Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats [1 ed.] 9783428583751, 9783428183753

Citation preview

Schriften zum Öffentlichen Recht Band 1459

Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats

Von

Jan-Peter Möhle

Duncker & Humblot · Berlin

JAN-PETER MÖHLE

Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats

Schriften zum Öffentlichen Recht Band 1459

Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats

Von

Jan-Peter Möhle

Duncker & Humblot · Berlin

Die Fakultät für Rechtswissenschaft der Universität Bielefeld hat diese Arbeit im Jahr 2021 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2021 Duncker & Humblot GmbH, Berlin

Satz: Textforma(r)t Daniela Weiland, Göttingen Druck: CPI buchbücher.de, Birkach Printed in Germany ISSN 0582-0200 ISBN 978-3-428-18375-3 (Print) ISBN 978-3-428-58375-1 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Für Janina und Lenian

Vorwort Die Fakultät für Rechtswissenschaft der Universität Bielefeld hat die vorliegende Arbeit im Februar 2021 als Dissertation angenommen. Die Arbeit ist teilweise im Rahmen des von der Volkswagen-Stiftung geförderten Forschungsprojekts Strukturwandel des Privaten entstanden. Für die Gewährung eines großzügigen Druckkostenzuschusses danke ich dem Arbeitskreis Wirtschaft und Recht im Stifterverband für die Deutsche Wissenschaft. Gesetzgeberische Entwicklungen, Literaturbeiträge und Rechtsprechung wurden im Hauptteil bis zum 15. April 2021 berücksichtigt. Ein kurzer Annex chiffriert und bewertet jüngste gesetzgeberische Entwicklungen (Stand: 15. Juli 2021). Mein aufrichtiger Dank gilt unterschiedlichen Personen aus vielfältigen Gründen. Mein Doktorvater Prof. Dr. Christoph Gusy hat mich nicht nur bei der Ausfertigung der Arbeit begleitet; während meiner langjährigen Mitarbeit an seinem Lehrstuhl ist er mir fachlich und menschlich Vorbild geworden. Ihm und meiner über­obligatorisch betreuenden Zweitgutachterin Prof.’in Dr. Sudabeh Kamanabrou danke ich sehr herzlich für jederzeit offene Ohren, die stetige Begleitung und die zügige Erstellung der Gutachten. Prof. Dr. Thomas Wischmeyer danke ich für die Mitwirkung in der Prüfungskommission. Tim Wybitul danke ich für seine Diskussionsbereitschaft. Meine Eltern Antje Ute und Reiner und mein Bruder Jens-Erik Möhle haben in vielfältiger Hinsicht den Grundstein für den erfolgreichen Abschluss meines (Zweit-)Studiums der Rechtswissenschaft gelegt. Meine Freunde, allen voran Sascha Pierre Prestin, ref. iur. David Plischka und ref. iur. Dr. Gerald Pahs haben mich auf ihre je unersetzliche Art bei der und neben der Erstellung der Arbeit unterstützt. Stellvertretend für das gesamte Lehrstuhlteam und alle Weggefährten am Lehrstuhl und im Lehrstuhlkontext danke ich PD Dr. Johannes Eichenhofer und ref. iur. Dr. Christian Pleser für vielfältige Diskussionen, stud. iur. Jonas Blasz­ kowski für die akribische Durchsicht meiner Arbeit und stud. iur. Merle Fock, deren Feingefühl und Verbundenheit meine Mitarbeit am Lehrstuhl bereichert hat. Zuvorderst und unendlich danke ich meiner Frau Janina für ihren bedingungslosen Rückhalt. Ohne sie wäre die Arbeit nicht entstanden, die ich ihr und meinem Sohn Lenian widme. Bielefeld, im März 2021

Jan-Peter Möhle

Inhaltsverzeichnis § 1 Betriebsräte, Verantwortlichkeit und Datenschutz – Problemstellung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 § 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit . . . . . . . . . . . . . . . . 26 A. Der Ursprung des Verantwortlichkeitskonzepts im Datenschutzrecht . . . . . . . . . 27 B. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im BDSG . . . . . . 28 C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO . . 30 I. Uneinheitlichkeit in der Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 II. Uneinheitliche Meinungen in der Literatur – der Streitstand . . . . . . . . . . . . . 32 III. Uneinheitliche Meinungen der Datenschutzaufsichtsbehörden . . . . . . . . . . . 34 IV. Erste gesetzgeberische Unternehmungen zur Handhabung von Verantwortlichkeit und Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 V. Die fehlende Abstraktion in der bisherigen Diskussion . . . . . . . . . . . . . . . . . 39 D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO . . 39 I. Auslegungsmethoden des Europarechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 1. Der europäische Methodenkanon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 a) Begrifflichkeiten in der EuGH-Rechtsprechung . . . . . . . . . . . . . . . . . 45 b) Begriffliche Systematisierung der Literatur . . . . . . . . . . . . . . . . . . . . 47 c) Die begrifflich systematisierten Methoden . . . . . . . . . . . . . . . . . . . . . 49 2. Konkretisierung des Methodeninhalts in Rechtsprechung und Literatur . 49 a) Europäische Inhalte der Wortlautauslegung . . . . . . . . . . . . . . . . . . . . 50 b) Europäische Inhalte der systematischen Auslegung . . . . . . . . . . . . . . 51 c) Europäische Inhalte der historischen Auslegung . . . . . . . . . . . . . . . . 54 d) Europäische Inhalte der teleologischen Auslegung . . . . . . . . . . . . . . . 55 e) Methodengewichtung durch den EuGH . . . . . . . . . . . . . . . . . . . . . . . 56 3. Fazit: Der europäische Methodenkanon . . . . . . . . . . . . . . . . . . . . . . . . . . 57 II. Angewandte Auslegung: Ist der Betriebsrat gem. Art. 4 Nr. 7 DSGVO datenschutzrechtlich verantwortlich? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 1. Entscheidet der Betriebsrat als andere Stelle über Zwecke und Mittel der Datenverarbeitung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 a) Die Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 aa) Der Verantwortlichkeitsbegriff in der DSGVO . . . . . . . . . . . . . . . 61

10

Inhaltsverzeichnis bb) Das personelle Element: Der Betriebsrat als „Stelle“ in der DSGVO 62 (1) Das Verhältnis der Begriffe Einrichtung und andere Stelle . . 62 (2) Der Begriff andere Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 (3) Der Betriebsrat als andere Stelle . . . . . . . . . . . . . . . . . . . . . . 68 cc) Das sachliche Element: Der Betriebsrat und die Entscheidung über Zwecke und Mittel der Datenverarbeitung . . . . . . . . . . . . . . . . . . 68 dd) Der Wortlaut von Art. 4 Nr. 7 1. Hs. DSGVO – Der Betriebsrat im datenschutzrechtlichen Verantwortlichkeitskonzept . . . . . . . . . . . 71 b) Systematische Aspekte der Auslegung . . . . . . . . . . . . . . . . . . . . . . . . 71 aa) Die Systematik von Art. 4 Nr. 7 DSGVO und die datenschutzrechtliche Verantwortlichkeit des Betriebsrats . . . . . . . . . . . . . . . . . . . 72 (1) Die Systematik von Art. 4 Nr. 7 DSGVO zwischen Hs. 1 und Hs. 2: Betriebsrätliche Entscheidung trotz gesetzlicher Vorgaben 73 (2) Der Betriebsrat im System von Art. 4 Nr. 7 1. Hs. DSGVO als andere Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 (3) Insbesondere: Datenschutzrechtliche Verantwortlichkeit ohne Rechtsfähigkeit des Betriebsrats? . . . . . . . . . . . . . . . . . . . . . . 78 (a) Elemente der Rechtsfähigkeit . . . . . . . . . . . . . . . . . . . . . 78 (b) Betriebsrat, Rechtsfähigkeit und Vermögensfähigkeit . . . 80 (c) Rechtsfähigkeit, Teilrechtsfähigkeit und datenschutzrechtliche Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 82 (d) Die datenschutzrechtliche Teilrechtsfähigkeit des Betriebs­ rats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 bb) Aspekte der systematischen Stellung des Verantwortlichkeitskonzepts in der DSGVO für die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . 84 cc) Art. 4 Nr. 7 DSGVO, europäisches Primärrecht und datenschutzrechtliche Verantwortlichkeit des Betriebsrats . . . . . . . . . . . . . . . 87 (1) Regelungsübergriffe aus dem Datenschutzrecht in das Betriebsverfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 (2) Auslegungsimplikationen europäischer Grundrechte, insbeson­ dere Art. 8 GRCh-EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 (3) Primärrechtskonforme Auslegung von Art. 4 Nr. 7 DSGVO und die datenschutzrechtliche Stellung des Betriebsrats . . . . . . . . 91 dd) Völkerrecht und datenschutzrechtliche Verantwortlichkeit des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 ee) Der Betriebsrat und die datenschutzrechtliche Verantwortlichkeit in den EU-Mitgliedstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 (1) Das Prinzip mitgliedstaatsfreundlicher Auslegung (Art. 4 Abs. 3 Satz 1 EUV) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 (2) Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats zwischen Grundverordnung und mitgliedstaatlichen Regelungen 96

Inhaltsverzeichnis

11

(3) Ausfüllung des europarechtlichen Rahmens: Mitgliedstaatliche Regelungen im Rahmen von Öffnungsklauseln . . . . . . . . . . . 99 (a) Art. 88 DSGVO als potenzielle Öffnungsklausel? . . . . . . 100 (b) Art. 4 Nr. 7 2. Hs. DSGVO als potenzielle Öffnungsklausel 102 (c) Anforderungen an eine vom deutschen Gesetzgeber erlassene Verantwortlichkeitsregelung im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO . . . . . . . . . . 107 (d) Mitgliedstaatliche Regelungsmöglichkeiten im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO . . . . 110 (4) Mitgliedstaatliche Regelungsmöglichkeiten . . . . . . . . . . . . . . 111 ff) Ergebnisse der systematischen Auslegung . . . . . . . . . . . . . . . . . . 111 c) Die historische Auslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 aa) Die Entstehungsgeschichte des Verantwortlichkeitskonzepts in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 (1) Der Gesetzgebungsprozess von Art. 4 Nr. 7 DSGVO . . . . . . . 114 (2) Die Erwägungsgründe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 bb) Die Vorgeschichte des Verantwortlichkeitskonzepts . . . . . . . . . . 119 (1) Gesetzliche Begriffsentwicklung in Zeiten vor der DSGVO

120

(a) Der Ursprung des Verantwortlichkeitskonzepts in der DSK 108 des Europarats (1981) . . . . . . . . . . . . . . . . . . . . . . . . 120 (b) Der Hintergrund eines Fehlverständnisses: Die europarechtswidrige Dichotomie der Verantwortlichkeitskonzepte in Bundesdatenschutz­gesetz (1977) und Datenschutzrichtlinie (1995) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 (aa) Die Gesetzgebungsgeschichte der Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 (bb) Die Auslegung des Art. 2 lit. d DSRL . . . . . . . . . . . 126 (cc) Das Verantwortlichkeitskonzept im BDSG . . . . . . . 126 (c) Folgen des Missverständnisses des europäischen Verantwortlichkeitskonzepts durch den deutschen BDSG-Gesetzgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 (d) Aspekte der Vorgeschichte bei der Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats . . 133 (2) Die EuGH-Rechtsprechung vor der DSGVO . . . . . . . . . . . . . 133 cc) Aspekte der historischen Auslegung des Verantwortlichkeitskonzepts in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 d) Das Telos als Auslegungskriterium . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 aa) Regelungseffektivität: Qualitative und quantitative Aspekte der Verantwortlichkeitsarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 bb) Effektiver Datenschutz durch weisungsgeleitete Verantwortlichkeitsarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

12

Inhaltsverzeichnis (1) Weisungen vom Arbeitgeber an das Betriebsratsmitglied? . . 138 (2) Weisungsarchitektur von Betriebsrat und Betriebsratsmitglied? 138 (3) Weisungsähnliche Vorgaben des Organs Betriebsrat gegenüber seinen Betriebsratsmitgliedern . . . . . . . . . . . . . . . . . . . . . . . 139 cc) Insbesondere: Die datenschutzrechtliche Unabhängigkeit des Betriebsrats vom Arbeitgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 dd) Teleologische Erwägungen zu Art. 4 Nr. 7 DSGVO . . . . . . . . . . . 141 e) Der Betriebsrat als andere Stelle und dessen Entscheidung über Zwecke und Mittel der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 142 2. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 III. Dogmatik und Verantwortlichkeit des Betriebsrats nach Art. 4 Nr. 7 1. Hs. DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 E. Die DSGVO als Einschnitt im überkommenen Verantwortlichkeitskonzept . . . . 144

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats . . 146 A. Die einzelnen Pflichten des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 B. Übernahme erforderlicher Kosten durch den Arbeitgeber von administrativen Kosten der Betriebsratsarbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 C. Benennung eines Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 I. Kostentragung bei pflichtiger und freiwilliger Benennung . . . . . . . . . . . . . . 149 II. Doppelnutzung der Infrastruktur durch Betriebsrat und Arbeitgeber zur Kosteneinsparung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 D. Das Haftungsregime in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 I. Die fehlende Rechtsfähigkeit als dogmatischer Problem-Ausgangspunkt . . 160 II. Das Schadensersatzregime der DSGVO (Art. 82 DSGVO) . . . . . . . . . . . . . . 161 1. Der rechtswissenschaftliche Meinungsstand . . . . . . . . . . . . . . . . . . . . . . 162 2. Lösungen zur Kostentragung des Betriebsrats im Schadensersatzregime der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 a) Betriebsrat, Arbeitgeber oder Betriebsratsmitglieder als Ausgleichspflichtige? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 b) Das allgemeine betriebsverfassungsrechtliche Kostenregime als Lösungsansatz? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 c) Haftungsverteilungen zwischen Arbeitgeber und Betriebsratsmitgliedern anhand des innerbetrieblichen Schadensausgleichs . . . . . . . . . . 168 d) Quotale Haftung nach Verschuldensgraden . . . . . . . . . . . . . . . . . . . . . 172 3. Leitsätze aus dem Recht des innerbetrieblichen Schadensausgleichs zur Regelung der Haftung bei Schadensersatzansprüchen wegen betriebsrät­ licher Datenschutzverstöße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Inhaltsverzeichnis

13

III. Das Geldbußenregime in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 1. Der rechtswissenschaftliche Meinungsstand . . . . . . . . . . . . . . . . . . . . . . 174 2. Geldbußen gegen den Betriebsrat nach alter datenschutzrechtlicher Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 3. Das neue Geldbußenregime der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 177 a) Die Praxis der Geldbußenverhängung durch die Datenschutzaufsichtsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 b) Kompetenzielle Einwände gegen europarechtlich normierte Geldbußen 179 aa) Strafrechtliche Regelungskompetenzen der Europäischen Union 180 bb) Geldbußen als strafrechtliche Regelung? . . . . . . . . . . . . . . . . . . . 180 (1) Geldbußen und europarechtlicher Strafrechtsbegriff . . . . . . . 181 (2) Geldbußen und der Strafrechtsbegriff des BVerfG . . . . . . . . . 183 c) Die Verweisungstechnik der DSGVO zur Verhängung von Geldbußen 186 d) Die Lückenhaftigkeit des implementierten Geldbußenregimes in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 aa) Das „Ob“ der Geldbußenverhängung: Europarechtskonformität von Verschuldensprinzip und Opportunitätsprinzip des OWiG im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 (1) Europarechtskonformität des Schuldprinzips (§ 10 OWiG) . . 190 (a) Der Verschuldensmaßstab in der DSGVO . . . . . . . . . . . . 191 (b) Das sog. verfassungsrechtlich integrationsfeste Schuldprinzip des BVerfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 (c) Die Unanwendbarkeit von § 10 OWiG bei der datenschutzrechtlichen Geldbußenverhängung . . . . . . . . . . . . . . . . . 195 (2) Europarechtskonformität des Opportunitätsprinzips (§ 47 OWiG) 197 (a) Der rechtswissenschaftliche Streitstand . . . . . . . . . . . . . 197 (b) Das in Art. 83 Abs. 1 DSGVO angelegte Regel-AusnahmeVerhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 (3) Die Europarechtswidrigkeit von § 10 OWiG und § 47 OWiG 200 bb) Das „Wie“ der Geldbußenverhängung: Regelungsstruktur und Europarechtskonformität der Verweislösung auf das Ordnungswidrigkeitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 (1) § 130 Abs. 1 Satz 1 OWiG als normativer Anknüpfungspunkt 202 (a) Tatbestand des § 130 Abs. 1 Satz 1 OWiG . . . . . . . . . . . . 202 (aa) Betriebsrat, Betrieb und Betriebsinhaber? . . . . . . . . 202 (bb) Datenschutzverstoß und Aufsichtspflichtverstoß . . 203 (cc) Der Betriebsrat und der doppelte Pflichtenverstoß des § 130 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 (dd) Der Betriebsrat als Sonderfall in § 130 OWiG . . . . . 205 (b) Anwendbarkeit und Anwendung von § 130 OWiG im Datenschutzrecht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

14

Inhaltsverzeichnis (aa) § 130 OWiG im Geldbußenregime der DSGVO . . . 207 (bb) Ansichten zur Anwendbarkeit von § 130 OWiG: Die vergessenen DSGVO-Öffnungsklauseln . . . . . . . . . 208 (cc) Art. 84 Abs. 1 Satz 1 DSGVO als Öffnungsklausel für § 130 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 (dd) Art. 83 Abs. 8 DSGVO als Öffnungsklausel für § 130 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 (ee) § 130 OWiG im BDSG-Gesetzgebungsprozess . . . . 215 (ff) Die Praxis der Geldbußenverhängung auf Basis von § 130 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 (gg) § 130 OWiG als ungeschriebene Bereichsausnahme in § 41 Abs. 1 BDSG (europarechtskonforme Auslegung) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 (c) § 130 OWiG als Lösung der Geldbußenverhängung? . . . 219 (2) § 30 OWiG als normativer Anknüpfungspunkt . . . . . . . . . . . 220 (a) Der Tatbestand von § 30 OWiG . . . . . . . . . . . . . . . . . . . . 220 (aa) Der Betriebsrat als vertretungsberechtigtes Organ (§ 30 Abs. 1 Nr. 1 OWiG)? . . . . . . . . . . . . . . . . . . . . 220 (bb) Der Betriebsrat als nicht-rechtsfähiger Verein (§ 30 Abs. 1 Nr. 2 OWiG)? . . . . . . . . . . . . . . . . . . . . . . . . 221 (cc) Der Betriebsrat als rechtsfähige Personengesellschaft (§ 30 Abs. 1 Nr. 3 OWiG)? . . . . . . . . . . . . . . . . . . . . 223 (dd) Der Betriebsrat und das Unternehmen als rechtsfähige Personengesellschaft (§ 30 Abs. 1 Nr. 3 OWiG) 226 (ee) Der Betriebsrat im Rahmen von § 30 Abs. 1 Nr. 4 und 5 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 (ff) Die tatbestandliche Untauglichkeit des § 30 OWiG . 227 (b) Anwendbarkeit und Anwendung von § 30 OWiG im Datenschutzrecht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 (c) Tatbestandliche Grenzen und Unanwendbarkeit von § 30 OWiG zur Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO . . . . . . . . . . . . . . . . 229 (3) § 14 OWiG als normativer Anknüpfungspunkt . . . . . . . . . . . 229 (a) Tatbestand von § 14 OWiG . . . . . . . . . . . . . . . . . . . . . . . 229 (aa) Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats als besonderes persönliches Merkmal (§ 14 Abs. 1 Satz 2 OWiG) . . . . . . . . . . . . . . . . . . . . . . . . 229 (bb) Datenschutzrechtlich Verantwortlicher als Tatbeteiligter (§ 14 Abs. 1 Satz 1 OWiG)? . . . . . . . . . . . . . . 230 (cc) Die tatbestandliche Untauglichkeit des § 14 Abs. 1 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 (b) Anwendbarkeit und Anwendung von § 14 OWiG im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

Inhaltsverzeichnis

15

(c) Tatbestandliche Grenzen und Unanwendbarkeit von § 14 OWiG zur Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO . . . . . . . . . . . . . . . . 234 (4) § 9 OWiG als normativer Anknüpfungspunkt . . . . . . . . . . . . 234 (a) Tatbestand von § 9 OWiG . . . . . . . . . . . . . . . . . . . . . . . . 234 (aa) Der Betriebsrat als vertretenes Organ im Sinne von § 9 Abs. 1 OWiG? . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 (bb) Die gesetzliche Vertretungsmacht des Betriebsratsvorsitzenden (§ 9 Abs. 1 Nr. 3 OWiG)? . . . . . . . . . . 235 (cc) Der Betriebsratsbeschluss als Indikator gesetzlicher Vertretung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 (dd) Ergänzende teleologische Erwägungen: Das Ehrenamt „Betriebsratsmitglied“ . . . . . . . . . . . . . . . . . . . 237 (ee) Die tatbestandliche Untauglichkeit von § 9 Abs. 1 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 (b) Anwendbarkeit und Anwendung von § 9 OWiG im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 (c) Die tatbestandliche Untauglichkeit und Unanwendbarkeit von § 9 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 (5) Lückenhafte Regelungen zum „Wie“ der Geldbußenverhängung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 cc) Die Lückenhaftigkeit des derzeit normierten datenschutzrecht­ lichen Geldbußenregimes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 e) Lösungsvorschläge: Geldbußen und der Betriebsrat im Geldbußen­ regime der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 aa) Die analoge Anwendung der OWiG-Vorschriften zur Ausfüllung der Regelungslücke? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 bb) Europarechtlich zwingende Vermögensfähigkeit des Betriebsrats durch Anwendung von Art. 83 DSGVO? . . . . . . . . . . . . . . . . . . . 244 cc) Leerlaufen der gegen den Betriebsrat verhängten Geldbußen? . . 248 dd) Staatshaftungsrecht zur Füllung der Regelungslücke? . . . . . . . . 249 (1) Lassen sich staatshaftungsrechtliche Richtlinienvorgaben auf die DSGVO übertragen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 (2) Effektuierung der Geldbußenverhängung durch Sanktionen gegen den deutschen Gesetzgeber? . . . . . . . . . . . . . . . . . . . . 251 (3) Die Akteurskonstellation und die Ungeeignetheit staatshaftungsrechtlicher Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . 251 (4) Die Anwendung von Art. 83 Abs. 1–6 DSGVO ohne staatshaftungsrechtliche Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 ee) § 40 Abs. 1 BetrVG im Geldbußenrecht der DSGVO . . . . . . . . . . 252 ff) Geldbußen gegen die Betriebsratsmitglieder wegen eigenen Verschuldens  – der Exzess-Gedanke als Aufrechterhaltung des Betriebsverfassungsrechts? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

16

Inhaltsverzeichnis (1) Weisungsstruktur (Art. 29 DSGVO) und Geldbußen gegen den Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 (2) Weisungsrecht und Exzess der Betriebsratsmitglieder . . . . . . 256 (3) Die Haftung der Betriebsratsmitglieder wegen Exzesses zwischen Schutzbedürfnis und Verschuldensgrad . . . . . . . . . . . . 257 (4) Besondere Problemkonstellationen beim Exzess der Betriebsratsmitglieder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 (5) Der Exzess-Gedanke als Lösungsmöglichkeit für Geldbußen gegen den Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 gg) Vielfältige Lösungsmöglichkeiten für Geldbußen wegen betriebsrätlicher Datenschutzverstöße . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 f) Geldbußen in der DSGVO gegen den datenschutzrechtlich verantwortlichen Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 4. Das Geldbußenregime im Wandel der Rechtsnormen . . . . . . . . . . . . . . . 262 IV. Der Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 E. Der betriebsverfassungsrechtliche Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

§ 4 Resümee: Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats zwischen europäischen Vorgaben und nationalen Regelungsmöglichkeiten . . . . . . . . . . . . 267 § 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021 . . . . . . . . . . . . . . . . . 275

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

Abkürzungsverzeichnis A. A. / a. A. andere Ansicht a. a. O. am angegebenen Ort am Ende a. E. a. F. alte Fassung ABl. Amtsblatt der Europäischen Union AcP Archiv für die civilistische Praxis AEL Academy of European Law Vertrag über die Arbeitsweise der Europäischen Union AEUV American Journal of Comparative Law AJCL Alt. Alternative Anh. Anhang ArbGG Arbeitsgerichtsgesetz ArbR Arbeitsrecht Arbeitsrecht Aktuell ArbRAktuell ArbRB Arbeits-Rechtsberater Art. / A rtt. Artikel (Singular / Plural) AuA Arbeit und Arbeitsrecht Aufl. Auflage AuR Arbeit und Recht ausf. ausführlich Ausn. Ausnahmen Az. Aktenzeichen AZRG Ausländerzentralregister-Gesetz BAG Bundesarbeitsgericht Bayerisches Datenschutzgesetz BayDSG Bayerischer Landesbeauftragter für den Datenschutz BayLfD BB Betriebs-Berater Berliner Beauftragte für Datenschutz und Informationsfreiheit B-BfDI Brandenburgisches Datenschutzgesetz BbGDSG Bd. Band BDSG Bundesdatenschutzgesetz BeckOGK Beck’scher Online-Großkommentar Beck’scher Online-Kommentar BeckOK Begr. Begründung Beschl. Beschluss BetrVG Betriebsverfassungsgesetz Bundesbeauftragter für den Datenschutz und die Informationsfreiheit BfDI BGB Bürgerliches Gesetzbuch BGBl. Bundesgesetzblatt BGH Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Strafsachen BGHSt

18

Abkürzungsverzeichnis

Entscheidungen des Bundesgerichtshofs in Zivilsachen BGHZ Berliner Datenschutzgesetz BlnDSG Bundesministerium für Arbeit und Soziales BMAS Bundesministerium für Gesundheit BMG Bundesministerium des Inneren BMI BR-Drs. Bundesrats-Drucksache Bremisches Datenschutzgesetz BremDSG Bsp. Beispiel BT-Drs. Bundestags-Drucksache BVerfG Bundesverfassungsgericht BVerfGE Bundesverfassungsgerichtsentscheidung BVerwG Bundesverwaltungsgericht BW Baden-Württemberg Landesbeauftragter für den Datenschutz und die Informationsfreiheit BaBW-LfDI den-Württemberg Compliance Berater CB European Committee of Experts on Data Processing CDJC Ordinary legislative procedure COD Computer und Recht CR Comité social et economique d’entreprise CSE Computer und Arbeit CuA das heißt d. h. dass. dasselbe Der Betrieb DB ders. derselbe dieselbe / dieselben dies. Die Öffentliche Verwaltung DÖV DSAnpUG-EU Datenschutzanpassungsgesetz DSGVO Datenschutz-Grundverordnung DSGVO-E Entwurf der Datenschutz-Grundverordnung Konferenz der unabhängigen Datenschutzbehörden des Bundes und der DSK Länder Datenschutzkonvention 108 (Europarat) DSK 108 DSRL Datenschutz-Richtlinie Deutsch / Deutsches Dt. Datenschutz und Datensicherheit DuD Deutsches Verwaltungsblatt DVBl eingetragener Verein e. V. ebd. ebenda European Court of Justice ECJ European Data Protection Board (= Europäischer Datenschutzausschuss) EDPB European Data Protection Law Review EDPL Expertenforum für Arbeitsrecht EFAR Europäische Gemeinschaften EG -EG Erwägungsgrund -EGe Erwägungsgründe Europäischer Gerichtshof für Menschenrechte EGMR Einführungsgesetz zum Gesetz über Ordnungswidrigkeiten EGOWiG

Abkürzungsverzeichnis Vertrag zur Gründung der Europäischen Gemeinschaft EGV Einf. Einführung Einl. Einleitung European Law Review ELR Europäische Menschenrechtskonvention EMRK EPR Europäisches Privatrecht Erfurter Kommentar zum Arbeitsrecht ErfK ArbR et alii = und andere et al. Europäische Union EU Europäischer Gerichtshof EuGH Europäische Grundrechte-Zeitschrift EuGRZ EuR Europarecht Vertrag über die Europäische Union EUV Europäische Zeitschrift für Arbeitsrecht EuZA Europäische Zeitschrift für Wirtschaftsrecht EuZW Europäische Wirtschaftsgemeinschaft EWG f. folgende ff. fortfolgende Fn. Fußnote FS Festschrift Generalanwalt beim EuGH GA Gesellschaft bürgerlichen Rechts GbR gem. gemäß GG Grundgesetz ggf. gegebenenfalls Gemeinschaftskommentar zum Betriebsverfassungsgesetz GK BetrVG German Law Journal GLJ Charta der Grundrechte der Europäischen Union GRCh-EU Zeitschrift für das gesamte Sicherheitsrecht GSZ GVBl. Gesetz- und Verordnungsblatt Hdb. Handbuch Handbuch Arbeitnehmerdatenschutz HdbANDS HdbEUDtDSR Handbuch europäisches und deutsches Datenschutzrecht Handbuch der europäischen Grundrechte HdbEUGR Hessisches Datenschutz- und Informationsfreiheitsgesetz HDSIG Hessisches Datenschutzgesetz HessDSG HGB Handelsgesetzbuch Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit HH-BfDI Hamburgisches Datenschutzgesetz HmbGDSG Hrsg. Herausgeber Hs. Halbsatz im Erscheinen i. E. Im / im Ergebnis I.Erg. / i.Erg. Industrielle Beziehungen IB Insbesondere / insbesondere Insb. / insb. Insgesamt / insgesamt Insg. / insg. Internationaler Pakt über die bürgerlichen und politischen Rechte IPbpR im Sinne des i. S. d.

