, 257; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 9; Wurzberger, ZD 2017, 258, 263; Wybitul, NZA 2017, 413; wohl auch Wybitul/Sörup/Pötters, ZD 2015, 559, 561, die die DSGVO insgesamt als Mindeststandard einordnen. 257 Dzida/Grau, DB 2018, 189, 193; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 18; Götz, Big Data im Personalmanagement, 2020, S. 62; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 36 f.; Maschmann, NZA-Beil. 2018, 115, 117; Maschmann, DB 2016, 2480, 2482 f. 258 EuGH, Urt. v. 24. 11. 2011 – C-468/10 u. a., EuZW 2012, 37, 39 Rn. 29 f. 259 Wybitul/Sörup/Pötters, ZD 2015, 559, 561. 260 Dzida/Grau, DB 2018, 189, 193; Maschmann, DB 2016, 2480, 2483; Schrey/Kielkowksi, BB 2018, 629, 632. 261 Schrey/Kielkowksi, BB 2018, 629, 632.
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau
193
terschreiten.262 Denn allein der Formulierung, dass nur „spezifischere Vorschriften“ in Betriebsvereinbarungen zulässig sind, lasse sich keine Aussage darüber entnehmen, ob diese Vorschriften vom Datenschutzniveau der DSGVO abweichen dürfen.263 „Spezifischer“ sei eine Vorschrift nämlich schon dann, wenn sie den Erfordernissen des Beschäftigungskontexts und des jeweiligen Betriebes Rechnung trage.264 Der Regelungsgehalt des Wortes „spezifischere“ beschränke sich also darauf, bereichsspezifische Regelungen zuzulassen – ohne zugleich Anforderungen an den Inhalt dieser Normen festzulegen.265 Um sinnvolle bereichsspezifische Vorschriften erst zu ermöglichen, seien Abweichungen von der DSGVO jedoch notwendig – aber eben nicht in beliebigem Umfang, sondern nur soweit sie sich inhaltlich zumindest an den gesetzlichen Vorgaben orientieren.266 Dabei ist es aber nicht möglich, abstrakt ein bestimmtes Datenschutzniveau der DSGVO auszumachen.267 Vielmehr stehen sich die abstrakten Vorschriften der DSGVO und die konkreten, bereichsspezifischen Regelungen etwaiger Betriebsvereinbarungen gegenüber, die sich jedoch oftmals kaum vergleichen lassen werden, da sie schlichtweg vollständig andersartige Schutzmechanismen enthalten.268 So gebe es in Betriebsvereinbarungen häufig Regelungen, für die in der DSGVO gar keine vergleichbare, einen inhaltlichen Maßstab vorgebende Vorschrift bestehe.269 Zudem zeige gerade der Blick auf Art. 88 Abs. 2 DSGVO, dass der Unionsgesetzgeber keineswegs gewollt habe, dass Betriebsvereinbarungen inhaltlich vollständig der DSGVO entsprechen müssen: Denn die von Art. 88 Abs. 2 DSGVO speziell normierten Anforderungen wären letztlich überflüssig, wenn Betriebsvereinbarungen ohnehin in keiner Weise vom Datenschutzniveau der DSGVO abweichen dürften.270 Daraus folge indes zugleich, dass nicht jede Abweichung von der DSGVO zulässig sein könne: Ein inhaltlicher Mindeststandard, der keinesfalls unterschritten werden darf, ergebe sich jedenfalls aus Art. 88 Abs. 2 DSGVO.271 Nur so könne den Betriebs262
Jerchel/Schubert, DuD 2016, 782, 783; Klösel/Mahnhold, NZA 2017, 1428, 1430; Staben, ZfA 2020, 287, 303; Taeger/Rose, BB 2016, 819, 821; Traut, RDV 2016, 312, 314. 263 Traut, RDV 2016, 312, 314. 264 Klocke, ZTR 2018, 116, 119; so auch Düwell/Brink, NZA 2016, 665, 666. 265 Düwell/Brink, NZA 2017, 1081, 1082; Düwell/Brink, NZA 2016, 665, 666; Traut, RDV 2016, 312, 314. 266 Klösel/Mahnhold, NZA 2017, 1428, 1430. 267 Klocke, ZTR 2018, 116, 121; dies in den Grundsätzen des Art. 5 DSGVO und der Art. 12 ff. DSGVO erkennend Wünschelbaum, BB 2019, 2102, 2105. 268 Klösel/Mahnhold, NZA 2017, 1428, 1430; Staben, ZfA 2020, 287, 303; so auch Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 50. 269 Klösel/Mahnhold, NZA 2017, 1428, 1430. 270 Klösel/Mahnhold, NZA 2017, 1428, 1430; Staben, ZfA 2020, 287, 303; Traut, RDV 2016, 312, 314; dies erkennend aber nur als Argument für die Zulässigkeit positiver Abweichungen anführend Kort, NZA 2018, 1097, 1102. 271 Klösel/Mahnhold, NZA 2017, 1428, 1430; Taeger/Rose, BB 2016, 819, 821; Traut, RDV 2016, 312, 314.
194
D. Gestaltung des Datenschutzes durch den Betriebsrat
partnern der notwendige Regelungsspielraum eingeräumt werden, um den Bedürfnissen ihres Betriebes tatsächlich gerecht zu werden, ohne zugleich sämtliche Schutzmechanismen der DSGVO zu unterwandern.272 Die Aufrechterhaltung dieses Spielraums sei gerechtfertigt, weil Art. 88 Abs. 1 DSGVO allein den Mitgliedstaaten und – soweit die Mitgliedstaaten dies zulassen – den kollektiven Arbeitnehmervertretungen die Möglichkeit einräumt, abweichende Regelungen zu schaffen, diese Befugnis also nur ausgewählten Akteuren zustehe, von denen erwartet werden könne, dass sie einen sachgerechten Interessenausgleich schaffen und nicht allgemein vom Schutzniveau der DSGVO zuungunsten der Betroffenen abweichen werden.273 Dies gelte in besonderem Maße für Regelungen in Betriebsvereinbarungen, da diese nur aufgrund vorheriger Verhandlungen zwischen Arbeitgeber und Betriebsrat und innerhalb eines fest vorgegebenen Verfahrens geschaffen werden können.274 c) Stellungnahme Zweifellos kann jede der genannten Ansichten Argumente anführen, die ihren Standpunkt untermauern. Wirft man jedoch nicht lediglich einen oberflächlichen Blick auf die diskutierte Problematik, so ergibt sich – in Übereinstimmung mit der letztgenannten Auffassung – dass nur ein differenzierter Ansatz sachgerechte Ergebnisse zutage fördert. Abzulehnen ist daher das von der wohl herrschenden Meinung befürwortete vollständige Verbot jeglicher inhaltlicher Abweichungen von der DSGVO. Bereits das Argument, dass die DSGVO ebenso wie zuvor die RL 95/ 46/EG eine Vollharmonisierung des Beschäftigtendatenschutzes bezwecke,275 kann nicht überzeugen. Denn anders als die RL 95/46/EG enthält die DSGVO zahlreiche Öffnungsklauseln und eröffnet damit selbst die Möglichkeit, von ihren Regelungen abzuweichen.276 Jedenfalls für diejenigen Regelungsbereiche, in denen der Unionsgesetzgeber Öffnungsklauseln vorgesehen hat, besteht mithin von vornherein nur eine abgeschwächte Harmonisierungswirkung.277 Ein Blick auf das Gesetzgebungsverfahren stützt dieses Ergebnis: Während es im Kommissionsentwurf noch hieß, dass „die Mitgliedstaaten […] in den Grenzen dieser Verordnung per Gesetz die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext“278
272
Klösel/Mahnhold, NZA 2017, 1428, 1431; in diese Richtung auch Düwell/Brink, NZA 2016, 665, 666 f. 273 Klösel/Mahnhold, NZA 2017, 1428, 1431. 274 Klösel/Mahnhold, NZA 2017, 1428, 1431. 275 Dzida/Grau, DB 2018, 189, 193. 276 Dies erkennend aber nur zum Anlass für positive Abweichungen nehmend Körner, NZA 2019, 1389; Kort, ZD 2017, 319, 321. 277 Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 3. 278 Vorschlag der Kommission für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau
195
regeln können, wurde diese Passage später durch die aktuelle Formulierung ersetzt. Der EuGH selbst hat in der Vergangenheit im Hinblick auf die Auslegung von Richtlinien anerkannt, dass die fehlende Übernahme von Bestandteilen eines Vorschlags dafür spricht, dass eine Auslegung der Richtlinie, die durch diese Bestandteile gestützt wird, nicht dem Willen des Unionsgesetzgebers entspricht.279 Daher muss in Bezug auf Art. 88 Abs. 1 DSGVO davon ausgegangen werden, dass der Unionsgesetzgeber grundsätzlich auch solche spezifischeren Vorschriften zulassen will, die sich inhaltlich eben nicht „in den Grenzen“ der DSGVO halten.280 Darüber hinaus wäre es widersprüchlich, Betriebsvereinbarungen zwar als eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten zuzulassen, wenn sie doch letztlich keine von der DSGVO abweichenden Regelungen treffen könnten.281 Auch wären die speziellen Regelungsschranken des Art. 88 Abs. 2 DSGVO schlichtweg überflüssig, wenn datenschutzrechtliche Betriebsvereinbarungen ohnehin an sämtliche inhaltliche Vorgaben der DSGVO gebunden wären.282 So fordert Art. 88 Abs. 2 DSGVO, dass datenschutzrechtliche Betriebsvereinbarungen „angemessene und besondere Maßnahmen zur Wahrung […] der berechtigten Interessen und der Grundrechte der betroffenen Person“ enthalten müssen. Wozu aber sollten solche Maßnahmen erforderlich sein, wenn doch ohnehin vollumfänglich das Schutzniveau der DSGVO gelten würde?283 Letztlich sprechen auch rein praktische Erwägungen gegen ein generelles Abweichungsverbot: Fordert man, dass Betriebsvereinbarungen dem allgemeinen gesetzlichen Datenschutzniveau genügen müssen, so muss man auch bestimmen, wie dieses allgemeine Datenschutzniveau überhaupt aussieht. Das wird indes kaum möglich sein.284 Denn zum einen enthält die DSGVO eine Vielzahl von Generalklauseln und unbestimmten Rechtsbegriffen.285 Zum anderen zeigt beispielsweise der Tatbestand des Art. 6 Abs. 1 lit. f DSGVO, der die Rechtmäßigkeit der Verarbeitung personenbezogener Daten an eine Interessenabwägung knüpft, dass auch die freien Datenverkehr (Datenschutz-Grundverordnung) v. 25. 1. 2012, KOM (2012) 11 endg., S. 108, Art. 82 Abs. 1. 279 EuGH, Urt. v. 28. 10. 2010 – C-203/09, NJW-RR 2011, 255, 257 Rn. 40. 280 So auch Klösel/Mahnhold, NZA 2017, 1428, 1430; Taeger/Rose, BB 2016, 819, 821; Traut, RDV 2016, 312, 314; dies erkennend, aber daraus nur die Zulässigkeit von Abweichungen zugunsten der Betroffenen ableitend Körner, NZA 2019, 1389; Wybitul/Sörup/Pötters, ZD 2015, 559, 561. 281 Dies erkennend aber fälschlicherweise nur als Argument für die Zulässigkeit positiver Abweichungen einordnend Kort, NZA 2018, 1097, 1102. 282 Klösel/Mahnhold, NZA 2017, 1428, 1430; Staben, ZfA 2020, 287, 303; Traut, RDV 2016, 312, 314; dies erkennend aber nur als Argument für die Zulässigkeit positiver Abweichungen anführend Körner, NZA 2019, 1389, 1391; Kort, NZA 2018, 1097, 1102. 283 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 49; Staben, ZfA 2020, 287, 303; Traut, RDV 2016, 312, 314. 284 Klocke, ZTR 2018, 116, 121; Klösel/Mahnhold, NZA 2017, 1428, 1430 f.; Körner, NZA 2019, 1389, 1390. 285 Körner, NZA 2019, 1389, 1390.
196
D. Gestaltung des Datenschutzes durch den Betriebsrat
DSGVO selbst keine unumstößlichen Maßstäbe enthält, sondern auch ihr Datenschutzniveau sich stets anhand der Umstände des Einzelfalls neu definiert.286 Angesichts dieser Regelungssystematik erscheint es sachgerecht, auch den Betriebspartnern einen gewissen Einschätzungsspielraum einzuräumen, um das Datenschutzniveau der von ihnen getroffenen Betriebsvereinbarung an den Einzelfall anpassen zu können.287 Trotz alledem sind mit Blick auf Art. 88 Abs. 2 DSGVO selbstverständlich keine völlig beliebigen Regelungen zulässig: Die von Art. 88 Abs. 2 DSGVO festgelegten Mindestgarantien bilden die äußerste Grenze des den Betriebspartnern zukommenden Regelungsspielraums.288 Wann eine Betriebsvereinbarung diese Grenze unterschreitet, kann jedoch wiederum nicht abstrakt festgelegt werden, sondern bestimmt sich ebenfalls anhand einer Interessenabwägung im Einzelfall.289 Die getroffenen Schutzmaßnahmen müssen stets angemessen sein, was nur dann der Fall ist, wenn sie einer Verhältnismäßigkeitsprüfung standhalten.290 Diese muss sich indes ihrerseits inhaltlich an den Wertungen der DSGVO orientieren.291 Erforderlich ist letztlich eine Gesamtbetrachtung der betreffenden Regelungen:292 Bleiben sie in einzelnen Bereichen hinter dem Schutzniveau der DSGVO zurück, überschreiten ihre Vorgaben aber an anderer Stelle, so kann die Regelung insgesamt dennoch zulässig sein.293 Nicht mit Art. 88 Abs. 1 DSGVO vereinbar ist hingegen eine generelle Verschlechterung ohne ausgleichende Mechanismen.294 Mit Blick auf vorstehende Ausführungen können Betriebsvereinbarungen grundsätzlich auch zuungunsten der Arbeitnehmer von den Regelungen der DSGVO abweichen. Inhaltliche Grenze bildet jedoch Art. 88 Abs. 2 DSGVO, der regelmäßig wegen der von ihm geforderten Abwägung der widerstreitenden Interessen von 286 287
666 f. 288
Klösel/Mahnhold, NZA 2017, 1428, 1430 f. Klösel/Mahnhold, NZA 2017, 1428, 1431; i. E. auch Düwell/Brink, NZA 2016, 665,
Klösel/Mahnhold, NZA 2017, 1428, 1431; Taeger/Rose, BB 2016, 819, 821; Traut, RDV 2016, 312, 314; i. E. wohl auch Jerchel/Schubert, DuD 2016, 782, 783; strenger noch Düwell/ Brink, NZA 2016, 665, 666 f. 289 Klösel/Mahnhold, NZA 2017, 1428, 1431; i. E. ebenso Düwell/Brink, NZA 2016, 665, 666 f. 290 Düwell/Brink, NZA 2017, 1081, 1082 f.; Klocke, ZTR 2018, 116, 119; Kühling/ Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 43; Maschmann, DB 2016, 2480, 2484; Schrey/Kielkowski, BB 2018, 629, 632; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19; Wybitul, NZA 2017, 413, 414; s. ausführlich Gliederungspunkt D. II. 1. b) aa). 291 In diese Richtung auch Wünschelbaum, BB 2019, 2102, 2105 f. 292 Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1967; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 50; Klocke, ZTR 2018, 116, 121. 293 Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1967; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 49. 294 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 49; Staben, ZfA 2020, 287, 303.
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau
197
Arbeitgeber und Arbeitnehmern ein erhebliches Zurückbleiben hinter den Standards der DSGVO unmöglich machen wird.295 Allerdings lässt er den Betriebspartnern zugleich einen gewissen Spielraum, indem er Abweichungen zuungunsten der Arbeitnehmer jedenfalls dann ermöglicht, wenn sie nur geringfügig sind und den Betroffenen zugleich an anderer Stelle Vorteile gewährt werden, die ihnen auf Grundlage der DSGVO nicht zukommen würden. Nach hier vertretener Auffassung ist es den Betriebspartnern daher grundsätzlich auch möglich, von den Vorgaben des Art. 5 Abs. 1 DSGVO abzuweichen.296 Allerdings lediglich in engen Grenzen: Nur, wenn sich eine Abweichung nicht als unverhältnismäßige Beeinträchtigung der Interessen der Arbeitnehmer darstellt, kommt sie überhaupt in Betracht. Dies ist indes allenfalls bei geringfügigen Abweichungen denkbar, wenn an anderer Stelle Datenschutzbestimmungen zugunsten der Arbeitnehmer über das von der DSGVO vorgegebene Maß hinaus erweitert werden. Steht eine Betriebsvereinbarung hingegen in erheblichem Widerspruch zu den Grundsätzen des Art. 5 Abs. 1 DSGVO, so wird sie unverhältnismäßig i. S. v. Art. 88 Abs. 2 DSGVO und damit unzulässig sein.
2. Zugunsten des Arbeitnehmers Kontrovers diskutiert wird zugleich die Frage, ob Betriebsvereinbarungen das gesetzliche Datenschutzniveau der DSGVO zugunsten der Beschäftigten verbessern können. Auch in diesem Zusammenhang sprechen sich einige Stimmen allgemein gegen Abweichungen aus,297 wobei sich letztlich als zentrales Argument ebenfalls darauf berufen wird, dass die DSGVO – genau wie schon die RL 95/46/EG – auf eine Vollharmonisierung des Datenschutzrechts abziele.298 Wie aufgezeigt kann dieses Argument indes aufgrund der in der DSGVO zahlreich enthaltenen Öffnungsklauseln nicht überzeugen.299 Wer demgegenüber die grundsätzliche Möglichkeit der Unterschreitung des gesetzlichen Datenschutzniveaus anerkennt, der hält konsequent auch Überschreitungen für zulässig.300 Verwunderlich ist allerdings, dass einige Literaten eine Unterschreitung des gesetzlichen Datenschutzniveaus verbieten, zugleich aber eine Überschreitung zulassen möchten.301 Sie stützen sich darauf, dass 295
Jerchel/Schubert, DuD 2016, 782, 783. Strenger hingegen Düwell/Brink, NZA 2016, 665, 667. 297 Dzida/Grau, DB 2018, 189, 193; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 93; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 32 ff.; Maschmann, NZA-Beil. 2018, 115, 117; Maschmann, DB 2016, 2480, 2482 f.; Wybitul, NZA 2017, 413. 298 Dzida/Grau, DB 2018, 189, 193; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 36 f.; Maschmann, NZA-Beil. 2018, 115, 117; Maschmann, DB 2016, 2480, 2482 f. 299 Körner, NZA 2019, 1389; Kort, ZD 2017, 319, 321. 300 So Jerchel/Schubert, DuD 2016, 782, 783; Taeger/Rose, BB 2016, 819, 830; Traut, RDV 2016, 312, 314. 301 Gola/Pötters/Thüsing, RDV 2016, 57, 59 f.; Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, S. 26; Körner, NZA 2019, 296
198
D. Gestaltung des Datenschutzes durch den Betriebsrat
die DSGVO zwar nicht auf eine Vollharmonisierung, aber doch auf eine Mindestharmonisierung abziele, sodass ihre Vorschriften als Mindestvorgabe zu begreifen seien.302 Nur durch ein solches Verständnis könne einerseits ein ausreichendes Datenschutzniveau erreicht werden, ohne andererseits den freien Warenverkehr zu stark zu beschränken.303 Auch wird sich darauf berufen, dass die Bedeutung von Betriebsvereinbarungen als eigenständiger Erlaubnistatbestand erhalten bleibe, wenn diese jedenfalls das Datenschutzniveau zugunsten der Betroffenen erhöhen, also Datenverarbeitungsvorgänge verbieten können, die auf gesetzlicher Grundlage erlaubt wären.304 Letztlich wird auch die Streichung der noch im Kommissionsentwurf enthaltenen Formulierung, bereichsspezifische Vorschriften seien nur „in den Grenzen“ der DSGVO möglich,305 als Hinweis auf die Zulässigkeit der Anhebung des Datenschutzniveaus verstanden.306 Verfangen kann indes keines der vorgetragenen Argumente: Zunächst liegt der genannten Ansicht die Fehlvorstellung zugrunde, dass eine Mindestharmonisierung des Datenschutzrechts nur dann erreicht werden könne, wenn sämtliche Vorgaben der DSGVO als nicht zu unterschreitender Mindeststandard anerkannt werden. Aber wozu sollte Art. 88 Abs. 2 DSGVO fordern, dass bereichsspezifische Regelungen besondere Schutzmaßnahmen zugunsten des Betroffen enthaltenen müssen, wenn diese Vorschriften ohnehin nur Verbesserungen des Datenschutzniveaus vorsehen dürften? Wird das Schutzniveau im Vergleich zur DSGVO ohnehin erhöht, so bedarf es sicherlich nicht noch zusätzlicher Schutzmaßnahmen zugunsten des Betroffenen. Dies deutet darauf hin, dass eine Mindestharmonisierung durch den Unionsgesetzgeber zwar zweifellos gewollt ist – aber eben nur in den Grenzen von Art. 88 Abs. 2 DSGVO. Darüber hinaus käme Betriebsvereinbarungen der Charakter als eigenständiger Erlaubnistatbestand auch dann abhanden, wenn sie darauf beschränkt wären, Datenverarbeitungsvorgänge zu verbieten, die auf gesetzlicher Grundlage erlaubt sind. Denn ein Erlaubnistatbestand erlaubt etwas – und erschöpft sich gerade nicht darin, etwas grundsätzlich Erlaubtes zu verbieten. Zuletzt kann auch der Umstand, dass der im Kommissionsentwurf enthaltene Zusatz, bereichsspezifische Vorschriften könnten nur „in den Grenzen“ der DSGVO geschaffen werden, nicht als Argument für die Zulässigkeit allein von positiven Abweichungen herangezogen werden. Die Formulierung ist nämlich vollständig gestrichen worden, sodass sich 1389; Kort, NZA 2018, 1097, 1102; Kort, ZD 2017, 319, 321; Kort, DB 2016, 711, 714 f.; Kort, DB 2015, 711, 714; Schrey/Kielkowski, BB 2018, 629, 633; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 9; wohl auch Wybitul/Sörup/Pötters, ZD 2015, 559, 561. 302 Wybitul/Sörup/Pötters, ZD 2015, 559, 561; i. E. auch Schrey/Kielkowski, BB 2018, 629, 633. 303 Wybitul/Sörup/Pötters, ZD 2015, 559, 561; i. E. ebenso Kort, DB 2016, 711, 714 f. 304 Körner, NZA 2019, 1389; Kort, NZA 2018, 1097, 1102. 305 Vorschlag der Kommission für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) v. 25. 1. 2012, KOM (2012) 11 endg., S. 108, Art. 82 Abs. 1. 306 Körner, NZA 2019, 1389; Wybitul/Sörup/Pötters, ZD 2015, 559, 561.
III. Zulässigkeit der Abweichung vom gesetzlichen Datenschutzniveau
199
nach der Rechtsprechung des EuGH eine Auslegung, die sich auf diesen – eben nicht mehr vorhandenen – Zusatz stützt, verbietet.307 Möchte man daher zwar „nach oben“ Veränderungen ermöglichen, nicht aber „nach unten“, dann würde man letztlich jedenfalls in eine Richtung Abweichungen eben nur „in den Grenzen” der Verordnung zulassen – was offenkundig nicht mit dem durch die Streichung zum Ausdruck kommenden Willen des Unionsgesetzgebers vereinbar wäre. Soweit einzelne Stimmen daher Abweichungen lediglich zugunsten, nicht aber zuungunsten der Arbeitnehmer zulassen wollen, kann dem nicht gefolgt werden. Vielmehr müssen Verschlechterungen wie Verbesserungen des gesetzlichen Datenschutzniveaus der DSGVO im Rahmen von Betriebsvereinbarungen gleichermaßen möglich sein. Insofern ist im Hinblick auf die Erhöhung des Datenschutzniveaus keine andere Beurteilung gerechtfertigt. Die Argumente, die für die Zulässigkeit einer Absenkung des Datenschutzniveaus sprechen, gelten unverändert.
3. Überblick über die Abweichungsmöglichkeiten datenschutzrechtlicher Betriebsvereinbarungen vom Schutzniveau der DSGVO Soweit Art. 88 Abs. 1 DSGVO im Rahmen von Betriebsvereinbarungen nur „spezifischere Vorschriften“ zulässt, bedeutet dies allein, dass die jeweiligen Regelungen im Vergleich zu den abstrakten Normen der DSGVO speziell auf einzelne Regelungsbereiche zugeschnitten sein müssen. Hingegen folgt aus der Formulierung nicht, dass die getroffenen Regelungen inhaltlich vollständig der DSGVO entsprechen müssen, sondern sie eröffnet Raum für Verbesserungen, aber auch Verschlechterungen gegenüber dem gesetzlichen Schutzniveau. Dies ist möglich, da die DSGVO angesichts ihrer zahlreichen Öffnungsklauseln nur eine eingeschränkte Harmonisierungswirkung für sich beanspruchen kann. Darüber hinaus wäre es widersprüchlich, Betriebsvereinbarungen zwar als eigenständige Erlaubnistatbestände anzuerkennen, ihnen jedoch zu untersagen, Datenverarbeitungsvorgänge zuzulassen, die nicht ohnehin schon auf gesetzlicher Grundlage erlaubt sind. Auch wären bei einem solchen Verständnis die von Art. 88 Abs. 2 DSGVO speziell normierten Regelungsschranken überflüssig. Und rein praktisch gedacht: Möchte man ein Abweichen vom allgemeinen Datenschutzniveau verbieten, so muss man auch klären, wie dieses allgemeine Datenschutzniveau aussieht. Das ist indes insbesondere deshalb schwierig, weil sich auch im Anwendungsbereich der DSGVO das konkret zu beachtende Datenschutzniveau häufig erst auf Grundlage einer im Einzelfall vorzunehmenden Interessenabwägung (so z. B. im Rahmen von Art. 6 Abs. 1 lit. f DSGVO) definiert. Letztlich sind daher Abweichungen von der DSGVO im Rahmen von Betriebsvereinbarungen sowohl zugunsten als auch zuungunsten der Betroffenen möglich. Einen inhaltlichen Mindeststandard legt jedoch Art. 88 Abs. 2 DSGVO fest, der den Betriebspartnern den notwendigen Regelungsspielraum ver307
EuGH, Urt. v. 28. 10. 2010 – C-203/09, NJW-RR 2011, 255, 257 Rn. 40.
200
D. Gestaltung des Datenschutzes durch den Betriebsrat
schafft, um den Bedürfnissen des Arbeitsrechts und ihres jeweiligen Betriebes tatsächlich gerecht zu werden, jedoch zugleich verhindert, dass die vom Unionsgesetzgeber als wesentlich eingestuften Schutzmechanismen unterwandert werden. Wann die Grenze des Art. 88 Abs. 2 DSGVO überschritten ist, kann allerdings aufgrund des Erfordernisses, „angemessene“ Regelungen zu schaffen, nicht abstrakt festgelegt werden, sondern bestimmt sich aufgrund einer Interessenabwägung im Einzelfall. Diese erfordert eine Gesamtschau der getroffenen Regelungen, sodass auch eine Vorschrift zulässig sein kann, die in einzelnen Bereichen schwächere, in anderen Bereichen aber schärfere Schutzmechanismen als die DSGVO vorsieht. Da sämtliche von den Betriebspartnern getroffenen Regelungen angemessen und damit verhältnismäßig sein müssen, wird auch auf Grundlage von Art. 88 Abs. 2 DSGVO ein wesentliches Zurückbleiben hinter den Datenschutzstandards der DSGVO im Ergebnis nicht möglich sein. Deutlich wird angesichts vorstehender Erwägungen indes zugleich, dass abstrakte, einzelfallunabhängige Vorgaben, die eine rechtssichere Gestaltung datenschutzrechtlicher Betriebsvereinbarungen ermöglichen, kaum ausgemacht werden können.
4. Zulässigkeit der Abweichungen vom gesetzlichen Datenschutzniveau des BDSG Lässt man innerhalb der Grenzen des Art. 88 Abs. 2 DSGVO Abweichungen vom Schutzniveau der DSGVO zu, so müssen infolge dessen zugleich Abweichungen vom BDSG möglich sein.308 Zum einen dient das BDSG der Umsetzung der in der DSGVO enthaltenen Vorgaben,309 sodass bereits kritisch zu hinterfragen ist, inwiefern das BDSG überhaupt ein eigenständiges, von der DSGVO abgrenzbares Datenschutzniveau enthält. Zum anderen steht die DSGVO als Verordnung i. S. d. Art. 288 Abs. 2 AEUV in der Normenhierarchie oberhalb des BDSG.310 Kann schon von den Vorschriften der DSGVO abgewichen werden, so muss dies erst recht für das BDSG gelten. Außerdem normiert § 1 Abs. 2 S. 1 BDSG ausdrücklich, dass jedenfalls bereichsspezifische Vorschriften des Bundes über den Datenschutz dem BDSG vorgehen – und zwar unabhängig davon, ob diese vergleichsweise stärkere oder schwächere Regelungen enthalten.311 Zwar gilt diese Klarstellung lediglich für gesetzliche Regelungen. Würde man daraus im Umkehrschluss jedoch ableiten, dass Betriebsvereinbarungen nicht vom gesetzlichen Datenschutzniveau des BDSG ab-
308
A. A., dies aber aus der Ablehnung auch von Abweichungen von der DSGVO folgernd, Stück, ZD 2019, 256, 257; nur für Abweichungen „nach oben“ Kort, NZA 2018, 1097, 1101; Schrey/Kielkwoski, BB 2018, 629, 631. 309 Ausdrücklich BT-Drs. 18/11325, S. 130. 310 Pötters/Gola, RDV 2017, 279, 283. 311 BT-Drs. 18/11325, S. 79; Gola/Heckmann/Gola/Reif, 13. Aufl. 2019, § 1 BDSG Rn. 11.
IV. Die praktische Relevanz datenschutzrechtlicher Betriebsvereinbarungen
201
weichen dürfen, würde der Betriebsvereinbarungen zukommende Normcharakter312 vollständig außer Acht gelassen. Vielmehr ist die in § 1 Abs. 2 S. 1 BDSG enthaltene Klarstellung vor dem Hintergrund, dass Abweichungen von der DSGVO sowohl durch Gesetz als auch durch Kollektivvereinbarungen möglich sind, als allgemeine gesetzgeberische Wertentscheidung zu verstehen, dass zwar nicht beliebig, beispielsweise durch individualvertragliche Vereinbarung, wohl aber auf Grundlage gesetzlicher Regelungen – und solcher, denen eine vergleichbare Wirkung zukommt – vom Datenschutzniveau des BDSG abgewichen werden kann.
IV. Ein kritischer Blick auf die praktische Relevanz datenschutzrechtlicher Betriebsvereinbarungen Kritisch zu hinterfragen ist aufgrund vorstehender Ausführungen indes, inwieweit die in der Literatur häufig pauschal getroffene Aussage, Betriebsvereinbarungen komme eine erhebliche praktische Relevanz für den Beschäftigtendatenschutz zu,313 Bestand haben kann. Denn rechtssichere Vorgaben, welchen inhaltlichen Mindeststandard datenschutzrechtliche Betriebsvereinbarungen erfüllen müssen, können kaum gemacht werden. Dies ist maßgeblich auf § 75 Abs. 2 S. 1 BetrVG und Art. 88 Abs. 2 DSGVO zurückzuführen, die beide die Zulässigkeit datenschutzrechtlicher Regelungen an eine am Einzelfall orientierte Abwägung der widerstreitenden Interessen knüpfen. Allgemeingültige Vorgaben gibt es damit kaum, ebenso wenig wie eine „Checkliste“314, aus der sich entnehmen lässt, welche Regelungen Betriebsvereinbarungen zwingend enthalten müssen, um den gesetzlichen Anforderungen in inhaltlicher Hinsicht zu genügen. Da die Zulässigkeit datenschutzrechtlicher Betriebsvereinbarungen sich anhand einer im Einzelfall vorzunehmenden Interessenabwägung bemisst, werden zudem allzu pauschale Regelungen – wie beispielsweise die allgemeine Anerkennung der Zulässigkeit von Taschenkontrollen im Betrieb – nicht möglich sein. Konkretere Regelungen werden indes meist ebenfalls ausscheiden müssen, weil sie inhaltlich derart ausdifferenziert und komplex ausfallen müssten, dass sie einerseits wenig praktikabel wären und andererseits die Gefahr bergen, gerade wegen ihrer besonderen Detailtiefe zahlreiche regelungsbedürftige Fälle nicht zu erfassen. Außerdem wird die Gefahr, dass eine Betriebsvereinbarung jedenfalls in einzelnen Teilbereichen nicht den gesetzlichen Vorgaben genügt, umso größer sein, je umfassender sie ausfällt.315 Um sowohl die Praktikabilität als auch die rechtliche Zulässigkeit datenschutzrechtlicher 312 ErfK/Kania, 20. Aufl. 2020, § 77 BetrVG Rn. 5; Fitting, BetrVG, 30. Aufl. 2020, § 77 Rn. 125; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 77 BetrVG Rn. 148. 313 Althoff, ArbRAktuell 2018, 414, 417; Klocke, ZTR 2018, 116; Klösel/Mahnhold, NZA 2017, 1428, 1433; Wybitul, NZA 2017, 413, 419. 314 So aber Wybitul, NZA 2017, 1488, 1493 f.; ähnlich Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, S. 38 ff. 315 Traut, RDV 2016, 312, 319.
202
D. Gestaltung des Datenschutzes durch den Betriebsrat
Betriebsvereinbarungen sicherzustellen, wäre es daher sinnvoll, ihre Regelungen unter den Vorbehalt der Erforderlichkeit im Einzelfall zu stellen, also z. B. Taschenkontrollen im Betrieb grundsätzlich als zulässig einzustufen, zugleich jedoch eine Ausnahme für den Fall vorzusehen, dass die Kontrolle im Einzelfall nicht erforderlich ist. Aber wo würde sich dann die Betriebsvereinbarung überhaupt noch von § 26 Abs. 1 S. 1 BDSG unterscheiden, der ebenfalls Datenverarbeitungsvorgänge erlaubt, soweit sie erforderlich sind? Betriebsvereinbarungen könnten daher allenfalls dort praktische Relevanz erlangen, wo sie eine Datenverarbeitung legitimieren, die § 26 Abs. 1 S. 1 BDSG nicht ermöglicht. Dies betrifft entweder Verarbeitungsvorgänge, die nicht dem Anwendungsbereich des § 26 Abs. 1 S. 1 BDSG unterfallen und daher dem allgemeinen Verarbeitungsverbot der Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 DSGVO unterliegen oder eben Fälle, in denen die Betriebsvereinbarung Datenverarbeitungen großzügiger zulässt, als das Gesetz. Ein allzu großzügig ausgestalteter Erlaubnistatbestand birgt indes wiederum die Gefahr, den Anforderungen des Art. 88 Abs. 2 DSGVO nicht mehr zu genügen. Jedenfalls soweit Betriebsvereinbarungen als Erlaubnistatbestand für die Verarbeitung personenbezogener Beschäftigtendaten fungieren sollen, wird ihre praktische Bedeutung wegen der insofern bestehenden Rechtsunsicherheiten wohl begrenzt sein. Relevanz werden sie vielmehr dort erlangen können, wo sie lediglich gesetzliche Vorgaben, wie beispielsweise Löschfristen und Auskunftsverfahren, näher konkretisieren.316
V. Ein drittes Zwischenergebnis Betriebsvereinbarungen, die inhaltlich materiell datenschutzrechtliche Fragestellungen regeln, ermöglichen dem Betriebsrat eine aktive Mitwirkung an der Gestaltung des betrieblichen Datenschutzes. Die den Betriebspartnern auf Grundlage von Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG zukommende Regelungsbefugnis reicht dabei ebenso weit, wie diejenige der Mitgliedstaaten: Sie können eigenständige Erlaubnistatbestände schaffen sowie sämtliche mit der Verarbeitung von Beschäftigtendaten in Zusammenhang stehenden Fragen im Hinblick auf die betrieblichen Bedürfnisse ausgestalten. Indes ist die Regelungsbefugnis der Betriebspartner ihrerseits beschränkt. So erstreckt sich ihre betriebsverfassungsrechtliche Zuständigkeit nur auf „Arbeitnehmer“ i. S. v. § 5 Abs. 1 BetrVG. Dieser Begriff ist enger zu verstehen als die Beschäftigtenbegriffe des Art. 88 Abs. 1 DSGVO und § 26 Abs. 4, Abs. 8 BDSG, sodass in personeller Hinsicht das BetrVG die Grenze der Regelungskompetenz vorgibt. In sachlicher Hinsicht sind Regelungen möglich für Datenverarbeitungen „im Beschäftigungskontext“ (Art. 88 Abs. 1 DSGVO). Zulässig sind damit Vorschriften für sämtliche Datenverarbeitungsvorgänge, die in 316 So wohl auch Wybitul, ZD 2016, 203, 207; i. E. ähnlich Götz, Big Data im Personalmanagement, 2020, S. 62 f.; Schrey/Kielkowski, BB 2018, 629, 630.
V. Ein drittes Zwischenergebnis
203
einem irgendwie gearteten Zusammenhang mit dem Beschäftigungsverhältnis stehen. Ausgenommen sind nur Verarbeitungsvorgänge, die keinen Bezug zum Arbeitsverhältnis aufweisen, sodass der Arbeitnehmer seinem Arbeitgeber wie ein beliebiger Dritter gegenübersteht. Keine Beschränkung dieser weiten sachlichen Regelungskompetenz ergibt sich – trotz der insofern missverständlichen Formulierung der Norm – aus § 26 Abs. 4 BDSG. Innerhalb dieses Rahmens kommt den Betriebspartnern grundsätzlich die Kompetenz zu, datenschutzrechtliche Regelungen in Betriebsvereinbarungen zu schaffen. Jedoch unterliegen sie dabei in inhaltlicher Hinsicht weiteren Grenzen. So bilden auf Grundlage von § 75 Abs. 2 S. 1 BetrVG das allgemeine Persönlichkeitsrecht und – soweit dieses eingeschränkt wird – der Grundsatz der Verhältnismäßigkeit inhaltliche Leitplanken für datenschutzrechtliche Betriebsvereinbarungen. Hinzu kommen insbesondere die Vorgaben des Art. 88 Abs. 2 DSGVO, der fordert, dass die Betriebspartner „angemessene“ Schutzmaßnahmen für die Persönlichkeitsrechte der Arbeitnehmer vorsehen müssen, womit die Norm – ebenso wie § 75 Abs. 2 S. 1 BetrVG – Raum für eine an den im Einzelfall widerstreitenden Interessen orientierte Verhältnismäßigkeitsprüfung eröffnet. Darüber hinaus benennt Art. 88 Abs. 2 DSGVO einzelne Aspekte ausdrücklich als regelungsbedürftig. Dies bedeutet indes nicht, dass jede Betriebsvereinbarung sämtliche der aufgezählten Bereiche tatsächlich regeln muss, sondern macht eine Regelung nur notwendig, soweit der jeweilige Gegenstand im Betrieb und für die jeweilige Vereinbarung auch tatsächliche Relevanz hat. Indem Art. 88 Abs. 2 DSGVO die Transparenz der Verarbeitung als regelungsbedürftig hervorhebt, bezweckt die Vorschrift zudem keine inhaltsgleiche Wiederholung der Art. 12 ff. DSGVO. Vielmehr muss die jeweilige Betriebsvereinbarung die gesetzlichen Transparenzvorgaben in Bezug auf die betrieblichen Bedürfnisse konkretisieren und umsetzen. Inhaltliche Grenzen ergeben sich darüber hinaus insbesondere aus Art. 5 Abs. 1 DSGVO sowie aus Art. 9 DSGVO. Denn Betriebsvereinbarungen dürfen keinesfalls gegen diese Normen verstoßen, müssen aber grundsätzlich auch keine ausdrückliche Regelung im Hinblick auf die genannten gesetzlichen Regelungen enthalten. Etwas anderes kann nur im Ausnahmefall gelten, wenn ein Verzicht auf eine entsprechende Regelung zugleich einen Verstoß gegen die gesetzlichen Vorgaben bedeuten würde. Keine inhaltliche Beschränkung besteht indes dahingehend, dass nur solche Vorschriften in Betriebsvereinbarungen zulässig sind, die das allgemeine Datenschutzniveau der DSGVO wahren. Soweit Art. 88 Abs. 1 DSGVO „spezifischere Vorschriften“ fordert, ergibt sich daraus allein, dass die betreffenden Regelungen speziell auf die betrieblichen Bedürfnisse zugeschnitten sein müssen. Dabei verbleibt Raum für Verbesserungen, aber grundsätzlich auch für Verschlechterungen des gesetzlichen Datenschutzniveaus. Eine Grenze bildet insofern allerdings erneut Art. 88 Abs. 2 DSGVO, der nur „angemessene“ Regelungen zulässt, also eine am Einzelfall orientierte Interessenabwägung erfordert: Ergibt eine Gesamtschau der von den Betriebspartnern getroffenen Regelungen, dass diese insgesamt verhält-
204
D. Gestaltung des Datenschutzes durch den Betriebsrat
nismäßig sind, so können auch vereinzelte Unterschreitungen des gesetzlichen Datenschutzniveaus möglich sein – ein erhebliches Zurückbleiben hinter den gesetzlichen Vorgaben scheidet damit allerdings von vornherein aus.
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts Legt man die bisherigen Ausführungen zugrunde, so zeichnet sich ein positives Bild hinsichtlich der dem Betriebsrat im Rahmen des Beschäftigtendatenschutzes zukommenden Rolle: Er kann in Ausübung der ihm durch das BetrVG eingeräumten Kompetenzen sowohl aktiv zum Schutz der Persönlichkeitsrechte der Arbeitnehmer tätig werden, als auch selbst an der Gestaltung des betrieblichen Datenschutzes mitwirken. Allerdings darf nicht verkannt werden, dass auch der Betriebsrat in großem Umfang mit personenbezogenen Daten der Beschäftigten in Kontakt kommt und dadurch selbst zur Gefahr für die Persönlichkeitsrechte der Arbeitnehmer werden kann.1 Dies wirft zunächst die Frage auf, welche Verantwortung dem Betriebsrat für den Beschäftigtendatenschutz zukommt, wer für etwaige Datenschutzverstöße des Betriebsrats haftet und welchen rechtlichen Grenzen er bei seiner Tätigkeit konkret unterliegt. Schließlich muss auch beleuchtet werden, wie das Verhältnis des Betriebsrats zu einem weiteren Akteur des Beschäftigtendatenschutzes – nämlich dem betrieblichen Datenschutzbeauftragten – ausgestaltet ist, um das Bild der ihn konkret treffenden datenschutzrechtlichen Verantwortung zu vervollständigen.
I. Der Betriebsrat als Verantwortlicher Um die aufgezeigten Probleme einer Lösung zuzuführen, muss zunächst untersucht werden, welche Verantwortung der Betriebsrat im Rahmen des Beschäftigtendatenschutzes trägt. Ausgangspunkt muss dabei sein, dass jeder Datenverarbeitungsvorgang einer verantwortlichen Rechtsperson zugeordnet werden muss, um der Entstehung von rechtsfreien Räumen entgegenzuwirken.2 Denn die DSGVO macht den für die Datenverarbeitung Verantwortlichen zum Adressaten der von ihr normierten Rechte und Pflichten.3 Entscheidend ist daher, ob der Betriebsrat seinerseits datenschutzrechtlich Verantwortlicher ist. 1 Althoff, ArbRAktuell 2018, 414, 416; Aßmus, ZD 2011, 27; Fitting, BetrVG, 30. Aufl. 2020, § 75 Rn. 156b; Lücke, NZA 2019, 658. 2 Lücke, NZA 2019, 658, 659; Staben, ZfA 2020, 287, 296. 3 BeckOK DatenschutzR/Schild, 32. Ed. (Stand 1. 5. 2020), Art. 4 DSGVO Rn. 88; Conrad, DuD 2019, 563; Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DSGVO Rn. 129; Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 4 Nr. 7 DSGVO Rn. 1; Staben, ZfA 2020, 287, 289.
206
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
1. Die Rechtslage nach § 3 Abs. 7 BDSG a. F. als Ausgangspunkt der Überlegungen Vor Inkrafttreten der DSGVO beurteilte sich die datenschutzrechtliche Verantwortlichkeit anhand von § 3 Abs. 7 BDSG a. F., der konstatierte: „Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Auf dieser Grundlage ordnete die Rechtsprechung den Betriebsrat als Teil des Arbeitgebers als seinerseits verantwortliche Stelle ein und lehnte eine eigenständige Verantwortlichkeit des Betriebsrats ab.4 Diese Auffassung gründete sich im Wesentlichen darauf, dass der Begriff der „Stelle“ i. S. v. § 3 Abs. 7 BDSG a. F. – wie § 2 Abs. 4 BDSG a. F. ausdrücklich klarstellte – nur natürliche oder juristische Personen, sowie Gesellschaften und andere privatrechtliche Personenvereinigungen umfasste, der Betriebsrat mangels Rechtsfähigkeit jedoch keiner dieser Kategorien zugeordnet werden konnte.5 Weitergehend wurde angeführt, dass die Einordnung des Betriebsrats als eigenständige verantwortliche Stelle dazu führen würde, dass er zugleich als „Dritter“ i. S. v. § 3 Abs. 4 Nr. 3 BDSG qualifiziert werden müsste, sodass die Datenübermittlung zwischen Arbeitgeber und Betriebsrat strengeren Anforderungen unterliegen und damit die betriebsverfassungsrechtliche Tätigkeit des Betriebsrats ungerechtfertigt erschwert würde.6 Kritische Stimmen hielten dem entgegen, dass eine solche Einordnung zur Konsequenz hätte, dass jedwede Datenverarbeitung durch den Betriebsrat dem Arbeitgeber zugerechnet würde, obwohl dieser auf die Tätigkeit des Betriebsrats wegen der diesem betriebsverfassungsrechtlich garantierten Unabhängigkeit keinen Einfluss nehmen könne, er andererseits im Außenverhältnis zum Arbeitnehmer aber als verantwortliche – und damit unter Umständen auch haftende – Stelle anzusehen wäre.7 Trotz dieser vereinzelt geäußerten Bedenken folgte der überwiegende Teil der datenschutzrechtlichen Literatur in der Vergangenheit der von der Rechtsprechung vorgegebenen Linie und betrachtete den Betriebsrat nur als Teil des Arbeitgebers, nicht jedoch als eigenständig verantwortliche Stelle.8 4
St. Rspr. s. BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/12, NZA 2014, 738, 739 Rn. 28; BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 43; BAG, Beschl. v. 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218, 1221; BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 386. 5 BAG, Beschl. v. 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218, 1221; BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 386. 6 So anklingend bei BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 43; Gola/Schomerus/Gola/Klug/Körffer, 12. Aufl. 2015, § 3 BDSG Rn. 49. 7 Kort, NZA 2015, 1345, 1347. 8 Aßmus, ZD 2011, 27 f.; Gola/Schomerus/Gola/Klug/Körffer, 12. Aufl. 2015, § 3 BDSG Rn. 49; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 82 f.; Taeger/Rose, BB 2016, 819, 829; Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 82; kritisch Kort, NZA 2015, 1345; Kort, ZD 2015, 3, 5, der zwischen „eigener“ und vom Arbeitgeber abhängiger Datenverarbeitung unterscheidet.
I. Der Betriebsrat als Verantwortlicher
207
2. Veränderung der bisherigen Beurteilung auf Grundlage von Art. 4 Nr. 7 DSGVO? Nunmehr bemisst sich die datenschutzrechtliche Verantwortlichkeit anhand von Art. 4 Nr. 7 DSGVO, der als Verantwortlichen „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, einordnet. Eine ausdrückliche Aussage hinsichtlich der Verantwortlichkeit des Betriebsrats trifft die Norm indes nicht. Dennoch erscheint sie schon auf den ersten Blick geeignet, die bisher vorherrschende Ansicht, den Betriebsrat nicht als eigenständigen Verantwortlichen einzuordnen, in Frage zu stellen.9 So bejaht beispielsweise der LfDI Baden-Württemberg nunmehr eine eigenständige Verantwortlichkeit des Betriebsrats.10 Demgegenüber wollen sich sowohl der LfDI Thüringen11 als auch der BayLDA12 nicht eindeutig festlegen. Eine einheitliche Positionierung der Datenschutzkonferenz des Bundes und der Länder ist bislang ebenfalls nicht erfolgt.13 Daher herrscht auch in der arbeitsgerichtlichen Rechtsprechung bisweilen Uneinigkeit, inwiefern die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats neu zu bewerten ist. Während das BAG die Frage ausdrücklich offen gelassen hat,14 positionieren sich die Instanzgerichte unterschiedlich: So sehen des LAG Mecklenburg-Vorpommern15 und das LAG SachsenAnhalt16 den Betriebsrat als Verantwortlichen, wohingegen das LAG Hessen17 und das LAG Niedersachsen18 ihn als Teil des Arbeitgebers einordnen. Auch in der Literatur sind starke Tendenzen zu erkennen, an der bisherigen Einordnung des Betriebsrats als Teil des Arbeitgebers als verantwortliche Stelle festzuhalten und den Betriebsrat nicht als eigenständigen Verantwortlichen zu betrachten.19 Jedoch sind 9 In diese Richtung auch Gola/Gola, 2. Aufl. 2018, Art. 4 DSGVO Rn. 56, der festhält, dass die neue Definition „Anlass [gibt] die bisherige Einordnung des Betriebsrates zu überdenken“. 10 LfDI Baden-Württemberg, 34. Tätigkeitsbericht 2018, S. 37 f. 11 LfDI Thüringen, 1. Tätigkeitsbericht 2018, S. 65 f. 12 Interview mit dem BayLDA v. 25. 6. 2018, abrufbar unter https://www.rdv-online.com/ blog/detail/sCategory/120/blogArticle/2004 (letzter Abruf v. 25. 6. 2020). 13 Stand 25. 6. 2020. 14 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 45; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 47. 15 LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – 3 TaBV 10/18, ZD 2019, 573, 574 Rn. 17. 16 LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 37. 17 LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 32. 18 LAG Niedersachsen, Beschl. v. 22. 10. 2018 – 12 TaBV 23/18, NZA-RR 2019, 92, 93 Rn. 27. 19 Dzida, BB 2019, 3060, 3061; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 192; Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, S. 57 f.; Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 4 Nr. 7 DSGVO Rn. 11; Pötters/Gola, RDV 2017, 279; Walker, FS Moll, S. 697, 703; in diese Richtung wohl
208
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
auch anderslautende Stimmen vorhanden.20 Die Lösung ist daher keineswegs einfach und bedarf eingehender Betrachtung. Ausgehend von der Definition des Art. 4 Nr. 7 DSGVO setzt die datenschutzrechtliche Verantwortlichkeit zweierlei voraus: Einerseits die Eigenschaft, tauglicher Adressat der Vorschriften der DSGVO zu sein, andererseits die Befugnis, allein oder mit anderen über die Zwecke und Mittel der Datenverarbeitung zu entscheiden.21 a) Der Begriff des tauglichen Adressaten In einem ersten Schritt ist daher zu klären, ob der Betriebsrat als tauglicher Adressat der Vorschriften des Datenschutzrechts in Betracht kommt. Verantwortlicher kann ausweislich Art. 4 Nr. 7 DSGVO eine „natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle“ sein. Der Begriff des Verantwortlichen i. S. v. Art. 4 Nr. 7 DSGVO ist damit weiter gefasst als noch derjenige des § 3 Abs. 7 BDSG a. F., der nur eine „Person oder Stelle“ als möglichen Verantwortlichen benannte. Es erscheint daher zunächst möglich, aus der Erweiterung der Formulierung auch ein weiteres Verständnis des Begriffs des Verantwortlichen zu folgern.22 Eindeutig ist jedoch auch der Wortlaut des nunmehr maßgeblichen Art. 4 Nr. 7 DSGVO nur dahingehend, dass jedenfalls juristische Personen eigenständige Verantwortliche im Sinne des Datenschutzrechts sein können.23 Welche Institutionen unter die Begriffe „Einrichtung“ oder „andere Stelle“ fallen, ergibt sich hingegen nicht unmittelbar aus dem Normtext und insbesondere die Frage, inwiefern von ihnen Untergliederungen einer juristischen Person erfasst werden, bleibt offen.24 Allerdings deutet die gewählte Formulierung, die von einer „juristische[n] Person […] oder andere[n] Stelle“ spricht, darauf hin, dass die „Stelle“ als Sammelbegriff zu verstehen ist, dem unter anderem juristische Personen, aber möglicherweise eben auch Untergliederungen der juristischen Person unterfallen.25 Mangels eindeutiger Anhaltspunkte genügt der Blick allein auf den Wortlaut des Art. 4 Nr. 7 DSGVO jedoch nicht, um eine abschließende Beurteilung vorzunehmen. auch Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DSGVO Rn. 135; Hitzelberger-Kijima, öAT 2018, 136, 138. 20 Brink/Joos, NZA 2019, 1395, 1396; Kurzböck/Weinbeck, BB 2020, 500, 501; Staben, ZfA 2020, 287, 293 ff. 21 Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 4 Nr. 7 DSGVO Rn. 8. 22 Brink/Joos, NZA 2019, 1395, 1396; Gola/Gola, 2. Aufl. 2018, Art. 4 DSGVO Rn. 55; Kort, ZD 2017, 319, 323; Kurzböck/Weinbeck, BB 2020, 500, 501; Wybitul, NZA 2017, 413, 418; so wohl auch Jung/Hansch, ZD 2019, 143, 147; Staben, ZfA 2020, 287, 292 f. 23 Pötters/Gola, RDV 2017, 279, 280. 24 Pötters/Gola, RDV 2017, 279, 280. 25 I. E. ebenso Jung/Hansch, ZD 2019, 143, 147; Kurzböck/Weinbeck, BB 2018, 1652, 1654; Walker, FS Moll, S. 697, 701; a. A. Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO Rn. 12; Pötters/Gola, RDV 2017, 279, 280, die jedoch i. E. ebenfalls erkennen, dass der Wortlaut verschiedene Deutungen zulässt.
I. Der Betriebsrat als Verantwortlicher
209
aa) Eine systematische Betrachtung Gegen die Einordnung des Betriebsrats als datenschutzrechtlich Verantwortlicher spricht ein Pendelblick auf Art. 4 Nr. 16 DSGVO. Aus der Norm ergibt sich, dass von mehreren Niederlassungen eines Verantwortlichen stets diejenige die „Hauptniederlassung“ ist, in der die Entscheidungen über Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Dieses Bild wird ergänzt durch die allgemeine Definition der „Niederlassung“ in Art. 3 Abs. 1 DSGVO, der bestimmt, dass die DSGVO auch auf die „Tätigkeit einer Niederlassung eines Verantwortlichen“ Anwendung findet. Beide Vorschriften verdeutlichen, dass eine unselbstständige Niederlassung nur Teil eines Verantwortlichen, nicht jedoch selbst Verantwortlicher sein kann, obwohl sie eine Einheit innerhalb einer juristischen Person darstellt, die – ebenso wie der Betriebsrat – personenbezogene Daten verarbeitet und in diesem Zusammenhang zumindest in gewissem Umfang eigene Entscheidungen, beispielsweise im Hinblick auf die konkreten Verarbeitungsabläufe, trifft.26 Daraus ergibt sich, dass eine Stelle innerhalb einer juristischen Person, die zwar personenbezogene Daten verarbeitet und der insofern zumindest eine gewisse Selbstständigkeit zukommt, nicht zwingend auch als datenschutzrechtlich Verantwortlicher anzusehen ist. bb) Eine teleologische Betrachtung Und auch der Zweck des Art. 4 Nr. 7 DSGVO spricht dafür, den Betriebsrat datenschutzrechtlich nur als Teil des Arbeitgebers anzusehen. Denn nur wer Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO ist, der ist auch Adressat der Vorschriften der DSGVO.27 Daher kann der Betroffene auch die ihm gem. Art. 82 Abs. 1 DSGVO zustehenden Schadensersatzansprüche nur gegenüber dem Verantwortlichen geltend machen. Um einen effektiven Schutz der Betroffenen zu gewährleisten, müssen sich seine ihm durch die DSGVO eingeräumten Ansprüche jedoch gegen einen tauglichen – und insbesondere rechtsfähigen – Anspruchsgegner richten.28 Der Betriebsrat ist indes nur insoweit rechtsfähig, wie ihm das Gesetz Rechte und Pflichten zuschreibt.29 Zwar hat der Betriebsrat grundsätzlich im Rahmen seiner allgemeinen Überwachungsaufgabe über die Einhaltung des Beschäftigtendatenschutzes zu 26
Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 640d; Pötters/Gola, RDV 2017, 279, 280. 27 BeckOK DatenschutzR/Schild, 32. Ed. (Stand 1. 5. 2020), Art. 4 DSGVO Rn. 88; Conrad, DuD 2019, 563; Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DSGVO Rn. 121; Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 4 Nr. 7 DSGVO Rn. 1. 28 Pötters/Gola, RDV 2017, 279, 280; in diese Richtung Lücke, NZA 2019, 658, 660. 29 BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382, 1383 Rn. 10; Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 222; ErfK/ Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 292; MHdBArbR/Boemke, 4. Aufl. 2018, § 286 Rn. 16; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 10.