19

20

Abkürzungsverzeichnis

Juristische Arbeitsblätter JA JGG Jugendgerichtsgesetz Juristische / juristische Jur. / jur. Juristische Ausbildung JURA Juristische Schulung JuS JZ JuristenZeitung Kommunikation und Recht K&R Kap. Kapitel KG Kommanditgesellschaft Karlsruher-Kommentar zum Ordnungswidrigkeitsgesetz KK-OWiG Europäische Kommission KOM Reihe L im Amtsblatt der Europäischen Union L LAG Landesarbeitsgericht LDSG Landesdatenschutzgesetz Landesbeauftragte für den Datenschutz Niedersachsen LfDNDS LG Landgericht Litera = Buchstabe lit. LSA Sachsen-Anhalt mit weiteren Nachweisen m. w. N. Münchener Handbuch zum Arbeitsrecht MHdbArbR Maastricht Journal of European Comparative Law MJECL Michigan Law Review MLR Multimedia und Recht MMR MMR-Aktuell Multimedia und Recht-Aktuell MPG Medizinproduktgesetz Münchener Kommentar MüKo Mendel University Press MUP MV Mecklenburg-Vorpommern Niedersächsisches Datenschutzgesetz NDSG NJW Neue Juristische Wochenschrift Neue Juristische Wochenschrift Spezial NJW-Spezial Nr. Nummer NRW Nordrhein-Westfalen Neue Zeitschrift für Strafrecht NStZ Neue Zeitschrift für Verwaltungsrecht NVwZ Neue Zeitschrift für Arbeitsrecht NZA Neue Zeitschrift für Arbeitsrecht-Rechtsprechungs-Report NZA-RR oder ähnliches o.ä. Zeitschrift für das öffentliche Arbeits- und Tarifrecht öAT Organisation for Economic cooperation and development OECD Offene Handelsgesellschaft OHG OVG Oberverwaltungsgericht Gesetz über Ordnungswidrigkeiten OWiG Der Personalrat PersR PersVR Personalvertretungsrecht Privacy in Germany PinG Polizeigesetz des Landes Nordrhein-Westfalen PolG NRW ProdHaftG Produkthaftungsgesetz

Abkürzungsverzeichnis

21

Recht der Arbeit RdA Recht der Datenverarbeitung RDV RL Richtlinie Rn. Randnummer RP Rheinland-Pfalz RP-LfDI Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Rs. Rechtssache Rspr. Rechtsprechung S. Seite siehe / Siehe (nur Fußnotenanfang) s. / S. Saarländisches Datenschutzgesetz SaarlDSG Sächsischer Datenschutzbeauftragter SächsDSB Sächsisches Datenschutzgesetz SächsDSG SGB Sozialgesetzbuch SH Schleswig-Holstein Sammlung der Entscheidungen des Gerichtshofs und des Gerichts erster InSlg. stanz sog. sogenannte Soziales Recht SR StGB Strafgesetzbuch strittig = umstritten str. StRspr. / stRspr. Ständige / ständige Rechtsprechung StV Strafverteidiger Thüringischer Landesbeauftragter für den Datenschutz und die InformatiThüLfDI onsfreiheit Thüringer Datenschutzgesetz ThürDSG Thüringer Personalvertretungsgesetz ThürPersVG TKG Telekommunikationsgesetz TMG Telemediengesetz und ähnlich u. ä. Unter / unter anderem U. a. / u. a. unter Umständen u. U. Urt. Urteil und so fort usf. Gesetz gegen den unlauteren Wettbewerb UWG von / vom v. Vor allem / vor allem V.a. / v. a. VerwArch Verwaltungsarchiv Vergleiche / vergleiche Vgl. / vgl. VO Verordnung Volume = Auflage Vol. VwGO Verwaltungsgerichtsordnung VwVfG Verwaltungsverfahrensgesetz Working Paper WP Die Wirtschaftsprüfung WPg Wiener Vertragsrechtskonvention WVK zum Beispiel z. B.

22 ZD ZD-Aktuell ZESAR ZEuP ZFA ZfPW ZIS ZJS ZRP ZWH

Abkürzungsverzeichnis Zeitschrift für Datenschutz Zeitschrift für Datenschutz-Aktuell Zeitschrift für europäisches Sozial- und Arbeitsrecht Zeitschrift für Europäisches Privatrecht Zeitschrift für Arbeitsrecht Zeitschrift für die gesamte Privatrechtswissenschaft Zeitschrift für Internationale Strafrechtsdogmatik Zeitschrift für das juristische Studium Zeitschrift für Rechtspolitik Zeitschrift für Wirtschaftsstrafrecht und Haftung

„Die Verarbeitung personenbezogener Daten, mitunter sensibler Beschäftigtendaten zählt zum Kernbereich der Aufgabenerfüllung der Betriebsräte. Ihnen kommt daher eine besondere Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften zu.“ (Regierungsentwurf der Bundesregierung zum Betriebsrätemodernisierungsgesetz v. 31. 3. 2021, S. 16)

§ 1 Betriebsräte, Verantwortlichkeit und Datenschutz – Problemstellung und Gang der Untersuchung Beim Erlass von Datenschutzgrundverordnung und Bundesdatenschutzgesetz scheint 2018 kaum jemand an den Betriebsrat gedacht zu haben. Außerhalb von Art. 88 DSGVO und § 26 Abs. 1, 6 BDSG vergaß ihn zumindest der Gesetzgeber offenbar.1 Und dies, obwohl der Betriebsrat in Betrieben mit Arbeitnehmervertretung wahrscheinlich der Akteur mit Zugriff auf die meisten personenbezogenen Daten ist.2 Wenn selbst vielfältige Datenverarbeitungen3 auch nicht zwingend die Verantwortlichkeit einer bestimmten Entität indizieren, so ist jedoch dort, wo Daten verarbeitet werden, immer eine Entität datenschutzrechtlich verantwortlich. Die Datenschutzgrundverordnung4 ordnet das Schlüsselkonzept5 datenschutzrechtliche Verantwortlichkeit historisch neu. Anders als im BDSG a. F., in dem der Betriebsrat als Teil der verantwortlichen Stelle Arbeitgeber galt, normiert der unmittelbar im deutschen Recht geltende Art. 4 Nr. 7 1. Hs. DSGVO, dass fortan jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle datenschutzrechtlich verantwortlich ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zwar ist der Betriebsrat hier nicht explizit als Verantwortlicher benannt. Die DSGVO bezieht aber auch andere, entscheidende Stellen in das Verantwortlichkeitskonzept ein. Ob hierunter der Betriebsrat fällt, ist tatbestandliche Frage. Das Thema Beschäftigtendatenschutzrecht rückte zuletzt wieder in den Fokus der Politik6 1

In der Literatur nämlich noch deutlich vor Erlass auf Probleme hinweisend etwa Kort, NZA 2015, 1345 (1347 f.); Wybitul, NZA 2017, 1488 (1491 f.); Pötters / Gola, RDV 2017, 279. 2 Maschmann, NZA 2020, 1207 (1207). 3 Zu unterschiedlichen Datenverarbeitungen des Betriebsrats, sogar zur Verarbeitung besonders sensibler personenbezogener Daten s. nur Stück, ZD 2019, 346 (348 f.); Kiesche / Willke, CuA 2012, 18 (21); Kurzböck / Weinbeck, BB 2018, 1652. 4 Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates v. 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung), ABl. L 127, 23. 05. 2018. 5 S. nur Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 61. 6 Bundesregierung, Datenstrategie v. 27. 1. 2021, online; Bundesregierung, Regierungs­ entwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz); Redaktion BeckAktuell, Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf v. 16. 6. 2020.

24

§ 1 Betriebsräte, Verantwortlichkeit und Datenschutz

und damit erlangte zugleich die Frage nach der Stellung von Betriebsräten im Datenschutzrecht neue Konjunktur. Eine Regelung des deutschen Gesetzgebers wurde einerseits lange ersehnt, weil er zunächst zu lange abgewartet hatte. Andererseits neigen überstürzte Regelungen dazu, komplexe Sachverhalte nicht hinreichend abzubilden. Sie verursachen dann neue Folgeprobleme.7 Die vorliegende Arbeit untersucht die Stellung des Betriebsrats in der Verantwortlichkeitsarchitektur der DSGVO und analysiert deren Rechtsfolgen: Ist der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO? Welche Rechtsfolgen hätte bzw. hat seine Verantwortlichkeit? Und wie kann mit diesen Rechtsfolgen umgegangen werden? Der emotionale Streit über die datenschutzrechtliche Stellung des Betriebsrats entbrennt weniger an der tatbestandlichen Frage, die bisher zugunsten von Rechtsfolgendiskussionen häufig (zu) knapp diskutiert wird. Vielmehr knüpft der Streit an die weit über 40 Rechtsfolgen an, die den Betriebsrat als datenschutzrechtlich Verantwortlichen träfen.8 Im Einzelfall wird von den Problemen der Rechtsfolgen sogar auf tatbestandliche Argumente geschlossen. Die europarechtlich vorgegebene datenschutzrechtliche Verantwortlichkeit verursacht Regelungsfolgen im deutschen Recht, die das nationale (Betriebsverfassungs-)Recht teils herausfordern. Eine dieser Regelungsfolgen ist etwa, dass Verantwortliche auch für immaterielle, durch Datenschutzverstöße entstandene Schäden im Rahmen von Schadensersatzansprüchen einstehen müssen (Art. 82 DSGVO). Eine andere ist, dass der Verantwortliche für Datenschutzverstöße auch mit Geldbuße sanktioniert werden kann (Art. 83 DSGVO). Der Betriebsrat wäre als Verantwortlicher zwar ausgleichspflichtiger Adressat von Schadensersatzforderungen und Geldbußen, aber mangels Vermögensfähigkeit im deutschen (Betriebsverfassungs-)Recht nicht ohne Weiteres ausgleichsfähig. Das Europarecht verlangt im Sinne des sog. effet-utile-Grundsatzes allerdings effektive Um- und Durchsetzung. Europäische Vorgaben und nationale Prämissen sind nicht aufeinander abgestimmt. Und auch bei anderen Rechtsfolgen greifen europäisches und deutsches Recht wenn auch besser, so nicht widerspruchsfrei ineinander. Wer trüge etwa bei der pflichtigen oder freiwilligen Benennung eines Datenschutzbeauftragten durch den Betriebsrat entstehende Kosten? Aus methodischen Gründen und wegen der Normenhierarchie dürfen (nationale) Rechtsfolgenerwägungen nicht ohne Weiteres zur Auslegung der europarechtlichen Verantwortlichkeitsarchitektur herangezogen werden. Denn der DSGVO-Gesetzgeber kanalisiert allein über Öffnungsklauseln mitgliedstaatliche Modifikationsmöglichkeiten. Die Arbeit bewegt sich stets zwischen datenschutzrechtlichen (Verantwortlichkeit) und arbeitsrechtlichen (Betriebsrat) sowie zwischen europarechtlichen (Effektivitätsgrundsatz) und nationalstaatlichen (Betriebsverfassungsrecht) Regelungen. 7

Vgl. zum Betriebsrätestärkungsgesetz etwa Zumkeller, BB 2021, I; Möhle, ZD-Aktuell 2021, 05067. 8 S. die Übersicht bei Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 125.

§ 1 Betriebsräte, Verantwortlichkeit und Datenschutz

25

Ihr Aufbau verknüpft zwei in hohem Maße interdependente Teile: Zunächst wird umfassend die europarechtlich vorgegebene (Art. 4 Nr. 7 1. Hs. DSGVO), aber mitgliedstaatlich modifizierbare (Art. 4 Nr. 7 2. Hs. DSGVO) tatbestandliche Frage diskutiert, ob der Betriebsrat datenschutzrechtlich Verantwortlicher ist (Kap. § 2). Dann werden die europarechtlich vorgegebenen, aber im Einzelfall national umzusetzenden Rechtsfolgen dieser Verantwortlichkeit untersucht. Für die aus der Verantwortlichkeit resultierenden Probleme werden rechtliche Lösungsansätze herausgearbeitet (Kap. § 3). Die tatbestandliche Untersuchung beginnt bei den Wurzeln des datenschutzrechtlichen Verantwortlichkeitskonzepts (Kap. § 2 A.). Über die Darlegung der Stellung des Betriebsrats im BDSG bis 2018 (Kap. § 2 B.) werden neuere Streitigkeiten der Literatur, der Rechtsprechung und der Datenschutzaufsichtsbehörden zur Stellung des Betriebsrats in der DSGVO nachvollzogen (Kap. § 2 C.). Die bisherige Diskussion tauscht vielfältige einzelne Argumente aus, die die vorliegende Arbeit umfassend abstrahiert, ausarbeitet und in den Gesamtzusammenhang „Betriebsrat in der Verantwortlichkeitsarchitektur der DSGVO“ einordnet (Kap. § 2 D.). Hierzu werden zunächst die verwendeten Auslegungsmethoden des Europarechts hergeleitet und offengelegt (Kap. § 2 D. I.). In einem zweiten Schritt wird anhand dieser Methoden die Frage beantwortet, ob der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO ist (Kap. § 2 D. II.). Mitgliedstaatliche Gesetzgeber können gem. Art. 4 Nr. 7 2. Hs. DSGVO von den europäischen Vorgaben abweichen. Der deutsche Gesetzgeber ist bisher allerdings nicht abgewichen (Kap. § 2 D. II., III.).9 Die Stellung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur bedingt vielfältige Rechtsfolgen (Kap. § 3 A.). Sie verursacht etwa höhere Personal- und Sachmittel (Kap. § 3 B.). Der Betriebsrat muss bzw. kann einen Datenschutzbeauftragten benennen (Kap. § 3 C.). Und auf etwaige Datenschutzverstöße reagiert das DSGVO-Haftungsregime (Kap. § 3 D.): Betroffene können für erlittene Schäden Schadensersatzforderungen gegenüber dem Betriebsrat geltend machen (Kap. § 3 D. I.). Datenschutzaufsichtsbehörden können zudem Geldbußen gegen ihn verhängen (Kap. § 3 D. II.). Das Haftungsregime gegen den Betriebsrat verursacht im deutschen Recht erhebliche (Folge-)Probleme. Hier werden deshalb – unter Berücksichtigung von Europarecht und Betriebsverfassungsrecht – Lösungsvorschläge zur Diskussion gestellt (Kap. § 3 E.). Ein kurzes Resümee fasst die wesentlichen Ergebnisse der Arbeit thesenartig zusammen (Kap. § 4).

9

S. allerdings das sog. Betriebsrätemodernisierungsgesetz, vgl. Kap. § 5.

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit Das Thema Betriebsräte und Datenschutz ist vergleichsweise wenig erschlossen. Denn die beschäftigtendatenschutzrechtliche Literatur und die Rechtsprechung befassen sich bisher v. a. mit der Verarbeitung personenbezogener Arbeitnehmerdaten durch den Arbeitgeber und nicht mit datenschutzrechtlichen Anforderungen an den Betriebsrat.1 Seit Implementierung des weitreichenden Verantwortlichkeitskonzepts in der DSGVO werden diese Anforderungen jedoch zunehmend diskutiert. Denn es geht fortan auch um die Reichweite zweier Rechtsgebiete, die einerseits nationalstaatlich dominiert (Betriebsverfassungsrecht) und andererseits europäische Rechtsmaterie sind (Datenschutzrecht). Und auch wenn auf den ersten Blick der genealogisch und inhaltlich gut erforschte Terminus Betriebsrat2 nicht im Zentrum der Arbeit steht, so wird schnell deutlich, dass die hier thematisierte datenschutzrechtliche Verantwortlichkeit kompetenziell auf den Begriff Betriebsrat ausstrahlt. Denn Verantwortlichkeit ist rechtliche Sollens-Anforderung,3 ist Einstehen müssen4 für zugerechnete Rechtsfolgen.5 Und muss der Betriebsrat für etwas einstehen, so geht es um seine (datenschutzrechtlichen) Kompetenzen, um seine Rechte und seine Pflichten. Betriebsrätliche Rechte und Pflichten sind spätestens seit einem Urteil des BGH aus 2012 heftig diskutiert.6 Ist der Betriebsrat also datenschutzrechtlich Verantwortlicher und muss er deshalb für datenschutzrechtliche Rechte und Pflichten einstehen? Ausgehend vom Ursprung des Verantwortlichkeitskonzepts im Datenschutzrecht (A.) werden folgend die Diskussionsentwicklungen rund um Betriebsrat und datenschutzrechtliche Verantwortlichkeit im BDSG a. F. (B.) und in der DSGVO (C.) nachvollzogen. Nach Auseinandersetzung mit Literaturansichten, Rechtsprechung und Ansichten der Datenschutzaufsichtsbehörden, wird der Betriebsrat – unter Offenlegung der Methodik – im DSGVO-Verantwortlichkeitskonzept ver-

1 Vgl. Stark, Datenschutzrechtliche Grenzen der Aufgabenwahrnehmung des Betriebsrats, S. 34. 2 Vgl. statt vieler etwa nur Wiese, in: ders. et al. (Hrsg.), GK BetrVG I, S. 59–117. 3 Zippelius, Varianten und Gründe rechtlicher Verantwortlichkeit, in: Jahrbuch für Rechtssoziologie und Rechtstheorie 1989, 257. 4 Köbler, Juristisches Wörterbuch, S. 451.; ders., in: Tilch / A rloth (Hrsg.), Dt. Rechts-­ Lexikon, 3. Bd., S. 4395. 5 Vgl. zu den Grenzen des Konzepts v. a. im Bereich des Datenschutzrechts neuerlich jedoch Conrad, DuD 2019, 563. 6 Urt. v. 25. 10. 2012 – Az. III ZR 266/11.

A. Der Ursprung des Verantwortlichkeitskonzepts im Datenschutzrecht 

27

ortet (D.). Für die datenschutzrechtliche Verantwortlichkeit des Betriebsrats ist die DSGVO ein historischer Einschnitt (E.).

A. Der Ursprung des Verantwortlichkeitskonzepts im Datenschutzrecht Die Geschichte des datenschutzrechtlichen Verantwortlichkeitsbegriffs ist in Deutschland kürzer als die ohnehin kurze Geschichte des kodifizierten (deutschen) Datenschutzrechts. In § 1 des Hessischen Datenschutzgesetzes von 1970,7 dem ersten Gesetz der Welt, das sich begrifflich mit Datenschutzrecht beschäftigte,8 umfasste der „personale“ Anwendungsbereich datenschutzrechtlicher Regelungen Behörden, Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Den (abstrakten) Begriff Verantwortlichkeit kannte das Gesetz nicht. Das Bundesdatenschutzgesetz von 19779 regelte Datenverarbeitungen von Behörden oder sonstigen öffentlichen Stellen (§ 2 Abs. 1 BDSG 1977). Nach einer Reihe von durch das Volkszählungsurteil des BVerfG (1983)10 veranlassten Gesetzesnovellen lösten sich die Datenschutzgesetze zwar von vereinzelt aufgezählten Akteuren und knüpften an abstraktere Begriffe an. Das Verantwortlichkeitskonzept war aber weiterhin unbekannt. Das Hessische Datenschutzgesetz von 198611 knüpfte an die datenverarbeitende Stelle (§ 2 Abs. 3 HessDSG 1986) und das BDSG von 199012 an die speichernde Stelle (§ 3 Nr. 8 BDSG 1990) an. Es differenzierte fortan öffentliche und nicht-öffentliche Stellen (§ 2 Abs. 1, 2, 4 BDSG 1990). Erst das BDSG von 200113 und die überarbeiteten Fassungen aus 200314 und 2009/201015 nutzten den Begriff der verantwortlichen Stelle (§ 3 Nr. 7 BDSG 2001). Dem BDSG von 2001 gingen europarechtliche Auseinandersetzungen im Rahmen eines von der Europäischen Kommission gegen Deutschland angestrengten Vertragsverletzungsverfahrens voraus.16 Dieses Verfahren hatte das Ziel, die 7

Datenschutzgesetz des Landes Hessen v. 7. Oktober 1970, GVBl. 1970, II–300, S. 10. v. Lewinski, Matrix des Datenschutzes, S. 3; Simitis / Hornung / Spiecker, in: dies. (Hrsg.), DSGVO, Einl., Rn. 1. 9 Gesetz zum Schutz vor Mißbrauch (sic!) personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG) v. 27. Januar 1977, BGBl. 1977, I–7, S. 201. 10 BVerfGE 64, 67 (Volkszählung). 11 Datenschutzgesetz des Landes Hessen v. 11. November 1986, GVBl. 1986, I, S. 309. 12 Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes (Bundesdatenschutzgesetz – BDSG) v. 20. Dezember 1990, BGBl. 1990, I, S. 2954. 13 Bekanntmachung der Neufassung des Bundesdatenschutzgesetzes v. 18. Mai 2001 (BGBl. 2001, I, S. 904). 14 Bekanntmachung der Neufassung des Bundesdatenschutzgesetzes v. 14. Januar 2003 (BGBl. 2003, I, S. 66). 15 Im Jahr 2009 wurde das BDSG zur Umsetzung europarechtlicher Anforderungen vielfach geändert: s. nur Gesetz vom 29. 07. 2009 (BGBl. 2009, I, S. 2254), Artikel 5 des Gesetzes v. 29. 07. 2009 (BGBl. 2009, I, S. 2355 [2384]) und Gesetz v. 14. 08. 2009 (BGBl. 2009, I, S. 2814). 16 Vgl. Simitis, in: ders. (Hrsg.), BDSG, Einl., Rn. 89 ff. 8

28

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

eigentlich bereits mit Ablauf der Umsetzungsfrist am 24. Oktober 1998 fällige Implementierung der europäischen Datenschutzrichtlinie von 1995 in nationales Recht durchzusetzen,17 die bis dato nicht erfolgt war. Die DSRL knüpfte ihrerseits an den Begriff für die Verarbeitung Verantwortlicher (Art. 2 lit.  d DSRL 1995) datenschutzrechtliche Pflichten. Der deutsche Gesetzgeber setzte also nicht nur europäische Vorgaben (verspätet) um. Er modifizierte auch den europäischen Verantwortlichkeitsbegriff und fügte, in der deutschen datenschutzrechtlichen Tradition stehend, den Begriff der „Stelle“ an.18 Er nutzte fortan den Terminus verantwortliche Stelle (§ 3 Nr. 7 BDSG 2001).19 Das Jahr 2001 ist also historischer Ursprung des datenschutzrechtlichen Verantwortlichkeitsbegriffs im deutschen Recht, verknüpft mit dem Terminus Stelle. Der Wortlaut von Art. 2 lit. d DSRL 1995 war Ausgangspunkt der nationalen Begriffsimplementierung. Mit der DSRL wollte der europäische Gesetzgeber die Regelungen des Europarat-Übereinkommens Nr. 108 vom 28. Januar 198120 konkretisieren und erweitern.21 Nach den 1981 beginnenden Verhandlungen nutzte die sog. Datenschutzkonvention bereits ab Inkrafttreten im Jahr 1985 den Verantwortlichkeitsbegriff (Art. 2 lit. d DSK 108). 1981 ist historischer Ausgangspunkt des Verantwortlichkeitsbegriffs. Aus dem Völkerrecht von der DSRL übernommen, wurde die datenschutzrechtliche Verantwortlichkeit 2018 in die DSGVO getragen.22 Nach Implementierung von Art. 4 Nr. 7 1. Hs. DSGVO, der im Gegensatz zu den Regelungen der DSRL als Verordnung unmittelbar gilt (Art. 288 UAbs. 2 Satz 2 AEUV), wurde der Begriff verantwortliche Stelle im neuen BDSG von 2018,23 das zeitgleich mit der DSGVO in Kraft trat, ersetzt durch den Begriff datenschutzrechtlich Verantwortlicher.

B. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im BDSG Über die europäische Datenschutzrichtlinie von 1995 (Art. 2 lit. d DSRL) wurde der Begriff der datenschutzrechtlich verantwortlichen Stelle im Jahre 2003 ver­ spätet24 in § 3 Nr. 7 BDSG übernommen. Verantwortliche Stelle war jede Person 17 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 13. 12. 1995 (EG-Datenschutzrichtlinie). 18 S. ausf. Kap. § 2 D. II. 1. c) bb) (1) (b). 19 U. a. wegen der eigenen Begriffsfindung europarechtlich kritisch: Monreal, ZD 2014, 611. 20 Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108) v. 28. Januar 1981. 21 Vgl. DSRL-EG 11. 22 S. ausf. Kap. § 2 D. II. 1. c). 23 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU: DSAnpUG-EU) v. 30. Juni 2017, BGBl. 2017, I, S. 2097. 24 S. § 2 D. II. 1. c) bb) (1) (c).

B. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im BDSG 

29

oder Stelle, die personenbezogene Daten für sich selbst erhob, verarbeitete oder nutzte. Öffentliche Stellen waren gem. § 2 Abs. 1 BDSG staatliche Stellen, etwa des Bundes. Als nicht-öffentliche Stellen galten hingegen gem. § 2 Abs. 4 BDSG juristische Personen, Gesellschaften und andere privatrechtliche Personenvereinigungen. Der Betriebsrat ist weder öffentliche Stelle noch juristische Person oder Gesellschaft und auch keine Personenvereinigung. Auch ist er als Organ keine natürliche Person, obwohl er sich selbstverständlich aus natürlichen Personen zusammensetzt. Er war damit keine enumerativ aufgelistete Stelle. Das BDSG kannte keinen Begriff wie den der „anderen Stelle“. Der Betriebsrat war also weder Person noch Stelle und somit nicht datenschutzrechtlich verantwortlich. Dennoch wurde die datenschutzrechtliche Stellung des Betriebsrats bereits im BDSG thematisiert. Denn auf der einen Seite war der Betriebsrat vom Arbeitgeber schon allein zur Durchsetzung effektiver Belegschaftsinteressen (betriebsverfassungsrechtlich) unabhängig. Andererseits steht der Betriebsrat u. a. deshalb datenschutzrechtlich in einem sehr engen Verhältnis zum Arbeitgeber, weil er zur effektiven Belegschaftsinteressenvertretung auf Datenübermittlungen und -offenlegungen des Arbeitgebers angewiesen ist.25 Unabhängigkeit auf der einen Seite arrondiert also enge Verstrickung auf der anderen Seite. In diesem Wissen bestand Einigkeit in Rechtsprechung26 und Literatur:27 Der Betriebsrat sei Teil der verantwortlichen Stelle Arbeitgeber. Er sei keine eigenständige verantwortliche Stelle. Denn auch für Datenflüsse zwischen Abteilungen in Unternehmen und sonstigen rechtlich unselbstständigen unternehmerischen Einheiten mit dem Arbeitgeber sei der Arbeitgeber verantwortlich, weil diese intern seien. Interne (Unternehmens-) Einheiten könnten nicht selbst verantwortlich sein.28 Der Betriebsrat sei auch deshalb nicht anders zu behandeln, weil seine betriebsverfassungsrechtliche Unabhängigkeit gesetzlich geregelt sei. Denn die betriebsverfassungsrechtliche Unabhängigkeit müsse nicht auch datenschutzrechtrechtlich durchgreifen.29 Zwar trage der Betriebsrat wegen der betriebsverfassungsrechtlichen Unabhängigkeit bei der 25

Zur Einsichtnahme in Bruttoentgeltlisten s. etwa BAG, Urt. v. 7. 5. 2019 – Az. 1 ABR 53/17; anders BAG, Urt. v. 28. 7. 2020 – Az. 1 ABR 6/19. 26 BAG, Urt. v. 12. 8. 2009  – Az. 7 ABR 15/08 Rn. 27; BAG, Beschl. v. 11. 11. 1997  – Az. 1 ABR 21/97 m. w. N.; BAG, Beschl. v. 14. 1. 2014 – Az. 1 ABR 54/12; BAG, Beschl. v. 12. 8. 2009 – Az. 7 ABR 15/08 Rn. 27; erstmalig BAG, Beschl. v. 11. 11. 1997 – Az. 1 ABR 21/97 m. w. N.; nachdem die Frage vom BAG, Beschl. v. 17. 3. 1983 – Az. 6 ABR 33/80 noch offengelassen wurde. 27 S. nur Wedde, in: Däubler / K lebe / Wedde / Weichert (Hrsg.), BDSG, § 27, Rn.  8; Weichert, ebd., § 3, Rn. 56; Stamer / Kuhnke, in: Plath (Hrsg.), DSGVO / BDSG, § 32, Rn. 155; v.d. Bussche, ebd., § 4g, Rn. 31; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 27, Rn. 5; Eßer, in: ders. / K ramer / v. Lewinski (Hrsg.), Auernhammer BDSG, § 3, Rn. 137; Abel, in: ders. (Hrsg.), BDSG, § 2, S. 29; Gola / Schomerus et al., in: Gola et al. (Hrsg.), BDSG, § 3, Rn. 49; Simitis, in: ders. (Hrsg.), BDSG, § 2, Rn. 141; Seifert, ebd., § 32, Rn. 170; Küpferle, Arbeitnehmerdatenschutz im Spannungsfeld von BDSG und BetrVG, S. 358 ff.; zum Personalrat auch Battis / Bleckmann, CR 1989, 532 (533). 28 Wedde, in: Däubler / K lebe / Wedde / Weichert (Hrsg.), BDSG, § 27, Rn.  8. 29 Weichert, in: Däubler / K lebe / Wedde / Weichert (Hrsg.), BDSG, § 3, Rn.  56.

30

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Datenverarbeitung eigene Verantwortung.30 Er sei aber nicht zugleich datenschutzrechtlich eigenständiger Verantwortlicher. Denn wäre er selbst Verantwortlicher, so wäre er aus Arbeitgebersicht Dritter gewesen.31 Die betriebsverfassungsrechtliche Eigenständigkeit des Betriebsrats verlange jedoch, dass Datenverarbeitungen zwischen Betriebsrat und Arbeitgeber tatsächlich für betriebsrätliche Informationsansprüche erforderlich sein müssten (BetrVG). Der Betriebsrat handele insoweit eigenverantwortlich für die Einhaltung datenschutzrechtlicher Vorschriften.32 Zwar musste der Betriebsrat das Datenschutzrecht wahren, er galt jedoch als Teil der verantwortlichen Stelle „Arbeitgeber“ und damit nicht als selbst verantwortlich.

C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO Seit Implementierung der DSGVO ist die datenschutzrechtliche Verantwortlichkeit in Art. 4 Nr. 7 DSGVO normiert: Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der personenbezogenen Datenverarbeitung entscheidet. Im Vergleich zu § 3 Nr. 7 BDSG a. F. ergänzt die DSGVO die enumerative Auflistung um den Terminus andere Stelle. Die unter dem BDSG gangbare abgrenzende Feststellung, der Betriebsrat sei weder öffentliche Stelle noch natürliche oder juristische Person, Gesellschaft oder Personenvereinigung, reicht nicht mehr aus, um festzustellen, dass der Betriebsrat nicht verantwortlich ist. Denn hier können eben auch andere Stellen verantwortlich sein. Die terminologische Modifikation führt in Rechtsprechung (I.) und Literatur (II.) und bei den Datenschutzaufsichtsbehörden (III.) zu erheblichen Diskussionen. Der deutsche Gesetzgeber denkt indes über eine Regelung nach (IV.). Bisher stützen sich die Ansichten jedoch überwiegend auf einzelne Argumente und müssen somit ausgearbeitet und in einen übergeordneten Zusammenhang gestellt werden (V.).

30

Dies betonend auch BAG, Urt. v. 12. 8. 2009 – Az. 7 ABR 15/08, Rn. 27. Gola / Schomerus et al., in: Gola et al. (Hrsg.), BDSG, § 3, Rn. 49; auch Eßer, in: ders. / K ramer / v. Lewinski (Hrsg.), Auernhammer BDSG, § 3, Rn. 137. 32 Gola / Schomerus et al., in: Gola et al. (Hrsg.), BDSG, § 3, Rn. 49; Wedde, Computer-Fachwissen 2001, 18; Schierbaum, PersR 2002, 499. 31

C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO  31

I. Uneinheitlichkeit in der Rechtsprechung Die (BAG-)Rechtsprechung sah den Betriebsrat unter dem alten BDSG als Teil der verantwortlichen Stelle Arbeitgeber an.33 Seit dem Einfügen der anderen Stelle in den Gesetzeswortlaut bewertet die Rechtsprechung die datenschutzrechtliche Stellung des Betriebsrats uneinheitlich. Das Bundesverwaltungsgericht hat bisher zentrale Fragestellungen zur datenschutzrechtlichen Stellung von Personalvertretungen offen gelassen.34 Zwar waren beim BAG zuletzt einige Verfahren anhängig, die Anlass geboten hätten, die Stellung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur zu thematisieren.35 Jedoch konnte es die Fragestellung unter Verweis auf den Streitstand in der Literatur mehrfach offenlassen.36 Auf Ebene der Landesarbeitsgerichte zeichnen sich indes zwei unterschiedliche Meinungsstämme ab, die eine Entscheidung des BAG (oder des Gesetzgebers) auf kurz oder lang unerlässlich machen. Das LAG Niedersachsen37 und das LAG Hessen38 ordnen den Betriebsrat auch nach neuer Rechtslage datenschutzrechtlich dem verantwortlichen Arbeitgeber zu. Dies gelte jedenfalls, solange sich der Betriebsrat im Rahmen seiner ihm durch Gesetz zugewiesenen Aufgaben bewege. Denn der Betriebsrat sei in die arbeitsvertragliche Beziehung zwischen Arbeitgeber und Arbeitnehmer unmittelbar eingebunden und seine Zuordnung zum verantwortlichen Arbeitgeber folge bereits aus der Zweckentsprechung seiner Datenverarbeitung mit der des Arbeitsvertrags.39 Hiergegen wenden sich das LAG Sachsen-Anhalt40 und das LAG Mecklenburg-Vorpommern41, die den Betriebsrat als eigenen Verantwortlichen klassifizieren. Denn der Betriebsrat entscheide selbst über die Zwecke seiner Datenverarbeitungen, in den konkreten Fällen über die Zwecke der Einsichtnahme in Bruttoentgeltlisten.42 Bisweilen beurteilen die Landesarbeitsgerichte die datenschutzrechtliche Verantwortlichkeit des Betriebsrats also uneinheitlich. Ob eine Entscheidung des BAG die Rechts-

33

BAG, Beschl. v. 14. 1. 2014 – Az. 1 ABR 54/12; BAG, Beschl. v. 12. 8. 2009 – Az. 7 ABR 15/08, Rn. 27; erstmalig BAG, Beschl. v. 11. 11. 1997 – Az. 1 ABR 21/97 m. w. N.; nachdem die Frage in BAG, Beschl. v. 17. 3. 1983 – Az. 6 ABR 33/80 noch offengelassen wurde. 34 BVerwG, Beschl. v. 19. 12. 2018 – Az. 5 P 6.17. 35 Anhängig etwa unter den Az. BAG – Az. 1 ABR 44/18 (eingestellt) und Az. 1 ABR 15/19 (zurückgenommen). 36 BAG, Beschl. v. 9. 4. 2019 – Az. 1 ABR 51/17 = ZD 2020, 46, Rn. 47 und BAG, Beschl. v. 7. 5. 2019 – Az. 1 ABR 53/17 = NZA 2019, 1218, Rn. 45; Piltz / Zwerschke, NZA-RR 2020, 113 (117) zufolge habe das BAG die Frage explizit offengelassen. 37 LAG Niedersachsen, Beschl. v. 22. 10. 2018 – Az. 12 TaBV 23/18, Rn. 48. 38 LAG Hessen, Beschl. v. 10. 12. 2018 – Az. 16 TaBV 130/18 = NZA-RR 2019, 196, Rn. 32. 39 Kritisch hierzu unmittelbar die Anm. v. Möllenkamp, NZA-RR 2019, 198 (198 ff.). 40 LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – Az. 4 TaBV 19/17 = NZA-RR 2019, 256, Rn. 37. 41 LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – Az. 3 TaBV 10/18 = ZD 2019, 573, Rn. 17. 42 LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – Az. 4 TaBV 19/17 = NZA-RR 2019, 256, Rn. 37.

32

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

lage vereinheitlichen würde, ist indes unklar. Sie würde aber jedenfalls zunächst die gerichtliche Praxis vereinheitlichen. Rechtsklarheit für die Gerichte würde allein die – bisher nicht erfolgte – Vorlage der Fragestellung an den EuGH schaffen.

II. Uneinheitliche Meinungen in der Literatur – der Streitstand Die Landesarbeitsgerichte verweisen in ihren Urteilen auf breite Streitstände in der Literatur. Die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats ist in der Literatur stark umstritten. Es bilden sich zwei Meinungslager. Das eine Lager vertritt die Ansicht, der Betriebsrat sei – wie bisher – auch unter der DSGVO Teil der verantwortlichen Stelle Arbeitgeber.43 Das andere Lager macht geltend, der Betriebsrat sei unter der DSGVO nunmehr eigenständiger Verantwortlicher.44 Die erste Ansicht argumentiert, Untergliederungen in der DSGVO seien stets übergeordneten Organisationsteilen zugeordnet. Im Sinne der DSGVO-Erwägungs­ gründe gelte dies für den Arbeitgeber und dessen Organisationsteile sogar in

43 So etwa Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 11 f.; Stamer / Kuhnke, in: Plath (Hrsg.), DSGVO / BDSG, § 26, Rn. 154; Pötters, in: Gola (Hrsg.), DSGVO, Art. 88, Rn. 40; Eßer, in: ders. / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / ​ BDSG, Art. 4, Rn. 81 f.; Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 135; Selk, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 88, Rn. 192; Seifert, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 88, Rn. 209; Steiner / Wedde, in: Wedde (Hrsg.), Hdb. Datenschutz und Mitbestimmung, S. 381 ff.; Däubler, Gläserne Belegschaften, Rn. 640f; Pötters / Hansen, ArbRAktuell 2020, 193 (195 f.); Schuster, AuR 2020, 104; Stück, ZD 2019, 256 (258 f.) m. w. N.; Lücke, NZA 2019, 658 (660 f.); Heu­schmid, SR 2019, 1 (8); Middel, AuR 2018, 411 (416 ff.); Hitzelberger-Kijima, öAT 2018, 136 (138); bereits Pötters / Gola, RDV 2017, 279; tendenziell Wybitul in Wybitul / Kranig, ZD 2019, 1 (1 f.); Ströbel / Wybitul, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 10, Rn. 77 ff.; Brams / Möhle, ZD 2018, 570 (571), unschlüssig, aber tendenziell: Althoff, ArbRAktuell 2018, 546; wann der Regelfall vorliegt, der von Weichert, in: Däubler / Wedde / ders. / Sommer (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 89a unterstellt wird, wann der Betriebsrat in der Regel kein eigenständiger Verantwortlicher sei, bleibt unklar. 44 So nun Maschmann, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 26 BDSG, Rn. 16 f. (anders noch in der Vorauflage, ebd., Rn. 16); auch Riesenhuber, in: Wolff / Brink (Hrsg.), ­BeckOK Datenschutzrecht / BDSG, § 26, Rn. 195 (anders noch in den Vorauflagen); Arning  / ​ Roth­kegel, in: Taeger / Gabel (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 167; Gola, in: ders. (Hrsg.), DSGVO, Art. 4, Rn. 56; Kramer, Betriebsrat und Datenschutz, in: Weth / Herberger / ​Wächter / ​ Sorge (Hrsg.), Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, C I, Rn. 47 ff.; Maschmann, NZA 2020, 1207; Staben, ZFA 2020, 287 (insb. 298); Kurzböck / Weinbeck, BB 2020, 500 (503); Brink / Joos, NZA 2019, 1395 (1399); Möllenkamp, NZA-RR 2019, 196; vgl. Hamann / ​Wegmann, BB 2019, 1347 (1349); Schulz, ZESAR 2019, 323 (326); Schmidl / Wolff, AuA 2018, 696 (698); Kleinebrink, DB 2018, 2566 (2570 f.); Kurzböck / Weinbeck, BB 2018, 1652 (1654); Kort, ZD 2017, 319 (322 f.); Kort, NZA 2015, 1345 (1348); tendenziell Kranig in Kranig / Wybitul, ZD 2019, 1; Düwell / Brink, NZA 2017, 1081 (1085); Gola / Pötters / Wronka, HdbANDS, Rn. 2130; tendenziell zu Personalräten wohl Meinhold, NZA 2019, 670 (671).

C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO  33

besonderem Maße.45 Dem europäischen Gesetzgeber fehle indes sogar die Kompetenz, den Betriebsrat als eigenständigen Verantwortlichen zu klassifizieren: Für die arbeitsrechtliche Fragestellung sei Art. 153 AEUV Kompetenztitel, der arbeitsrechtliche Regelungen im Europarecht wiederum lediglich qua Richtlinie und nicht – wie in der DSGVO – qua Verordnung ermögliche.46 Darüber hinaus sei auch der Tatbestand von Art. 4 Nr. 7 DSGVO gar nicht erfüllt. Verantwortlichkeit setze eigene Entscheidung (über Zwecke und Mittel der Datenverarbeitung) voraus. Die betriebsrätlichen Verarbeitungszecke und -mittel seien aber gesetzlich vorgegeben, weshalb der Betriebsrat also gar nicht selbst über Verarbeitungszwecke und -mittel entscheiden könne.47 Nicht nur die sachliche Entscheidung zeige, dass der Betriebsrat nicht verantwortlich sein könne, sondern auch in personeller Hinsicht sei der Betriebsrat keine geeignete Entität: Eine verantwortliche Stelle müsse bei Datenschutzverstößen haften können. Haftung setze Vermögensfähigkeit voraus – der Betriebsrat sei aber gerade nicht vermögensfähig.48 Wenn er im Einzelnen auch weiterhin für die Einhaltung des Datenschutzrechts zuständig sei, so sei er nicht Verantwortlicher.49 Der Arbeitgeber schließe die entstehende Haftungslücke, indem er für die Datenverarbeitungen des Betriebsrats verantwortlich sei.50 Aus deutscher Sicht sprächen zudem Praktikabilitätserwägungen für die Zuordnung zum Arbeitgeber.51 Die Kommentarliteratur schließt sich zwar überwiegend dieser Auffassung an, liefert jedoch keine weiteren Argumente. Die andere Ansicht argumentiert, das Einfügen des Terminus andere Stelle in Art. 4 Nr. 7 DSGVO erweitere bewusst den Kreis der Verantwortlichen: Die Einordnung des Betriebsrats als Teil der verantwortlichen Stelle Arbeitgeber in der Vergangenheit indiziere nicht, dass der Betriebsrat nicht fortan Verantwortlicher sein könne.52 Durch Einfügung der anderen Stelle habe der Anwendungsbereich von Art. 4 Nr. 7 1. Hs. DSGVO auch auf Entitäten ohne Rechtspersönlichkeit erweitert werden sollen.53 Dass die gesetzliche Vorzeichnung von Verarbeitungszwecken und -mitteln datenschutzrechtliche Verantwortlichkeit verhindere, gehe bereits deshalb fehl, weil sogar die DSGVO selbst Verarbeitungszwecke und -mittel vorschreibe. Wenn gesetzliche Vorzeichnungen Verantwortlichkeit verhinderten, 45

Middel, AuR 2018, 411 (416), Lücke, NZA 2019, 658 (660). Middel, AuR 2018, 411 (417). 47 Middel, AuR 2018, 411 (417); Althoff, ArbRAktuell 2018, 414 (416); Lücke, NZA 2019, 658 (660); Ströbel / Wybitul, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 10, Rn. 78; Wybitul, in: Wybitul / K ranig, ZD 2019, 1 (1 f.). 48 Heuschmid, SR 2019, 1 (8); so auch Lücke, NZA 2019, 658 (660); Pötters / Gola, RDV 2017, 279 (280); Stück, ZD 2019, 256 (261); so wohl auch Klebe / Schmidt / Klengel, Betriebsverfassung und Datenschutzrecht, in: Gräfl / Lunk / Oetker / Trebinger (Hrsg.): 100 Jahre Betriebsverfassungsrecht, S. 305–321 (317), die jedoch die Rechtsfähigkeit als Voraussetzung der datenschutzrechtlichen Verantwortlichkeit ansehen. 49 So wohl Stück, ArbRAktuell 2020, 591 (592). 50 Heuschmid, SR 2019, 1 (8). 51 Hitzelberger-Kijima, öAT 2018, 136 (138). 52 Staben, ZFA 2020, 287 (292); Kurzböck / Weinbeck, BB 2020, 500 (502). 53 Maschmann, NZA 2020, 1207 (1210); Staben, ZFA 2020, 287 (292). 46

34

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

würde sich das Verantwortlichkeitskonzept in der Folge selbst abschaffen.54 Zudem bleibe unklar, wie das Organ Betriebsrat – als explizit nicht Verantwortlicher – den Datenschutzvorschriften unterliegen solle, da die DSGVO allein Verantwortlichen die Pflichten auferlege, Datenschutzvorschriften zu berücksichtigen.55 Der Betriebsrat entscheide auch faktisch über die Zwecke und Mittel der Datenverarbeitung,56 wie bereits die BAG-Rechtsprechung vor Implementierung der DSGVO hervorgehoben habe.57 Hinzu trete, dass der Arbeitgeber (als etwaiger Verantwortlicher) betriebsrätliche Datenverarbeitungen gar nicht effektiv kontrollieren könne, wodurch ein Datenschutzvakuum entstehe, das erst durch die eigenständige Verantwortlichkeit des Betriebsrats gefüllt werde.58 Die betriebsverfassungsrechtliche Unabhängigkeit lege zudem nahe, dass der Betriebsrat auch datenschutzrechtlich unabhängig sei.59 Denn die DSGVO kenne keine Sonderstellung des Betriebsrats.60 Der Thüringische Landesgesetzgeber etwa habe dies erkannt und für den Personalrat bereits eine klarstellende Regelung getroffen.61

III. Uneinheitliche Meinungen der Datenschutzaufsichtsbehörden Auch die Datenschutzaufsichtsbehörden nehmen am datenschutzrechtlichen Diskurs teil. Die DSGVO fordert die Schaffung dieser Datenschutzaufsichtsbehörden unter Zuweisung vielfältiger Aufgaben.62 Sie sollen Grundrechte und Grundfreiheiten natürlicher Personen bei Datenverarbeitungen schützen (Art. 51 Abs. 1 DSGVO) und die DSGVO-Anwendung überwachen (Art. 57 DSGVO). Jeder Mitgliedstaat soll zumindest eine Aufsichtsbehörde benennen und die Aufsichtsbehörden strukturieren (Art. 51 Abs. 1 DSGVO). Sofern Mitgliedstaaten mehrere Aufsichtsbehörden einsetzen, regeln sie deren Kompetenzabgrenzungen (Art. 51 Abs. 3 DSGVO). Das in Artt. 60, 56 Abs. 2, 3 DSGVO angelegte Netzwerk von Datenschutzbehörden mit jeweils einer federführenden Aufsichtsbehörde ohne eine „Superbehörde“ wurde auch als one stop shop diskutiert.63 Betroffene und Datenschutzverstöße verursachende Stellen sollen einen Ansprechpartner haben:

54

Staben, ZFA 2020, 287 (293); Kurzböck / Weinbeck, BB 2020, 500 (501). Staben, ZFA 2020, 287 (296 f.). 56 Kurzböck / Weinbeck, BB 2018, 1652; Schulz, ZESAR 2019, 323 (325); Arning / Rothkegel, in: Taeger / Gabel (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 167. 57 Verweis bei Arning / Rothkegel, in: Taeger / Gabel (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 167. 58 Brink / Joos, NZA 2019, 1395 (1399). 59 Kleinebrink, DB 2018, 2566 (2567); Kurzböck / Weinbeck, BB 2018, 1652. 60 Kleinebrink, DB 2018, 2566 (2571). 61 Meinhold, NZA 2019, 670 (671); Schulz, ZESAR 2019, 323 (324). 62 S. hierzu nur Brink, ZD 2020, 59. 63 Noch zur alten Rechtslage mit Ausblick auf die DSGVO: Caspar, ZD 2012, 555 und Kranig, ZD 2013, 550; neuerlich zum sog. „one stop shop“-Prinzip: Nguyen, ZD 2015, 265; v. Lewinski, NVwZ 2017, 1483; Pohl, PinG 2017, 85 (88). 55

C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO  35

Die am Sitz des Verantwortlichen niedergelassene federführende Aufsichtsbehörde (Artt. 55, 56 DSGVO). Aufsichtsbehörden sollen in ihrem jeweiligen Hoheits­gebiet (Art. 55 Abs. 1 DSGVO) die Vereinheitlichung der Verordnungsanwendung innerhalb der EU fördern (Art. 51 Abs. 2 Satz 1 DSGVO). Zur Durchführung dieser Aufgabe ist jede Aufsichtsbehörde unabhängig, z. B. bei der Personalauswahl (Art. 52 Abs. 1, 5 DSGVO). Eigentlich zuständige Aufsichtsbehörden können den fälschlicherweise angerufenen, unzuständigen Behörden Sachverhalte wieder entziehen (Art. 56 Abs. 3 DSGVO). Alle Aufsichtsbehörden innerhalb der Europäischen Union sind zu gegenseitiger Amtshilfe verpflichtet (Art. 61 DSGVO und § 82 BDSG). In Deutschland ist die Datenschutzaufsicht zweigegliedert: Den für die meisten öffentlichen Stellen und in Spezialfällen für Unternehmen im Telekommunikationsdienstleistungssektor zuständigen Bundesdatenschutzbeauftragten (§§ 8, 9 Abs. 1 ff. BDSG) ergänzen die insbesondere für nicht-öffentliche Stellen zuständigen Aufsichtsbehörden der Länder (§§ 40 ff. BDSG).64 Im Rahmen ihrer Abhilfebefugnisse sind Aufsichtsbehörden u. a. für die Geldbußenverhängung nach Datenschutzverstößen zuständig (Art. 58 Abs. 2 lit. i DSGVO). Die Verhängung von Geldbußen zeigt sehr deutlich, dass eine vereinheitlichte rechtliche Architektur in Europa nicht zwangsläufig zur tatsächlichen Vereinheitlichung der Rechtsdurchsetzung führt. Traditionell unterschiedliche Bemessungskriterien65 führten und führen in den Mitgliedstaaten empirisch zu sehr unterschiedlich hoch akzeptierten Bußgeldrahmen.66 Europäischer Gesetzgeber und deutsche Behörden haben dies erkannt und Gremien zur Vereinheitlichung der Regelungen eingesetzt. Die Datenschutzkonferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) verbindet die Datenschutzaufsichtsbehörden in Deutschland als Forum und Vertretung, um bundesländerübergreifende Regelungen zu erarbeiten.67 64 S. für Baden-Württemberg: § 20 Abs. 1 LDSG BW (BW-LfDI), Bayern: § 15 Abs. 1 BayDSG (BayLfD gem. Art. 33a Abs. 2 BayLVerf), Berlin: § 8 BlnDSG (B-BfDI), Brandenburg: §§ 14 Abs. 1, 18 Abs. 1 BbGDSG (Landesbeauftragter für den Datenschutz), Bremen: § 24 Abs. 1 BremDSG (Landesbeauftragter für Datenschutz und Informationsfreiheit), Hamburg: § 19 Abs. 1 HmbDSG (HH-BfDI), Hessen: § 8 Abs. 1 HDSIG (Hessischer Datenschutzbeauftragter), Mecklenburg-Vorpommern: § 15 Abs. 1 DSG MV (Landesbeauftragter für den Datenschutz), Niedersachsen: § 18 Abs. 1 Satz 1 NDSG (LfDNDS), Nordrhein-Westfalen: § 25 Abs. 1 Satz 1 DSG NRW (Landesbeauftragter für Datenschutz und Informationssicherheit), Rheinland-Pfalz: § 2 Abs. 5 Satz 2 LDSG RP (RP-LfDI), Saarland: § 16 Abs. 2 SaarlDSG (Landesbeauftragte für Datenschutz), Sachsen: §§ 25 ff. SächsDSG (SächsDSB), Sachsen-Anhalt: § 20 Abs. 1 DSG LSA (Landesbeauftragter für den Datenschutz), Schleswig-Holstein: § 61 Abs. 1 LDSG SH (Landesbeauftragter für den Datenschutz), Thüringen: § 4 Abs. 1 ThürDSG (ThüLfDI). 65 Zu den Kriterien in Deutschland bei Verfahren gegen Unternehmen: Handel, K&R 2019, 757. 66 S. dazu kritisch Dieterich, ZD 2016, 260; Weiß, PinG 2017, 97; zu Unterschieden selbst in den einzelnen Bundesländern s. Lüdemann / Wenzel, RDV 2015, 285. 67 S. zu den vereinheitlichenden Beschlüssen die Protokolle der indes 96 Datenschutz­ konferenzen des DSK.

36

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Die DSK hat bisher die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats nicht beantwortet. Auf europäischer Ebene ist als Nachfolger der Artikel 29 Datenschutzgruppe der Europäische Datenschutzausschuss eingesetzt,68 der aus dem Leiter der Aufsichtsbehörden der Datenschutzaufsichtsbehörden jedes Mitgliedstaats besteht (Artt. 68 Abs. 3, 69 DSGVO). Er bringt alle mitgliedstaatlichen Datenschutzaufsichtsbehörden dialogisch zusammen69 und hat das Ziel, die Datenschutzpraxis mitgliedstaatsübergreifend zu vereinheitlichen.70 Er besteht aus einem Vertreter je Mitgliedstaat und dem Europäischen Datenschutzbeauftragten. Die unterschiedlichen deutschen Aufsichtsbehörden müssen einen gemeinsamen Vertreter benennen (Art. 68 Abs. 4 DSGVO). Der Datenschutz­ ausschuss nutzt vereinzelte Dokumente der Artikel 29 Datenschutzgruppe auch für die Auslegung der DSGVO.71 Die möglicherweise hilfreiche und zu den einzelnen Begriffselementen ausführende Stellungnahme zu Verantwortlichen und Verarbeitung72 hat der Datenschutzausschuss allerdings bislang nicht übertragen. Konkreter äußern sich bisher allein einzelne deutsche Aufsichtsbehörden. Die Literatur ging zeitweilig davon aus, die Datenschutzaufsichtsbehörden der Länder hätten sich zur betriebsrätlichen Verantwortlichkeit geeinigt und ein Beschluss stehe unmittelbar bevor, in dem die Datenschutzaufsichtsbehörden den Betriebsrat einvernehmlich als eigenständigen Verantwortlichen klassifizieren könnten.73 Indes sind seit dieser Annahme viele Monate ohne Beschluss vergangen. Der Bundesdatenschutzbeauftragte hat ohne Begründung beiläufig erwähnt, dass Betriebsund Personalräte datenschutzrechtlich Teil einer gesamten Organisation und nicht eigenständige Verantwortliche seien.74 Die Landesdatenschutzbeauftragten sind sich uneinig, wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zugesteht.75 Viele Landesdatenschutzbeauftragte haben sich noch nicht öffentlich geäußert, nur einige haben Stellung bezogen. Der sächsische Landesdatenschutzbeauftragte betrachtet indes ohne Begründung76, der bayerische Landesdatenschutzbeauftragte betrachtet wohl77 und der rheinland 68

DSGVO-EG 139, Satz 4. Die sog. „Artikel 29 Datenschutzgruppe“ (nach Gesetzeswortlaut lediglich Datenschutzgruppe) war ein Gremium, das auf Grundlage von Art. 29 DSRL initiiert wurde. Hiernach sollte eine Gruppe eingesetzt werden, die unabhängig war, beratende Funktion hatte und den Schutz von Personen bei der Datenverarbeitung sicherstellen sollte. Nach Art. 30 DSRL hatte die Gruppe u. a. die Funktion, Stellungnahmen (Art. 30 Abs. 1 lit. d DSRL) und Empfehlungen (Art. 30 Abs. 3 DSRL) zur Verarbeitungstätigkeit abzugeben. 69 Zu den Zielen des Ausschusses s. DSGVO-EG 139. 70 Vgl. DSGVO-EG 139; ferner z. B. Brink / Wilhelm, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art.  68, Rn.  5. 71 European Data Protection Board: Endorsement v. 25. 5. 2018. 72 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010. 73 S. hierzu etwa Althoff, ArbRAktuell 2018, 414 (416); Heuschmid, SR 2019, 1 (8). 74 BfDI, Die Datenschutzbeauftragten in Behörden und Betrieben, S. 32. 75 Kranig / Wybitul, ZD 2019, 1. 76 SächsDSB, Tätigkeitsbericht 2017/2018 v. 19. 12. 2019, S. 169 f. 77 BayLfD, 29. Tätigkeitsbericht 2019 v. 25. 5. 2020, Ziffer 5, der jedoch den Personalrat thematisiert.

C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO  37

pfälzische78 und die niedersächsische79 Datenschutzbeauftragte betrachten den Betriebsrat jedenfalls nach wie vor als Teil der verantwortlichen Stelle Arbeitgeber. Denn der Betriebsrat sei – im Gegensatz zum Arbeitgeber – weder unabhängig noch rechtsfähig und könne somit schlicht nicht selbst verantwortlich sein.80 Der baden-württembergische81 und der thüringische Landesdatenschutzbeauftragte82 betrachten den Betriebsrat hingegen fortan als eigenständig verantwortlich. Der Wortlaut von Art. 4 Nr. 7 DSGVO sei offen: Der Betriebsrat sei andere Stelle und entscheide über Zwecke und Mittel der Datenverarbeitung.83 Hieran ändere auch nichts, dass gesetzlich vereinzelt Zweck- und Mittelvorgaben der Datenverarbeitung abstrakt vorgegeben seien. Denn die dieser Tatsache entgegengebrachten Argumente würden unliebsame Konsequenzen geltend machen, wobei Praktikabilitätserwägungen eine valide Begründung nicht ersetzen könnten.84 Die heterogenen Ansichten nationaler Datenschutzbeauftragter sind spätestens dann problematisch, wenn Rechtsfolgen der Verantwortlichkeit in den einzelnen Bundesländern unterschiedlich behandelt werden: Verlangen Datenschutzbeauftragte vom Betriebsrat in einem Bundesland, dass dieser – als Verantwortlicher – unter bestimmten Voraussetzungen einen Datenschutzbeauftragten bestellen muss und ggf. für Datenschutzverstöße haftet, verlangen die Datenschutzbeauftragten anderer Bundesländer vom Arbeitgeber die Benennung eines betrieblichen Datenschutzbeauftragten. Haftet in dem einen Bundesland der Betriebsrat für betriebsrätliche Datenschutzverstöße, haftet in dem anderen Bundesland der Arbeitgeber. Die Datenschutzbeauftragten beziehen sich hierbei jedoch auf dieselben Regelungen. Der Flickenteppich der Datenschutzaufsichtsbehörden in den Bundesländern erscheint unbefriedigend.