210
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
wachen,30 sodass insofern zumindest eine Teilrechtsfähigkeit auf dem Gebiet des Beschäftigtendatenschutzes besteht.31 Verstößt der Betriebsrat jedoch selbst gegen datenschutzrechtliche Vorschriften, überwacht er nicht deren Einhaltung, sondern – im Gegenteil – verletzt sie. In diesem Fall überschreitet er die Grenzen seiner Befugnisse, sodass er jedenfalls insofern nicht rechtsfähig ist.32 Hinzu kommt, dass der Betriebsrat nicht nur in seiner Rechts-, sondern auch in seiner Vermögensfähigkeit auf die ihm durch das BetrVG zugewiesenen Aufgaben beschränkt ist.33 Im Rahmen von Schadensersatzansprüchen kommt zur Sicherung einer Haftungsmasse, auf die der Gläubiger zurückgreifen kann, jedoch der Vermögensfähigkeit des potentiellen Anspruchsgegners entscheidende Bedeutung zu.34 Und auch die DSGVO fordert erkennbar einen solventen Schuldner.35 Der Betriebsrat ist aber nur vermögensfähig, soweit das BetrVG ihm eigene vermögensrechtliche Ansprüche verleiht. Zentral ist dabei der Anspruch aus § 40 Abs. 1 BetrVG, der den Arbeitgeber zur Erstattung derjenigen Kosten verpflichtet, die bei der Wahrnehmung betriebsverfassungsrechtlicher Aufgaben entstehen.36 Eine rechtswidrige Tätigkeit hält sich jedoch nicht im Rahmen der dem Betriebsrat durch das Betriebsverfassungsrecht zugewiesenen Aufgaben, sodass sich auch die Kostentragungspflicht des Arbeitgebers nach § 40 Abs. 1 BetrVG von vornherein nur auf eine rechtmäßige, nicht jedoch auf eine rechtswidrige Betriebsratstätigkeit erstreckt.37 Weitergehende, spezielle vermögensrechtliche Ansprüche für den Fall, dass der Betriebsrat Schuldner eines Schadensersatzanspruches ist, sieht das BetrVG nicht vor. Daher fehlt es dem Betriebsrat auch an der notwendigen Vermögensfähigkeit. Würde man den Betriebsrat dennoch als Verantwortlichen i. S. v. Art. 4 Nr. 7 DSGVO qualifizieren, hätte dies zur Folge, dass der Betroffene eventuelle Schadensersatzforderungen unmittelbar gegen den Betriebsrat richten müsste, der allerdings weder rechts- noch vermögensfähig ist, sodass der Anspruch des Betrof-
30
S. ausführlich Gliederungspunkt C. II. Kurzböck/Weinbeck, BB 2020, 500, 502. 32 GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 77; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 8; Walker, FS Moll, S. 697, 703; i. E. ebenso Hamann/Wegmann, BB 2019, 1347, 1349. 33 BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382, 1384 Rn. 24, 27 f.; BAG, Beschl. v. 29. 9. 2004 – 1 ABR 30/03, NZA 2005, 123, 124; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 295; dies ebenfalls als Problem erkennend Dzida, BB 2019, 3060, 3062. 34 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 11. 35 Staben, ZfA 2020, 287, 296. 36 BAG, Beschl. v. 24. 10. 2010 – 7 ABR 20/00, NZA 2003, 53, 54; BAG, Beschl. v. 29. 9. 2004 – 1 ABR 30/03, NZA 2005, 123, 124; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 295; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 40 Rn. 43; strenger noch Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 287. 37 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 288; Bott/Vogel, BB 2019, 2100, 2102; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 13; so wohl auch Brams/Möhle, ZD 2018, 570, 571. 31
I. Der Betriebsrat als Verantwortlicher
211
fenen letztlich leerliefe.38 Denn ein gegen den Betriebsrat gerichteter Anspruch wäre mangels Vermögensfähigkeit jedenfalls nicht vollstreckbar.39 Ausweislich ErwG 11 DSGVO sind effektive Sanktionsmechanismen indes unabdingbare Voraussetzung, um einen wirksamen Schutz der Betroffenen zu garantieren. Eine solche Sanktion ist gem. ErwG 146 S. 6 DSGVO insbesondere in der Gewährleistung eines „vollständigen und wirksamen Schadenersatzes“ zu sehen. Es liegt mithin nahe, dass der Unionsgesetzgeber die Effektivität und Durchsetzbarkeit dieses Schadensersatzanspruchs sicherstellen wollte, indem er die Schadensersatzpflicht an die Verantwortlichkeit geknüpft und damit unabhängig davon gemacht hat, wer innerhalb der verantwortlichen Stelle den Datenschutzverstoß konkret begangen hat.40 Dem liefe es zuwider, würde man den Betriebsrat nun, obwohl er eben nicht auf Grundlage von Art. 82 Abs. 1 DSGVO im Rahmen von Schadensersatzforderungen in Anspruch genommen werden kann, als Verantwortlichen einordnen. cc) Keine unzumutbare Beeinträchtigung der Interessen des Arbeitgebers Ordnet man den Betriebsrat in der Konsequenz datenschutzrechtlich dem Arbeitgeber zu, führt dies indes dazu, dass dieser im Außenverhältnis zum Arbeitnehmer als verantwortliche und damit auch haftende Stelle anzusehen ist, obwohl er wegen der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats gar keinen Einfluss auf die durch diesen vorgenommenen Datenverarbeitungsvorgänge nehmen kann.41 Jemandem die Haftung für ein Verhalten aufzuerlegen, das er nicht beeinflussen kann, stellt jedoch eine ungerechtfertigte Belastung dar,42 woraus teilweise geschlossen wird, dass der Betriebsrat schon deshalb datenschutzrechtlich nicht dem Arbeitgeber zugeordnet werden könne.43 Unklar ist indes bereits, ob der Arbeitgeber trotz der dem Betriebsrat garantierten Unabhängigkeit tatsächlich keine Möglichkeit hat, Einfluss auf dessen datenschutzrechtlich relevantes Verhalten zu nehmen. Denn zunächst kann mit Blick auf die DSGVO schon nicht mehr pauschal ausgeschlossen werden, dass der vom Arbeitgeber bestellte betriebliche Datenschutzbeauftragte auch die Einhaltung der Vorgaben des Datenschutzrechts seitens 38 Walker, FS Moll, S. 697, 703; dies erkennend aber nicht für ausschlaggebend haltend Brink/Joos, NZA 2019, 1395, 1397; Staben, ZfA 2020, 287, 297. 39 Zur Vollstreckbarkeit von Ansprüchen gegen den Betriebsrat BAG, Beschl. v. 17. 3. 2010 – 7 ABR 95/08, NZA 2010, 1133, 1135 Rn. 27 ff.; Raab, RdA 2017, 288, 294 f. 40 Lücke, NZA 2019, 658, 660; zur Verantwortlichkeit der juristischen Person Gola/Gola, 2. Aufl. 2018, Art. 4 DSGVO Rn. 56; Gola/Pötters, RDV 2017, 279, 280 f. 41 Brink/Joos, NZA 2019, 1395, 1397; Hamann/Wegmann, BB 2019, 1347, 1349; Jung/ Hansch, ZD 2019, 143, 147; Kort, NZA 2015, 1345, 1347; Kurzböck/Weinbeck, BB 2020, 500, 502; Möllenkamp, NZA-RR 2019, 196, 199; Walker, FS Moll, S. 697, 705; dies erkennend, wenn auch im Ergebnis als nicht ausschlaggebend einordnend Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1. 42 GA Bobek, Schlussantrag v. 19. 12. 2018 – C-40/17, BeckRS 32835 Rn. 91; Brink/Joos, NZA 2019, 1395, 1397; Jung/Hansch, ZD 2019, 143, 147. 43 Kurzböck/Weinbeck, BB 2020, 500, 502.
212
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
des Betriebsrats überwachen kann.44 Aber auch soweit man ein solches Recht nicht anerkennen möchte, muss der Betriebsrat im Verhältnis zum Arbeitgeber doch zumindest das aus § 2 Abs. 1 BetrVG folgende Gebot der vertrauensvollen Zusammenarbeit beachten.45 Diese Pflicht trifft ihn auch dann, wenn er in Ausübung seiner betriebsverfassungsrechtlichen Mitwirkungs- und Mitbestimmungsrechte tätig wird.46 Aus § 2 Abs. 1 BetrVG folgt für die Betriebspartner eine Pflicht zur am Wohl der Arbeitnehmer ausgerichteten Kooperation.47 Die rechtswidrige Verarbeitung personenbezogener Beschäftigtendaten dient jedoch nicht dem Wohl der Arbeitnehmer, sondern verletzt vielmehr deren Recht auf informationelle Selbstbestimmung.48 Damit bedeutet eine rechtswidrige Datenverarbeitung zugleich einen Verstoß gegen den Grundsatz der vertrauensvollen Zusammenarbeit.49 Aber welche Rechtsfolge zieht ein solcher Verstoß nach sich? Entscheidend ist letztlich, ob dem Arbeitgeber ein Mittel an die Hand gegeben wird, um sich gegen ein haftungsbegründendes Handeln des Betriebsrats zur Wehr zu setzen. Zunächst könnte man einen Unterlassungsanspruch des Arbeitgebers gegen den Betriebsrat auf Grundlage von § 74 Abs. 2 S. 2 BetrVG in Betracht ziehen.50 Denn die Norm verpflichtet Arbeitgeber und Betriebsrat alle Betätigungen zu unterlassen, „durch die der Arbeitsablauf oder der Frieden des Betriebs beeinträchtigt werden“. Dabei besteht ein enger inhaltlicher Zusammenhang zwischen dem Betriebsfrieden i. S. v. § 74 Abs. 2 S. 2 BetrVG und der vertrauensvollen Zusammenarbeit der Betriebspartner nach § 2 Abs. 1 BetrVG:51 Ein Verstoß gegen den Grundsatz der vertrauensvollen Zusammenarbeit – wie ihn eine rechtswidrige Datenverarbeitung bedeutet – stellt nämlich zugleich ein den Betriebsfrieden beeinträchtigendes Verhalten dar.52 Zwar wird in jüngerer Vergangenheit kritisch hinterfragt, ob sich aus § 74 Abs. 2 S. 2 BetrVG tatsächlich ein Unterlassungsanspruch des Arbeitgebers herleiten lässt.53 Dies kann jedoch letztlich dahinstehen, da der Arbeitgeber zumindest 44
Kurzböck/Weinbeck, BB 2018, 1652, 1654, s. ausführlich Gliederungspunkt E. IV. 4. ErfK/Koch, 20. Aufl. 2020, § 2 BetrVG Rn. 1; Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 17; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 7; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, § 2 Rn. 52 f.; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 8. 46 Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 23. 47 BAG, Beschl v. 21. 4. 1983 – 6 ABR 70/82, NJW 1984, 2309, 2310; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 6. 48 Jordan/Bissels/Löw, BB 2010, 2889, 2893. 49 Jordan/Bissels/Löw, BB 2010, 2889, 2893, i. E. ebenso Thüsing/Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 93. 50 LAG Hamburg, Beschl. v. 26. 11. 2009 – 7 TaBV 2/09, BeckRS 2010, 69776 Rn. 142; Jordan/Bissels/Löw, BB 2010, 2889, 2893; ohne Nennung einer konkreten Anspruchsgrundlage, aber i. E. zustimmend Thüsing//Thüsing/Granetzny, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 20 Rn. 93. 51 Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 74 Rn. 48. 52 Fitting, BetrVG, 30. Aufl. 2020, § 74 Rn. 31; Jordan/Bissels/Löw, BB 2010, 2889, 2893. 53 So noch BAG, Beschl. v. 22. 7. 1980 – 6 ABR 5/78, BB 1981, 494, Ls. 1; später ausdrücklich ablehnend für § 74 Abs. 2 S. 3 BetrVG; hingegen unklar in Bezug auf § 74 Abs. 2 S. 2 45
I. Der Betriebsrat als Verantwortlicher
213
nach § 23 Abs. 1 S. 1 BetrVG gegen den Betriebsrat vorgehen kann, wenn dieser seine gesetzlichen Pflichten in grober Weise verletzt.54 Dann hat der Arbeitgeber unter anderem die Möglichkeit, die Auflösung des Betriebsrats durch das Arbeitsgericht zu beantragen. Voraussetzung dafür ist zwar eine erhebliche, schwerwiegende Pflichtverletzung seitens des Betriebsratsgremiums.55 Eine solche ist jedoch jedenfalls dann anzunehmen, wenn es das Gebots der vertrauensvollen Zusammenarbeit grundsätzlich missachtet.56 Zwar kann der Arbeitgeber sich auf dieser Grundlage nicht gegen jede Pflichtverletzung – und damit nicht gegen jede rechtswidrige Datenverarbeitung – zur Wehr zu setzen, sondern nur gegen beharrliche und nachhaltige Verstöße gegen das Gebot der vertrauensvollen Zusammenarbeit vorgehen.57 Diese Einschränkung folgt indes aus der durch das BetrVG für die Zusammenarbeit von Betriebsrat und Arbeitgeber vorgesehenen Konzeption. Innerhalb dieser Grenzen wird dem Arbeitgeber aber ein Mittel an die Hand gegeben, um zumindest gegen erhebliche Pflichtverletzungen des Betriebsrats vorzugehen. Damit ist der Arbeitgeber dem Handeln des Betriebsrats jedenfalls nicht vollständig hilflos ausgeliefert. Vor diesem Hintergrund führt die Einordnung des Betriebsrats als Teil des Arbeitgebers als datenschutzrechtlich verantwortliche und im Außenverhältnis haftende Stelle nicht zu einer vollkommen unzumutbaren Beeinträchtigung des Arbeitgebers.
BetrVG BAG, Beschl. v. 17. 3. 2010 – 7 ABR 95/08, NZA 2010, 1133, 1135 Rn. 25 ff.; diese Rechtsprechung auch auf § 74 Abs. 2 S. 1 Hs. 1 BetrVG erweiternd BAG, Beschl. v. 15. 10. 2013 – 1 ABR 31/12, NZA 2014, 319, 321 Rn. 26 und allgemein für betriebsverfassungswidriges Verhalten schließlich BAG, Beschl. v. 28. 5. 2014 – 7 ABR 36/12, NZA 2014, 1213, 1215 Rn. 20; zustimmend Fitting, BetrVG, 30. Aufl. 2020, § 74 Rn. 74; jedoch wird diese Rechtsprechung in der Literatur auch kritisch aufgefasst, s. Bauer/Willemsen, NZA 2010, 1089, 1091 f.; Ulrici, jurisPR-ArbR 37/2010 Anm. 1; einen Unterlassungsanspruch bejahend ErfK/ Kania, 20. Aufl. 2020, § 74 BetrVG Rn. 37; Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 74 Rn. 52. 54 BAG, Beschl. v. 17. 3. 2010 – 7 ABR 95/08, NZA 2010, 1133, 1135 Rn. 27; Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 1a; Walker, FS Moll, S. 697, 707. 55 Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 35. 56 LAG Berlin-Brandenburg, Beschl. v. 8. 9. 2016 – 5 TaBV 780/15, BeckRS 2016, 111587 Rn. 42; LAG Berlin-Brandenburg, Beschl. v. 4. 2. 2016 – 10 TaBV 2078/15, BeckRS 2016, 68009 Rn. 111; ArbG Krefeld, Beschl. v. 6. 2. 1995 – 4 BV 34/94, NZA 1995, 803, 804; Fitting, BetrVG, 30. Aufl. 2020, § 23 Rn. 37. 57 So dem Grundgedanken nach BAG, Beschl. v. 22. 7. 1980 – 6 ABR 5/78, BeckRS 9998, 180191 Rn. 24, das die Auflösung des Betriebsrats wegen der strengen Voraussetzungen des § 23 Abs. 1 S. 1 BetrVG nicht als eine einem Unterlassungsanspruch gleichwertige Reaktionsmöglichkeit einordnet; aus der Literatur ebenso Raab, RdA 2017, 288, 292, 299; zu den Anforderungen an einen Verstoß gegen den Grundsatz der vertrauensvollen Zusammenarbeit LAG Berlin-Brandenburg, Beschl. v. 8. 9. 2016 – 5 TaBV 780/15, BeckRS 2016, 111587 Rn. 42.
214
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
dd) Folgerung: Der Betriebsrat ist selbst kein tauglicher Adressat Der Betriebsrat ist mithin nicht tauglicher Adressat der Vorschriften des Datenschutzrechts. Zwar steht der Wortlaut des Art. 4 Nr. 7 DSGVO einer Einordnung des Betriebsrats als Verantwortlicher nicht entgegen, jedoch wäre diese mit dem Telos der Norm nicht zu vereinbaren. Denn ein effektiver Schutz des Betroffenen kann nur gewährleistet werden, wenn die ihm durch die DSGVO eingeräumten Ansprüche sich gegen einen tauglichen, d. h. insbesondere rechts- und vermögensfähigen Anspruchsgegner richten – beide Voraussetzungen erfüllt der Betriebsrat indes nicht. Vielmehr muss er datenschutzrechtlich dem Arbeitgeber zugeordnet werden. Zwar kann dieser das Handeln des Betriebsrats nicht unmittelbar beeinflussen und daher auch die Vornahme rechtswidriger Datenverarbeitungsvorgänge, für die er im Außenverhältnis haftet, nicht verhindern. Dennoch werden seine Interessen nicht unverhältnismäßig beeinträchtigt, da ihm jedenfalls bei wiederholten, groben Pflichtverletzungen des Betriebsrats gem. § 23 Abs. 1 S. 1 BetrVG eine Abhilfemöglichkeit zur Verfügung steht. b) Der Begriff der Entscheidungsbefugnis Selbst wenn man – entgegen der hier vertretenen Auffassung – den Betriebsrat grundsätzlich als tauglichen Adressaten der Vorschriften des Datenschutzrechts einordnen wollte, müsste auch die zweite Voraussetzung des Art. 4 Nr. 7 DSGVO erfüllt sein, um den Betriebsrat tatsächlich als „Verantwortlichen“ im Sinne der Norm zu qualifizieren: Er muss „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ entscheiden. Die Entscheidung über Zwecke und Mittel der Datenverarbeitung betrifft das „Warum“ und das „Wie“ des Verarbeitungsvorgangs.58 aa) Entscheidungsbefugnis über die Zwecke der Verarbeitung Aber steht dem Betriebsrat eine entsprechende Entscheidungsbefugnis zu? Zwar ist das Verhältnis zwischen Arbeitgeber und Betriebsrat durch die betriebsverfassungsrechtliche Unabhängigkeit des Betriebsrats geprägt.59 Dies gilt unvermindert auch im Bereich des Datenschutzrechts: Der Betriebsrat kann ohne Einfluss des Arbeitgebers über die von ihm vorzunehmenden Datenverarbeitungsvorgänge und über etwaige in diesem Zusammenhang zu treffende Maßnahmen zum Schutz personenbezogener Daten entscheiden.60 Insbesondere in Bezug auf die Maßnahmen, 58 Art. 29 Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 16; ausführlich Conrad, DuD 2019, 563 f.; Monreal, ZD 2014, 611, 612. 59 Hitzelberger-Kijima, öAT 2018, 136, 138; Möllenkamp, NZA-RR 2019, 196, 199; anklingend bei Lücke, NZA 2019, 658, 660. 60 BAG, Beschl. v. 18. 7. 2012 – 7 ABR 23/11, NZA 2013, 49, 52 f. Rn. 29 f.; Brams/Möhle, ZD 2018, 570.
I. Der Betriebsrat als Verantwortlicher
215
die der Betriebsrat zur Einhaltung des Datenschutzrechts trifft, besteht keine rechtliche Einflussmöglichkeit des Arbeitgebers.61 Jedoch genügt dies allein nicht zur Begründung einer eigenständigen Entscheidungsbefugnis des Betriebsrats i. S. v. Art. 4 Nr. 7 DSGVO.62 Denn die Zweckrichtung einer vom Betriebsrat vorgenommenen Datenverarbeitung wird zwar nicht durch den Arbeitgeber, aber dennoch durch das BetrVG – und damit eben nicht durch den Betriebsrat – festgelegt.63 Er kann Daten nicht beliebig, sondern nur im Rahmen seiner ihm durch das BetrVG zugewiesenen Aufgaben verarbeiten.64 Zwar gestaltet er praktisch die durch das BetrVG vorgegebenen Zwecke in eigener Verantwortung entsprechend der im jeweiligen Betrieb bestehenden Erfordernisse aus.65 Aus diesem verbleibenden Handlungsspielraum könnte man daher schließen, dass das Gesetz nur die äußeren Grenzen festlegt und der Betriebsrat innerhalb dieses Rahmens dennoch eigenverantwortlich über die Zwecke der Verarbeitung entscheiden kann.66 Damit verbleibt dem Betriebsrat zweifellos ein gewisser Spielraum, jedoch ist er nicht berechtigt, personenbezogene Daten zu weiteren, betriebsverfassungsrechtlich nicht vorgesehenen Zwecken zu verarbeiten.67 Zwar wird vereinzelt argumentiert, der Betriebsrat könne Daten auch zu nicht durch das BetrVG legitimierten Zwecken verarbeiten.68 Zweifellos ist es dem Betriebsrat jedenfalls praktisch möglich, Daten zu betriebsverfassungsrechtlich nicht vorgesehenen Zwecken zu verarbeiten – dann wird er jedoch außerhalb seiner Kompetenzen und damit rechtswidrig tätig. Eine schon betriebsverfassungsrechtlich unzulässige Datenverarbeitung kann indes von vornherein auch datenschutzrechtlich nicht gerechtfertigt werden.69 Damit führt jede nicht durch das BetrVG determinierte Entscheidung des Betriebsrats über die Zwecke der Datenverarbeitung automatisch zur datenschutzrechtlichen Unzulässigkeit des Verarbeitungsvorgangs. Es kann jedoch kaum ausreichen, dass der Be61
BAG, Beschl. v. 18. 7. 2012 – 7 ABR 23/11, NZA 2013, 49, 52 Rn. 29. Lücke, NZA 2019, 658, 660. 63 Althoff, ArbRAktuell 2018, 414, 416; Bott/Vogel, BB 2019, 2100, 2101; Dzida, BB 2019, 3060, 3061; Jung/Hansch, ZD 2019, 143, 147; Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1; Lücke, NZA 2019, 658, 660; i. E. ebenso LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/ 18, NZA-RR 2019, 196, 198 Rn. 32; a. A. – allerdings ohne Begründung, worauf die Annahme der Entscheidungsbefugnis konkret gestützt werden soll – LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 37 m. Anm. Wybitul/Böhm, NZARR 2019, 256, 260, die hier vertretener Auffassung folgen. 64 Lücke, NZA 2019, 658, 660; Wybitul/Böhm, NZA-RR 2019, 256, 260; so wohl auch LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 32. 65 Kurzböck/Weinbeck, BB 2020, 500, 501; Schulze/Helmrich, ArbRAktuell 2020, 253; Staben, ZfA 2020, 287, 294; in diese Richtung auch Brink/Joos, NZA 2019, 1395, 1396. 66 Brink/Joos, NZA 2019, 1395, 1396; Kurzböck/Weinbeck, BB 2020, 500, 501; Schulze/ Helmrich, ArbRAktuell 2020, 253; Staben, ZfA 2020, 287, 294. 67 Brams/Möhle, ZD 2018, 570, 571; Jung/Hansch, ZD 2019, 143, 147; Stück, ZD 2019, 256, 258; dies erkennend aber im Ergebnis nicht als entscheidend einordnend Brink/Joos, NZA 2019, 1395, 1397. 68 Staben, ZfA 2020, 287, 294. 69 S. Gliederungspunkt E. III. 2. a). 62
216
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
triebsrat überhaupt über die Zwecke der Datenverarbeitung entscheiden kann. Zu fordern ist vielmehr, dass er diese Entscheidung auch rechtmäßig treffen kann. Zwar muss berücksichtigt werden, dass sich auch in anderen Fällen, wie beispielsweise der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c, Abs. 3 DSGVO die Zwecke der Verarbeitung unmittelbar aus dem Gesetz ergeben, ohne dass dadurch die Verantwortlichkeit des Verarbeitenden beeinträchtigt würde.70 Keine Frage: Häufig wird das Datenschutzrecht selbst die Zwecke der Datenverarbeitung vorgeben.71 Aber das tut es eben nicht ausnahmslos, wie beispielsweise der Blick auf Art. 6 lit. a DSGVO zeigt: Der Verantwortliche kann Daten zu selbst bestimmten Zwecken verarbeiten, sofern der Betroffene nur eine Einwilligung erteilt hat. Damit verarbeiten Verantwortliche – jedenfalls im privatrechtlichen Bereich – Daten zwar teilweise auch zu gesetzlich normierten Zwecken, wodurch jedoch eine Verarbeitung zu anderen, gesetzlich nicht vorgesehenen Zwecken nicht zugleich ausgeschlossen wird. Demgegenüber kann der Betriebsrat personenbezogene Daten ausschließlich zu den betriebsverfassungsrechtlich vorgesehenen Zwecken verarbeiten. Ihm steht nie eine von seinen gesetzlichen Aufgaben unabhängige Entscheidungsbefugnis über die Zwecke der Verarbeitung zu. bb) Entscheidungsbefugnis über die Mittel der Verarbeitung Zudem fehlt es dem Betriebsrat an der notwendigen Entscheidungsbefugnis im Hinblick auf die Mittel der Verarbeitung personenbezogener Daten. Auch diese Entscheidung wird nämlich durch das Betriebsverfassungsrecht – namentlich durch § 40 BetrVG – vorgezeichnet. So darf der Betriebsrat nur die für seine Aufgabenerfüllung erforderlichen Mittel einsetzen, da er nur diese Kosten gem. § 40 Abs. 1 BetrVG vom Arbeitgeber ersetzt verlangen kann.72 Darüber hinaus nutzt der Betriebsrat gem. § 40 Abs. 2 BetrVG die Informations- und Kommunikationstechnik des Arbeitgebers, sodass ihm auch diesbezüglich keine eigenständige Entscheidungsbefugnis zusteht.73 Zwar trifft es zu, dass dem Betriebsrat die Einschätzung obliegt, welche Mittel zur Erfüllung seiner Aufgaben erforderlich sind und er auf dieser Grundlage grundsätzlich selbst bestimmen kann, welche der vom Arbeitgeber zur Verfügung gestellten Technologien er nutzt und wie er innerhalb dieses Rahmens seine Arbeitsabläufe organisiert.74 Daraus leiten einige Stimmen ab, dass § 40 70 LfDI Baden-Württemberg, 34. Tätigkeitsbericht 2018, S. 38; Staben, ZfA 2020, 287, 293 f.; in diese Richtung auch Hamann/Wegmann, BB 2019, 1347, 1349; Kurzböck/Weinbeck, BB 2020, 500, 501. 71 Staben, ZfA 2020, 287, 294. 72 Brams/Möhle, ZD 2018, 570, 571. 73 Althoff, ArbRAktuell 2018, 414, 416; Jung/Hansch, ZD 2019, 143, 147; Kranig/Wybitul/ Zimmer-Helfrich, ZD 2019, 1; Lücke, NZA 2019, 658, 660 f.; Stück, ZD 2019, 256, 258; Wybitul/Böhm, NZA-RR 2019, 256, 260; a. A. LfDI Baden-Württemberg, 34. Tätigkeitsbericht 2018, S. 37 f. 74 Brink/Joos, NZA 2019, 1395, 1397; Kurzböck/Weinbeck, BB 2020, 500, 501; Staben, ZfA 2020, 287, 295.
I. Der Betriebsrat als Verantwortlicher
217
BetrVG die eigenständige Entscheidungsbefugnis des Betriebsrats in Bezug auf die Mittel der Verarbeitung nicht vollständig entfallen lasse.75 Dem ist insoweit zuzustimmen, als dem Betriebsrat jedenfalls ein gewisser Spielraum verbleibt. Dieser wird aber in zweierlei Hinsicht erheblich eingeschränkt. Zum einen kann der Betriebsrat nur die für seine Tätigkeit tatsächlich erforderlichen Kosten ersetzt verlangen.76 Die Erforderlichkeit bemisst sich indes nicht allein anhand der subjektiven Einschätzung des Betriebsrats, sondern auf Grundlage einer im Zeitpunkt der Kostenverursachung unter Berücksichtigung des Grundsatzes der vertrauensvollen Zusammenarbeit vorgenommenen Interessenabwägung.77 Zum anderen muss der Arbeitgeber dem Betriebsrat nur die zur Aufgabenerfüllung erforderliche Kommunikationstechnik bereitstellen.78 Und erforderlich sind bestimmte Sachmittel nicht schon deshalb, weil sie zu einer Erleichterung der Betriebsratsarbeit führen.79 Auch im Hinblick auf die Mittel der Datenverarbeitung wird seine Entscheidungsbefugnis mithin erheblich eingeschränkt: Die zur Verarbeitung eingesetzten Mittel sind – trotz zweifellos verbleibender Spielräume – letztlich gesetzlich vorgegeben.80 Angesichts der erheblichen Bedeutung, die dem Kriterium der diesbezüglichen eigenständigen Entscheidungsbefugnis für die Beurteilung der Verantwortlichkeit i. S. d. Art. 4 Nr. 7 DSGVO beigemessen wird, kann der Betriebsrat mithin nicht als Verantwortlicher eingeordnet werden.81 cc) Keine Einzelfallbetrachtung Teilweise wird vermittelnd vorgeschlagen, die Entscheidungsbefugnisse des Betriebsrats stets im konkreten Einzelfall mit Blick auf einen spezifischen Datenverarbeitungsvorgang zu betrachten, sodass er – abhängig vom Grad seiner jeweiligen Möglichkeit zur eigenverantwortlichen Entscheidung – teilweise als Verant-
75
Kurzböck/Weinbeck, BB 2020, 500, 501. BAG, Beschl. v. 14. 12. 2016 – 7 ABR 8/18, NZA 2017, 514, 516 Rn. 17; BAG, Beschl. v. 18. 3. 2015 – 7 ABR 4/13, NZA 2015, 954, 955 Rn. 11; Richardi/Thüsing, BetrVG. 16. Aufl. 2018, § 40 Rn. 7. 77 BAG, Beschl. v. 14. 12. 2016 – 7 ABR 8/18, NZA 2017, 514, 516 Rn. 18; BAG, Beschl. v. 18. 3. 2015 – 7 ABR 4/13, NZA 2015, 954, 955 Rn. 11; BAG, Beschl. v. 3. 9. 2009 – 7 ABR 8/03, NZA 2004, 280, 281; Fitting, BetrVG, 30. Aufl. 2020, § 40 Rn. 9; GK-BetrVG/Weber, 11. Aufl. 2018, § 40 Rn. 13; Richardi/Thüsing, BetrVG. 16. Aufl. 2018, § 40 Rn. 8. 78 BAG, Beschl. v. 20. 4. 2016 – 7 ABR 50/14, NZA 2016, 1033, 1034 Rn. 15 ff.; BAG, Beschl. v. 18. 7. 2012 – 7 ABR 23/11, NZA 2013, 49, 51 Rn. 20. 79 BAG, Beschl. v. 17. 2. 1993 – 7 ABR 19/92, NZA 1993, 854, 855; GK-BetrVG/Weber, 11. Aufl. 2018, § 40 Rn. 143. 80 Ebenso Dzida, BB 2019, 3060, 3061; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1725. 81 Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 4 Nr. 7 DSGVO Rn. 13; Wybitul, NZA 2017, 1488, 1490; so wohl auch Althoff, ArbRAktuell 2018, 414, 416. 76
218
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
wortlicher, teilweise jedoch auch nur als Teil des Arbeitgebers anzusehen wäre.82 Entscheidend soll letztlich sein, ob der Betriebsrat allein in seiner Funktion als Kontrollorgan für Datenverarbeitungen des Arbeitgebers tätig wird oder ob er eine originäre „eigene“ Datenverarbeitung vornimmt.83 Probleme wirft diese Ansicht indes bereits deshalb auf, weil es zu Abgrenzungsschwierigkeiten kommen kann, wann tatsächlich eine „eigene“ Datenverarbeitung des Betriebsrats vorliegt. Sie würde aber auch dem Zweck des Datenschutzrechts, der ausweislich Art. 1 Abs. 1 DSGVO der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ ist, zuwiderlaufen. Denn gem. ErwG 11 DSGVO erfordert der effektive Schutz personenbezogener Daten unter anderem eine „präzise Festlegung der Rechte der betroffenen Personen“. Die Rechte des Betroffenen bestehen dabei gegenüber dem jeweils für die Datenverarbeitung Verantwortlichen.84 Wäre nun nicht allgemein bestimmt, ob der Betriebsrat für die Datenverarbeitung Verantwortlicher sein kann, sondern müsste dies in jedem Einzelfall festgestellt werden, brächte dies erhebliche Erschwernisse für die Arbeitnehmer als potentiell Betroffene mit sich, da für diese regelmäßig nicht ohne Weiteres feststellbar sein wird, ob es sich um eine „eigene“ Datenverarbeitung des Betriebsrats handelt, oder ob dieser allein in Erfüllung seiner Aufgaben als Kontrollorgan gegenüber dem Arbeitgeber tätig wird. Dies wird nicht selten dazu führen, dass ein Arbeitnehmer, der nicht weiß, ob er seine Rechte gegenüber dem Arbeitgeber oder dem Betriebsrat geltend machen muss, seine Rechte letztlich gar nicht wahrnimmt. Dies würde den effektiven Schutz des Betroffenen erheblich beeinträchtigen. Dieses Spannungsfeld hat im Hinblick auf die Vorgängernorm des Art. 2 lit. d RL 95/46/EG bereits die Art. 29 Datenschutzgruppe erkannt, indem sie der Möglichkeit, den für die Datenverarbeitung Verantwortlichen einfach und zweifelsfrei zu ermitteln und ihn im Falle der rechtswidrigen Datenverarbeitung zur Verantwortung zu ziehen, besondere Bedeutung beimisst.85 Dieses Verständnis liegt auch der DSGVO zugrunde, wie ein Blick auf ErwG 79 DSGVO bestätigt, der konstatiert, dass der Schutz der Betroffenen, insbesondere im Hinblick auf die potentielle Haftung des Verantwortlichen, eine klare Zuteilung der Verantwortlichkeit erfordert. Vor diesem Hintergrund kann nicht erst im jeweiligen Einzelfall, bezogen auf einen konkreten Datenverarbeitungsvorgang entschieden werden, ob der Betriebsrat als Verantwortlicher anzusehen ist. Es muss vielmehr bei einer allgemeingültigen Beantwortung der Fragestellung bleiben. 82
Kurzböck/Weinbeck, BB 2018, 1652, 1654; in diese Richtung auch Kurzböck/Weinbeck, BB 2020, 500, 501; Walker, FS Moll, S. 697, 702; so schon zur Rechtslage vor Inkrafttreten der DSGVO Kort, ZD 2015, 3, 5. 83 Kurzböck/Weinbeck, BB 2020, 500, 501; Kurzböck/Weinbeck, BB 2018, 1652, 1654; Kort, ZD 2015, 3, 5; Kort, NZA 2015, 1345, 1347, der zwischen der „Kern-Aufgabe des Betriebsrats“ und der sonstigen „eigenen Datenverarbeitung“, die nur im „weiteren Sinne der Erfüllung betriebsverfassungsrechtlicher Aufgaben“ dient, unterscheiden möchte; ähnlich Walker, FS Moll, S. 697, 702. 84 S. beispielhaft die Art. 12 ff. DSGVO oder den Schadensersatzanspruch des Art. 82 Abs. 1 DSGVO. 85 Art. 29 Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12.
I. Der Betriebsrat als Verantwortlicher
219
c) Keine gemeinsame Verantwortlichkeit von Betriebsrat und Arbeitgeber In der Literatur wird indes nicht nur eine eigenständige Verantwortlichkeit des Betriebsrats, sondern auch eine gemeinsame Verantwortlichkeit von Arbeitgeber und Betriebsrat diskutiert.86 Schon aus Art. 4 Nr. 7 DSGVO ergibt sich, dass Verantwortlicher sein kann, wer allein oder eben „gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, was Art. 26 Abs. 1 S. 1 DSGVO ausdrücklich bestätigt. Auch Art. 2 lit. d RL 95/46/EG kannte schon eine gemeinsame Verantwortlichkeit, die weder voraussetzte, dass die beteiligten Akteure in derselben Phase der Datenverarbeitung tätig wurden, noch, dass sie in gleichem Ausmaß an dem Verarbeitungsvorgang beteiligt waren.87 Zudem war nicht notwendig, dass jeder der Akteure Zugang zu den betreffenden personenbezogenen Daten hatte.88 Entscheidend war vielmehr allein, dass sie aus Eigeninteresse auf den Verarbeitungsvorgang Einfluss nahmen und somit einen Beitrag zur Entscheidung über Zwecke und Mittel der Verarbeitung leisteten,89 wobei es nicht auf die Gleichwertigkeit dieser Beiträge ankommen sollte.90 Zwingende Voraussetzung war allein, dass tatsächlich eine gemeinsame Entscheidung im Sinne einer kooperativen Festlegung der Zwecke und Mittel der Verarbeitung getroffen wurde.91 Da die Formulierung des Art. 2 lit. d RL 95/46/EG in Art. 4 Nr. 7 DSGVO aufgegriffen wurde, kann auf diese Wertungen weiterhin zurückgegriffen werden.92 Da jedoch schon eine eigenständige Verantwortlichkeit des Betriebsrats nicht in Betracht kommt, muss auch eine gemeinsame Verantwortlichkeit von Arbeitgeber und Betriebsrat ausscheiden. Denn die gemeinsame Verantwortlichkeit setzt stets das Zusammenwirken zweier eigenständiger Verantwortlicher voraus.93 Da es dem Betriebsrat indes an einer eigenständigen Entscheidungsbefugnis über Zwecke und Mittel der Datenverarbeitung fehlt, kann er auch bei einem Zusammenwirken mit dem Arbeitgeber keinen eigenen Beitrag zu der insofern notwendigen Entscheidung leisten. Zwar wird teilweise eine gemeinsame Verantwortlichkeit von Arbeitgeber und Betriebsrat wegen der durch Art. 26 Abs. 3 DSGVO für gemeinsam Verantwortliche angeordneten gesamtschuldnerischen Haftung und der damit einhergehenden Steigerung des Schutzniveaus zugunsten des Betroffenen als wünschens86
Lücke, NZA 2019, 658, 661; Staben, ZfA 2020, 287, 296. EuGH, Urt. v. 10. 7. 2018 – C-25/17, NZA 2018, 991, 995 Rn. 66; EuGH, Urt. v. 5. 6. 2018 – C-210/16, NZA 2018, 919, 921 Rn. 43. 88 EuGH, Urt. v. 10. 7. 2018 – C-25/17, NZA 2018, 991, 996 Rn. 69; EuGH, Urt. v. 5. 6. 2018 – C-210/16, NZA 2018, 919, 921 Rn. 38. 89 EuGH, Urt. v. 10. 7. 2018 – C-25/17, NZA 2018, 991, 996 Rn. 68; Lücke, NZA 2019, 658, 661. 90 EuGH, Urt. v. 10. 7. 2018 – C-25/17, NZA 2018, 991, 995 Rn. 66; EuGH, Urt. v. 5. 6. 2018 – C-210/16, NZA 2018, 919, 921 Rn. 43; Conrad, DuD 2019, 563, 564. 91 Paal/Pauly/Martini, 2. Aufl. 2018, Art. 26 DSGVO Rn. 21. 92 Lücke, NZA 2019, 658, 661; Niethammer, BB 2018, 1480, 1486. 93 Heidelberger Kommentar/Kremer, 2. Aufl. 2020, Art. 26 DSGVO Rn. 18. 87
220
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
wertes Ergebnis betrachtet.94 Dennoch kann allein dadurch nicht überwunden werden, dass der Betriebsrat nicht Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO sein kann. Zudem würde eine gesamtschuldnerische Haftung von Arbeitgeber und Betriebsrat dem Betroffenen nur formal einen zusätzlichen Anspruchsgegner verschaffen. Denn mit Blick auf die fehlenden Rechts- und Vermögensfähigkeit des Betriebsrats könnte der Betroffene ohnehin allein den Arbeitgeber in Anspruch nehmen.95 Seine Stellung würde unter haftungsrechtlichen Gesichtspunkten mithin praktisch nicht verbessert. Eine gemeinsame Verantwortlichkeit kann daher nur in Betracht kommen, wenn man – entgegen der hier vertretenen Auffassung – eine eigene Verantwortlichkeit des Betriebsrats anerkennt. Aber auch dann werden die notwendigen Voraussetzungen regelmäßig nicht erfüllt sein, da der Arbeitgeber meist ohne vorherige Abstimmung mit dem Betriebsrat darüber entscheiden wird, welche Daten er diesem konkret zuleitet und der Betriebsrat umgekehrt ohne Rücksprache mit dem Arbeitgeber Daten der Beschäftigten erheben und an andere Gremien weiterleiten wird.96 Eine gemeinsame Verantwortlichkeit von Betriebsrat und Arbeitgeber muss mithin in jedem Fall ausscheiden.
3. Keine abweichende Beurteilung für den Konzernbetriebsrat Problematisch erscheint jedoch, ob zumindest für den Konzernbetriebsrat eine andere Bewertung geboten ist.97 Bereits in einer älteren Entscheidung hat das BAG betont, dass das von ihm vertretene Verständnis, den Betriebsrat nur als Teil des Arbeitgebers als seinerseits Verantwortlichen einzuordnen, auch für den Gesamtbetriebsrat gelten müsse, dabei jedoch explizit offen gelassen, ob sich für den Konzernbetriebsrat eine abweichende Beurteilung ergibt.98 Demgegenüber wird in der Literatur ausdrücklich befürwortet, den Konzernbetriebsrat datenschutzrechtlich als eigenständigen Verantwortlichen anzusehen.99 Inwieweit dieser Einschätzung tatsächlich gefolgt werden kann, ist vor dem Hintergrund der Rechtsstellung des Konzernbetriebsrats zu klären. Gem. § 55 Abs. 1 S. 1 BetrVG setzt sich der Konzernbetriebsrat aus Vertretern der Gesamtbetriebsräte der zum Konzern gehörenden Unternehmen zusammen. Daher kann der Konzernbetriebsrat nicht einem einzelnen Unternehmen und – da die Arbeitsverhältnisse der einzelnen Arbeitnehmer des Konzerns nicht zu der Konzern94
Lücke, NZA 2019, 658, 661. S. dazu ausführlich Gliederungspunkt E. I. 2. a) bb). 96 Lücke, NZA 2019, 658, 661. 97 So Gola, BB 2017, 1462, 1466, der den Konzernbetriebsrat „eindeutig“ als Verantwortlichen, andere Formen des Betriebsrats jedoch lediglich als Teil des Arbeitgebers einordnet; etwas missverständlich, aber wohl in eine andere Richtung gehend Hitzelberger-Kijima, öAT 2018, 136, 138; anklingend auch bei Brams/Möhle, ZD 2018, 570. 98 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/07, NZA 1998, 385, 386 Rn. 30. 99 Gola, BB 2017, 1462, 1466; zust. Wybitul, NZA 2014, 1488, 1490 Fn. 27. 95
I. Der Betriebsrat als Verantwortlicher
221
obergesellschaft, sondern zu den jeweiligen Konzernunternehmen bestehen100 – auch nicht einem einzelnen Arbeitgeber als Verantwortlichem zugeordnet werden.101 Der Konzernbetriebsrat steht demnach bei seiner Tätigkeit – anders als Einzel- und Gesamtbetriebsrat – nicht einem einzelnen, sondern mehreren Arbeitgebern gegenüber;102 er ist Repräsentant der gesamten Konzernbelegschaft.103 Da eine Zuordnung des Konzernbetriebsrats zu nur einem einzelnen Arbeitgeber als Verantwortlichem mithin nicht möglich ist, erscheint es auf den ersten Blick naheliegend, den Konzernbetriebsrat als eigenständigen Verantwortlichen einzuordnen.104 Allerdings muss zugleich berücksichtigt werden, dass für den Konzernbetriebsrat im Hinblick auf die datenschutzrechtliche Verantwortlichkeit durchaus ein taugliches Zuordnungsobjekt besteht. Denn ein Konzernbetriebsrat kann gem. § 54 Abs. 1 S. 1 BetrVG i. V. m. § 18 Abs. 1 AktG nur in einem Unterordnungskonzern gebildet werden.105 Dies setzt voraus, dass im Konzern jedenfalls ein herrschendes Unternehmen in Form einer Konzernleitung besteht.106 Denkbar ist es daher, den Konzernbetriebsrat der Konzernobergesellschaft als Verantwortlichem zuzuordnen.107 Würde man den Konzernbetriebsrat datenschutzrechtlich dennoch als eigenständigen Verantwortlichen einordnen, würden die dem Betroffenen durch Art. 82 Abs. 1 DSGVO eingeräumten Schadensersatzansprüche leerlaufen, sofern sie sich gegen den Konzernbetriebsrat richten. Denn auch dieser ist grundsätzlich weder rechts- noch vermögensfähig108 und kann damit ebenfalls nicht tauglicher Anspruchsgegner datenschutzrechtlicher Schadensersatzansprüche sein.109 Zwar haftet die Konzernobergesellschaft mangels Arbeitgeberstellung grundsätzlich nicht für Ansprüche des Arbeitnehmers aus dem Arbeitsverhältnis, sofern nicht im Einzelfall ausnahmsweise weitere Umstände hinzutreten, um die Haftung der Konzernobergesellschaft zu begründen.110 Die Haftung für Datenschutzverstöße des Konzernbetriebsrats resultiert jedoch nicht aus dem Verhältnis von Arbeitgeber und Ar100 MHdB ArbR/Richter, 4. Aufl. 2018, § 25 Rn. 9; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 54 Rn. 4. 101 Brams/Möhle, ZD 2018, 570; Staben, ZfA 2020, 287, 292; Wybitul, NZA 2014, 1488, 1490 Fn. 27. 102 MHdB ArbR/Richter, 4. Aufl. 2018, § 25 Rn. 41. 103 Fitting, BetrVG, 30. Aufl. 2020, § 54 Rn. 1; Küttner/Poeche, Personalbuch, 27. Aufl. 2020, Konzernbetriebsrat Rn. 1; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 54 Rn. 4, § 58 Rn. 35. 104 Gola, BB 2017, 1462, 1466; zust. Wybitul, NZA 2014, 1488, 1490 Fn. 27. 105 Fitting, BetrVG, 30. Aufl. 2020, § 54 Rn. 9a; Küttner/Poeche, Personalbuch, 27. Aufl. 2020, Konzernbetriebsrat Rn. 3. 106 Fitting, BetrVG, 30. Aufl. 2020, § 54 Rn. 10; Küttner/Poeche, Personalbuch, 27. Aufl. 2020, Konzernbetriebsrat Rn. 4; Richardi/Annuß, BetrVG, 16. Aufl. 2018, § 54 Rn. 4. 107 Hitzelberger-Kijima, öAT 2018, 136, 138. 108 BAG, Beschl. v. 23. 8. 2006 – 7 ABR 51/05, NJOZ 2007, 2862, 2871 Rn. 50; LAG Rheinland-Pfalz, Beschl. v. 26. 2. 2015 – 5 TaBV 19/14, BeckRS 2015, 67906. 109 S. dazu ausführlich Gliederungspunkt E. I. 2. a) bb). 110 MHdB ArbR/Richter, 4. Aufl. 2018, § 25 Rn. 27.
222
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
beitnehmer, sondern aus dem Fehlverhalten des Konzernbetriebsrats. Dessen Bestand ist wiederum an die Existenz der Konzernobergesellschaft geknüpft, sodass die von ihm ausgehenden Risiken für die Persönlichkeitsrechte der dem Konzern zugehörigen Arbeitnehmer ihren Grund letztlich im Bestand der Konzernobergesellschaft finden. Um die Erfüllung der dem Arbeitnehmer gem. Art. 82 Abs. 1 DSGVO zustehenden Schadensersatzansprüche zu gewährleisten, muss die Konzernobergesellschaft daher im Verhältnis zu den konzernangehörigen Arbeitnehmern für datenschutzrechtliches Fehlverhalten des Konzernbetriebsrats grundsätzlich haftbar gemacht werden können. Vor diesem Hintergrund ist der Konzernbetriebsrat datenschutzrechtlich als Teil der Konzernleitung und nicht als eigenständiger Verantwortlicher anzusehen.111
4. Keine abweichende Beurteilung aufgrund nationaler Regelungen Eine andere Bewertung ergibt sich auch nicht aus dem nationalen Recht. Zwar wäre es dem deutschen Gesetzgeber grundsätzlich möglich gewesen, eine Regelung zur Frage der Verantwortlichkeit des Betriebsrats zu treffen.112 Denn Art. 4 Nr. 7 Hs. 2 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, die datenschutzrechtliche Verantwortlichkeit zu definieren, sofern die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Mit Blick auf die Öffnungsklausel des Art. 88 Abs. 1 DSGVO wäre es dem nationalen Gesetzgeber mithin speziell für den Beschäftigtendatenschutz möglich gewesen, eine Vorschrift zu der Frage der Verantwortlichkeit des Betriebsrats vorzusehen.113 Eine ausdrückliche Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats enthält das nationale Recht indes nicht. Einziger Anknüpfungspunkt könnte § 26 Abs. 1 S. 1 BDSG sein, der die Verarbeitung personenbezogener Beschäftigtendaten „zur Ausübung oder Erfüllung der […] Rechte und Pflichten der Interessenvertretung der Beschäftigten“ zulässt. Aus dieser ausdrücklichen Hervorhebung der Beschäftigtenvertretung könnte man schließen, dass der Gesetzgeber diese als einen vom Arbeitgeber zu unterscheidenden, eigenständigen Verantwortlichen ansieht.114 Ein solches Verständnis ist jedoch alles andere als zwingend und findet insbesondere auch in der Gesetzesbegründung keine Stütze.115 Objektiv betrachtet lässt sich aus der Formulierung allein schließen, dass den Interessenvertretungen der Beschäftigten – und damit insbesondere dem Be111
Hitzelberger-Kijima, öAT 2018, 136, 138. Gola, HdB des Beschäftigtendatenschutzes, 8. Aufl. 2019, Rn. 1712; Lücke, NZA 2019, 658, 660; a. A. Staben, ZfA 2020, 287, 309. 113 Kurzböck/Weinbeck, BB 2020, 500; Lücke, NZA 2019, 658, 660; a. A. Staben, ZfA 2020, 287, 309. 114 Dies erkennend, eine solche Auslegung jedoch ablehnend Gola/Klug, NJW 2018, 674, 677; Kurzböck/Weinbeck, BB 2020, 500, 501; Lücke, NZA 2019, 658, 660. 115 BT-Drs. 18/11325, S. 97; Kurzböck/Weinbeck, BB 2020, 500, 501. 112
I. Der Betriebsrat als Verantwortlicher
223
triebsrat – eine besondere Stellung im Rahmen des Beschäftigtendatenschutzes zukommt, nicht aber, ob er datenschutzrechtlich selbst Verantwortlicher oder vielmehr dem Arbeitgeber zuzuordnenden ist.116 Mithin kann nicht davon ausgegangen werden, dass der nationale Gesetzgeber mit § 26 Abs. 1 S. 1 BDSG eine Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats treffen wollte.117 Damit fehlt es auf nationaler Ebene an einer Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats. Es bleibt bei den dargestellten Grundsätzen: Der Betriebsrat ist lediglich als Teil des Arbeitgebers einzuordnen.
5. Eine Sammlung der Ergebnisse: Der Betriebsrat ist kein eigenständiger Verantwortlicher Der Betriebsrat ist mithin nicht als eigenständiger Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO anzusehen, sondern vielmehr dem Arbeitgeber als seinerseits verantwortliche Stelle zuzuordnen. Denn Verantwortlicher kann gem. Art. 4 Nr. 7 DSGVO nur eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [sein], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Betriebsrat gehört dabei bereits nicht zum Kreis der tauglichen Adressaten: Zwar legt der Wortlaut des Art. 4 Nr. 7 DSGVO, aus dem sich ergibt, dass Verantwortlicher eine juristische Person, aber eben auch eine andere Stelle sein kann, nahe, dass die Verantwortlichkeit gerade nicht an die Stellung als eigenständige juristische Person anknüpft, sondern vielmehr auch ihre Untergliederungen als Verantwortliche in Betracht kommen können. Dieses Argument wird allerdings durch einen systematischen Vergleich zu Art. 3 Abs. 1 DSGVO entkräftet, der von der „Tätigkeit einer Niederlassung eines Verantwortlichen“ spricht. Auch eine Niederlassung ist eine Einheit innerhalb einer juristischen Person, wird aber dennoch, wie Art. 3 Abs. 1 DSGVO belegt, nicht als Verantwortlicher eingeordnet. Entscheidend ist daher der Blick auf den Zweck der datenschutzrechtlichen Verantwortlichkeit: Nur wer Verantwortlicher ist, kann Adressat der Vorschriften der DSGVO sein. Im Mittelpunkt stehen dabei die Schadensersatzansprüche des Betroffenen nach Art. 82 Abs. 1 DSGVO. Damit diese Ansprüche effektiv durchgesetzt werden können, müssen sie sich gegen einen tauglichen Anspruchsgegner richten, was dessen Rechtsfähigkeit voraussetzt. Der Betriebsrat ist aber grundsätzlich weder rechts- noch vermögensfähig, sodass die Schadensersatzansprüche des Betroffenen leerlaufen würden, ordnete man den Betriebsrat als Verantwortlichen ein. Vielmehr ist er daher datenschutzrechtlich lediglich als Teil des Arbeitgebers anzusehen. Zwar hat dies zur Folge, dass der Arbeitgeber im Außenverhältnis für das Verhalten des Betriebsrats datenschutzrechtlich verantwortlich ist und damit für dessen etwaiges Fehlverhalten 116 Gola/Klug, NJW 2018, 674, 677; Kurzböck/Weinbeck, BB 2020, 500, 501; i. E. ebenso Lücke, NZA 2019, 658, 660. 117 Brink/Joos, NZA 2019, 1395, 1396; Kurzböck/Weinbeck, BB 2020, 500, 501.
224
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
haftet, obwohl er im Innenverhältnis keinen Einfluss auf den betriebsverfassungsrechtlich unabhängigen Betriebsrat nehmen kann. Allerdings verstößt die Vornahme rechtswidriger Datenverarbeitungen im Verhältnis zwischen Arbeitgeber und Betriebsrat gegen den Grundsatz der vertrauensvollen Zusammenarbeit (§ 2 Abs. 1 BetrVG). Daher kann der Arbeitgeber – jedenfalls bei wiederholten, groben Pflichtverletzungen – den Betriebsrat gem. § 23 Abs. 1 S. 1 BetrVG auflösen, sodass er nicht vollständig schutzlos gestellt ist. Mithin bedeutet es für ihn keine unzumutbare Beeinträchtigung, den Betriebsrat datenschutzrechtlich als Teil des Arbeitgebers anzusehen. Darüber hinaus ist auch die zweite Voraussetzung des Art. 4 Nr. 7 DSGVO nicht erfüllt: Der Betriebsrat kann nicht eigenständig über Zwecke und Mittel, d. h. über „Warum“ und „Wie“ der durch ihn vorgenommenen Datenverarbeitungsvorgänge entscheiden. Zwar besteht insofern infolge seiner betriebsverfassungsrechtlichen Unabhängigkeit keine Einflussmöglichkeit des Arbeitgebers, allerdings wird die Zweckrichtung der vom Betriebsrat vorgenommenen Datenverarbeitungen letztlich auch nicht durch ihn selbst, sondern durch das Gesetz festgelegt, da der Betriebsrat personenbezogene Daten überhaupt nur im Rahmen seiner betriebsverfassungsrechtlichen Aufgaben verarbeiten darf. Zugleich wird die Entscheidung über die Mittel der Verarbeitung durch § 40 BetrVG vorgezeichnet: Einerseits kann der Betriebsrat gem. § 40 Abs. 1 BetrVG nur die Kosten für die zur Erfüllung seiner Aufgaben erforderlichen Mittel vom Arbeitgeber ersetzt verlangen kann. Andererseits nutzt er gem. § 40 Abs. 2 BetrVG die vom Arbeitgeber zur Verfügung gestellte Informations- und Kommunikationsinfrastruktur. An dieser gesetzlichen Determination der Betriebsratstätigkeit ändern auch etwaig verbleibende Spielräume nichts. Mangels selbstständiger Entscheidungsbefugnis muss daher die eigenständige – wie auch die gemeinsame Verantwortlichkeit mit dem Arbeitgeber – ausscheiden. Eine abweichende Beurteilung ergibt sich auch nicht für den Konzernbetriebsrat: Auch diesem fehlt die notwendige Entscheidungsbefugnis, ebenso wie – infolge seiner mangelnden Rechts- und Vermögensfähigkeit – die Fähigkeit, tauglicher Adressat der Vorschriften der DSGVO zu sein. Er ist daher der Konzernobergesellschaft als Verantwortlichem zuzuordnen.
II. Haftung für Datenschutzverstöße des Betriebsrats Auf dieser Grundlage stellt sich die Frage, wer für etwaige Datenschutzverstöße des Betriebsrats haftet. Denn die DSGVO unterwirft allein den Verantwortlichen und einen möglichen Auftragsverarbeiter einer datenschutzrechtlichen Haftung.118 Da 118 Heidelberger Kommentar/Schwartmann/Mühlenbeck, 2. Aufl. 2020, Art. 4 DSGVO Rn. 129; Kühling/Buchner/Hartung, 2. Aufl. 2018, Art. 4 Nr. 7 DSGVO Rn. 1; so auch für den nicht eindeutig formulierten Art. 83 DSGVO BeckOK DatenschutzR/Holländer, 32. Ed. (Stand 1. 11. 2019), Art. 83 DSGVO Rn. 8.
II. Haftung für Datenschutzverstöße des Betriebsrats
225
der Betriebsrat jedoch datenschutzrechtlich nicht selbst Verantwortlicher ist, sondern vielmehr nur dem Arbeitgeber als seinerseits verantwortliche Stelle zugerechnet werden kann, haftet er im Außenverhältnis auch nicht für etwaige Datenschutzverstöße. Diese Haftung trifft vielmehr den Arbeitgeber: Er muss die Verantwortung für das Verhalten des Betriebsrats tragen, obwohl er diesen wegen der ihm garantierten betriebsverfassungsrechtlichen Unabhängigkeit zumindest nicht unmittelbar beeinflussen kann.119 Da das Sanktionsregime der DSGVO im Vergleich zur alten Rechtslage deutlich verschärft worden ist, kann dies für den Arbeitgeber erhebliche praktische Konsequenzen nach sich ziehen.120 Daher sind im Folgenden nicht nur die Haftung des Arbeitgebers, sondern auch ihm zustehende Exkulpationsmöglichkeiten näher in den Blick zu nehmen, bevor anschließend erörtert werden muss, ob der Arbeitgeber sowohl beim Betriebsrat als auch bei dessen Mitgliedern Regress nehmen kann, sofern er infolge des Verhaltens des Betriebsrats einer datenschutzrechtlichen Haftung ausgesetzt ist.
1. Haftung des Arbeitgebers Grundsätzlich reicht die betriebsverfassungsrechtliche Haftung des Arbeitgebers für das Verhalten des Betriebsrats nur so weit wie seine Kostentragungspflicht aus § 40 Abs. 1 BetrVG.121 Da der Arbeitgeber jedoch nur die Kosten rechtmäßiger Betriebsratstätigkeit tragen muss, kann § 40 Abs. 1 BetrVG nicht Grundlage für eine Haftung des Arbeitgebers für rechtswidriges Verhalten des Betriebsrats sein.122 Darüber hinaus muss der Arbeitgeber sich eventuelles Fehlverhalten des Betriebsrats gem. § 278 BGB nur zurechnen lassen, soweit er sich zur Erfüllung eigener Pflichten aus einem Schuldverhältnis des Betriebsrats bedient.123 Eine weitergehende Haftung des Arbeitgebers für das Fehlverhalten des Betriebsrats – insbesondere im Rahmen von §§ 30, 31 BGB und § 831 BGB – besteht hingegen nicht.124 Für etwaiges datenschutzwidriges Verhalten des Betriebsrats haftet der Arbeitgeber mithin jedenfalls nicht auf Grundlage allgemeiner zivilrechtlicher Grundsätze. Eine Haftung
119 Kort, NZA 2015, 1345, 1347; Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1, 3; Möllenkamp, NZA-RR 2019, 196, 199. 120 Kurzböck/Weinbeck, BB 2018, 1652, 1653. 121 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 18; die Haftung gegenüber Dritten lässt sich indes nur auf § 40 BetrVG stützen, sofern der Betriebsrat den Freistellungsanspruch an diesen abgetreten hat, Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 306. 122 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 288; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 13; so wohl auch Brams/ Möhle, ZD 2018, 570, 571. 123 Hanau RdA 1979, 324, 329; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 18. 124 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/92, NZA 1998, 385, 388 f.; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 306, 320; Hanau, RdA 1979, 324, 328; MHdB ArbR/Boemke, 4. Aufl. 2019, § 286 Rn. 23; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 18.
226
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
kommt vielmehr nur dort in Betracht, wo ein ausdrücklicher, spezifisch datenschutzrechtlicher Haftungstatbestand eingreift. a) Haftung gem. Art. 82 Abs. 1 DSGVO Eine eigenständige deliktische Haftungsnorm hält das Datenschutzrecht in Art. 82 Abs. 1 DSGVO bereit.125 Die Vorschrift ordnet eine Haftung des Verantwortlichen oder Auftragsverarbeiters für die einem Betroffenen durch einen Datenschutzverstoß entstandenen materiellen und immateriellen Schäden an. Die Haftung nach Art. 82 Abs. 1 DSGVO trifft damit indes von vornherein nur Verantwortliche und Auftragsverarbeiter, nicht aber sonstige Personen.126 Da sich jeder Datenverarbeitungsvorgang einer verantwortlichen Rechtsperson zuordnen lassen muss, um der Entstehung von rechtsfreien Räumen entgegenzuwirken,127 haftet der Arbeitgeber als Verantwortlicher in der Folge für die Verarbeitungsvorgänge des ihm datenschutzrechtlich zugeordneten Betriebsrats.128 Zwar ergibt sich daraus ein erhebliches Haftungsrisiko für den Arbeitgeber. Allerdings soll dem Betroffenen, dessen personenbezogene Daten rechtswidrig verarbeitet werden, nach der Konzeption der DSGVO ein effektiver Schadensersatzanspruch an die Hand gegeben werden.129 Eine effektive Sanktionierung von Datenschutzverstößen wäre jedoch wegen der Vermögenslosigkeit des Betriebsrats nicht gewährleistet, wenn er selbst Anspruchsgegner des Betroffenen wäre.130 Bereits auf dieser Grundlage scheint die Haftung des Arbeitgebers unionsrechtlich geboten. Diese Annahme wird durch einen Blick auf Art. 82 Abs. 2 S. 1 DSGVO gestützt, auf dessen Grundlage bei Beteiligung mehrerer Verantwortlicher an einem Datenverarbeitungsvorgang auch derjenige Verantwortliche in Anspruch genommen werden kann, der die schädigende Handlung gar nicht begangen hat.131 Der Begriff der Beteiligung ist dabei weit zu verstehen.132 Ausreichend ist bereits, dass ein Verantwortlicher Daten an einen zweiten 125
Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 12. Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 12; Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 15. 127 Lücke, NZA 2019, 658, 659; Staben, ZfA 2020, 287, 296. 128 Lücke, NZA 2019, 658, 669. 129 So ausdrücklich Art. 82 Abs. 4 DSGVO und ErwG 146 DSGVO. 130 Lücke, NZA 2019, 658, 669; Pötters/Gola, RDV 2017, 279, 280; in diese Richtung auch Brams/Möhle, ZD 2018, 570, 572; zur Zielsetzung der effektiven Sanktionierung ErwG 11 und 146 DSGVO. 131 BeckOK DatenschutzR/Quaas, 32. Ed. (Stand 1. 2. 2020), Art. 82 DSGVO Rn. 39; Heidelberger Kommentar/Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 22; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 22; Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 82 DSGVO Rn. 13. 132 BeckOK DatenschutzR/Quaas, 32. Ed. (Stand 1. 2. 2020), Art. 82 DSGVO Rn. 39; Heidelberger Kommentar/Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 22; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 22; Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 82 DSGVO Rn. 13. 126
II. Haftung für Datenschutzverstöße des Betriebsrats
227
Verantwortlichen übermittelt hat.133 Indes kann der Haftende auch auf einen zweiten Verantwortlichen – ebenso wie auf den Betriebsrat – regelmäßig keinen oder allenfalls begrenzten Einfluss nehmen. Damit ist der gegen den Verantwortlichen gerichtete Schadensersatzanspruch des Betroffenen nach der Konzeption des Unionsgesetzgebers unabhängig davon, ob und inwieweit der Haftende das haftungsbegründende Verhalten beeinflussen kann. Dies lässt darauf schließen, dass auch im Verhältnis von Betriebsrat und Arbeitgeber eine Haftung des Arbeitgebers als Verantwortlichem unionsrechtlich nicht nur möglich, sondern sogar geboten ist. Der Arbeitgeber muss daher grundsätzlich gem. Art. 82 Abs. 1 DSGVO für datenschutzwidriges Verhalten des Betriebsrats einstehen. b) Keine Exkulpationsmöglichkeit des Arbeitgebers nach Art. 82 Abs. 3 DSGVO Denkbar wäre allerdings, dass der Arbeitgeber sich im Einzelfall von seiner Haftung für Datenschutzverstöße entledigen kann, sofern er alle ihm möglichen Vorkehrungen getroffen hat, um das Verhalten des Betriebsrats – trotz seiner insofern fehlenden rechtlichen Einflussmöglichkeit – zu verhindern. Eine Exkulpationsmöglichkeit zugunsten des Verantwortlichen sieht Art. 82 Abs. 3 DSGVO für Fälle vor, in denen dieser „nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Dazu muss der Verantwortliche belegen, dass er sämtliche Sorgfaltsanforderungen eingehalten hat und ihm keinerlei Fahrlässigkeit vorgeworfen werden kann.134 Keine Entlastungsmöglichkeit bietet Art. 82 Abs. 3 DSGVO jedoch dem Arbeitgeber, der als Verantwortlicher für das Verhalten seiner Mitarbeiter haftet.135 Denn der Arbeitgeber hat in Folge des ihm obliegenden Betriebsrisikos durch die Gestaltung der Arbeitsorganisation und der Arbeitsbedingungen Sorge dafür zu tragen, dass seine Arbeitnehmer Dritte nicht schädigen.136 Dazu steht ihm ein Weisungsrecht zu, durch dessen Ausübung er die Gefahr der Schadensverursachung durch die Arbeitnehmer erheblich beeinflussen kann.137 Diese Einflussmöglichkeit ist indes der alleinige Grund für den grund133 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 22; Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 82 DSGVO Rn. 13; a. A. Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 16. 134 Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 19; Kühling/Buchner/ Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 54. 135 Heidelberger Kommentar/Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 31; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 55; Paal/Pauly/ Frenzel, 2. Aufl. 2018, Art. 82 DSGVO Rn. 15; Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 23. 136 So im Rahmen der Grundsätze des innerbetrieblichen Schadensausgleichs grundlegend BAG, Beschl. v. 27. 9. 1994 – GS 1/89 (A), NZA 1994, 1083, 1084 f.; nachfolgend BAG, Urt. v. 18. 4. 2002 – 8 AZR 348/01, NZA 2003, 37, 39; s. dazu Waltermann, RdA 2005, 98, 99. 137 BAG, Urt. v. 18. 4. 2002 – 8 AZR 348/01, NZA 2003, 37, 39; BAG, Beschl. v. 27. 9. 1994 – GS 1/89 (A), NZA 1994, 1083, 1085.
228
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
sätzlichen zulasten des Arbeitgebers bestehenden Exkulpationsausschluss. Demgegenüber erscheint es unbillig, ihm auch dann jede Exkulpationsmöglichkeit zu versagen, wenn er auf den Schädiger weder tatsächlichen noch rechtlichen Einfluss nehmen kann.138 Die Tätigkeit des betriebsverfassungsrechtlich unabhängigen Betriebsrats kann und darf der Arbeitgeber indes nicht beeinflussen.139 Und auch die einzelnen Betriebsratsmitglieder sind im Rahmen ihrer Betriebsratstätigkeit weisungsunabhängig, sodass weder eine Einflussmöglichkeit des Arbeitgebers im Hinblick auf die Betriebsratsmitglieder noch auf das Gremium besteht.140 In Anwendung vorgenannter Grundsätze könnte der Arbeitgeber sich daher unter den Voraussetzungen von Art. 82 Abs. 3 DSGVO exkulpieren.141 Haftet jedoch auch der Arbeitgeber nicht für Datenschutzverstöße des Betriebsrats, könnten diese mit Blick auf die Rechtsund Vermögenslosigkeit des Betriebsratsgremiums gar nicht sanktioniert werden, wodurch der Schutz des Betroffenen vor der rechtswidrigen Verarbeitung seiner personenbezogenen Daten erheblich beeinträchtigt würde.142 Der Schutz personenbezogener Daten ist indes gerade das der DSGVO zugrunde liegende Ziel,143 dessen praktische Wirksamkeit von der effektiven Sanktionierung etwaiger Datenschutzverstöße abhängt.144 Da diese jedoch nicht möglich wäre, wenn mangels Rechts- und Vermögensfähigkeit weder der Betriebsrat noch – sofern dieser sich gem. Art. 82 Abs. 3 DSGVO exkulpieren kann – der Arbeitgeber für datenschutzwidriges Verhalten des Betriebsrats haftet, muss die Exkulpation des Arbeitgebers für das Verhalten des Betriebsrats von vornherein ausscheiden.145 Vergleichbar ist insofern der Fall, dass der Verantwortliche einen Auftragsverarbeiter einsetzt, der rechtmäßige Weisungen des Verantwortlichen missachtet und dadurch einen Datenschutzverstoß begeht: Würde Art. 82 Abs. 3 DSGVO in einer solchen Konstellation uneingeschränkt Anwendung finden, könnte der Verantwortliche sich exkulpieren, da ihn infolge seiner rechtmäßigen Weisung keinerlei Verantwortlichkeit für die schädigende Handlung trifft.146 Dies hätte indes zur Folge, dass der Betroffene 138 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 52; so wohl auch Gola/ Gola/Piltz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 7, die daraus jedoch die Konsequenz ziehen, eine Haftung nicht bei bloßer Beteiligung an der Verarbeitung, sondern lediglich bei einer Verantwortlichkeit gerade für den entstandenen Schaden anzunehmen. 139 Zur Unabhängigkeit des Betriebsrats Fitting, BetrVG, 30. Aufl. 2020, § 37 Rn. 1, 7; Richardi/Thüsing, BetrVG, 16. Aufl. 2018 § 37 Rn. 2 f. 140 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; BAG, Beschl. v. 23. 6. 1983 – 6 ABR 65/80, DB 1983, 2419, 2420; Lücke, NZA 2019, 658, 669. 141 Pötters/Hansen, ArbRAktuell 2020, 193, 195. 142 Lücke, NZA 2019, 658, 669. 143 So ausdrücklich Art. 1 Abs. 1 DSGVO. 144 ErwG 11 DSGVO. 145 Lücke, NZA 2019, 658, 669; a. A. Pötters/Hansen, ArbRAktuell 2020, 193, 195. 146 Gola/Gola/Piltz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 19; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 55; Paal, MMR 2020, 14, 18; Simitis/Hornung/Spiecker/ Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 24.
II. Haftung für Datenschutzverstöße des Betriebsrats
229
allein auf den Auftragsverarbeiter als Anspruchsgegner zurückgreifen könnte, wodurch er in unzulässiger Weise mit dessen Insolvenzrisiko belastet würde.147 Dies wäre nicht mit ErwG 146 S. 6 DSGVO zu vereinbaren, der einen effektiven Schadensersatz zugunsten des Betroffenen fordert.148 Daher muss auf Grundlage von Art. 82 Abs. 1, Abs. 2 S. 1 DSGVO auch der eine rechtmäßige Weisung erteilende Verantwortliche ohne Exkulpationsmöglichkeit haften. Ein ganz ähnliches Bild zeichnet sich im Verhältnis zwischen Arbeitgeber, Betroffenem und Betriebsrat: Könnte sich der Arbeitgeber bei einem durch den Betriebsrat begangenen Datenschutzverstoß exkulpieren, so würde dem Betroffenen nicht lediglich ein zusätzlicher Verantwortlicher wegfallen – wie im geschilderten Fall der Auftragsdatenverarbeitung – sondern er hätte wegen der fehlenden Rechts- und Vermögensfähigkeit des Betriebsrats überhaupt keinen Anspruchsgegner mehr – was erst recht nicht mit ErwG 146 S. 6 DSGVO zu vereinbaren wäre. Daher muss der Anwendungsbereich des Art. 82 Abs. 3 DSGVO mit Blick auf ErwG 146 S. 6 DSGVO in diesem Fall teleologisch reduziert werden. Für das Verhältnis von Betriebsrat und Arbeitgeber bedeutet dies konkret: Obwohl der Arbeitgeber das Verhalten des Betriebsrats nicht beeinflussen kann, haftet er ohne Exkulpationsmöglichkeit für sämtliche durch den Betriebsrat begangene Datenschutzverstöße – Art. 82 Abs. 3 DSGVO findet keine Anwendung.
c) Haftung auf Grundlage anderer Sanktionstatbestände Darüber hinaus kommt eine Haftung des Arbeitgebers für Datenschutzverstöße des Betriebsrats auch im Rahmen der Bußgeldtatbestände des Art. 83 DSGVO in Betracht. Denn auch diese knüpfen die Haftung, abgesehen von den ausdrücklich benannten Ausnahmen, an die datenschutzrechtliche Verantwortlichkeit bzw. die Stellung als Auftragsverarbeiter.149 Daher kann auch nur der Arbeitgeber, nicht aber der Betriebsrat Adressat der Bußgeldtatbestände des Art. 83 DSGVO sein. Darüber hinaus kommt eine Haftung des Arbeitgebers auf Grundlage der nationalen Straftatbestände des § 42 BDSG und der Bußgeldvorschriften des § 43 BDSG in Betracht. Allerdings wirkt im Rahmen dieser Regelungen – jedenfalls ausgehend von ihrem Wortlaut – die datenschutzrechtliche Verantwortlichkeit allein nicht haftungsbegründend. Vielmehr wird nach § 42 Abs. 1 BDSG bestraft, wer einen der dort genannten Straftatbestände erfüllt. Die Norm knüpft damit – wie auch § 42 Abs. 2 BDSG – an den jeweils Handelnden und nicht den Verantwortlichen an.150 Ebenso verhält es sich im Rahmen von § 43 Abs. 1 BDSG, demnach „ordnungswidrig 147 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 55; Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 24. 148 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 55; Simitis/Hornung/Spiecker/Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 24. 149 Gola/Gola, 2. Aufl. 2018, Art. 83 DSGVO Rn. 16; Heidelberger Kommentar/ Schwartmann/Jacquemain, 2. Aufl. 2020, Art. 83 DSGVO Rn. 18. 150 Kühling/Buchner/Bergt, 2. Aufl. 2018, § 42 BDSG Rn. 3.
230
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
handelt, wer vorsätzlich oder fahrlässig“ eine der durch die Vorschrift ausdrücklich benannten Auskunfts- oder Unterrichtungspflichten verletzt. Die Normen begründen ihrem Wortlaut nach damit eine Handelndenhaftung.151 Dieses Ergebnis erscheint jedoch sowohl in datenschutzrechtlicher als auch in betriebsverfassungsrechtlicher Hinsicht systemwidrig. Zunächst ist bereits mit Blick auf das Regelungssystem der DSGVO fraglich, ob der deutsche Gesetzgeber tatsächlich die Haftung von der datenschutzrechtlichen Verantwortlichkeit trennen wollte. Denn die DSGVO knüpft die Haftung stets an die Stellung als datenschutzrechtlich Verantwortlicher bzw. Auftragsverarbeiter.152 Dies kann jedenfalls Indizwirkung auch für das Verständnis des Haftungsregimes des BDSG haben, das der Ausgestaltung der in Art. 84 Abs. 1 DSGVO enthaltenen Öffnungsklausel dient und die in der DSGVO vorgesehenen Sanktionen ergänzen soll.153 Zudem beschränkt § 1 Abs. 4 BDSG den Anwendungsbereich des BDSG in personeller Hinsicht auf Verantwortliche und Auftragsverarbeiter, wodurch auch der persönliche Anwendungsbereich der §§ 42, 43 BDSG vorgegeben wird.154 Daher unterwerfen auch § 42 BDSG und § 43 BDSG ebenso wie die Haftungstatbestände der DSGVO nur Verantwortliche und Auftragsverarbeiter einer datenschutzrechtlichen Haftung. Dieses Ergebnis fügt sich systematisch in die Konzeption des Betriebsverfassungsrechts ein. Denn könnte jedermann der Haftung nach §§ 42, 43 BDSG unterliegen, so wäre auch der Betriebsrat – sofern er einen haftungsbegründenden Tatbestand erfüllt – nicht ausgenommen. Das BetrVG kennt allerdings allein eine Strafbarkeit der Betriebsratsmitglieder (§ 120 BetrVG),155 nicht jedoch des Betriebsratsgremiums. Jedenfalls für die strafrechtliche Haftung nach § 42 BDSG wäre eine abweichende Beurteilung daher systemwidrig. Vor diesem Hintergrund kann § 42 BDSG – und angesichts seiner übereinstimmenden Konzeption auch § 43 BDSG – nur dahingehend verstanden werden, dass der persönliche Anwendungsbereich auf Verantwortliche und Auftragsverarbeiter beschränkt ist. Eine datenschutzrechtliche Haftung des Arbeitgebers für das Verhalten des Betriebsrats kann sich mithin sowohl aus Art. 83 DSGVO als auch über die Sanktionstatbestände der §§ 42, 43 BDSG ergeben.
151
Kurzböck/Weinbeck, BB 2018, 1652, 1653. BeckOK DatenschutzR/Brodowski/Nowak, 32. Ed. (Stand 1. 5. 2020), § 42 BDSG Rn. 15. 153 So für § 42 BDSG BT-Drs. 18/11325, S. 109. 154 BeckOK DatenschutzR/Brodowski/Nowak, 32. Ed. (Stand 1. 5. 2020), § 42 BDSG Rn. 15. 155 Insofern § 120 Abs. 2 BetrVG als Verwirklichung des Beschäftigtendatenschutzes einordnend Schmitt, Die Haftung betriebsverfassungsrechtlicher Gremien und ihrer Mitglieder, 2017, S. 679. 152
II. Haftung für Datenschutzverstöße des Betriebsrats
231
2. Haftung des Betriebsrats Zu hinterfragen ist zudem, ob der Betriebsrat selbst für sein datenschutzwidriges Verhalten haftbar gemacht werden kann. Eine Haftung kann sich mangels eigener datenschutzrechtlicher Verantwortlichkeit des Betriebsrats jedenfalls nicht über die genannten originär datenschutzrechtlichen Haftungstatbestände ergeben: Denn Art. 82 Abs. 1 DSGVO räumt dem Betroffenen einen Schadensersatzanspruch nur gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter ein und auch Art. 83 DSGVO sowie die nationalen Sanktionstatbestände der §§ 42, 43 BDSG knüpfen die Haftung an die datenschutzrechtliche Verantwortlichkeit bzw. die Stellung als Auftragsverarbeiter. Allerdings ergibt sich aus ErwG 146 S. 4 DSGVO, dass Art. 82 DSGVO weitergehende Schadensersatzansprüche sowohl auf europäischer wie auch auf nationaler Ebene unberührt lässt. Damit können Schadensersatzforderung parallel auf sämtliche unionsrechtliche wie auch nationale Anspruchsgrundlagen gestützt werden.156 Indes fehlt es im Unionsrecht an einer Rechtsgrundlage für eine Haftung sonstiger an der Datenverarbeitung Beteiligter, d. h. insbesondere des Handelnden, der nicht zugleich Verantwortlicher i. S. d. Datenschutzrechts ist, sodass sich diese ausschließlich aus nationalem Recht ergeben kann.157 Das BDSG enthält allerdings keine über Art. 82 DSGVO hinausgehende Anspruchsgrundlage für einen Schadensersatzanspruch des durch eine rechtswidrige Datenverarbeitung Betroffenen.158 Damit bestehen auch im nationalen Recht zumindest keine spezifisch datenschutzrechtlichen Haftungstatbestände, die eine Haftung des Betriebsrats begründen können, sodass diese allein aus allgemeinen vertraglichen, vertragsähnlichen, deliktischen oder bereicherungsrechtlichen Haftungsnormen folgen kann.159 Jedoch ist der Betriebsrat nur insoweit rechtsfähig, wie ihm das Gesetz Rechte und Pflichten zuschreibt.160 Als tauglicher Anspruchsgegner von Schadensersatzforderungen benennt ihn jedoch weder das BetrVG noch eine andere gesetzliche Vorschrift, sodass es ihm jedenfalls insofern an der erforderlichen Rechtsfähigkeit fehlt.161 Zudem ist der Betriebsrat auch nur vermögensfähig, soweit 156 Heidelberger Kommentar/Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 43; so wohl auch Gola/Gola/Piltz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 3; Kühling/ Buchner/Bergt, 2. Aufl. 2018, Art. 83 DSGVO Rn. 67. 157 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 12. 158 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 83 DSGVO Rn. 68. 159 Gola/Gola/Piltz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 20; Heidelberger Kommentar/ Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 43 f.; Kühling/ Buchner/Bergt, 2. Aufl. 2018, Art. 83 DSGVO Rn. 67. 160 BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382, 1383 Rn. 10; Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 222; ErfK/ Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 292; MHdB ArbR/Boemke, 4. Aufl. 2019, § 286 Rn. 16; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 10. 161 GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 77; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 8.
232
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
das BetrVG ihm eigene vermögensrechtliche Ansprüche verleiht.162 Eine rechtswidrige Betriebsratstätigkeit – wie sie eine datenschutzrechtlich unzulässige Datenverarbeitung darstellt – begründet indes keine derartigen Ansprüche des Betriebsrats,163 sodass er im Rahmen gegen ihn gerichteter Schadensersatzansprüche auch nicht vermögensfähig ist. Da der Vermögensfähigkeit des Anspruchsgegner im Rahmen potentieller Schadensersatzansprüche zur Sicherung einer Haftungsmasse jedoch entscheidende Bedeutung zukommt,164 scheint es weder sinnvoll noch – angesichts seiner fehlenden Rechtsfähigkeit – überhaupt möglich, den Betriebsrat als Anspruchsgegner einer Schadensersatzforderung einzuordnen.165 Damit kommt eine Haftung des Betriebsrats weder auf Grundlage von unionsrechtlichen noch von nationalen Normen in Betracht.
3. Haftung der Mitglieder des Betriebsrats Zwar haftet das Betriebsratsgremium nicht für Datenschutzverstöße seiner Mitglieder, denkbar bleibt jedoch eine Haftung der einzelnen Betriebsratsmitglieder. Dabei stellen sich im Wesentlichen zwei Fragen: Zum einen, ob der Betroffene die Mitglieder des Betriebsrats unmittelbar in Anspruch nehmen kann und zum anderen, ob der durch den Betroffenen in Anspruch genommene Arbeitgeber, der als Verantwortlicher auch für die Datenschutzverstöße des Betriebsrats haftbar gemacht werden kann, Regress bei den Betriebsratsmitgliedern nehmen darf. a) Unmittelbare Haftung der Betriebsratsmitglieder Grundsätzlich ausscheiden muss eine originär datenschutzrechtliche Haftung der einzelnen Betriebsratsmitglieder. Denn sowohl der Schadensersatzersatzanspruch des Art. 82 Abs. 1 DSGVO als auch die unionsrechtlichen Sanktionstatbestände des Art. 83 DSGVO knüpfen – ebenso wie die §§ 42, 43 BDSG – an die datenschutzrechtliche Verantwortlichkeit bzw. die Stellung als Auftragsverarbeiter an. Wird ein Betriebsratsmitglied bei einer Datenverarbeitung in Ausübung seines Amtes tätig, so trifft es indes keine eigenständige Entscheidung über Zwecke und Mittel der Datenverarbeitung, sondern ist an die Vorgaben des BetrVG gebunden, sodass es nicht 162 BAG, Beschl. v. 24. 10. 2010 – 7 ABR 20/00, NZA 2003, 53, 54; BAG, Beschl. v. 29. 9. 2004 – 1 ABR 30/03, NZA 2005, 123, 124; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 295, 306; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 40 Rn. 43; strenger noch Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 287. 163 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 288; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 13; so wohl auch Brams/ Möhle, ZD 2018, 570, 571. 164 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 11. 165 Ebenso Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 308; kritisch Schmitt, Die Haftung betriebsverfassungsrechtlicher Gremien und ihrer Mitglieder, 2017, S. 343.
II. Haftung für Datenschutzverstöße des Betriebsrats
233
als eigenständiger Verantwortlicher eingeordnet werden kann.166 Nur ausnahmsweise, wenn es die genannten Entscheidungen selbst trifft, kann ein Betriebsratsmitglied selbst zum Verantwortlichen werden. Dies kommt jedoch nur in Betracht, wenn der Handelnde den Datenschutzverstoß nicht im Rahmen seiner Eigenschaft als Betriebsratsmitglied begeht, er also beispielsweise Daten des Arbeitgebers stiehlt und an Dritte weitergibt.167 Begeht er den Datenschutzverstoß hingegen in Ausübung seines Amtes, muss eine spezifisch datenschutzrechtliche Haftung ausscheiden. aa) Haftung nach allgemeinen zivilrechtlichen Grundsätzen Denkbar bleibt jedoch eine Haftung nach allgemeinen zivilrechtlichen Grundsätzen. Denn ErwG 164 S. 4 DSGVO stellt klar, dass Schadensersatzforderungen des Betroffenen nicht nur auf Art. 82 Abs. 1 DSGVO, sondern daneben auch auf sämtliche unionsrechtliche wie nationale Anspruchsgrundlagen gestützt werden können.168 Die Haftung der Betriebsratsmitglieder richtet sich dabei mangels spezialgesetzlicher Regelungen nach dem bürgerlichen Recht.169 Zwar müssen die Betriebsratsmitglieder grundsätzlich nicht für etwaiges Fehlverhalten des Betriebsratsgremiums einstehen,170 allerdings tragen sie zumindest eine gewisse Verantwortung für die Wahrung der dem Gremium auferlegten Pflichten.171 So sind für eine Pflichtverletzung des Betriebsrats diejenigen Mitglieder verantwortlich, die zu dem Beschluss, auf den die Pflichtverletzung zurückzuführen ist, beigetragen haben.172 Auf dieser Grundlage scheint eine Haftung der Betriebsratsmitglieder zumindest nicht von vornherein ausgeschlossen. Dies zeigt auch ein Blick auf die Rechtsprechung, die sich in der Vergangenheit mit der Frage beschäftigt hat, ob Betriebsratsmitglieder für rechtsgeschäftliche Verbindlichkeiten des Betriebsratsgremiums haften, wenn durch diese die rechtlichen Grenzen des BetrVG überschritten werden.173 Eine solche rechtsgeschäftliche Haftung hat das BAG bejaht,
166
Walker, FS Moll, S. 697, 704. Kühling/Buchner/Bergt, 2. Aufl. 2018, § 42 BDSG Rn. 19. 168 Heidelberger Kommentar/Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 43; so wohl auch Gola/Gola/Piltz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 3; Kühling/ Buchner/Bergt, 2. Aufl. 2018, Art. 83 DSGVO Rn. 67. 169 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 312; GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn 79; a. A. DKW/Wedde, BetrVG, 17. Aufl. 2020, Einl. 150. 170 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 317; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 14. 171 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 224; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 14. 172 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 14, 16; im Rahmen einer deliktischen Haftung s. Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 318; GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 85. 173 BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382 Ls. 3 für ein die Grenzen der Erforderlichkeit gem. § 40 Abs. 1 BetrVG überschreitendes Rechtsgeschäft; BAG, Urt. v. 24. 4. 167
234
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
wenn das eingegangene Rechtsgeschäft außerhalb des betriebsverfassungsrechtlichen Wirkungskreises des Betriebsrats liegt und auf einem eigenen Entschluss des in Anspruch genommenen Betriebsratsmitglieds oder auf einem Betriebsratsbeschluss beruht, an dem das jeweilige Betriebsratsmitglied mitgewirkt hat.174 Auf dieser Linie liegt auch die Rechtsprechung des BGH, der eine Haftung einzelner Betriebsratsmitglieder in analoger Anwendung von § 179 Abs. 1 BGB anerkennt, wenn sie im Namen des Betriebsrats ein – wegen dessen beschränkter Rechts- und Vermögensfähigkeit unwirksames – Rechtsgeschäft geschlossen haben.175 Zwar können diese Erwägungen jedenfalls nicht unmittelbar auf den Fall übertragen werden, dass ein Betriebsratsmitglied in Ausübung seines Amtes einen Datenschutzverstoß begangen hat, da es sich dabei um ein rein tatsächliches Verhalten und eben nicht um den Eingang rechtsgeschäftlicher Verbindlichkeiten handelt.176 Allerdings lässt sich der Rechtsprechung zumindest die allgemeine Wertung entnehmen, dass eine Handelndenhaftung des einen haftungsbegründenden Tatbestand erfüllenden Betriebsratsmitglieds grundsätzlich möglich sein muss.177 bb) Kein Haftungsausschluss aufgrund datenschutzrechtlicher Wertungen Zwar wird in der datenschutzrechtlichen Literatur vereinzelt darauf verwiesen, dass eine Haftung der Betriebsratsmitglieder mit Blick auf die Wertungen der DSGVO von vornherein ausscheiden müsse, da natürliche Personen – wie der Blick auf Art. 83 DSGVO zeige – grundsätzlich jedenfalls nicht Adressat von Bußgeldbescheiden sein sollen.178 Und es ist durchaus richtig, dass sich Bußgeldbescheide innerhalb einer Organisationseinheit grundsätzlich nicht an den Handelnden, sondern den übergeordneten Verantwortlichen, d. h. regelmäßig das Unternehmen, richten sollen.179 Jedoch kann der DSGVO nicht entnommen werden, dass natürliche Personen niemals Adressat von Bußgeldbescheiden oder Anspruchsgegner von Schadensersatzforderungen sein können, da sämtliche Haftungstatbestände an die Verantwortlichkeit bzw. die Stellung als Auftragsverarbeiter anknüpfen und ausweislich Art. 4 Nr. 7 DSGVO auch eine natürliche Person Verantwortlicher sein kann. Zudem kann jedenfalls im Hinblick auf Schadensersatzforderungen auf ErwG 146 S. 4 DSGVO verwiesen werden, der die Haftung auf Grundlage nationaler Vorschriften ausdrücklich zulässt. Dies hat zur Folge, dass sich jedenfalls insofern auch die Frage, ob der Haftende tauglicher Anspruchsgegner eines Schadensersatzanspruchs sein kann, allein nach nationalem Recht bemisst. 1986 – 6 AZR 607/83, NZA 1987, 100 für ein außerhalb des betriebsverfassungsrechtlichen Wirkungskreises liegendes Rechtsgeschäft. 174 BAG, Urt. v. 24. 4. 1986 – 6 AZR 607/83, NZA 1987, 100, 101 f. 175 BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382 Ls. 3. 176 In diese Richtung auch Brams/Möhle, ZD 2018, 570, 572; Walker, FS Moll, S. 697, 704. 177 Lunk/Rodenbusch, NJW 2014, 1989, 1991. 178 Brams/Möhle, ZD 2018, 570, 572. 179 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 83 DSGVO Rn. 20.
II. Haftung für Datenschutzverstöße des Betriebsrats
235
cc) Deliktische Haftung der Betriebsratsmitglieder Begehen Betriebsratsmitglieder einen Datenschutzverstoß, so ist in erster Linie eine deliktische Haftung auf Grundlage von § 823 Abs. 1, Abs. 2 BGB und § 826 BGB denkbar. Einer näheren Betrachtung bedarf dabei § 823 Abs. 2 BDSG, der voraussetzt, dass der Handelnde, d. h. das einzelne Betriebsratsmitglied, gegen ein Gesetz verstößt, das den Schutz eines anderen bezweckt. Als derartige Schutzgesetze können jedenfalls die Vorschriften von DSGVO und BDSG eingeordnet werden,180 da sie auf den Schutz des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten abzielen.181 Dies gilt jedoch nicht ohne Weiteres auch für die Vorschriften des BetrVG. Denn diese dienen primär der aktiven Teilhabe der Arbeitnehmer an betrieblichen Entscheidungsprozessen und nicht dem Schutz des Einzelnen vor Eingriffen in seine Rechtspositionen.182 Daher kann ein Verstoß gegen Normen des BetrVG nur ausnahmsweise eine Haftung gem. § 823 Abs. 2 BGB nach sich ziehen, wenn die im Einzelfall verletzte Norm zumindest auch individualschützenden Charakter aufweist. Dies ist jedenfalls im Hinblick auf die durch das BetrVG normierten Verschwiegenheitspflichten zu bejahen,183 da diese darauf abzielen, personenbezogene Daten der Arbeitnehmer vor einer unbefugten Weitergabe und Kenntnisnahme zu schützen.184 Auch sie sind daher als Schutzgesetze i. S. v. § 823 Abs. 2 BGB einzuordnen,185 sodass ihre Verletzung ebenfalls eine deliktische Haftung der Betriebsratsmitglieder begründen kann. dd) Keine Haftungsprivilegierung Problematisch erscheint dieses Ergebnis allerdings vor dem Hintergrund, dass die Betriebsratsmitglieder ihr Amt gem. § 37 Abs. 1 BetrVG als unentgeltliches Ehrenamt führen. Um ihre persönliche Unabhängigkeit zu sichern und die Amtsausübung nicht durch die Angst vor finanziellen Haftungsrisiken zu belasten,186 wird daher von einigen Stimmen in der Literatur gefordert, die Haftung der Betriebs-
180
Gola/Gola, 2. Aufl. 2018, Art. 83 DSGVO Rn. 26. Ausdrücklich Art. 1 Abs. 1 DSGVO und Art. 88 Abs. 1 DSGVO als Grundlage des BDSG. 182 Kort, RDV 2012, 8; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 41; zur Zielsetzung des BetrVG s. ErfK/Koch, 20. Aufl. 2020, § 1 BetrVG Rn. 1. 183 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 316; GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 82; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 15. 184 Dazu ausführlich Gliederungspunkt A. II. 4. b) bb) (2) (d). 185 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 316; GK-BetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 82; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 15. 186 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 246; Brams/Möhle, ZD 2018, 570, 572; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 313; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 14; Stück, ZD 2019, 256, 258. 181
236
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
ratsmitglieder auf Vorsatz und grobe Fahrlässigkeit zu beschränken.187 Insbesondere die effektive Ausübung von betriebsverfassungsrechtlichen Mitwirkungs- und Mitbestimmungsrechten dürfe nicht dadurch beeinträchtigt werden, dass die Mitglieder des Betriebsrats mit Blick auf eine etwaige Haftung nur zurückhaltend agieren.188 Wird das jeweilige Betriebsratsmitglied bei Begehung des Datenschutzverstoßes jedoch gar nicht in Ausübung seines Amtes tätig – beispielsweise wenn es Informationen, die es durch seine Betriebsratsarbeit erlangt hat in privatem Rahmen weitergibt – besteht das Risiko, dass die Effektivität der Betriebsratsarbeit beeinträchtigt werden könnte, von vornherein nicht, sodass in diesem Bereich auch kein Grund für eine Haftungsprivilegierung besteht.189 Wird ein Betriebsratsmitglied hingegen in Ausübung seines Amtes tätig, so wird eine Haftungsprivilegierung auf Grundlage der genannten Argumente von der herrschenden Meinung befürwortet.190 Unklar ist allerdings, ob dies auch im deliktischen Bereich uneingeschränkt gilt: Während nach teilweise vertretener Auffassung auch hier eine uneingeschränkte Haftungsprivilegierung eingreifen soll,191 erscheint es ebenso möglich, im Rahmen deliktischer Haftung eine Ausnahme anzuerkennen.192 Zwar bietet die Ausgestaltung des Betriebsratsamts als unentgeltliches Ehrenamt grundsätzlich einen Anknüpfungspunkt für eine Haftungsprivilegierung der einzelnen Betriebsratsmitglieder. Jedoch folgt daraus nicht, dass diese für alle Handlungen der Betriebsratsmitglieder einschränkungslos bestehen muss.193 Daher muss sorgfältig evaluiert werden, ob auch für durch ein Betriebsratsmitglied begangene Datenschutzverstöße eine Privilegierung anerkannt werden kann. Nicht zur Auflösung dieser Problematik kann das Datenschutzrecht beitragen: Obwohl dieses ausweislich Art. 1 Abs. 1 DSGVO den Schutz der Persönlichkeitsrechte des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten bezweckt,194 der gem. ErwG 11 DSGVO durch eine effektive Sanktionierung von Datenschutzverstößen gewährleistet werden soll, kennt das Datenschutzrecht gem. Art. 82 Abs. 1 DSGVO nur den Verantwortlichen oder den Auftragsverarbeiters als Anspruchsgegner von Schadensersatzansprüchen. Zwar kann das nationale Recht gem. ErwG 146 S. 4 187 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 246; Dommermuth-Althäuser/Heup, BB 2013, 1461, 1467; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 315; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 14. 188 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 313. 189 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 315. 190 Belling, Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, 1990, S. 246; Dommermuth-Althäuser/Heup, BB 2013, 1461, 1467; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 315; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 14; a. A. GKBetrVG/Franzen, 11. Aufl. 2018, § 1 Rn. 81; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, Einl. Rn. 112. 191 Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 315. 192 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 15. 193 BGH, Urt. v. 25. 10. 2012 – III ZR 266/11, NZA 2012, 1382, 1387 Rn. 45. 194 Kühling/Buchner/Buchner, 2. Aufl. 2018, Art. 1 DSGVO Rn. 9.
II. Haftung für Datenschutzverstöße des Betriebsrats
237
DSGVO weitere Schadensersatzansprüche vorsehen.195 Da dies unionsrechtlich jedoch nicht zwingend ist, muss es dem nationalen Gesetzgeber – soweit er zusätzliche Schadensersatzansprüche normiert – auch möglich sein, diese an bestimmte Voraussetzungen zu knüpfen. Entscheidend sind daher allein die Wertungen des Deliktsrechts: Hier steht der betriebsverfassungsrechtlichen Sonderstellung des Betriebsrats eine gesteigerte Schutzbedürftigkeit des Geschädigten gegenüber. Daher erschiene es nicht sachgemäß, allein aus der besonderen Ausgestaltung des Betriebsratsamts eine Haftungsprivilegierung zu folgern. Sie bildet indes den einzigen Anknüpfungspunkt für die Privilegierung, darüber hinaus besteht keine Grundlage im Gesetz für eine auch deliktsrechtliche Sonderstellung des Betriebsrats und seiner Mitglieder.196 Eine Haftungsprivilegierung der Betriebsratsmitglieder ist daher mangels ausreichender gesetzlicher Grundlage im Rahmen der deliktischen Haftung für Datenschutzverstöße abzulehnen.
b) Mittelbare Haftung im Wege des Regresses durch den Arbeitgeber Entscheidet sich der Betroffene hingegen dazu, nicht die Betriebsratsmitglieder in Anspruch zu nehmen, sondern gem. Art. 82 Abs. 1 DSGVO gegen den Arbeitgeber als Verantwortlichen vorzugehen, so ergibt sich die Frage, ob dieser berechtigt ist, bei den Mitgliedern des Betriebsrats Regress zu nehmen. Dieses Problem stellt sich auch, wenn der Arbeitgeber infolge eines Datenschutzverstoßes des Betriebsrats einer Haftung gem. Art. 83 DSGVO oder § 43 BDSG ausgesetzt ist. Eine persönliche Haftung der einzelnen Betriebsratsmitglieder ist grundsätzlich möglich, sodass ein Regress des Arbeitgebers zumindest denkbar erscheint, sofern dieser nicht durch das Datenschutzrecht ausgeschlossen wird. Zwar sieht die DSGVO eine allgemeine Regressmöglichkeit des in Anspruch genommenen Verantwortlichen beim tatsächlich Handelnden nicht vor, sondern regelt nur den Regress im Verhältnis mehrerer Verantwortlicher oder Auftragsverarbeiter untereinander. Jedoch werden andere Regressmöglichkeiten seitens des Verantwortlichen nicht allein deshalb ausgeschlossen, weil die DSGVO sie selbst nicht vorsieht.197 Zwar geht Art. 82 Abs. 5 DSGVO nationalen Regressansprüchen grundsätzlich vor – aber eben nur, wenn der Anwendungsbereich der Norm überhaupt eröffnet ist.198 Ist sie hingegen schon tatbestandlich nicht einschlägig, muss ein Ausgleich auf Grundlage des nationalen Rechts weiterhin möglich sein.199 Denn die Gewährleistung eines effektiven und wirksamen Schadensersatzanspruchs, wie ihn ErwG 146 S. 6 DSGVO fordert, mag 195 Heidelberger Kommentar/Schwartmann/Keppeler/Jacquemain, 2. Aufl. 2020, Art. 82 DSGVO Rn. 43; so wohl auch Gola/Gola/Piltz, 2. Aufl. 2018, Art. 82 DSGVO Rn. 3; Kühling/ Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 67. 196 Richardi/Thüsing, BetrVG, 16. Aufl. 2018, Vor § 26 Rn. 15. 197 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 60 f. 198 Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 82 DSGVO Rn. 17; Simitis/Hornung/Spiecker/ Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 35. 199 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 60 f.
238
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
zwar der Grund dafür sein, dass im Außenverhältnis zum Betroffenen allein der Verantwortliche Anspruchsgegner etwaiger Schadensersatzforderungen ist. Diese Zielsetzung wird indes durch die dem Verantwortlichen eingeräumte Möglichkeit, nachträglich Regress beim jeweils Handelnden zu nehmen, nicht beeinträchtigt. Vielmehr führt ein Rückgriff auf den tatsächlich Handelnden dazu, dass diejenige Person finanziell belastet wird, die den Datenschutzverstoß zu verantworten hat, wodurch künftigem datenschutzwidrigen Verhalten derselben Person präventiv entgegen gewirkt wird.200 Dies gilt insbesondere im Verhältnis von Arbeitgeber und Betriebsrat: Wird der Arbeitgeber als Verantwortlicher für einen Datenschutzverstoß des Betriebsrats in Anspruch genommen und wird ihm die Möglichkeit des Regresses versagt, so wird dies den Betriebsrat – da der Arbeitgeber keinen Einfluss auf die Betriebsratstätigkeit nehmen kann – kaum davon abhalten, zukünftig weitere Datenschutzverstöße zu begehen. Billigt man dem Arbeitgeber hingegen eine Regressmöglichkeit zu, kann die finanzielle Inanspruchnahme der Betriebsratsmitglieder zumindest künftigem datenschutzwidrigen Verhalten des Betriebsrats entgegenwirken und damit dem Schutz der Betroffenen dienen. Mithin schließt Art. 82 Abs. 5 DSGVO einen Regress des Arbeitgebers bei den Betriebsratsmitgliedern nicht aus. Dieser bleibt daher möglich, wenn dem Arbeitgeber ein entsprechendes Recht nach allgemeinen, nationalen Haftungsregelungen zusteht.201
4. Zusammenfassender Überblick zur Haftung für Datenschutzverstöße des Betriebsrats Mithin können nur der Arbeitgeber und die einzelnen Betriebsratsmitglieder, nicht aber der Betriebsrat selbst für Datenschutzverstöße des Betriebsrats haften. Soweit die Haftung an die datenschutzrechtliche Verantwortlichkeit geknüpft ist, scheidet schon deshalb eine Inanspruchnahme des Betriebsrats aus. Zudem fehlt es ihm an der notwendigen Rechtsfähigkeit, weshalb auch eine Haftung im Rahmen anderer Rechtsgrundlagen nicht in Betracht kommt. Der Arbeitgeber hingegen kann durch den betroffenen Arbeitnehmer auf Grundlage von Art. 82 Abs. 1 DSGVO in Anspruch genommen werden, da die Norm ihm einen Schadensersatzanspruch gegenüber dem für die Datenverarbeitung Verantwortlichen einräumt. Zwar wird der Arbeitgeber dadurch einem erheblichen Haftungsrisiko ausgesetzt, denn er muss für das Verhalten des Betriebsrats einstehen, obwohl er keine Möglichkeit hat, Einfluss auf die Betriebsratstätigkeit zu nehmen. Dies wird jedoch durch das Interesse an der Gewährleistung eines effektiven Schadensersatzanspruchs, wie ErwG 146 S. 6 200
Zur Präventionswirkung der finanziellen Haftung für Datenschutzverstöße BeckOK DatenschutzR/Quaas, 32. Ed. (Stand 1. 2. 2020), Art. 82 DSGVO Rn. 1; Simitis/Hornung/ Spiecker/Boehm, 1. Aufl. 2019, Art. 82 DSGVO Rn. 1. 201 Lücke, NZA 2019, 658, 669; zur Anwendbarkeit nationaler Regressvorschriften Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 82 DSGVO Rn. 61; zu den konkreten Regressmöglichkeiten Walker, FS Moll, S. 697, 707 f.
III. Rechtliche Grenzen der Datenverarbeitung
239
DSGVO ihn zugunsten des Betroffenen fordert, gerechtfertigt. Könnte der Betroffene nämlich nicht gegen den Arbeitgeber, sondern allein gegen den Betriebsrat vorgehen, würde der ihm durch Art. 82 Abs. 1 DSGVO zugebilligte Schadensersatzanspruch infolge der Vermögenslosigkeit des Betriebsrats leerlaufen. Dies kann nur verhindert werden, indem der Arbeitgeber als Verantwortlicher datenschutzrechtlich auch für das Handeln des Betriebsrats einstehen muss, wobei ihm keine Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO zusteht. Zudem unterliegt der Arbeitgeber der Haftung nach Art. 83 DSGVO sowie §§ 42, 43 BDSG. Darüber hinaus können allerdings auch die einzelnen Betriebsratsmitglieder für die Datenschutzverstöße des Gremiums in Anspruch genommen werden. Soweit sie in Ausübung ihres Amtes tätig werden, sind sie jedoch ebenfalls nicht Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO, sodass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO sowie eine Haftung aufgrund der Sanktionstatbestände des Art. 83 DSGVO und der §§ 42, 43 BDSG ausscheiden muss. Möglich ist indes eine deliktische Haftung auf Grundlage von § 823 Abs. 1, Abs. 2 BGB und § 826 BGB. Dabei greift im Rahmen von § 823 Abs. 1, Abs. 2 BGB keine Haftungsprivilegierung zugunsten der Betriebsratsmitglieder. Zwar darf ihre persönliche Unabhängigkeit nicht durch die Angst vor finanziellen Haftungsrisiken beeinträchtigt werden. Jedoch ist im Rahmen einer deliktischen Haftung nicht allein das Betriebsratsmitglied, sondern auch der Geschädigte in besonderem Maße schutzbedürftig, sodass es dem Betroffenen möglich sein muss, ohne Einschränkungen unmittelbar gegen das einzelne Betriebsratsmitglied, das den haftungsbegründenden Tatbestand erfüllt hat, vorzugehen. Mittelbar können die Betriebsratsmitglieder zudem haften, wenn der Arbeitgeber, der seinerseits in Anspruch genommen wurde, Regress nimmt. Diese Möglichkeit wird nicht durch Art. 82 Abs. 5 DSGVO ausgeschlossen, da die Norm im Verhältnis von Arbeitgeber und Betriebsratsmitgliedern bereits tatbestandlich nicht einschlägig ist und daher keine Sperrwirkung entfalten kann. Da es damit jedoch zugleich an einer datenschutzrechtlichen Spezialregelungen für den Regress des Verantwortlichen beim tatsächlich Handelnden fehlt, richten sich die Rückgriffsmöglichkeiten des Arbeitgebers nach allgemeinen, nationalen Haftungsregelungen.
III. Rechtliche Grenzen der Datenverarbeitung Bei der Wahrnehmung seiner betriebsverfassungsrechtlichen Aufgaben verarbeitet der Betriebsrat eine große Anzahl personenbezogener Beschäftigtendaten, denn andernfalls wäre eine effektive Betriebsratsarbeit kaum denkbar.202 Daher geht jedoch von ihm eine ebenso große Gefahr für die Persönlichkeitsrechte der Be202 Aßmus, ZD 2011, 27; Körner, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, S. 56; Kort, NZA 2018, 1097, 1103; Lücke, NZA 2019, 658; Staben, ZfA 2020, 287, 288.
240
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
schäftigten aus wie vom Arbeitgeber,203 sodass sich zweifellos auch das Handeln des Betriebsrats an den Vorschriften der DSGVO und des BDSG messen lassen muss.204 Dies gilt unabhängig davon, ob man den Betriebsrat als Teil des Arbeitgebers als verantwortliche Stelle oder – entgegen hiesiger Ansicht – als eigenständigen Verantwortlichen einordnet.205 Denn gem. Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 DSGVO besteht – wenn auch unter Erlaubnisvorbehalt – ein allgemeines Verbot für die Verarbeitung personenbezogener Daten, das den Betriebsrat auch als bloßen Teil einer übergeordneten verantwortlichen Stelle bindet.206 Somit bedarf er ebenfalls einer datenschutzrechtlichen Erlaubnis, sofern er personenbezogene Daten von Beschäftigten verarbeitet.207
1. Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten durch den Betriebsrat Keine derartige Rechtsgrundlage für die Verarbeitung personenbezogener Daten ergibt sich indes aus § 26 Abs. 6 BDSG.208 Die Norm stellt lediglich klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten „unberührt“ bleiben. Die betriebsverfassungsrechtliche Rolle des Betriebsrats bleibt demnach grundsätzlich unverändert,209 seine Beteiligungs- und insbesondere seine Informationsrechte gegenüber dem Arbeitgeber bleiben erhalten.210 Soweit allerdings in 203 Althoff, ArbRAktuell 2018, 414, 416; Aßmus, ZD 2011, 27; Fitting, BetrVG, 30. Aufl. 2020, § 75 Rn. 156b; Lücke, NZA 2019, 658. 204 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 45; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 22; Kort, NZA 2019, 502, 504; Kort, NZA 2018, 1097, 1103; Kurzböck/Weinbeck, BB 2018, 1652; Ströbel/Böhm/Breunig/Wybitul, CCZ 2018, 14, 16; Stück, ZD 2019, 346, 348; Stück, ZD 2019, 256, 258; so jedenfalls in Bezug auf die DSGVO Wybitul, ZD 2016, 203, 206. 205 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 45; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 36; Forgó/Helfrich/ Schneider/Selk, 3. Aufl. 2019, Teil V Kapitel 3 Rn. 140; Pötters/Gola, RDV 2017, 279, 281; Schulze/Helmrich, ArbRAktuell 2020, 253; so auch zur Rechtslage vor Inkrafttreten der DSGVO BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 43; BAG, Beschl. v. 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218, 1221 Rn. 27; kritisch Staben, ZfA 2020, 287, 296 f.; s. ausführlich zur rechtlichen Einordnung Gliederungspunkt E. I. 206 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 45; überflüssigerweise auf ein auf Grundlage von Art. 29, 28 Abs. 3 S. 2 lit. b DSGVO hergeleitetes Datengeheimnis abstellend Stück, ZD 2019, 256, 258. 207 Fuhlrott, ArbRAktuell 2019, 408; Lücke, NZA 2019, 658, 659; Wybitul, NZA 2017, 413, 415. 208 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1221 Rn. 36; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; Fuhlrott, ArbRAktuell 2019, 408; Lücke, NZA 2019, 658, 662 f. 209 Kort, NZA 2018, 1097, 1103. 210 LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NRA-RR 2019, 196, 198 f. Rn. 30 f.; Kort, NZA 2018, 1097, 1103.