IV. Erste gesetzgeberische Unternehmungen zur Handhabung von Verantwortlichkeit und Betriebsrat Auch der deutsche Gesetzgeber hat die Probleme erkannt, die mit der Einordnung des Betriebsrats in die datenschutzrechtliche Verantwortlichkeitsarchitektur einhergehen.85 Zur Ausfüllung der politisch lange Zeit unberücksichtigten Vereinbarung im Koalitionsvertrag, neu über ein Beschäftigtendatenschutzgesetz zu verhandeln,86 78

RP-LfDI, Tätigkeitsbericht zum Datenschutz 2018 v. 1. 2. 2020, S. 73 ff. LfDNDS, FAQ – Betriebsräte, online. 80 RP-LfDI, Tätigkeitsbericht zum Datenschutz 2018 v. 1. 2. 2020, S. 73; i.Erg. für den Personalrat auch BayLfD, 29. Tätigkeitsbericht 2019 v. 25. 5. 2020, Ziffer 5. 81 Kranig / Wybitul, ZD 2019, 1; BW-LfDI, 34. Tätigkeitsbericht Datenschutz 2018 v. 17. 1. 2019, S. 37 f. 82 ThüLfDI, 1. Tätigkeitsbericht 2018 v. Juni 2019, S. 65 ff. 83 ThüLfDI, 1. Tätigkeitsbericht 2018 v. Juni 2019, S. 66. 84 BW-LfDI, 34. Tätigkeitsbericht Datenschutz 2018 v. 17. 1. 2019, S. 38. 85 S. zu gesetzgeberischen Aktivitäten seit dem 15. 4. 2021 Kap. § 5. 86 Koalitionsvertrag zwischen CDU, CSU und SPD, 19. Legislaturperiode, Rn. 6088. 79

38

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

hat das Bundesministerium für Arbeit und Soziales im Juni 2020 einen 14-köpfigen Expertenbeirat zum Beschäftigtendatenschutz eingesetzt.87 Voraussichtlich im Laufe des Jahres 2021 wird bei der Offenlegung erster Ergebnisse des Beirats deutlich werden, ob auch Regelungen zur datenschutzrechtlichen Stellung des Betriebsrats empfohlen werden. Sehr unklar ist, ob die Mitglieder des Expertenbeirats sich auf eine einheitliche Regelung verständigen können oder ob die Fragestellung, wie der Betriebsrat datenschutzrechtlich zu verorten ist, in der Gesetzgebung ausgespart bleiben soll. Ob selbst bei einer Einigung indes in der laufenden Legislaturperiode noch Regelungen getroffen werden oder ob das Gesetzgebungsvorhaben einmal mehr der parlamentarischen Diskontinuität zum Opfer fallen wird,88 lässt sich nicht prognostizieren. Neben dem Expertenbeirat ist am 21. Dezember 2020 überraschend ein Referentenentwurf des Bundesministeriums für Arbeit und Soziales aufgetaucht.89 Hiernach soll künftig § 79a BetrVG-E regeln, dass der Arbeitgeber für Verarbeitungen personenbezogener Daten durch den Betriebsrat im Rahmen dessen gesetzlicher Aufgaben datenschutzrechtlich verantwortlich sei. Medial wurde das Scheitern des Tagesordnungspunktes auf der am 10. Februar 2021 vorgesehenen Kabinettsberatung verkündet: Politisch divergierende Ansichten hätten die Diskussion über das terminologisch sperrige Betriebsrätestärkungsgesetz verhindert.90 Ob, wie v. a. von Gewerkschaften vehement gefordert, im Kabinett über den Entwurf weiter diskutiert werden wird, ist indes unklar.91 Klar ist nur, dass Folgen der beabsichtigten Regelung nicht hinreichend berücksichtigt wurden und die vermeintlich Probleme behebende Regelung erhebliche neue Probleme verursacht.92 Während der Bundesgesetzgeber für den Regelungserlass zur datenschutzrechtlichen Stellung des Betriebsrats zuständig wäre, haben die bei Personalräten zuständigen Landesgesetzgeber bereits vereinzelt Regelungen erlassen. Der thüringische Gesetzgeber erließ etwa den Zusatz, der Personalrat müsse selbst einen Datenschutzbeauftragten bestellen (§ 80 Abs. 1 ThürPersVG).93 Der Personalrat ist in Thüringen als eigenständiger Verantwort­licher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO anerkannt.94 Wenn in Bayern auch keine explizite Regelung getroffen ist, gilt nach dortiger Auslegung von § 3 Abs. 2 BayDSG das Gegenteil: Nicht der Personalrat, sondern vielmehr die ihm übergeordnete öffentliche Stelle sei verantwortlich.95 Auch in Niedersachsen wird bei Nicht-Regelung dieses Ergebnis angenommen.96 87 Redaktion BeckAktuell: Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf v. 16. 6. 2020; hierzu auch Lurtz / Ruhmann, ZD-Aktuell 2020, 07281. 88 Hierzu Riesenhuber, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 26, Rn. 8 ff. 89 BMAS, Referentenentwurf v. 21. 12. 2020 (Betriebsrätestärkungsgesetz). 90 DGB, Betriebsrätestärkungsgesetz gescheitert, online. 91 S. zu der indes erlassenen Regelung Kap. § 5. 92 Vgl. etwa Zumkeller, BB 2021, I; Möhle, ZD-Aktuell 2021, 05067. 93 S. hierzu GVBl Thüringen v. 7. 6. 2019, S. 123 (132). 94 Mit umfassender Herleitung Meinhold, NZA 2019, 670 (671). 95 BayLfD, Aktuelle Kurz-Information 23 v. 1. 7. 2019, S. 1 ff. 96 LfDNDS, Fragen und Antworten zur DSGVO, online.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

39

V. Die fehlende Abstraktion in der bisherigen Diskussion Die Frage, ob der Betriebsrat Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist oder ob er (weiterhin) der verantwortlichen Stelle Arbeitgeber zugeordnet werden muss, ist zwischen den beteiligten Akteuren in der Literatur und bei den Datenschutzaufsichtsbehörden umstritten. Der Betriebsrat ist zwar eindeutig weder natürliche oder juristische Person noch Behörde. Im Gegensatz zum alten BDSG klassifiziert Art. 4 Nr. 7 1. Hs. DSGVO nunmehr aber auch andere Stellen als potenziell datenschutzrechtlich Verantwortliche, soweit diese über Zwecke und Mittel der Datenverarbeitung entscheiden. Eine vereinheitlichende Regelung des Bundesgesetzgebers, ob auch der Betriebsrat andere Stelle ist, steht bisher aus. Und selbst bei Erlass einer solchen Regelung müsste sehr genau geprüft werden, ob diese im Rahmen der DSGVO-Vorgaben allgemein zulässig97 und sinnvoll ist.98 Die Einordnung in der Verantwortlichkeitsarchitektur ist v. a. deshalb praktisch sehr relevant, weil an sie sehr viele unterschiedliche Rechtsfolgen anknüpfen.99 In der Summe sind viele verschiedene Argumente in der Literatur, der Rechtsprechung und bei den Datenschutzaufsichtsbehörden ausgetauscht – es fehlt jedoch ein übergreifender Ansatz, der die Argumente ergänzt und – soweit bereits hergeleitet – miteinander abwägt. Denn die bisherigen Argumente werden weder im Bezug zueinander noch unter transparenter Berücksichtigung juristischer Methoden entfaltet. Die vorliegende Arbeit beabsichtigt, genau an dieser Stelle einen Diskussionsbeitrag zu leisten: Die bisher nicht im Zusammenhang betrachteten, daher unterkomplexen Meinungen sollen in einen Gesamtzusammenhang gestellt werden. Punktuelle Diskussionsbeiträge sollen systematisiert werden und Ansatzpunkte für weitere fundierte Auseinandersetzungen liefern. Die Arbeit versteht sich als Auseinandersetzung mit und Ergänzung der bisher diskutierten Argumente. Ob die Arbeit dieses anspruchsvolle Ziel erreicht, wird im Nachgang der rechtswissenschaftliche Diskurs entscheiden.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO Die Frage, ob der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wird bisher – mit wenigen umfassenderen Ausnahmen100 – an Einzelfragen diskutiert. Die hierdurch entstandene quantitative Diskussionsbreite ermöglicht einen ersten Zugang zu der Thematik „Betriebsrat und 97

Kritisch hierzu v. a. Staben, ZFA 2020, 287 (298). S. ausf. Kap. § 3. 99 S. etwa die tabellarische Auflistung aller Rechtsfolgen der Verantwortlichkeit bei Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 170. 100 Vgl. erste umfassendere Beiträge von Maschmann, NZA 2020, 1207 und Staben, ZFA 2020, 287. 98

40

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Verantwortlichkeit in der DSGVO“. Jeder einzelne Diskussionsbeitrag hat seine Berechtigung und fördert den Diskurs. Dies darf jedoch nicht darüber hinwegtäuschen, dass isoliert diskutierte Elemente unterkomplex sind, weil sie die Argumente nicht in einen Gesamtzusammenhang stellen. Hier soll über die Begriffsauslegung unter Offenlegung der angewandten Methodik eine vertiefte Diskussion über die datenschutzrechtliche Stellung des Betriebsrats angestoßen werden. Besonderheit bei der Begriffsauslegung im Rahmen der DSGVO ist, dass mit deutscher und europäischer zwei Methodentraditionen berücksichtigt werden müssen. Denn die DSGVO eröffnet nationale Regelungsmöglichkeiten.101 Während die überkommene deutsche Methodik hier später vorausgesetzt wird,102 ist die europäische Methodik umstritten. Da das Europarecht die Stellung des Betriebsrats rahmt, muss dieses vorgelagert mit den europäischen Methoden untersucht werden. Die hier vorgeschlagene Methodik ist weder „zwingend“ noch soll die hier versuchte Systematisierung Beitrag zur europäischen Methodenlehre sein. Vielmehr geht es um Nachvollziehbarkeit der Argumentation. Die zu diesem Zweck offengelegten Auslegungsmethoden (I.) untersuchen in sämtlichen Variationen, ob der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist (II.).

I. Auslegungsmethoden des Europarechts Die Frage nach der richtigen Rechtsmethodik ist eine der fundamentalsten Fragen der Rechtswissenschaft. Denn durch juristische Methodik grenzt sich Recht autopoietisch von seiner Umwelt ab.103 Methodik ist Auslegung, d. h. Reflexion der Rechtswissenschaft über ihr eigenes Tun.104 Methoden entscheiden über die Bedeutung gesetzten Rechts. Wegen ihres schöpferischen Charakters und der Konkretisierungswirkung ist Auslegung105 neben Gesetzgebung das machtvollste Instrument, um Recht zu sedimentieren oder zu wandeln.106 Bei dieser Macht der Methodik überrascht es wenig, dass Methodenfragen sehr umstritten sind.107 Auslegung ist eindeutig notwendig.108 Ansonsten ist sehr vieles unklar.109 Diese 101

S. ausf. Kap. § 2 D. II. 1. b) ee) (3). S. Kap. § 3. 103 Zu dieser operativen Geschlossenheit des Rechtssystems Luhmann, Recht der Gesellschaft, S. 38 ff. 104 Larenz, Methodenlehre, Aus dem Vorwort zur ersten Auflage. 105 Hesse, Grundzüge des Verfassungsrechts der BRD, S. 24. 106 Terminologisch s. Müller / Christensen, Jur. Methodik I, S. 212, die Auslegung und Normkonstruktion gleichsetzen; zur Perversion durch Methodik in Unrechtsregimen Rüthers / Fischer / ​Birk, Rechtstheorie, Rn. 992. 107 Hassold, Strukturen der Gesetzesauslegung, in: Canaris / Diedrichsen (Hrsg.), FS Larenz (80.), S. 211 ff.; Walz, ZJS 2010, 482 m. w. N. 108 Colneric, ZEuP 2005, 225 konkludiert: „Wir müssen damit leben, dass […] keine real präexistierenden Lösungen zu finden sind, sondern nur mehr oder weniger vollständige Anhaltspunkte für eine Entscheidung.“ 109 Reinhardt, Auslegung der völkerrechtlichen Verträge der EU, S. 33. 102

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

41

Unklarheit ist sprachphilosophisch begründet: Die einzelne Wortanwendung ist Aushandlung von Sprachdeutung110 und das Vermittlungsmedium Sprache ist ungenau. Weitreichender Streit besteht über Positivismus oder Normativismus der Auslegung111 und über Auslegungsziele und Auslegungskriterien.112 Die Begründung und Offenlegung verwendeter Methodik ist in der Vielfalt an Möglichkeiten zentrale Voraussetzung für die Nachvollziehbarkeit rechtswissenschaftlicher Argumente. Und dies gilt erst recht für die Auslegung von Europarecht. 110 Wittgenstein, Philosophische Untersuchungen, § 201 zum sog. Paradoxon des Regelfolgens. Dieses besagt, dass eine Regel keine Handlung bestimmen kann, weil jede Handlung andersherum mit der Regel in Übereinstimmung zu bringen ist. Wenn also Regel die Sprache und Handlung die Sprachanwendung ist, so ist Sprachanwendung immer Konstruktion der Regel, also der Sprache. Sprache wird damit „ausgehandelt“. 111 Zu dem aus der Philosophie entstammenden sog. Positivismusstreit, der bereits seit über 2000 Jahren wissenschaftliche Diskussionen prägt, s. Alexy, in: Gesang (Hrsg.), Die großen Kontroversen der Rechtsphilosophie, S. 50. Zur Fortschreibung und Entwicklung seit der Zeit der Weimarer Republik vgl. z. B. Gusy (Hrsg.), Demokratisches Denken in der Weimarer Republik, 2000. Siehe zu den zwei sich gegenüberstehenden Lagern im Ursprung einerseits insbesondere die Werke von Hans Kelsen (ders., Die philosophischen Grundlagen der Naturrechtslehre und des Rechtspositivismus; ders., Reine Rechtslehre), dessen rechtspositivistische Gedanken allein das Recht in den Mittelpunkt rücken. Siehe – ein komplexes Meinungsgefüge stark vereinfachend – andererseits seinen thematischen Gegenspieler Carl Schmitt (ders., Der Begriff des Politischen, S. 1–33), der hingegen das Recht normativistisch untermauert. Hiernach gehe es bei der Auslegung um das Auffinden des substanziellen gesetzgeberischen Kerns. Noch heute wird die Frage, ob Auslegung Recht erst konstruktivistisch begründet oder ob Auslegung einzig normativ interpretiert werden muss, diskutiert (s. dazu: Gusy, JZ 1992, 505; Dreier, Rezeption und Rolle der sog. Reinen Rechtslehre; Stolleis, Der Methodenstreit der Weimarer Staatsrechtslehre – ein abgeschlossenes Kapitel der Wissenschaftsgeschichte; Jestaedt (Hrsg.), Hans Kelsen und die deutsche Staatsrechtslehre; Lee, Die Struktur der jur. Entscheidung aus konstruktivistischer Sicht). 112 Ausgangspunkt ist die Frage der Reflexion des eigenen Tuns, für das Recht also die Frage nach richtiger Rechtsanwendung. Der Streit zählt zu den grundlegendsten in der Rechtswissenschaft und besteht auf verschiedenen Ebenen. Zunächst gehen viele Autoren von der Trennung von Auslegungsziel und Auslegungsmethoden aus (vgl. Wank, Die Auslegung von Gesetzen, S. 29; s. auch Bydlinski, Jur. Methodenlehre und Rechtsbegriff, S. 428 ff.). Einige Autoren bestreiten jedoch bereits, dass Auslegungsziel und Auslegungsmethoden voneinander zu trennen seien (Rüthers / Fischer / Birk, Rechtstheorie, Rn. 725 ff.). In der Streitfolge haben die Autoren unterschiedliche Ansichten darüber, ob Ziel der Auslegung das Herausarbeiten des historischen Willens des Gesetzgebers (sog. subjektive Theorie ursprünglich vertreten von: v. Savigny, System des heutigen Römischen Rechts (1840), Bd. 1, S.213; nach Ansicht von Larenz, Methodenlehre, S. 302: Ennecerus, in: Nipperdey / ders., BGB AT, § 54 II; Heck, Gesetzesauslegung und Interessenjurisprudenz, S. 59) oder das Herausarbeiten von Gesetzeszielen ist (sog. objektive Theorie, nach Ansicht von Larenz, Methodenlehre, S. 302 früh vertreten von Nipperdey, in: ders. / Ennecerus, BGB AT, § 54 II; später Schlink, Der Staat 1980, 101). Zu den zwei klassischen Meinungen reiht sich in der Tradition von Larenz, Methodenlehre, S. 302 ff., eine dritte Auffassung ein, die bei dem Abstellen auf Gesetzes- oder Gesetzgeberwillen nach Gesetzesalters differenzieren will (Bydlinski, Jur. Methodenlehre und Rechtsbegriff, S. 428; Wank, Auslegung von Gesetzen, S. 30 ff.; Walz, ZJS 2010, 482 (486)). Ein junges Gesetz liegt demnach nah am Gesetzgeberwillen, während sich ein älteres Gesetz vom historischen Gesetzgeberwillen entkoppele und insbesondere bei Änderung der Rechtstatsachen seit der Gesetzesverabschiedung nach anderen Kriterien bewertet werden müsse.

42

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Recht wirkte lange regional.113 Mit Aufkommen der Nationalstaaten wurde Recht nationalstaatliches Recht und rein national ausgelegt.114 Das moderne Völkerrecht verlangte mit Gründung der Vereinten Nationen 1945115 zunehmend von Gerichten und Rechtswissenschaft, Regeln für die Auslegung internationaler Normen zu schaffen und zu systematisieren. Denn nicht mehr allein nationale Vorstellungen konnten Auslegungsmethoden vorgeben, da sich nationale Auslegungs­ kriterien in verschiedenen Staaten in Art und Gewichtung unterschieden. Wenn also jedes Land völkerrechtliche Regelungen anhand nationaler Auslegungsmethoden ausgelegt hätte, so wären in der Rechtspraxis schnell verschiedene Völkerrechte entstanden. Die systematisierten völkerrechtlichen Methoden kodifizierte teils das Wiener Übereinkommen über das Recht der Verträge (WVK).116 Die EU, deren Vorläufer sich ab 1952 gründeten,117 überschreitet ebenfalls nationale Rechtsgrenzen, bleibt aber „regionalisiert“. Das Europarecht trat historisch neben nationale Rechte und Völkerrecht als dritte Ebene hinzu. Der europäische Integrationsprozess begleitet die Europäisierung der Rechtsordnung.118 Da das Europarecht schnell mehr Rechtsgebiete umfasste als das historisch v. a. friedenssichernde Völkerrecht,119 musste in verschärfter Form über gemeinsame Normauslegung nachgedacht werden. Mit der vergleichsweise kurzen Geschichte und den Einflüssen verschiedener mitgliedstaatlicher Rechtstraditionen muss das Europarecht unterschiedliche Hindernisse überwinden. Die „Diskussionsentwicklung“ in Deutschland ist etwa historisch und mündet von den von Friedrich Carl von Savignys120 entwickelten sog. Canones, u. a. über das von Karl Larenz begründete und von Claus-Wilhelm Canaris übernommene Universalwerk121 in vielfältige Widersprüche und Weiterentwicklungen.122 Deutsche Methodik ist indes überkommen. Europarecht entwickelt diese Rechtstradition erst123 und ist  – v. a. im Sekundärrecht, wie der DSGVO – massiv von der Freiwilligkeit des europäischen 113

Meder, Rechtsgeschichte, S. 359 ff. Eisenhardt, Dt. Rechtsgeschichte, Rn. 673. 115 Herdegen, Völkerrecht, I. Kap., Rn. 116 ff. 116 Vgl. hier Art. 31 WRV, zu dessen Entstehungsgeschichte Dörr, in: ders. / Schmalenbach (Hrsg.), Vienna Convention on the Law of Treaties, Art. 31, Rn. 9 ff. 117 Bieber / Kotzur, in: Bieber / Epiney / Haag / Kotzur (Hrsg.), Die EU, § 1, Rn. 1 ff. 118 Möllers, Rolle des Rechts im Rahmen der europäischen Integration, S. 1 ff. 119 Herdegen, Völkerrecht, I. Kap., Rn. 16 ff. 120 v. Savigny, System des heutigen Römischen Rechts, Bd. 1 (1840), S. 213 ff.; vgl. zum historischen Beginn: Adomeit, Diskussion mit Säcker über die jur. Methodenlehre in: Hähnchen (Hrsg.), Methodenlehre zwischen Wissenschaft und Handwerk, S. 15 ff. (15). 121 Larenz, Methodenlehre der Rechtswissenschaft und Larenz / Canaris, Methodenlehre der Rechtswissenschaft. 122 S. zu einer modernen juristischen Methodenlehre exemplarisch Möllers, Methodenlehre; Koch / Rüßmann, Juristische Begründungslehre: Eine Einführung in Grundprobleme der Rechtswissenschaft; in Anlehnung an Habermas Alexy, Theorie der juristischen Argumentation; im Verfassungsrecht z. B. Müller / Christensen, Juristische Methodik I, S. 181 ff. und auch Koch, Methoden zum Recht, 55 ff. 123 S. im Ursprung noch die Ausführungen von Nicolaysen, EuR 1972, 375 (381); später zentral Müller / Christensen, Jur. Methodik II. 114

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

43

Integrationsprozesses abhängig (Art. 5 EUV). Nach dem Prinzip der begrenzten Einzelermächtigung übertragen derzeit 27 Mitgliedstaaten der EU einzelne Kompetenzen. Europäische Regelungen können mit nationalen Regelungen kollidieren. Als Ausgleich für den „Kontrollverlust“ haben Mitgliedstaaten bei Implementierung europäischer Regelungen weitreichende Mitspracherechte: Europäische Sekundärrechtsakte wie die DSGVO werden nach zähen Verhandlungen zwischen den Mitgliedstaaten und der EU sowie den Mitgliedstaaten untereinander im Europäischen Rat erlassen.124 Zur Lösung von Kollisionen müssen europäische Regelungen durchsetzbar sein. Durchsetzbarkeit betrifft neben der Frage, ob die (europäischen) Rechte gerichtlich einklagbar sind, insbesondere die Vorrang­ wirkung europäischer Normen im Kollisionsfall. Diesen Konflikt löst die Normenhierarchie. Sie statuiert den Anwendungsvorrang des Europarechts.125 Rangfragen setzen Kollisionen von Rechtsnormen voraus. Rechtsnormen kollidieren, wenn sie denselben Regelungsgegenstand unterschiedlich regeln. Ob Normen denselben Bereich regeln, ermittelt Auslegung. Europäisches Recht prägt nationale Rechtspraxis: Nationale Gerichte wenden europäische Rechtsvorschriften zuerst an.126 Sie legen europarechtliche Regelungen aus. Die jeweiligen mitgliedstaatlichen Auslegungsmethoden weichen historisch bedingt jedoch stark voneinander ab.127 Während z. B. in Irland in common-law-Tradition Urteile wesentlich durch präjudiziellen Verweis begründet werden,128 sind Urteile in der französischen Rechtstradition traditionell wenig umfangreich und selten ausführlich begründet.129 In Deutschland hingegen sind Urteile deduktiv begründet und bekanntlich häufig länger. Bei Auslegung europarechtlicher Vorschriften durch von unterschiedlichen nationalen Rechtstraditionen geprägte Gerichte könnten 27 divergierende Europarechte in 27 Mitgliedstaaten entstehen.130 Erst durch über den einheitlichen Gesetzeswortlaut hinausgehende einheitliche Rechtsauslegung wird Recht vereinheitlicht. Dies setzt länderübergreifend akzeptierte Auslegungskriterien voraus. Erst Methodik bietet Kriterien für eine nachvollziehbare und maximale Diskussion und ermöglicht hiermit wissenschaftliche

124

Zum ordentlichen Gesetzgebungsverfahren gem. Art. 294 AEUV und zu Beteiligungsmöglichkeiten nationaler Parlamente Saurer, in: Pechstein / Nowak / Häde (Hrsg.): Frankfurter Kommentar, Art. 294 AEUV, Rn. 10 ff. 125 EuGH, C-11/70, Slg. 1970, S. 1125, Rn. 3 – Internationale Handelsgesellschaft; EuGH, C-285/98, Slg. 2000, I–69 – Krell. 126 Oppermann / Classen / Nettesheim, Europarecht, S. 13, Rn. 3. 127 Vgl. die ausf. Ausführungen von Martens, Methodenlehre, S. 270 ff. zu Unterschieden bei Auslegung und Relevanz der Rechtswissenschaft neben dem Gerichtsapparat in Deutschland, Frankreich und Großbritannien; vgl. auch Colneric, ZEuP 2001, 225 (230); Wank, RdA 1999, 130 (133). 128 Zum sog. case law Buck, Über die Auslegungsmethoden des Gerichtshofs, S. 109 ff. 129 Vgl. hierzu und folgend Colneric, ZEuP 2005, 225 (230), der die Vergleichbarkeit der Fälle als zentrales Kriterium des common law herausstellt. 130 Colneric, ZEuP 2005, 225 (230); Wank, RdA 1999, 130 (133).

44

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Selbstreflexion.131 Schnell wurden folglich Rufe nach eigenständiger europarechtlicher Methodik laut.132 Soll auch über Ländergrenzen hinweg, d. h. europäisch, über europarechtliche Fragestellungen diskutiert werden können, so bedarf es einer europäischen Methodenlehre. Der EuGH und ihm folgend die europarechtliche Literatur erkannte dies früh: Europarecht müsse autonom, d. h. unabhängig von nationalen Traditionen, ausgelegt werden.133 Gerichte können europäische Begriffe nicht national auslegen, sie müssen originär europäische Bedeutungen herausarbeiten. Die Forderung nach originär europarechtlicher Auslegung allein führt allerdings nicht dazu, dass eine europäische Methodenlehre geschrieben ist. Erste umfassendere Ansätze zur europarechtlichen Methodensystematisierung stammen von Riesenhuber134 und Martens135 und sind etwa in den vergangenen 15 Jahren ausgearbeitet – einem kurzen Zeitraum, die europäische Integration insgesamt betrachtet. Europäische Methodenlehre ist im Fluss.136 Gem. Art. 19 Abs. 1 EUV sichert der EuGH die Wahrung des Europarechts durch Auslegung „der Verträge“; nur er legt Europarecht verbindlich aus. „Verträge“ meint nicht nur primärrechtliche Verträge, sondern das gesamte Unionsrecht.137 Art. 19 Abs. 1 EUV normiert allerdings lediglich das „Ob“ und nicht das „Wie“ der Auslegung. Die Norm gibt dem EuGH keine Auslegungskriterien an die Hand. Den Begriff Auslegung legt also der EuGH selbst aus138 – ihm obliegt insgesamt die inhaltliche Entwicklung europäischer Rechtsmethodik. Er systematisiert, wie Gerichte generell,139 jedoch nur selten seine eigene Methodik. Art. 19 Abs. 1 EUV fordert folglich nicht nur den EuGH auf, eigenständige methodische Krite 131

Schneider, Prinzipien der Verfassungsinterpretation, S. 35; zur Methodendefinition s. Larenz, Methodenlehre der Rechtswissenschaft, S. 5 ff., der Methoden als „Arten des Vorgehens, um Antworten auf die von ihr [= der jeweiligen Wissenschaft] gestellten Fragen zu erlangen.“ 132 1993 bereits Bengoetxea, The Legal Reasoning of the ECJ; Möllers, Rolle des Rechts im Rahmen der europäischen Integration, S. 55; Berger, ZEuP 2001, 4 (7 f.); Vogenauer, ZEuP 2005, 234 (236) m. w. N. 133 U. a. EuGH, C-69/79, Slg. 1980, 75, Rn. 6 – Jordens-Vosters; EuGH, C-296/95, Slg. 1998, I–1605, Rn. 30  – EMU Tabac; ausdrücklich EuGH, C-426/05, Slg. 2008, I–685, Rn. 26  – Tele 2 m. w. N. 134 Riesenhuber, Handbuch Europäische Methodenlehre (1. Aufl. 2006). 135 Martens, Methodenlehre (1. Aufl. 2013). 136 Ein Zitat eines EuGH-Generalanwalts fasst das Dilemma zusammen: „Es gibt nur eine richtige Methodik, nur niemand kennt sie.“ (zitiert in: Reinhardt, Auslegung der völkerrechtlichen Verträge der EU, S. 33). 137 Vgl. nur Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 19 EUV, Rn. 13 ff.; Schwarze / Wunderlich, in: Schwarze / Becker / Hatje / Schoo (Hrsg.), EU-Kommentar, Art.  19 EUV, Rn. 36 ff.; Pache, in: Vedder / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 19 EUV, Rn. 16 ff.; Gaitanides, in: v.d. Groeben / Schwarze / Hatje (Hrsg.), Unionsrecht, Art. 19 EUV, Rn. 42 ff.; differenzierender Mayer, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 19 EUV, Rn. 51 ff, der mittelbar auch Sekundärrecht als Vertragsnormen anerkennt. 138 EuGH, C-13/61, Slg. 1962, 97 (110) – Bosch. 139 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 143.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

45

rien zu entwickeln und anzuwenden. Auch die Wissenschaft ist Normadressat. Sie soll die vom EuGH entwickelten Methoden analysieren, systematisieren und ggf. korrigieren.140 Auch wenn er Literaturmeinungsstände nicht zitiert, berücksichtigt der EuGH diese bei der Urteilsfindung.141 Die vorliegende Arbeit soll kein Beitrag zu einer Systematisierung von europäischen Methoden sein. Die hier zur Auslegung herangezogene Methodenauswahl ist nicht willkürlich, sondern eng mit EuGH-Rechtsprechung und Streitstand der Literatur begründet. Die zugrunde gelegten Methoden werden somit zunächst abstrakt beschreiben (1.), ehe der Methodeninhalt im Einzelnen herausgearbeitet wird (2.). Die Herausstellung des europäischen Methodenkanons fasst die Ergebnisse zusammen (3.). 1. Der europäische Methodenkanon Anknüpfend an Art. 19 Abs. 1 EUV sind EuGH-Urteile Ausgangspunkt europäischer Methodik (a)), ehe Literaturmeinungen berücksichtigt werden (b)), um die Ergebnisse zu systematisieren (c)). a) Begrifflichkeiten in der EuGH-Rechtsprechung Die erste Entscheidung des EuGH, die weitreichende Ausführungen zum methodischen Vorgehen bei der Rechtsbegriffsauslegung enthält, ist Van Gend en Loos aus dem Jahre 1963. Bei der Normauslegung seien der „Geist der Vorschrift, ihre Systematik und der Wortlaut“ entscheidend.142 Wenig später beschreibt der EuGH darüber hinaus, dass es bei der Auslegung auf „Geist, Aufbau und Wortlaut […] [des fraglichen Artikels ankomme und] auf System und Ziele des Vertrages zurückgegriffen werden“143 könne. Bei Urteilsbegründungen greift der EuGH häufig durch präjudiziellen Verweis auf Auslegungsmaßstäbe früherer Entscheidungen zurück. Er zitiert in vielen Urteilen überkommene Textbausteine vorangegangener Urteile.144 Immer wieder bezieht er sich auf präjudizielle Leitsätze: Nach ständiger Rechtsprechung des Gerichtes sei bei der Auslegung einer europäischen Vorschrift „nicht nur der Wortlaut,

140

Kutscher, Begegnungen von Justiz und Hochschule, in: EuGH (Hrsg.), dass., S. I–1, (I–6); Zedler, Mehrsprachigkeit und Methode, S. 53. 141 Colneric, ZEuP 2005, 226 (230). 142 EuGH, C-26/62, Slg. 1963, 1, Rn. 24 – van Gend en Loos; ohne Verweis auf vorausgegangene Rechtsprechung und deshalb wohl Ausgangspunkt systematischer EuGH-Methodik. 143 EuGH, C-6/72, Slg. 1973, 215, 244 – Continental Can. 144 Zu Präjudizien s. Stotz, in: Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 21, Rn. 54 ff.

46

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

sondern auch der Zusammenhang, in dem die Vorschrift steht, und [es seien] die Ziele zu berücksichtigen, die mit der Regelung verfolgt werden.“145 Nach anderem EuGH-Präjudiz seien bei der Beantwortung von Auslegungsfragen „der Wortlaut der Bestimmung, um deren Auslegung ersucht wird, sowie die Ziele und das System […] zu berücksichtigen“.146 In zwei Urteilen arbeitet der EuGH über mehrere Randnummern seine Aus­ legungsmethodik sehr weitreichend heraus: Im frühen C. I.L. F.I. T.-Urteil (1981) und im Semen-Urteil (2007). Im C. I.L. F.I. T.-Urteil147 stellt er die autonome Auslegung voran, deren Ausgangspunkt die unterschiedlichen Sprachfassungen seien.148 Selbst bei terminologischer Übereinstimmung aller Sprachfassungen sei europarechtliche Terminologie losgelöst von nationalen Begriffen. Europäische Auslegungsmethoden seien nicht national überformt. Rechtsbegriffe im nationalen und europäischen Recht könnten sogar Unterschiedliches bedeuten. Jede Vorschrift sei im Zusammenhang des gesamten Gemeinschaftsrechts, seiner Ziele und Entwicklungs­standards zur Zeit der Vorschriftenanwendung auszulegen. Ähnlich greift auch das jüngere Semen-Urteil149 die Auslegungsgrundsätze auf: Anknüpfungspunkt sei der Wortlaut der Bestimmung, der durch systematische Auslegung bestätigt oder widerlegt werden könne. Schließlich seien auch Erwägungsgründe und Regelungsziele zu berücksichtigen. Der EuGH greift ein (vermeintlich) bekanntes Quartett auf: Den Wortlaut durch die Systematik und das Telos der Norm ergänzend, bezieht er mit Erwägungsgründen und Regelungszielen auch die Historie mit ein.