III. Rechtliche Grenzen der Datenverarbeitung
241
Rechtsprechung und Literatur darauf hingewiesen wird, dass die Beteiligungsrechte des Betriebsrats wegen § 26 Abs. 6 BDSG durch das Datenschutzrecht nicht eingeschränkt werden,211 ist dies zumindest missverständlich. Zwar bestehen keinerlei Zweifel am grundsätzlichen Fortbestand seiner Beteiligungsrechte,212 allerdings ist er bei ihrer Ausübung an das Datenschutzrecht gebunden,213 was zu Modifikationen und auch Beschränkungen seiner Rechte führen kann.214 Mithin lässt sich § 26 Abs. 6 BDSG allein entnehmen, dass sich Beschäftigtendatenschutz und Betriebsverfassungsrecht gegenseitig ergänzen, sodass die Ausübung betriebsverfassungsrechtlicher Rechte durch den Betriebsrat nicht von vornherein datenschutzrechtlich unzulässig ist, bloß weil die Betriebsratstätigkeit die Verarbeitung personenbezogener Daten erfordert.215 Allein aus dem Umstand, dass eine Datenverarbeitung betriebsverfassungsrechtlich veranlasst ist, kann aber keinesfalls auf ihre datenschutzrechtliche Zulässigkeit geschlossen werden.216 Der konkrete Verarbeitungsvorgang muss sich vielmehr wiederum an den Vorgaben des Datenschutzes messen lassen.217 Datenschutz- und Betriebsverfassungsrecht finden demnach grundsätzlich nebeneinander Anwendung,218 was erfordert, eine Konkordanz zwischen den sich aus beiden Rechtsbereichen ergebenden Anforderungen zu schaffen.219 Wie diese konkret auszusehen hat, hängt indes maßgeblich davon ab, auf welche Ermächtigungsgrundlage der Betriebsrat einen Datenverarbeitungsvorgang im Einzelfall stützt.220
211 So beispielsweise aus der Rspr. BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 34; aus der Literatur Althoff, ArbRAktuell 2018, 414, 416; DKW/Klebe/Wankel, BetrVG, 17. Aufl. 2020, § 94 Rn. 49; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 58; Körner, NZA 2019, 1389, 1391; Wybitul, NZA 2017, 413, 418. 212 Kort, NZA 2018, 1097, 1103. 213 Lücke, NZA 2019, 658, 659. 214 Lücke, NZA 2019, 658, 659. 215 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 35; Fuhlrott, ArbRAktuell 2019, 408. 216 Lücke, NZA 2019, 658. 217 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1057 Rn. 23; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 35; Fuhlrott, ArbRAktuell 2019, 408; Kleinebrink, DB 2019, 2577; Kort, NZA 2018, 1097, 1103; Kort, ZD 2017, 3, 5; Lücke, NZA 2019, 658, 659 und 661; Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 54; Wybitul, NZA 2017, 413, 418; in diesem Sinne auch GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 90. 218 Kort, ZD 2017, 3, 5; Lücke, NZA 2019, 658, 659; Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, § 26 BDSG Rn. 54. 219 Kort, NZA 2018, 1097, 1103 f. 220 So wohl auch Kort, NZA 2015, 1345, 1347 f., der zwischen einer Datenverarbeitung im Rahmen der Kernaufgaben des Betriebsrats und darüber hinausgehenden „eigenen“ Datenverarbeitungen unterscheiden möchte.
242
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
a) Allgemeiner Erlaubnistatbestand für Datenverarbeitungen durch den Betriebsrat, § 26 Abs. 1 S. 1 BDSG Im Mittelpunkt steht insofern zweifellos § 26 Abs. 1 S. 1 BDSG, der eine Verarbeitung personenbezogener Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses erlaubt, soweit dies „zur Ausübung oder Erfüllung der sich aus einem Gesetz oder […] einer Betriebsvereinbarung […] ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“. Damit bildet die Vorschrift die maßgebliche rechtliche Grundlage für die durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgänge.221 Sie findet stets Anwendung, sofern nicht im Einzelfall ein spezialgesetzlich – insbesondere im BetrVG – oder in einer Betriebsvereinbarung normierter, vorrangig anzuwendender datenschutzrechtlicher Erlaubnistatbestand einschlägig ist.222 Auch sofern der Betriebsrat seine Tätigkeit in datenschutzrechtlicher Hinsicht nicht auf eine bereichsspezifische Rechtsgrundlage stützen kann, sondern auf § 26 Abs. 1 S. 1 BDSG zurückgreifen muss, ergibt sich der konkrete Erlaubnistatbestand indes erst aus dessen Zusammenspiel mit der jeweiligen Aufgabennorm, auf die der Betriebsrat die betriebsverfassungsrechtliche Zulässigkeit seiner Tätigkeit stützt.223 Zwingende Voraussetzung ist damit stets, dass der Datenverarbeitungsvorgang einen Bezug zu einer betriebsverfassungsrechtlichen Aufgabe des Betriebsrats aufweist.224 Notwendig ist dabei ein Bezug zu einer konkreten Betriebsratsaufgabe, weshalb der pauschale Verweis auf die Erfüllung seiner ihm nach § 80 Abs. 1 Nr. 1 BetrVG zukommenden Überwachungsaufgabe nicht ausreichen kann, sondern der Betriebsrat vielmehr darlegen muss, die Einhaltung welcher Vorschriften durch den Arbeitgeber er im Einzelfall überprüfen möchte.225 Sind diese Voraussetzungen erfüllt, so schlägt § 26 Abs. 1 S. 1 BDSG die Brücke zwischen Datenschutz- und Betriebsverfassungsrecht, indem betriebsverfassungsrechtliche Normen mittelbar zur Rechtsgrundlage für die Verarbeitung
221 LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – 3 TaBV 10/18, ZD 2019, 573, 574 Rn. 17; LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 36; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 22; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 90; Götz, Big Data im Personalmanagement, 2020, S. 183; Kühling/Buchner/ Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 19; Staben, ZfA 2020, 287, 300; a. A. Ehmann/ Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 197, der § 26 Abs. 1 S. 1 BDSG den Charakter als spezifizierende Vorschrift i. S. v. Art. 88 Abs. 2 DSGVO abspricht und daher auf Art. 6 Abs. 1 lit. b und lit. f DSGVO zurückgreift. 222 Gola, BB 2017, 1462, 1464 f.; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 11; so wohl auch Kort, ZD 2017, 319, 323. 223 Stück, ZD 2019, 256, 258 f.; weitergehend auch Art. 6 Abs. 1 lit. c, Art. 88 DSGVO einbeziehend Lücke, NZA 2019, 658, 662. 224 Gola, BB 2017, 1462, 1465; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 14; Staben, ZfA 2020, 287, 300; Stück, ZD 2019, 256, 259. 225 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1056 Rn. 16 ff.
III. Rechtliche Grenzen der Datenverarbeitung
243
personenbezogener Beschäftigtendaten werden können.226 Daher bestimmt im Ausgangspunkt auch die jeweilige betriebsverfassungsrechtliche Norm, welche Beschäftigtendaten der Betriebsrat konkret verarbeiten darf.227 Allerdings kann dies nicht grenzenlos gelten: So kann nicht pauschal der Umstand, dass die Datenverarbeitung im Rahmen betriebsverfassungsrechtlicher Aufgaben erfolgt, auch die datenschutzrechtliche Zulässigkeit der Maßnahme begründen.228 Denn § 26 Abs. 1 S. 1 BDSG verlangt ausdrücklich, dass die Verarbeitung zur Erfüllung betriebsverfassungsrechtlicher Aufgaben auch „erforderlich“ ist, um eine übermäßige Verarbeitung personenbezogener Daten zu verhindern.229 Somit bildet das Erforderlichkeitsprinzip eine eindeutige Grenze für die rechtliche Zulässigkeit von Datenverarbeitungen durch den Betriebsrat.230 An dieser inhaltlichen Vorgabe müssen sich sämtliche Datenverarbeitungen – die nicht auf eine spezialgesetzliche Rechtsgrundlage gestützt werden können – messen lassen, was zu einer inhaltlichen Modifikation der Betriebsratsrechte führen kann.231 Vor diesem Hintergrund verbietet § 26 Abs. 1 S. 1 BDSG, von der betriebsverfassungsrechtlichen Zulässigkeit einer Datenverarbeitung automatisch auf ihre datenschutzrechtliche Rechtfertigung zu schließen.232 b) § 26 Abs. 3 BDSG als spezifische Rechtsgrundlage für den Umgang mit sensiblen Daten Verarbeitet der Betriebsrat besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DGSVO, so rückt § 26 Abs. 3 S. 1 BDSG in den Vordergrund. Denn die Norm erlaubt die Verarbeitung derart sensibler personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses nur, „wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person am Ausschluss der Verarbeitung überwiegt“. Es soll mithin sichergestellt werden, dass der Verant226
Lücke, NZA 2019, 658, 662; Kühling/Buchner/Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 53. 227 Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 14; Kühling/Buchner/Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 53. 228 Kort, ZD 2017, 3, 5; so aber die Rspr. s. BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 38; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 37; LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 31; LAG Niedersachsen, Beschl. v. 22. 10. 2018 – 12 TaBV 23/18, NZA-RR 2019, 92, 93 Rn. 27. 229 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 39. 230 Ausführlich zu den Grenzen betriebsratsseitiger Datenverarbeitung s. Gliederungspunkt E. III. 231 Lücke, NZA 2019, 658, 659. 232 I. E. ebenso Lücke, NZA 2019, 658, 663; zur Diskrepanz von datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit s. Gliederungspunkt E. III. 2. a).
244
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
wortliche seine arbeits- und sozialrechtlichen Pflichten erfüllen und der Betroffene seine damit korrespondierenden Rechte ausüben kann.233 Daher genügt es – abweichend von § 26 Abs. 1 S. 1 BDSG – nicht bereits, dass die Verarbeitung zur Ausübung irgendwelcher Rechte und Pflichten des Betriebsrats erforderlich ist. Vielmehr ist in diesem Zusammenhang zu fordern, dass auch der Betriebsrat Daten i. S. v. Art. 9 Abs. 1 DSGVO nur verarbeiten darf, wenn dies der Einhaltung der den Verantwortlichen treffenden arbeits- und sozialrechtlichen Pflichten dient. Denkbar ist dies insbesondere im Rahmen der dem Betriebsrat gem. § 80 Abs. 1 Nr. 1 BetrVG zukommenden Überwachungsaufgabe: Möchte er überprüfen, ob der Arbeitgeber die zugunsten bestimmter Personengruppen geltenden Arbeitsschutzvorgaben umsetzt, so muss er regelmäßig wissen, welche Personen ein entsprechendes Merkmal überhaupt aufweisen. Beispielsweise wird der Betriebsrat überwachen wollen, ob der Arbeitgeber die für schwangere Arbeitnehmerinnen gem. § 4 Abs. 2 MuschG geltenden Ruhezeiten oder das Verbot der Nachtarbeit nach § 5 Abs. 1 S. 1 MuschG einhält und dazu gem. § 80 Abs. 2 S. 1 BetrVG Auskunft darüber verlangen, welche Arbeitnehmerinnen überhaupt schwanger sind. Diese Information stellt ein Gesundheitsdatum dar und unterfällt damit dem Begriff der besonderen Kategorie personenbezogener Daten des Art. 9 Abs. 1 DSGVO.234 Insofern bestehen in einem ersten Schritt modifizierte Anforderungen an den Aufgabenbezug der Datenverarbeitung. Sind diese erfüllt, so kann der Betriebsrat den Datenverarbeitungsvorgang auf § 26 Abs. 3 S. 1 i. V. m. der jeweiligen Aufgabennorm als Erlaubnistatbestand stützen. Allerdings kann auch in diesem Zusammenhang keineswegs aus dem bloßen Bestand einer entsprechenden Aufgabe auf die datenschutzrechtliche Zulässigkeit der Datenverarbeitung geschlossen werden.235 Denn § 26 Abs. 3 S. 1 BDSG erfordert – ebenso wie § 26 Abs. 1 S. 1 BDSG –, dass die Datenverarbeitung zur Wahrnehmung der jeweiligen Aufgabe „erforderlich“ ist. Weitergehend darf „kein Grund zu der Annahme [bestehen], dass das schutzwürdige Interesse der betroffenen Person am Ausschluss der Verarbeitung überwiegt“. Damit gelten im Vergleich zur Verarbeitung sonstiger Beschäftigtendaten über die Erforderlichkeit hinaus verschärfte Anforderungen für die Datenverarbeitung durch den Betriebsrat.236 aa) Pflichten des Betriebsrats beim Umgang mit sensiblen Daten Wer sensible Beschäftigtendaten verarbeitet, der muss zudem gem. § 26 Abs. 3 S. 3 BDSG i. V. m. § 22 Abs. 2 BDSG besondere Maßnahmen zum Schutz der Interessen des Betroffenen vorsehen. Diese Verpflichtung gilt unzweifelhaft auch für den Betriebsrat,237 wobei er aufgrund seiner Unabhängigkeit gegenüber dem Ar233
Kühling/Buchner/Maschmann, 2. Aufl. 2018, § 26 BDSG Rn. 23. BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 37. 235 Unklar BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 38 ff.; i. E. wohl auch Kort, NZA-RR 2018, 449, 460. 236 Kort, NZA-RR 2018, 449, 460. 237 Gola, BB 2017, 1462, 1466. 234
III. Rechtliche Grenzen der Datenverarbeitung
245
beitgeber grundsätzlich selbstständig Sorge dafür zu tragen hat, dass entsprechende Maßnahmen beschlossen und eingehalten werden.238 Dies ist im Sinne einer positiven Anspruchsvoraussetzung zu verstehen, weshalb die Datenverarbeitung durch den Betriebsrat von vornherein nur dann rechtmäßig sein kann, wenn der Bestand entsprechender Schutzmaßnahmen gewährleistet ist.239 Dabei ist die Aufzählung möglicher Maßnahmen in § 22 Abs. 2 BDSG – wie sich aus der Formulierung „dazu können insbesondere gehören“ ergibt – lediglich beispielhaft, sodass der Betriebsrat selbstverständlich nur solche Schutzmaßnahmen ergreifen kann und muss, die ihm praktisch überhaupt möglich sind.240 Denkbar sind insbesondere die Etablierung von Löschkonzepten, eine Beschränkung des Kreises der Zugriffsberechtigten und die Schaffung besonderer Sicherungen vor der Kenntnisnahme durch Dritte.241 Hat der Betriebsrat solche Maßnahmen nicht getroffen, so muss davon ausgegangen werden, dass die schutzwürdigen Interessen des Betroffenen nicht ausreichend gewahrt sind und die Verarbeitung datenschutzrechtlich unzulässig ist.242 Eine betriebsverfassungsrechtlich zulässige Datenverarbeitung kann mithin, sofern die Vorgaben des § 26 Abs. 3 S. 3 BDSG i. V. m. § 22 Abs. 2 BDSG nicht eingehalten werden, dennoch datenschutzrechtlich unzulässig und damit rechtswidrig sein. Umgekehrt wird der Bestand entsprechender Schutzmaßnahmen hingegen zwar ein starkes Indiz für die Wahrung der Interessen des Betroffenen sein, kann jedoch nicht automatisch zur datenschutzrechtlichen Rechtfertigung führen.243 Vielmehr muss diese anhand einer Abwägung im Einzelfall positiv festgestellt werden. bb) Recht des Arbeitgebers zur Auskunftsverweigerung bei fehlender Pflichtwahrung durch den Betriebsrat Welche Folgen aber hat das Fehlen entsprechender Schutzmaßnahmen seitens des Betriebsrats für den Arbeitgeber, gegenüber dem der Betriebsrat einen betriebsverfassungsrechtlich zulässigen Auskunftsanspruch geltend macht? Zwar kann der Arbeitgeber aufgrund der betriebsverfassungsrechtlichen Unabhängigkeit des Betriebsrats nicht überprüfen, ob dieser ausreichende Schutzmaßnahmen vorsieht,244 allerdings würden die Vorgaben des § 26 Abs. 3 S. 3 BDSG i. V. m. § 22 Abs. 2 BDSG und somit im Ergebnis auch die des Art. 9 Abs. 2 lit. b DSGVO unterlaufen, wenn der Arbeitgeber gezwungen wäre, aktiv an einer rechtswidrigen Datenverar238
BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 47; allgemein Fitting, BetrVG, 30. Aufl. 2020, § 79 Rn. 32; Hitzelberger-Kijima, öAT 2018, 136, 138; Stück, ZD 2019, 256, 258. 239 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 40. 240 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 48. 241 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 48. 242 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 40. 243 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 40. 244 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1060 Rn. 47; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 39.
246
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
beitung durch den Betriebsrat mitzuwirken. Denn auch Art. 9 Abs. 2 lit. b DSGVO lässt die Verarbeitung sensibler Daten nur zu, sofern geeignete Garantien für den Schutz der Interessen des Betroffenen bestehen. Diese Wertung mit Verweis auf die betriebsverfassungsrechtlich – und damit durch nationales Recht – begründete Unabhängigkeit des Betriebsrats zu übergehen, wäre mit dem Art. 9 Abs. 1 lit. b DSGVO gem. Art. 288 Abs. 2 AEUV zukommenden Anwendungsvorrang nicht vereinbar.245 Sachgerecht kann daher nur ein differenzierter Lösungsansatz sein, der einerseits die Wertungen des Art. 9 Abs. 1 lit. b DSGVO ausreichend berücksichtigt, andererseits aber auch die Betriebsratsarbeit nicht in unverhältnismäßiger Weise einschränkt. Jedenfalls sofern der Arbeitgeber sichere Kenntnis davon hat, dass seitens des Betriebsrats die notwendigen Schutzmaßnahmen nicht gewährleistet sind, muss er die Auskunft an den Betriebsrat verweigern. Dies muss auch gelten, wenn er ernstliche, auf konkrete Tatsachen gegründete Zweifel an dem Bestand entsprechender Maßnahmen hat.246 Täte er dies nicht, würde er selbst mit der Datenübermittlung an den Betriebsrat einen Datenschutzverstoß begehen und liefe dadurch Gefahr, sich datenschutzrechtlichen Sanktionen auszusetzen.247 Hat er indes weder sichere Kenntnis noch ernstliche Zweifel am Fehlen von Schutzmaßnahmen i. S. v. § 26 Abs. 3 S. 3 BDSG i. V. m. § 22 Abs. 2 BDSG, bleibt ihm allein die Möglichkeit, den Betriebsrat zu bitten, darzulegen, welche Schutzmaßnahmen er konkret getroffen hat. Verweigert der Betriebsrat eine solche Auskunft, so fehlt es dem Arbeitgeber an einer eigenen rechtlichen Handhabe.248 In einem solchen Fall bleibt ihm allein die Einschaltung des betrieblichen Datenschutzbeauftragten,249 wenn er die Erfüllung des betriebsverfassungsrechtlichen Auskunftsanspruchs wegen der befürchteten datenschutzrechtlichen Unzulässigkeit der Datenübermittlung verhindern möchte. c) Bereichsspezifische Erlaubnistatbestände des BetrVG Indes kommen die Erlaubnistatbestände des § 26 BDSG nur dort zum Zuge, wo keine gem. § 1 Abs. 2 S. 1 BDSG vorrangigen, bereichsspezifischen datenschutzrechtlichen Regelungen im BetrVG bestehen.250 Eine Vorrangstellung können dabei nur solche Vorschriften einnehmen, die vollständige Tatbestandskongruenz zum jeweils konkurrierenden Erlaubnistatbestand des § 26 BDSG aufweisen. Dies setzt voraus, dass die bereichsspezifische Norm nicht nur eine Pflicht oder Befugnis des Betriebsrats zur Verarbeitung personenbezogener Daten enthält, sondern darüber hinaus sowohl die Art der erfassten Daten, als auch den Umfang der Verarbeitung 245
So aber LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 39. Fuhlrott, ArbRAktuell 2019, 408, 410. 247 Fuhlrott, ArbRAktuell 2019, 408, 409; zu der Haftung des Arbeitgebers auch für den damit einhergehenden Datenschutzverstoß des Betriebsrats s. Gliederungspunkt E. II. 1. 248 LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 39. 249 Zu dessen Kontrollbefugnissen gegenüber dem Betriebsrat s. Gliederungspunkt E. IV. 4. 250 Gola, BB 2017, 1462, 1464 f.; Maschmann, BB 2019, 628, 633. 246
III. Rechtliche Grenzen der Datenverarbeitung
247
sowie Art und Weise der Verarbeitungsvorgangs konkret festlegt.251 Wo solche Vorschriften bestehen, bemisst sich nicht nur die betriebsverfassungsrechtliche, sondern auch die datenschutzrechtliche Zulässigkeit eines durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgangs anhand der jeweiligen bereichsspezifischen Norm.252 Diesen Anforderungen genügen indes lediglich § 80 Abs. 2 S. 2 Hs. 2 BetrVG253 sowie § 99 Abs. 1 S. 1 BetrVG.254 Hinzu treten die betriebsverfassungsrechtlichen Verschwiegenheitspflichten des Betriebsrats, die ebenfalls mit den Erlaubnistatbeständen des § 26 BDSG konkurrieren. Sie schließen innerhalb ihres Anwendungsbereichs einen Rückgriff auf den jeweils im Konkurrenzverhältnis stehenden Erlaubnistatbestand des BDSG aus, soweit die jeweilige betriebsverfassungsrechtliche Norm die im konkreten Fall bestehenden Verschwiegenheitspflichten des Betriebsrats abschließend regelt. Diese Anforderungen erfüllen sämtliche Geheimhaltungspflichten des BetrVG, sodass sie eine im Vergleich zu § 26 BDSG engere Grenze für die Verarbeitung personenbezogener Daten durch den Betriebsrat bilden. Greift demgegenüber einer der vorrangigen bereichsspezifischen Erlaubnistatbestände ein, so bildet er den Maßstab für die datenschutzrechtliche Rechtmäßigkeit des darauf gestützten Datenverarbeitungsvorgangs.255 Dazu müssen zunächst die Tatbestandsvoraussetzungen der jeweiligen bereichsspezifischen Norm erfüllt, der Datenverarbeitungsvorgang mithin jedenfalls aus rein betriebsverfassungsrechtlicher Sicht zulässig sein.256 Dabei stellt der Aufgabenbezug der Datenverarbeitung die betriebsverfassungsrechtliche Grenze der Betriebsratsarbeit dar.257 Der Betriebsrat muss die Datenverarbeitung im Rahmen der ihm gesetzlich zugewiesenen Aufgabe vornehmen, zu deren Erfüllung ihm ein spezifisches Recht zum Umgang mit personenbezogenen Daten eingeräumt worden ist. Nur wo der notwendige Aufgabenbezug gegeben ist, kann in einem zweiten Schritt eine datenschutzrechtliche Rechtfertigung überhaupt in Betracht kommen. Dabei ergeben sich auch die datenschutzrechtlichen Grenzen der Verarbeitung personenbezogener Daten durch den Betriebsrat aus dem jeweiligen bereichsspezifischen Erlaubnistatbestand. Nicht Maßstab für die Beurteilung der Rechtmäßigkeit des Verarbeitungsvorgangs ist hingegen § 26 BDSG,258 denn dieser ist gem. § 1 251 Gola, BB 2017, 1462, 1465; Gola/Pötters, RDV 2017, 111, 113; i. E. ebenso Düwell/ Brink, NZA 2017, 1081, 1085; ausführlich s. Gliederungspunkt B. II. 2. 252 Gola, BB 2017, 1462, 1464 f.; Maschmann, BB 2019, 628, 633. 253 Gola, BB 2017, 1462, 1465; Gola/Pötters, RDV 2017, 111, 113; i. E. ebenso Düwell/ Brink, NZA 2017, 1081, 1085. 254 Gola/Pötters, RDV 2017, 111, 114. 255 Gola, BB 2017, 1462, 1464 f.; Maschmann, BB 2019, 628, 633. 256 Maschmann, BB 2019, 628, 633; i. E. ebenso Lelley/Bruck/Yildiz, BB 2018, 2164, 2172. 257 Kort, NZA 2010, 1267, 1268; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 52 f.; konkret für § 80 Abs. 2 S. 2 Hs. 2 BetrVG BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1220 Rn. 16. 258 Maschmann, BB 2019, 628, 633.
248
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Abs. 2 S. 1 BDSG im Verhältnis zur konkurrierenden bereichsspezifischen Vorschrift subsidiär. Diese Subsidiaritätsanordnung darf jedoch nicht dazu führen, dass datenschutzrechtliche Maßstäbe durch den Umweg über das BetrVG vollständig ausgehebelt werden. Um dies zu verhindern, kann § 1 Abs. 2 S. 1 BDSG lediglich einzelnen Normen des BetrVG zu einer Vorrangstellung gegenüber einzelnen konkurrierenden Vorschriften des BDSG verhelfen, jedoch nicht zu einer Verdrängung sämtlicher Normen des BDSG führen.259 Konkret treten damit die Rechtfertigungstatbestände des § 26 BDSG hinter die konkurrierenden bereichsspezifischen Erlaubnistatbestände des BetrVG zurück; die übrigen Vorschriften des BDSG bleiben indes anwendbar. Ebenso gelten aufgrund ihres Anwendungsvorrangs sämtliche Vorschriften der DSGVO auch für Datenverarbeitungsvorgänge, die auf einen bereichsspezifischen Erlaubnistatbestand gestützt werden.260 Nur dort, wo die DSGVO den nationalen Gesetzgeber ermächtigt, diese im Rahmen von Öffnungsklauseln zu konkretisieren, treten ihre Vorschriften in begrenztem Umfang hinter das nationale Recht zurück.261 Allerdings dient das BetrVG gerade nicht der Ausgestaltung der Öffnungsklausel des Art. 88 Abs. 1 DSGVO,262 sodass ihr keine – auch nur eingeschränkte – Verdrängungswirkung gegenüber der DSGVO zukommen kann.263 Auch sofern ein Datenverarbeitungsvorgang auf einen Erlaubnistatbestand des BetrVG gestützt wird, sind daher sämtliche inhaltliche Vorgaben der DSGVO zu beachten.264 Dies gilt einerseits für die Grundsätze des Art. 5 Abs. 1 DSGVO,265 aber auch für die aus Art. 6 Abs. 1 S. 1 DSGVO i. V. m. ErwG 39 S. 7 DSGVO sowie Art. 88 Abs. 2 DSGVO folgenden inhaltlichen Vorgaben, die letztlich die Rechtmäßigkeit der Datenverarbeitung an eine Verhältnismäßigkeitsprüfung im Einzelfall knüpfen.266 Denn wenn schon für nationale Regelungen, die unmittelbar die Öffnungsklausel des Art. 88 Abs. 1 DSGVO ausgestalten, die inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO gelten, dann können keine geringeren Anforderungen für solche mitgliedstaatlichen Regelungen bestehen, die ihrerseits diejenigen Vorschriften, die in Ausgestaltung der Öffnungsklausel geschaffen worden sind, auf259
Kort, NZA 2019, 502, 504. Dzida, BB 2019, 3060; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172. 261 BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), Art. 88 DSGVO Rn. 16; Heidelberger Kommentar/Thüsing/Traut, 2. Aufl. 2020, Art. 88 DSGVO Rn. 13; Kühling, NJW 2017, 1985, 1987; Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 19, 38; Wybitul, BB 2016, 1077, 1079. 262 Böhm, NZA-RR 2019, 530, 532; Ehmann/Selmayr/Selk, 2. Aufl. 2018, Art. 88 DSGVO Rn. 189; Lücke, NZA 2019, 658, 662; Wybitul, ZD 2016, 203, 206. 263 Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Lücke, NZA 2019, 658, 659. 264 Dzida, BB 2019, 3060; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172. 265 Wybitul, ZD 2016, 203, 206. 266 Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; dies für Art. 88 Abs. 2 DSGVO aus der Forderung nach „angemessenen“ Schutzmaßnahmen herauslesend Düwell/Brink, NZA 2017, 1081, 1082 f.; Klocke, ZTR 2018, 116, 119; Kühling/Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 43; Maschmann, DB 2016, 2480, 2484; Schrey/Kielkowski, BB 2018, 629, 632; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19; Wybitul, NZA 2017, 413, 414. 260
III. Rechtliche Grenzen der Datenverarbeitung
249
grund nationaler Kollisionsnormen verdrängen. Andernfalls könnte der nationale Gesetzgeber sich der Bindung an Art. 88 Abs. 2 DSGVO dadurch entziehen, dass er zur Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel zwar Vorschriften schafft, die den Anforderungen von Art. 88 Abs. 2 DSGVO genügen, zugleich jedoch Regelungen erlässt, die auf nationaler Ebene vorrangig anzuwenden sind, aber den inhaltlichen Vorgaben des Unionsrechts nicht entsprechen. Dies wäre mit dem Anwendungsvorrang der DSGVO unvereinbar. Daher müssen auch die bereichsspezifischen Erlaubnistatbestände des BetrVG im Lichte der gem. Art. 288 Abs. 2 AEUV unmittelbar und vorrangig geltenden DSGVO ausgelegt werden.267 Anknüpfungspunkt kann insofern der sowohl in § 80 Abs. 2 S. 2 Hs. 1 BetrVG als auch in § 99 Abs. 1 S. 1 BetrVG enthaltene Begriff der „Erforderlichkeit“ sein, der sich ebenfalls in § 26 Abs. 1 S. 1, Abs. 3 BDSG findet und auch dort eine inhaltliche Grenze für die Verarbeitung personenbezogener Daten durch den Betriebsrat bildet.268 Der betriebsverfassungsrechtliche Erforderlichkeitsbegriff der bereichsspezifischen Erlaubnistatbestände muss daher mit Blick auf die Wertungen der DSGVO in einem datenschutzrechtlichen Sinne verstanden werden.269 Vor diesem Hintergrund bildet auch im Rahmen bereichsspezifischer Erlaubnistatbestände des BetrVG die datenschutzrechtliche Erforderlichkeit die Grenze für die Verarbeitung personenbezogener Daten. d) Betriebsvereinbarungen Vervollständigt wird das Bild möglicher Erlaubnistatbestände für die betriebsratsseitige Verarbeitung personenbezogener Daten durch datenschutzrechtliche Betriebsvereinbarungen, für die Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG den Betriebspartnern die notwendige Regelungsbefugnis einräumt.270 Allerdings kann auch eine in einer Betriebsvereinbarung enthaltene Vorschrift nur dann als datenschutzrechtlicher Erlaubnistatbestand eingeordnet werden, wenn sie einen 267 Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; in diese Richtung auch Gola, BB 2017, 1462, 1466; so schon vor Inkrafttreten der DSGVO auf Grundlage einer an Art. 8 GRCh und Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG orientierten Auslegung Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 65. 268 Ausführlich zu den sich daraus ergebenden Grenzen s. Gliederungspunkt E. III. 2. a). 269 So konkret nur Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; ähnlich Gola, BB 2017, 1462, 1466; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1667; Wybitul, NZA 2017, 413, 416; eine Diskrepanz zwischen datenschutzrechtlichem und betriebsverfassungsrechtlichem Erforderlichkeitsbegriff i. R. v. § 26 Abs. 1 S. 1 BDSG erkennend Böhm, NZA-RR 2019, 530, 532; Dzida, BB 2019, 3060, 3061; Maschmann, BB 2019, 628, 633; Plath/Stamer/Kuhnke, 3. Aufl. 2018, § 26 BDSG Rn. 156; Wybitul, NZA 2017, 1488, 1490; wohl auch Lücke, NZA 2019, 658, 663; dies ablehnend BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 41 f.; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 37; LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 31. 270 Byers/Wenzel, BB 2017, 2036, 2040; Kort, NZA 2018, 1097, 1101; Martini/Botta, NZA 2018, 625, 633.
250
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
bestimmten Datenverarbeitungsvorgang umfassend regelt, sie mithin eine konkrete Aussage über die Art der zu verarbeitenden Daten, den Zweck, sowie die Art und Weise der Datenverarbeitung trifft.271 Nur sofern eine Betriebsvereinbarung tatsächlich einen eigenständigen Erlaubnistatbestand enthält, gibt dieser den inhaltlichen Maßstab nicht nur für die betriebsverfassungsrechtliche, sondern auch die datenschutzrechtliche Rechtfertigung eines durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgangs vor. Erfüllt sie diese Voraussetzungen nicht, so kann sie nicht unmittelbare Rechtsgrundlage für die Datenverarbeitung durch den Betriebsrat sein. Vielmehr kommt in diesem Fall § 26 Abs. 1 S. 1 BDSG zum Zuge, der eine Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses u. a. zulässt, soweit dies zur Ausübung oder Erfüllung der sich aus einer Betriebsvereinbarung ergebenden Rechte und Pflichten des Betriebsrats erforderlich ist. Ist der maßgebliche Erlaubnistatbestand indes tatsächlich in einer Betriebsvereinbarung enthalten, ergeben sich unmittelbar aus der jeweiligen Regelung auch die Grenzen für eine darauf gestützte Verarbeitung personenbezogener Daten durch den Betriebsrat. Der konkrete Rechtfertigungsmaßstab kann daher nur im Einzelfall mit Rücksicht auf den jeweiligen kollektivvertraglichen Erlaubnistatbestand bestimmt werden. Allerdings können mit Blick auf die gesetzlichen Vorgaben, die ihrerseits die Regelungsmacht der Betriebspartner begrenzen, Mindestanforderungen für den Inhalt datenschutzrechtlicher Erlaubnistatbestände – und damit den durch sie festgelegten Rechtfertigungsmaßstab – in Betriebsvereinbarungen ausgemacht werden. Zum einen kann dem Betriebsrat auch durch eine Betriebsvereinbarung nur ein Recht zur Verarbeitung personenbezogener Daten eingeräumt werden, soweit ein inhaltlicher Zusammenhang zwischen der Datenverarbeitung und einer ihm zugewiesenen betriebsverfassungsrechtlichen Aufgabe besteht, sodass der Aufgabenbezug die äußerste Grenze jeder auf eine Betriebsvereinbarung gestützten Datenverarbeitung darstellt.272 Zum anderen ist die Regelungskompetenz der Betriebspartner insbesondere durch Art. 88 Abs. 2 DSGVO beschränkt, der fordert, dass sämtliche Regelungen, die der Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel dienen, „angemessene“ Schutzmaßnahmen vorsehen müssen. Daraus ergibt sich, dass die in der Betriebsvereinbarung getroffene Regelung eine Abwägung der widerstreitenden Interessen von Betroffenem und Verantwortlichem im Sinne einer Verhältnismäßigkeitsprüfung erlauben muss.273 Genügt eine Betriebsvereinbarung diesen Anforderungen nicht, kommt sie von vornherein nicht als da-
271 Gola, BB 2017, 1462, 1463 und 1465; so auch schon zu § 1 Abs. 3 BDSG a. F. Jordan/ Bissels/Löw, BB 2010, 2889, 2890. 272 Kort, NZA 2010, 1267, 1268. 273 Düwell/Brink, NZA 2017, 1081, 1082 f.; Klocke, ZTR 2018, 116, 119; Kühling/ Buchner/Maschmann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 43; Maschmann, DB 2016, 2480, 2484; Schrey/Kielkowski, BB 2018, 629, 632; Sydow/Tiedemann, 2. Aufl. 2018, Art. 88 DSGVO Rn. 19; Wybitul, NZA 2017, 413, 414; s. ausführlich zu den Grenzen des Art. 88 Abs. 2 DSGVO s. Gliederungspunkt D. II. 2. b).
III. Rechtliche Grenzen der Datenverarbeitung
251
tenschutzrechtlicher Erlaubnistatbestand in Betracht.274 Daraus lässt sich ableiten, dass auch bei in Betriebsvereinbarungen enthaltenen datenschutzrechtlichen Erlaubnistatbeständen die Verarbeitung personenbezogener Daten – in Übereinstimmung mit den übrigen Rechtsgrundlagen – stets nur zulässig sein kann, soweit sie auf Grundlage einer Interessenabwägung auch erforderlich ist. Hinzu kommt, dass auch für datenschutzrechtliche Betriebsvereinbarungen sämtliche allgemeine Grundsätze der DSGVO – insbesondere die des Art. 5 Abs. 1 DSGVO – Geltung beanspruchen,275 was jedenfalls dem Umfang der Verarbeitung Grenzen ziehen kann. Damit wird auch die Verarbeitung personenbezogener Daten auf Grundlage einer Betriebsvereinbarung durch den notwendigen Aufgabenbezug, die Erforderlichkeit der Verarbeitung sowie die allgemeinen Grundsätze der DSGVO beschränkt.
2. Umfang der Datenverarbeitung Sämtlichen Erlaubnistatbeständen gemein ist damit zum einen die betriebsverfassungsrechtliche Beschränkung auf Datenverarbeitungen, die in Zusammenhang mit einer gesetzlichen Aufgabe des Betriebsrats stehen, zum anderen aber auch die datenschutzrechtliche Grenze der Erforderlichkeit. Notwendig ist daher ein mehrstufiges Prüfprogramm: In einem ersten Schritt gilt es zu klären, ob die Datenverarbeitung den notwendigen Aufgabenbezug aufweist, um anschließend in einem zweiten Schritt zu untersuchen, ob die Datenverarbeitung in der konkreten Form auch erforderlich, nicht nur im betriebsverfassungsrechtlichen, sondern im datenschutzrechtlichen Sinne ist.276 Vor diesem Hintergrund ist wenig verständlich, dass die Rechtsprechung von der betriebsverfassungsrechtlichen Zulässigkeit ohne Weiteres auch auf die datenschutzrechtliche Rechtfertigung von durch den Betriebsrat vorgenommenen Datenverarbeitungen schließt.277 Denn bereits unmittelbar aus dem Gesetz ergibt sich, dass zwischen betriebsverfassungsrechtlicher und datenschutzrechtlicher Rechtmäßigkeit zu unterscheiden ist und ein Datenverarbeitungsvorgang nur dann gerechtfertigt sein kann, wenn er beide Voraussetzungen erfüllt.278 Indem die Rechtsprechung dies nicht berücksichtigt, verkennt sie die 274
Klösel/Mahnhold, NZA 2017, 1428, 1429. Jerchel/Schubert, DuD 2016, 782, 784; Klocke, ZTR 2018, 116, 119; s. zur Geltung von Art. 5 Abs. 1 DSGVO für Betriebsvereinbarungen Gliederungspunkt D. II. 2. c). 276 Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Lücke, NZA 2019, 658, 664; eine zweistufige Prüfung vornehmend, dabei aber fälschlicherweise nicht auf die datenschutzrechtliche Erforderlichkeit abstellend LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 26, 31. 277 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 38; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 37; LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 31; LAG Niedersachsen, Beschl. v. 22. 10. 2018 – 12 TaBV 23/18, NZA-RR 2019, 92, 93 Rn. 27. 278 Kort, ZD 2017, 3, 5. 275
252
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Notwendigkeit einer auch datenschutzrechtlichen Rechtfertigung vollständig.279 Sie erhebt letztlich die jeweilige bereichsspezifische Aufgabennorm zum alleinigen Rechtfertigungsmaßstab, sodass sich das Handeln des Betriebsrats im Ergebnis nicht an datenschutzrechtlichen, sondern nur an betriebsverfassungsrechtlichen Maßstäben messen lassen muss.280 Dies ist mit dem Anwendungsvorrang der DSGVO nicht zu vereinbaren, der nur dort partiell durchbrochen werden kann, wo Öffnungsklauseln eine inhaltliche Ausgestaltung des Datenschutzrechts auf nationaler Ebene ermöglichen.281 Mithin muss der Erforderlichkeitsbegriff – unabhängig davon, welcher konkrete Erlaubnistatbestand einschlägig ist – in einem datenschutzrechtlichen Sinne verstanden werden.282 Das Kriterium der Erforderlichkeit beschränkt dabei letztlich den zulässigen Umfang der Datenverarbeitung, sodass ein betriebsverfassungsrechtlich grundsätzlich bestehendes Recht zur Verarbeitung personenbezogener Daten seitens des Betriebsrats durch das Datenschutzrecht modifiziert werden kann.283 Hinzu kommen Begrenzungen, die nicht aus dem Erlaubnistatbestand selbst, sondern unmittelbar aus der DSGVO folgen und damit für jede durch den Betriebsrat vorgenommene Datenverarbeitung gelten, unabhängig davon, auf welchen datenschutzrechtlichen Erlaubnistatbestand er seine Tätigkeit stützt.284 Bedeutsam ist dies insbesondere im Hinblick auf die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO, die für den gesamten Beschäftigtendatenschutz Geltung beanspruchen285 und daher ebenfalls zu einer Einschränkung der Betriebsratsrechte im Umgang mit personenbezogenen Daten führen können.286 Im Mittelpunkt steht dabei im Hinblick auf den zulässigen Umfang der Verarbeitung der Grundsatz der Datenminimierung, der verlangt, dass die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß beschränkt wird (Art. 5 Abs. 1 lit. c DSGVO). a) Diskrepanz von datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit Dieser Grundsatz wird seinerseits wiederum durch das in den einzelnen Erlaubnistatbeständen enthaltene Erforderlichkeitsprinzip konkretisiert,287 das ebenfalls eine übermäßige Verarbeitung personenbezogener Daten unter dem Deck279
Kort, ZD 2017, 3, 5; i. E. ebenso Lücke, NZA 2019, 658, 659. Kort, NZA 2018, 1097, 1103; ähnlich Lücke, NZA 2019, 658, 659. 281 Kühling, NJW 2017, 1985, 1987; Roßnagel, Das neue Datenschutzrecht, 2017, § 2 Rn. 19, 38; Wybitul, BB 2016, 1077, 1079. 282 Maschmann, BB 2019, 628, 633. 283 Lücke, NZA 2019, 658, 659. 284 Dzida, BB 2019, 3060. 285 Wybitul, NZA 2017, 413, 418; Wybitul/Böhm, NZA-RR 2019, 256, 260. 286 Wybitul, ZD 2016, 203, 206. 287 Lücke, NZA 2019, 658, 663. 280
III. Rechtliche Grenzen der Datenverarbeitung
253
mantel eines grundsätzlich legitimen Verarbeitungsziels verhindern soll.288 Verfehlt ist es in diesem Zusammenhang jedoch, wenn die Rechtsprechung nicht zwischen betriebsverfassungsrechtlicher und datenschutzrechtlicher Erforderlichkeit differenziert, sondern aus dem Umstand, dass eine Datenverarbeitung durch den Betriebsrat der Wahrnehmung seiner betriebsverfassungsrechtlichen Aufgaben dient, zugleich auf die datenschutzrechtliche Rechtfertigung schließt.289 Dies kann nicht sachgerecht sein, denn beide Erforderlichkeitsbegriffe unterscheiden sich grundlegend: In betriebsverfassungsrechtlicher Hinsicht genügt grundsätzlich bereits die subjektive Einschätzung, dass eine Aufgabe des Betriebsrats mit gewisser Wahrscheinlichkeit besteht,290 wohingegen die datenschutzrechtliche Erforderlichkeit eines Verarbeitungsvorgangs anhand einer umfassenden Abwägung der widerstreitenden Interessen von Verantwortlichem und Betroffenem im Einzelfall zu ermitteln ist.291 Damit ist der datenschutzrechtliche Erforderlichkeitsbegriff deutlich enger zu verstehen.292 Zwar verweist die Rechtsprechung selbst darauf, dass für die Annahme der betriebsverfassungsrechtlichen Erforderlichkeit einer Datenverarbeitung über den bloßen Aufgabenbezug hinaus zwingende Voraussetzung sei, dass die begehrte Information für die Wahrnehmung der dem Betriebsrat obliegenden Aufgaben unerlässlich ist.293 Dennoch stellt sie zugleich ausdrücklich klar, dass weder eine Abwägung widerstreitender Interessen noch eine Verhältnismäßigkeitsprüfung im Einzelfall erforderlich sei, sondern die datenschutzrechtliche Erforderlichkeit unmittelbar aus dem Bestand der jeweiligen betriebsverfassungsrechtlichen Aufgabe folge.294 Denn der Gesetzgeber habe die datenschutzrechtlich notwendige Abwägung vorweggenommen, indem er in § 26 Abs. 1 S. 1 BDSG die Verarbeitung zur Erfüllung gesetzlicher kollektivrechtlicher Pflichten erlaubt.295 Dabei heißt es im Gesetzestext gerade nicht: „Daten dürfen verarbeitet werden, wenn ein betriebs288 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 42; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 39. 289 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43; BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 38; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, BeckRS 2019, 29458 Rn. 37; LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 31; LAG Niedersachsen, Beschl. v. 22. 10. 2018 – 12 TaBV 23/18, NZA-RR 2019, 92, 93 Rn. 27; aus der Literatur ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 22. 290 BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; BAG, Beschl. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 930; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 51; Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 53. 291 Gola/Klug, NJW 2018, 674, 677; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Lücke, NZA 2019, 658, 663; Wybitul, NZA 2017, 413, 416. 292 Staben, ZfA 2020, 287, 301. 293 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 42. 294 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 39 ff. 295 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43.
254
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
verfassungsrechtliches Recht der Interessenvertretungen besteht“296. Vielmehr hat der Gesetzgeber in § 26 Abs. 1 S. 1 BDSG – ebenso wie in § 26 Abs. 3 S. 1 BDSG – ausdrücklich klargestellt, dass die Verarbeitung zur Erfüllung gesetzlicher kollektivrechtlicher Pflichten nur zulässig ist, soweit sie auch erforderlich ist – was das BAG jedoch nicht irritiert. Auch berücksichtigt die Rechtsprechung nicht, dass der Gesetzgeber in der Gesetzesbegründung darauf hingewiesen hat, dass im Rahmen der Erforderlichkeitsprüfung die widerstreitenden Interessen von Betroffenem und Verantwortlichen zur Herstellung praktischer Konkordanz abzuwägen und zu einem schonenden Ausgleich zu bringen sind,297 ohne eine Ausnahme für die Verarbeitung zur Erfüllung der Rechte und Pflichten der Interessenvertretungen vorzusehen.298 Letztlich wirkt aber auch das Gericht von seiner eigenen Argumentation nicht vollends überzeugt: Zwar folgert es aus dem betriebsverfassungsrechtlichen Aufgabenbezug automatisch die datenschutzrechtliche Rechtfertigung des damit verbundenen Datenverarbeitungsvorgangs. Jedoch legt es zugleich den betriebsverfassungsrechtlichen Erforderlichkeitsbegriff im Vergleich zu seiner bisherigen Rechtsprechung enger aus, sollte doch bislang bereits ausreichen, dass die jeweilige Aufgabe zumindest mit gewisser Wahrscheinlichkeit besteht, ohne dass es darauf ankam, welche Bedeutung die konkrete Information für die Erfüllung der jeweiligen Aufgabe hatte.299 Die gewählte Lösung ist mithin bereits in sich nicht stimmig: Sollen sich doch aus dem Datenschutzrecht keine Einschränkungen für die Betriebsratsarbeit ergeben, weshalb legt dann das BAG entgegen seiner bisherigen Rechtsprechung den betriebsverfassungsrechtlichen Erforderlichkeitsbegriff einschränkend aus? Darüber hinaus überzeugt die Lösung des BAG aber auch in dogmatischer Hinsicht nicht. Die strengere Auslegung des betriebsverfassungsrechtlichen Erforderlichkeitsbegriffs zeigt, dass auch dem BAG die Wertungen des Datenschutzrechts nicht verborgen bleiben. Eine derart einschränkende Auslegung ist jedoch überhaupt nur deshalb erforderlich, weil das Gericht das in § 26 Abs. 1 S. 1, Abs. 3 S. 1 BDSG selbstständig enthaltene Erforderlichkeitserfordernis vollständig übergeht. Misst man ihm eigenständige Bedeutung zu, so ist ein Hineinlesen datenschutzrechtlicher Wertungen in den Erforderlichkeitsbegriff der jeweiligen betriebsverfassungsrechtlichen Norm, aus der sich die konkrete Aufgabe des Betriebsrats ergibt, überflüssig. Betrachtet man die durch den Gesetzgeber gewählte Formulierung als bewusste Entscheidung, so muss der in § 26 Abs. 1 S. 1 BDSG bzw. § 26 Abs. 3 S. 1 BDSG enthaltenen Erforderlichkeitsbegriff unmittelbar herangezogen und als nachträgliche Beschränkung einer unter allein betriebsverfassungsrechtlichen Ge296
Dzida, BB 2019, 3060, 3061. BT-Drs. 18/11325, S. 97. 298 Böhm, NZA-RR 2019, 530, 532. 299 BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; BAG, Beschl. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 930. 297
III. Rechtliche Grenzen der Datenverarbeitung
255
sichtspunkten zulässigen Datenverarbeitung verstanden werden.300 Eine einschränkende Auslegung des betriebsverfassungsrechtlichen Erforderlichkeitsbegriffs ist nur dort angezeigt, wo die genannten datenschutzrechtlichen Vorschriften gar nicht unmittelbar zu Anwendung kommen, sondern durch bereichsspezifische Erlaubnistatbestände verdrängt werden.301 Diesen Weg geht das BAG – entgegen hiesiger Auffassung – jedoch gerade nicht: Das Gericht erkennt nicht in der betriebsverfassungsrechtlichen Norm selbst den maßgeblichen Rechtfertigungstatbestand, sondern stützt seine Argumentation auf § 26 Abs. 1 S. 1 BDSG bzw. § 26 Abs. 3 S. 1 BDSG. Hinzu kommt, dass auch das BAG den von ihm selbst gewählten Weg nicht konsequent bis zum Ende geht: So nimmt es zwar an, dass ein Datenverarbeitungsvorgang schon betriebsverfassungsrechtlich nur dann erforderlich sein kann, wenn der Betriebsrat seine Aufgaben ohne eine bestimmte Information gar nicht erfüllen kann, setzt sich aber inhaltlich nicht mit diesem von ihm selbst in den betriebsverfassungsrechtlichen Erforderlichkeitsbegriff hineingelesenen Erfordernis auseinander.302 Richtig ist daher, einen eigenen, spezifisch datenschutzrechtlichen Erforderlichkeitsbegriff anzuerkennen, der selbstständig neben demjenigen des Betriebsverfassungsrechts steht.303 Nur dort, wo weder § 26 Abs. 1 S. 1, Abs. 3 S. 1 BDSG noch eine datenschutzrechtliche Betriebsvereinbarung zum Zuge kommen, sondern ein bereichsspezifischer Erlaubnistatbestand vorrangig anzuwenden ist, muss der darin enthaltene Erforderlichkeitsbegriff datenschutzkonform interpretiert werden.304 Dies ist im Übrigen nicht notwendig, denn mit Blick auf die Wertungen von Art. 88 Abs. 2 DSGVO sowie Art. 288 Abs. 2 AEUV, muss dem Erforderlichkeitsbegriff des § 26 Abs. 1 S. 1 BDSG sowie § 26 Abs. 3 S. 1 BDSG eigenständige Bedeutung beigemessen und – ebenso wie im Rahmen etwaiger auf Grundlage von Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG geschaffener Betriebsvereinbarungen – in einem datenschutzrechtlichen Sinne verstanden werden.305 Mithin ist die betriebsverfassungsrechtliche Zulässigkeit der Datenverarbeitung zwingende, keineswegs aber hinreichende Voraussetzung für die datenschutzrechtliche Rechtfertigung.306 Aus ihr kann nicht pauschal die datenschutzrechtliche Rechtmäßigkeit eines Datenverarbeitungsvorgangs gefolgert werden.307 Ist ein durch den Betriebsrat 300
I. E. ebenso Staben, ZfA 2020, 287, 301. Zur unionsrechtskonformen Auslegung bereichsspezifischer Erlaubnistatbestände des BetrVG E. III. 1. c). 302 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 42. 303 Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Staben, ZfA 2020, 287, 301 f.; wohl auch Grimm/Göbel, jM 2018, 278, 284; Lücke, NZA 2019, 658, 663; Wybitul, NZA 2017, 1488, 1490. 304 Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; s. dazu auch Gliederungspunkt E. III. 1. c). 305 Wybitul, NZA 2017, 1488, 1490; Wybitul, NZA 2017, 413, 416. 306 Plath/Stamer/Kuhnke, 3. Aufl. 2018, § 26 BDSG Rn. 156. 307 Kort, ZD 2017, 3, 5; Plath/Stamer/Kuhnke, 3. Aufl. 2018, § 26 BDSG Rn. 156; Wybitul/ Böhm, NZA-RR 2019, 256, 260. 301
256
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
vorgenommener Datenverarbeitungsvorgang auf Grundlage des Betriebsverfassungsrechts zulässig, so gilt es anschließend im Rahmen einer Interessenabwägung festzustellen, ob die Datenverarbeitung auch datenschutzrechtlich erforderlich ist. Dabei wird indes zweifellos als gewichtiges Indiz für ein überwiegendes Verarbeitungsinteresse des Betriebsrats zu werten sein, wenn er die ihm obliegenden Aufgaben ohne die Verarbeitung der jeweiligen personenbezogenen Daten nicht effektiv wahrnehmen kann.308 Damit kann die vorzunehmende Interessenabwägung zu Einschränkungen eines aus betriebsverfassungsrechtlicher Sicht einschränkungslos bestehenden Verarbeitungsrechts führen.309 Dabei werden dem Umfang der Datenverarbeitung nicht nur in quantitativer, sondern auch in qualitativer Hinsicht Grenzen gesetzt.310 Was aber bedeutet das konkret? Zum einen kann sich aus dem Grundsatz der Erforderlichkeit ergeben, dass die Datenverarbeitung durch den Betriebsrat allein zeitlich befristet zulässig ist, sodass er Daten nur so lange speichern darf, wie dies im Hinblick auf die Zwecksetzung der Verarbeitung einerseits sowie die Interessen des Betroffenen andererseits verhältnismäßig erscheint.311 Daher wird beispielsweise eine Speicherung personenbezogener Daten „auf Vorrat“ wegen der damit einhergehenden unverhältnismäßigen Beeinträchtigung der Interessen des Betroffenen nicht in Betracht kommen.312 Dies gilt auch für Grundstammdaten der Belegschaft, auf die der Betriebsrat zwar regelmäßig zugreifen muss, jedoch eine anlassbezogene, möglicherweise wiederholte Übermittlung der erforderlichen Informationen durch den Arbeitgeber eine geringere Beeinträchtigung für die Persönlichkeitsrechte der Betroffenen darstellt als eine dauerhafte Überlassung der Daten.313 Zudem muss stets überprüft werden, ob eine Informationsweitergabe an sämtliche Betriebsratsmitglieder angesichts des Verarbeitungsziels notwendig ist oder ob im Einzelfall auch eine Beschränkung auf bestimmte Mitglieder ausreicht.314 Darüber hinaus gilt es kritisch zu hinterfragen, ob der Betriebsrat für eine effektive Aufgabenwahrnehmung tatsächlich personenbezogene Daten benötigt, oder ob nicht vielmehr auch die Verarbeitung anonymisierter oder zumindest pseudonymisierter Daten ausreicht.315 308 Lücke, NZA 2019, 658, 663; so auch die Rechtsprechung, die dieses Argument indes dogmatisch falsch verortet und nicht konsequent unter dieses Erfordernis subsumiert s. BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 42. 309 So auch Gola, BB 2017, 1462, 1466. 310 Lücke, NZA 2019, 658, 663. 311 Gola, BB 2017, 1462, 1466. 312 Lücke, NZA 2019, 658, 664. 313 In diesem Sinne Jordan/Bissels/Löw, BB 2010, 2889, 2892; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 154 f. 314 Kort, NZA 2019, 502, 505. 315 Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1661; Kort, NZA 2018, 1097, 1104; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Lücke, NZA 2019, 658, 663; Plath/Stamer/ Kuhnke, 3. Aufl. 2018, § 26 BDSG Rn. 157; Stück, ZD 2019, 346, 347; für die Weitergabe von Informationen an den Personalrat BVerwG, Beschl. v. 19. 3. 2014 – 6 P 1/13, ZD 2015, 41.
III. Rechtliche Grenzen der Datenverarbeitung
257
b) Kritische Betrachtung der Rechtsprechung zur Einsicht in Bruttoentgeltlisten, § 80 Abs. 2 S. 2 Hs. 2 BetrVG Vor diesem Hintergrund muss auch die Rechtsprechung zum Einsichtsrecht des Betriebsrats in die vom Arbeitgeber geführten Bruttoentgeltlisten (§ 80 Abs. 2 S. 2 Hs. 2 BetrVG) kritisch bewertet werden. Ausgangspunkt ist dabei eine Entscheidung des BAG aus dem Jahr 2014, in der das Gericht jedwede Informationsweitergabe, die der Erfüllung des Auskunftsanspruchs nach § 80 Abs. 2 S. 2 Hs. 2 BetrVG diente, als gem. § 32 Abs. 1 BDSG a. F. zulässige Form der Datennutzung einordnete.316 Eine etwaige Verletzung von Persönlichkeitsrechten der betroffenen Arbeitnehmer sollte diesem Informationsanspruch nicht entgegengehalten werden können, da der Arbeitgeber sich im Verhältnis zum Betriebsrat nicht auf Grundrechte der Arbeitnehmer berufen dürfe.317 Daran knüpfte später das LAG Hamm an und stellte ausdrücklich klar, dass das Einsichtsrecht des Betriebsrats nicht auf anonymisierte Entgeltlisten beschränkt sei.318 Denn obwohl § 80 Abs. 2 S. 2 Hs. 2 BetrVG nicht konkret vorgebe, auf welche Art und Weise dem Betriebsrat die begehrte Einsicht gewährt werden müsse, sei dennoch eindeutig, dass die Funktion der Bruttoentgeltliste nicht erfüllt werden könne, wenn die dort enthaltenen Angaben nicht auch einem konkreten Beschäftigten zugeordnet werden könnten.319 Erst dadurch könne der Betriebsrat überprüfen, welcher Arbeitnehmer welche Vergütungsbestandteile erhielte und inwieweit die betroffenen Arbeitnehmer durch den Arbeitgeber in Gruppen zusammengefasst seien.320 Zwar wurde auch diese Entscheidung noch unter Geltung des § 32 Abs. 1 BDSG a. F. getroffen, allerdings sah das Gericht sich bereits veranlasst, ergänzend darauf hinzuweisen, dass sich auf Grundlage der DSGVO keine abweichende Beurteilung ergebe, da Art. 6 Abs. 1 lit. c DSGVO ausdrücklich jede zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderliche Datenverarbeitung als rechtmäßig einordne.321 Wenig verwunderlich ist, dass zunächst die instanzgerichtliche Rechtsprechung an diese Linie angeknüpft und klargestellt hat, dass auch § 26 Abs. 1 S. 1 BDSG der Zurverfügungstellung von Bruttoentgeltlisten an den Betriebsrat in nichtanonymisierter Form nicht entge-
316
BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/12, NZA 2014, 738, 739 Rn. 28. BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/12, NZA 2014, 738, 739 Rn. 29. 318 LAG Hamm, Beschl. v. 19. 9. 2017 – 7 TaBV 43/17, NZA-RR 2018, 82, 83 Rn. 29. 319 LAG Hamm, Beschl. v. 19. 9. 2017 – 7 TaBV 43/17, NZA-RR 2018, 82, 83 Rn. 29; später ebenso LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 258 Rn. 30 f. 320 LAG Hamm, Beschl. v. 19. 9. 2017 – 7 TaBV 43/17, NZA-RR 2018, 82, 83 Rn. 29; später auch LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – 3 TaBV 10/18, ZD 2019, 573 Rn. 15; LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 258 Rn. 31. 321 LAG Hamm, Beschl. v. 19. 9. 2017 – 7 TaBV 43/17, NZA-RR 2018, 82, 84 Rn. 35; ebenso LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 259 Rn. 37; zustimmend Althoff, ArbRAktuell 2018, 414, 416. 317
258
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
genstehe.322 Dies gelte auch angesichts des von Art. 5 Abs. 1 lit. c DSGVO normierten Grundsatzes der Datensparsamkeit, da aus § 26 Abs. 6 BDSG folge, dass dem Betriebsrat sämtliche Daten, die er zur Wahrnehmung seiner gesetzlichen Aufgaben benötigt, zur Verfügung zu stellen seien.323 Diese Auffassung ist nunmehr durch das BAG bestätigt worden, das zwar ausdrücklich darauf hinweist, dass der Auskunftsanspruch nach § 80 Abs. 2 S. 2 Hs. 2 BetrVG den Grenzen des § 80 Abs. 2 S. 2 Hs. 1 BetrVG unterliege und daher nur bestehe, wenn die begehrte Information für die Betriebsratsarbeit im betriebsverfassungsrechtlichen Sinne erforderlich sei.324 Allerdings schließt das Gericht unmittelbar von der betriebsverfassungsrechtlichen auch auf die datenschutzrechtliche Erforderlichkeit i. S. v. § 26 Abs. 1 S. 1 BDSG.325 Besteht ein Auskunftsanspruch nach § 80 Abs. 2 S. 2 Hs. 2 BetrVG, so sei die zur Erfüllung dieses Anspruchs erfolgende Datenverarbeitung nach § 26 Abs. 1 S. 1 BDSG gerechtfertigt, ohne dass es einer weitergehenden Interessenabwägung bedürfe.326 Dies sei unionsrechtlich unbedenklich, da § 26 Abs. 1 S. 1 BDSG zulässigerweise Art. 88 Abs. 1 DSGVO ausgestalte.327 Daher stehe dem Betriebsrat weiterhin ein Einsichtsrecht in nichtanonymisierte Bruttoentgeltlisten zu.328 Zwar findet diese Rechtsprechung in der Literatur zumindest teilweise Unterstützung,329 dennoch stehen ihr gewichtige Argumente entgegen. Zunächst ist angesichts der unmittelbaren Geltung der DSGVO, die sowohl den Arbeitgeber als auch den Betriebsrat zur Einhaltung des Datenschutzrechts verpflichtet, irrelevant, dass der Arbeitgeber einem Auskunftsverlangen des Betriebsrats nicht die Grundrechte der Betroffenen Arbeitnehmer entgegenhalten kann.330 Denn die grundrechtlichen Interessen des Betroffenen sind nunmehr im Rahmen der gem. § 26 Abs. 1 S. 1 BDSG – bzw. nach hiesiger Ansicht gem. § 80 Abs. 2 S. 2 Hs. 2 BetrVG – angezeigten datenschutzrechtlichen Erforderlichkeitsprüfung unmittelbar zu berücksichtigen.331 Dem wird der Ansatz der Rechtsprechung, die § 26 Abs. 1 S. 1 BDSG eine solche eigenständige datenschutzrechtliche Bedeutung nicht beimisst, nicht gerecht. Allerdings ist – auch sofern man die Bedeutung der datenschutzrechtlichen Erforderlichkeit verkennt – wegen der unmittelbaren Anwendbarkeit der Verarbei322 LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – 3 TaBV 10/18, ZD 2019, 573, 574 Rn. 16; LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256, 258 Rn. 33 ff.; LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 197 f. Rn. 30 f.; LAG Niedersachsen, Beschl. v. 22. 10. 2018 – 12 TaBV 23/18, NZA-RR 2019, 92, 93 Rn. 26 f. 323 LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196, 198 Rn. 31. 324 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1219 f. Rn. 16. 325 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43. 326 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 43. 327 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1223 Rn. 47. 328 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1220 Rn. 15. 329 Althoff, ArbRAktuell 2018, 414, 416; Stück, ZD 2019, 346, 347 f. 330 Lücke, NZA 2019, 658, 659. 331 Dzida, BB 2019, 3060, 3061.
III. Rechtliche Grenzen der Datenverarbeitung
259
tungsgrundsätze des Art. 5 Abs. 1 DSGVO dennoch jede Datenverarbeitung durch den Betriebsrat jedenfalls am Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) zu messen.332 Dies übersieht das BAG ebenso wie § 26 Abs. 5 BDSG, mit dem der deutsche Gesetzgeber ausdrücklich klarstellt, dass die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO auch im Rahmen des Beschäftigtendatenschutzes gewahrt werden müssen.333 Dies gilt auch, wenn man nicht mit der Rechtsprechung § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage heranzieht, sondern wie in dieser Arbeit vertreten § 80 Abs. 2 S. 2 Hs. 2 BetrVG als eigenständigen Erlaubnistatbestand einordnet: Der dort enthaltene Erforderlichkeitsbegriff ist ebenfalls im datenschutzrechtlichen Sinne auszulegen,334 zudem finden die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO unmittelbare Anwendung.335 Indem die Rechtsprechung vom Bestand eines betriebsverfassungsrechtlichen Auskunftsanspruchs ohne Weiteres auf die datenschutzrechtliche Rechtfertigung der Datenverarbeitung schließt, verkennt sie daher nicht nur die Bedeutung des datenschutzrechtlichen Erforderlichkeitsbegriffs, sondern darüber hinaus auch die unmittelbare Geltung des Art. 5 Abs. 1 lit. c DSGVO. Für sie scheint es lediglich „ganz oder gar nicht“, „schwarz oder weiß“ zu geben:336 Entweder besteht der betriebsverfassungsrechtliche Informationsanspruch, woraus automatisch die datenschutzrechtliche Zulässigkeit der Datenverarbeitung folgt oder der Auskunftsanspruch besteht nicht, sodass die damit einhergehende Datenverarbeitung rechtswidrig ist. Der Grundsatz der Erforderlichkeit, der das in Art. 5 Abs. 1 lit. c DSGVO enthaltene Gebot der Datenminimierung konkretisiert,337 gebietet jedoch, jede Datenverarbeitung auf diejenige Art und Weise durchzuführen, die für den Betroffenen den geringsten Eingriff in seine Persönlichkeitsrechte bedeutet.338 Ein weniger intensiver Eingriff gegenüber der Einsicht in Bruttoentgeltlisten unter Namensnennung wäre dabei zweifellos, dem Betriebsrat bloß anonymisierte oder zumindest pseudonymisierte Listen zur Verfügung zu stellen.339 Denn es ist nicht ersichtlich, dass dadurch der von § 80 Abs. 2 S. 2 Hs. 2 BetrVG verfolgte Zweck, nämlich die Gewährleistung von Gehaltsgerechtigkeit im Betrieb, nicht erreicht werden könnte.340 Der Betriebsrat soll gerade nicht die individuellen Arbeitsbedingungen eines einzelnen Arbeitnehmers überprüfen,341 sodass die Namen 332
Wybitul, NZA 2017, 413, 414. Zum klarstellenden Charakter der Norm BeckOK DatenschutzR/Riesenhuber, 32. Ed. (Stand 1. 5. 2020), § 26 BDSG Rn. 58; Heidelberger Kommentar/Thüsing/Schmidt, 2. Aufl. 2020, Anh. Art. 88 DSGVO/§ 26 BDSG Rn. 58; Wybitul, NZA 2017, 413, 414. 334 S. dazu Gliederungspunkt E. III. 1. c). 335 Wybitul, ZD 2016, 203, 206. 336 Weller/Reuther, BB 2019, 1268, 1272. 337 Lücke, NZA 2019, 658, 663. 338 Weller/Reuther, BB 2019, 1268, 1272. 339 Weller, BB 2019, 3008; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1661. 340 Weller, BB 2019, 3008; Weller/Reuther, BB 2019, 1268, 1272. 341 Kort, NZA 2018, 1097, 1104. 333
260
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
der Arbeitnehmer, deren Gehaltsdaten sich auf der Bruttoentgeltliste wiederfinden, irrelevant sind.342 Vielmehr muss der Betriebsrat nur die Vergütungsdaten, die jeweils ausgeübte Tätigkeit, die dazugehörige Stellenbezeichnung und – soweit erfolgt – die Eingruppierung kennen.343 Nur wenn ihm im Einzelfall Unregelmäßigkeiten auffallen, kann es ausnahmsweise erforderlich sein, dem Betriebsrat zumindest einen Teil der Bruttoentgeltlisten auch unter Nennung der Klarnamen der betroffenen Arbeitnehmer zur Verfügung zu stellen.344 Durch dieses zweistufige Vorgehen wird die Überwachungsaufgabe des Betriebsrats nicht beeinträchtigt, jedoch die Anzahl der ihm zur Verfügung gestellten Daten erheblich reduziert.345 Auf dieser Grundlage darf dem Betriebsrat daher grundsätzlich nur Einsicht in anonymisierte oder zumindest pseudonymisierte Bruttoentgeltlisten gewährt werden.346 c) Kritische Betrachtung der Rechtsprechung zum betrieblichen Eingliederungsmanagement Vergleichbare Probleme ergeben sich auch im Hinblick auf die dem Betriebsrat gem. § 80 Abs. 1 Nr. 1 BetrVG i. V. m. § 167 Abs. 2 S. 7 SGB IX obliegende Überwachung des betrieblichen Eingliederungsmanagements. Denn das BAG hat in der Vergangenheit anerkannt, dass sich der diesbezügliche Auskunftsanspruch des Betriebsrats auch auf die Namen der für das betriebliche Eingliederungsmanagement in Betracht kommenden Arbeitnehmer erstreckt.347 Eine bloß anonymisierte Unterrichtung sei hingegen nicht ausreichend, da sich daraus lediglich die Anzahl der betroffenen Arbeitnehmer ergebe, nicht jedoch, ob der Arbeitgeber das notwendige Verfahren im Einzelfall auch eingeleitet habe.348 Denn der Betriebsrat könne nur bei Kenntnis der Namen der Betroffenen durch Nachfrage beim jeweiligen Arbeitnehmer nachprüfen, ob der Arbeitgeber ihm die Durchführung des betrieblichen Eingliederungsmanagements überhaupt angeboten hat.349 Datenschutzrechtliche Belange stehen dem Auskunftsanspruch des Betriebsrats dabei nach Ansicht des BAG nicht entgegen.350 Mit der Frage nach der datenschutzrechtlichen Erforderlichkeit 342
Weller, BB 2019, 3008. Weller, BB 2019, 3008; Weller/Reuther, BB 2019, 1268, 1272. 344 Weller/Reuther, BB 2019, 1268, 1272; ebenso für das Personalvertretungsrecht BVerwG, Beschl. v. 19. 3. 2014 – 6 P 1/13, ZD 2015, 41, 42 Rn. 11. 345 BVerwG, Beschl. v. 19. 3. 2014 – 6 P 1/13, ZD 2015, 41, 42 Rn. 11. 346 Lücke, NZA 2019, 658, 659; Weller, BB 2019, 3008; Weller/Reuther, BB 2019, 1268, 1272; i. E. ebenso, dies aber unmittelbar aus dem Datenminimierungsgrundsatz ableitend Kort, NZA 2018, 1097, 1104; in diese Richtung auch Lelley/Bruck/Yildiz, BB 2018, 2164, 2167. 347 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744 Ls. 2. 348 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 745 Rn. 12; so für das Personalvertretungsrecht BVerwG, Beschl. v. 23. 6. 2010 – 6 P 8/09, NZA-RR 2010, 554, 557 Rn. 43. 349 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 745 Rn. 12. 350 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 42; kritisch Kort, ZD 2016, 3; Richardi/Richardi, BetrVG, 16. Aufl. 2018, § 87 Rn. 619. 343
III. Rechtliche Grenzen der Datenverarbeitung
261
setzt sich das Gericht jedoch nicht auseinander – wohl weil es davon ausgeht, dass sie ohnehin unmittelbar aus der betriebsverfassungsrechtlichen Erforderlichkeit der Informationsübermittlung folgt. Beachtung schenkt es hingegen dem Umstand, dass § 28 Abs. 6 Nr. 3 BDSG a. F. – inhaltlich insofern übereinstimmend mit § 26 Abs. 3 S. 1 BDSG – die Datenverarbeitung nur zulässt, soweit die schutzwürdigen Interessen des Betroffenen am Ausschluss der Verarbeitung nicht überwiegen: Zwar handele es sich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten, jedoch sei auf Grundlage der dem Betriebsrat zur Verfügung gestellten Informationen lediglich ersichtlich, dass der jeweilige Arbeitnehmer infolge einer Krankheit innerhalb eines Jahres mindestens sechs Wochen arbeitsunfähig, nicht jedoch, woran der Betroffene konkret erkrankt war.351 Zudem sei die krankheitsbedingte Abwesenheit des Arbeitnehmers wegen des daraus resultierenden Vertretungsbedarfs im Betrieb regelmäßig ohnehin bekannt.352 Letztlich unterliege der Betriebsrat auch einer strafbewehrten Verschwiegenheitspflicht nach § 79 Abs. 1 BetrVG i. V. m. § 120 Abs. 2 BetrVG im Hinblick auf Gesundheitsdaten der Arbeitnehmer, sodass die Interessen des Betroffenen gewahrt seien.353 Auf einer ähnlichen Linie bewegt sich auch das BVerwG im Hinblick auf die Auskunftsansprüche des Personalrats: Zwar misst das Gericht dem Maßstab der Erforderlichkeit besondere Bedeutung bei und hebt hervor, dass stets genau abzuwägen sei, ob Auskünfte unter Namensnennung tatsächlich zur Wahrnehmung der jeweiligen Aufgabe der Mitarbeitervertretung notwendig seien oder ob vielmehr eine anonymisierte Unterrichtung ausreiche.354 Soweit schon die anonymisierte Information zur Erfüllung der Überwachungsaufgabe genüge, sei eine Auskunft unter Namensnennung lediglich dort ausnahmsweise möglich, wo Anhaltspunkte für eine Rechtsverletzung und damit ein konkretes Kontrollbedürfnis im Einzelfall bestehen.355 Im Rahmen des betrieblichen Eingliederungsmanagements genüge eine anonymisierte Information jedoch gerade nicht: Die Mitarbeitervertretung müsse überprüfen können, ob der Arbeitgeber alle Mitarbeiter, die für das betriebliche Eingliederungsmanagement in Betracht kommen, tatsächlich über das ihnen zustehende Angebot informiert habe.356 Anders positionieren sich hingegen der VGH München sowie der KAGH, die der jeweiligen Mitarbeitervertretung lediglich ein Auskunftsrecht in Bezug auf die Zahl, nicht jedoch die Namen der betroffenen Arbeitnehmer zuerkennen.357 Dies folge aus dem für das betriebliche Eingliederungsmanagement gesetzlich vorgesehenen 351
BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 746 Rn. 23, 26. BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 44 f. 353 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 46. 354 BVerwG, Beschl. v. 19. 3. 2014 – 6 P 1/13, ZD 2015, 41, 42 Rn. 11. 355 BVerwG, Beschl. v. 19. 3. 2014 – 6 P 1/13, ZD 2015, 41, 42 Rn. 11. 356 BVerwG, Beschl. v. 23. 6. 2010 – 6 P 8/09, NZA-RR 2010, 554, 557 Rn. 43. 357 VGH München, Beschl. v. 30. 4. 2009 – 17 P 08.3389, BeckRS 2010, 53777 Ls. 1; KAGH, Urt. v. 28. 11. 2014 – M 06/2014, BeckRS 2015, 65263 Ls. 1. 352
262
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
zweistufigen Verfahren: In der ersten Phase müsse der Arbeitgeber bestimmen, welche Beschäftigten für das betriebliche Eingliederungsmanagement in Betracht kommen, sie darüber informieren und ihre Zustimmung einholen, bevor sich erst danach die zweite Phase anschließt, in der konkret zu klären ist, wie die Arbeitsunfähigkeit im Einzelfall überwunden werden kann.358 Dabei wirkt die Mitarbeitervertretung erst in dieser zweiten Phase mit – und das auch nur bei Zustimmung des Betroffenen.359 Daraus folge, dass der Mitarbeitervertretung auch in der ersten Verfahrensphase lediglich ein Recht zur Auskunft über die Anzahl der unterrichteten Arbeitnehmer sowie den Inhalt der den Arbeitnehmern erteilten Information zustehen könne.360 aa) Schwachstellen der Rechtsprechung Indes weisen sämtliche Entscheidungen ein Defizit auf: Sie nehmen – ebenso wie auch die Rechtsprechung zum Einsichtsrecht des Betriebsrats in Bruttoentgeltlisten – nicht die gebotene Differenzierung zwischen datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit vor,361 sondern schließen von der betriebsverfassungsrechtlichen unmittelbar auf die datenschutzrechtliche Erforderlichkeit der Datenverarbeitung. Dies führt zu dogmatisch unsauberen Lösungen, denn sämtliche Gerichte versuchen gleichwohl datenschutzrechtliche Wertungen einfließen zu lassen: Das BAG übergeht zwar die Problematik der datenschutzrechtlichen Erforderlichkeit, setzt sich dann jedoch mit der von § 28 Abs. 6 Nr. 3 BDSG a. F. – bzw. nunmehr von § 26 Abs. 3 S. 1 BDSG – aufgeworfenen Frage nach dem Bestehen überwiegender, schutzwürdiger Interessen des Betroffenen auseinander. Das BVerwG versucht sich demgegenüber an einem restriktiven Verständnis des betriebsverfassungsrechtlichen Erforderlichkeitsbegriffs, unter den es jedoch nicht sauber subsumiert. Und der VGH München sowie der KAGH möchten die datenschutzrechtlich gebotene Einschränkung der Betriebsratsrechte aus dem von § 167 Abs. 2 SGB IX vorgesehen Verfahrensablauf herleiten. All diese – dogmatisch falschen – Umwege ließen sich vermeiden, würden die Gerichte der datenschutzrechtlichen Erforderlichkeit eigenständige Bedeutung zuerkennen. Zwar muss man zugestehen, dass die genannten Entscheidungen noch unter Geltung des § 28 Abs. 6 Nr. 3 BDSG a. F. als maßgeblichem Rechtfertigungstatbestand ergangen sind und Rechtsprechung, die sich mit der Rechtslage nach Inkrafttreten von DSGVO und neu
358 VGH München, Beschl. v. 30. 4. 2009 – 17 P 08.3389, BeckRS 2010, 53777 Rn. 24; KAGH, Urt. v. 28. 11. 2014 – M 06/2014, BeckRS 2015, 65263. 359 VGH München, Beschl. v. 30. 4. 2009 – 17 P 08.3389, BeckRS 2010, 53777 Rn. 26 f.; KAGH, Urt. v. 28. 11. 2014 – M 06/2014, BeckRS 2015, 65263. 360 VGH München, Beschl. v. 30. 4. 2009 – 17 P 08.3389, BeckRS 2010, 53777 Rn. 25; KAGH, Urt. v. 28. 11. 2014 – M 06/2014, BeckRS 2015, 65263. 361 Deutlich bei VGH München, Beschl. v. 30. 4. 2009 – 17 P 08.3389, BeckRS 2010, 53777 Rn. 28.
III. Rechtliche Grenzen der Datenverarbeitung
263
gefasstem BDSG beschäftigt, bislang nicht ersichtlich ist.362 Nimmt man die Rechtsprechung des BAG zum Einsichtsrecht des Betriebsrats in die im Betrieb vorhandenen Bruttoentgeltlisten jedoch als Orientierung, so ist nicht zu erwarten, dass die Gerichte in Zukunft von ihrem Kurs abweichen und eine eigenständige Prüfung der datenschutzrechtlichen Erforderlichkeit der Informationsweitergabe vornehmen werden. bb) Bewertung allein am Maßstab der betriebsverfassungsrechtlichen Erforderlichkeit Zweifellos wird man dem Betriebsrat zugestehen müssen, dass er die ihm zukommende Überwachungsaufgabe am effektivsten wahrnehmen kann, wenn er die Namen der für das betriebliche Eingliederungsmanagement in Betracht kommenden Arbeitnehmer kennt und damit durch schlichte Nachfrage bei den Betroffenen überprüfen kann, ob der Arbeitgeber sie über die ihnen zustehenden Rechte informiert hat. Dies wird zur Begründung der betriebsverfassungsrechtlichen Erforderlichkeit der Informationsweitergabe, für die grundsätzlich ausreicht, dass die jeweiligen Daten mit gewisser Wahrscheinlichkeit für die Aufgabenwahrnehmung benötigt werden,363 genügen. Selbst wenn man die neuere Rechtsprechung zum Einsichtsrecht in Bruttoentgeltlisten heranzieht, die fordert, dass die begehrte Information für die Wahrnehmung der dem Betriebsrat obliegenden Aufgaben unerlässlich ist,364 und diesen Maßstab überträgt, mag man die betriebsverfassungsrechtliche Erforderlichkeit bejahen. Denn die Rechtsprechung hat ausdrücklich klargestellt, dass es keiner Abwägung der widerstreitenden Interessen oder einer Verhältnismäßigkeitsprüfung im Einzelfall bedürfe, sondern allein die Notwendigkeit der Information für eine effektive Betriebsratsarbeit ausschlaggebend sei.365 Legt man diesen Maßstab zugrunde, so wird man zu dem Ergebnis kommen, dass die Übermittlung der Namen der betroffenen Arbeitnehmer jedenfalls die bestmögliche Aufgabenwahrnehmung durch den Betriebsrat garantiert und somit ein anderes, gleich effektives Mittel nicht zur Verfügung steht.366
362
Stand 25. 6. 2020. BAG, Beschl. v. 27. 10. 2010 @ 7 ABR 36/09, NZA 2011, 527, 530 Rn. 39; BAG, Beschl. v. 10. 10. 2006 – 1 ABR 68/05, NZA 2007, 99, 100 f. Rn. 18; BAG, Beschl. v. 27. 6. 1989 – 1 ABR 19/88, NZA 1989, 929, 930; ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 18; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 51; Lelley/Bruck/Yildiz, BB 2018, 2164, 2166; Richardi/ Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 53. 364 BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055, 1059 Rn. 42. 365 BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218, 1222 Rn. 39 ff. 366 Ebenso Joussen, ZD 2013, 546, 549. 363
264
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
cc) Abweichungen mit Blick auf die datenschutzrechtliche Erforderlichkeit Hier kann die Betrachtung indes nicht stehen bleiben. Vielmehr schließt sich die Prüfung der datenschutzrechtlichen Erforderlichkeit an, die eine umfassende Abwägung der widerstreitenden Interessen von Verantwortlichem und Betroffenem im Einzelfall erfordert.367 In diese Abwägung ist auf Seiten des Betriebsrats unzweifelhaft einzustellen, dass er die ihm obliegenden Aufgaben ohne die Verarbeitung der jeweiligen personenbezogenen Daten nicht ebenso effektiv wahrnehmen könnte.368 Allerdings muss zugleich berücksichtigt werden, dass er seiner Überwachungsaufgabe – womöglich mit Einschränkungen – auch nachkommen kann, wenn er nur die Anzahl der für das betriebliche Eingliederungsmanagement in Betracht kommenden Arbeitnehmer kennt und ihm in anonymisierter Form Einsicht in die an diese Arbeitnehmer übermittelten Informationsschreiben gewährt wird.369 Denn in der zweiten Phase des betrieblichen Eingliederungsmanagements wird der Betriebsrat – bei Zustimmung des Arbeitnehmers – ohnehin zum Verfahren hinzugezogen. Bleibt nun die Anzahl der Verfahren, zu denen der Betriebsrat hinzugezogen wird deutlich hinter der ihm durch den Arbeitgeber mitgeteilten Zahl zurück, kann der Betriebsrat begründete Zweifel an der ordnungsgemäßen Information der Betroffenen durch den Arbeitgeber darlegen und auf dieser Grundlage die Mitteilung der Namen der beim betrieblichen Eingliederungsmanagement zu berücksichtigenden Arbeitnehmer verlangen. Durch ein solches zweistufiges Verfahren wird die Überwachungsaufgabe des Betriebsrats zwar erschwert, jedoch zugleich die Anzahl der ihm zur Verfügung gestellten Daten erheblich reduziert.370 Damit kommt es zwar zu einer Einschränkung der Betriebsratsarbeit, jedoch sind die Interessen des Betroffenen im Falle des betrieblichen Eingliederungsmanagements grundsätzlich höher zu bewerten, da es sich um Gesundheitsdaten und damit um gem. Art. 9 Abs. 1 DSGVO besonders sensible Informationen handelt.371 Insofern ist irrelevant, dass sich aus der Mitteilung des Namens des Betroffenen lediglich ergibt, dass der jeweilige Arbeitnehmer infolge einer Krankheit innerhalb eines Jahres mindestens sechs Wochen arbeitsunfähig war, sie jedoch keinen Aufschluss darüber gibt, woran der Betroffene konkret erkrankt war.372 Denn Art. 9 Abs. 1 DSGVO unterstellt jedes Gesundheitsdatum einem besonderen Schutz, sodass bereits die Information, dass überhaupt eine Krankschreibung bestand, schutzwürdig ist.373 Zwar muss in die Interessenabwägung 367
Gola/Klug, NJW 2018, 674, 677; Lelley/Bruck/Yildiz, BB 2018, 2164, 2172; Lücke, NZA 2019, 658, 663; Wybitul, NZA 2017, 413, 416. 368 Lücke, NZA 2019, 658, 663. 369 Taeger/Rose, BB 2016, 819, 829. 370 So allgemein für zweistufige Informationsverfahren im Verhältnis zum Betriebsrat BVerwG, Beschl. v. 19. 3. 2014 – 6 P 1/13, ZD 2015, 41, 42 Rn. 11. 371 So auch BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 746 Rn. 26. 372 BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 746 Rn. 23, 26. 373 EuGH, Urt. v. 6. 11. 2003 – C-101/01, EuZW 2004, 245, 249 Rn. 51; Ehmann/Selmayr/ Schiff, 2. Aufl. 2018, Art. 9 DSGVO Rn. 29.
III. Rechtliche Grenzen der Datenverarbeitung
265
einbezogen werden, ob die jeweilige Information ohnehin öffentlich bekannt ist.374 Allerdings muss dabei ebenfalls berücksichtigt werden, ob der Betroffene die Daten freiwillig veröffentlicht hat.375 Davon kann bei einer Erkrankung nicht ausgegangen werden: Ist ein Arbeitnehmer infolge seiner Arbeitsunfähigkeit nicht im Betrieb anwesend, wird zwar aufgrund des dadurch entstehenden Vertretungsbedarfs seine Abwesenheit im Betrieb bekannt werden.376 Dies geschieht jedoch ohne den Willen des Betroffenen, sondern ist vielmehr rein tatsächliche Folge seiner Abwesenheit. Zudem ist auch der Kreis derjenigen Personen, denen die Abwesenheit des Arbeitnehmers bekannt ist – zumindest in größeren Betrieben – auf die durch den Vertretungsbedarf unmittelbar betroffenen Personen begrenzt. Auch werden jedenfalls die Kollegen zumeist nur wissen, dass der Arbeitnehmer überhaupt abwesend ist. Ob er arbeitsunfähig krank ist, bezahlten oder unbezahlten Urlaub genommen hat, ist ihnen hingegen regelmäßig nicht bekannt. Vor diesem Hintergrund ist es verfehlt, diese Erwägung zulasten des Betroffenen in die Interessenabwägung einzubeziehen. Letztlich schafft ein zweistufiges Vorgehen einen sachgerechten Interessenausgleich: Die Interessen des Betriebsrats müssen keineswegs vollständig zurücktreten, denn soweit er ernsthafte, begründete Zweifel an der ordnungsgemäßen Information durch den Arbeitgeber hat, kann er auch verlangen, dass der Arbeitgeber ihm die Namen der Betroffenen nennt. Zwar mag dadurch die Effektivität der Betriebsratsarbeit zumindest teilweise eingeschränkt werden, dies ist jedoch zwangsläufige Folge des Umstandes, dass weder dem BetrVG noch dem SGB IX eine allgemeine Vorrangstellung gegenüber dem BDSG und insbesondere der DSGVO zukommt.377 Insofern wird der Unterschied zwischen datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit offenkundig: Aus betriebsverfassungsrechtlicher Sicht hat der Betriebsrat einen Anspruch auf Information über die Namen der für ein betriebliches Eingliederungsmanagement in Betracht kommenden Arbeitnehmer. Dieser Anspruch wird indes durch das Erfordernis der datenschutzrechtlichen Erforderlichkeit eingeschränkt. Die Interessen des Betroffenen sind wegen der besonderen Sensibilität der Daten höher zu bewerten, sodass dem Betriebsrat grundsätzlich lediglich anonymisierte Informationen zur Verfügung zu stellen sind. Nur bei berechtigten Zweifeln an der ordnungsgemäßen Aufgabenerfüllung durch den Arbeitgeber kann der Betriebsrat auch die Weitergabe der Namen der betroffenen Arbeitnehmer verlangen.
374 EuGH, Urt. v. 4. 5. 2017 – C-13/16, BeckRS 2017, 108615 Rn. 32; EuGH, Urt. v. 24. 11. 2011 – C-468/1, u. a., EuZW 2012, 34, 40 Rn. 44; Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 6 DSGVO Rn. 28; Gola/Schulz, 2. Aufl. 2018, Art. 6 DSGVO Rn. 59; Kühling/Buchner/ Buchner/Petri, 2. Aufl. 2018, Art. 6 DSGVO Rn. 154. 375 Gola/Schulz, 2. Aufl. 2018, Art. 6 DSGVO Rn. 59. 376 So die Argumentation der Rechtsprechung s. BAG, Beschl. v. 7. 2. 2012 – 1 ABR 46/10, NZA 2012, 744, 747 Rn. 44 f. 377 Kort, NZA 2019, 502, 504.
266
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
d) Folgerung: Datenschutzrechtliche Erforderlichkeit als maßgebliche Grenze für den Umfang der betriebsratsseitigen Datenverarbeitung Mithin markiert die datenschutzrechtliche Erforderlichkeit die Grenze für den Umfang von durch den Betriebsrat vorgenommenen Datenverarbeitungen und kann zu Modifikationen sowie Beschränkungen seiner betriebsverfassungsrechtlichen Rechte führen. Jede Datenverarbeitung muss in einem ersten Schritt daraufhin überprüft werden, ob sie aus betriebsverfassungsrechtlicher Sicht zulässig ist, was neben dem Bezug zu einer konkreten Betriebsratsaufgabe auch die Erforderlichkeit der Datenverarbeitung voraussetzt. Nur soweit diese Voraussetzung erfüllt ist, schließt sich in einem zweiten Schritt die Frage nach der datenschutzrechtlichen Erforderlichkeit an. Dabei ist der datenschutzrechtliche Erforderlichkeitsbegriff deutlich restriktiver als der des Betriebsverfassungsrechts, denn er fordert eine umfassende Abwägung der widerstreitenden Interessen von Betroffenem und Verantwortlichem. Er zwingt den Betriebsrat daher dazu – soweit dies zur Wahrnehmung seiner Aufgaben ausreicht – lediglich anonymisierte oder zumindest pseudonymisierte Daten zu verarbeiten. Dies führt sowohl zu einer Einschränkung seines Einsichtsrechts in die im Betrieb geführten Bruttoentgeltlisten als auch zu einer Beschränkung seines Informationsrechts hinsichtlich der für das betriebliche Eingliederungsmanagement in Betracht kommenden Arbeitnehmer, sodass er Auskunft in beiden Fällen grundsätzlich nur in anonymisierter bzw. pseudonymisierter Form verlangen kann.
3. Zulässigkeit der Datenweitergabe innerhalb des Betriebsratsgremiums und an andere Betriebsratsgremien Die aufgezeigten rechtlichen Grenzen der Datenverarbeitung gelten nicht nur bei der Informationsweitergabe an den Betriebsrat, sondern auch soweit dieser selbst personenbezogene Daten an Dritte weitergibt. Dabei darf er – unabhängig von der Frage nach einer etwaigen datenschutzrechtlichen Rechtfertigung – personenbezogene Daten nicht weitergeben, soweit er betriebsverfassungsrechtlichen Verschwiegenheitspflichten unterliegt.378 Denn diese gehen als bereichsspezifische Regelungen i. S. v. § 1 Abs. 2 S. 1 BDSG den Erlaubnistatbeständen des BDSG vor, sodass dort, wo eine betriebsverfassungsrechtliche Schweigepflicht besteht, eine Informationsweitergabe auch nicht unter Rückgriff auf datenschutzrechtliche Erlaubnistatbestände des BDSG gerechtfertigt werden kann.379 Unterliegt er einer solchen Pflicht nicht, benötigt der Betriebsrat dennoch für jede Datenverarbeitung einen datenschutzrechtlichen Erlaubnistatbestand, auf den er den Verarbeitungs378 379
Stück, ZD 2019, 256, 259. S. ausführlich dazu Gliederungspunkt B. II. 2. a) cc) (4).
III. Rechtliche Grenzen der Datenverarbeitung
267
vorgang stützen kann und muss dessen Grenzen – insbesondere den Grundsatz der Erforderlichkeit – beachten.380 Besonderer Fokus ist dabei auf die Weitergabe personenbezogener Beschäftigtendaten innerhalb des Betriebsratsgremiums und auf die Übermittlung solcher Informationen an andere Betriebsratsgremien, wie den Gesamt- oder Konzernbetriebsrat, zu legen. Für die Weitergabe personenbezogener Beschäftigtendaten an andere Betriebsratsgremien fehlt es regelmäßig bereits am notwendigen Erlaubnistatbestand. Nicht herangezogen werden kann in diesem Zusammenhang § 79 Abs. 1 S. 4 BetrVG, der zwar ausdrücklich klarstellt, dass die von § 79 Abs. 1 S. 1 BetrVG angeordnete Verschwiegenheitspflicht des Betriebsrats nicht im Verhältnis zu anderen Betriebsratsgremien besteht.381 Allerdings schafft § 79 Abs. 1 S. 4 BetrVG eben nur eine Ausnahme von der allgemeinen betriebsverfassungsrechtlichen Verschwiegenheitspflicht des § 79 Abs. 1 S. 1 BetrVG, enthält jedoch keine eigenständige datenschutzrechtliche Rechtsgrundlage.382 Es bedarf mithin eines – infolge der Ausnahmeregelung des § 79 Abs. 1 S. 4 BetrVG möglichen – Rückgriffs auf die bekannten Erlaubnistatbestände, die indes allesamt den Bezug der Datenverarbeitung zu einer konkreten betriebsverfassungsrechtlichen Aufgabe voraussetzen. An einer entsprechenden Aufgabenzuweisung, die eine Weitergabe personenbezogener Informationen an den Gesamt- oder Konzernbetriebsrat notwendig macht, fehlt es allerdings im BetrVG.383 Daher kann die Informationsweitergabe an ein anderes Betriebsratsgremium nur ausnahmsweise zulässig sein, soweit im Einzelfall dennoch – beispielsweise aufgrund einer Konzernbetriebsvereinbarung – eine konkrete Aufgabe besteht, zu deren Erfüllung die Datenweitergabe an ein anderes Betriebsratsgremium erforderlich ist.384 Etwas komplexer gestaltet sich die Frage nach der rechtlichen Zulässigkeit der Datenweitergabe innerhalb des Betriebsratsgremiums. Keine Lösung bietet auch in diesem Zusammenhang § 79 Abs. 1 S. 3 BetrVG, der ebenfalls nur das einzelne Betriebsratsmitglied im Verhältnis zu anderen Gremiumsmitgliedern von der Schweigepflicht nach § 79 Abs. 1 S. 1 BetrVG entbindet, jedoch keinen eigenständigen datenschutzrechtlichen Erlaubnistatbestand enthält. Daher kann auch die Datenweitergabe innerhalb des Betriebsrats nur zulässig sein, wenn einer der bekannten Rechtfertigungstatbestände eingreift.385 Da diese allesamt daran anknüpfen, dass die Datenverarbeitung in Erfüllung einer gesetzlichen Aufgabe des Betriebsrats erfolgt und die Wahrnehmung sämtlicher betriebsverfassungsrechtlicher Aufgaben grundsätzlich dem Betriebsrat als Gremium zugewiesen ist, ist auch die Daten380
416. 381 382 383 384 385
Maschmann, BB 2019, 628, 633; Stück, ZD 2019, 256, 259; Wybitul, NZA 2017, 413, Lücke, NZA 2019, 658, 665. Lücke, NZA 2019, 658, 665. Lücke, NZA 2019, 658, 665. Lücke, NZA 2019, 658, 666. Kort, NZA 2019, 502, 504.
268
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
weitergabe an sämtliche Betriebsratsmitglieder in der Regel zulässig.386 Indes muss auch bei der Informationsweitergabe innerhalb des Betriebsrats der ebenfalls in allen Erlaubnistatbeständen enthaltene Grundsatz der Erforderlichkeit beachtet werden. Dieser kann zu Einschränkungen auch für die Datenweitergabe innerhalb des Betriebsratsgremiums führen.387 Denn nur wo aus dem Zweck des Beteiligungsrechts folgt, dass der gesamte Betriebsrat an der jeweiligen Maßnahme beteiligt werden muss, ist die Datenweitergabe an sämtliche Betriebsratsmitglieder erforderlich.388 Dies wird infolge der Konzeption des BetrVG, das die betriebsverfassungsrechtlichen Aufgaben grundsätzlich dem Betriebsratsgremium zuweist, regelmäßig der Fall sein.389 Ausnahmen sind jedoch beispielsweise im Rahmen des betrieblichen Eingliederungsmanagements denkbar: Zum einen werden dem jeweils am Verfahren beteiligten Betriebsratsmitglied während des Erstgesprächs Gesundheitsdaten bekannt, für die ein besonderes Schutzbedürfnis besteht, sodass ein restriktives Verständnis angezeigt ist.390 Zum anderen wird der Betriebsrat gem. § 167 Abs. 2 S. 1 SGB IX überhaupt nur bei Zustimmung des betroffenen Arbeitnehmers am Erstgespräch des betrieblichen Eingliederungsmanagements beteiligt, wobei ihm auch dann allein eine Unterstützungsfunktion zukommt, der Arbeitnehmer aber Herr des Verfahrens bleibt.391 Da sich die Aufgabe des Betriebsrats in diesem Verfahrensstadium mithin in der Unterstützung während des Erstgesprächs erschöpft,392 ist eine ordnungsgemäße Aufgabenerfüllung bereits durch die Kenntnisnahme des jeweils beteiligten Betriebsratsmitglieds von den relevanten personenbezogenen Daten gewährleistet. Eine weitergehende Informationsweitergabe an andere Mitglieder des Betriebsratsgremiums ist hingegen zur Erfüllung der konkreten Betriebsratsaufgabe nicht erforderlich und damit datenschutzrechtlich unzulässig.393
4. Überblick über die rechtlichen Grenzen betriebsratsseitiger Datenverarbeitung Auch der Betriebsrat unterliegt datenschutzrechtlichen Grenzen, soweit er personenbezogene Beschäftigtendaten verarbeitet. Daher muss er jeden von ihm vorgenommenen Datenverarbeitungsvorgang auf einen datenschutzrechtlichen Erlaubnistatbestand stützen können. In Betracht kommen dabei insbesondere § 26 Abs. 1 S. 1 BDSG, § 26 Abs. 3 S. 1 BDSG, die bereichsspezifischen Regelungen in § 80 Abs. 2 S. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG sowie die in daten386 387 388 389 390 391 392 393
Kort, NZA 2019, 502, 505; Lücke, NZA 2019, 658, 665; Staben, ZfA 2020, 287, 304. Kort, NZA 2019, 502, 505. Kort, NZA 2019, 502, 505. Kort, NZA 2019, 502, 505; Lücke, NZA 2019, 658, 665. Kort, NZA 2019, 502, 505; Stück, ZD 2019, 346, 349. Kort, NZA 2019, 502, 505; Stück, ZD 2019, 346, 349. Kort, NZA 2019, 502, 505. Kort, NZA 2019, 502, 505; Stück, ZD 2019, 346, 349.
III. Rechtliche Grenzen der Datenverarbeitung
269
schutzrechtlichen Betriebsvereinbarungen enthaltenen Rechtfertigungstatbestände. Sämtlichen Tatbeständen gemein sind zwei Grundvoraussetzungen: Die Datenverarbeitung muss in Bezug zu einer dem Betriebsrat zugewiesenen Aufgabe stehen und zu deren Erfüllung sowohl in betriebsverfassungsrechtlicher als auch in datenschutzrechtlicher Hinsicht erforderlich sein. Abhängig vom jeweiligen Erlaubnistatbestand treten zusätzliche Voraussetzungen hinzu. So kann die Verarbeitung sensibler Daten gem. § 26 Abs. 3 S. 1 BDSG nur dann gerechtfertigt sein, wenn die schutzwürdigen Interessen des Betroffenen am Ausschluss der Verarbeitung nicht überwiegen. Um dies zu gewährleisten, obliegt dem Betriebsrat gem. § 26 Abs. 3 S. 3 BDSG i. V. m. § 22 Abs. 2 BDSG die Pflicht, besondere Maßnahmen zum Schutz des Betroffenen zu ergreifen. Kommt er dieser Verpflichtung nicht nach, folgt schon daraus die Rechtswidrigkeit der Datenverarbeitung. Daher muss der Arbeitgeber ein Auskunftsverlangen des Betriebsrats ablehnen, wenn er sichere Kenntnis oder zumindest ernstliche, auf konkrete Tatsachen gegründete Zweifel am Bestand entsprechender Schutzmaßnahmen hat. Darüber hinaus enthalten die bereichsspezifischen Erlaubnistatbestände des BetrVG eigenständige Rechtfertigungsmaßstäbe. Allerdings sind sie – auch wenn das BetrVG nicht der Ausgestaltung der in Art. 88 Abs. 1 DSGVO enthaltenen Öffnungsklausel dient – wiederum im Lichte von Art. 88 Abs. 2 DSGVO auszulegen, sodass der in der jeweiligen bereichsspezifischen Regelung enthaltene Erforderlichkeitsbegriff in einem datenschutzrechtlichen Sinne verstanden werden muss. Das in sämtlichen Erlaubnistatbeständen enthaltene datenschutzrechtliche Erforderlichkeitserfordernis begrenzt den Umfang aller durch den Betriebsrat vorgenommener Datenverarbeitungen sowohl in quantitativer als auch in qualitativer Hinsicht. Indes stimmen betriebsverfassungsrechtliche und datenschutzrechtliche Erforderlichkeit keineswegs überein. Während Erstere nur voraussetzt, dass die Information zur Erfüllung der jeweiligen Aufgabe mit gewisser Wahrscheinlichkeit notwendig ist, erfordert Letztere eine umfassende Abwägung der widerstreitenden Interessen. Nur soweit beide Voraussetzungen erfüllt sind, kann die Datenverarbeitung überhaupt gerechtfertigt sein. Dabei ist die betriebsverfassungsrechtliche Erforderlichkeit notwendige, nicht aber hinreichende Voraussetzung für die Rechtmäßigkeit eines Datenverarbeitungsvorgangs. Aufgrund dieser Diskrepanz zwischen datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit kann es durch das Datenschutzrecht zu Einschränkungen und Modifikationen der dem Betriebsrat zustehenden Rechte kommen. Deutlich wird dies am Beispiel des Einsichtsrechts des Betriebsrats in die im Betrieb geführten Bruttoentgeltlisten: Dieses Recht beschränkt sich wegen des erheblichen Eingriffs in die Persönlichkeitsrechte des Betroffenen, die mit einer Offenlegung seines Namens einhergeht, auf anonymisierte oder zumindest pseudonymisierte Listen. Denn der Betriebsrat kann die ihm zukommende Aufgabe, die Einhaltung von Gehaltsgerechtigkeit im Betrieb zu kontrollieren, auch auf Grundlage derart zensierter Listen erfüllen. Gleiches gilt in der ersten Phase des betrieblichen Eingliederungsmanagements. Hier kann der Betriebsrat grundsätzlich nur verlangen, dass ihm die Anzahl der für das
270
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Verfahren in Betracht kommenden Mitarbeiter sowie die ihnen übermittelten Informationsschreiben in anonymisierter Form zur Verfügung gestellt werden. Zwar wird dadurch die Effektivität der Betriebsratsarbeit beeinträchtigt, jedoch sind die Interessen des Betroffenen wegen der besonderen Sensibilität der Daten höher zu bewerten. Schließlich unterliegt der Betriebsrat auch den Grenzen das Datenschutzrechts, sofern er selbst personenbezogene Daten weitergibt. Grundsätzlich zulässig ist indes die Datenweitergabe innerhalb des Betriebsratsgremiums, da die Wahrnehmung betriebsverfassungsrechtlicher Aufgaben regelmäßig dem Betriebsrat als Gremium zugewiesen ist und somit der notwendige Aufgabenbezug auch für die Informationsweitergabe an andere Betriebsratsmitglieder besteht. Diese ist nur dann ausnahmsweise nicht erforderlich – und damit datenschutzrechtlich unzulässig – wenn der Zweck des Beteiligungsrechts nicht erfordert, den gesamten Betriebsrat an der jeweiligen Maßnahme zu beteiligen.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten Beschäftigt man sich mit der datenschutzrechtlichen Verantwortung des Betriebsrats, so stößt man letztlich auf die Frage nach dem Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten. Einen betrieblichen Datenschutzbeauftragten müssen gem. Art. 37 Abs. 1 DSGVO nur Verantwortliche und Auftragsverarbeiter bestellen. Ordnet man den Betriebsrat nicht als eigenständigen Verantwortlichen, sondern vielmehr als Teil des Arbeitgebers ein, ist er daher nicht zur Bestellung eines eigenen Datenschutzbeauftragten verpflichtet. Diese Pflicht trifft allein den Arbeitgeber. Folge dessen ist, dass im jeweiligen Betrieb der betriebliche Datenschutzbeauftragte und der Betriebsrat nebeneinander tätig werden und gleichzeitig Aufgaben im Bereich des Beschäftigtendatenschutzes wahrnehmen. Dies führt zu einem teilweisen Nebeneinander beider Institutionen, kann jedoch auch zu einem Spannungsverhältnis führen, wo sich Aufgaben und Kompetenzen überschneiden. Die einzelnen Problemfelder der Zusammenarbeit von Betriebsrat und betrieblichem Datenschutzbeauftragten sollen daher im Folgenden schrittweise aufgezeigt und einer Lösung zugeführt werden.
1. Unterscheidung und Identität der Aufgaben beider Institutionen Innerbetrieblich überwachen sowohl der Betriebsrat als auch der betriebliche Datenschutzbeauftragte die Einhaltung des Beschäftigtendatenschutzes.394 Dabei 394 Außerbetrieblich wird dieser Schutz durch die Aufsichtsbehörde ergänzt, s. Gola, BB 2017, 1462, 1470; Stück, ZD 2019, 256, 259.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
271
verfolgen grundsätzlich beide Akteure das Ziel, den Beschäftigtendatenschutz im Betrieb bestmöglich umzusetzen,395 wodurch für sie im Ausgangspunkt ein gemeinsamer Auftrag besteht.396 Zwar legt dies eine Überschneidung ihrer Aufgabenbereiche nahe, dennoch ist das Ziel, den Beschäftigtendatenschutz zu fördern, für beide Institutionen unterschiedlich begründet: Während die Stellung des Datenschutzbeauftragten allein datenschutzrechtlich geprägt ist, ist die Rolle des Betriebsrats betriebsverfassungsrechtlicher Natur,397 woraus beinahe zwangsläufig eine unterschiedliche Ausgestaltung ihrer Tätigkeit folgt. a) Überwachungsaufgabe Beiden Akteuren kommt im Rahmen des Beschäftigtendatenschutzes eine Überwachungsaufgabe zu. Für den betrieblichen Datenschutzbeauftragten folgt sie aus Art. 39 Abs. 1 lit. b DSGVO, für den Betriebsrat aus § 80 Abs. 1 Nr. 1 BetrVG. Diese Aufgaben stehen grundsätzlich selbstständig nebeneinander,398 sind inhaltlich jedoch unterschiedlich ausgestaltet. Denn der Betriebsrat ist darauf beschränkt, die Einhaltung der „zugunsten der Arbeitnehmer“ geltenden Vorschriften zu kontrollieren. Er kann daher nur insoweit über die Einhaltung der Normen von DSGVO und BDSG wachen, wie diese arbeitnehmerschützenden Charakter haben.399 Dasselbe gilt im Hinblick auf datenschutzrelevante Betriebsvereinbarungen. Er kann damit von vornherein allein die Verarbeitung personenbezogener Beschäftigtendaten durch den Arbeitgeber, nicht aber sonstige Datenverarbeitungen, beispielsweise von Kundendaten, überprüfen.400 Demgegenüber ist der betriebliche Datenschutzbeauftragte nicht darauf beschränkt, die Einhaltung der zugunsten der Arbeitnehmer geltenden Vorschriften zu kontrollieren. Denn gem. Art. 39 Abs. 1 lit. b DSGVO erstreckt sich seine Überwachungsaufgabe auf die Vorschriften der DSGVO, andere Datenschutzvorschriften der Union und der Mitgliedstaaten sowie die Strategien des Verantwortlichen zum Schutz personenbezogener Daten. Damit hat er die Wahrung des gesamten Datenschutzrechts zu kontrollieren.401 395
Bommer, ZD 2015, 123. Gola, BB 2017, 1462, 1470; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 2264. 397 Kort, NZA 2015, 1345, 1346. 398 Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; GK-BetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 16; Weth/Herberger/Wächter/Kramer, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, C.I. Rn. 8; zur Frage nach den Kontrollrechten der Institutionen untereinander s. Gliederungspunkt E. IV. 4. und 5. 399 ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 3; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; Lücke, NZA 2019, 658, 667; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 10; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 233; Stück, ZD 2019, 256, 259; zum BDSG a. F. auch die Rspr. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747 Ls. 1. 400 Lelley/Bruck/Yildiz, BB 2018, 2164, 2165; Linnenkohl, NJW 1981, 202, 204. 401 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 39 DSGVO Rn. 13. 396
272
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Zu klären ist allerdings, ob er ebenso wie der Betriebsrat auch die Einhaltung kollektivvertraglicher datenschutzrechtlicher Regelungen überprüfen kann. Eine solche Kontrollbefugnis lässt sich dem Wortlaut des Art. 39 Abs. 1 lit. b DSGVO jedenfalls nicht unmittelbar entnehmen. Allerdings erstreckt sich die Überwachungsaufgabe des Datenschutzbeauftragten nicht nur auf die Einhaltung gesetzlicher Vorgaben, sondern auch auf die Wahrung der Datenschutzstrategien des Verantwortlichen – und damit auf betriebsinterne Vorgaben.402 Daher erscheint es denkbar, auch die Beachtung datenschutzrechtlich relevanter Betriebsvereinbarungen seiner Kontrolle zu unterstellen. Dies gilt insbesondere mit Blick auf den Telos der Überwachungsaufgabe: Der betriebliche Datenschutzbeauftragte soll den Verantwortlichen bei der Selbstkontrolle hinsichtlich der Wahrung des Datenschutzes unterstützten, um ihn vor der Begehung etwaiger Datenschutzverstöße – und den daran anknüpfenden Sanktionen – zu bewahren.403 Daher liegt eine möglichst umfassende Überprüfung im Interesse des Verantwortlichen.404 Vor diesem Hintergrund erscheint es sinnvoll, dass der Datenschutzbeauftragte die Einhaltung sämtlicher Vorschriften überwacht, an die der Verantwortliche gebunden ist, sodass sich seine Überwachungsaufgabe auch auf datenschutzrechtliche Regelungen in Betriebsvereinbarungen erstrecken muss. Die Kontrollaufgabe des Datenschutzbeauftragten bleibt insofern nicht hinter der des Betriebsrats zurück. Sie geht im Gegenteil sogar darüber hinaus, da er nicht auf die Überwachung der Einhaltung zugunsten der Arbeitnehmer geltender Vorschriften beschränkt ist, sondern die Wahrung des gesamten Datenschutzrechts kontrolliert. Abweichungen ergeben sich auch im Rahmen der Auftragsverarbeitung: Gibt der Arbeitgeber Beschäftigtendaten an einen Auftragsverarbeiter weiter, der diese nach den Weisungen des Arbeitgebers verarbeitet, so erstreckt sich die Überwachungsaufgabe des Betriebsrats allein auf die durch den Arbeitgeber erteilten Weisungen, welche die Tätigkeit des Auftragsverarbeiters vorzeichnen. Damit kann er zwar auch die Tätigkeit des Auftragsverarbeiters überwachen. Wird dieser indes außerhalb der Weisungen des Arbeitgebers tätig, stehen ihm keine Kontrollbefugnisse zu.405 Demgegenüber kann der Datenschutzbeauftragte auch die Tätigkeit des Auftragsverarbeiters überwachen, da der Verantwortliche sich – und damit zugleich seinem betrieblichen Datenschutzbeauftragten – gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO entsprechende Kontrollrechte vertraglich vorbehalten muss.406 Zur Erfüllung ihrer Aufgabe dürfen beide Akteure sachkundige Dritte heranziehen: Der Betriebsrat kann auf Grundlage von § 80 Abs. 2 S. 4 BetrVG auf den betriebsinternen Sachverstand, sowie nachrangig gem. § 80 Abs. 3 BetrVG auf externe Sachverständige zurück402
Jaspers/Reif, RDV 2012, 78, 81; Marschall/Müller, ZD 2016, 415, 419; Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 39 DSGVO Rn. 22. 403 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 39 DSGVO Rn. 10. 404 Klug, ZD 2016, 315, 316. 405 Ausführlich zur Überwachungsbefugnis des Betriebsrats gegenüber etwaigen Auftragsverarbeitern s. Gliederungspunkt C. II. 2. 406 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 19.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
273
greifen, der Datenschutzbeauftragte kann ein entsprechendes Begehren auf Art. 38 Abs. 2 DSGVO stützen,407 muss jedoch ebenfalls zunächst interne Beratungsmöglichkeiten ausschöpfen.408 Indes unterscheidet sich die Überwachungsaufgabe in einem Punkt grundlegend: Da der Betriebsrat gem. § 80 Abs. 1 Nr. 1 BetrVG allein über die Einhaltung der zugunsten der Arbeitnehmer geltenden Regelungen zu wachen hat, ist seine Tätigkeit primär am Schutz der Arbeitnehmer ausgerichtet. Zwar hat er gem. § 2 Abs. 1 BetrVG zum Wohle der Arbeitnehmer vertrauensvoll mit dem Arbeitgeber zusammenzuarbeiten und muss daher in gewissem Maße auch den Unternehmensinteressen Rechnung tragen.409 Ausgangspunkt seiner Tätigkeit bleiben aber stets die Interessen der Belegschaft,410 wobei § 2 Abs. 1 BetrVG allein den Weg vorgibt, um eine wirkungsvolle Zusammenarbeit von Arbeitgeber und Betriebsrat zum Wohle der Arbeitnehmer überhaupt erst zu ermöglichen.411 Demgegenüber muss der betriebliche Datenschutzbeauftragten die Belange aller beteiligten Akteure gleichermaßen im Blick halten, ohne die Interessen einer Partei in den Vordergrund zu stellen.412 Dies folgt bereits daraus, dass er gem. Art. 39 Abs. 1 lit. b DSGVO über die Einhaltung des gesamten Datenschutzrechts zu wachen und sowohl den Arbeitgeber (Art. 39 Abs. 1 lit. a DSGVO) als auch die Beschäftigten (Art. 38 Abs. 4 DSGVO) zu beraten hat. Damit ist die Tätigkeit beider Akteure trotz gemeinsamer Zielsetzung unterschiedlich akzentuiert. Während der Datenschutzbeauftragte die Interessen aller Beteiligten in gleichem Maße berücksichtigen muss und damit eine neutrale Stellung einnimmt, darf der Betriebsrat die Interessen des Arbeitgebers zwar nicht vollständig aus dem Blick verlieren, muss seine Tätigkeit jedoch primär am Schutz der Arbeitnehmer ausrichten.413
407 Heidelberger Kommentar/Japsers/Reif, 2. Aufl. 2020, Art. 38 DSGVO Rn. 12; Kühling/ Buchner/Bergt, 2. Aufl. 2018, Art. 39 DSGVO Rn. 13. 408 Heidelberger Kommentar/Jaspers/Reif, 2. Aufl. 2020, Art. 38 DSGVO Rn. 12. 409 St. Rspr. s. BAG, Urt. v. 28. 5. 2014 – 7 ABR 36/12, NZA 2014, 1213, 1216 Rn. 35; BAG, Beschl. v. 14. 3. 1989 – 1 ABR 80/87, NZA 1989, 639, 641; BAG, Urt. v. 10. 11. 1954 – 1 AZR 19/53, NJW 1955, 236; Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 56; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 43; Kort, NZA 2015, 1345, 1348 f.; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 13. 410 Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 21; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 12. 411 Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 21; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 11 f. 412 Kort, ZD 2017, 3; Kort, NZA 2015, 1345, 1348; Kurzböck/Weinbeck, BB 2018, 1652, 1653; Lücke, NZA 2019, 658, 668. 413 Zum Arbeitnehmerschutz als Leitbild Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 1; GKBetrVG/Wiese, 11. Aufl. 2018, Einl. Rn. 72 ff.