145

Vgl. z. B. die Formulierung „Wie der Gerichtshof in seiner Rechtsprechung hervorgehoben hat, sind bei der Auslegung einer Vorschrift des Gemeinschaftsrechts allerdings nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden“, die sich identisch oder in leicht abgewandelter Form in den Urteilen EuGH, C-402/07 und C-432/07, Slg. 2009, I–10923, Rn. 41 f. – Sturgeon; EuGH, C-306/05, Slg. 2006, I–11519, Rn. 34 – Sociedad General / SGAC; EuGH, C-53/05, Slg. 2006, I–6215 – KOM / POR; EUGH, C-301/98, Slg. 2000, I–3583 – KVS; EuGH, C-223/98, Slg. 1999, I–7081 – Adidas; EuGH, C-156/98, Slg. 2000, I–6857, Rn. 50 – Deutschland / KOM; EuGH, C-136/91, 287 (288), Rn. 11 – Findling; EuGH, C-337/82, Slg. 1984, 1051 (1062) – Nikolaus; EuGH, C-292/82, Slg. 1983, 3781 (3792), Rn. 12 – Merck findet, die jeweils auf die historisch älteren Urteile verweisen. 146 Erstmals in EuGH, C-283/94, C-291/94 und C-292/94, Slg. 1996, I–5063, Rn. 24, 26 – Denkavit u. a.; EuGH, C- C-375/98, Slg. 2000, I–4243, Rn. 22, 24 – Epson; EuGH, C-27/07, Slg. 2008, I–2067, Rn. 22 – Banque Fédérative du Crédit Mutuel; EuGH, C-247/08, Slg. 2009, I–9225, Rn. 26 – Gaz de France; zuletzt: EuGH, C-129/18, Rn. 51 – Entry Clearance. 147 EuGH, C-283/81, Slg. 1982, 3415, Rn. 17 ff. – C. I.L. F.I. T. 148 Die Verbindlichkeit aller Sprachfassungen wurde erstmals in der VO zur Regelung der Sprachenfrage für die EWG geregelt, ABl. L 17 v. 6. 10. 1958, S. 385. 149 EuGH, C-348/07, Slg. 2009, I–2341, Rn. 27 ff. – Semen.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

47

b) Begriffliche Systematisierung der Literatur Ihrem gesetzlichen Auftrag entsprechend versuchen einige Literaturansätze, den EuGH-Methodenkanon abstrakt zu systematisieren. Manche Autoren betrachten den vom EuGH erarbeiteten Viermethodenkanon als abschließend: Wortlaut, Systematik, Telos und Historie seien die einzigen „horizontal“ nebeneinanderstehenden Methoden, die ihrerseits wiederum „vertikal“ in Teilbereiche untergliedert seien.150 Andere Autoren stellen die von der ersten Ansicht vertikal untergliederten Methodenausprägungen horizontal neben diese vier Methoden. Manche dieser Autoren identifizieren eine fünfte Methode, den Rechtsvergleich.151 Andere ergänzen eine sechste Methode, z. B. den Effektivitätsgrundsatz152 oder die Folgenberücksichtigung.153 Wieder andere Autoren arbeiten Präjudizien des EuGH154 oder die sog. Konformauslegung155 als siebte Auslegungsmethode heraus. Eine ausdifferenzierende Ansicht expliziert zehn unterschiedliche Methoden und differenziert z. B. primär-, sekundär- und völkerrechtskonforme Auslegung, nicht aber den Effektivitätsgrundsatz.156 Verschiedene Autoren identifizieren in der EuGH-Rechtsprechung ganz unterschiedliche Methoden. Die herausgestellten Methodeninhalte unterscheiden sich jedoch kaum. Manche Autoren differenzieren die Methoden zwar horizontal weiter aus als andere. Andere Autoren erachten dafür diese Methoden als Unterfälle übergeordneter Methodenkategorien. Allein der Differenzierungsgrad entscheidet über die Anzahl horizontal nebeneinandergestellter Methoden. Bei allen Systematisierungsunterschieden arbeiten die Autoren denselben Methodenkanon aus. Eingewandt werden könnte, die – wohl überwiegende – viergliedrige Systematisierung der Literatur in Wortlaut, Systematik, Telos und Historie sei in der Tradition Savignys „typisch deutsch“. Dieser Einwand könnte jedoch allenfalls greifen, wenn im internationalen Diskurs Zweifel an der Einteilung erhoben würden. In dem Wissen, dass unterschiedliche Rechtstraditionen der Mitgliedstaaten unterschiedliche Einflüsse auf die EuGH-Methodik bewirken,157 prägen zwei Meinungsstränge den internationalen Diskurs. Craig weist in Auslegung der Pringle-Recht-

150

Grundmann, Auslegung des Gemeinschaftsrechts, S. 192 ff.; Buck, Auslegungsmethoden des Gerichtshofs, S. 143 ff.; Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10.  151 U. a. Bleckmann, Rechtsvergleichung im europäischen Gemeinschaftsrecht, in: Klein / ders. (Hrsg.), Studien zum Europäischen Gemeinschaftsrecht, S. 105 (121 f.); Schroeder, JuS 2004, 180 (182 ff.). 152 Seyr, effet utile, S. 94 ff.; Yaroshevskiy, Auslegungsmethoden des EuGH, in: Calliess (Hrsg.), Berliner Online-Beiträge zum Europarecht, Nr. 1, S. 3 ff. 153 Martens, Methodenlehre, S. 331 ff. 154 Reinhardt, Auslegung völkerrechtlicher Verträge der EU, S. 33 ff. 155 Mayer, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 19 EUV, Rn. 62. 156 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 141 ff. 157 S. hierzu: Nicola, AJCL 2016, 865.

48

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

sprechung des EuGH158 abstrakt darauf hin, dass jedenfalls „literal and teleological arguments“159 zu differenzieren seien. Eine Ansicht knüpft an eine der ältesten umfassenden Arbeiten zur europäischen Methodik des Briten Bengoetxea an. Nach dessen Ansicht gäbe es „three types of first-order criteria in typical hard case-situations: (1) semiotic or linguistic arguments, (2) systematic and context-establishing arguments, (3) teleological, functional, or consequentialist arguments“.160 Anfang der 1990er Jahre unterschied er im europäischen Methodenkanon also nach Wortlaut, Systematik und Telos. Der deutsche Rechtswissenschaftler Beck knüpft hieran in einer Studie an: Der europäische „Court of Justice employs broadly the same accepted canon of interpretative topoi to resolve primary legal uncertainty as appellate and constitutional courts in national legal systems. These primarily fall into three established categories – i. literal arguments, ii. systematic arguments and iii. purposive arguments – in addition to a number of special categories of less frequent or more limited application.“161 Der Meinungsstrang differenziert also einen Kanon von drei Auslegungsmethoden (Wortlaut, Systematik und Zweck), mitsamt spezieller (Unter-)Kategorien. Der Belgier Bobek begründet mit Kritik an Beck den zweiten klassischen internationalen Meinungsstrang.162 Er verweist auf den Schotten MacCormick und den Amerikaner Summers, die bereits früh eine Systematisierung in „linguistic arguments, systematic arguments, teleological / evaluative arguments and ‚transcendental‘ arguments from intention“163 annahmen. Der Belgier Lenaerts und der Spanier Gutierréz-Fons erkennen – hieran anknüpfend – neben den drei klassischen Methoden z. B. neuerlich auch die „travaux préparatoires“ (etwa „Verhandlungsgeschichte des Gesetzesvorhabens“) als wichtige Methode an.164 Viele Literaturstimmen untergliedern die EuGH-Methodik in einen Viermethodenkanon, wobei die Terminologie abweicht. Der Italiener Pollicino rückt den Wortlaut ins Zentrum: „In fact, no interpretation, whether teleological, systematic or purposive can ignore the wording of a disposition.“165 Der Deutsche Rösler unterscheidet Methoden nach „textual, contextual, aims and purposes, historical and additional.“166 Die Tschechin Salachová spricht hingegen von „four interpretative methods including the grammatical, logical, historical and systematical method.“167 Der Däne Komárek geht von einer Einteilung in „linguistic, systematic, teleological, intentional meth­ 158

EuGH, C-370/12, Slg. 2012, I–0000. Craig, MJECL 2014, 205 (212) und Craig, MJECL 2013, 3 (9 ff.). 160 Bengoetxea: The legal reasoning of the European Court of Justice, S. 226 (233). 161 Beck, Legal reasoning of the European Court of Justice, Conclusions. 162 Bobek, ELR 2014, 418 (422). 163 Vgl. MacCromick / Summers: Interpreting Statutes, S. 512–515. 164 Lenaerts / Gutierréz-Fons, AEL 2013/9, S. 6–27. 165 Pollicino, GLJ Vol. 5 No. 3, 283 (297). 166 Rösler, Interpretation of EU law, in: Basedow / Hopt / Zimmermann (Hrsg.): Max Planck Encyclopedia of European Private Law, S. 979 (983). 167 Salachová, MUP 2013, S. 2717–2720 (2717). 159

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

49

od[s]“168 mit mindestens elf Unterkategorien aus. Und auch der Belgier Koopmans spricht sich hierfür aus: „The interpretation of the rule should, therefore, not only be guided by textual and historical arguments: elements of the system and of purpose will have to come at play.“169 Nicht nur die deutsche Diskussion gliedert die EuGH-Methodik also vierteilig oder jedenfalls dreiteilig. Die dreigliedrige – historisch ältere – Ansicht entspricht jedoch den ersten drei Methoden, die auch der Viermethodenkanon extrahiert. Den Viermethodenkanon identifiziert auch die (moderne)  gesamteuropäische Diskussion. Die Annahme, es würden explizit deutsche Systematisierungsansätze übertragen, geht fehl. Durch die heute zunehmende Bedeutung des historischen Auslegungselements wird eine Systematisierung in vier Methoden auch international angenommen. c) Die begrifflich systematisierten Methoden Die EuGH-Rechtsprechung leitet die Methodenwahl (Art. 19 Abs. 1 EUV). Der EuGH kennt vier Methoden mit spezifischen Ausformungen. Die Lehre folgt dieser Aufgliederung überwiegend. Im Einzelfall mag eine spezifische Methodenausformung dem viergliedrigen Methodenkanon schwierig zuzuordnen sein. Die Rechtsprechungspraxis fordert bisher aber keine Aufweichung des Kanons. 2. Konkretisierung des Methodeninhalts in Rechtsprechung und Literatur Deutscher und europäischer Methodenkanon unterscheiden sich weniger begrifflich als vielmehr inhaltlich.170 Die Literatur hat die Aufgabe, zu beobachten, ob die EuGH-Rechtsprechung vom viergliedrigen Methodenkanon abweicht. Hierzu müssen die konkreten Inhalte der europäischen Wortlautauslegung (a)), der systematischen Auslegung (b)), der historischen Auslegung (c)) und der teleologischen Auslegung (d)) bekannt sein. Wichtig ist auch, ob der EuGH möglicherweise die Bedeutung einzelner Methoden des Methodenkanons hervorhebt (e)).

168

Komárek, Legal reasoning in EU law, in: Anull / Chalmers (Hrsg.): Oxford Handbook of European law, 18 (45). 169 Koopmans, The Theory of Interpretation and The Court of Justice, in: O’Keeffe / Bavasso (Hrsg.): Judicial Review in the European Union, Vol. I 2000, S. 45 ff. 170 Beginn spätestens in der berühmten Entscheidung des EuGH, C-26/62, Slg. 1963, S. 1 EuGH, C-370/12 – van Gend en Loos; s. statt vieler auch EuGH, C-149/79, Slg. 1980, 3881, Rn. 12, 19 – KOM / Belgien; EuGH, C-135/81, Slg. 1982, 3799, Rn. 10 – Agences de ­voyages; EuGH, C-43/77, Slg. 1977, 2175, Rn. 17/22 – Riva; s. auch Schwarze / Wunderlich, in: Schwarze / ​ Becker / Hatje / Schoo (Hrsg.), EU-Kommentar, Art. 19 EUV, Rn. 39; Leenen, Metho­denrecht, in: Hähnchen (Hrsg.), Methodenlehre zwischen Wissenschaft und Handwerk, 65 (66 ff.).

50

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

a) Europäische Inhalte der Wortlautauslegung EuGH-Urteile zitieren zur „rechtlichen Rahmung“ eines Falls häufig ganze Normen.171 Nur selten stellt der EuGH jedoch explizit die Wortlautbedeutung heraus. Die Notwendigkeit, ein rechtliches Auslegungsziel zu erreichen, könne „nicht so weit gehen, dass der eindeutige Wortlaut […][einer Vorschrift] in Frage gestellt wird.“172 Früh hatte der EuGH festgestellt, dass anderen Auslegungsmethoden „jedenfalls kein Vorrang vor dem eindeutig engen Wortlaut“173 zukommt. An der Formulierung war zunächst ein Streit entbrannt, ob der EuGH der französischen acte-clair-Doktrin folge, die bei einem klaren Wortlaut auf sonstige Auslegungsmethoden nicht zurückgreift.174 Der EuGH berücksichtigt indes in Urteilen trotz eindeutigen Wortlauts andere Auslegungsmethoden,175 wobei der acte-clairGedanke über die Frage entscheidet, ob ihm aus seiner Sicht nationale Rechtsfragen vorgelegt werden müssen.176 Der Wortlaut ist zugleich Ausgangspunkt und Grenze der Auslegung.177 Er wird im Regelfall durch andere Methoden ergänzt. Europäische Besonderheit bei der Wortlautauslegung ist, dass unionsrechtliche Begriffe autonom und unabhängig von mitgliedstaatlichen Präskriptionen auszulegen sind. Rechtsbegriffe auf europäischer Ebene sind gesetzesrelativ, d. h. derselbe Begriff kann in unterschiedlichen Kontexten verschiedene Bedeutungen haben.178 Die Wortlautauslegung ist besonders herausfordernd, weil bei derzeit 24 gleichrangigen verbindlichen Sprachfassungen (Art. 55 Abs. 1 EUV)179 fast jeder Nationalstaat seine eigene Sprachfassung hat. Nach EuGH-Ansicht erfordert die Auslegung gemeinschaftsrechtlicher Vorschriften Vergleiche zwischen den Sprachfassungen.180 Die französische Sprachfassung ist  – auch als EuGHArbeitssprache – formal betrachtet lediglich eine unter vielen Sprachfassungen. Französisch ist aber immerhin Ansatzpunkt richterlicher Auslegung und Probleme werden praktisch über einen Vergleich der französischen mit den anderen Sprachfassungen durch den EuGH aufgedeckt.181 Solange die Sprachfassungen identische 171 Vgl. exemplarisch statt vieler: EuGH, C-402/07 und C-432/07, Slg. 2009, I–10923, Rn. 3 ff. – Sturgeon. 172 EuGH, C-313/07, Slg. 2008, I–7904, Rn. 44 – Grenze. 173 EuGH, C-40/64, Slg. 1965, 295 (312) – Sgarlata. 174 Dafür: Bleckmann, Europarecht, Rn. 539 ff.; Oppermann, Europarecht, Rn. 579; anders aber heute: Oppermann / Classen / Nettesheim, Europarecht, Rn. 170 f.; bereits früh dagegen: Zuleeg, EuR 1969, 97 (100). 175 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 162 f. m. w. N. 176 Martens, Methodenlehre, S. 362. 177 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 19 EUV, Rn. 13. 178 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 20. 179 Zu Problemen durch die Verbindlichkeit aller Sprachfassungen s. Weiler, ZEuP 2010, 861. 180 EuGH, C-283/81, Slg. 1982, 3415, Rn.18  – C. I.L. F.I. T.; EuGH, C-72/95, Slg. 1996, I–5403, Rn. 21 (25) – Kraijeveld. 181 Vgl. Colneric, ZEuP 2005, 225 (227). In der Praxis dürfte dies bedeuten, dass die beteiligten Richterinnen und Richter mit ihren jeweils unterschiedlichen Muttersprachen die französische Textfassung mit der Textfassung ihrer Muttersprache und ggf. der englischen

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

51

Wortbedeutungen transportieren, eröffnet deren Wortlautvergleich keine interessanten Perspektiven.182 Auslegungserfolge durch Wortlautvergleiche setzen also Bedeutungsunterschiede in Sprachfassungen voraus, die empirisch häufig vorkommen.183 Dies bereichert den Methodenkanon mit einer im nationalen Recht kaum bekannten Perspektive.184 Konfligierende, gleichermaßen verbindliche Sprachversionen erschweren aber zugleich die Auslegung. Gerade hier zeigt sich, dass eine länderübergreifende, paneuropäische Methodik unvermeidbar ist, um einheitliche Auslegung sicherzustellen.185 b) Europäische Inhalte der systematischen Auslegung Der EuGH legt zudem systematisch aus. Normen seien in ihrer Einbettung in das Vertragssystem auszulegen.186 Das Vertragssystem prägt v. a. die europarechtliche Normenhierarchie.187 Hiernach orientieren sich sekundärrechtliche europäische Rechtsakte188 an primärrechtskonformen Leitprinzipien.189 Europäisches Primärrecht sind der Vertrag über die Europäische Union (EUV), der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und seit 2009 die Europäische

Sprachfassung vergleichen. Einige Abweichungen in der Übersetzung dürften so auffallen. Viele andere Abweichungen der Textbedeutungen, zumal solche, an denen die französische Sprachfassung keinen Anteil hat, dürften somit in der Praxis bei Urteilsverkündung nicht auffallen. 182 Zur rechtsvergleichenden Auslegungsmethode, die über den Rechtsvergleich der Sprachfassungen hinausgeht, vgl. Anweiler, Auslegungsmethoden des Gerichtshofs, S. 277 ff. (insb. S. 285); s. auch Kap. § 2 D. II. 1. c) ee). 183 EuGH, C-72/95, Slg. 1996, I–5403, Rn. 21 (25) – Kraijeveld; s. auch: Wegener, in: Calliess / Ruffert (Hrsg.), EUV / EUV, Art. 55 EUV, Rn. 13. 184 Zum Umgang mit drei Rechtssprachen in Belgien, neben Spanien dem einzigen euro­ päischen Mitgliedstaat mit mehr als einer europarechtlich relevanten Amtssprache, vgl. Henkes, (Weiter-)Entwicklung deutscher Rechtssprache in Belgien. 185 Dazu Zedler, Mehrsprachigkeit und Methode, S. 390 ff. 186 EuGH, C-22/70, Slg. 1971, 263, Rn. 15/19 – AETR; EuGH, C-149/77, Slg. 1978, 1365, Rn. 15 – Defrenne II. 187 Für die primärrechtskonforme Auslegung a. A. Anweiler, Auslegungsmethoden des Gerichtshofs, S. 185 ff., der jedoch darauf verweist, dass diese auch als Spezialform der systematischen Auslegung angesehen werden kann (Fn. 863). Als Spezialform betrachtend auch Grundmann, Auslegung des Gemeinschaftsrechts, S. 300 ff. und Seyr, effet utile, S. 50; für die sekundärrechtskonforme Auslegung a. A. Anweiler a. a. O., S. 145 ff., der diese als eigenständige Auslegungsmethode betrachtet. s. für die sekundärrechtskonforme Auslegung als Teil der systematischen Auslegung auch Grundmann a. a. O., S. 324 ff.; für die völkerrechtskonforme Auslegung a. A. Anweiler a. a. O., S. 264 ff., der auch diese als eigenständige Auslegungs­ methode betrachtet. 188 Aus dem Primärrecht abgeleitete und von Organen der Europäischen Union erlassene Rechtsakte im Sinne von Art. 288 AEUV (Ruffert, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 288 AEUV, Rn. 7 ff.), insbesondere Richtlinien und Verordnungen. 189 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 185.; Pache, in: Vedder / v. ­Heintschel-​ Heinegg (Hrsg.), Unionsrecht, Art. 19 EUV, Rn. 19.

52

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Grundrechtecharta (GRCh-EU).190 Leitprinzipien sind wiederum hier normiert, z. B. in Art. 3 Abs. 3 EUV, der die Verwirklichung des Binnenmarktes fordert. Auch Art. 7 GRCh-EU (Privatleben und den Schutz von Kommunikation) und Art. 8 GRCh-EU (Datenschutz) benennen im Bereich Datenschutzrecht Vertragsziele, die das europäische Sekundärrecht berücksichtigen muss. Der allgemeine Gedanke vertragskonformer Auslegung umfasst auch die sog. sekundärrechtskonforme Auslegung,191 das Gegenteil von primärrechtskonformer Auslegung. Durch gesetz­geberische Ausgestaltung der Sekundärrechtsakte wird das Primärrecht konturiert.192 Das Europarecht steht zudem neben dem Völkerrecht. Die vom EuGH praktizierte völkerrechtskonforme Auslegung193 ist Teil einer Auslegung im Mehrebenen-Rechtssystem, in das sich europäische Rechtsbegriffe systematisch eingliedern. Auch nationales, mitgliedstaatliches Recht ist Teil dieses MehrebenenRechtssystems, das Vergleiche unterschiedlicher Rechtsordnungen miteinander ermöglicht.194 Rechtsvergleichung zwischen mitgliedstaatlichen Systemen und europäischem System ist somit ein Spezialfall systematischer Auslegung.195 Die Rechtssysteme stehen in sehr engem Bezug zueinander,196 obwohl der EuGH in seiner Rechtsprechung nur selten und in eng definierten Fällen auf mitgliedstaatliches Recht verweist, z. B. zur Konsensfindung in wichtigen europäischen Fragen,197 bei Auslegung neuer europarechtlicher Begriffe oder für die Ausfüllung europarechtlicher Regelungslücken.198 Seltener entscheidet der EuGH eine Frage aber „unter Berücksichtigung der in Gesetzgebung, Lehre und Rechtsprechung der Mitgliedstaaten anerkannten Regeln“.199 Die mitgliedstaatskonforme Auslegung ist methodisch herausfordernd: Alle mitgliedstaatlichen Rechtsordnungen stehen in der Normenhierarchie auf einer Hierarchieebene unterhalb des Europarechts neben 190

Im Wesentlichen die sog. „Verträge“ im Sinne von Art. 1 Abs. 2 AEUV, die die Grundprinzipien der Europäischen Union im Sinne eines „Verfassungsrechts auf völkervertragsrechtlicher Wurzel“ festlegen (Ruffert, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 1 AEUV, Rn. 9). Aber auch ungeschriebene Grundsätze und gem. Art. 6 Abs. 1 EUV die GRCh-EU. 191 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 55 EUV, Rn. 15.; vgl. auch Anweiler, Auslegungsmethoden des Gerichtshofs, S. 185 ff. (primär) und S. 195 ff. (sekundär), der beide Ansätze eigenständig neben die systematische Auslegung stellt. Zur sekundärrechtskonformen Auslegung Martens, Methodenlehre, S. 446 ff. 192 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 195. 193 EuGH, C-6/64, Slg. 1964, S. 1251 (1269) – Costa / ENEL; Anweiler, Auslegungsmethoden des Gerichtshofs, S. 264. 194 Dies als Mikrorechtsvergleichung bezeichnend Kischel, Rechtsvergleichung, § 1, Rn. 1 (9). 195 Tendenziell wohl Epiney, in: Bieber / ders. / Haag / Kotzur (Hrsg.), Die EU, § 9, Rn. 16, der den systematischen Vergleich ganzer Rechtsgebiete hervorhebt; Gaitanides, in: v.  d. ­Groe­ben  /​  Schwarze / Hatje (Hrsg.), Unionsrecht, Art. 19, Rn. 42. 196 v. Danwitz, ZESAR 2008, 57 (64). 197 EuGH, C-44/79, Slg. 1979, S. 3727 – Hauer. 198 Seyr, effet utile, S. 84 f. 199 EuGH, C-7/56, C-3/57, C-7/57, Slg. 1957, S. 81 – Algera; später auch in EuGH, C-129/83, Slg. 1984, S. 2397, Rn. 11 – Zelger; EuGH, C-3/91, Slg. 1992, I–5529, Rn. 11 – Exporteur SA.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

53

einander. Der EuGH hat kein Mandat zur Findung allgemeiner mitgliedstaatlicher Rechtsgrundsätze. Und eine radikal gedachte Normenhierarchie verbietet dem EuGH, Europarecht unter Berücksichtigung mitgliedstaatlichen Rechts auszulegen.200 Systematische Auslegung, so könnte entsprechend argumentiert werden, ist in einem Mehrebenen-Rechtssystem nur im Einklang mit der Normenhierarchie, d. h. am höherrangigen Recht möglich – und nicht umgekehrt.201 Der EuGH hat seit den umfassenden Ausführungen im Algera-Urteil keine längeren Grundsätze mehr zum Rechtsvergleich entwickelt.202 Er berücksichtigte dennoch häufig „die Rechtsordnungen der Mitgliedstaaten“203 oder „dem Recht der Mitgliedstaaten [entspringende] gemeinsame[…] Grunds[…][ätze]“,204 ohne diese detailliert zu erläutern.205 Bei dem „Rechtsvergleich zur Definition neuerlicher europarechtlicher Begriffe“ extrahiert der EuGH aus der Summe der Begriffsbedeutungen in mitgliedstaatlichen Rechtsordnungen einen europäischen Bedeutungsgehalt.206 Der EuGH akzeptiert das legitime Ziel, europarechtliche Vorschriften durch Berücksichtigung des bisherigen mitgliedstaatlichen Rechts möglichst schonend in den Mitgliedstaaten umzusetzen.207 Dahinter steht das in Art. 4 Abs. 2 Satz 1 EUV normierte und seit dem Vertrag von Lissabon gestärkte Prinzip der Achtung der nationalen Identität.208 Mit dem daneben bestehenden Grundsatz der loyalen Zusammenarbeit zwischen Mitgliedstaaten und EU (Art. 4 Abs. 3 Satz 1 EUV) ist ein Rechtsvergleich nicht nur zulässig, sondern sogar geboten, wenn Europarecht durch unterschiedliche und gleichzeitig wirksame Implementierungsvarianten der Mitgliedstaaten interpretiert werden kann.209 Dass eine formal gegen die Normen-

200

Vgl. dazu v. Danwitz, ZESAR 2008, 57 (59). In diese Richtung wohl die Meinungen von Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 19 EUV, Rn. 17; ohne Einordnung: Pache, in: Vedder / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 19, Rn. 21; Seyr, effet utile, S. 81 m. w. N., aber einem fehlgehenden Verweis auf Bleckmann, Rechtsvergleichung im europäischen Gemeinschaftsrecht, in: ders. (Hrsg.), Studien zum Europäischen Gemeinschaftsrecht, S. 105 ff., der mit der Formulierung „Ziel, allgemeine Rechtsgrundsätze […] zu entwickeln“ (S. 127) eher die Einordnung als systematische Auslegungsmethode nahelegt. Diese Ansichten gehen wohl von einer eigenständigen fünften Auslegungsmethode aus. 202 v. Danwitz, ZESAR 2008, 57 (59); EuGH, C-7/56, C-3/57, C-7/57, Slg. 1957, S. 81 – Algera. 203 EuGH, C-155/79, Slg. 1982, S. 1576 (1610 ff.)  – AM & S; EuGH, C-46/87, C-227/88, Slg. 1989, S. 2859 (2922 ff.) – Hoechst. 204 EuGH, C-374/87, Slg. 1989, S. 3283 (3349 ff.) – Orkem. 205 Neben den anderen Urteilen EuGH, C-5/66, C-7/66, C-13/66–24/66, Slg. 1976, 711  – Kampffmeyer. 206 Vgl. Bleckmann, Rechtsvergleichung im europäischen Gemeinschaftsrecht, in: ders. (Hrsg.), Studien zum Europäischen Gemeinschaftsrecht, S. 105 ff. (120 f.). 207 EuGH, C-473/93, Slg. 1996, I–3207, Rn. 35 – KOM / LUX. 208 Hierzu Calliess / Kahl / Puttner, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 4 EUV, Rn. 13 ff.; Schill / Krenn, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 4 EUV, Rn. 14 ff. 209 Zu den hieraus erwachsenden Rücksichtnahmepflichten s. Schill / Krenn, in: Grabitz / ​ Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 4 EUV, Rn. 126. 201

54

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

hierarchie verstoßende Auslegung zulässig sein muss, zeigt bereits die sekundärrechtskonforme Auslegung, die sonst auch unzulässig wäre. Systematische Auslegung des Europarechts hat viele Facetten.210 Nicht nur der sprachliche Bedeutungszusammenhang einzelner Worte und deren gesetzgeberische Anordnung sind relevant.211 Auch muss die europäische Normenhierarchie in ihrem rechtlich-systematischen Bedeutungszusammenhang – möglicherweise rechtsvergleichend – mitberücksichtigt werden.212 c) Europäische Inhalte der historischen Auslegung Neben der Wortlautauslegung nutzt der EuGH historische Auslegungselemente. Artt. 296 Abs. 2, 297 AEUV normieren, dass die vom europäischen Gesetzgeber erlassenen Rechtsakte begründet sein und Bezug auf vorherige Stellungnahmen nehmen sollen. Der EuGH merkte früh an, dass auch der Zeitpunkt des Inkraft­ tretens dabei eine Rolle spielt, „mit welcher Tragweite diese Vorschrift […] zu verstehen und anzuwenden ist oder gewesen wäre.“213 Er verweist auf die Bedeutung von den – den Rechtsakten vorangestellten – Begründungserwägungen,214 verwendet diese aber lediglich hilfsweise.215 Er legt eine Norm unter Zuhilfenahme von „Vorarbeiten und […] Erwägungsgründen“216 aus und nimmt an, der „verfügende Teil eines Gemeinschaftsrechts […][sei] untrennbar mit seiner Begründung verbunden und, soweit erforderlich, unter Berücksichtigung der Gründe auszulegen“.217 Auch vorausgegangene Urteile könnten eine Rolle spielen.218 Bei historischer Auslegung europarechtlicher Normen müssen einige Besonderheiten berücksichtigt werden. Neben den Vorarbeiten sind die Erwägungsgründe als historisch knappe Begründung der europäischen Regelungswerke relevant.219