274
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
b) Handlungsmöglichkeiten Eng mit der Überwachungsaufgabe beider Akteure verknüpft ist die Frage nach den ihnen zustehenden Handlungsmöglichkeiten, sofern sie einen Datenschutzverstoß des Arbeitgebers aufdecken. Zunächst können beide an den Arbeitgeber herantreten: Der Datenschutzbeauftragte berichtet gem. Art. 38 Abs. 3 S. 3 DSGVO unmittelbar der höchsten Managementebene, da er die Möglichkeit haben muss, datenschutzrechtlich bedenkliche Entscheidungen direkt beim Verantwortlichen zu beanstanden.414 Und auch der Betriebsrat ist auf Grundlage des aus § 2 Abs. 1 BetrVG folgenden Gebots zur vertrauensvollen Zusammenarbeit gehalten, datenschutzrechtliche Bedenken dem Arbeitgeber mitzuteilen, damit dieser Abhilfe schaffen kann.415 Jedoch sind ihre Handlungsmöglichkeiten damit nicht erschöpft. Dem Betriebsrat steht darüber hinaus ein ungeschriebener, allgemeiner Unterlassungs-, sowie ein korrespondierender Beseitigungsanspruch zu, wenn der Arbeitgeber datenschutzrechtlich relevante, zwingende Mitbestimmungsrechte im Bereich sozialer Angelegenheiten missachtet.416 Verletzt der Arbeitgeber aus einer Betriebsvereinbarung folgende Rechte des Betriebsrats, so kann dieser zudem auf Grundlage von § 77 Abs. 1 S. 1 BetrVG i. V. m. der jeweiligen kollektivvertraglichen Regelung Unterlassung verlangen.417 Verstößt der Arbeitgeber hingegen gegen allein zugunsten der Arbeitnehmer wirkende datenschutzrechtliche Vorschriften, ohne zugleich betriebsratseigene Rechte zu verletzten, kann der Betriebsrat nur dann einen auf § 23 Abs. 3 S. 1 BetrVG i. V. m. § 75 Abs. 2 S. 1 BetrVG gestützten Unterlassungsanspruch geltend machen, wenn der Rechtsverstoß des Arbeitgebers eine grobe Persönlichkeitsrechtsverletzung darstellt.418 Demgegenüber stehen dem betrieblichen Datenschutzbeauftragten keine eigenen Unterlassungsansprüche im Verhältnis zum Arbeitgeber zu. Er ist vielmehr darauf beschränkt, den Verantwortlichen auf den Rechtsverstoß aufmerksam zu machen und durch Empfehlungen auf die Beseitigung des Datenschutzverstoßes hinzuwirken.419 Allerdings ist er gem. Art. 39 Abs. 1 lit. e DSGVO auch Anlaufstelle der Aufsichtsbehörde und ist daher gem. Art. 39 Abs. 1 lit. d DSGVO verpflichtet, mit ihr zusammenzuarbeiten. Unklar ist jedoch, ob er auf dieser Grundlage Datenschutzverstöße des Arbeitgebers unmittelbar an die Aufsichtsbehörde melden darf oder ob er zunächst den Verantwortlichen auf den Rechtsverstoß aufmerksam machen muss, 414
S. 20. 415
LDI NRW, Häufig gestellte Fragen zu Datenschutzbeauftragten (FAQ) Stand 8/2019,
So auch Kort, ZD 2017, 3, 6. BAG, Beschl. v. 3. 5. 1994 – 1 ABR 24/93, NZA 1995, 40, 42; Gola, BB 2017, 1462, 1472; Stück, ArbRAktuell 2019, 216, 219. 417 BAG, Beschl. v. 18. 5. 2010 – 1 ABR 6/09, NZA 2010, 1433, 1434 Rn. 16; BAG, Beschl. v. 24. 1. 2006 – 1 ABR 60/04, NZA 2006, 1050, 1052. 418 BAG, Beschl. v. 28. 5. 2002 – 1 ABR 32/01, NZA 2003, 166, 169; Gola, BB 2017, 1462, 1469; Kort, ZD 2016, 3, 8. 419 Art. 29 Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 rev. 01, S. 20; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 36. 416
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
275
damit dieser seinerseits Abhilfe schaffen kann.420 Dies fordern jedenfalls einige Stimmen in der Literatur, um eine vertrauensvolle Zusammenarbeit zwischen Datenschutzbeauftragtem und Arbeitgeber auch für die Zukunft zu ermöglichen.421 Indes fehlt es an einer gesetzlichen Grundlage, um den Datenschutzbeauftragten zu einer solchen Vorgehensweise zu verpflichten.422 Dies kann auch nicht unter Berufung auf allgemeine Loyalitätspflichten im Verhältnis von Arbeitgeber und Datenschutzbeauftragtem übergangen werden.423 Denn der Datenschutzbeauftragte ist zur umfassenden Kooperation mit der Aufsichtsbehörde verpflichtet, ohne dass diese durch allgemeine Loyalitätspflichten beeinträchtigt werden darf.424 Zudem würde die Kontrollfunktion des Datenschutzbeauftragten durch eine derartige Einschränkung erheblich beeinträchtigt, da er ohne eine solche Möglichkeit – in Ermangelung eigener Unterlassungsansprüche – lediglich auf Abhilfe beim Verantwortlichen drängen könnte.425 Ihm muss daher ein einschränkungsloses Recht zustehen, sich an die Aufsichtsbehörde zu wenden.426 Damit gehen seine Kompetenzen über die des Betriebsrats hinaus, der auf Grundlage von § 2 Abs. 1 BetrVG verpflichtet ist, zunächst alle innerbetrieblichen Abhilfemöglichkeiten zu erschöpfen.427 c) Sonstige Kompetenzen für den Beschäftigtendatenschutz Damit der Betriebsrat die ihm zustehenden datenschutzrechtlichen Mitbestimmungsrechte ausüben und seine Überwachungsaufgabe wahrnehmen kann, steht ihm gem. § 80 Abs. 2 S. 1 BetrVG ein Informationsanspruch zu, auf dessen Grundlage er gem. § 80 Abs. 2 S. 2 Hs. 1 BetrVG verlangen kann, dass ihm alle für seine Tätigkeit erforderlichen Unterlagen zur Verfügung gestellt werden. Und auch der betriebliche Datenschutzbeauftragte kann die ihm zukommenden Aufgaben – insbesondere seine Überwachungsfunktion – nur dann wahrnehmen, wenn er über die insofern erforderlichen Informationen verfügt.428 Daher kann er gem. Art. 38 Abs. 2 DSGVO 420
Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 39 DSGVO Rn. 19; Paal/Pauly/Paal, 2. Aufl. 2018, Art. 39 DSGVO Rn. 8; Spindler/Schuster/Voigt, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 39 DSGVO Rn. 22. 421 Heidelberger Kommentar/Jaspers/Reif, 2. Aufl. 2020, Art. 39 DSGVO Rn. 20; Jaspers/ Reif, RDV 2016, 61, 67; in diese Richtung auch Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 39 DSGVO Rn. 19. 422 Koreng/Lachenmann/Kremer/Sander, Formularhandbuch, 2. Aufl. 2018, B. I. 1. Anm. 7. 423 So aber Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 39 DSGVO Rn. 19. 424 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 39 DSGVO Rn. 19. 425 Koreng/Lachenmann/Kremer/Sander, Formularhandbuch, 2. Aufl. 2018, B. I. 1. Anm. 7; Marschall/Müller, ZD 2016, 415, 418. 426 So wohl auch Art. 29 Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 rev. 01, S. 21; LDI NRW, Häufig gestellte Fragen zu Datenschutzbeauftragten (FAQ) Stand 8/2019, S. 24; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 39 DSGVO Rn. 19. 427 Kort, ZD 2017, 3, 6. 428 Heidelberger Kommentar/Jaspers/Reif, 2. Aufl. 2020, Art. 38 DSGVO Rn. 7.
276
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Zugang zu allen personenbezogenen Daten und Verarbeitungsvorgängen verlangen. Dies umfasst ebenfalls ein Recht auf Zugang zu sämtlichen insofern erforderlichen Unterlagen.429 Mithin steht auch dem betrieblichen Datenschutzbeauftragten auf Grundlage von Art. 38 Abs. 2 DSGVO ein umfassendes Informationsrecht zu. Darüber hinaus kann der Betriebsrat durch die Ausübung seiner Mitbestimmungsrechte und den Abschluss datenschutzrechtlicher Betriebsvereinbarungen aktiv an der Gestaltung und Verbesserung des betrieblichen Datenschutzes mitwirken. Allerdings kann er nur im Rahmen der zwingenden Mitbestimmung konkrete Datenschutzmaßnahmen erzwingen und ist im Übrigen auf Anregungen beschränkt.430 In gewissem Maße verfügt auch der betriebliche Datenschutzbeauftragte über aktive Gestaltungsmöglichkeiten. So kann er aus eigener Initiative Maßnahmen anregen, um den Datenschutz im Betrieb zu gewährleisten oder zu verbessern.431 Allerdings kann er lediglich auf den Verantwortlichen zugehen und Bedenken oder Empfehlungen aussprechen.432 Hingegen ist es ihm – im Gegensatz zum Betriebsrat – verwehrt, auf die Einführung für den Arbeitgeber verbindlicher Verhaltensregeln zu bestehen. Ihm kommt damit eine deutlich weniger aktive Rolle zu als dem Betriebsrat. d) Möglichkeit der Erweiterung der Aufgaben Der dem Betriebsrat zugewiesene Aufgabenkreis kann gem. § 88 BetrVG im Rahmen freiwilliger Betriebsvereinbarungen erweitert werden. Und auch eine Erweiterung der dem Datenschutzbeauftragten obliegenden Aufgaben ist grundsätzlich möglich, da Art. 39 Abs. 1 DSGVO ihm nur „zumindest“ die dort aufgezählten Kompetenzen zuweist. Damit ist der in Art. 39 Abs. 1 DSGVO niedergelegte Aufgabenkatalog zwar verbindlich und kann insbesondere nicht reduziert werden.433 Eine Ergänzung weiterer Aufgaben ist indes zulässig, sofern diese mit den Vorgaben der DSGVO vereinbar sind.434 Dabei ergibt sich aus Art. 39 Abs. 1 DSGVO keine Einschränkung im Hinblick auf die Art und Weise, wie dem Datenschutzbeauftragten zusätzliche Kompetenzen eingeräumt werden können, sodass dies ebenfalls durch freiwillige Betriebsvereinbarung i. S. v § 88 BetrVG möglich ist.435
429
Paal/Pauly/Paal, 2. Aufl. 2018, Art. 38 DSGVO Rn. 7. Linnenkohl, NJW 1981, 202, 204. 431 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 38 DSGVO Rn. 16. 432 Jaspers/Reif, RDV 2012, 78, 81. 433 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 39 DSGVO Rn. 2. 434 Heberlein, jM 2019, 19, 24; Heidelberger Kommentar/Jaspers/Reif, 2. Aufl. 2020, Art. 39 DSGVO Rn. 8. 435 Daher eine Erweiterung durch Zuweisung in der Stellenbeschreibung befürwortend Jaspers/Reif, RDV 2016, 61, 66. 430
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
277
e) Unabhängige Stellung im Betrieb Bedeutende Gemeinsamkeit von Betriebsrat und betrieblichem Datenschutzbeauftragten ist zudem ihre unabhängige Stellung im Betrieb. Diese folgt für den betrieblichen Datenschutzbeauftragten aus Art. 38 Abs. 3 S. 1 DSGVO,436 der bestimmt, dass „der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält“. Abgesichert wird seine Unabhängigkeit durch Art. 38 Abs. 3 S. 2 DSGVO, der festlegt, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf. Vervollständigt wird dieses Bild durch ErwG 97 S. 3 DSGVO, demnach der Datenschutzbeauftragte seine „Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können“ soll.437 Denn ohne diese unabhängige Stellung wäre letztlich eine effektive Kontrolle des Datenschutzes durch den betrieblichen Datenschutzbeauftragten nicht möglich.438 Dasselbe gilt für den Betriebsrat, der seine betriebsverfassungsrechtlichen Aufgaben ebenfalls unabhängig wahrnimmt,439 sodass der Arbeitgeber weder eine rechtliche Einflussmöglichkeit auf das Gremium, noch auf die einzelnen Betriebsratsmitglieder hat.440
2. Möglichkeit und Pflicht der Zusammenarbeit von Betriebsrat und betrieblichem Datenschutzbeauftragten Zwischen den Aufgaben von Betriebsrat und betrieblichem Datenschutzbeauftragtem bestehen erhebliche Überschneidungen, aber auch bedeutsame Unterschiede. Zwar kommt beiden eine Überwachungsaufgabe zu, jedoch ist der Betriebsrat darauf beschränkt, die Einhaltung der zugunsten der Arbeitnehmer geltenden datenschutzrechtlichen Vorschriften zu überwachen, während der Datenschutzbeauftragte die Einhaltung des gesamten Datenschutzrechts zu kontrollieren hat. Dabei muss der Datenschutzbeauftragte die Interessen von Arbeitgeber und Arbeitnehmern gleichermaßen berücksichtigen,441 wohingegen der Betriebsrat die
436 Jaspers/Reif, RDV 2016, 61, 66; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 26; Niklas/Faas, NZA 2017, 1091, 1094; Paal/Pauly/Paal, 2. Aufl. 2018, Art. 38 DSGVO Rn. 9. 437 Gola/Klug, 2. Aufl. 2018, Art. 38 DSGVO Rn. 5; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 26; Niklas/Faas, NZA 2017, 1091, 1094. 438 Jaspers/Reif, RDV 2016, 61. 439 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; Fitting, BetrVG, 30. Aufl. 2020, § 37 Rn. 1; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 37 Rn. 2 f. 440 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; BAG, Beschl. v. 23. 6. 1983 – 6 ABR 65/80, DB 1983, 2419, 2420. 441 Kort, ZD 2017, 3; Kort, NZA 2015, 1345, 1348; Kurzböck/Weinbeck, BB 2018, 1652, 1653; Lücke, NZA 2019, 658, 668.
278
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Unternehmensinteressen zwar nicht vollständig außer Acht lassen darf,442 seine Tätigkeit aber primär an den Belangen der Belegschaft auszurichten hat.443 Datenschutzrechtliche Bedenken können beide Institutionen dem Arbeitgeber mitteilen, eigene Unterlassungsansprüche kann allerdings nur der Betriebsrat geltend machen. Ihm ist es indes – anders als dem Datenschutzbeauftragten – verwehrt, sich ohne vorherige innerbetriebliche Abhilfeversuche unmittelbar an die Aufsichtsbehörde wenden. Um die ordnungsgemäße Aufgabenerfüllung abzusichern, stehen beiden Akteuren Informationsansprüche zu. Eine aktive Mitgestaltung des Beschäftigtendatenschutzes ist jeweils durch Anregungen gegenüber dem Arbeitgeber möglich, eine Einigung erzwingen kann im Rahmen der zwingenden Mitbestimmung allerdings allein der Betriebsrat. Angesichts der insofern bestehenden Überschneidungen – aber insbesondere auch mit Blick auf die Unterschiede der Aufgaben – stellt sich die Frage, inwiefern Betriebsrat und Datenschutzbeauftragter zusammenarbeiten können oder dazu sogar verpflichtet sind. a) Recht zur Zusammenarbeit Grundsätzlich liegt die Zusammenarbeit beider Institutionen nahe, da ihnen mit der Überwachung des Beschäftigtendatenschutzes – ungeachtet der partiell unterschiedlichen Ausgestaltung – dieselbe Aufgabe zugewiesen ist.444 Eine gesetzliche Grundlage für ein Recht zur Zusammenarbeit findet sich für den Betriebsrat in § 80 Abs. 2 S. 4 BetrVG, der den Arbeitgeber verpflichtet, dem Betriebsrat sachkundige Arbeitnehmer als Auskunftspersonen zur Verfügung zu stellen, sodass der Betriebsrat auf dieser Grundlage auch den internen betrieblichen Datenschutzbeauftragten zu Rate ziehen kann.445 Ist der betriebsinterne Sachverstand ausgeschöpft, so kann er gem. § 80 Abs. 3 BetrVG auch auf externe Sachverständige zurückzugreifen,446 wobei der externe betriebliche Datenschutzbeauftragte wegen seiner Sachkunde besonders geeignet ist, den Betriebsrat zu unterstützen.447 Umgekehrt hat auch der Datenschutzbeauftragte das Recht, mit dem Betriebsrat zusammen zu arbeiten. Ausgangspunkt ist Art. 38 Abs. 2 DSGVO, der den Verantwortlichen – und damit auch den Betriebsrat als Teil dieser Stelle – zur Unterstützung des Datenschutzbe442 St. Rspr. s. BAG, Urt. v. 28. 5. 2014 – 7 ABR 36/12, NZA 2014, 1213, 1216 Rn. 35; BAG, Beschl. v. 14. 3. 1989 – 1 ABR 80/87, NZA 1989, 639, 641; BAG, Urt. v. 10. 11. 1954 – 1 AZR 19/53, NJW 1955, 236; Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 56; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 43; Kort, NZA 2015, 1345, 1348 f.; Richardi/Richardi/Maschmann, BetrVG, 16. Aufl. 2018, § 2 Rn. 13. 443 Fitting, BetrVG, 30. Aufl. 2020, § 2 Rn. 21; GK-BetrVG/Franzen, 11. Aufl. 2018, § 2 Rn. 12. 444 Linnenkohl, NJW 1981, 202, 204. 445 LAG Rheinland-Pfalz, Beschl. v. 15. 6. 2012 – 9 TaBV 1/12, BeckRS 2012, 71659; GKBetrVG/Weber, 11. Aufl. 2018, § 80 Rn. 139; Oetker, NZA 2003, 1233, 1236. 446 BAG, Beschl. v. 16. 11. 2005 – 7 ABR 12/05, NZA 2006, 553, 556 Rn. 32; BAG, Beschl. v. 4. 6. 1987 – 6 ABR 63/85, NZA 1988, 208 Ls. 447 Franck/Reif, ZD 2015, 405, 408; Kort, ZD 2016, 3, 4.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
279
auftragten verpflichtet. Zudem hat der Datenschutzbeauftragte gem. Art. 39 Abs. 1 lit. a DSGVO die Aufgabe, den Verantwortlichen zu unterrichten und zu beraten. Diese Funktion erstreckt sich auf sämtliche dem Verantwortlichen zuzuordnende Stellen und ist nicht allein auf die höchste Managementebene beschränkt,448 sodass auf dieser Grundlage auch eine Beratung des Betriebsrats möglich ist. b) Pflicht zur Kooperation Zu klären ist allerdings, ob über dieses Recht zur Zusammenarbeit hinaus auch eine Pflicht zur Kooperation besteht. Für den Betriebsrat kann eine solche Verpflichtung aus Art. 38 Abs. 2 DSGVO hergeleitet werden, der den Verantwortlichen – und damit auch den Betriebsrat als Teil dieser Stelle – verpflichtet, den Datenschutzbeauftragten bei seiner Aufgabenerfüllung zu unterstützen, indem er ihm u. a. Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt. Die Norm soll die effektive Erfüllung der dem Datenschutzbeauftragten obliegenden Aufgaben gewährleisten.449 Eine vergleichbare Pflicht besteht für den Datenschutzbeauftragten hingegen grundsätzlich nicht. Vielmehr sind seine Aufgaben nach der Konzeption der DSGVO unabhängig vom etwaigen Bestand einer Mitarbeitervertretung, wie der Vergleich zu der Entwurfsfassung des Europäischen Parlaments zur DSGVO zeigt: Dort sah Art. 37 Abs. 1 lit. j DSGVO noch ausdrücklich vor, dass zum Aufgabenkreis des Datenschutzbeauftragten auch die „Unterrichtung der Arbeitnehmervertreter über die Verarbeitung von Daten der Arbeitnehmer“ gehört.450 Darüber hinaus konstatierte der zugehörige ErwG 75a, dass der Datenschutzbeauftragte die Fähigkeit zur Zusammenarbeit mit der Arbeitnehmervertretung haben müsse.451 Diese Zusätze finden sich in der DSGVO nicht. Die fehlende Übernahme von Bestandteilen einer Entwurfsfassung führt nach Ansicht des EuGH – jedenfalls im Rahmen von Richtlinien – dazu, dass eine Auslegung, die sich auf die nicht übernommenen Teile des Entwurfes stützt, dem Willen des Unionsgesetzgebers zuwiderläuft.452 Vor diesem Hintergrund kann für den Datenschutzbeauftragten keine allgemeine Pflicht zur Zusammenarbeit mit dem Betriebsrat bestehen. Nicht ausgeschlossen ist allerdings, dass im Einzelfall eine Zusammenarbeit erfolgen muss, wenn andernfalls die ordnungsgemäße Wahrnehmung der dem Datenschutzbeauftragten durch die DSGVO zugewiesenen Aufgaben nicht gewährleistet wäre. Dennoch kann eine Pflicht zur Kooperation für ihn allenfalls im
448
Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 39 DSGVO Rn. 9. Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 38 DSGVO Rn. 19; Wybitul/von Gierke, BB 2017, 181, 184; ablehnend noch vor Inkrafttreten der DSGVO Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 214 ff. 450 ABl. 2017 C 378/399, S. 56. 451 ABl. 2017 C 378/399, S. 15. 452 EuGH, Urt. v. 28. 10. 2010 – C-203/09, NJW-RR 2011, 255, 257 Rn. 40; vgl. auch GA Tanchev, Schlussantrag v. 2. 2. 2017 – C-102/16, juris, Rn. 43 – 52. 449
280
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Einzelfall bestehen. Sinnvoll wird eine Zusammenarbeit im Interesse eines effektiven Beschäftigtendatenschutzes gleichwohl für beide Institutionen sein.
3. Mitwirkung des Betriebsrats bei der Bestellung des Datenschutzbeauftragten Mit Blick auf das Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat ergibt sich die Frage, ob dem Betriebsrat ein Mitbestimmungsrecht bei der Bestellung des Datenschutzbeauftragten zusteht. Gem. Art. 37 Abs. 1 DSGVO wird der Datenschutzbeauftragte durch den Verantwortlichen benannt – eine Mitwirkung des Betriebsrats ist nicht vorgesehen. Entscheidend ist daher, ob ihm auf betriebsverfassungsrechtlicher Grundlage ein Mitbestimmungsrecht zusteht. Der Arbeitgeber ist gem. § 99 Abs. 1 BetrVG verpflichtet, vor jeder „Einstellung, Eingruppierung, Umgruppierung und Versetzung“ die Zustimmung des Betriebsrats einzuholen, der diese nur unter den engen Voraussetzungen des § 99 Abs. 2 BetrVG verweigern kann. Bestellt der Arbeitgeber einen betrieblichen Datenschutzbeauftragten, kann darin eine Einstellung i. S. v. § 99 Abs. 1 BetrVG liegen, wenn der Betreffende bislang nicht Arbeitnehmer des Verantwortlichen war. Eine Einstellung liegt vor, wenn entweder ein wirksames Arbeitsverhältnis begründet oder der Betreffende zumindest rein tatsächlich in den Betrieb eingegliedert wird.453 Wird hingegen eine Person zum Datenschutzbeauftragten bestellt, die bereits Arbeitnehmer des Verantwortlichen ist, kann dies allein eine Versetzung i. S. v. § 99 Abs. 1 BetrVG darstellen. Eine Versetzung ist gem. § 95 Abs. 3 BetrVG „die Zuweisung eines anderen Arbeitsbereichs, die voraussichtlich die Dauer von einem Monat überschreitet, oder die mit einer erheblichen Änderung der Umstände verbunden ist, unter denen die Arbeit zu leisten ist“. Nur soweit die Bestellung zum Datenschutzbeauftragten daher mit der Begründung eines Arbeitsverhältnisses, der tatsächlichen Eingliederung in den Betrieb oder der Zuweisung eines anderen Arbeitsplatzes einhergeht, steht dem Betriebsrat auf Grundlage von § 99 Abs. 1 BetrVG ein Mitbestimmungsrecht zu – im Übrigen ist die Bestellung mitbestimmungsfrei.454 Damit kann sich das Mitbestimmungsrecht des Betriebsrats von 453 BAG, Beschl. v. 13. 12. 2016 – 1 ABR 59/14, NZA 2017, 525, 527 Rn. 24; BAG, Beschl. v. 13. 5. 2014 – 1 ABR 50/12, NZA 2014, 1149, 1150 Rn. 18; BAG, Beschl. v. 22. 4. 1997 – 1 ABR 74/96, NZA 1997, 1297, 1299; ErfK/Kania, 20. Aufl. 2020, § 99 BetrVG Rn. 4; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 30; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 28; Ramrath, RDV 1989, 163, 164. 454 BfDI, Gutachten der Datenethikkommission v. 23. 10. 2019, S. 17, abrufbar unter https:// www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Datenethikkommission_Gutach ten.html?cms_templateQueryString=betriebsrat&cms_sortOrder=score+desc (letzter Abruf v. 25. 6. 2020); BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051; s. bereits LAG München, Beschl. v. 16.11.978 – 8 TaBV 6/78, NJW 1979, 1847; Aßmus, ZD 2011, 27, 28 f.; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 131; Kort, NZA 2015, 1345, 1349; Ramrath, RDV 1989, 163, 164; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 205 ff.; Schierbaum, AiB 2001, 512, 514.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
281
vornherein allein auf die Einstellung bzw. Versetzung, nicht aber auf die mit diesen Maßnahmen zwar verknüpfte, rechtlich aber unabhängige, Bestellung beziehen.455 Indes ist auch im Hinblick auf die Mitbestimmung nach § 99 Abs. 1 BetrVG bei der Einstellung bzw. Versetzung eine Differenzierung geboten. Denn gem. Art. 37 Abs. 6 DSGVO kann der betriebliche Datenschutzbeauftragte „Beschäftigter des Verantwortlichen […] sein oder seine Aufgaben auf Grundlage eines Dienstleistungsvertrages erfüllen“, sodass zwischen internem und externem Datenschutzbeauftragen unterschieden werden muss. Mit der Bestellung eines internen Datenschutzbeauftragten, der eben zugleich Arbeitnehmer des Verantwortlichen ist, geht regelmäßig eine Einstellung oder Versetzung i. S. v. § 99 Abs. 1 BetrVG einher.456 Der externe Datenschutzbeauftragte wird hingegen aufgrund eines Dienstleistungsvertrages tätig, ist also nicht Arbeitnehmer des Verantwortlichen. Daher erscheint zweifelhaft, ob seine Bestellung ebenfalls mit einer Einstellung oder Versetzung verknüpft ist und dem Betriebsrat ein Mitbestimmungsrecht nach § 99 Abs. 1 BetrVG zusteht.457 Wegweisend kann hier ein Blick auf den Schutzzweck der Norm sein.458 Sie soll die bestehende Belegschaft vor nachteiligen Veränderungen schützen, die sich aus der geplanten personellen Einzelmaßnahme für ihr eigenes Arbeitsverhältnis ergeben können.459 Da auch die rein tatsächliche Eingliederung einer weiteren Person in den Betrieb dazu führen kann, dass Arbeitsbereiche neu zugeordnet werden und die Arbeitsorganisation sich zulasten der Bestandsbelegschaft verändert, ist sie mithin ebenfalls als Einstellung zu qualifizieren.460 Vor diesem Hintergrund muss auch bei der Bestellung eines externen Datenschutzbeauftragten ein Mitbestimmungsrecht nach § 99 Abs. 1 BetrVG bestehen, wenn er
455 BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051; s. bereits LAG München, Beschl. v. 16.11.978 – 8 TaBV 6/78, NJW 1979, 1847, 1848; Aßmus, ZD 2011, 27, 28 f.; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 131; Kort, NZA 2015, 1345, 1349. 456 Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 131; Kort, NZA 2015, 1345, 1350. 457 BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051; LAG Hessen, Beschl. v. 28. 2. 1989 – 1 TaBV 106/88, CR 1990, 342; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 75; Kort, NZA 2015, 1345, 1350; ablehnend Ramrath, RDV 1989, 163, 164; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 213. 458 LAG Hessen, Beschl. v. 28.21989 – 1 TaBV 106/88, BeckRS 1989, 113021 Rn. 21 ff. 459 BAG, Beschl. v. 27. 10. 2010 – 7 ABR 36/09, NZA 2011, 527, 529 Rn. 26; BAG, Beschl. v. 25. 1. 2005 – 1 ABR 59/03, NZA 2005, 945, 946; BAG, Beschl. v. 22. 4. 1997 – 1 ABR 74/96, NZA 1997, 1297, 1299; LAG Hessen, Beschl. v. 28. 2. 1989 – 1 TaBV 106/88, BeckRS 1989, 113021 Rn. 21; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 3; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 5; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 29. 460 BAG, Beschl. v. 13. 12. 2016 – 1 ABR 59/14, NZA 2017, 525, 527 Rn. 24; BAG, Beschl. v. 13. 5. 2014 – 1 ABR 50/12, NZA 2014, 1149, 1150 Rn. 18; BAG, Beschl. v. 22. 4. 1997 – 1 ABR 74/96, NZA 1997, 1297, 1299; LAG Hessen, Beschl. v. 28. 2. 1989 – 1 TaBV 106/88, BeckRS 1989, 113021 Rn. 21; ErfK/Kania, 20. Aufl. 2020, § 99 BetrVG Rn. 4; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 30; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 28.
282
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
tatsächlich in den Betrieb eingegliedert wird.461 Allerdings kann sich die Mitbestimmung – ebenso wie beim internen Datenschutzbeauftragten – allein auf die Eingliederung in den Betrieb, nicht jedoch auf die Bestellung beziehen.462 Diese Grundsätze lassen sich auf die Abberufung des betrieblichen Datenschutzbeauftragten übertragen: Diese unterliegt selbst keinem betriebsverfassungsrechtlichen Mitbestimmungsrecht und ist strikt von einer mit ihr einhergehenden mitbestimmungspflichtigen Veränderung des Arbeitsverhältnisses zu unterscheiden.463 Daher kann sich ein eventuelles Mitbestimmungsrecht – wie es sich beispielsweise im Rahmen einer Kündigung gem. § 102 Abs. 1 S. 1 BetrVG ergibt – allein auf die Veränderung des Arbeitsverhältnisses, nicht jedoch auf die Abberufung aus dem Amt des Datenschutzbeauftragten beziehen.464 Diese ist vielmehr mitbestimmungsfrei.465 a) Zustimmungsverweigerungsrecht des Betriebsrats Folge dieser Einordnung ist, dass der Betriebsrat auch nur in Bezug auf die geplante Einstellung bzw. Versetzung des betrieblichen Datenschutzbeauftragten – nicht jedoch bezüglich der Bestellung als solcher – seine Zustimmung unter den Voraussetzungen des § 99 Abs. 2 BetrVG verweigern kann. Einer näheren Betrachtung bedarf dabei § 99 Abs. 2 Nr. 1 BetrVG, auf dessen Grundlage der Betriebsrat die Zustimmung zu der in Aussicht genommenen Maßnahme ablehnen kann, sofern diese gegen ein Gesetz verstoßen würde. Problematisch ist dabei, ob der Betriebsrat seine Zustimmung zur Einstellung oder Versetzung des betrieblichen Datenschutzbeauftragten verweigern darf, weil diese gegen eine gesetzliche Vorschrift über die Bestellung – und damit gerade nicht die Einstellung bzw. Versetzung – des Datenschutzbeauftragten verstößt. Zu denken ist dabei an Art. 37 Abs. 5 DSGVO, der bestimmt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzrechts benannt wird. Kritisch zu hinterfragen ist bereits, ob sich aus Art. 37 Abs. 5 DSGVO tatsächlich ein Bestellungsverbot für den Fall ableiten lässt, dass der potentielle Datenschutzbeauftragte die dort normierten Anforderungen nicht erfüllt.466 Denn vergleicht man die Regelung mit dem bislang maßgeblichen § 4 f Abs. 2 S. 1 BDSG a. F., wird 461 LAG Hessen, Beschl. v. 28. 2. 1989 – 1 TaBV 106/88, BeckRS 1989, 113021 Rn. 23; DKW/Klebe/Wankel, BetrVG, 17. Aufl. 2020, § 94 Rn. 51; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 75; in diese Richtung auch Kort, NZA 2015, 1345, 1350; a. A. Ramrath, RDV 1989, 163, 164. 462 Dies stellt auch klar BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051; LAG Hessen, Beschl. v. 28. 2. 1989 – 1 TaBV 106/88, BeckRS 1989, 113021 Rn. 23. 463 Kort, NZA 2015, 1345, 1351. 464 Kort, NZA 2015, 1345, 1351. 465 Kort, NZA 2015, 1345, 1351. 466 GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 186.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
283
deutlich, dass dieser weitaus eindeutiger formuliert war.467 So hieß es: „Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“. Demgegenüber lautet Art. 37 Abs. 5 DSGVO: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt […]“. Aus dieser vergleichsweise weichen Formulierung lässt sich jedoch kein Wille des europäischen Gesetzgebers ableiten, die positiven Anforderungen an die Person des Datenschutzbeauftragten nicht zugleich als Verbot zu verstehen, eine Person zu bestellen, die diese Voraussetzungen nicht erfüllt.468 Vielmehr muss man sich fragen, wieso er überhaupt spezielle Anforderungen normieren sollte, wenn schließlich auch Personen zum Datenschutzbeauftragten bestellt werden könnten, die diese Voraussetzungen nicht erfüllen? Gegen ein Zustimmungsverweigerungsrecht des Betriebsrats im Hinblick auf die mit der Bestellung des Datenschutzbeauftragten einhergehende Einstellung bzw. Versetzung wird darüber hinaus allerdings auch eingewandt, dass dadurch die von der DSGVO betonte Unabhängigkeit des betrieblichen Datenschutzbeauftragten, die ihm auch im Verhältnis zum Betriebsrat zukommt, in Frage gestellt würde.469 Dem ist jedoch entgegenzuhalten, dass die Unabhängigkeit des Datenschutzbeauftragten durch das Zustimmungsverweigerungsrecht des Betriebsrats bereits deshalb nicht gefährdet werden kann, da Art. 38 Abs. 3 S. 1 DSGVO ihm eine unabhängige Stellung nur „bei der Erfüllung seiner Aufgaben“ einräumt – also allein bei der Wahrnehmung derjenigen Aufgaben, die ihm nach der Benennung als Datenschutzbeauftragter obliegen.470 Damit steht zumindest die DSGVO der Anerkennung eines Zustimmungsverweigerungsrechts nicht entgegen. Allerdings ist die Anerkennung eines solchen Rechts auch aus betriebsverfassungsrechtlicher Sicht kritisch zu betrachten, da sie jedenfalls auf den ersten Blick die mitbestimmungsfreie Bestellung und die mitbestimmungspflichtige Einstellung bzw. Versetzung in einer nicht durch die Systematik des § 99 BetrVG gedeckten Weise vermischen würde.471 Denn der Betriebsrat darf eben nur bei der Einstellung bzw. Versetzung des potentiellen Datenschutzbeauftragten, nicht jedoch bei seiner Bestellung mitbestimmen. Demgegenüber knüpft Art. 37 Abs. 5 DSGVO allein die Bestellung an besondere Voraussetzungen.472 Jedoch ist die Tätigkeit als Daten467 Zum Streitstand im Hinblick auf § 4 f Abs. 2 S. 1 BDSG a. F. Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 208 f. 468 So wohl Paal/Pauly/Paal, 2. Aufl. 2018, Art. 37 DSGVO Rn. 13, der statuiert, dass Abs. 5 diejenigen Anforderungen festlegt, die ein Datenschutzbeauftragter erfüllen „muss“; so auch Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 37 DSGVO Rn. 45. 469 GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 186. 470 Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 38 DSGVO Rn. 32 f. 471 GK-BetrVG/Raab, 10. Aufl. 2014, § 99 Rn. 168. 472 Dies ergibt sich bereits aus dem Wortlaut des Art. 37 Abs. 5 DSGVO, demnach der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere
284
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
schutzbeauftragter Inhalt des zugrundeliegenden Arbeits- bzw. Dienstleistungsverhältnisses, sodass ihm seine Aufgaben als Datenschutzbeauftragter erst durch die Einstellung bzw. Versetzung übertragen werden.473 Kann er seine Tätigkeit infolge seiner fehlenden Fachkunde nicht ausüben, verletzt er seine arbeits- bzw. dienstvertraglichen Pflichten.474 Auf dieser Grundlage muss dem Betriebsrat ein Zustimmungsverweigerungsrecht nach § 99 Abs. 2 Nr. 1 BetrVG auch zustehen, wenn die einzustellende bzw. zu versetzende Person den Anforderungen des Art. 37 Abs. 5 DSGVO nicht genügt.475 Allerdings bezieht sich die Zustimmungsverweigerung ausschließlich auf die Einstellung bzw. Versetzung des potentiellen Datenschutzbeauftragten, hat aber keinen Einfluss auf dessen Bestellung.476 b) Erweiterung der Mitbestimmungsrechte auf die Bestellung durch Betriebsvereinbarung Vor diesem Hintergrund stellt sich die Frage, ob dem Betriebsrat durch freiwillige Betriebsvereinbarung auch in Bezug auf die grundsätzlich mitbestimmungsfreie Bestellung des Datenschutzbeauftragten ein Mitbestimmungsrecht eingeräumt werden kann.477 Dies wäre von vornherein ausgeschlossen, wenn das Datenschutzrecht eine solche Erweiterung der Mitbestimmungsrechte für den konkreten Fall der Bestellung des Datenschutzbeauftragen ausschließen würde. Datenschutzrechtlich ist eine solche Mitbestimmungserweiterung zumindest nicht unbedenklich. Denn hätte der Betriebsrat ein Mitbestimmungsrecht bei der Bestellung des betrieblichen Datenschutzbeauftragten, so könnte er diese verhindern, indem er entsprechend § 99 Abs. 2 BetrVG seine Zustimmung zu der geplanten Maßnahme verweigert. Zwar hat die Zustimmungsverweigerung durch den Betriebsrats keinen Einfluss auf die individualrechtliche Wirksamkeit der personellen Einzelmaßnahme.478 Dennoch kann er gem. § 101 S. 1 BetrVG jedenfalls bis zur rechtskräftigen Ersetzung der Zustimmung durch das Arbeitsgericht verhindern, dass die personelle Maßnahme
des Fachwissens benannt“ wird, anklingend auch bei Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 37 DSGVO Rn. 46, demnach die Qualifikation gerade „im Zeitpunkt der Bestellung“ vorliegen muss. 473 BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051. 474 BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051. 475 Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 203; so zu § 4 f Abs. 2 BDSG a. F. BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049 Ls. 1; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 219; Schierbaum, AiB 2001, 512, 514; a. A. Kort, ZD 2017, 3, 6; dies als Gegenstand seiner Überwachungsaufgabe einordnend DKW/Buschmann, BetrVG, 17. Aufl. 2020, § 80 Rn. 15. 476 BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1051. 477 Aßmus, ZD 2011, 27, 31; Schierbaum, AiB 2001, 512, 514. 478 BAG, Urt. v. 2. 7. 1980 – 5 AZR 1241/79, NJW 1981, 703 f.; BAG, Urt. v. 2. 7. 1980 – 5 AZR 56/79, AP BetrVG 1972 § 101 Nr. 5; GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 13; v. Hoyningen-Huene, Betriebsverfassungsrecht, 6. Aufl. 2007, S. 345 f.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
285
aufrechterhalten wird.479 Damit könnte der Arbeitgeber zwar individualrechtlich wirksam einen Datenschutzbeauftragten bestellen, dieser dürfte seine Tätigkeit jedoch nicht aufnehmen. Dadurch liefe die von Art. 37 Abs. 1 DSGVO normierte Pflicht zur Bestellung eines Datenschutzbeauftragten zumindest vorübergehend faktisch leer. Der Betriebsrat könnte seine eigene Tätigkeit mithin vorerst der datenschutzrechtlichen Überprüfung durch den Datenschutzbeauftragten entziehen, indem er dessen Bestellung verhindert. Allerdings kann dieser Gefahr begegnet werden, wenn die Möglichkeit der Mitbestimmungserweiterung unter den Vorbehalt gestellt wird, dass die Betriebspartner zugleich verbindlich festlegen müssen, wie zu verfahren ist, wenn sie sich im Einzelfall nicht auf einen Datenschutzbeauftragten einigen können.480 Billigt man ihnen nur unter dieser Voraussetzung ein Recht zur Erweiterung der gesetzlichen Mitbestimmungsrechte zu, so ist ausgeschlossen, dass die Pflicht des Art. 37 Abs. 1 DSGVO leerläuft und der Betriebsrat sich der Kontrolle des Datenschutzbeauftragten rechtsmissbräuchlich entziehen kann. Damit bestehen – jedenfalls sofern man die Mitbestimmungserweiterung einem solchen Vorbehalt unterstellt – aus datenschutzrechtlicher Sicht keine Bedenken dagegen, dem Betriebsrat auch ein Recht zur Mitbestimmung bei der Bestellung des Datenschutzbeauftragten einzuräumen. Allerdings bestehen auch unter betriebsverfassungsrechtlichen Gesichtspunkten Bedenken gegen die Erweiterung der dem Betriebsrat im Bereich personeller Einzelmaßnahmen zustehenden Mitbestimmungsrechte.481 Die Rechtsprechung vertritt allgemein die Auffassung, dass das BetrVG im Hinblick auf die Beteiligungsrechte des Betriebsrats lediglich Mindestbestimmungen enthalte,482 die durch Betriebsvereinbarung grundsätzlich erweitert werden können.483 Demgegenüber lehnt die Literatur die Möglichkeit einer Erweiterung der Mitbestimmungsrechte jedenfalls im Hinblick auf personelle Einzelmaßnahmen ab.484 Für eine generelle Befugnis zur Erweiterung der Mitbestimmungsrechte auch im personellen Bereich lässt sich ins Feld führen, dass die Beteiligungsrechte des Betriebsrats ohnehin dem Schutz der Belegschaft dienen und ihre Erweiterung für die Beschäftigten daher nur vorteilhaft
479 BAG, Urt. v. 2. 7. 1980 – 5 AZR 1241/79, NJW 1981, 703 f.; BAG, Urt. v. 2. 7. 1980 – 5 AZR 56/79, AP BetrVG 1972 § 101 Nr. 5; GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 13. 480 Aßmus, ZD 2011, 27, 31. 481 Anders bei der Mitbestimmung im Bereich sozialer und allgemeiner personeller Angelegenheiten, s. Gliederungspunkt C. IV. 482 BAG, Beschl. v. 23. 8. 2016 – 1 ABR 22/14, NZA 2017, 194, 198 Rn. 38; BAG, Beschl. v. 12. 1. 2011 @ 7 ABR 34/09, NZA 2011, 1297, 1301 Rn. 28; BAG, Beschl. v. 21. 10. 2003 – 1 ABR 39/02, NZA 2004, 936, 939. 483 BAG, Beschl. v. 23. 8. 2016 – 1 ABR 22/14, NZA 2017, 194, 198 Rn. 38; BAG, Beschl. v. 18. 8. 2009 – 1 ABR 49/08, NZA 2010, 112, 114 Rn. 20; Fitting, BetrVG, 30. Aufl. 2020, § 1 Rn. 338, 341; Lerch/Weinbrenner, NZA 2011, 664, 667. 484 Galperin/Löwisch, BetrVG, 6. Aufl. 1982, Vor § 92 Rn. 2a; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 4; Hueck/Nipperdey, II/2, 7. Aufl. 1970, S. 1452; Ramrath, RDV 1989, 163, 165 f.; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 8.
286
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
sein kann.485 Erweitert der – als Einziger nachteilig betroffene – Arbeitgeber die Mitbestimmungsrechte im Einvernehmen mit dem Betriebsrat freiwillig, so ist dies von seiner Vertragsfreiheit gedeckt und damit grundsätzlich möglich.486 Das ist jedoch zu kurz gedacht: Werden die Mitbestimmungsrechte des Betriebsrats erweitert, so kann dies jedenfalls im Rahmen personeller Einzelmaßnahmen dazu führen, dass die Rechtsstellung des durch die Maßnahme betroffenen einzelnen Arbeitnehmers oder Bewerbers nachteilig beeinträchtigt wird.487 Denn die Mitbestimmung bei personellen Einzelmaßnahmen bezweckt die Wahrung der Interessen der Gesamtbelegschaft,488 die jedoch nicht notwendigerweise mit denen des im Einzelfall betroffenen Arbeitnehmers übereinstimmen.489 Für eine solche, allein vom Willen der Betriebspartner abhängige, Erweiterung betriebsverfassungsrechtlicher Mitbestimmungsrechte zu Lasten Dritter fehlt es jedoch an einer gesetzlichen Grundlage.490 Über dieses teleologische Argument hinaus lässt sich auch die Systematik der einzelnen Mitbestimmungstatbestände im Bereich personeller Einzelmaßnahmen anführen: Denn § 102 Abs. 6 BetrVG normiert ausdrücklich, dass im Falle einer Kündigung eine Erweiterung der Mitwirkungsrechte des Betriebsrats möglich sein soll, woraus sich im Umkehrschluss folgern lässt, dass diese Möglichkeit nach dem Willen des Gesetzgebers für andere personelle Einzelmaßnahmen eben nicht bestehen soll.491 Vor diesem Hintergrund können die Mitbestimmungsrechte des Betriebsrats jedenfalls im Bereich personeller Einzelmaßnahmen mangels gesetzlicher Grundlage nicht erweitert werden. Dem Betriebsrat kann daher durch Betriebsvereinbarung kein Mitbestimmungsrecht bei der Bestellung des betrieblichen Datenschutzbeauftragten eingeräumt werden.492
485
BAG, Beschl. v. 10. 2. 1988 – 1 ABR 70/86, NZA 1988, 699, 701. GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 13. 487 GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 13, 24; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, Einl. Rn. 304; Richardi/Richardi, BetrVG, 16. Aufl. 2018, Einl. Rn. 138. 488 BAG, Beschl. v. 27. 10. 2010 – 7 ABR 36/09, NZA 2011, 527, 529 Rn. 26; BAG, Beschl. v. 25. 1. 2005 – 1 ABR 59/03, NZA 2005, 945, 946; BAG, Beschl. v. 22. 4. 1997 – 1 ABR 74/96, NZA 1997, 1297, 1299; LAG Hessen, Beschl. v. 28. 2. 1989 – 1 TaBV 106/88, BeckRS 1989, 113021 Rn. 21; Fitting, BetrVG, 30. Aufl. 2020, § 99 Rn. 3; GK-BetrVG/Raab, 11. Aufl. 2018, § 99 Rn. 5; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 99 Rn. 29. 489 GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 24; Hueck/Nipperdey, II/2, 7. Aufl. 1970, S. 1451 f.; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, Einl. Rn. 304; Ramrath, RDV 1989, 163, 166; Reuter, ZfA 2006, 459, 465; Richardi/Richardi, BetrVG, 16. Aufl. 2018, Einl. Rn. 138. 490 GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 24; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, Einl. Rn. 304; Reuter, ZfA 2006, 459, 465; Richardi/Richardi, BetrVG, 16. Aufl. 2018, Einl. Rn. 138. 491 Galperin/Löwisch, BetrVG, 6. Aufl. 1982, Vor § 92 Rn. 2a; GK-BetrVG/Raab, 11. Aufl. 2018, Vor § 92 Rn. 22; HWGNRH/Rose, BetrVG, 10. Aufl. 2018, Einl. Rn. 304. 492 Ramrath, RDV 1989, 163, 167. 486
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
287
4. Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten Eine zentrale Frage im Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat ist zudem, inwiefern der Datenschutzbeauftragte kontrollieren kann, ob der Betriebsrat sich an die Vorgaben des Datenschutzrechts hält. Insofern bestimmt Art. 39 Abs. 1 lit. b DSGVO, dass dem Datenschutzbeauftragten die Überwachung der Einhaltung der DSGVO, sowie anderer Datenschutzvorschriften der Union und der Mitgliedstaaten obliegt. Damit trifft ihn eine umfassende Überwachungspflicht im Hinblick auf das gesamte anwendbare Datenschutzrecht.493 Inwiefern sich diese Kontrollaufgabe auch auf die datenschutzrechtlich relevante Tätigkeit des Betriebsrats erstreckt, bedarf indes näherer Betrachtung. a) Kontrollmöglichkeiten unter Geltung des BDSG a. F. Bereits vor Inkrafttreten der DSGVO war der Datenschutzbeauftragte gem. § 37 Abs. 1 BDSG (i. d. F. v. 20. 12. 1990) bzw. § 4 g Abs. 1 S. 1 BDSG (seit der Neufassung v. 18. 5. 2001) verpflichtet, die Einhaltung des Datenschutzrechts „sicherzustellen“ bzw. auf sie „hinzuwirken“.494 Ob der Datenschutzbeauftragte auf dieser Grundlage auch die Einhaltung des Datenschutzrechts durch den Betriebsrat kontrollieren durfte, war indes umstritten: Teile der Literatur sprachen sich für die Anerkennung eines allgemeinen Kontrollrechts aus.495 Man könne den Betriebsrat datenschutzrechtlich nicht als Teil des Arbeitgebers einordnen, seine Tätigkeit aber zugleich der Kontrolle durch den Datenschutzbeauftragten entziehen, da dies zur Folge hätte, dass ein Ausschnitt der durch die verantwortliche Stelle „Arbeitgeber“ vorgenommenen Datenverarbeitungsvorgänge nicht der Kontrolle durch den Datenschutzbeauftragten unterliegen würde, obwohl sich seine Kontrollbefugnis auf die gesamte verantwortliche Stelle beziehe.496 Die Folge wäre eine nur lückenhafte Kontrolle.497 Demgegenüber lehnten die Rechtsprechung und einige Literaten eine Überwachungsmöglichkeit des Datenschutzbeauftragten gegenüber dem Betriebsrat vollständig ab.498 Die Kontrolle der Betriebsratstätigkeit durch den Datenschutz493
Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 39 DSGVO Rn. 13. Ausweislich der Gesetzesbegründung entsprach § 4 f Abs. 1. S. 1. BDSG a. F. trotz der abweichenden Wortwahl im Wesentlichen § 37 Abs. 1 BDSG a. F., s. BT-Drs. 14/4329, S. 37. 495 v. Hoyningen-Huene, NZA, Beil. 1/1985, 19, 23; Kort, RdA 1992, 378, 382; Rudolf, NZA 1996, 296, 300. 496 Kort, NZA 2015, 1345, 1349. 497 Simitis/Simitis, 8. Aufl. 2014, § 4 g BDSG Rn. 41 f., der zwar ein Kontrollrecht ablehnt, dies aber als unvereinbar mit den Vorgaben des Unionsrechts betrachtet. 498 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385; Fitting, BetrVG, 22. Aufl. 2004, § 1 Rn. 216; Richardi, BetrVG, 6. Aufl. 1982, § 80 Rn. 105; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 222; Simitis/ Simitis, 8. Aufl. 2014, § 4 g BDSG Rn. 40; Wagner, BB 1993, 1729, 1730; Wohlgemut, BB 494
288
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
beauftragten sei mit der dem Betriebsrat durch das BetrVG im Verhältnis zum Arbeitgeber garantierten Unabhängigkeit nicht zu vereinbaren, da der Datenschutzbeauftragte ohne Mitwirkung des Betriebsrats einseitig durch den Arbeitgeber ausgewählt werde, sodass er letztlich dessen Lager zuzurechnen sei.499 Eine wirksame Arbeitnehmervertretung setze aber stets die tatsächliche Unabhängigkeit des Betriebsrats voraus.500 Würde man ein Kontrollrecht des Datenschutzbeauftragten im Verhältnis zum Betriebsrat anerkennen, bedeute dies daher einen Eingriff in ein tragendes Strukturprinzip des BetrVG, für den es keine gesetzliche Grundlage gebe.501 Denn auch die von § 36 Abs. 3 S. 2 BDSG (i. d. F. v. 20. 12. 1990 bzw. § 4 f Abs. 3 S. 2 BDSG seit der Neufassung des BDSG v. 18. 5. 2001) vorgesehene Weisungsfreiheit des Datenschutzbeauftragten sichere die Unabhängigkeit der Betriebsratstätigkeit nicht hinreichend ab, da sie zwar die objektive Amtsausübung durch den Datenschutzbeauftragten sicherstellen solle, ihn jedoch nicht der allgemeinen Dienstaufsicht des Arbeitgebers entziehe.502 Etwaige Kontrollmaßnamen des Datenschutzbeauftragten seien daher im Ergebnis dem Arbeitgeber zuzurechnen.503 Auch die von § 36 Abs. 4 BDSG (i. d. F. v. 20. 12. 1990 bzw. § 4 f Abs. 4 BDSG seit der Neufassung des BDSG v. 18. 5. 2001) angeordnete Schweigepflicht sei nicht geeignet, die Unabhängigkeit des Betriebsrats zu garantieren, da sie allein die Identität des Betroffenen, nicht aber die Betriebsratsinterna der Geheimhaltung unterstelle.504 Die Ablehnung eines Überwachungsrechts führe zudem nicht zur Entstehung kontrollfreier Räume, da eine Kontrolle der durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgänge durch die Aufsichtsbehörde weiterhin möglich bliebe.505
1995, 673, 675; ausdrücklich offen gelassen durch BAG, Urt. v. 23. 3. 2011 – 10 AZR 562/09, NZA 2011, 1036, 1038 Rn. 25. 499 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; Aßmus, ZD 2011, 27, 28 f.; Däubler, Gläserne Belegschaften, 6. Aufl. 2015, Rn. 686; Simitis/Simitis, 8. Aufl. 2014, § 4 g BDSG Rn. 40. 500 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; Wagner, BB 1993, 1729, 1730. 501 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; diese indes nicht als ausreichend betrachtend Simitis/Simitis, 8. Aufl. 2014, § 4 g BDSG Rn. 41 f. 502 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 388. 503 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387. 504 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 388. 505 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; Wagner, BB 1993, 1729, 1732 f.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
289
b) Kontrollmöglichkeiten unter Geltung der DSGVO Unter der Geltung der DSGVO hat dieser – bereits zuvor nicht abschließend geklärte506 – Streit nicht nur erneut an Aktualität gewonnen, sondern auch eine neue Akzentuierung erfahren. So wird nunmehr ins Feld geführt, dass die Unabhängigkeit des Datenschutzbeauftragten gegenüber dem Arbeitgeber durch die DSGVO gestärkt worden sei, sodass die betriebsverfassungsrechtliche Stellung des Betriebsrats durch die Kontrolle des Datenschutzbeauftragten nicht mehr gefährdet werde.507 Denn während § 4 f Abs. 4 BDSG a. F. allein die Identität des Betroffenen der Geheimhaltung unterstellte, ist der Datenschutzbeauftragte nunmehr allgemein bei der Wahrnehmung seiner Aufgaben gem. Art. 38 Abs. 5 DSGVO „an die Wahrung der Geheimhaltung und der Vertraulichkeit gebunden“. Damit liegt es nahe, dass er auch hinsichtlich der Informationen, die er im Rahmen einer etwaigen Kontrolle des Betriebsrats erlangt hat, zur Verschwiegenheit verpflichtet ist.508 Mithin wäre die von der Kontrolle des Datenschutzbeauftragten ausgehende Gefahr für die unabhängige Stellung des Betriebsrats deutlich reduziert.509 Allerdings besteht die Pflicht des Datenschutzbeauftragten zur Geheimhaltung gem. Art. 38 Abs. 5 DSGVO nur „nach dem Recht […] der Mitgliedstaaten“. Auf nationaler Ebene verpflichtet § 38 Abs. 2 BDSG i. V. m. § 6 Abs. 5 S. 2 BDSG den Datenschutzbeauftragten im nichtöffentlichen Bereich jedoch – ebenso wie zuvor § 4 f Abs. 4 BDSG a. F. – nur zur Verschwiegenheit „über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen“. Daher gehen einige Stimmen davon aus, dass auf Grundlage von Art. 38 Abs. 5 DSGVO i. V. m. § 38 Abs. 2 BDSG, § 6 Abs. 5 S. 2 BDSG weiterhin nur eine begrenzte Geheimhaltungspflicht bestehe,510 während andere unmittelbar aus Art. 38 Abs. 5 DSGVO eine weitergehende, umfassende Verschwiegenheitspflicht auch in Bezug auf die Betriebsratstätigkeit herleiten wollen.511 Jedoch ist die konkrete Reichweite der Verschwiegenheitspflichten des Datenschutzbeauftragten gar nicht entscheidend. Denn ihm steht nunmehr ein uneingeschränktes Kontrollrecht zu, wie der Blick auf Art. 38 Abs. 2 DSGVO zeigt, der dem Datenschutzbeauftragten ein ausnahmsloses Zugangsrecht zu allen für die Erfüllung 506 Da das BAG die Frage zuletzt ausdrücklich offen gelassen hat, ist der Streit wohl nicht einmal für die Praxis entschieden gewesen, s. BAG, Urt. v. 23. 3. 2011 – 10 AZR 562/09, NZA 2011, 1036, 1038 Rn. 25. 507 I. E. ebenso Kurzböck/Weinbeck, BB 2018, 1652, 1653; Stück, ZD 2019, 256, 259; dies schon für die Neufassung des BDSG v. 29. 7. 2009 annehmend Taeger/Rose, BB 2016, 819, 828 f.; kritisch Lücke, NZA 2019, 658, 667. 508 Gola, BB 2017, 1462, 1470; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 38. 509 Kurzböck/Weinbeck, BB 2018, 1652, 1653. 510 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 38 DSGVO Rn. 19; Franzen, EuZA 2017, 313, 341; Jaspers/Reif, RDV 2016, 61, 65; Paal/Pauly/Paal, 2. Aufl. 2018, Art. 38 DSGVO Rn. 13. 511 Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 38.
290
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
seiner Aufgaben erforderlichen Daten gewährt.512 Eine seiner Aufgaben ist gem. Art. 39 Abs. 1 lit. b DSGVO, die Einhaltung der DSGVO sowie anderer Datenschutzvorschriften der Union und der Mitgliedstaaten zu überwachen. In der Normenhierarchie steht die DSGVO dabei über dem nationalen Recht.513 Sie entfaltet unmittelbare Wirkung in den Mitgliedstaaten, sodass auf Grundlage des nationalen Rechts keine Ausnahmen von der Kontrollaufgabe des Datenschutzbeauftragten mehr begründet werden können.514 Die bislang befürwortete Kontrollfreiheit des Betriebsrats wurde indes gerade auf seine ihm durch das BetrVG im Verhältnis zum Arbeitgeber garantierte Unabhängigkeit gestützt.515 Möglich war dies mit Blick auf § 1 Abs. 3 BDSG a. F., auf dessen Grundlage das BetrVG eine gewisse Vorrangstellung gegenüber dem BDSG einnahm. Nunmehr ist jedoch die DSGVO – und damit die durch Art. 39 Abs. 1 lit. b DSGVO angeordneten Kontrollaufgaben des Datenschutzbeauftragten – gem. Art. 288 Abs. 2 AEUV vorrangig gegenüber den Vorschriften des BetrVG.516 Diese können im datenschutzrechtlichen Kontext nur dort gem. § 1 Abs. 2 BDSG zur Anwendung kommen, wo die DSGVO im Rahmen ihrer Öffnungsklauseln zulässigerweise durch nationales Recht ausgestaltet und ausnahmsweise verdrängt wird.517 Eine spezifische Regelung hinsichtlich der dem Datenschutzbeauftragten im Verhältnis zum Betriebsrat zustehenden Kontrollbefugnisse findet sich im nationalen Recht jedoch nicht, da sie die Grenzen der den Mitgliedstaaten durch Art. 88 Abs. 1 DSGVO eingeräumten Regelungskompetenz überschreiten würde.518 Damit bemisst sich die Reichweite seiner Überwachungsaufgabe allein nach Art. 39 Abs. 1 lit. b DSGVO. Eine Einschränkung seiner Kontrollbefugnisse unter Verweis auf die Vorschriften des BetrVG ist nicht mehr möglich.519 Der Datenschutzbeauftragte kann daher nunmehr auch die durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgänge überprüfen, sie sind nicht mehr kontrollfrei.520 512 Gola, BB 2017, 1462, 1470; Kurzböck/Weinbeck, BB 2018, 1652; Pötters/Gola, RDV 2017, 279, 283. 513 Pötters/Gola, RDV 2017, 279, 283. 514 Baumgartner/Hansch, ZD 2019, 99, 102; Hamann/Wegmann, BB 2019, 1347, 1349; Kurzböck/Weinbeck, BB 2018, 1652; Lücke, NZA 2019, 658, 668; Pötters/Gola, RDV 2017, 279, 283; Stück, ZD 2019, 256, 259; Wybitul, NZA 2017, 1488, 1490. 515 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385, 387; Aßmus, ZD 2011, 27, 28 f.; Simitis/Simitis, 8. Aufl. 2014, § 4 g BDSG Rn. 40. 516 Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1, 2. 517 S. ausführlich Gliederungspunkt B. II. 1. 518 Gola, BB 2017, 1462, 1470; Kort, ZD 2017, 3, 6; Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 18; Pötters/Gola, RDV 2017, 279, 283. 519 Gola, BB 2017, 1462, 1470; Grimm/Göbel, jM 2018, 278, 284; Pötters/Gola, RDV 2017, 279, 283. 520 Gola, BB 2017, 1462, 1470; Gola, HdB Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1719; Hamann/Wegmann, BB 2019, 1347, 1349; Kort, ZD 2017, 3, 6; Kühling/Buchner/ Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 18; Kurzböck/Weinbeck, BB 2018, 1652 f.; Lücke, NZA 2019, 658, 668; Pötters/Hansen, ArbRAktuell 2020, 193, 194 f.; Pötters/Gola, RDV 2017, 279, 283; Stück, ZD 2019, 256, 259; Walker, FS Moll, S. 697, 698; a. A. DKW/Klebe/
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
291
c) Reichweite der Kontrollmöglichkeiten Durch Art. 39 Abs. 1 lit. b DSGVO wird dem Datenschutzbeauftragten eine umfassende Überwachungsaufgabe hinsichtlich der Einhaltung des Datenschutzrechts auferlegt, zu deren Erfüllung er gem. Art. 38 Abs. 2 DSGVO Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen erhalten muss. Ausnahmen oder Beschränkungen sieht die DSGVO nicht vor und angesichts ihrer unmittelbaren Anwendbarkeit auf nationaler Ebene sowie ihrer Vorrangstellung gegenüber mitgliedstaatlichem Recht, kann auch das BetrVG nicht herangezogen werden, um das Kontrollrecht des Datenschutzbeauftragten einzuschränken. Seine Befugnisse werden allein unmittelbar durch Art. 39 Abs. 1 lit. b DSGVO begrenzt, der ihn nur zur Überwachung der Einhaltung des Datenschutzrechts verpflichtet, sodass zumindest ein inhaltlicher Zusammenhang zwischen dem Ziel, die Einhaltung dieser Vorschriften zu gewährleisten, und den Informationen, die der Datenschutzbeauftragte begehrt, bestehen muss. Nur soweit ein solcher Zusammenhang nicht besteht, ist der Rahmen von Art. 39 Abs. 1 lit. b DSGVO überschritten. d) Folgerung: Kontrolle des Betriebsrats durch den Datenschutzbeauftragten In der Vergangenheit wurde eine Kontrollbefugnis des Datenschutzbeauftragten im Verhältnis zum Betriebsrat mit Verweis auf dessen betriebsverfassungsrechtliche Unabhängigkeit von der Rechtsprechung und Teilen der Literatur abgelehnt.521 Demgegenüber räumt Art. 39 Abs. 1 lit. b DSGVO dem Datenschutzbeauftragten nunmehr eine umfassende Überwachungsaufgabe ein, die sich auch auf die datenschutzrechtlich relevante Tätigkeit des Betriebsrats erstreckt. Denn die DSGVO – und damit auch Art 39 Abs. 1 lit. b DSGVO – steht in der Normenhierarchie über dem nationalen Recht und entfaltet auch auf mitgliedstaatlicher Ebene unmittelbare Wirkung, sodass Ausnahmen von der Kontrollaufgabe des Datenschutzbeauftragten nicht mehr auf nationales Recht – und damit auch nicht auf die betriebsverfassungsrechtliche Unabhängigkeit des Betriebsrats – gestützt werden können.
5. Kontrolle des Datenschutzbeauftragten durch den Betriebsrat? Beschäftigt man sich mit den Kontrollrechten des Datenschutzbeauftragten im Verhältnis zum Betriebsrat, so liegt es nahe, auch zu hinterfragen, inwiefern der Betriebsrat umgekehrt die Tätigkeit des Datenschutzbeauftragten überwachen darf. Wankel, BetrVG, 17. Aufl. 2020, § 94 Rn. 51; Körner, Die Auswirkungen der DatenschutzGrundverordnung (DSGVO) in der betrieblichen Praxis, S. 65 f. 521 BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385; Däubler, Gläserne Belegschaften, 6. Aufl. 2015, Rn. 686; Fitting, BetrVG, 22. Aufl. 2004, § 1 Rn. 216; Richardi, BetrVG, 6. Aufl. 1982, § 80 Rn. 105; Simitis/Simitis, 8. Aufl. 2014, § 4 g BDSG Rn. 40; Wagner, BB 1993, 1729, 1730; Wohlgemut, BB 1995, 673, 675; ausdrücklich offen gelassen durch BAG, Urt. v. 23. 3. 2011 – 10 AZR 562/09, NZA 2011, 1036, 1038 Rn. 25.
292
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
Eine entsprechende Kontrollbefugnis könnte sich aus § 80 Abs. 1 Nr. 1 BetrVG ergeben, der den Betriebsrat verpflichtet, über die Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze zu wachen, sodass sich seine Überwachungsaufgabe auf sämtliche arbeitnehmerschützenden Vorschriften von DSGVO und BDSG erstreckt.522 Auf dieser Grundlage wird teilweise vertreten, der Betriebsrat habe auch zu kontrollieren, dass der betriebliche Datenschutzbeauftragte seiner Tätigkeit ordnungsgemäß nachkommt und diese auch tatsächlich weisungsfrei ausübt.523 Allerdings muss berücksichtigt werden, dass der betriebliche Datenschutzbeauftragte gem. ErwG 97 S. 3 DSGVO „vollständige“ Unabhängigkeit gegenüber dem Verantwortlichen – und damit auch gegenüber dem Betriebsrat als Teil dieser Stelle – genießt.524 Unterläge er der Kontrolle des Betriebsrats, könnte diese Unabhängigkeit gefährdet werden.525 Denn würden beide Institutionen einander gegenseitig überwachen, so könnte es passieren, dass der Datenschutzbeauftragte einen Datenschutzverstoß des Betriebsrats nur deshalb nicht aufdeckt, weil er im Gegenzug fürchten müsste, dass der Betriebsrat seine Tätigkeit wiederum einer besonders kritischen Betrachtung unterziehen wird. Indes können mitgliedstaatliche Regelungen – sofern sie nicht eine in der DSGVO enthaltene Öffnungsklausel ausgestalten – nicht herangezogen werden, um Ausnahmen von der DSGVO zu rechtfertigen.526 Daher darf eine nationale Regelung auch nicht dazu führen, dass die unionsrechtlich vorgesehene Unabhängigkeit des Datenschutzbeauftragten beeinträchtigt wird. Vor diesem Hintergrund kann sich mit Blick auf die dem Datenschutzbeauftragten garantierte unabhängige Amtsführung aus § 80 Abs. 1 Nr. 1 BetrVG kein Kontrollrecht des Betriebsrats gegenüber dem Datenschutzschutzbeauftragten ergeben.527 522 ErfK/Kania, 20. Aufl. 2020, § 80 BetrVG Rn. 3; Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; Lücke, NZA 2019, 658, 667; Richardi/Thüsing, BetrVG, 16. Aufl. 2018, § 80 Rn. 10; Simitis/Hornung/Spiecker/Seifert, 1. Aufl. 2019, Art. 88 DSGVO Rn. 233; Stück, ZD 2019, 256, 259; zum BDSG a. F. auch die Rspr. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747 Ls. 1. 523 Fitting, BetrVG, 30. Aufl. 2020, § 80 Rn. 7; Paal/Pauly/Paal, 2. Aufl. 2018, Art. 38 DSGVO Rn. 9; jedenfalls für eine Überprüfung, ob der Datenschutzbeauftragte seiner Tätigkeit überhaupt nachkommt Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 26. 524 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 38 DSGVO Rn. 13; mit dieser vollständigen Unabhängigkeit wäre auch eine Überwachung durch den Arbeitgeber in Bezug auf die ordnungsgemäße Amtsausübung, wie sie das BAG unter Geltung der alten Fassung des BDSG angenommen hatte, nicht vereinbar. So noch BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/ 97, NZA 1998, 385, 388. 525 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 38 DSGVO Rn. 13; Kort, ZD 2017, 3, 7; Kort, NZA 2015, 1345, 1351; Stück, ZD 2019, 256, 259; dies ohne Begründung verneinend Paal/Pauly/Paal, 2. Aufl. 2018, Art. 38 DSGVO Rn. 9. 526 Ebenso für das Kontrollrecht des Datenschutzbeauftragten gegenüber dem Betriebsrat Baumgartner/Hansch, ZD 2019, 99, 102; Hamann/Wegmann, BB 2019, 1347, 1349; Kurzböck/ Weinbeck, BB 2018, 1652; Lücke, NZA 2019, 658, 668; Pötters/Gola, RDV 2017, 279, 283; Stück, ZD 2019, 256, 259; Wybitul, NZA 2017, 1488, 1490. 527 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 38 DSGVO Rn. 13; Kort, ZD 2017, 3; Kort, NZA 2015, 1345, 1351; Stück, ZD 2019, 256, 259.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
293
6. Bestellung eines Betriebsratsmitglieds zum Datenschutzbeauftragten Mit Blick auf das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten stellt sich darüber hinaus die Frage, ob ein Betriebsratsmitglied zugleich das Amt des betrieblichen Datenschutzbeauftragten bekleiden kann. Den Ausgangspunkt zur Auflösung dieser Problematik bildet Art. 37 Abs. 5 DSGVO, der festlegt, dass der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt [wird], das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben“. Ergänzend gilt Art. 38 Abs. 6 S. 1 DSGVO, der klarstellt: „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen“. Dies gilt gem. Art. 38 Abs. 6 S. 2 DSGVO jedoch nur, solange sichergestellt ist, dass die anderen Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Entscheidend ist daher, ob ein solcher Interessenkonflikt besteht, wenn eine Person zugleich Betriebsratsmitglied und betrieblicher Datenschutzbeauftragter ist. Diese Frage wurde bereits im Hinblick auf § 4 f Abs. 2 S. 1 BDSG a. F. diskutiert,528 der bestimmte: „Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“. Zweifel am Bestand der notwendigen Zuverlässigkeit konnten sich auf dieser Grundlage ebenfalls ergeben, wenn Interessenkonflikte drohten.529 Nach wie vor ist damit maßgeblich, ob ein Interessenkonflikt vorliegt. Davon ist auszugehen, wenn der Datenschutzbeauftragte durch seine anderweitigen Aufgaben und Verpflichtungen derart beeinflusst wird, dass eine objektive Aufgabenwahrnehmung nicht mehr gewährleistet ist.530 Aber ist die objektive Aufgabenwahrnehmung durch den Datenschutzbeauftragten schon deshalb gefährdet, weil er zugleich Mitglied des Betriebsrats ist? Denkbar erschiene eine solche generelle Inkompatibilität, weil Betriebsrat und Datenschutzbeauftragter im Verhältnis zum Arbeitgeber verschiedene Kontroll- und Überwachungsaufgaben wahrnehmen, deren inhaltliche Reichweite sich unterscheidet. So reichen die Kontrollbefugnisse des Datenschutzbeauftragten auf dem Gebiet des Beschäftigtendatenschutzes weiter als diejenigen des Betriebsrats – ihm stehen insbesondere Informationsrechte zu, die dem Betriebsrat nicht zukommen.531 Wenig nachvollziehbar erscheint es vor diesem Hintergrund, wenn die Rechtsprechung davon ausgeht, dass die Interessen des Arbeitgebers nicht allein deshalb 528 Ausführlich Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, 2012, S. 230 ff. 529 BAG, Urt. v. 23. 3. 2011 @ 10 AZR 562/09, NZA 2011, 1036, 1038 Rn. 24; BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1052; Dzida/Kröpelin, NZA 2011, 1018; ErfK/Franzen, 17. Aufl. 2017, § 4 f BDSG Rn. 4; Stück, ZD 2019, 256, 260. 530 Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 38 DSGVO Rn. 54. 531 Taeger/Rose, BB 2016, 819, 831; Wybitul, BB 2011, 2683, 2686; s. Gliederungspunkt E. IV. 1. a).
294
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
beeinträchtigt werden, weil dieselbe Person die Kontrollrechte des Datenschutzbeauftragten und zugleich die Befugnisse des Betriebsrats wahrnimmt.532 Denn erlangt ein Betriebsratsmitglied in seiner Eigenschaft als Datenschutzbeauftragter Informationen, die dem Betriebsrat nicht zustehen, besteht die Gefahr, dass er diese auch in die Betriebsratsarbeit einfließen lassen wird – und das obwohl der Betriebsrat selbst keine Kenntnis von den jeweiligen Informationen hätte erlangen können. Dadurch könnten die betriebsverfassungsrechtlichen Grenzen der dem Betriebsrat zustehenden Informationsrechte umgangen und das Verhältnis von Arbeitgeber und Betriebsrat zulasten des Arbeitgebers in einer durch das BetrVG nicht vorgesehenen Weise verändert werden.533 Darüber hinaus werden dem Datenschutzbeauftragten unter Umständen auch personenbezogene Daten der Beschäftigten bekannt sein, von denen der Betriebsrat keine Kenntnis nehmen darf, sodass es zu einer Schwächung des Beschäftigtendatenschutzes kommen kann.534 Diese Gefahr besteht aber auch unter einem anderen Gesichtspunkt: Die Kontrolle des Datenschutzrechts obliegt nach der Konzeption des nationalen Gesetzgebers neben der Aufsichtsbehörde und dem Datenschutzbeauftragten eben auch dem Betriebsrat. Setzt man ein Betriebsratsmitglied zugleich als Datenschutzbeauftragten ein, so kommt es zu einer Personenidentität, die das deutsche Drei-Säulen-Kontrollsystem zu einer Zwei-SäulenKontrolle zusammenschrumpfen lässt.535 Dies würde ebenfalls zu einer Schwächung des Beschäftigtendatenschutzes führen.536 Dies sind zweifellos überzeugende Erwägungen. Entscheidend ist im Rahmen von Art. 38 Abs. 6 DSGVO jedoch letztlich allein, ob die objektive Amtsausübung des Datenschutzbeauftragten durch seine anderen Aufgaben und Pflichten beeinträchtigt wird.537 Jedenfalls kann nicht ausgeschlossen werden, dass ein Mitglied des Betriebsrats das Wohl der Arbeitnehmer auch in seiner Eigenschaft als Datenschutzbeauftragter in den Fokus seiner Tätigkeit rücken und diesem einen höheren Stellenwert einräumen wird, als der Einhaltung datenschutzrechtlicher Vorschriften.538 Dies mag unbedenklich sein, sofern der Datenschutzbeauftragte die Einhaltung der Vorschriften des Beschäftigtendatenschutzes überwacht und damit zum
532 BAG, Urt. v. 23. 3. 2011 @ 10 AZR 562/09, NZA 2011, 1036, 1038 Rn. 25; daran anknüpfend LAG Mecklenburg-Vorpommern, Urt. v. 25. 2. 2020 – 5 Sa 108/19, NZA-RR 2020, 291, 293 Rn. 36 und LAG Sachsen-Anhalt, Urt. v. 19. 8. 2019 – 9 Sa 268/18, ZD 2020, 163, 164 Rn. 37. 533 Wybitul, BB 2011, 2683, 2686. 534 Wybitul, BB 2011, 2683, 2686. 535 Dzida/Kröpelin, NZA 2011, 1018, 1019; Stück, ZD 2019, 256, 260; Wybitul, BB 2011, 2683, 2686. 536 Dzida/Kröpelin, NZA 2011, 1018, 1019; Rudolf, NZA 1996, 296, 298; Wybitul, BB 2011, 2683, 2686. 537 Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 38 DSGVO Rn. 54. 538 Wybitul, BB 2011, 2683, 2686; in diese Richtung auch Kort, RdA 1992, 378, 31 f.; Wybitul/von Gierke, BB 2017, 181, 183.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
295
Schutz personenbezogener Daten der Beschäftigten tätig wird.539 Jedoch hat der Datenschutzbeauftragte eben nicht nur die Wahrung des Beschäftigtendatenschutzes zu überwachen, sondern auch die Einhaltung sämtlicher übriger Vorschriften des Datenschutzes zu kontrollieren und damit auch Verarbeitungsvorgänge des Arbeitgebers zu überprüfen, die sich nicht auf Daten der Beschäftigten beziehen.540 Vor diesem Hintergrund kann nicht ausgeschlossen werden, dass er dennoch den Schwerpunkt seiner Arbeit auf die Kontrolle des Beschäftigtendatenschutzes legen und andere Verarbeitungsvorgänge vernachlässigen wird. Weitergehend erscheint sogar denkbar, dass er bereit ist, in seiner Eigenschaft als Datenschutzbeauftragter hier und da „ein Auge zuzudrücken“, um an anderer Stelle – sofern es beispielsweise gerade um den Schutz von Beschäftigtendaten oder die Durchsetzung sonstiger Arbeitnehmerinteressen geht – Zugeständnisse des Arbeitgebers zu erreichen.541 Jedenfalls insofern kann die Tätigkeit des Datenschutzbeauftragten durch die Mitgliedschaft im Betriebsrat beeinflusst werden. Zudem kann es dazu kommen, dass eine Person, die nicht nur Datenschutzbeauftragter ist, sondern zugleich weitere Ämter innerhalb des Betriebs bekleidet, sich selbst – eben in Ausübung ihres anderen Amtes – kontrollieren muss.542 Dieses Problem besteht auch, wenn eine Person nicht nur Datenschutzbeauftragter, sondern auch Mitglied des Betriebsrats ist, da die Verarbeitung personenbezogener Daten durch den Betriebsrat ebenfalls der Kontrolle durch den Datenschutzbeauftragten unterliegt.543 Muss dieser daher sich selbst kontrollieren, wird es zwangsläufig zu Interessenkonflikten kommen.544 Sein eigenes Verhalten wird er nämlich kaum ebenso objektiv überprüfen können, wie das eines Dritten. Zudem wird er eigene Versäumnisse und Datenschutzverstöße regelmäßig nur ungern öffentlich eingestehen wollen. Unverständlich ist daher, dass die Rechtsprechung den Kontrollbefugnissen des Datenschutzbeauftragten im Verhältnis zum Betriebsrat im Hinblick auf die Frage nach der Vereinbarkeit beider Ämter keine Bedeutung beimisst.545 Dies gilt insbesondere, da das BAG selbst in der Vergangenheit betont hat, dass eine Interessenkollision regelmäßig vorliege, wenn der Datenschutzbeauftragte seine eigene Tätigkeit kontrollieren müsste, da in einem solchen Fall eine wirksame in539 So Däubler, Gläserne Belegschaften, 8. Aufl. 2019, Rn. 599a, der jedoch irrigerweise an diesem Punkt stehen bleibt und daraus, dass dem Betriebsrat ohnehin Kontrollaufgaben zukommen, schließt, dass seine Mitglieder auch Datenschutzbeauftragte sein können. 540 MHdB ArbR/Reichold, 4. Aufl. 2018, § 96 Rn. 98. 541 Simitis/Simitis, 8. Aufl. 2014, § 4 f BDSG a. F. Rn. 108; dies erkennend aber das Bestehen eines Interessenkonflikts dennoch ablehnend Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 45. 542 BAG, Urt. v. 5. 12. 2019 – 2 AZR 223/19, NZA 2020, 227, 229 Rn. 25; MHdB ArbR/ Reichold, 4. Aufl. 2018, § 96 Rn. 98; Taeger/Rose, BB 2016, 819, 828. 543 S. Gliederungspunkt E. IV. 6.; dies auch als Grundlage eines Interessenkonflikts erkennend Simitis/Hornung/Spiecker/Drewes, 1. Aufl. 2019, Art. 38 DSGVO Rn. 55. 544 MHdB ArbR/Reichold, 4. Aufl. 2018, § 96 Rn. 98; Taeger/Rose, BB 2016, 819, 828; differenzierend Greiner/Senk, NZA 2020, 201, 207. 545 BAG, Urt. v. 23. 3. 2011 @ 10 AZR 562/09, NZA 2011, 1036, 1038 Rn. 25.
296
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
terne Kontrolle der Einhaltung der Vorgaben des Datenschutzrechts und damit auch der Schutz der Persönlichkeitsrechte der Arbeitnehmer nicht mehr gewährleistet werden könne.546 Zwar wird nicht allein aus dem Umstand, dass der Datenschutzbeauftragte Datenschutzverstöße des Betriebsrats offenlegen muss, die generelle Unvereinbarkeit beider Ämter folgen.547 Etwas anderes gilt indes jedenfalls, wenn der Datenschutzbeauftragte zugleich dasjenige Betriebsratsmitglied ist, das den konkreten Datenschutzverstoß zu verantworten hat.548 Denn wer ist schon in der Lage, seine eigene Arbeit vollkommen objektiv zu kontrollieren und wer wird ohne weiteres bereit sein, eigene Fehler und Versäumnisse einzugestehen? Vor diesem Hintergrund ist stets von einem die Tätigkeit des Datenschutzbeauftragten beeinflussenden Interessenkonflikt auszugehen, wenn dieselbe Person sowohl Datenschutzbeauftragter als auch zugleich Mitglied des Betriebsrats ist. In diesem Fall kann eine objektive Aufgabenwahrnehmung seitens des Datenschutzbeauftragten nicht mehr gewährleistet werden. Denn einerseits ist nicht auszuschließen, dass der Datenschutzbeauftragte sich auch im Rahmen dieses Amtes von seiner Eigenschaft als Betriebsratsmitglied beeinflussen lassen und die Arbeitnehmerinteressen nicht nur in den Fokus seiner Arbeit rücken, sondern möglicherweise sogar bewusste Abstriche bei der Kontrolle der durch den Arbeitgeber vorgenommenen Datenverarbeitungen machen wird, um diesen an anderer Stelle zu Zugeständnissen zugunsten der Belegschaft zu bewegen. Außerdem müsste der Datenschutzbeauftragte auch die Arbeit des Betriebsrats im Hinblick auf die Einhaltung des Datenschutzrechts kontrollieren, wobei er gezwungen sein kann, sein eigenes Verhalten zu überprüfen und etwaige Datenschutzverstöße, die er selbst zu verantworten hat, öffentlich zu machen. Mithin kann die Entstehung von Interessenkonflikten nicht ausgeschlossen werden. Beide Ämter sind generell unvereinbar, sodass ein Betriebsratsmitglied nicht zugleich betrieblicher Datenschutzbeauftragter sein kann.
7. Ambivalentes Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat Das Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat ist durch die gemeinsame Aufgabe, die Einhaltung des Beschäftigtendatenschutzes zu überwachen, geprägt. Jedoch ist der Betriebsrat darauf beschränkt, die Wahrung der zugunsten der Arbeitnehmer geltenden datenschutzrechtlichen Vorschriften zu überwachen, während der Datenschutzbeauftragte die Einhaltung des gesamten 546 BAG, Beschl. v. 22. 3. 1994 – 1 ABR 51/93, NZA 1994, 1049, 1052; Kühling/Buchner/ Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 40; MHdB ArbR/Reichold, 4. Aufl. 2018, § 96 Rn. 98. 547 So Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 45; Stück, ZD 2019, 256, 260. 548 In diese Richtung auch Kühling/Buchner/Bergt, 2. Aufl. 2018, Art. 38 DSGVO Rn. 45.
IV. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten
297
Datenschutzrechts zu kontrollieren hat. Der Datenschutzbeauftragte muss dabei die Interessen von Arbeitgeber und Arbeitnehmern gleichermaßen berücksichtigen, wohingegen der Betriebsrat die Unternehmensinteressen zwar nicht vollständig außer Acht lassen darf, seine Tätigkeit aber primär an den Belangen der Belegschaft auszurichten hat. Datenschutzrechtliche Bedenken können beide Institutionen dem Arbeitgeber mitteilen, eigene Unterlassungsansprüche kann allerdings nur der Betriebsrat geltend machen. Ihm ist es indes – anders als dem Datenschutzbeauftragten – verwehrt, sich ohne vorherige innerbetriebliche Abhilfeversuche unmittelbar an die Aufsichtsbehörde zu wenden. Eine aktive Mitgestaltung des Beschäftigtendatenschutzes ist jeweils durch Anregungen gegenüber dem Arbeitgeber möglich, eine Einigung erzwingen kann jedoch allein der Betriebsrat im Rahmen der zwingenden Mitbestimmung. Beide Institutionen haben das Recht, zusammen zu arbeiten, eine entsprechende Pflicht besteht auf Grundlage von Art. 38 Abs. 2 DSGVO allerdings allein für den Betriebsrat. Der Datenschutzbeauftragte kann im Rahmen der ihm zukommenden Kontrollaufgabe auch die durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgänge auf ihre datenschutzrechtliche Rechtmäßigkeit überprüfen. Dem steht die dem Betriebsrat durch das BetrVG garantierte Unabhängigkeit nicht entgegen. Denn Art. 39 Abs. 1 lit. b DSGVO, der auch auf nationaler Ebene unmittelbare Wirkung entfaltet, räumt dem Datenschutzbeauftragten eine umfassende Überwachungsaufgabe ein, von der auf Grundlage des nationalen Rechts keine Ausnahmen gemacht werden können. Umgekehrt steht dem Betriebsrat kein Recht zur Kontrolle des betrieblichen Datenschutzbeauftragten zu, da dem Datenschutzbeauftragten unionsrechtlich vollständige Unabhängigkeit gegenüber dem Verantwortlichen garantiert ist. Hinsichtlich der Bestellung des betrieblichen Datenschutzbeauftragten steht dem Betriebsrat kein Mitbestimmungsrecht zu. Nur soweit die Bestellung mit einer „Einstellung, Eingruppierung, Umgruppierung und Versetzung“ i. S. v. § 99 Abs. 1 BetrVG einhergeht, kann er in Bezug auf diese, der Bestellung zugrunde liegende Maßnahme ein Mitbestimmungsrecht geltend machen. Die Bestellung des Datenschutzbeauftragten ist hingegen mitbestimmungsfrei. Jedoch kann der Betriebsrat gem. § 99 Abs. 2 Nr. 1 BetrVG seine Zustimmung zu der zugrunde liegenden Einstellung bzw. Versetzung des Datenschutzbeauftragten verweigern, wenn dieser die Voraussetzungen des Art. 37 Abs. 5 DSGVO, der besondere Anforderungen an die Person des Datenschutzbeauftragten normiert, nicht erfüllt. Denn genügt der Datenschutzbeauftragte diesen Voraussetzungen nicht, so kann er seine Tätigkeit nicht ausüben und verletzt dadurch seine Pflichten aus dem zugrunde liegenden Arbeitsbzw. Dienstverhältnis. Ein Mitbestimmungsrecht hinsichtlich der Bestellung des Datenschutzbeauftragten steht dem Betriebsrat allerdings nicht zu und kann ihm auch nicht durch freiwillige Betriebsvereinbarung eingeräumt werden. Nicht zum Datenschutzbeauftragten kann eine Person bestellt werden, die zugleich Mitglied des Betriebsrats ist. Denn der Datenschutzbeauftragte darf gem. Art. 36 Abs. 6 DSGVO nur dann zusätzliche Aufgaben wahrnehmen, wenn diese nicht zu einem Interessenkonflikt führen, sodass die objektive Wahrnehmung seiner Aufgaben gewähr-
298
E. Verantwortung des Betriebsrats im Rahmen des Datenschutzrechts
leistet bleibt. Ist der Datenschutzbeauftragte auch Betriebsratsmitglied, so kann indes nicht ausgeschlossen werden, dass er das Wohl der Arbeitnehmer auch in seiner Eigenschaft als Datenschutzbeauftragter in den Fokus seiner Tätigkeit rückt und bereit ist, beim Datenschutzniveau im Betrieb Abstriche zu machen, um an anderer Stelle ein Entgegenkommen des Arbeitgebers zu erreichen. Zudem wird ein Datenschutzbeauftragter, der zugleich Mitglied des Betriebsrats ist, unter Umständen gezwungen sein, Datenverarbeitungsvorgänge des Betriebsrats zu überprüfen, die er selbst zu verantworten hat – eine objektive Amtsausübung kann hier kaum gewährleistet werden. Daher sind beide Ämter generell unvereinbar.
V. Ein letztes Zwischenergebnis Verarbeitet der Betriebsrat personenbezogene Daten der Beschäftigten, so wird er selbst zur Gefahr für die Persönlichkeitsrechte der Arbeitnehmer. Dabei ist er jedoch datenschutzrechtlich nicht Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO, sondern ist dem Arbeitgeber als seinerseits verantwortliche Stelle zuzuordnen. Denn Verantwortlicher kann nur sein, wer eigenständig über Zwecke und Mittel der Verarbeitung entscheidet. Diese Voraussetzung erfüllt der Betriebsrat jedoch nicht, da sowohl die Zweckrichtung als auch die Mittel etwaiger durch ihn vorgenommener Datenverarbeitungsvorgänge durch das BetrVG vorgezeichnet werden. Zudem würde die Einordnung des Betriebsrats als Verantwortlicher dazu führen, dass die Sanktionstatbestände der DSGVO – die als Adressaten eben den Verantwortlichen benennen – in Folge der Rechts- und Vermögenslosigkeit des Betriebsrats leerliefen. Folge dieser Einordnung ist zugleich, dass der Arbeitgeber für datenschutzwidriges Verhalten des Betriebsrats auf Grundlage von Art. 82 Abs. 1 DSGVO, Art. 83 DSGVO sowie §§ 42, 43 BDSG in Anspruch genommen werden kann. Eine Haftung des Betriebsratsgremiums scheidet hingegen wegen seiner fehlenden Rechts- und Vermögensfähigkeit aus. Denkbar bleibt aber eine Inanspruchnahme der einzelnen Betriebsratsmitglieder. Zwar sind auch sie datenschutzrechtlich nicht selbst Verantwortliche, allerdings bleibt eine deliktische Haftung auf Grundlage von § 823 Abs. 1, Abs. 2 BGB und § 826 BGB möglich. Zudem kann der für Datenschutzverstöße des Betriebsrats in Anspruch genommene Arbeitgeber bei den einzelnen Betriebsratsmitgliedern nach den allgemeinen nationalen Haftungsregeln Regress nehmen. Dennoch unterliegt auch die Verarbeitung personenbezogener Beschäftigtendaten durch den Betriebsrat Grenzen. So muss sich jeder Verarbeitungsvorgang auf einen datenschutzrechtlichen Erlaubnistatbestand stützen können. In Betracht kommen dabei insbesondere § 26 Abs. 1 S. 1 BDSG, § 26 Abs. 3 S. 1 BDSG, die bereichsspezifischen Regelungen des § 80 Abs. 2 S. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG sowie die in datenschutzrechtlichen Betriebsvereinbarungen enthaltenen Rechtfertigungstatbestände. Sämtlichen Tatbeständen gemein sind zwei Grundvoraussetzungen: Die Datenverarbeitung muss in Bezug zu einer dem Be-
V. Ein letztes Zwischenergebnis
299
triebsrat zugewiesenen Aufgabe stehen und zu deren Erfüllung sowohl in betriebsverfassungsrechtlicher als auch in datenschutzrechtlicher Hinsicht erforderlich sein. Indes stimmen betriebsverfassungsrechtliche und datenschutzrechtliche Erforderlichkeit keineswegs überein. Während Erstere nur voraussetzt, dass die Information zur Erfüllung der jeweiligen Aufgabe mit gewisser Wahrscheinlichkeit notwendig ist, erfordert Letztere eine umfassende Abwägung der widerstreitenden Interessen. Nur soweit beide Voraussetzungen erfüllt sind, kann die Datenverarbeitung überhaupt gerechtfertigt sein. Dabei ist die betriebsverfassungsrechtliche Erforderlichkeit notwendige, nicht aber hinreichende Voraussetzung für die Rechtmäßigkeit eines Datenverarbeitungsvorgangs. Infolgedessen kann das Datenschutzrecht Einschränkungen und Modifikationen der dem Betriebsrat zustehenden Rechte begründen. Das Verhältnis von Betriebsrat und betrieblichem Datenschutzbeauftragten ist durch die gemeinsame Aufgabe, die Einhaltung des Beschäftigtendatenschutzes zu überwachen, geprägt. Für den Betriebsrat bilden die Arbeitnehmerinteressen den Ausgangspunkt seines Handelns, während der Datenschutzbeauftragte sämtliche im Betrieb bestehende Belange gleichermaßen zu berücksichtigen hat. Auf Grundlage von Art. 39 Abs. 1 lit. b DSGVO kann der Datenschutzbeauftragte die Datenverarbeitung des Betriebsrats überprüfen, der jedoch umgekehrt nicht die Tätigkeit des Datenschutzbeauftragten überwachen darf. Bei der Bestellung des Datenschutzbeauftragten steht dem Betriebsrat kein Mitbestimmungsrecht zu. Zudem kann ein Mitglied des Betriebsrats nicht zugleich Datenschutzbeauftragter sein, da es ihm in einem solchen Fall kaum möglich ist, die Datenverarbeitungsvorgänge des Betriebsrats tatsächlich objektiv zu überprüfen.
F. Thesenartige Zusammenfassung der Ergebnisse 1.
Der Beschäftigtendatenschutz hat keine einheitliche, sondern vielmehr nur eine fragmentarische Kodifikation erfahren. Grundsätzlich findet die DSGVO auch auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext Anwendung, jedoch enthält sie – abgesehen von der Öffnungsklausel des Art. 88 Abs. 1 DSGVO – inhaltlich keine spezifisch auf dieses Gebiet zugeschnittenen Regelungen. Auch § 26 BDSG hält nur eine spärliche Normierung des Beschäftigtendatenschutzes bereit, sodass der Rückgriff auf bereichsspezifische Regelungen unausweichlich ist. Besondere Bedeutung erlangt hierbei das Betriebsverfassungsrecht, das jedoch wiederum keine spezifisch auf den kollektiven Beschäftigtendatenschutz zugeschnittenen Vorschriften enthält.
2.
Datenschutzrechtliche Relevanz erlangen betriebsverfassungsrechtliche Normen, sofern sie die Verarbeitung personenbezogener Daten unmittelbar regeln oder diese jedenfalls voraussetzen. Zudem können auf Grundlage von Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG Betriebsvereinbarungen zur Rechtsquelle für den Beschäftigtendatenschutz werden.
3.
Die Vorschriften des BDSG gehen denen der DSGVO vor, soweit sie sich innerhalb des durch Art. 88 DSGVO abgesteckten Rahmens halten. Zwar genießt die DSGVO grundsätzlich Anwendungsvorrang gegenüber nationalen Rechtsvorschriften, dieser wird für den Beschäftigtendatenschutz jedoch durch die in Art. 88 Abs. 1 DSGVO enthaltene Öffnungsklausel gelockert.
4.
Das BetrVG kann demgegenüber im Verhältnis zur DSGVO keine Vorrangstellung beanspruchen. Seine Regelungen dienen nicht der Ausgestaltung von Art. 88 Abs. 1 DSGVO, da Regelungsgrund des Betriebsverfassungsrecht die aktive Teilhabe an betrieblichen Entscheidungsprozessen ist, wohingegen das Beschäftigtendatenschutzrecht auf den Persönlichkeitsschutz der Arbeitnehmer abzielt.
5.
Bedeutung für den Beschäftigtendatenschutz kann das BetrVG dennoch erlangen, soweit einzelne Normen der DSGVO hinter den Vorschriften des BDSG zurücktreten. Bestehen bleibt ein Konkurrenzverhältnis zwischen den Regelungen von BetrVG und BDSG, das durch die nationale Kollisionsregel des § 1 Abs. 2 BDSG aufgelöst wird.
6.
Einzelne Vorschriften des BetrVG genießen auf Grundlage von § 1 Abs. 2 BDSG Vorrang gegenüber einzelnen Vorschriften des BDSG, sofern sie denselben Datenverarbeitungsvorgang betreffen wie die konkurrierende Norm und
F. Thesenartige Zusammenfassung der Ergebnisse
301
sowohl die Art der zu verarbeitenden Daten als auch den Zweck sowie Art und Weise des Verarbeitungsvorgangs präzise regeln. 7.
Den Anforderungen des § 1 Abs. 2 BDSG genügen § 80 Abs. 2 S. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG. Beide enthalten eigenständige Erlaubnistatbestände, die innerhalb ihres Anwendungsbereichs den Rechtfertigungstatbeständen des § 26 BDSG vorgehen. Darüber hinaus kommt den Verschwiegenheitspflichten des BetrVG gem. § 1 Abs. 2 BDSG subsidiaritätsbegründende Wirkung zu, sodass eine nach dem BetrVG unzulässige Datenverarbeitung nicht durch Rückgriff auf die in § 26 BDSG enthaltenen Erlaubnistatbestände gerechtfertigt werden kann.
8.
Betriebsvereinbarungen können grundsätzlich sowohl Vorrang gegenüber konkurrierenden Vorschriften der DSGVO als auch gegenüber Normen des BDSG beanspruchen, sofern sie nicht den durch das Gesetz zwingend vorgegebenen Regelungsrahmen überschreiten.
9.
Ausgangspunkt der datenschutzrechtlichen Kompetenzen des Betriebsrats ist § 75 Abs. 2 S. 1 BetrVG, der den Beschäftigtendatenschutz zu seiner gesetzlichen Aufgabe macht. Konkrete Handlungsbefugnisse kann er aus der Norm allerdings nicht herleiten.
10. Die Mitbestimmungsrechte des Betriebsrats ermöglichen ihm ein aktives Tätigwerden für den Beschäftigtendatenschutz. Jedenfalls der Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG bezweckt den Persönlichkeitsrechtschutz der Arbeitnehmer, sodass diese Zielsetzung zugleich zur Maxime jedes auf die Vorschrift gestützten Handelns des Betriebsrats wird. Die übrigen Mitbestimmungsrechte zielen hingegen nicht primär auf den Persönlichkeitsschutz ab, weshalb dieser auch nicht alleiniges Leitbild der auf diese Normen gestützten Betriebsratstätigkeit ist. Dennoch begrenzen die Persönlichkeitsrechte der Arbeitnehmer die Betriebsratsarbeit, da er bei der Wahrnehmung sämtlicher Mitbestimmungsrechte an zwingendes höherrangiges Recht gebunden ist. 11. Eine weitere wichtige datenschutzrechtliche Kompetenz des Betriebsrats stellt seine ihm durch § 80 Abs. 1 Nr. 1 BetrVG eingeräumte Überwachungsaufgabe dar. Denn dem Betriebsrat obliegt auf Grundlage dieser Norm die Aufgabe, zu kontrollieren, ob der Arbeitgeber die zugunsten der Arbeitnehmer geltenden Vorgaben des Beschäftigtendatenschutzes einhält, wodurch er die Verarbeitung personenbezogener Beschäftigtendaten seitens des Arbeitgebers am Maßstab des Datenschutzrechts überprüfen kann. 12. Zur Erfüllung seiner Überwachungsaufgabe kann der Betriebsrat Dritte – und damit insbesondere den betrieblichen Datenschutzbeauftragten – hinzuzuziehen. Allerdings muss er zunächst den betriebsinternen Sachverstand ausschöpfen, bevor er externe Dritte konsultieren darf. Daher kann der Betriebsrat auch den externen Datenschutzbeauftragten nur dann auf Grundlage von § 80
302
F. Thesenartige Zusammenfassung der Ergebnisse
Abs. 3 BetrVG als Sachverständigen zu Rate ziehen, wenn er zuvor alle betriebsinternen Erkenntnisquellen erschöpft hat. 13. Auf Grundlage von § 80 Abs. 1 Nr. 1 BetrVG kann der Betriebsrat auch tätig werden, wenn der Arbeitgeber personenbezogene Beschäftigtendaten an einen Auftragsverarbeiter weitergibt, der die Daten nach den Weisungen des Arbeitgebers verarbeitet. Allerdings kann er lediglich die Rechtmäßigkeit der durch den Arbeitgeber an den Auftragsverarbeiter erteilten Weisungen am Maßstab des Datenschutzrechts überprüfen. Ein unmittelbares Kontrollrecht gegenüber dem Auftragsverarbeiter steht ihm nicht zu. 14. Der Betriebsrat darf einen Datenschutzverstoß des Arbeitgebers mit Blick auf das aus § 2 Abs. 1 BetrVG folgende Gebot der vertrauensvollen Zusammenarbeit nur dann bei der Aufsichtsbehörde melden, wenn er zuvor erfolgslos versucht hat, innerbetrieblich Abhilfe zu schaffen. 15. Zudem kann der Betriebsrat auf Grundlage des ihm durch § 80 Abs. 2 S. 1 BetrVG eingeräumten Informationsanspruchs aktiv für den Beschäftigtendatenschutz tätig werden. Die Norm berechtigt ihn, vom Arbeitgeber Auskunft über diejenigen Informationen zu verlangen, die er zur Durchführung seiner betriebsverfassungsrechtlichen Aufgaben benötigt. Möchte er ein datenschutzrechtlich relevantes Mitbestimmungsrecht ausüben oder seine ihm im Verhältnis zum Arbeitgeber zukommende Überwachungsaufgabe wahrnehmen, kann er ein damit korrespondierendes Informationsverlangen auf § 80 Abs. 2 S. 1 BetrVG stützen. Die übrigen Informationsansprüche des BetrVG bezwecken hingegen nicht die Absicherung spezifisch datenschutzrechtlicher Kompetenzen, sodass er auf ihrer Grundlage nicht gezielt für den Beschäftigtendatenschutz tätig werden, sondern allenfalls zufällige Kenntnis von etwaigen Datenschutzverstößen des Arbeitgebers erlangen kann. 16. Eine aktive Mitgestaltung des betrieblichen Datenschutzes ist dem Betriebsrat im Rahmen von Betriebsvereinbarungen möglich. Die den Betriebspartnern auf Grundlage von Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG zukommende Regelungsbefugnis reicht ebenso weit, wie diejenige der Mitgliedstaaten: Sie können eigenständige Erlaubnistatbestände schaffen sowie sämtliche mit der Verarbeitung von Beschäftigtendaten in Zusammenhang stehende Fragen im Hinblick auf die betrieblichen Bedürfnisse ausgestalten. 17. Die Regelungsbefugnis der Betriebspartner findet ihre Grenze nicht nur im Datenschutz-, sondern auch im Betriebsverfassungsrecht. Zwar können sie nach Art. 88 Abs. 1 DSGVO und § 26 Abs. 4, Abs. 8 BDSG Regelungen für „Beschäftigte“ treffen, jedoch ist ihre betriebsverfassungsrechtliche Zuständigkeit gem. § 5 Abs. 1 BetrVG auf den enger zu definierenden Kreis der „Arbeitnehmer“ beschränkt. Damit ergibt sich die personelle Grenze ihrer Regelungskompetenz auf dem Gebiet des Beschäftigtendatenschutzes aus dem BetrVG.
F. Thesenartige Zusammenfassung der Ergebnisse
303
18. In sachlicher Hinsicht können die Betriebspartner Regelungen für Datenverarbeitungen „im Beschäftigungskontext“ (Art. 88 Abs. 1 DSGVO) treffen. Zulässig sind damit Vorschriften hinsichtlich sämtlicher Datenverarbeitungsvorgänge, die in einem irgendwie gearteten Zusammenhang mit dem Beschäftigungsverhältnis stehen. Ausgenommen sind nur Verarbeitungsvorgänge, die keinen Bezug zum Arbeitsverhältnis aufweisen, sodass der Arbeitnehmer seinem Arbeitgeber wie ein beliebiger Dritter gegenübersteht. Keine Beschränkung dieser weiten sachlichen Regelungskompetenz ergibt sich – trotz der missverständlichen Formulierung der Norm – aus § 26 Abs. 4 BDSG. 19. Inhaltliche Grenze der den Betriebspartnern zukommenden Regelungsbefugnis bilden auf Grundlage von § 75 Abs. 2 S. 1 BetrVG das allgemeine Persönlichkeitsrecht der Arbeitnehmer und – soweit dieses eingeschränkt wird – der verfassungsrechtliche Grundsatz der Verhältnismäßigkeit. 20. Eine Betriebsvereinbarung muss gem. Art. 88 Abs. 2 DSGVO „angemessene“ Schutzmaßnahmen für die Persönlichkeitsrechte der Arbeitnehmer vorsehen. Damit eröffnet die Norm – ebenso wie § 75 Abs. 2 S. 1 BetrVG – Raum für eine an den im Einzelfall widerstreitenden Interessen orientierte Verhältnismäßigkeitsprüfung. Die für datenschutzrechtliche Betriebsvereinbarungen geltenden inhaltlichen Maßstäbe des § 75 Abs. 2 S. 1 BetrVG und des Art. 88 Abs. 2 DSGVO decken sich daher weitgehend. 21. Einzelne Aspekte werden von Art. 88 Abs. 2 DSGVO ausdrücklich als regelungsbedürftig benannt. Dies bedeutet indes nicht, dass jede Betriebsvereinbarung sämtliche der aufgezählten Bereiche tatsächlich regeln muss, sondern macht eine Regelung nur notwendig, soweit der jeweilige Gegenstand im Betrieb und für die jeweilige Vereinbarung auch tatsächliche Relevanz hat. 22. Indem Art. 88 Abs. 2 DSGVO die Transparenz der Verarbeitung als regelungsbedürftig hervorhebt, bezweckt die Vorschrift keine inhaltsgleiche Wiederholung der Art. 12 ff. DSGVO. Vielmehr muss die jeweilige Betriebsvereinbarung die gesetzlichen Transparenzvorgaben in Bezug auf die betrieblichen Bedürfnisse konkretisieren und umsetzen. 23. Inhaltliche Grenzen für datenschutzrechtliche Betriebsvereinbarungen ergeben sich auch aus Art. 5 Abs. 1 DSGVO sowie aus Art. 9 DSGVO. Denn Betriebsvereinbarungen dürfen keinesfalls gegen diese Normen verstoßen, müssen aber grundsätzlich auch keine ausdrückliche Regelung im Hinblick auf die genannten Regelungen enthalten. Etwas anderes kann nur im Ausnahmefall gelten, wenn ein Verzicht auf eine entsprechende Regelung zugleich einen Verstoß gegen die gesetzlichen Vorgaben bedeuten würde. 24. Datenschutzrechtliche Betriebsvereinbarungen dürfen das Datenschutzniveau der DSGVO grundsätzlich unterschreiten. Soweit Art. 88 Abs. 1 DSGVO „spezifischere Vorschriften“ fordert, ergibt sich daraus allein, dass die betreffenden Regelungen speziell auf die betrieblichen Bedürfnisse zugeschnitten
304
F. Thesenartige Zusammenfassung der Ergebnisse
sein müssen. Dabei verbleibt Raum für Verbesserungen, aber grundsätzlich auch für Verschlechterungen des gesetzlichen Datenschutzniveaus. Eine Grenze bildet allerdings Art. 88 Abs. 2 DSGVO, der nur „angemessene“ Regelungen zulässt und damit eine am Einzelfall orientierte Interessenabwägung erfordert: Erscheinen die von den Betriebspartnern getroffenen Regelungen in einer Gesamtschau verhältnismäßig, so können auch vereinzelte Unterschreitungen des gesetzlichen Datenschutzniveaus möglich sein – ein erhebliches Zurückbleiben hinter den gesetzlichen Vorgaben scheidet allerdings aus. 25. Der Betriebsrat ist datenschutzrechtlich nicht Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO, sondern dem Arbeitgeber als seinerseits verantwortliche Stelle zuzuordnen. Dies folgt aus einem Blick auf den Zweck der datenschutzrechtlichen Verantwortlichkeit, denn Adressat der Vorschriften der DSGVO – und damit auch ihrer Sanktionstatbestände – ist allein der Verantwortliche. Damit diese effektiv durchgesetzt werden können, müssen sie sich gegen einen tauglichen Anspruchsgegner richten. Der Betriebsrat ist aber grundsätzlich weder rechts- noch vermögensfähig, sodass die Sanktionen der DSGVO leer laufen würden, ordnete man den Betriebsrat als Verantwortlichen ein. Zudem kann Verantwortlicher ausweislich Art. 4 Nr. 7 DSGVO nur sein, wer eigenständig über Zwecke und Mittel der durch ihn vorgenommenen Datenverarbeitungsvorgänge entscheidet. Sowohl Zweckrichtung als auch Mittel der durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgänge werden indes durch das BetrVG vorgezeichnet und unterliegen damit nicht der eigenen Entscheidung des Betriebsrats. 26. Für datenschutzwidriges Verhalten des Betriebsrats haftet der Arbeitgeber als Verantwortlicher auf Grundlage von Art. 82 Abs. 1 DSGVO, Art. 83 DSGVO sowie §§ 42, 43 BDSG. Im Rahmen des durch Art. 82 Abs. 1 DSGVO normierten Schadensersatzanspruchs steht ihm keine Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO zu. Demgegenüber scheidet eine Haftung des Betriebsratsgremiums wegen seiner fehlenden Rechts- und Vermögensfähigkeit aus. 27. Für datenschutzwidriges Verhalten des Betriebsrats können jedoch die einzelnen Betriebsratsmitglieder in Anspruch genommen werden. Zwar sind sie – soweit sie in Ausübung ihres Amtes tätig werden – nicht Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO, sodass eine Haftung auf Grundlage von Art. 82 Abs. 1 DSGVO, Art. 83 DSGVO und §§ 42, 43 BDSG ausscheidet. Möglich bleibt jedoch eine deliktische Haftung nach § 823 Abs. 1, Abs. 2 BGB und § 826 BGB. Dabei greift im Rahmen von § 823 Abs. 1, Abs. 2 BGB keine Haftungsprivilegierung zugunsten der Betriebsratsmitglieder ein. Zudem kann der für Datenschutzverstöße des Betriebsrats in Anspruch genommene Arbeitgeber bei den einzelnen Betriebsratsmitgliedern nach den allgemeinen nationalen Haftungsregeln Regress nehmen. Diese Möglichkeit wird durch Art. 82 Abs. 5 DSGVO nicht ausgeschlossen.