210 Die vorliegende Arbeit liefert keine weiterführenden Gedanken zu der formalen Frage der Unterscheidung von rechtsvergleichender und systematischer Auslegung. Allein aus praktischer Sicht zeigt sich, dass der EuGH im immer wieder abstrakt genannten Methodenkanon keine Rechtsvergleichung kennt. Deshalb wird die Rechtsvergleichung hier als konkretisierende Ausformung der systematischen Auslegung behandelt. 211 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 21. 212 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 22 ff. 213 EuGH, C-61/79, Slg. 1980, 1205 – Denkavit. 214 EuGH, C-158/80, Slg. 1981, 1805, Rn. 13 – Rewe; EuGH, C-202/88, Slg. 1991, I–1223, 1269 – Endgeräte. 215 In EuGH, C-246/80, Slg. 1981, 2311, Rn. 23 – Broekmeulen z. B. hilfsweise zur Stützung von systematischen Argumenten; vgl. auch Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 55 EUV, Rn. 14. 216 EuGH, C-635/11, Rn. 35 – KOM / NL. 217 EuGH, C-402/07 und C-432/07, Slg. 2009, I–10923, Rn. 41 f. – Sturgeon, zuvor bereits EuGH, C-298/00 P, Slg. 2004, I–4087, Rn. 97 – Italien / KOM. 218 EuGH, C-310/08, Slg. 2010, I–1065, Rn. 47 – Ibrahim. 219 EU (Hrsg.), Gemeinsamer Leitfaden für die Abfassung von Rechtstexten, S. 31 ff.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

55

Bereits seit längerer Zeit legt die Europäische Kommission ihre Vorschläge offen, die nahezu jedem europäischen Gesetzgebungsvorhaben vorausgehen.220 Erst in jüngerer Vergangenheit sind aber umfassende Vorarbeiten veröffentlicht, deren Zurückhaltung bisher häufig historische Auslegung behinderte.221 Deshalb legt der EuGH erst kürzlich und v. a. Sekundärrecht historisch aus.222 Die Dokumente bleiben vielfach noch immer hinter deutschen Vorstellungen von einem transparenten Gesetzgebungsprozess zurück.223 Zunehmend wird die nachfolgende Vertragspraxis ausgelegt, d. h. die Einordnung des Gesetzeswortlauts in allgemeine Entwicklungen, die v. a. bei länger bestehenden und gewandelten Regelungen Erfolg verspricht.224 Diese entstammt dem Völkerrecht und ist hier sogar normiert (Art. 31 Abs. 3 WVK).225 Der EuGH nutzt die historische Auslegung bisher lediglich ergänzend, was auch mit den in der Vergangenheit wenigen verfügbaren Gesetzgebungsdokumenten zusammenhängen dürfte.226 d) Europäische Inhalte der teleologischen Auslegung Der EuGH legt Normen zudem teleologisch aus, d. h. nach deren Sinn und Zweck.227 Leitend ist der Effektivitätsgrundsatz, häufig übersetzt mit effet utile228 oder Grundsatz der praktischen Wirksamkeit.229 Normzweck, ratio legis bzw. Sinn und Zweck der Vorschrift230 müssen bei der Entscheidung im Einzelfall effektiv verwirklicht werden.231 Die intendierte Wirkung europarechtlicher Maßnahmen dürfe insbesondere nicht durch Auslegung abgeschwächt werden.232 Insoweit meint 220

Martens, Methodenlehre, S. 396. Pache, in: Vedder / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 19 EUV, Rn. 18; Schwarze / Wunderlich, in: Schwarze / Becker / Hatje / Schoo (Hrsg.), EU-Kommentar, Art.  19 EUV, Rn. 37; Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 35 ff. 222 Schwarze / Wunderlich, in: Schwarze / Becker / Hatje / Schoo (Hrsg.), EU-Kommentar, Art. 19 EUV, Rn. 37. 223 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 55 EUV, Rn. 14. 224 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 271, der diese Auslegungsmethode allerdings als eigenständige Methode betrachtet. 225 Vgl. Dörr, in: ders. / Schmalenbach (Hrsg.), Vienna Convention on the Law of Treaties, Art. 31, Rn. 70 ff. 226 Leisner, EuR 2007, 689 ff. 227 S. etwa EuGH, C-9/70, Slg. 1970, 825, Rn. 5 – Leberpfennig; EuGH, C-41/74, Slg. 1974, 1337, Rn. 12 – van Duyn. 228 EuGH, C-9/70, Slg. 1970, 825, Rn. 5 – Leberpfennig; EuGH, C-41/74, Slg. 1974, 1337, Rn. 12 – van Duyn. 229 EuGH 246/80, Slg. 1981, 2311, Rn. 16 – Broekmeulen; EuGH, C-167/73, Slg. 1974, 359, 478, Rn. 24/26 – KOM / FRA; EuGH, 51/76, Slg. 1977, 113, Rn. 20/29 – Niederlandse Ondernemingen. 230 Hassold, Strukturen der Gesetzesauslegung, in: Canaris / Diederichsen (Hrsg.), FS Larenz (80.), 211 (227). 231 Pache, in: Vedder / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 19 EUV, Rn. 20. 232 EuGH, C-9/70, Slg. 1970, 825, Rn. 5 – Lebepfennig; EuGH, C-41/74, Slg. 1974, 1337, Rn. 12 – van Duyn; EuGH, C-51/76, Slg. 1977, 113, Rn. 20/29 – Niederlandse Ondernemingen. 221

56

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

teleologische Auslegung Untersuchung der Fortwirkung historischer Intentionen. Zur effektiven Verwirklichung der Ziele der EU müssten europäische Rechtsakte so ausgelegt werden, dass „sie zu […][dem verfolgten] Zweck tatsächlich beitragen können.“233 In verschiedenen Urteilen stellt der EuGH verfolgte Ziele voran. Die Voranstellung dient als Überprüfungsmaßstab, inwieweit eine spezifische Auslegung zur effektiven Zielerreichung geeignet ist.234 Spricht der EuGH von praktischer Wirksamkeit, so meint er Gewährleistung der vollen Regelungswirkung der Bestimmungen und Schutz der durch das Gemeinschaftsrecht verliehenen Rechte des Einzelnen.235 Die praktische Wirksamkeit verlangt eine enge Auslegung von Ausnahmen von den allgemeinen Grundsätzen.236 Zunehmend spielen hierbei auch dynamische / evolutive Elemente237 als spezifische Ausformungen der teleologischen Auslegung eine besondere Rolle.238 War sie zunächst nur im Primärrecht bekannt, ist die evolutive Auslegung auch im Sekundärrecht möglich.239 Das Recht müsse immer in seiner konkreten historischen Ausprägung interpretiert werden,240 d. h. auch ein etwaiger Normzweckwandel ist bei der Auslegung bedeutsam. e) Methodengewichtung durch den EuGH Mit der Erarbeitung der Methodeninhalte ist noch keine Aussage zur Bedeutung der einzelnen Methoden getroffen. Eine stärkere Gewichtung einzelner Auslegungsmethoden durch den EuGH müsste bei der Begriffsauslegung berücksichtigt werden. Die Identifikation intendierter oder beiläufiger Gewichtungen ist Aufgabe der Wissenschaft.241 Häufig wird der teleologischen Auslegung im Methodenkanon eine besondere Bedeutung zugesprochen.242 In den Anfangsjahren der EuGH-

233

EuGH, C-190/87, Slg. 1988, 4689, Rn. 27 – Borken / Moormann. EuGH, C-45/96, Slg. 1998, I–1199, Rn. 19 – Dietzinger; EuGH, C-31/87, Slg. 1988, 4635, Rn. 11 – Beentjes; mit Bezug zu den Erwägungsgründen auch EuGH, C-112/99, Slg. 2001, I–7945, Rn. 36 – Toshiba. 235 EuGH, C-9/90, Slg. 1991, I–5357, Rn. 52 – Frankovich; zuvor bereits EuGH, C-106/77, Slg. 1978, 629, Rn. 14/16 – Simmenthal; EuGH, C-213/89, Slg. 1990, I–2433, Rn. 19 – Factortame. 236 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 55 EUV, Rn. 16. 237 EuGH, C-283/81, Slg. 1982, 3415, Rn. 20 – C. I.L. F.I. T. 238 A. A. Anweiler, Auslegungsmethoden des Gerichtshofs, S. 238 ff., der die evolutive Auslegung als eigenständige Auslegungsmethode betrachtet, gleich aber Grundmann, Auslegung des Gemeinschaftsrechts, S. 381 ff. und Seyr, effet utile, S. 69. 239 Martens, Methodenlehre, S. 474; Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 46. 240 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 46. 241 Kutscher, Begegnungen von Justiz und Hochschule, in: EuGH (Hrsg.), dass., S. I–1 (I–6); Zedler, Mehrsprachigkeit und Methode, S. 3. 242 Z. B. bei Riesenhuber (Hrsg.); Hdb. Europäische Methodenlehre, § 10, Rn. 54 m. w. N.; Anweiler, Auslegungsmethoden des Gerichtshofs, S. 199. 234

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

57

Rechtsprechung fanden sich hierfür Anhaltspunkte,243 die heute jedoch kritischer betrachtet werden.244 Teleologische Auslegung ist nicht unwichtig, ihre Bedeutung wird jedoch tendenziell überschätzt, wie eine umfassende empirische Studie aus dem Jahr 1999 zeigt.245 Diese Studie stellt generell fest, dass die Einschätzung der Bedeutung der Auslegungsmethoden insgesamt häufig nicht den Tatsachen entspreche. Die Wortlautbedeutung sei für den EuGH sehr bedeutsam, während die Literatur diese im Regelfall unterschätze.246 Die systematische Auslegung sei hingegen zwar nicht unwichtig, ihre Bedeutung werde aber im Regelfall überschätzt.247 Einzig die weniger gewichtig geschätzte historische Auslegung werde auch tatsächlich eher selten vom EuGH angewandt und somit in ihrer Bedeutung richtig eingeschätzt.248 Wichtiger als der Vorrang einzelner Methoden ist aus EuGH-Sicht jedoch, Eigenheiten europäischer Methodik im Vergleich zu nationaler Auslegung zu berücksichtigen. Leitende Eigenheit ist zunächst die autonome Auslegung,249 die beim Wortlaut ansetzt und durch die Systematik, das Telos und die Historie des Begriffs ergänzt wird. Der EuGH nutzt ferner spezifische Ausprägungen der vier Methoden, wie etwa die gesteigerte Möglichkeit der wortlautvergleichenden Auslegung durch die Mehrsprachigkeit europarechtlicher Regelungen.250 Bei der teleologischen Auslegung spielt der Grundsatz praktischer Wirksamkeit europarechtlicher Regelungen251 und bei der historischen Auslegung spielen die Erwägungsgründe eine Rolle. Systematische Auslegung ist schließlich u. a. primärrechtskonforme Auslegung.252 Der EuGH nutzt – gegenstandsbezogen – letztlich die Methode oder Methodenausprägung vorrangig, die die Auslegung ermöglicht. Der Untersuchungsgegenstand gibt die Passform der Auslegungsmethode vor. 3. Fazit: Der europäische Methodenkanon Da der EuGH gem. Art. 19 Abs. 1 EUV das Auslegungsmonopol über das Europarecht hat, wurde die Ausarbeitung des Methodenkanons durch die Frage geleitet, welche Methoden der EuGH nutzt. Der EuGH legt Europarecht anhand unterschied 243 Grundlegend: Constantinesco, Recht der EG, Bd. 1, S. 819 ff. m. w. N.; Bleckmann, NJW 1982, 1177 (1178); Schwarze / Wunderlich, in: Schwarze / Becker / Hatje / Schoo (Hrsg.), EUKommentar, Art. 19 EUV, Rn. 36. 244 Martens, Methodenlehre, S. 501; Anweiler, Auslegungsmethoden des Gerichtshofs, S. 199 mit einem Plädoyer, das die teleologische Auslegung nicht verabsolutiert werden dürfe; bereits im Ursprung für ein Nebeneinander der Methoden Kutscher, Begegnungen von Justiz und Hochschule, in: EuGH (Hrsg.), dass., S. I–1, (I–6). 245 Dederichs, EuR 2004, 345 (355 ff.). 246 Dederichs, EuR 2004, 345 (350 ff.). 247 Dederichs, EuR 2004, 345 (357 f.). 248 Dederichs, EuR 2004, 345 (358 ff.). 249 Z. B. EuGH, C-283/81, Slg. 1982, 3415, Rn. 17 ff. – C. I.L. F.I. T. 250 Z. B. EuGH, C-135/81, Slg. 1982, 3799, Rn. 10 – Agences de voyages. 251 Z. B. EuGH, C-9/70, Slg. 1970, 825, Rn. 5 – Lebepfennig. 252 Z. B. EuGH, C-635/11, Rn. 35 – KOM / NL.

58

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

licher Methodenausprägungen aus, die sich in einem Prozess der Methodenkonvergenz mehr und mehr von nationalen Ansatzpunkten gelöst haben und eigenen Rationalismen folgen.253 Er betont zuvorderst die Autonomie der Auslegung gegenüber mitgliedstaatlichen Begriffen. Die Literatur leitet aus der EuGH-Rechtsprechung – je nach Differenzierungsgrad – teils lediglich vier, teils jedoch bis zu elf abstrakte EuGH-Auslegungsmethoden ab.254 Werden jedoch alle Auslegungsausprägungen berücksichtigt, so ist der Grad horizontaler Differenzierung gleichrangig nebeneinanderstehender Methoden nicht vorgegeben. Die Entscheidung für vier übergeordnete Methoden begründet sich in der EuGH-Rechtsprechung. Der EuGH misst einzelnen Methoden des Methodenkanons keine herausragende Bedeutung mehr bei, wobei je nach konkreter Ausformung jede Methodenausprägung leitend sein kann. Der Wortlaut wird autonom und mit einem Vergleich der Sprachfassungen ausgelegt.255 Neben der europäischen Normenhierarchie spielen bei der systematischen Auslegung die primär- und die sekundärrechtskonforme Auslegung und möglicherweise auch die völkerrechtskonforme Auslegung und der Rechtsvergleich verschiedener mitgliedstaatlicher Rechtsordnungen eine Rolle.256 Bei der historischen Auslegung sind – anders als im nationalen Recht – auch die jedem europäischen Rechtsakt vorangestellten Erwägungsgründe relevant.257 Bei der teleologischen Auslegung ist trotz neuerlich evolutiver Elemente v. a. der Grundsatz der praktischen Wirksamkeit gemeinschaftsrechtlicher Regelungen maßgeblich.258

II. Angewandte Auslegung: Ist der Betriebsrat gem. Art. 4 Nr. 7 DSGVO datenschutzrechtlich verantwortlich? Die Frage, ob der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO ist, soll anhand dieser Auslegungsmethoden untersucht werden. Diese Fragestellung ist lediglich Ausgangspunkt der Frage nach der betriebsrätlichen Verantwortlichkeit insgesamt. Denn neben einer Verantwortlichkeit nach Art. 4 Nr. 7 1. Hs. DSGVO kommt zur Bestimmung der betriebsrätlichen Verantwortlichkeit auch mitgliedstaatliches Recht in Frage (Art. 4 Nr. 7 2. Hs. DSGVO).259 Im Einzelfall ist es hierbei manchmal weder notwendig noch möglich, die einzelnen Auslegungsmethoden voneinander abzugrenzen. Auf etwaige Überschneidungen wird jeweils hingewiesen und auf die ausführlichere Ausbreitung an anderer Stelle verwiesen. Datenschutzrechtlich verantwortlich ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder

253

Colnercic, ZEuP 2005, 225. S. Kap. § 2 D. I. 1.  255 Kap. § 2 D. II. 1. a). 256 Kap. § 2 D. II. 1. b). 257 Kap. § 2 D. II. 1. c). 258 Kap. § 2 D. II. 1. d). 259 S. etwa Kap. § 2 D. II. 1. b) ee) (2), (3). 254

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

59

gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet. Es gibt unterschiedliche Entitäten. Eine Person, Behörde, Einrichtung oder sonstige Stelle ist allerdings dann – und nur dann – datenschutzrechtlich verantwortlich, wenn sie über Zwecke und Mittel der Datenverarbeitung entscheidet. Art. 4 Nr. 7 1. Hs. DSGVO kombiniert zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit somit zwei Elemente: Der Verantwortliche muss erstens enumerativ aufgelistete Stelle sein und zweitens muss er über die Zwecke und Mittel der Datenverarbeitung entscheiden. 1. Entscheidet der Betriebsrat als andere Stelle über Zwecke und Mittel der Datenverarbeitung? Das Organ Betriebsrat verarbeitet Daten.260 Ob der Betriebsrat jedoch auch eine Stelle ist, die über Zwecke und Mittel der Datenverarbeitung entscheidet, ist unklar.261 Erst dann wäre er datenschutzrechtlich verantwortlich. Bei der Auslegung sind die Besonderheiten der europäischen Methodenlehre zu berücksichtigen,262 wobei die einzelnen Methoden nebeneinanderstehen und sich im Einzelfall dennoch beeinflussen. Die Methoden werden hier lediglich  – aber immerhin  – als nachvollziehbare Argumentation bei der Auslegung der Rechtsbegriffe verstanden.263 Die hier angewandte beabsichtigt also nicht die richtige Methodik, sondern lediglich offengelegte Methodik zu sein. Bei der Beantwortung der Frage, ob der Betriebsrat datenschutzrechtlich verantwortlich ist, sind personelles (Stelle) und sachliches Element (Entscheidung) miteinander verwoben. Der Wortlaut der Norm  (a)) wird unter Berücksichtigung unterschiedlicher Sprachfassungen der DSGVO alltagsweltlich und fachterminologisch ausgelegt. Es schließen sich umfassende systematische Überlegungen zu Art. 4 Nr. 7 1. Hs. DSGVO und der Stellung in der Rechtsordnung an (b)). Da die Gesetzesentwicklung Einblicke in die Einordnung des Betriebsrats verspricht, werden die Begriffe auch historisch ausgelegt (c)). Das Begriffskonzept wird zudem teleologisch untersucht (d)). Die Ergebnisse werden kurz zusammengefasst (e)).

260 S. zu den Kategorien der Datenverarbeitung etwa Stück, ZD 2019, 346; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, S. 5 ff.; Kiesche  / ​ Willke, CuA 2012, 18 ff.; Schierbaum, Computer-Fachwissen 2004, 29. 261 So noch Kranig / Wybitul, ZD 2019, 1; Brams / Möhle, ZD 2018, 570 (571); problematisierend auch Jung / Hansch, ZD 2019, 143 (147); ausdrücklich anders mit Herleitung über die Rspr. des BAG: Gola, in: ders. (Hrsg.), DSGVO, Art. 4, Rn. 56. 262 S. hierzu Kap. § 2 D. I. 263 So auch Martens, Methodenlehre, S. 329.

60

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

a) Die Wortlautauslegung Der EuGH beginnt mit der Auslegung beim Wortlaut der Norm unter Berücksich­ tigung europarechtlicher Besonderheiten.264 Der Wortlaut ist Ansatzpunkt für alle Auslegungsmethoden265 und zugleich Auslegungsgrenze.266 Wortlautauslegung heißt Erfassen der Bedeutung in Umgangssprache, juristischen und konkreten Gesetzessprachgebrauch.267 Europarecht ist inhaltlich autonom von mitgliedstaat­ lichen Begriffen auszulegen. Die Variabilität von 24 verbindlichen und gleichrangig nebeneinanderstehenden europäischen Sprachfassungen (Art. 55 Abs. 1 EUV)268 bereichert die Auslegung in einer im nationalen Recht wenig bekannten Perspektive: Europäische Vorschriften müssen auch sprachfassungsvergleichend ausgelegt werden.269 Jeder Wortlaut hat einen spezifischen historischen Hintergrund. Und deshalb umfasst die Wortlautauslegung im Einzelfall historische Elemente. Hier wird zunächst nur die Etymologie alltagsweltlicher Terminologie berücksichtigt, während die originär datenschutzrechtliche Begriffsentwicklung umfassender bei der historischen Auslegung behandelt wird.270 Systematische Elemente,271 etwa bei Auslegung grammatikalischer Strukturen von Art. 4 Nr. 7 1. Hs. DSGVO, werden im Rahmen der systematischen Auslegung thematisiert.272 Die Begriffsbedeutungen in der Alltagssprache können die spezifisch juristische Begriffsauslegung beschränken.273 Die juristische Begriffsauslegung könne insgesamt nur so weit reichen, wie das Gesetz alltagsweltlich verständlich bleibe.274 Im Einzelfall muss also geprüft werden, ob sich alltagsweltlicher und juristischer Begriffsgebrauch entsprechen. Anknüpfungspunkt der Untersuchung ist Art. 4 Nr. 7 1. Hs. DSGVO. Hier ist der Begriff Verantwortlichkeit normiert, der diskutiert wird (aa)). Zur Bestimmung der Verantwortlichkeit setzt der Wortlaut von Art. 4 Nr. 7 1. Hs. DSGVO ein personelles und ein sachliches Element voraus.275 In personeller Hinsicht müsste der Betriebsrat Stelle sein (bb)). In sachlicher Hinsicht müsste er über Zwecke und Mittel der Datenverarbeitung entscheiden. Hier wird 264

Möllers, Methodenlehre, S. 113; Kramer, Methodenlehre, S. 61. Wank, Auslegung von Gesetzen, S. 55; Martens, Methodenlehre, S. 358. 266 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 19 EUV, Rn. 13. 267 So etwa Wank, Auslegung von Gesetzen, S. 41. 268 Zu Problemen durch die Verbindlichkeit aller Sprachfassungen s. Weiler, ZEuP 2010, 861. 269 EuGH, C-283/81, Slg. 1982, 3415, Rn.18  – C. I.L. F.I. T.; EuGH, C-72/95, Slg. 1996, I–5403, Rn. 21 (25) – Kraijeveld. 270 Kap. § 2 D. II. 1. c). 271 Zu diesen Überschneidungen und der Bedeutung der einzelnen Auslegungskriterien vor diesem Hintergrund Wank, Auslegung von Gesetzen, S. 54. 272 Kap. § 2 D. II. 1. b). 273 Zwar hat Wank, Auslegung von Gesetzen, S. 45, beispielhaft herausgestellt, dass diese Vorstellung fehlgeht, im methodischen Diskurs wird aber das Ideal aufrechterhalten, die juristische Auslegungsgrenze sei der Begriffsgebrauch im Alltag (Möllers, Methodenlehre, S. 119, Rn. 65 f.; Adam, JuS 2018, 1188 (1189) m. w. N.). 274 Vgl. etwa Möllers, Methodenlehre, S. 119, Rn. 65 f.; Adam, JuS 2018, 1188 (1189) m. w. N. 275 Kap. § 2 D. II. 1. a) bb) (2). 265

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

61

untersucht, was Datenverarbeitung und Entscheidung bedeutet und was Zwecke und Mittel der Datenverarbeitung sind (cc)).276 Im letzten Schritt werden die Ergebnisse zusammengefasst (dd)). aa) Der Verantwortlichkeitsbegriff in der DSGVO Der Terminus Verantwortlichkeit stammt etymologisch vom Verb verantworten ab, das seit dem 14. Jahrhundert bekannt ist.277 Verantworten meinte zunächst „sich rechtfertigen“ oder auch „vor Gericht antworten“. Als Nomen war im 15. Jahrhundert zunächst das Wort Verantwortung bekannt, das die Verpflichtung meinte, für etwas eintreten zu müssen bzw. die Folgen für etwas zu tragen.278 Aus der juristisch konnotierten Begrifflichkeit, sich als Angeklagter verteidigen zu müssen, erlangte das Verb verantworten allgemeine Bedeutung.279 Verantwortlichkeit ist überkommener Begriff des deutschen Rechts. § 276 BGB normiert etwa die zivilrechtliche Verantwortlichkeit. Auch strafrechtliche Verschuldensfragen werden unter dem Begriff Verantwortlichkeit diskutiert (vgl. nur § 3 Satz 1 JGG). Das Verfassungsrecht nutzt den Begriff u. a. in Art. 34 Satz 1 GG zur Überleitung staatshaftungsrechtlicher Ansprüche oder im Konzept der Ministerialverantwortlichkeit, ohne dass dieses im Grundgesetz explizit erwähnt wird.280 Im speziellen Verwaltungsrecht definiert darüber hinaus z. B. § 5 MPG Kriterien der Verantwortlichkeit für das erstmalige Inverkehrbringen von Medizinprodukten. Das Polizeirecht kennt Verhaltensverantwortlichkeit und Zustandsverantwortlichkeit (z. B. §§ 4, 5 PolG NRW). Wegen der Normenhierarchie und der autonomen Auslegung beeinflussen die weitreichenden nationalen Implikationen die Auslegung des europarechtlichen Verantwortlichkeitsbegriffs jedoch nicht. Denn europarechtliche Norminterpretation erfolgt losgelöst von mitgliedstaatlichen Rechtsvorstellungen.281 Der Begriff Verantwortlicher ist zentral in Art. 4 Nr. 7 1. Hs. DSGVO reichlich abstrakt definiert. Die Verantwortlichkeit ist Komplementärbegriff: Einerseits konkretisiert sie den personellen Anwendungsbereich datenschutzrechtlicher Verpflichtung in der DSGVO.282 Dieser transportiert Einstandspflichten zur Prävention von Datenschutzverstößen, die sog. datenschutzrechtliche Verantwortung (vgl. Art. 24 DSGVO). Die Begriffe Verantwortung und Verantwortlichkeit sind in 276 Hier wird allerdings nur kurz in den Wortlaut und Auslegungsmöglichkeiten eingeführt, mehr dazu in den Kap. § 2 D. II. 1. b) und Kap. § 2 D. II. 1. d). 277 Dudenredaktion, Duden  – Herkunftswörterbuch, S. 890; Seebold, Kluge  – Etymolo­ gisches Wörterbuch, S. 950. 278 Dudenredaktion, Duden – Herkunftswörterbuch, S. 890. 279 Seebold, Kluge – Etymologisches Wörterbuch, S. 950. 280 Vgl. Mehde, DVBl 2001, 13.  281 Möllers, Methodenlehre, S. 125, Rn. 85. 282 Mantz / Marosi, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, S. 44; beachte daneben jedoch weitere datenschutzrechtlich Verpflichtete, etwa gemeinsam Verantwortliche (Art. 26 DSGVO) und weitere z. B. in Art. 83 DSGVO aufgeführte, datenschutzrechtlich verpflichtete Stellen.

62

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

der DSGVO nicht synonym – anders als in anderen Rechtsgebieten.283 Andererseits transportiert der Begriff Verantwortlichkeit jedoch auch die datenschutzrechtliche Berechtigung: Berechtigt ist derjenige, dessen personenbezogene Daten verarbeitet werden. Dort, wo Rechte sind, gibt es zugleich Pflichten, die der Verantwort­ liche hat. In der DSGVO liegen alltagsweltlicher und juristischer Sprachgebrauch wider­spruchsfrei eng beieinander. bb) Das personelle Element: Der Betriebsrat als „Stelle“ in der DSGVO Der Verantwortliche steht für die Verarbeitung personenbezogener Daten und Fehler bei dieser Verarbeitung ein (vgl. Art. 24 DSGVO). Art. 4 Nr. 7 1. Hs. DSGVO knüpft hierfür u. a. an ein personelles Element an: Verantwortlicher kann nur jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein. Bei der terminologischen Eingrenzung auf den Untersuchungsgegenstand Betriebsrat unterstützt eine Negativabgrenzung:284 Das Organ Betriebsrat ist – anders als die einzelnen Betriebsratsmitglieder – keine natürliche Person. Und der Betriebsrat ist auch keine juristische Person, denn diese sind im deutschen Recht vollrechtsfähig, wohingegen der Betriebsrat im Rahmen seiner enumerativ zugeordneten Rechte und Pflichten lediglich (teil-)rechtsfähig ist.285 Er nimmt keine funktionalen Aufgaben der öffentlichen Verwaltung wahr und ist auch keine Behörde. Er könnte aber Einrichtung oder andere Stelle im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO sein. In welchem Verhältnis stehen die Begriffe Einrichtung und andere Stelle zueinander (1)? Was ist andere Stelle, was bedeuten die Termini Stelle und andere (2)? Etymologische Überlegungen ergänzen die juristische und spezifischer die konkret-gesetzliche Auslegung. Ist der Betriebsrat also andere Stelle (3)? (1) Das Verhältnis der Begriffe Einrichtung und andere Stelle Der Begriff Einrichtung ist Spezifikum in Art. 4 Nr. 7 1. Hs. DSGVO. Anders als die zuvor aufgeführten und durch Kommata getrennten Entitäten, ist die Einrichtung durch ein oder mit der anderen Stelle verbunden. Dieses oder könnte einerseits stilistisches Mittel zum Abschluss der Begriffsaufzählung sein und hiermit ein weiteres Komma ersetzen. Einrichtung und andere Stelle unterschieden sich in der Folge. Das oder könnte aber zugleich Verbindung zum Ausdruck alternativer Begrifflichkeiten sein. Einrichtung und andere Stelle wären dann synonyme Begriffe. Entsprechen sich also die Begriffe Einrichtung und andere Stelle oder unterscheiden sie sich? 283

Klement, Verantwortung, S. 30, v. a. Fn. 89 m. w. N. Schwartmann / Mühlebeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art. 4, Rn. 138. 285 Kap. § 2 D. II. 1. b) aa) (3) (d). 284

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

63

Der Begriff Einrichtung stammt von dem seit dem 8. Jahrhundert bekannten Verb „richten“ ab, das im Ursprung „recht machen“ bedeutete. Das Partikelverb „einrichten“ prägte das Nomen „Einrichtung“.286 Einrichtung im moderneren Sinne meinte im Ursprung Mobiliar oder Ausstattung. Erst neuerlich meint es auch Institution.287 Interessant ist v. a. die systematische Stellung der Einrichtung:288 Die enumerative Liste in Art. 4 Nr. 7 1. Hs. DSGVO bietet Vergleichsbegriffe zur Auslegung an. Das Auflistungsprinzip möglichst vieler Begriffsgruppen nacheinander entstammt der angloamerikanischen Rechtstradition.289 Eine trennscharfe Unterscheidung zwischen Einrichtung und anderer Stelle ist vor dem Hintergrund der Bedeutungsgeschichte in der deutschen Sprachfassung schwierig.290 Hätte Einrichtung allerdings keine eigenständige Bedeutung, entspräche also der anderen Stelle, so wäre die Aufführung des Begriffs überflüssig. Nicht hilfreich sind die Erwägungsgründe: Sie verdeutlichen weder, was im Sinne der DSGVO unter einer Einrichtung zu verstehen ist noch, wie der Begriff von der anderen Stelle abgegrenzt werden kann. Die Antwort ist also im Wortlaut und in der Entstehungsgeschichte zu suchen. Da die DSGVO Verantwortlichkeiten für alle 24 Sprachfassungen der Mitgliedstaaten definiert, können die Begriffe in unterschiedlichen Sprachfassungen eine Bedeutung haben, müssen aber nicht in jedem Mitgliedstaat bedeutsam sein. Wenn der Begriff Einrichtung in der deutschen Sprachfassung möglicherweise keine eigenständige Bedeutung hat, so könnte er aber in den Rechtsordnungen anderer Mitgliedstaaten eine wichtige eigenständige Bedeutung haben. Es bietet sich also ein Vergleich der Bedeutungen von Einrichtung in den DSGVO-Sprachfassungen an. Hätte die Einrichtung in anderen Mitgliedstaaten eigenständige Bedeutung, so würde sie selbst bei Entsprechung des deutschen Begriffs andere Stelle nicht insgesamt leerlaufen. Denn sie wäre allein in Deutschland nicht von der anderen Stelle unterscheidbar. V.a. zwei Sprachfassungen werden mit der deutschen verglichen: Die als EuGH-Arbeitssprache291 besonders praxisrelevante französische Sprachfassung.292 Und die generell viel zitierte englische Sprachfassung293 als Verhandlungssprache im DSGVO-Gesetzgebungsprozess.294 Die englische Sprachfassung übersetzt Einrichtung mit Agency. Agency meint u. a. Dienststelle, Behörde, daneben auch Vertretung, Organ, Auftragsverhältnis u. ä.295 Die Agency setzt ein spezifisches Vertretungsverhältnis (sog. principal-agent) 286

Seebold, Kluge – Etymologisches Wörterbuch, S. 764. Dudenredaktion, Duden – Herkunftswörterbuch, S. 698. 288 S. ausf. Kap. § 2 D. II. 1. b). 289 Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 13. 290 Raschauer, in: Sydow (Hrsg.), DSGVO, Art. 4, Rn. 131; Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 13. 291 Colneric, ZEuP 2005, 225 (227). 292 „‚Responsable du traitement‘, la personne physique ou morale, l’autorité publique, le service ou un autre organisme […]“. 293 „‚Controller‘ means the natural or legal person, public authority, agency or other body […]“. 294 Sydow, in: ders. (Hrsg.), DSGVO, Einl., Rn. 48. 295 v. Beseler / Jacobs-Wüstefeld, Law Dictionary Englisch-Deutsch, S. 56. 287

64

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

voraus.296 Agencies üben nicht unmittelbar Staatsgewalt aus, sondern sind teils privatrechtlich organisiert und quasi-autonom in keine Abteilung innerhalb der Verwaltung o. ä. eingegliedert.297 Es gibt sehr viele verschiedene aus der direkten Verwaltungsorganisation ausgegliederte Agencies, die Instrument eines neuartigen öffentlichen Managements sind.298 Bei allen Unterschieden haben sie eine Gemeinsamkeit: „Every agency has its own story, but all the stories are the same. To be an agency is to be an alternative to organisational integration.“299 Eine Einordnung als Agency hat drei Voraussetzungen: Die Entität muss erstens effektive Verwaltungseinheit sein, die zweitens im Wesentlichen Aufgaben für Öffentlichkeit oder Regierung und nur in Ausnahmefällen wichtige Lenkungsfunktionen wahrnimmt und drittens bestimmte Ziele außerhalb der Administrativverwaltung verfolgt.300 Agencies setzen sich selbst administratives Recht.301 In der englischen Fassung von Art. 4 Nr. 7 1. Hs. DSGVO ähnelt der Begriff Agency der Public Authority. Denn auch die Public Authority übt als Behörde oder Dienststelle öffentliche Aufgaben aus. Sie hat stets spezifische hoheitliche Ermächtigungen und Rechte, übt Staatsgewalt aus und ist hierbei selbst öffentliche Gewalt.302 Agency und Public Authority sind jeweils spezifische Form staatlicher Verwaltung. Sie unterscheiden sich im angloamerikanischen Rechtskreis jedoch durch ihre unterschiedliche Eingliederung in den Verwaltungsapparat. Die Agency nimmt lediglich in absoluten Ausnahmefällen staatliche Lenkungsfunktionen wahr, während genau dies Kernaufgabe der Public Authority ist. Obwohl beide Entitäten also Verwaltungsaufgaben wahrnehmen, unterscheiden sie sich erheblich. Dies hat auch Auswirkungen auf die Einordnung der Agency gegenüber der anderen Stelle (other body): Die Agency ist eigenständige Entität, ähnlich der natürlichen oder juristischen Person oder der Behörde in Deutschland. Während die Begriffe Einrichtung oder andere Stelle im deutschen Recht also möglicherweise nicht unterscheidbar sind, bildet die Differenzierung zwischen Agency und Public Authority im englischen Rechtskreis jedoch erst die gesamte Verwaltungsstruktur ab. Weil der Begriff Einrichtung also im englischen Rechtskreis eine sehr wichtige Bedeutung hat, muss er in der DSGVO normiert sein und ist somit terminologisch auch in der deutschen Sprachfassung zu finden. Die französische Sprachfassung übersetzt Einrichtung mit Service. Service steht neben Autre Organisme und l’Autorité Publique und meint historisch ‚Dienst‘, ‚unterstützender Hilfsdienst‘ u. ä.303 Das moderne französische Recht verwendet

296

Parisi, The Language of Law and Economics – A Dictionary, S. 5. OECD, Distributed Public Governance, S. 33 f. 298 OECD, Distributed Public Governance, S. 40. 299 OECD, Distributed Public Governance, S. 35. 300 OECD, Distributed Public Governance, S. 206 ff. 301 Metzger / Stack, MLR 2017, 1239 (1252). 302 v. Beseler / Jacobs-Wüstefeld, Law Dictionary Englisch-Deutsch, S. 139. 303 Fehner / Herrmann, Wörterbuch der deutschen und französischen Rechts- und Verwaltungssprache, S. 214. 297

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

65

den Begriff im Sinne von Dienststelle, Amt oder auch Behörde.304 Die Begriffshistorie zeigt: Die Administrativverwaltung besteht länger als der moderne Begriff Service. Services Publiques, also öffentliche Dienste, können auch durch Privatpersonen erbracht werden.305 In der französischen DSGVO-Fassung meint Service also dienstleistende Tätigkeit mit Verwaltungsbezug. Wie in der englischen Sprachfassung hat auch der französische Begriff Autorité Publique Verwaltungsbezug. Dessen Verhältnis zum Service muss folglich geklärt werden. Autorité ­Publique meint auch Behörde, allerdings Behörde, die Amtsgewalt, Hoheitsgewalt oder Machtbefugnisse ausübt.306 Autorité bezieht sich isoliert weitgehender sogar auf die Machtbefugnis aller drei Staatsgewalten.307 Historisch bezeichnete Autorité Publique Behörden im engeren Sinne, d. h. Polizeibehörden, Verwaltungsbehörden oder auch Finanzbehörden. In moderner Terminologie ist insbesondere die Eingriffsverwaltung gemeint.308 Im französischen Recht ist – wie auch im englischen Recht – die Unterscheidung zwischen „weichem“ Service, der in der Regel Aufgaben der Leistungsverwaltung wahrnimmt auf der einen Seite und häufig grundrechtssensible Aufgaben wahrnehmender Autorité Publique auf der anderen Seite bekannt. Der Begriff Service hat in der französischen Terminologie eigenständige Bedeutung. Der Auffangbegriff Autre Organisme steht so gleichfalls eigenständig neben Service und Autorité Publique. Die französische und die englische Rechtssprache kennen im Gegensatz zum deutschen Recht zwei unterschiedliche Begriffe für Verwaltungsentitäten: Public Authority bzw. Autorité Publique bezeichnen den „engen“ Verwaltungsapparat, der Hoheitsgewalt ausübt und organisatorisch und administrativ in die Verwaltung eingegliedert ist. Agency bzw. Service stehen für den Teilbereich von Entitäten, die öffentliche Aufgaben autonom ausüben und möglicherweise sogar aus der Verwaltung ausgegliedert sind. Um alle Verwaltungsentitäten zu umfassen, müssen – anders als beim funktionalen Behördenbegriff im deutschen Recht309 – im englischen und französischen Recht zwei unterschiedlich benannte Entitäten auch bei Definition der datenschutzrechtlichen Verantwortlichkeit abgebildet werden. Der deutsche Behördenbegriff ist hingegen weit und für den Einrichtungsbegriff verbleibt keine eigenständige Bedeutung, da nicht explizierte Entitäten entweder 304

Fleck / Güttler / Kettler, Wörterbuch / Dictionnaire, S.  927. „Une activité de service public peut être exercée par des personnes privées.“, Albiges et al. (Hrsg.), Dictionnaire du vocabulaire juridique, S. 347. 306 Fleck / Güttler / Kettler, Wörterbuch / Dictionnaire, S.  85. 307 Albiges et al. (Hrsg.), Dictionnaire du vocabulaire juridique, S. 38. 308 Fehner / Herrmann, Wörterbuch der deutschen und französischen Rechts- und Verwaltungssprache, S. 23. 309 Zwar kennt auch das deutsche Recht Ausgliederungen aus direkter Ministerial- oder Verwaltungsstruktur, wie z. B. Bundesoberbehörden, Bundesbank, Bundeskartellamt oder Bundesauftragsverwaltung bzw. Sachverständige (vgl. OECD, Distributed Public Governance, S. 97 ff.), doch sind all diese Akteure Behörde, insoweit sie funktional Aufgaben der öffentlichen Verwaltung wahrnehmen (§ 1 Abs. 4 VwVfG); s. auch Meissner / Schenk, in: Schoch / Schneider (Hrsg.), VwGO, § 78, Rn. 30 f., die betonen, dass im deutschen Verwaltungsrecht sogar Private als Behörde gelten können, nämlich im Falle der Beleihung, nicht aber als Verwaltungshelfer. 305

66

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Behörde oder aber andere Stelle sind. Während die englische und französische Sprachfassung neben den Behörden der Vollständigkeit halber auch die Einrichtung explizit benennen müssen, lassen sich die Begriffe Einrichtung und andere Stelle in der deutschen Fassung nicht sinnvoll voneinander trennen.310 Gerade weil andere Sprachfassungen ihre Aufnahme in den Gesetzestext erfordern, ist der Einrichtungsbegriff dennoch nicht überflüssig. Im deutschen Recht hingegen ist eine begriffliche Differenzierung überflüssig. Da die französischen und englischen Begriffe aber Verwaltungseinrichtungen umschreiben, bietet sich für den Betriebsrat ein Rückschluss an: Da er keine Verwaltungseinrichtung ist, ist er auch im deutschen Recht nicht Einrichtung gem. Art. 4 Nr. 7 1. Hs. DSGVO. (2) Der Begriff andere Stelle Die Stelle steht im Verantwortlichkeitskonzept als personelles Element neben der sachlichen Begriffskomponente.311 Entitäten sind nur verantwortlich, soweit sie über Zwecke und Mittel der Datenverarbeitung entscheiden. Der DSGVO-Gesetz­ geber wollte keine spezifischen Stellen als datenschutzrechtlich Verantwortliche klassifizieren. Vielmehr normiert er eine historisch erwachsene Auswahl prototypischer Entitäten. Die andere Stelle ist die letzte Entität der enumerativen Auflistung in Art. 4 Nr. 7 1. Hs. DSGVO. Der Gesetzgeber definiert nicht, was andere Stelle bedeutet. Ein Vergleich abstrakter Gemeinsamkeiten der enumerativ aufgelisteten Stellen bietet möglicherweise Ansätze für die Begriffsauslegung. Natürliche und juristische Personen, Behörden und Einrichtungen sind recht­liche Entitäten mit bestimmten Aufgaben, Rechten und / oder Pflichten. Wie die Aufnahme der Behörde einerseits und die der natürlichen und juristischen Person andererseits zeigt, ist Gemeinsamkeit der Entitäten nicht deren Rechts- oder Teilrechtsfähigkeit.312 Und auch die Möglichkeit von Handlungszurechnungen ist keine Gemeinsamkeit: Während natürliche Personen selbst handeln, handeln für juristische Personen und Behörden – und auch für Einrichtungen im britischen und französischen Sinne – natürliche Personen als Stellvertreter, Organwalter o.ä. Ihnen können datenschutzrechtliche Pflichten zugerechnet werden. Auch die andere Stelle ist Entität, an die datenschutzrechtliche Pflichten angeknüpft werden können. Die andere Stelle ist Zurechnungsentität, wobei die Handlungszurechnung der Entscheidung über Zwecke und Mittel der Datenverarbeitung folgt. Der Begriff Stelle leitet sich etymologisch vom Verb stellen ab und ist bereits seit dem 8. Jahrhundert als spezifischer Ort oder Platz bekannt.313 Im 16. Jahrhun 310

So auch Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 13; Raschauer, in: Sydow (Hrsg.), DSGVO, Art. 4, Rn. 131. 311 Kap. § 2 D. II. 1. a) bb) (2). 312 Vgl. Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 16. 313 Seebold, Kluge – Etymologisches Wörterbuch, S. 880; s. a. Pfeiffer, Etymologisches Wörterbuch der deutschen Sprache II, S. 1354.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

67

dert löste sich der Begriff substantiviert vom Ortsbezug und meinte fortan auch Amt bzw. Behörde.314 Wenn bereits die Behörde Stelle wäre, läge es nahe, dass alle aufgelisteten Entitäten spezifische Ausformungen der Stelle sind. Denn der Stellenbegriff umfasst zwar weiterhin auch Behörden, erschöpft sich aber nicht in diesen. Prototypische Stellen wären dann eben natürliche und juristische Personen, Behörden oder Einrichtungen. Als Auffangbegriff könnte sich hinter diese spezifischen Stellen die andere Stelle reihen, was dem Stellenbegriff ein noch höheres Abstraktionsmaß verliehe. Diese Auslegung legt nahe, dass die andere Stelle jedenfalls vergleichbar sein muss mit den prototypisch genannten Stellen. Und auch das Indefinitpronomen andere verdeutlicht – juristisch gewendet – diese Auffangfunktion.315 Obwohl der Begriff andere Stelle reichlich unbestimmt ist, schafft er Rechtssicherheit: Die Auflistung der Stellen ist enumerativ. Wenn kein spezifischer Begriff einschlägig ist, so kann auf den Auffangbegriff zurückgefallen werden. Der sog. Blankettbegriff316 schafft einen umfassenden Gesetzesanwendungsbereich ohne Rechtslücken,317 der im Europarecht häufiger verwandt wird.318 Umgekehrt spezifizieren abstrakte Merkmale der prototypischen Stellen den Auffangbegriff. Erst das Zusammenspiel der spezifisch aufgeführten Stellen und der anderen Stelle erfasst die Gesamtbedeutung der Aufzählung. Das sachliche Element begrenzt die Definitionsweite. Denn zwar ist potenziell jede Entität andere Stelle. Datenschutzrechtlich relevant ist diese Stelle aber nur, wenn sie selbst oder mit anderen über Zwecke und Mittel der Datenverarbeitung entscheidet. Etwa Referate und Abteilungen sind deshalb keine datenschutzrechtlich verantwortlichen Stellen.319 Der Begriff der anderen Stelle ist Auffangbegriff und weit auszulegen.

314

Pfeiffer, Etymologisches Wörterbuch der deutschen Sprache II, S. 1354; Dudenredaktion, Duden – Herkunftswörterbuch, S. 890. 315 Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art.  4, Rn.  138. 316 Terminologisch hierzu: Karpen, Verweisung, S. 80. 317 Bekannt sind die sog. Blankettvorschriften insbesondere aus dem Zivilrecht, vgl. den Begriff des „sonstigen Rechts“ in § 823 Abs. 1 BGB (Wagner, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 7, § 823, Rn. 301) und teils auch aus dem Strafrecht, wo diese aber stark umstritten sind (vgl. Volkmann, ZRP 1995, 220). 318 Vgl. z. B. Art. 2 lit. i FluggastrechteVO, der von „Personen mit eingeschränkter Mobilität […] oder anderer Behinderung“ spricht. Wie auch die datenschutzrechtlich verantwortlichen Stellen sehr heterogen sein können, ist die Varietät möglicher Behinderungen terminologisch nicht abschließend aufzählbar. Bekannt ist das Prinzip der Aneinanderreihung von Beispielfällen aus dem angloamerikanischen Recht. Es verfolgt den Zweck, wenn schon der Begriff nicht umfassend definiert werden kann, jedenfalls weitestmögliche Auslegungsanhaltspunkte anhand von Vergleichsfällen aufzulisten. Das europäische Recht ist insoweit angloamerikanisch beeinflusst (Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 13). 319 Hinweis u. a. bei Gola, in: ders. (Hrsg.), DSGVO, Art. 4, Rn. 56; Pötters / Gola, RDV 2017, 279; auch Lücke, NZA 2019, 658 (660); s. ausf. auch in Kap. § 2 D. II. 1. b) aa) (3).

68

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

(3) Der Betriebsrat als andere Stelle Trotz der weiten Auslegung des Stellenbegriffs in Art. 4 Nr. 7 1. Hs. DSGVO gibt der Wortlaut keine zwingende Entscheidung für die Frage vor, ob der Betriebsrat andere Stelle ist. Er ist weder explizit in Art. 4 Nr. 7 1. Hs. DSGVO genannt noch auf den ersten Blick mit einer der prototypisch in Art. 4 Nr. 7 1. Hs. DSGVO aufgeführten Stellen vergleichbar. Er vertritt Belegschaftsinteressen in einem Betrieb und ist damit Annex etwa zu einer juristischen Person, je nachdem, wie der Betrieb rechtlich organisiert ist. Allerdings verschmilzt die Betrachtungsweise bereits mit der bisher noch ausgeblendeten sachlichen Fragestellung, ob der Betriebsrat selbst über Zwecke und Mittel der Datenverarbeitung entscheidet.320 Das in Art. 4 Nr. 7 1. Hs. DSGVO enthaltene personale Element, also die Stelle, ist bewusst weit formuliert: Jede Entität, die Daten verarbeitet, soll potenziell datenschutzrechtlich verantwortlich sein.321 Der Betriebsrat verarbeitet Daten, um die Belegschaftsinteressen effektiv vertreten zu können. Die weite Auslegung des Auffang- bzw. Blankettbegriffs ermöglicht potenziell die Einordnung des Betriebsrats als andere Stelle, erzwingt diese aber nicht. Letztlich entscheidet das sachliche Element. cc) Das sachliche Element: Der Betriebsrat und die Entscheidung über Zwecke und Mittel der Datenverarbeitung Neben das offen formulierte personelle Element der Stelle tritt das sachliche Begriffselement, das über die Einordnung als datenschutzrechtlich Verantwortlicher entscheidet. Das personelle folgt dem sachlichen Element: Entscheidet der Betriebsrat als andere Stelle über Zwecke und Mittel der Datenverarbeitung, so ist er Verantwortlicher. Folgend werden die Begriffe Datenverarbeitung, Zwecke und Mittel und Entscheidung untersucht, wobei viele Untersuchungsaspekte systematisch bzw. teleologisch fortgeführt werden.322 Der Begriff Datenverarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert und meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Datenverarbeitung ist also jeder Vorgang, der die Nutzung personenbezogener Daten beschreibt.323 Im Rahmen der effektiven Mitbestimmung 320

S. hierzu sogleich in Kap. § 2 D. II. 1. a) cc). S. bereits zur DSRL Mantz / Marosi, in: Specht / Mantz (Hrsg.); HdbEUDtDSR, S. 45 mit Verweis auf u. a. EuGH, C-131/12, Urt. v. 13. 5. 2015 – Google Spain. 322 S. hierzu die Kap.§ 2 D. II. 1. b) und Kap. § 2 D. II. 1. d). 323 Roßnagel, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 2, Rn. 11. 321

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

69

zur Belegschaftsinteressenvertretung verarbeitet der Betriebsrat personenbezogene Daten. Er speichert sie, empfängt sie vom und übermittelt sie an den Arbeitgeber. Auf seinem eigenen PC ruft er Arbeitnehmerdaten auf, ordnet sie, passt sie an oder verändert diese. Nicht selten sind hierunter besonders sensible Arbeitnehmerdaten, etwa Gesundheitsdaten.324 Möglicherweise nutzt er auch Arbeitgeber- oder Kundendaten. Er müsste darüber hinaus jedoch auch Zwecke und Mittel der Datenverarbeitung beeinflussen.325 Die Definition der Zwecke und Mittel der Datenverarbeitung ist überkommen.326 Maßgebliche Klarheit schafft (vermeintlich) das WP 169 der Artikel 29 Datenschutzgruppe.327 Zwecke und Mittel meinen hiernach in sachlicher Hinsicht das Ob (Zweck) und das Warum oder Wie (Mittel) von Vorgängen mit Bezug zu personenbezogenen Daten. Der Zweck der Verarbeitung ist also das erwartete Ergebnis, die Idee, die Datenverarbeitung leitet. Das Mittel ist hingegen die Art und Weise, mit der dieses Ergebnis oder Ziel erreicht werden soll, z. B. welche Daten verarbeitet werden, wann diese gelöscht werden und welche Dritten Zugriff auf die Daten haben. Der Schluss, die „Entscheidung über Zwecke und Mittel der Datenverarbeitung“ sei durch das WP insgesamt hinreichend klar definiert, da der Wortlaut des hier beschriebenen Verantwortlichkeitskonzepts, auch wenn er der DSRL entstamme, identisch mit dem Konzept der DSGVO sei, ist aber methodisch zumindest fragwürdig. Denn zu dem Umstand, dass die Artikel 29 Datenschutzgruppe keine verbindlichen Gesetzestexte erließ, kommt hinzu, dass ein gleichbleibender Wortlaut möglicherweise dennoch andere Bedeutung haben kann. Dem hat der die Artikel 29 Datenschutzgruppe unter der DSGVO ersetzende Europäische Datenschutzausschuss vorgebeugt, indem er die Geltung einiger Working Paper auch im Rahmen der DSGVO anerkannt hat.328 Das WP 169 hat er hingegen nicht übertragen. Vielmehr will er es künftig sogar durch eine neue Guideline ersetzen.329 Diese neue Guideline ist bisher als finaler Entwurf für die Öffentlichkeitsbeteiligung veröffentlicht. Sie knüpft ausdrücklich an das WP 169 an,330 wirft aber auch explizit einzelne Fragen neu auf. Sie stellt im Rahmen der DSGVO zwei unterschiedliche 324

S. zu den Kategorien der Datenverarbeitung etwa Stück, ZD 2019, 346; Reinhard, Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, S. 5 ff.; Kiesche / Willke, CuA 2012, 18; Schierbaum, Computer-Fachwissen 2004, 29. 325 Zum Terminus der Entscheidung s. sogleich. 326 Kap. § 2 D. II. 1. c) bb) (1) (b) (bb). 327 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010. 328 European Data Protection Board, Endorsement v. 25. 5. 2018. 329 EDPD, Guideline 07/2020, nach der die DSGVO viele Fragen im Kontext der datenschutzrechtlichen Verantwortlichkeit neu gestellt habe (vgl. S. 6 f.). Bisher ist keine finale Version veröffentlicht (Stand: 15. 4. 2021). Bereits im Oktober 2020 endete jedoch der Beteiligungszeitraum für die öffentliche Anhörung. Vielfältige Beiträge bereicherten die öffentliche Anhörung, wobei wenige der Beiträge aus Deutschland kommen. Kein Beitrag enthält Anmerkungen zur datenschutzrechtlichen Verantwortlichkeit gerade von Arbeitnehmervertretungen. 330 EDPD, Guideline 07/2020, Rn. 4.

70

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Formen der Verantwortlichkeit heraus: Entweder entscheiden gesetzliche Vorgaben über die Verantwortlichkeit oder aber faktischer Einfluss auf die Datenverarbeitungen. Je nach konkreter Situation könne dieselbe Entität situativ mal verantwortlich und mal nicht verantwortlich sein.331 Weiterhin ist für die datenschutzrechtliche Verantwortlichkeit aber die Entscheidung über das „Wann“ und das „Wie“ der Datenverarbeitung maßgeblich – wer hierüber entscheide, der sei auch datenschutzrechtlich Verantwortlicher.332 Die Literatur bezieht sich indes überwiegend weiter – und aufgrund mangelnder Anerkennung durch den Europäischen Datenschutzausschuss auch bereits bis 2020 methodisch fragwürdig – auf das WP 169 als Auslegungshilfe für die DSGVO.333 Ein Rückgriff war jedoch auch zuvor in der Tat nicht völlig systemfremd, denn auch der DSGVO-Gesetzgeber wollte ausweislich der Gesetzgebungsunterlagen an bereits bekannte datenschutzrechtliche Konzepte anknüpfen.334 Die Artikel 29 Datenschutzgruppe rückte im WP 169 bewusst die Verarbeitungszwecke in den Vordergrund, während die Verarbeitungsmittel einzeln delegiert werden könnten.335 Entscheidung meint kontextbezogene Festlegung, ob, warum und wie eine Stelle personenbezogene Daten verarbeitet.336 Es entscheidet derjenige, der nach funktioneller Analyse bewusst oder unbewusst Entscheidungsgewalt ausgeübt hat.337 Dass hierbei die Zwecke auslegungsleitend sind und die Mittel zurückhaltender berücksichtigt werden sollen, akzeptiert widerspruchsfrei auch die Literatur.338 Die Entscheidung hat Adressierungscharakter. Es soll derjenige adressiert werden, der die aufgeführte Datenverarbeitung veranlasst, der also eigenständig die Entscheidung zur Datenverarbeitung trifft. Das Merkmal Entscheidung ist für die Verantwortlichkeit konstitutiv.339 Die Frage, wer Datenverarbeitungen veranlasst, ist empirische Frage im Einzelfall. Die Betriebsratsmitglieder verarbeiten Daten für die Betriebsratsarbeit.340 Das Organ Betriebsrat entscheidet durch seine Gremien341 jedoch im Einzelfall vorgelagert über die Notwendigkeit konkreter Datenverarbeitungen zu Mitbestimmungszwecken oder aber es delegiert die Entscheidungsmittel auf einzelne Mitglieder und setzt somit 331

EDPD, Guideline 07/2020, Rn. 23 ff. EDPD, Guideline 07/2020, Rn. 27. 333 Teils mit der Unterstellung, diese seien zwingend unmittelbar anwendend, s. Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 13; Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art.  4, Rn.  153. 334 DSGVO-EG 9, Satz  1; Kap. § 2 D. II. 1. c) bb). 335 So nun auch EDPD, Guideline 07/2020, Rn. 38. 336 Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann (Hrsg.), DSGVO /  BDSG, Art. 4, Rn. 153. 337 Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 13. 338 Conrad, DuD 2019, 563 (564); Schreiber, ZD 2019, 55 (55 f.). 339 Monreal, ZD 2014, 611 (612). 340 Maschmann, NZA 2020, 1207 (1207 ff.) schreibt deshalb den Betriebsratsmitgliedern datenschutzrechtliche Rechte und Pflichten zu. Das Verhältnis zwischen Gremienvorgaben und eigenem Entscheidungsspielraum untersucht er jedoch nicht. 341 Vgl. Maschmann, NZA 2020, 1207 (1212), der an die Anknüpfung an § 27 Abs. 2, 3 BetrVG hinweist und somit die Größe des Betriebsrats in das Zentrum der Betrachtung rückt. 332

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

71

den Grundstein für die konkreten Datenverarbeitungen.342 In diesen Fällen hat das Gremium Betriebsrat durch seine Organe Entscheidungsgewalt über den Zweck der Datenverarbeitung.343 Dass der Betriebsrat über Zwecke der Datenverarbeitung bestimmt spricht tendenziell dafür, dass er im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO über Zwecke und Mittel der Datenverarbeitung entscheidet. dd) Der Wortlaut von Art. 4 Nr. 7 1. Hs. DSGVO – Der Betriebsrat im datenschutzrechtlichen Verantwortlichkeitskonzept Die umfassende Auslegung des Wortlauts ist wichtige Vorbedingung für die anderen Auslegungsmethoden.344 Das Verantwortlichkeitskonzept in Art. 4 Nr. 7 1. Hs. DSGVO ist Schlüsselkonzept in der DSGVO.345 Es gliedert sich in ein personelles und ein sachliches Element. Verantwortlicher ist die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Der Betriebsrat ist als eigenständige Entität möglicherweise andere Stelle. Ob der Betriebsrat aber auch über Zwecke und Mittel der Datenverarbeitung entscheidet, ist eine empirische Frage. Der Betriebsrat bestimmt unabhängig vom Arbeitgeber über die Ausübung der Mitbestimmungsrechte zur Belegschaftsvertretung und beeinflusst somit das Ob und das Wie seiner Datenverarbeitungen. Ob diese Einflussnahme jedoch als Entscheidung ausreicht, gibt der Wortlaut nicht vor. Eine solche Auslegung ist jedenfalls möglich. Weitere Einsichten können erst ergänzende Auslegungsmethoden liefern. b) Systematische Aspekte der Auslegung Systematische Auslegungsaspekte liefern vielfältige Ansatzpunkte zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats. Anhand systematischer Auslegung werden Bedeutungen von Rechtsbegriffen unter Berücksichtigung ihrer Stellung oder der Stellung einer bestimmten Norm im europäischen Vertragssystem untersucht.346 Hier geht es also um Rückschlüsse auf die Wortbedeutung aus dem Gesamtzusammenhang des Standorts einer Norm.347 Unklare Normen sollen 342

Auf den Einfluss in der konkreten Situation kommt es allerdings nicht immer an, vgl. EDPD, Guideline 07/2020, Rn. 42 mit Verweis auf EuGH, C-210/16, Urt. v. 5. 6. 2018, Rn. 38 – Wirtschaftsakademie, das allerdings die Rahmenbedingungen hier nicht gefragter gemeinsamer Verantwortlichkeit konturiert. 343 S. zu der Fragestellung, ob eine abstrakte gesetzliche Vorgabe zur Datenverarbeitung noch durch konkrete eigenständige Zwecksetzung gesteuert werden kann: Kap. § 2 D. II. 1. b) aa) (1). 344 Martens, Methodenlehre, S. 374 f. 345 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 61; Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 5; Schild, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art.  4, Rn.  93a. 346 EuGH, C-22/70, Slg. 1971, 263, Rn. 15/19 – AETR; EuGH, C-149/77, Slg. 1978, 1365, Rn. 15 – Defrenne II. 347 Yaroshevskiy, Auslegungsmethoden des EuGH, in: Calliess (Hrsg.) Berliner Online-Beiträge zum Europarecht, Nr. 1, S. 7.