F. Thesenartige Zusammenfassung der Ergebnisse
305
28. Der Betriebsrat muss jede Verarbeitung personenbezogener Daten auf einen datenschutzrechtlichen Erlaubnistatbestand stützen können. In Betracht kommen dabei insbesondere § 26 Abs. 1 S. 1 BDSG, § 26 Abs. 3 S. 1 BDSG, die bereichsspezifischen Regelungen in § 80 Abs. 2 S. 2 Hs. 2 BetrVG und § 99 Abs. 1 S. 1 BetrVG sowie die in datenschutzrechtlichen Betriebsvereinbarungen enthaltenen Rechtfertigungstatbestände. 29. Sämtlichen Erlaubnistatbeständen gemein sind zwei Grundvoraussetzungen: Die Datenverarbeitung muss in Bezug zu einer dem Betriebsrat zugewiesenen Aufgabe stehen und zu deren Erfüllung sowohl in betriebsverfassungsrechtlicher als auch in datenschutzrechtlicher Hinsicht erforderlich sein. Abhängig vom jeweils einschlägigen Erlaubnistatbestand können zusätzliche Voraussetzungen hinzutreten. 30. Betriebsverfassungsrechtliche und datenschutzrechtliche Erforderlichkeit stimmen nicht überein. Während Erstere nur voraussetzt, dass der Betriebsrat die Information zur Erfüllung der jeweiligen Aufgabe mit gewisser Wahrscheinlichkeit benötigt, erfordert Letztere eine umfassende Abwägung der widerstreitenden Interessen. Nur soweit beide Voraussetzungen erfüllt sind, kann die Datenverarbeitung überhaupt gerechtfertigt sein. Die betriebsverfassungsrechtliche Erforderlichkeit ist notwendige, nicht aber hinreichende Voraussetzung für die Rechtmäßigkeit eines Datenverarbeitungsvorgangs. 31. Die bereichsspezifischen Erlaubnistatbestände des BetrVG sind im Lichte von Art. 88 Abs. 2 DSGVO auszulegen, sodass der in der jeweiligen bereichsspezifischen Regelung enthaltene Erforderlichkeitsbegriff in einem datenschutzrechtlichen Sinne verstanden werden muss. 32. Aufgrund der Diskrepanz von datenschutzrechtlicher und betriebsverfassungsrechtlicher Erforderlichkeit können sich aus dem Datenschutzrecht Einschränkungen und Modifikationen der dem Betriebsrat zustehenden Rechte ergeben. So beschränkt sich sein aus § 80 Abs. 2 S. 2 Hs. 2 BetrVG folgendes Recht auf Einsicht in die im Betrieb geführten Bruttoentgeltlisten grundsätzlich auf anonymisierte oder zumindest pseudonymisierte Listen. Denn für den Betroffenen bedeutet die Offenlegung seines Namens einen erheblichen Eingriff in seine Persönlichkeitsrechte, wohingegen der Betriebsrat die ihm zukommende Aufgabe, die Einhaltung von Gehaltsgerechtigkeit im Betrieb zu kontrollieren, auch auf Grundlage zensierter Listen erfüllen kann. 33. Verarbeitet der Betriebsrat sensible Daten i. S. v. Art. 9 Abs. 1 DSGVO, so hat er gem. § 26 Abs. 3 S. 3 BDSG i. V. m. § 22 Abs. 2 BDSG besondere Maßnahmen zum Schutz des Betroffenen zu ergreifen. Kommt er dieser Verpflichtung nicht nach, folgt schon daraus die Rechtswidrigkeit der Datenverarbeitung. Daher muss der Arbeitgeber ein Auskunftsverlangen des Betriebsrats ablehnen, wenn er sichere Kenntnis oder zumindest ernstliche, auf konkrete Tatsachen gegründete Zweifel am Bestand entsprechender Schutzmaßnahmen hat.
306
F. Thesenartige Zusammenfassung der Ergebnisse
34. Innerhalb des Betriebsratsgremiums ist die Weitergabe personenbezogener Beschäftigtendaten grundsätzlich zulässig, da die Wahrnehmung betriebsverfassungsrechtlicher Aufgaben regelmäßig dem Betriebsrat als Gremium zugewiesen ist und somit auch für die Informationsweitergabe an andere Betriebsratsmitglieder der notwendige Aufgabenbezug besteht. Die Weitergabe ist nur dann nicht erforderlich, wenn der Zweck des Beteiligungsrechts nicht erfordert, den gesamten Betriebsrat an der jeweiligen Maßnahme zu beteiligen. 35. Das Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat ist durch die gemeinsame Aufgabe, die Einhaltung des Beschäftigtendatenschutzes zu überwachen, geprägt. Jedoch ist der Betriebsrat darauf beschränkt, die Wahrung der zugunsten der Arbeitnehmer geltenden datenschutzrechtlichen Vorschriften zu überwachen, während der Datenschutzbeauftragte die Einhaltung des gesamten Datenschutzrechts zu kontrollieren hat. 36. Der Datenschutzbeauftragte kann im Rahmen der ihm zukommenden Kontrollaufgabe auch die durch den Betriebsrat vorgenommenen Datenverarbeitungsvorgänge auf ihre datenschutzrechtliche Rechtmäßigkeit überprüfen. Dem steht die dem Betriebsrat durch das BetrVG garantierte Unabhängigkeit nicht entgegen. Denn Art. 39 Abs. 1 lit. b DSGVO räumt dem Datenschutzbeauftragten eine umfassende Überwachungsaufgabe ein, von der auf Grundlage des nationalen Rechts keine Ausnahmen gemacht werden können. 37. Bei der Bestellung des betrieblichen Datenschutzbeauftragten steht dem Betriebsrat weder auf gesetzlicher Grundlage ein Mitbestimmungsrecht zu, noch kann ihm ein solches durch freiwillige Betriebsvereinbarung eingeräumt werden. Nur soweit die Bestellung mit einer Einstellung oder Versetzung i. S. v. § 99 Abs. 1 BetrVG einhergeht, kann er in Bezug auf diese, der Bestellung zugrunde liegende Maßnahme ein Mitbestimmungsrecht geltend machen. Die Zustimmung zu der Einstellung bzw. Versetzung kann er gem. § 99 Abs. 2 Nr. 1 BetrVG verweigern, wenn die in Aussicht genommene Person die Voraussetzungen des Art. 37 Abs. 5 DSGVO, der besondere Anforderungen an die Qualifikation des Datenschutzbeauftragten normiert, nicht erfüllt. 38. Da Art. 36 Abs. 6 DSGVO eine objektive Amtsausübung fordert, kann eine Person nicht zum Datenschutzbeauftragten bestellt werden, wenn sie zugleich Mitglied des Betriebsrats ist. Denn in einem solchen Fall wird sie unter Umständen gezwungen sein, Datenverarbeitungsvorgänge des Betriebsrats zu überprüfen, die sie selbst zu verantworten hat.
Literaturverzeichnis Albrecht, Jan Philipp, Die EU-Datenschutzgrundverordnung rettet die informationelle Selbstbestimmung! Ein Zwischenruf für einen einheitlichen Datenschutz durch die EU, ZD 2013, S. 587 – 591 Althoff, Lars, Die Rolle des Betriebsrats im Zusammenhang mit der EU-Datenschutzgrundverordnung, ArbRAktuell 2018, S. 414 – 417 Aßmus, Ubbo, Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten? Unabhängigkeit der Kontrolle und Alternativen zur bestehenden Rechtslage, ZD 2011, S. 27 – 31 Auer-Reinsdorff, Astrid von/Conrad, Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 3. Aufl., München 2019 Bauer, Jobst-Hubertus/Willemsen, Eva Maria, Der (partei)politische Betriebsrat, NZA 2010, S. 1089 – 1095 Baumgartner, Ulrich/Hansch, Guido, Der betriebliche Datenschutzbeauftragte, Best Practices und offene Fragen, ZD 2019, S. 99 – 103 Belling, Detlev W., Die Haftung des Betriebsrats und seiner Mitglieder für Pflichtverletzungen, Tübingen 1990 Benkert, Daniel, Beschäftigtendatenschutz in der DS-GVO-Welt, NJW-Spezial 2018, S. 562 – 563 Bissels, Alexander/Meyer-Michaelis, Isabel/Schiller, Jan, Arbeiten 4.0: Big Data-Analysen im Personalbereich, DB 2016, S. 3042 – 3049 Böhm, Wolf-Tassilo, Einblicksrecht des Betriebsrats in Bruttoentgeltlisten, NZA-RR 2019, S. 531 – 532 Bommer, Julia, Chancen im Arbeitnehmerdatenschutz erkennen und nutzen, Gemeinsames Ziel von betrieblichen Datenschutzbeauftragten und Betriebsräten, ZD 2015, S. 123 – 125 Bott, Ingo/Vogel, Jan-Patrick, Sanktionen gegen Betriebsrat und Betriebsratsmitglieder nach der DSGVO?, BB 2019, S. 2100 – 2102 Brams, Isabelle/Möhle, Jan-Peter, Die Stellung des Betriebsrats unter der DS-GVO, Erwächst aus einer neuen datenschutzrechtlichen Stellung neue Verantwortung?, ZD 2018, S. 570 – 573 Brandt, Jochen, Betriebsvereinbarungen als datenschutzrechtliche „Öffnungsklauseln“?, DuD 2010, S. 213 – 215 Brink, Stefan/Joos, Daniel, Datenschutzrechtliche Verantwortlichkeit der betrieblichen und behördlichen Beschäftigtenvertretungen, NZA 2019, S. 1395 – 1399
308
Literaturverzeichnis
Brink, Stefan/Wolff, Amadeus (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 32. Edition, München 2020/30. Edition, München 2017 (zit.: BeckOK DatenschutzR/Bearbeiter) Bussche, Axel von dem/Zeiter, Anna/Brombach, Till, Die Umsetzung der Vorgaben der EUDatenschutz-Grundverordnung durch Unternehmen, DB 2016, S. 1359 – 1365 Byers, Philipp/Wenzel, Kathrin, Videoüberwachung am Arbeitsplatz nach dem neuen Datenschutzrecht, BB 2017, S. 2036 – 2040 Calliess, Christian/Ruffert, Matthias (Hrsg.), EUV/AEUV, Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 5. Aufl., München 2016 (zit.: Calliess/ Ruffert/Bearbeiter, EUV/AEUV) Conrad, Sebastian, Die Verantwortlichkeit in der Realität – Ist das DS-GVO-Modell noch zeitgemäß?, DuD 2019, S. 563 – 568 Dahl, Holger/Brink, Stefan, Die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung technischer Einrichtungen in der Praxis, NZA 2018, S. 1231 – 1234 Däubler, Wolfgang, Gläserne Belegschaften, Das Handbuch zum Beschäftigtendatenschutz, 8. Aufl., Frankfurt a. M. 2019/6. Aufl., Frankfurt a. M. 2015 (zit.: Däubler, Gläserne Belegschaften) Däubler, Wolfang, Individuum und Kollektiv im Arbeitsrecht, NZA 1988, S. 857 – 866 Däubler, Wolfgang (Hrsg.), Tarifvertragsgesetz, 4. Aufl., Baden-Baden 2016 (zit.: Däubler/ Bearbeiter, TVG) Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter (Hrsg.), Betriebsverfassungsgesetz, 17. Aufl., Frankfurt a. M. 2020 (zit.: DKW/Bearbeiter, BetrVG) Diller, Martin/Powietzka, Arnim, Drogenscreenings und Arbeitsrecht, NZA 2001, S. 1227 – 1233 Dommermuth-Alhäuser, Daniel/Heup, Eva, Haftung des Betriebsrats und seiner Mitglieder, BB 2013, S. 1461 – 1468 Düwell, Franz Josef/Brink, Stefan, Beschäftigtendatenschutz nach der Umsetzung der Datenschutz-Grundverordnung: Viele Änderungen und wenig Neues, NZA 2017, S. 1081 – 1085 Düwell, Franz Josef/Brink, Stefan, Die EU-Datenschutz-Grundverordnung und der Beschäftigtendatenschutz, NZA 2016, S. 665 – 668 Dzida, Boris, Neue datenschutzrechtliche Herausforderungen für das Personalmanagement, BB 2019, S. 3060 – 3067 Dzida, Boris, Der neue Beschäftigtendatenschutz – Erste Erfahrungen aus der Praxis, BB 2018, S. 2677 – 2684 Dzida, Boris/Grau, Timon, Beschäftigtendatenschutz nach der Datenschutzgrundverordnung und dem neuen BDSG, Zehn Fragen aus der Praxis, DB 2018, S. 189 – 194 Dzida, Boris/Kröpelin, Andrea, Kann ein Betriebsratsmitglied zugleich Datenschutzbeauftragter sein?, NZA 2011, S. 1018 – 1021 Ehmann, Eugen/Selmayr, Martin (Hrsg.), Datenschutz-Grundverordnung: DS-GVO, 2. Aufl., München 2018 (zit.: Ehmann/Selmayr/Bearbeiter)
Literaturverzeichnis
309
Ehmann, Horst, Datenschutz und Mitbestimmungsrechte bei der Arbeitnehmer-Datenverarbeitung, NZA 1993, S. 241 – 248 Epping, Volker/Hillgruber, Christian (Hrsg.), Beck’scher Online-Kommentar Grundgesetz, 43. Edition, München 2020 (zit.: BeckOK GG/Bearbeiter) Fischer, Julian, Datenschutzrechtliche Stolperfallen im Arbeitsverhältnis und nach dessen Beendigung. Ein Leitfaden für Arbeitgeber nach der EU-Datenschutzgrundverordnung, NZA 2018, S. 8 – 13 Fitting, Karl (Begr.), Betriebsverfassungsgesetz: BetrVG, 30. Aufl., München 2020 (zit.: Fitting, BetrVG) Fleck, Ulrike, Brauchen wir ein Arbeitnehmerdatenschutzgesetz?, BB 2003, S. 306 – 310 Forgó, Nikolaus/Helfrich, Markus/Schneider, Jochen (Hrsg.), Betrieblicher Datenschutz, Rechtshandbuch, 3. Aufl., München 2019/2. Aufl., München 2017 (zit.: Forgó/Helfrich/ Schneider/Bearbeiter) Forst, Gerrit, Wie viel Arbeitnehmerdatenschutz erlaubt die EG-Datenschutzrichtlinie?, RDV 2010, S. 150 – 155 Franck, Lorenz, Altverhältnisse unter DS-GVO und neuem BDSG, Anwendung des neuen Datenschutzrechts auf bereits laufende Datenverarbeitungen?, ZD 2017, S. 509 – 513 Franck, Lorenz/Reif, Yvette, Pluralistische Datenschutzkontrolle, Datenschutzbeauftragte, Stellvertreter, Hilfspersonal und mehr, ZD 2015, S. 405 – 409 Franzen, Martin, Datenschutz-Grundverordnung und Arbeitsrecht, EuzA 2017, S. 313 – 351 Franzen, Martin/Gallner, Inken/Oetker, Hartmut (Hrsg.), Kommentar zum europäischen Arbeitsrecht, 3. Aufl., München 2020 Freckmann, Anke/Störing, Marc/Müller, Katharina, Bisherige und zukünftige Bedeutung der Betriebsvereinbarung im Datenschutz verkannt, BB 2011, S. 2549 – 2552 Fuhlrott, Michael, Mitbestimmungsrechte bei arbeitgeberseitiger Social Media-Nutzung, ArbRAktuell 2019, S. 90 – 92 Fuhlrott, Michael, Wahrung von Datenschutzstandards als Voraussetzung arbeitgeberseitiger Betriebsratsinformation, ArbRAktuell 2019, S. 408 – 410 Fuhlrott, Michael/Oltmanns, Sönke, Arbeitnehmerüberwachung und interne Ermittlungen im Lichte der Datenschutz-Grundverordnung, NZA 2019, S. 1105 – 1110 Galperin, Hans/Löwisch, Manfred (Hrsg.), Kommentar zum Betriebsverfassungsgesetz, 6. Aufl., Heidelberg 1982 (zit.: Galperin/Löwisch, BetrVG). Gersdorf, Hubertus/Paal, Boris P. (Hrsg.), Beck’scher Online-Kommentar Informations- und Medienrecht, 28. Edition, München 2020 (zit.: BeckOK InfoMedienR/Bearbeiter) Gola, Peter, Handbuch Beschäftigtendatenschutz – aktuelle Rechtsfragen und Umsetzungshilfen, 8. Aufl., Frechen 2019 (zit.: Gola, HdB Beschäftigtendatenschutz) Gola, Peter, Der „neue“ Beschäftigtendatenschutz nach § 26 BDSG n. F., BB 2017, S. 1462 – 1472 Gola, Peter (Hrsg.), Datenschutz-Grundverordnung: DS-GVO, 2. Aufl., München 2018 (zit.: Gola/Bearbeiter)
310
Literaturverzeichnis
Gola, Peter/Heckmann, Dirk (Hrsg.), Bundesdatenschutzgesetz, 13. Aufl., München 2019 (zit.: Gola/Heckmann/Bearbeiter) Gola, Peter/Klug, Christoph, Die Entwicklung des Datenschutzrechts im zweiten Halbjahr 2017, NJW 2018, S. 674 – 678 Gola, Peter/Pötters, Stephan, Die Verarbeitung von Beschäftigtendaten im Rahmen betriebsverfassungsrechtlicher Aufgaben nach § 26 Abs. 1 S. 1 BDSG n. F., RDV 2017, S. 111 – 116 Gola, Peter/Pötters, Stephan/Thüsing, Gregor, Art. 82 DSGVO: Öffnungsklausel für nationale Regelungen zum Beschäftigtendatenschutz – Warum der deutsche Gesetzgeber jetzt handeln muss, RDV 2016, S. 57 – 61 Gola, Peter/Schomerus, Rudolf (Hrsg.), Bundesdatenschutzgesetz, 12. Aufl., München 2015 (zit: Gola/Schomerus/Bearbeiter) Göpfert, Burkard/Meyer, Stephan T., Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, S. 486 – 493 Götz, Thomas, Big Data im Personalmanagement – Datenschutzrecht und betriebliche Mitbestimmung, Baden-Baden 2020 (zit.: Götz, Big Data im Personalmanagement) Grabenwarter, Christoph/Pabel, Katharina, Europäische Menschenrechtskonvention, 6. Aufl., München 2016 (zit.: Grabenwarter/Pabel, EMRK) Greiner, Stefan/Senk, Clara, Der Datenschutzbeauftragte und sein Schutz vor Benachteiligung, Abberufung und Kündigung – Ein Wegweiser durch DS-GVO und BDSG, NZA 2020, S. 201 – 209 Greßlin, Martin, Umgang mit Bewerberdaten – was geht und was geht nicht?, BB 2015, S. 117 – 122 Greve, Holger, Das neue Bundesdatenschutzgesetz, NVwZ 2017, S. 737 – 744 Grimm, Detlef, Die „Rahmenbetriebsvereinbarung-DSGVO“ als Mittel zur Umsetzung der neuen Datenschutzvorgaben – Teil 1, Gestaltungsgrundsätze und rechtlicher Rahmen, ArbRB 2018, S. 78 – 82 Grimm, Detlef/Göbel, Malte, Das Arbeitnehmerdatenschutzrecht in der DSGVO und dem BDSG neuer Fassung, jM 2018, S. 278 – 285 Grimm, Detlef/Schiefer, Jennifer, Videoüberwachung am Arbeitsplatz, RdA 2009, S. 329 – 344 Grobys, Marcel, Wir brauchen ein Arbeitnehmerdatenschutzgesetz!, BB 2003, S. 682 – 683 Gundelach, Lasse, Die datenschutzrechtliche Zulässigkeit von anlasslosen automatisierten Anti-Terror-Mitarbeiterscreenings, NZA 2018, S. 1606 – 1607 Gurlit, Elke, Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, NJW 2010, S. 1035 – 1041 Hamann, Christian/Wegmann, Simon Clemens, Ein Jahr DS-GVO – einige Erkenntnisse und viele offene Fragen, BB 2019, S. 1347 – 1354 Hanau, Peter, Repräsentation des Arbeitgebers und der leitenden Angestellten durch den Betriebsrat?, RdA 1979, S. 324 – 331 Haußmann, Katrin/Brauneisen, Kai, Bestehende IT-Betriebsvereinbarungen – welchen Renovierungsbedarf bringt das neue Datenschutzrecht?, BB 2017, S. 3065 – 3067
Literaturverzeichnis
311
Heberlein, Horst, Der Datenschutzbeauftragte – ein Kernelement der Datenschutz-Grundverordnung, jM 2019, S. 19 – 26 Henssler, Martin, Generalbericht zum Deutschen Arbeitsrechtstag, NZA-Beilage 2018, S. 31 – 43 Herfurth, Constantin, Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO, Nachvollziehbare Ergebnisse anhand von 15 Kriterien mit dem sog. ,,3x5-Modell“, ZD 2018, S. 514 – 520 Hess, Harald/Worzalla, Michael/Glock, Dirk/Nicolai, Andrea/Rose, Franz-Josef/Huke, Kristina, Kommentar zum Betriebsverfassungsgesetz: BetrVG, 10. Aufl., Köln 2018 (zit.: HWGNRH/Bearbeiter, BetrVG) Hitzelberger-Kijima, Yukiko, Datenschutzgrundverordnung und Arbeitnehmervertretung, öAT 2018, S. 136 – 139 Hoyningen-Huene, Gerrick v., Betriebsverfassungsrecht, 6. Aufl., München 2007 Hoyningen-Huene, Gerrick v., Datenüberwachung durch Betriebsrat und Datenschutzbeauftragten, NZA Beilage 1/1985, S. 19 – 24 Hueck, Alfred/Nipperdey, Hans Carl, Lehrbuch des Arbeitsrechts Band II, 2. Halbband, 7. Aufl., Berlin und Frankfurt a. M. 1970 (zit.: Hueck/Nipperdey, II/2) Jarass, Hans, Charta der Grundrechte der Europäischen Union: GRCh, 3. Aufl., München 2016 (zit.: Jarass, EU-GRCh) Jaspers, Andreas/Reif, Yvette, Der Datenschutzbeauftrage nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben, RDV 2016, S. 61 – 68 Jaspers, Andreas/Reif, Yvette, Der betriebliche Datenschutzbeauftragte nach der geplanten EU-Datenschutz-Grundverordnung – ein Vergleich mit dem BDSG, RDV 2012, S. 78 – 84 Jerchel, Kerstin/Schubert, Jens M., Neustart im Datenschutz für Beschäftigte, Möglichkeit von Kollektivvereinbarungen zur Regelung des Datenschutzes nach der DS-GVO, DuD 2016, S. 782 – 786 Jordan, Christopher/Bissels, Alexander/Löw, Christine, Ist der Betriebsrat zur Speicherung von Arbeitnehmerdaten berechtigt? Arbeitnehmerdatenschutz aus einem anderen Blickwinkel, BB 2010, S. 2889 – 2894 Joussen, Jacob, Weitergabe BEM-relevanter Daten durch den Arbeitgeber an den Betriebsrat, Datenschutzrechtliche Vorgaben und Grenzen beim Betrieblichen Eingliederungsmanagement, ZD 2013, S. 546 – 550 Joussen, Jacob, Die Zulässigkeit von vorbeugenden Torkontrollen nach dem neuen BDSG, NZA 2010, S. 254 – 259 Jung, Alexander/Hansch, Guido, Die Verantwortlichkeit in der DS-GVO und ihre praktischen Auswirkungen, Hinweis zur Umsetzung im Konzern- oder Unternehmensumfeld, ZD 2019, S. 143 – 148 Kiel, Heinrich/Lunk, Stefan/Oetker, Hartmut (Hrsg.), Münchener Handbuch zum Arbeitsrecht, Band I, 4. Aufl., München 2019/Band III, 4. Aufl., München 2019/Band IV, 4. Aufl., München 2018 (zit.: MHdB ArbR/Bearbeiter) Kirsch, Marcus, Kann der Schutz des BDSG durch Betriebsvereinbarungen unterschritten werden?, MMR-Aktuell, 2011, 317362
312
Literaturverzeichnis
Kleinebrink, Wolfgang, Der allgemeine Auskunftsanspruch des Betriebsrats bei sensitiven Daten, Betriebsverfassungsrechtliche und datenschutzrechtliche Grenzen, DB 2019, S. 2577 – 2582 Klocke, Daniel, Tarifverträge und Datenschutz: neue Perspektiven durch § 26 Abs. 4 BDSGneu?, ZTR 2018, S. 116 – 121 Klösel, Daniel/Mahnhold, Thilo, Die Zukunft der datenschutzrechtlichen Betriebsvereinbarung, Mindestanforderungen und betriebliche Ermessensspielräume nach DS-GVO und BDSG n. F., NZA 2017, S. 1428 – 1433 Klug, Christoph, Der Datenschutzbeauftragte in der EU, Maßgaben der Datenschutzgrundverordnung, ZD 2016, S. 315 – 319 Kohte, Wolfhard, Arbeitnehmerdatenschutz – Arbeitszeitschutz, jurisPR-ArbR 22/2003 Anm. 1 Koreng, Ansgar/Lachenmann, Matthias (Hrsg.), Formularhandbuch Datenschutzrecht, 2. Aufl., München 2018 (zit.: Koreng/Lachenmann/Bearbeiter, Formularhandbuch) Körner, Marita, Beschäftigtendatenschutz in Betriebsvereinbarungen unter der Geltung der DSGVO, NZA 2019, S. 1389 – 1395 Körner, Marita, Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis, Frankfurt a. M. 2019 Körner, Marita, Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung (DS-GVO), Frankfurt a. M. 2017 (zit.: Körner, Wirksamer Beschäftigtendatenschutz im Lichte der DSGVO) Körner, Marita, Die Datenschutz-Grundverordnung und nationale Regelungsmöglichkeiten für Beschäftigtendatenschutz, NZA 2016, S. 1383 – 1386 Kort, Michael, Schweigepflicht eines beim BEM-Gespräch hinzugezogenen Betriebsratsmitglieds, NZA 2019, S. 502 – 505 Kort, Michael, Die Bedeutung der neueren arbeitsrechtlichen Rechtsprechung für das Verständnis des neuen Beschäftigtendatenschutzes, NZA 2018, S. 1097 – 1105 Kort, Michael, Neuere Rechtsprechung zum Beschäftigtendatenschutz, NZA-RR 2018, S. 449 – 460 Kort, Michael, Neuer Beschäftigtendatenschutz und Industrie 4.0, Grenzen einer „Rundumüberwachung“ angesichts der Rechtsprechung, der DSGVO und des BDSG n. F., RdA 2018, S. 24 – 33 Kort, Michael, Der Beschäftigtendatenschutz gem. § 26 BDSG-neu, Ist die Ausfüllung der Öffnungsklausel des Art. 88 DS-GVO geglückt?, ZD 2017, S. 319 – 323 Kort, Michael, Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO? Die zukünftige Rolle der Institutionen rund um den Beschäftigtendatenschutz, ZD 2017, S. 3 – 7 Kort, Michael, Arbeitnehmerdatenschutz gemäß der EU-Datenschutz-Grundverordnung, DB 2016, S. 711 – 716 Kort, Michael, Betriebsrat und Arbeitnehmerdatenschutz, Rechte der Interessenvertretung bei datenschutzrechtlich relevanten Maßnahmen des Arbeitgebers, ZD 2016, S. 3 – 9
Literaturverzeichnis
313
Kort, Michael, Die Zukunft des deutschen Beschäftigtendatenschutzes, Erfüllung der Vorgaben der DS-GVO, ZD 2016, S. 555 – 560 Kort, Michael, Das Dreiecksverhältnis von Betriebsrat, betrieblichem Datenschutzbeauftragten und Aufsichtsbehörde beim Arbeitnehmer-Datenschutz, NZA 2015, S. 1345 – 1352 Kort, Michael, Rechte des Betriebsrats auf Daten der elektronischen Personalakte, Aufgabenerfüllung der Personalvertretung und Arbeitnehmerdatenschutz, ZD 2015, S. 3 – 6 Kort, Michael, Die Stellung des Betriebsrats im System des Beschäftigtendatenschutzes, RDV 2012, S. 8 – 17 Kort, Michael, Schranken des Anspruchs des Betriebsrats auf Information gem. § 80 BetrVG über Personaldaten der Arbeitnehmer, NZA 2010, S. 1267 – 1272 Kort, Michael, Die Auswirkungen des neuen Bundesdatenschutzgesetzes auf die Mitbestimmung im Arbeitsrecht, RdA 1992, S. 378 – 386 Kramer, Stefan (Hrsg.), IT-Arbeitsrecht, Digitalisierte Unternehmen: Herausforderungen und Lösungen, 2. Aufl., München 2019 (zit.: Kramer/Bearbeiter, IT-Arbeitsrecht) Kranig, Thomas/Wybitul, Tim/Zimmer-Helfrich, Anke, Sind Betriebsräte für den Datenschutz selbst verantwortlich?, ZD 2019, S. 1 – 3 Kurzböck, Christoph/Weinbeck, Kathrin, Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, BB 2020, S. 500 – 503 Kurzböck, Christoph/Weinbeck, Kathrin, DSGVO-Verstöße im Betriebsratsbüro – wer haftet?, BB 2018, S. 1652 – 1655 Kühling, Jürgen, Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unternehmen, NJW 2017, S. 1985 – 1990 Kühling, Jürgen/Buchner, Benedikt (Hrsg.), Datenschutz-Grundverordnung, Bundesdatenschutzgesetz: DS-GVO/BDSG, 2. Aufl., München 2018 (zit.: Kühling/Buchner/Bearbeiter) Kühling, Jürgen/Sackmann, Florian, Datenschutzordnung 2018 – nach der Reform ist vor der Reform?!, NVwZ 2018, S. 681 – 686 Küttner, Wolfdieter (Begr.), Personalbuch 2020, 27. Aufl., München 2020 (zit.: Küttner/Bearbeiter, Personalbuch) Lelley, Jan Tibor/Bruck, Julia M./Yildiz, Semican, Reden ist Silber – Schweigen ist Gold? Aufgaben und Informationsrecht des Betriebsrats nach § 80 BetrVG, BB 2018, S. 2164 – 2173 Lerch, Sascha/Weinbrenner, Lars, Vertragliche Ausweitung von Mitbestimmungsrechten des Betriebsrats, NZA 2011, S. 664 – 670 Linnenkohl, Karl, Datenschutz und Tätigkeit des Betriebsrats – Verarbeitung personenbezogener Arbeitnehmerdaten durch den Betriebsrat, NJW 1981, S. 202 – 207 Linnenkohl, Karl/Rauschenberg, Jürgen/Schulz, Regina, Auf dem Wege zu einem „kollektiven Datenschutz“?, Gedanken zum Beschluß des Bundesarbeitsgerichts vom 27. Mai 1986 über die Mitbestimmung bei Telefondatenerfassung, BB 1987, S. 1454 – 1456 Linsenmaier, Wolfgang, Arbeitsvertrag und Betriebsvereinbarung – Kompetenz und Konkurrenz, RdA 2014, S. 336 – 345
314
Literaturverzeichnis
Linsenmaier, Wolfgang, Normsetzung der Betriebsparteien und Individualrechte der Arbeitnehmer, RdA 2008, S. 1 – 13 Lücke, Oliver, Die Betriebsverfassung in Zeiten der DS-GVO, „Bermuda-Dreieck“ zwischen Arbeitgeber, Betriebsräten und Datenschutzbeauftragten!?, NZA 2019, S. 658 – 670 Lunk, Stefan/Rodenbusch, Vincent, Die Haftung des Betriebsrats und seiner Mitglieder, Eine Kritik am Haftungsmodell des BGH, NJW 2014, S. 1989 – 1994 Marschall, Kevin/Müller, Pinkas, Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DS-GVO, ZD 2016, S. 415 – 420 Martini, Mario/Botta, Jonas, Iron Man am Arbeitsplatz? – Exoskelette zwischen Effizienzstreben, Daten- und Gesundheitsschutz, Chancen und Risiken der Verschmelzung von Mensch und Maschine in der Industrie 4.0, NZA 2018, S. 625 – 637 Maschmann, Frank, Verarbeitung personenbezogener Entgeltdaten und neuer Datenschutz, BB 2019, S. 628 – 636 Maschmann, Frank, Führung und Mitarbeiterkontrolle nach neuem Datenschutzrecht, NZABeilage 2018, S. 115 – 124 Maschmann, Frank, Datenschutzgrundverordnung: Quo vadis Beschäftigtendatenschutz? Vorgaben der EU-Datenschutzgrundverordnung für das nationale Recht, DB 2016, S. 2480 – 2486 Maunz, Theodor/Dürig, Günter (Begr.), Grundgesetz Kommentar, 90. Ergänzungslieferung, München 2020 (zit.: Maunz/Dürig/Bearbeiter, GG) Mester, Britta, Arbeitnehmerdatenschutz, Notwendigkeit und Inhalt einer gesetzlichen Regelung, Oldenburg 2008 (zit.: Mester, Arbeitnehmerdatenschutz) Möllenkamp, Olaf, Auskunftsanspruch des Betriebsrats über geleistete Sonderzahlungen, Anmerkung zu LAG Hessen, Beschl. v. 10.12.2018 – 16 TaBV 130/18, NZA-RR 2019, S. 198 – 199 Monreal, Manfred, „Der für die Verarbeitung Verantwortliche“ – das unbekannte Wesen des deutschen Datenschutzrechts, Mögliche Konsequenzen aus einem deutschen Missverständnis, ZD 2014, S. 611 – 616 Morasch, Olga, Datenverarbeitung im Beschäftigungskontext, Zur Reichweite der Öffnungsklausel nach Art. 88 DSGVO, Baden-Baden 2019 (zit.: Morasch, Datenverarbeitung im Beschäftigungskontext) Müller-Glöge, Rudi/Preis, Ulrich/Schmidt, Ingrid (Hrsg.), Erfurter Kommentar zum Arbeitsrecht, 20. Aufl., München 2020/17. Aufl., München 2017 (zit.: ErfK/Bearbeiter) Natzel, Ivo, Hinzuziehung internen wie externen Sachverstands nach dem neuen Betriebsverfassungsgesetz, NZA 2001, S. 872 – 874 Niethammer, Alexander, EuGH: Mitverantwortlichkeit des Betreibers einer Facebook-Fanpage für die Verarbeitung personenbezogener Daten seiner Besucherseite, Anmerkung zu EuGH, Urt. v. 5.6.2018 – C-210/16, BB 2018, S. 1480 – 1487 Niklas, Thomas/Faas, Thomas, Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, NZA 2017, S. 1091 – 1097
Literaturverzeichnis
315
Oetker, Hartmut, Der sachkundige Arbeitnehmer als Auskunftsperson des Betriebsrats, NZA 2003, S. 1233 – 1239 Ottmann, Jan, Beteiligung des Betriebsrates im Einstellungsprozess (Teil 1), ArbRAktuell 2018, S. 493 – 496 Paal, Boris P., Schadensersatzansprüche bei Datenschutzverstößen – Voraussetzungen und Probleme des Art. 82 DS-GVO, MMR 2020, S. 14 – 19 Paal, Boris P./Pauly, Daniel A. (Hrsg.), Datenschutz-Grundverordnung Bundesdatenschutzgesetz: DS-GVO BDSG, 2. Aufl., München 2018 (zit.: Paal/Pauly/Bearbeiter) Pfrang, Sebastian, Die „nicht-dateimäßige“ Verarbeitung von Beschäftigtendaten, DuD 2018, S. 380 – 382 Plath, Kai-Uwe (Hrsg.), DSGVO/BDSG, 3. Aufl., Köln 2018 (zit.: Plath/Bearbeiter) Pötters, Stephan, Grundrechte und Beschäftigtendatenschutz, Baden-Baden 2013 Pötters, Stephan/Gola, Peter, Wer ist datenschutzrechtlich „Verantwortlicher“ im Unternehmen? – Betriebsrat und andere selbstständige Einheiten im Unternehmen als Adressaten des Datenschutzrechts, RDV 2017, S. 279 – 283 Pötters, Stephan/Hansen, Marco, Datenschutzanforderungen an die Betriebsratsarbeit, ArbRAktuell 2020, S. 193 – 196 Raab, Thomas, Rechtsschutz des Arbeitgebers gegen Pflichtverletzungen des Betriebsrats (Teil 1), RdA 2017, S. 288 – 302 Ramrath, Ulrich, Betriebsvereinbarungen über die einvernehmliche Bestellung des „betrieblichen Datenschutzbeauftragten“, RDV 1989, S. 163 – 171 Reinhard, Christian, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, Herbolzheim 2012 Reiserer, Kerstin/Christ, Florian/Heinz, Katharina, Beschäftigten-Datenschutz und EU-Datenschutz-Grundverordnung, Der Countdown ist abgelaufen – Anpassungsbedarf umgesetzt?, DStR 2018, S. 1501 – 1508 Reuter, Dieter, Betriebsräte an die Front? Zur Musterbetriebsvereinbarung der IG Metall über den Einsatz von Leiharbeitnehmern, ZfA 2006, S. 459 – 477 Richardi, Reinhard, Kehrtwende des BAG zum betriebsverfassungsrechtlichen Unterlassungsanspruch des Betriebsrats, NZA 1995, S. 8 – 12 Richardi, Reinhard (Hrsg.), Betriebsverfassungsgesetz, 16. Aufl., München 2018 (zit.: Richardi/Bearbeiter, BetrVG) Rolf, Christian/Siewert, Katharina, Überlegungen zu den Rechtsgrundlagen des künftigen Beschäftigtendatenschutzes, RDV 2017, S. 236 – 239 Rolfs, Christian/Giesen, Richard/Kreikebohm, Ralf/Udsching, Peter, Beck’scher OnlineKommentar Arbeitsrecht, 56. Edition, München 2020 (zit.: BeckOK ArbR/Bearbeiter) Roßnagel, Alexander, Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht, Zur Dogmatik der Datenverarbeitung als Grundrechtseingriff, NJW 2019, S. 1 – 5
316
Literaturverzeichnis
Roßnagel, Alexander, Datenschutzgrundsätze – unverbindliches Programm oder verbindliches Recht? Bedeutung der Grundsätze für die datenschutzrechtliche Praxis, ZD 2018, S. 339 – 344 Roßnagel, Alexander, Das neue Datenschutzrecht, 1. Aufl., Baden-Baden 2017 Roßnagel, Alexander, Gesetzgebung im Rahmen der Datenschutz-Grundverordnung, Aufgaben und Spielräume des deutschen Gesetzgebers?, DuD 2017, S. 277 – 281 Rudolf, Inge, Aufgaben und Stellung des betrieblichen Datenschutzbeauftragten, NZA 1996, S. 296 – 301 Schantz, Peter, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, S. 1841 – 1847 Schantz, Peter/Wolff, Heinrich Amadeus, Das neue Datenschutzrecht, Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017 (zit.: Schantz/Wolff/ Bearbeiter, Das neue Datenschutzrecht) Schaub, Günter (Begr.), Arbeitsrechts-Handbuch, 18. Aufl., München 2019 (zit.: Schaub/Bearbeiter, ArbR Hdb) Schierbaum, Bruno, Betrieblicher Datenschutzbeauftragter und Betriebsrat, Die zwei Akteure des Arbeitnehmer-Datenschutzes, AiB 2001, S. 512 – 524 Schmidt, Maximilian, Datenschutz für „Beschäftigte“ – Grund und Grenzen bereichsspezifischer Regelungen, Baden-Baden 2016 (Schmidt, Datenschutz für „Beschäftigte“) Schmitt, Laura, Die Haftung betriebsverfassungsrechtlicher Gremien und ihrer Mitglieder, Baden-Baden, 2017 Schrey, Joachim/Kielkowski, Jacek, Die datenschutzrechtliche Betriebsvereinbarung in DSGVO und BDSG 2018 – Viel Lärm um Nichts?, BB 2018, S. 629 – 635 Schulz, Tim F., Die Europäische Datenschutz-Grundverordnung, Gesetzliche Änderungen und ihre Auswirkungen auf den Arbeitnehmerdatenschutz/Handlungsbedarf für Unternehmen in Deutschland, ZESAR 2017, S. 270 – 278 Schulze, Marc-Oliver/Helmrich, Christian, Digitale Betriebsratstätigkeit und Datenschutz, ArbRAktuell 2020, S. 253 – 256 Schwartmann, Rolf/Jaspers, Andreas/Thüsing, Gregor/Kugelmann, Dieter (Hrsg.), DS-GVO/ BDSG, 2. Aufl., München 2020/1. Aufl. München 2018 (zit.: Heidelberger Kommentar/ Bearbeiter) Schwarze, Roland, Die Zukunft der Betriebsverfassung, RdA 2019, S. 115 – 121 Seifert, Fedor, Postmortaler Schutz des Persönlichkeitsrechts und Schadensersatz – Zugleich ein Streifzug durch die Geschichte des allgemeinen Persönlichkeitsrechts, NJW 1999, S. 1889 – 1897 Simitis, Spiros, Die informationelle Selbstbestimmung – Grundbedingung einer verfassungskonformen Informationsordnung, NJW 1984, S. 398 – 405 Simitis, Spiros (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zit.: Simitis/ Bearbeiter)
Literaturverzeichnis
317
Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra (Hrsg.), Datenschutzrecht, DSGVO mit BDSG, 1. Aufl., Baden-Baden 2019 (zit.: Simitis/Hornung/Spiecker/Bearbeiter) Simitis, Spiros/Kreuder, Thomas, Betriebsrat und Öffentlichkeit, NZA 1992, S. 1009 – 1015 Sörup, Thorsten/Marquardt, Sabrina, Auswirkungen der EU-Datenschutzgrundverordnung auf die Datenverarbeitung im Beschäftigungskontext, ArbRAktuell 2016, S. 103 – 106 Spindler, Gerald/Schuster, Fabian (Hrsg.), Recht der elektronischen Medien, 4. Aufl., München 2019 (zit.: Spindler/Schuster/Bearbeiter, Recht der elektronischen Medien) Staben, Lisa, Die Datenschutzverantwortlichkeit des Betriebsrats – Ein Beitrag zur Integration von Betriebsverfassungsrecht und Datenschutzrecht unter der DS-GVO, ZfA 2020, S. 287 – 313 Streinz, Rudolf (Hrsg.), EUV/AEUV, Vertrag über die Europäische Union, Vertrag über die Arbeitsweise der Europäischen Union, Charta der Grundrechte der Europäischen Union, 3. Aufl., München 2018 (zit.: Streinz/Bearbeiter, EUV/AEUV) Ströbel, Lukas/Böhm, Wolf-Tassilo/Breunig, Christina/Wybitul, Tim, Beschäftigtendatenschutz und Compliance: Compliance-Kontrollen und interne Ermittlungen nach der EU-Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz, CCZ 2018, S. 14 – 21 Stück, Volker, Betriebsrat oder Geheimrat? Beschäftigtendatenschutz beim Betriebsrat, ZD 2019, S. 256 – 261 Stück, Volker, Datenschutzrechtliche Aspekte einzelner Mitbestimmungsrechte, Umfang und Inhalt, ZD 2019, S. 346 – 351 Stück, Volker, Präventive und repressive Compliance: Datenschutz- und arbeitsrechtliche Aspekte nach DSGVO sowie BDSG 2018, ArbRAktuell 2019, S. 216 – 219 Sydow, Gernot (Hrsg.), Europäische Datenschutzgrundverordnung, Handkommentar, 2. Aufl., Baden-Baden 2018 (zit.: Sydow/Bearbeiter) Taeger, Jürgen/Rose, Edgar, Zum Stand des deutschen und europäischen Beschäftigtendatenschutzes, BB 2016, S. 819 – 831 Thüsing, Gregor, Arbeitnehmerdatenschutz als Aufgabe von Gesetzgebung und Rechtsprechung, RDV 2009, S. 1 – 6 Thüsing, Gregor (Hrsg.), Beschäftigtendatenschutz und Compliance, 2. Aufl., München 2014 (zit.: Thüsing/Bearbeiter, Beschäftigtendatenschutz und Compliance) Thüsing, Gregor/Rombey, Sebastian, Der verdeckte Einsatz von Privatdetektiven zur Kontrolle von Beschäftigten nach dem neuen Datenschutzrecht, NZA 2018, S. 1105 – 1111 Traut, Johannes, Maßgeschneiderte Lösungen durch Kollektivvereinbarungen? Möglichkeiten und Risiken des Art. 88 Abs. 1 DS-GVO, RDV 2016, S. 312 – 319 Trittin, Wolfgang/Fischer, Esther, Datenschutz und Mitbestimmung, Konzernweite Personaldatenverarbeitung und die Zuständigkeit der Arbeitnehmervertretung, NZA 2009, S. 343 – 346 Ulrici, Bernhard, Unterlassungsanspruch bei parteipolitischer Betätigung des Betriebsrats, Anmerkung zu BAG, Beschl. v. 17.3.2010 – 7 ABR 95/08, jurisPR-ArbR 37/2010 Anm. 1
318
Literaturverzeichnis
Venema, Charlotte, Der Anspruch des Betriebsrats auf Hinzuziehung eines Sachverständigen gem. § 80 Abs. 3 BetrVG bei Einsatz von EDV-Anlagen, NZA 1993, S. 252 – 256 Walker, Wolf-Dietrich, Sanktionen und Haftung bei Datenschutzverstößen des Betriebsrats, in: Gallner/Henssler/Eckhoff/Reufels, Dynamisches Recht – Herausforderungen im Arbeitsrecht, Gesellschaftsrecht und Insolvenzrecht, Festschrift für Wilhelm Moll, München 2019, S. 697 – 709 Wagner, Joachim, Betriebsrat und betrieblicher Datenschutzbeauftragter – wer kontrolliert wen?, BB 1993, S. 1729 – 1734 Waltermann, Raimund, Risikozuweisung nach den Grundsätzen der beschränkten Arbeitnehmerhaftung, RdA 2005, S. 98 – 109 Weller, Bernd, Betriebsrat kann Einblick in namensscharfe Bruttogehaltslisten der Mitarbeiter verlangen, BB 2019, S. 3008 Weller, Bernd/Reuther, Johannes, BB-Rechtsprechungsreport zur Arbeitnehmermitbestimmung nach dem BetrVG – Teil III: Organisationsrechte des Betriebsrats, BB 2019, S. 1268 – 1274 Weth, Stephan/Herberger, Maximilian/Wächter, Michael/Sorge, Christoph (Hrsg.), Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl., München 2019 (zit.: Weth/Herberger/ Wächter/Sorge/Bearbeiter, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis) Wiebauer, Bernd, Whistleblowing im Arbeitsschutz, NZA 2015, S. 22 – 27 Wiedemann, Herbert (Hrsg.), Tarifvertragsgesetz, 8. Aufl., München 2019 (zit.: Wiedemann/ Bearbeiter, TVG) Wiese, Günther/Kreutz, Peter/Oetker, Hartmut u. a., Gemeinschaftskommentar zum Betriebsverfassungsgesetz (GK-BetrVG), 11. Aufl., Köln 2018 (zit.: GK-BetrVG/Bearbeiter) Wohlgemut, Hans H., Mitwirkung des Datenschutzbeauftragten beim Arbeitnehmerdatenschutz, BB 1995, S. 673 – 675 Wohlgemut, Hans H., Konfliktfälle bei grenzüberschreitender Personaldatenverarbeitung, BB 1991, S. 340 – 344 Wronka, Georg, Berechtigte Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers?, RDV 2012, S. 277 – 279 Wronka, Georg/Gola, Peter/Pötters, Stephan, Handbuch Arbeitnehmerdatenschutz unter Berücksichtigung der Datenschutz-Grundverordnung, 7. Aufl., Frechen 2016 (zit.: Wronka/ Gola/Pötters, HdB Arbeitnehmerdatenschutz) Wünschelbaum, Markus, Zur Einschränkung des DSGVO-Auskunftsanspruchs durch Betriebsvereinbarungen, BB 2019, S. 2102 – 2106 Wurzberger, Sebastian, Anforderungen an Betriebsvereinbarungen nach der DS-GVO, Konsequenzen und Anpassungsbedarf für bestehende Regelungen, ZD 2017, S. 258 – 263 Wybitul, Tim, Der neue Beschäftigtendatenschutz nach § 26 BDSG und Art. 88 DSGVO, NZA 2017, S. 413 – 419 Wybitul, Tim, Informationsbedarf und Persönlichkeitsschutz des Arbeitnehmers, Handlungsempfehlungen und Checkliste zu wesentlichen Regelungen, NZA 2017, S. 1488 – 1494
Literaturverzeichnis
319
Wybitul, Tim, EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht?, BB 2016, S. 1077 – 1081 Wybitul, Tim, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen, ZD 2016, S. 203 – 208 Wybitul, Tim, Neue Spielregeln bei Betriebsvereinbarungen und Datenschutz, BAG schafft Klarheit zu Anforderungen an Umgang mit Arbeitnehmerdaten, NZA 2014, S. 225 – 232 Wybitul, Tim, BAG: Betriebsrat als Beauftragter für den Datenschutz, Anmerkung zu BAG, Urt. v. 23.3.2011 – 10 AZR 562/09, BB 2011, S. 2683 – 2686 Wybitul, Tim/Böhm, Wolf-Tassilo, Erweitertes Einsichtnahmerecht des Betriebsrats in nicht anonymisierte Gehaltslisten, Anmerkung zu LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17, NZA-RR 2019, S. 259 – 260 Wybitul, Tim/Gierke, Lukas von, Checklisten zur DSGVO – Teil 2: Pflichten und Stellung des Datenschutzbeauftragten im Unternehmen, BB 2017, S. 181 – 185 Wybitul, Tim/Sörup, Thorsten/Pötters, Stefan, Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der DS-GVO weiter? Handlungsempfehlungen für Unternehmen und Betriebsräte, ZD 2015, S. 559 – 564 Ziegenhorn, Gero/Heckel, Katharina von, Datenverarbeitung durch Private nach der europäischen Datenschutzreform, Auswirkungen der Datenschutz-Grundverordnung auf die materielle Rechtmäßigkeit der Verarbeitung personenbezogener Daten, NVwZ 2016, S. 1585 – 1591
Sachwortverzeichnis Abweichung vom gesetzlichen Datenschutzniveau 188 ff. – der DSGVO 188 ff. – des BDSG 199 f. – zugunsten des Arbeitnehmers 196 ff. – zuungunsten des Arbeitnehmers 189 ff. Adressat 207, 228, 233 Allgemeine personelle Angelegenheiten 103 ff. Allgemeines Persönlichkeitsrecht 26, 30 f., 166 ff., 185 Angemessene Regelungen 171 ff. Arbeitnehmerbegriff 152 ff., 155 Arbeitnehmerähnliche Personen 151 ff. Art und Weise der Datenverarbeitung 72, 148 f., 249 Aufgabenbezug 137 f., 246, 249 ff. Aufsichtsbehörde 117 f., 126 ff., 273 f. Auftragsverarbeiter 116 ff., 227 Auskunftsverweigerung 244
Bereichsspezifischer Datenschutz 39 ff. Bereichsspezifische Erlaubnistatbestände 245 Beschäftigtenbegriff 152 Beschäftigungskontext 156 ff. Beseitigungsanspruch 109, 145, 273 Besondere Kategorien personenbezogener Daten 76, 242, 260 Besondere Regelungen 171 ff. Bestellung des Datenschutzbeauftragten 279 ff., 292, 296 Betriebliche Reichweite einer Betriebsvereinbarung 161 Betrieblicher Datenschutzbeauftragter 114, 269 ff. Betriebliches Eingliederungsmanagement 259 ff., 267 Betriebsinterner Sachverstand 114 ff. Betriebsratsgremien 265 f.
Betriebsvereinbarung 51 f., 88 ff., 148 ff. Bruttoentgeltlisten 256 ff. Datenschutzverstoß 118 ff., 223 ff. Datenweitergabe – an Dritte 161 – innerhalb des Betriebsratsgremiums 265 ff. Deliktische Haftung 225, 234 Drei-Säulen-Kontrollsystem 118, 293 Einsichtsrecht 46, 140, 256 f., 261 f. Einzelfallbetrachtung 216 Entscheidungsbefugnis 213 ff. Erforderlichkeitsbegriff 251 ff., 261 ff. Erlaubnistatbestand 51 f., 148 f., 241 ff. Erweiterung des Aufgabenkreises 275 f. Erweiterung der Mitbestimmungsrechte 142 ff., 283 ff. Exkulpation 226 ff. Externer betrieblicher Datenschutzbeauftragter 113 ff. Freiwillige Betriebsvereinbarung
143, 275
Gebot der vertrauensvollen Zusammenarbeit 127 ff., 211 f. Geheimhaltungspflichten 47 f., 80 ff. Gemeinsame Verantwortlichkeit 218 f., 223 Gestaltungsmöglichkeiten 147 ff., 275 Gesundheitsdaten 168, 182, 260, 263 Grenzen der Datenverarbeitung 238 ff. Haftung 223 ff. Haftungsausschluss 233 Haftungsprivilegierung 234 f. Hinzuziehung Dritter 111 ff. Informationsrechte 45 ff., 135 ff., 292 f. Inkompatibilität 292
Sachwortverzeichnis Interessenabwägung 61 ff., 167 ff. Interner betrieblicher Datenschutzbeauftragter 114, 277, 280 f. Kollektivvereinbarung 147 ff. Kollisionsnorm 71, 248 Kompetenzerweiterung 142 ff., 275 ff., 283 ff. Kontrolle des Betriebsrats durch den Datenschutzbeauftragten 286 ff. Kontrolle des Datenschutzbeauftragten durch den Betriebsrat 290 f. Konzernbetriebsrat 219 ff., 266 Kooperationspflicht 129, 278 f. Meldung an die Aufsichtsbehörde 126 ff. Mindestharmonisierung 197 Mitwirkungsrechte 74, 135 Mitbestimmungsrechte 74, 97 ff., 283 ff. Mitbestimmung in sozialen Angelegenheiten 98 ff. Mitbestimmung in personellen Angelegenheiten 45 ff., 103 ff. Mittel der Verarbeitung 206, 215 ff., 221 ff. Öffnungsklausel
53 f., 68 ff., 89 f., 149 ff.
Pauschalierungen 173, 186 Personelle Einzelmaßnahmen 104, 107, 284 f. Personelle Reichweite einer Betriebsvereinbarung 150, 155 Praktische Relevanz 174, 186, 200 f. Rahmenbetriebsvereinbarung 178, 188 Recht auf informationelle Selbstbestimmung 26 ff., 166, 211 Rechtsgrundlage der Datenverarbeitung 148 ff., 238 ff. Rechtssicherheit 185 ff., 199 f.
321
Rechtsquellen 36 ff., 49 ff. Regelungsbefugnis 51 ff., 100 ff.,149 f., 162 ff. Regress 236 ff. Sachliche Reichweite einer Betriebsvereinbarung 155 ff. Sachverständiger 112 ff. Sanktion 210, 228 ff. Schadensersatz 208, 220 ff. Schutzmechanismen 171 f., 192 f., 199 Schutzniveau 86, 169, 188 ff. Sensible Daten 122, 243, 263 Subsidiarität 74, 77, 81 ff., 93 Tatbestandskongruenz 72 f., 76, 82 ff. Transparenz 136, 170 f., 175 ff. Umfang der Datenverarbeitung 250 ff. Unabhängigkeit 223 ff., 287 ff. Unterlassungsanspruch 108 f., 119 ff., 211 f. Verantwortlichkeit 204 ff. Verhältnismäßigkeit 182 ff., 247 ff. Verschwiegenheitspflichten 79 ff. Vollharmonisierung 190 f., 193, 196 f. Vorrang bereichsspezifischer Vorschriften 72 ff. Whistleblowing
126 ff.
Zusammenarbeit von Betriebsrat und Datenschutzbeauftragtem 276 ff. Zustimmungsverweigerungsrecht 106 f., 281 ff. Zweckbestimmung 181, 184, 186 Zwecke der Verarbeitung 213 ff. Zwecke des Beschäftigungsverhältnisses 156 ff., 241 f.