72

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

durch Heranziehung klarer Normbedeutungen inhaltlich konturiert werden. Systematische Auslegung geht insoweit über die Wortlautauslegung hinaus. Denn hier wird die Wortanordnung in den Normen und die Norm-Anordnung in den Gesetzen ausgelegt.348 Die Autonomie europäischer Auslegung wird v. a. bei der systematischen Auslegung berücksichtigt. Denn unterschiedliche Normenhierarchien gliedern das Europarecht: Eine vertikale Systematisierung, z. B. durch Einfügen sekundärrechtlicher Normen in das Primärrecht349 und eine horizontale Gesamtstruktur im Sekundärrecht selbst.350 Die horizontale Systematisierung bleibt folgend unberücksichtigt, da es im europäischen Sekundärrecht keine vergleichbaren Begriffsverwendungen gibt.351 Vielmehr wird die datenschutzrechtliche Verantwortlichkeit in der vertikalen Systematik des Europarechts untersucht. Neben der Einbettung der Norm in das europäische Primär- und Sekundärrecht sind europarechtliche Regelungen in das Völkerrecht eingebunden und werden in mitgliedstaatliches Recht umgesetzt. Mitgliedstaatliches Recht kann im Einzelfall zur Auslegung europäischen Rechts normenhierarchiekonform herangezogen werden. Zunächst werden die Systematik von Art. 4 Nr. 7 DSGVO und von Hs. 1 und Hs. 2352 (aa)) und die systematische Stellung von Art. 4 Nr. 7 DSGVO in der DSGVO untersucht (bb)). In einem zweiten Schritt wird untersucht, ob Primärrecht (cc)) oder Völkerrecht (dd)) die datenschutzrechtliche Stellung des Betriebsrats beeinflussen. Vornehmlich wird jedoch die Frage behandelt, welchen Einfluss mitgliedstaatliche Regelungen auf die datenschutzrechtliche Verantwortlichkeit des Betriebsrats haben können und haben (ee)). Die Ergebnisse werden in einem letzten Schritt zusammengefasst (ff)). aa) Die Systematik von Art. 4 Nr. 7 DSGVO und die datenschutzrechtliche Verantwortlichkeit des Betriebsrats Art. 4 Nr. 7 DSGVO ist in zwei Halbsätze gegliedert. Der erste Hs. definiert den Verantwortlichen als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die personen­bezogene 348

Andeutung auch bei Kramer, Methodenlehre, S. 92, Fn. 191. Anweiler, Auslegungsmethoden des Gerichtshofs, S. 185.; Pache, in: Vedder / v. H ­ eintschelHeinegg (Hrsg.), Unionsrecht, Art. 19 EUV, Rn. 19. 350 Gegen die Möglichkeit einer solchen Auslegung Möllers, Methodenlehre, S. 138, da das europäische Sekundärrecht bisher in Gänze viel zu „pointillistisch“ sei. 351 S. aber etwa Art. 15 Abs. 1 VO (EU) 2017/745 v. 5. 4. 2017 über Medizinprodukte und Art. 15 Abs. 1 VO (EU) 2017/746 v. 5. 4. 2017 über In-Vitro-Diagnostika und Art. 8 VO (EU) 1169/2011 v. 25. 10. 2011 betreffend die Information der Verbraucher über Lebensmittel, die auch Verantwortlichkeitskonzepte kennen, die hiesige Auslegung mangels weiterer Klarheit aber nicht bereichern. Alle Konzepte rechnen zu und bilden die Brücke von der Zurechnung zur sanktionsrechtlichen Verantwortung. 352 Zu Zusammenhang und Unterschieden von Wortlautauslegung und systematischer Auslegung s. etwa Yaroshevskiy, Auslegungsmethoden des EuGH, in: Calliess (Hrsg.), Berliner Online-Beiträge zum Europarecht, Nr. 1, S. 7. 349

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

73

Datenverarbeitung entscheidet. Der zweite Hs. regelt bei Zweck- und Mittelvorgabe zur Datenverarbeitung durch Unions- oder mitgliedstaatliches Recht, dass der Verantwortliche oder Benennungskriterien für diesen normiert werden können. Zunächst werden die beiden Halbsätze im Verhältnis zueinander untersucht (1). Danach wird der Frage nachgegangen, ob der Betriebsrat andere Stelle im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO sein kann (2), ehe insbesondere seine Eigenständigkeit über eine Abgrenzung von der verantwortlichen Stelle Arbeitgeber begründet wird (3). (1) Die Systematik von Art. 4 Nr. 7 DSGVO zwischen Hs. 1 und Hs. 2: Betriebsrätliche Entscheidung trotz gesetzlicher Vorgaben Art. 4 Nr. 7 1. Hs. DSGVO benennt ein personelles und ein sachliches Element. Die personelle Komponente ist die datenschutzrechtliche Entität, die Stelle. Der Wortlaut legt auf den ersten Blick nahe, dass die prototypisch genannten Entitäten Spezialausformungen der Stelle sind und die andere Stelle generalisierter Oberbegriff ist.353 In sachlicher Hinsicht setzt die Verantwortlichkeit die Entscheidung über Zwecke und Mittel der personenbezogenen Datenverarbeitung voraus. Das personelle Element folgt dem sachlichen Element.354 Hs. 2 liefert Hinweise für die Auslegung des Begriffs Entscheidung über Zwecke und Mittel der Datenverarbeitung. Bei gesetzlicher Vorgabe von Verarbeitungszwecken und -mitteln können Verantwortlichkeitskriterien oder der Verantwortliche selbst vom jeweiligen Gesetzgeber festgelegt werden. Unions- und mitgliedstaatliche Gesetzgeber können in diesem Fall nach Art. 4 Nr. 7 2. Hs. DSGVO eigenständige Regelungen treffen. Bei einer kumulativen gesetzlichen Vorgabe von Zwecken und Mitteln der Datenverarbeitung müssen sie jedoch keine Regelungen treffen. An diese Überlegung schließt ein gelegentlich geltend gemachter Einwand an: Zwecke und Mittel der Datenverarbeitung seien in diesem Fall gesetzlich vorgegeben und somit einer betriebsrätlichen Entscheidung im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO entzogen. Allein das BetrVG sehe betriebsrätliche Verarbeitungszwecke und -mittel gesetzlich vor.355 Beteiligungs- bzw. Mitbestimmungsrechte des Betriebsrats (z. B. § 87 BetrVG) seien Verarbeitungszwecke. Verarbeitungsmittel normiere hingegen § 40 BetrVG. Vergessen wird hierbei, dass Betriebsräte Daten etwa auch zu sozialrechtlichen Zwecken verarbeiten (§ 170 Abs. 2 SGB IX).356 Diese Ansicht macht weiterhin geltend, wegen allumfassender gesetzlicher Vorga-

353

Kap. § 2 D. II. 1. a) bb) (2). S. ausf. bereits Kap. § 2 D. II. 1. a) bb) (2). 355 Kranig / Wybitul, ZD 2019, 2; Lücke, NZA 2019, 658 (660); tendenziell noch bei Brams  / ​ Möhle, ZD 2018, 570 (571); hiergegen: Arning / Rothkegel, in: Taeger / Gabel (Hrsg.), DSGVO / ​ BDSG Art. 4 Nr. 7, Rn. 167; Gola, in: ders. (Hrsg.), DSGVO, Art. 4, Rn. 56. 356 S. ausf. Kap. § 2 D. II. 1. b) aa) (3) (b). 354

74

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

ben könne der Betriebsrat nicht selbst entscheiden.357 Für die Systematik von Hs. 1 und Hs. 2 bedeutete dies: Der Gesetzgeber hätte mit der gesetzlichen Vorgabe über Zwecke und Mittel der Datenverarbeitung entschieden, nicht der Datenverarbeitende (Hs. 1). Der Gesetzgeber könnte sich allerdings „exkulpieren“, indem er die Benennungskriterien für oder den Verantwortlichen selbst explizit benennt (Hs. 2). Diese Ansicht hat jedoch eine fehlerhafte Grundannahme: Das Gesetz müsste im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO tatsächlich über Zwecke und Mittel der Datenverarbeitung entscheiden. Dass Gesetze, wie etwa das BetrVG, vorgelagerte Entscheidungen zu Zwecken und Mitteln der Datenverarbeitung normieren, ist unbestreitbar. Sind Gesetzes­ vorgaben aber Entscheidungen? Gibt es – weitergedacht – die Möglichkeit konkreter Entscheidung des Betriebsrats im Rahmen abstrakter gesetzlicher Vorgaben, etwa des BetrVG?358 Gesetzliche Vorgaben rahmen jede Datenverarbeitung. Nicht nur manche Datenverarbeitungen sind für konkrete Verantwortliche, Gruppen von Verantwortlichen oder generell untersagt, restringiert oder zumindest höchst umstritten (etwa automatisierte behördliche Kennzeichenerfassung,359 behördliche Streckenabschnitts-Geschwindigkeitsradarmessung im Straßenverkehr,360 hinweislose Cookie-Verarbeitung im Internet361 oder Gesundheitsdatenverarbeitungen durch Sozialbehörden362). Jede Datenverarbeitung muss die Verarbeitungsgrundsätze in Art. 6 DSGVO wahren und damit gesetzlichen Vorgaben entsprechen.363 Niemand entscheidet, anders formuliert, über Zwecke und Mittel der Datenverarbeitung in einem rechtsfreien Raum. Einzelne Akteure sind sogar auf Rechtsnormen angewiesen, um Daten überhaupt verarbeiten zu können: Wegen des Vorbehalts des Gesetzes und der Gesetzmäßigkeit der Verwaltung können Behörden etwa nicht ohne gesetzliche Vorgaben handeln.364 Behörden sind aber sogar enumerativ aufgezählte Verantwortliche in Art. 4 Nr. 7 1. Hs. DSGVO. Trotz weitreichender gesetzlicher Vorgaben kann die Behörde also offensichtlich selbst entscheiden und ist deshalb datenschutzrechtlich verantwortlich.365 Gesetzliche Vorgaben entziehen 357

In dieser Richtung sogar in der Rspr. LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, II a. E.; in der Literatur auch Kranig / Wybitul, ZD 2019, 1 (1); Althoff, ArbRAktuell 2018, 414 (416); tendenziell auch noch Brams / Möhle, ZD 2019, 570 (571). 358 Vgl. Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 13. 359 S. dazu in jüngerer Vergangenheit BVerfGE, 150, 244 (Automatisierte Kennzeichenerfassung); dazu etwa Möstl, GSZ 2019, 101. 360 S. hierzu OVG Lüneburg, Urt. v. 13. 11. 2019 – 12 LC 79/19. 361 Hierzu in jüngerer Vergangenheit EuGH, C-673/17, Urt. v. 1. 10. 2019 – Cookies. 362 Kipker / Pollmann, Sozialdatenschutz, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 26 m. w. N. 363 So auch Schulz, ZESAR 2019, 323 (325). 364 Vgl. zum zugrundeliegenden funktionalen Behördenbegriff Jestaedt, in: HoffmannRiem / Schmidt-Aßmann / Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts I, S. 982 ff.; Hierzu auch Sachs, in: Stellkens / Bonk / ders. (Hrsg.), VwVfG, § 44, Rn. 46 ff.; zu dem Grundsatz der Gesetzmäßigkeit der Verwaltung im Europarecht s. Mayer, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 6 EUV, Anh., Rn. 389. 365 Vgl. insoweit Jestaedt, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts I, S. 982 f., Rn. 36 mit der Aufgabenzuweisung der Wahrnehmung von Verwaltungszuständigkeiten; Bock, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 20, Rn. 31 ff.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

75

also systematisch dem Verantwortlichen nicht selbst die Entscheidung über Zwecke und Mittel der Datenverarbeitung. Sie normieren folglich lediglich, ob Daten zu bestimmten Zwecken und mit bestimmten Mitteln verarbeitet werden dürfen, nicht hingegen, ob und wie Daten tatsächlich verarbeitet werden. Dies entscheidet und gestaltet der Verantwortliche selbst im (abstrakten) gesetzlichen Rahmen. Den Gesetzesnormen liegt die Differenz zwischen abstrakter Gesetzesvorgabe und konkreter Einzelfallentscheidung zugrunde, den auch die BAG-Rechtsprechung bisher annahm.366 Diese Unterscheidung muss auch deshalb angelegt sein, weil andernfalls allein der Gesetzgeber selbst Verantwortlicher sein könnte. Sollte der Betriebsrat wegen gesetzlicher Vorgaben nicht selbst über Zwecke und Mittel der Datenverarbeitung entscheiden, so käme allein der dann „entscheidende“ Gesetzgeber als Verantwortlicher in Frage. Betriebsrätliche Mitbestimmungsrechte sind zudem regelmäßig Option: Mitbestimmung ist nicht (immer) erzwingbar. Erst recht müssen bei Ausübung eines Mitbestimmungsrechts nicht zwingend Daten verarbeitet werden. Gemeinhin wird zwischen zwingender Mitbestimmung (v. a. § 87 BetrVG), bei der Mitbestimmung Wirksamkeitsvoraussetzung ist,367 und freiwilligen Mitbestimmungsrechten differenziert, bei denen der Betriebsrat nicht mitbestimmen muss (z. B. § 88 BetrVG). Und auch das umstrittene Initiativrecht des Betriebsrats auf Mitbestimmung368 überlässt dem Betriebsrat selbst die Wahl, ob er mitbestimmt und ob er zur Mitbestimmung personenbezogene Daten verarbeitet. Allein im Rahmen zwingender Mitbestimmung ist somit das „Ob“ der Mitbestimmung gesetzlich determiniert. Hierzu müssen jedoch keine personenbezogenen Daten verarbeitet werden. Ob Daten verarbeitet werden, ist also selbst bei zwingender Mitbestimmung die Entscheidung des Betriebsrats. Gesetzliche Vorgaben finden sich so erst recht nicht zum „Wie“ der Datenverarbeitung. Nur der Betriebsrat selbst entscheidet, wie er von seinem Recht auf Mitbestimmung Gebrauch macht. Wie und ob er hierzu personenbezogene Daten verarbeitet, ist also ihm überlassen. Er entscheidet im Rahmen gesetzlicher Vorgaben. Die in Art. 4 Nr. 7 1. Hs. DSGVO geforderte Entscheidung über Zwecke und Mittel der Datenverarbeitung schließt nicht aus, dass Verarbeitungszwecke und -mittel in mitgliedstaatlichem oder Unionsrecht abstrakt vorgegeben sind. Denn die Annahme, im Falle von Gesetzesvorgaben sei keine Entscheidung mehr über Verarbeitungszwecke und -mittel möglich, würde zugleich unliebsame Nebenfolgen haben: Der Datenschutzverstoß würde neutralisiert. Ausgangspunkt dieser Überlegung sind die Pflichten des Verantwortlichen. Der Verantwortliche muss 366

Vgl. BAG, Urt. v. 18. 7. 2012 – 7 ABR 23/11, Rn. 19, 29 („Betriebsrat in eigener Verantwortung“), 31, nach dem der Betriebsrat bereits ohnehin weitgehend selbst über die vorzunehmenden Datenverarbeitungen und die Datensicherungsmaßnahmen und somit über Zwecke und Mittel der Datenverarbeitung entscheidet; s. hierzu Kleinebrink, DB 2018, 2566 (2567). 367 S. ausf. Klebe, in: Däubler / ders. / Wedde (Hrsg.), BetrVG, § 87, Rn. 5 ff. 368 S. etwa Werner, in: Rolfs / Giesen / K reikebohm / Meßling / Udsching (Hrsg.), BeckOK ArbR / BetrVG, § 87, Rn.  15.

76

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

in bestimmten Fällen einen Datenschutzbeauftragten benennen (Art. 37 DSGVO), er haftet bei Schadensersatzansprüchen (Art. 82 DSGVO) und gegen ihn können Geldbußen verhängt werden (Art. 83 DSGVO). Bei Datenverarbeitung trägt er Verantwortung (Art. 24 DSGVO).369 Diese Rechtsfolgen liefen leer, wenn die handelnde Entität nicht mehr im Rahmen gesetzlicher Vorgaben entscheiden könnte. Da auch andere Entitäten durch die rechtlichen Vorgaben gebunden wären,370 käme allenfalls derjenige als Verantwortlicher in Frage, der die Rechtsgrundlagen geschaffen hat: Der Gesetzgeber. Als Folge seiner Verantwortlichkeit würde der Gesetzgeber bei Datenschutzverstößen, etwa des Betriebsrats, haften. Er müsste einen Datenschutzbeauftragten bestellen und er trüge Verantwortung. Der Gesetzgeber schafft jedoch lediglich den Rahmen für datenschutzrechtlich relevante Entscheidungen. Er entscheidet folglich nicht selbst im datenschutzrechtlichen Sinne und ist damit auch kein geeigneter Verantwortlicher. Da der Gesetzgeber nicht verantwortlich sein kann, wäre niemand mehr verantwortlich. Der Datenschutzverstoß wäre neutralisiert. Dieses Ergebnis widerspricht evident dem Ziel des DSGVO-Gesetzgebers, Verantwortlichkeiten zur Effektuierung des Datenschutzrechts effektiv zuzuweisen.371 Trotz abstrakter gesetzlicher Vorgaben entscheidet der Betriebsrat also konkret über Zwecke und Mittel der Datenverarbeitung. Das Verhältnis von Art. 4 Nr. 7 1. Hs. DSGVO zu Art. 4 Nr. 7 2. Hs. DSGVO ist also als gestuftes Verhältnis zu verstehen: Hs. 1 normiert die Verantwortlichkeit auf einer ersten Stufe grundsätzlich. Im Sonderfall, der Zweck- und Mittelvorgabe durch die Rechtsordnung nach Hs. 2, darf der Gesetzgeber von der Grundregel des Hs. 1 abweichen. Europäische Vorgaben lassen Raum für mitgliedstaatliche Regelungen. Hier können auch Mitgliedstaaten die Verantwortlichkeitsarchitektur beeinflussen. Dies zeigt insbesondere die Halbsatzabfolge: Auf den ersten generalisierenden Hs. folgt der eine Öffnungsklausel enthaltende,372 spezielle Hs. 2. Denn allein, weil ein – möglicherweise nicht handelnder – Gesetzgeber datenschutzrechtliche Verantwortlichkeiten regeln könnte, sollen nicht die Folgen der Verantwortlichkeitsarchitektur generell leerlaufen. Soweit keine abweichende Regelung erlassen wurde, bleibt im potenziellen Regelungsbereich vom Hs. 2 also die Grundregelung des Hs. 1 aufrechterhalten.373 Eine Auslegung, die die datenschutzrechtliche Verantwortlichkeit 369

S. umfassend Kap. § 3.  Dies gilt auch für den Arbeitgeber, der nach Vorschlag von Kranig / Wybitul, ZD 2019, 1 auch Verantwortlicher für betriebsrätliche Datenverarbeitungen sein könnte. 371 Vgl. DSGVO-EG 79. 372 Müller, Öffnungsklauseln der DSGVO, S. 180. 373 Die Verpflichtung des Gesetzgebers betonend, bei gesetzlicher Festlegung von Zwecken und Mitteln auch den Verantwortlichen gesetzlich festzulegen, ohne jedoch herauszustellen, was passiert, wenn der Gesetzgeber zwar Zwecke und Mittel, aber nicht den Verantwortlichen selbst festlegt: Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 23 ff.; nur im öffentlichen Bereich andiskutierend: Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 14; a. A. wohl Eßer, in: ders. / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, Art. 4, Rn. 79, der davon ausgeht, dass die Zwecke und Mittel wirklich nicht zur Disposition einer Stelle stehen; zu abweichenden Regelungen s. Kap. § 2 D. II. ​ 1. b) ee) (3) (c), (d). 370

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

77

des Betriebsrats negieren würde, weil der deutsche oder europäische Gesetzgeber – umgekehrt – die betriebsrätliche Verantwortlichkeit nicht (positiv) geregelt haben, polt europarechtliche Regelungen ohne Anlass um.374 Der Gesetzgeber muss keine Regelung „pro betriebsrätliche Verantwortlichkeit“ treffen, sondern er könnte vielmehr die (grundsätzliche) betriebsrätliche Verantwortlichkeit abweichend regeln. Er selbst entscheidet im Rahmen der Öffnungsklausel also, ob europäische Regelungen fortgelten sollen oder ob er selbst die Regelung treffen möchte. Solange der deutsche Gesetzgeber keine abweichende Regelung getroffen hat (Art. 4 Nr. 7 2. Hs. DSGVO)375, ist der Betriebsrat – nach Europarecht – entscheidende Stelle und damit Verantwortlicher (Art. 4 Nr. 7 1. Hs. DSGVO). (2) Der Betriebsrat im System von Art. 4 Nr. 7 1. Hs. DSGVO als andere Stelle Auch die Eigenschaft des Betriebsrats als andere Stelle im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO wird aus systematischem Blickwinkel diskutiert.376 Art. 4 Nr. 7 1. Hs. DSGVO führt mit der natürlichen und juristischen Person, Behörde und Einrichtung prototypische Akteure auf, die regelmäßig verantwortlich sein können. Die andere Stelle ergänzt diese Akteure und wird hierneben ausschließlich in Art. 4 Nr. 8, 9 und 10 DSGVO genannt. Auch hier steht sie – wie bei Art. 4 Nr. 7 1. Hs. DSGVO  – hinter natürliche oder juristische Person, Behörde und Einrichtung. Der Begriff andere Stelle könnte Auffangfunktion haben.377 Die DSGVO differenziert den Begriff Stelle in öffentliche (z. B. Art. 37 Abs. 1 lit. a, Abs. 3 DSGVO) und private Stellen (z. B. Art. 55 Abs. 2 DSGVO) aus.378 Sie widerspricht jedoch einem Ansatz, der die in Art. 4 Nr. 7 1. Hs. DSGVO genannten Stellen in originär öffentliche und originär private Stellen einteilt. Denn sie differenziert u. a. Stellen und Behörden.379 Die „prototypischen“ Stellen rahmen in angloamerikanischer Rechtstradition380 nicht die andere Stelle – die andere Stelle ist also auch nicht lediglich Auffangbegriff für alle genannten Entitäten,381 sondern zeigt allein an, dass die aufgelisteten Stellen nicht abschließend sind. Die andere 374

So aber zuletzt wohl Pötters / Hansen, ArbRAktuell 2020, 193 (195). S. hierzu Kap. § 5. 376 S. bereits Kap. § 2 D. II. 1. a) bb). 377 S. Kap. § 2 D. II. 1. a) bb) (2). 378 Der DSGVO-Gesetzgeber hat sich – unter vehementer Kritik aus Deutschland (statt vieler etwa Wagner, DuD 2012, 676 (677)) – dafür entschieden, ein grundsätzlich einheitliches Datenschutzniveau für öffentliche und private Stellen zu schaffen. Gründe hierfür waren u. a., dass im Einzelfall, etwa bei der Vorratsdatenspeicherung, ohnehin nicht mehr zwischen der Gefährdung durch öffentliche oder private Stellen unterscheidbar sei (Reding, ZD 2012, 195 (197)). 379 Vgl. Art. 37 DSGVO oder noch stärker DSGVO-EG 158, Satz 2, der von „Behörden oder öffentliche oder private Stellen“ spricht. 380 Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 13. 381 Kap. § 2 D. II. 1. a) bb) (2). 375

78

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Stelle hat somit auch über Auffangelemente hinausgehende eigenständige Bedeutung. Die systematische Auslegung legt das komplizierte Verhältnis von Einrichtung und anderer Stelle offen:382 Die Begriffe werden in der DSGVO kombiniert (vgl. etwa Art. 4 Nr. 26 DSGVO), manchmal in umgekehrter Reihenfolge.383 In der deutschen Sprachfassung sind beide Begriffe nicht sinnvoll voneinander zu trennen.384 Die fehlende Vergleichbarkeit des Betriebsrats mit den prototypisch in Art. 4 Nr. 7 1. Hs. DSGVO aufgeführten Entitäten steht seiner Klassifizierung als andere Stelle allerdings nicht entgegen, soweit er über die Zwecke und Mittel der Datenverarbeitung entscheidet. (3) Insbesondere: Datenschutzrechtliche Verantwortlichkeit ohne Rechtsfähigkeit des Betriebsrats? In Bezugnahme auf die prototypisch aufgeführten Entitäten wird gelegentlich geltend gemacht, Verantwortlichkeit setze Rechtsfähigkeit voraus.385 Dahinter stehe, dass nur rechtsfähige Entitäten durch Anreize präventiv angehalten werden könnten, Datenschutzverstöße zu vermeiden und sonstigen Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit effektiv nachzukommen. Wer nicht rechtsfähig sei, der könne auch nicht datenschutzrechtlich Verantwortlicher sein. Auch im Vorgriff auf Fragestellungen bei den Rechtsfolgen der Verantwortlichkeit386 werden zunächst die Elemente untersucht, die Rechtsfähigkeit begründen (a). Hierbei wird die Rechts- und Vermögensfähigkeit des Betriebsrats beleuchtet (b). In einem dritten Schritt wird untersucht, ob Rechts- oder zumindest Teilrechtsfähigkeit Voraussetzung der datenschutzrechtlichen Verantwortlichkeit ist (c). Das Verhältnis zwischen Verantwortlichkeit und Rechtsfähigkeit ist umgekehrt, als in der Debatte manchmal unterstellt: Erst die datenschutzrechtliche Verantwortlichkeit begründet die (datenschutzrechtliche) Teilrechtsfähigkeit des Betriebsrats (d). (a) Elemente der Rechtsfähigkeit § 1 BGB definiert im deutschen Recht nicht, was Rechtsfähigkeit ist, sondern nur, dass diese mit Vollendung der Geburt des Menschen beginnt. Zwei Meinungs-

382

Kap. § 2 D. II. 1. a) bb) (1). Vgl. Art. 58 Abs. 3 lit.  b DSGVO, der etwa von sonstigen Einrichtungen und Stellen spricht. 384 Kap. § 2 D. II. 1. a) bb) (1). 385 So etwa Pötters / Gola, RDV 2017, 279 (280); anders gewendet und letztlich abgelehnt wird dieser Ansatz auch bei Staben, ZFA 2020, 287 (296) unter der Frage, ob der europäische Gesetzgeber bei Betrachtung der Haftung als Rechtsfolge der datenschutzrechtlichen Verantwortlichkeit möglicherweise einen bestimmten Schuldner vor Augen habe. 386 S. ausf. Kap. § 3. 383

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

79

stränge versuchen, Rechtsfähigkeit zu definieren.387 Überwiegende Literaturstimmen verstehen Rechtsfähigkeit als die Fähigkeit, Träger von Rechten und Pflichten zu sein.388 Andere knüpfen an die juristische Handlungsfähigkeit an.389 Neben natürlichen Personen (§ 1 BGB) können auch juristische Personen rechtsfähig sein, d. h. Organisationseinheiten, deren Handeln und Entscheiden rechtlich keiner anderen, übergeordneten Stelle mehr zugerechnet werden kann.390 Eine juristische Person ist üblicherweise vollrechtsfähig.391 Vollrechtsfähigkeit wird abgegrenzt von Teilrechtsfähigkeit.392 Vollrechtsfähige Personen sind potenziell Träger aller denkbaren allgemeingültigen Rechte und Pflichten.393 Für eine vollrechtsfähige Person gilt die Vermutung, dass sie Trägerin aller Rechte und Pflichten sein kann.394 Gegenstück hierzu ist eine Person, die keinerlei Rechte und Pflichten haben kann. Eine natürliche Person ohne Rechte und Pflichten gibt es in der deutschen Rechtsordnung wegen der in Art. 1 GG normierten Menschenwürde nicht.395 Bisher nicht rechtsfähig sind etwa Roboter und autonome Systeme.396 Um Rechtssicherheit zu schaffen, erkennt die Rechtsordnung Akteuren Rechte regelmäßig in einem weiten Umfang zu. Selbst der nicht rechtsfähige Verein ist seit dem BGH-Grundsatzurteil aus dem Jahre 2001 teilrechtsfähig.397 Teilrechtsfähigkeit bedeutet auf einer Skala eine Zwischenstufe zwischen Vollrechtsfähigkeit und Nichtrechtsfähigkeit. Teilrechtsfähige Personen haben bestimmte, aber nicht alle denkbaren Rechte und Pflichten. Die Anwendbarkeit durch Normen zugewiesener Rechte und Pflichten muss – im Gegensatz zur vollrechtsfähigen Person – konkret nachgewiesen werden.398 Fabricius’ Analyse399 zur Rechtsfähigkeit bricht die vermeintlich scharfe Abgrenzung zwischen Voll- und Teilrechtsfähigkeit auf:400 Kriterien für eine strikte Abgrenzung gibt es nicht.

387

Bamberger, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 1, Rn. 10. Ellenberger, in: Palandt (Hrsg.), BGB, vor § 1, Rn. 1; Spickhoff, in: Säcker / R ixecker / ​ ­Oetker / ​Limperg (Hrsg.), MüKo BGB, Bd. 1, § 1, Rn. 6; Bamberger, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 1, Rn. 10; Mansel, in: Jauernig (Hrsg.), BGB, Rn. 1. 389 U. a. Fabricius, Relativität der Rechtsfähigkeit, S. 31 ff., 43 ff. 390 Remmert, in: Maunz / Dürig (Hrsg.), GG, Art. 19 Abs. 3, Rn. 37. 391 Vgl. Remmert, in: Maunz / Dürig (Hrsg.), GG, Art. 19 Abs. 3, Rn. 37. 392 Insg.: Tolani, „Teilrechtsfähigkeit“ von Personenvereinigungen, S. 28 ff. und Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 28 ff. 393 Keine Einschränkung, jedoch mit Verweis darauf, dass es auch besondere Rechtsfähigkeiten (geknüpft an ein bestimmtes Alter oder Geschlecht) gibt, vgl. Ellenberger, in: Palandt (Hrsg.), BGB, vor § 1, Rn. 1 ff. 394 Triebel, Die Haftung des Betriebsrats und der Durchgriff auf seine Mitglieder, S. 41. 395 Bamberger, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 1, Rn. 3 ff. 396 Vgl. z. B. Schirmer, JZ 2016, 660 ff; Borges, NJW 2018, 977. 397 BGH, Urt. v. 29. 1. 2001 – Az. II ZR 331/00, S. 11. 398 Triebel, Die Haftung des Betriebsrats und der Durchgriff auf seine Mitglieder, S. 41. 399 Fabricius, Relativität der Rechtsfähigkeit. 400 Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 31. 388

80

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

(b) Betriebsrat, Rechtsfähigkeit und Vermögensfähigkeit Der Betriebsrat ist grundrechtsfähig gem. Art. 19 Abs. 3 GG.401 Da der Betriebs­ rat einfachgesetzlich zwar manche, aber nicht alle denkbaren Rechte und Pflichten hat, wird er gemeinhin als teilrechtsfähig bezeichnet, was Kreutz zuerst begründet hat.402 Er zeigte auf, welche Rechte und Pflichten der Betriebsrat insbesondere im BetrVG hat. Der Betriebsrat ist hiernach im Rahmen seiner gesetzlich vorgegebenen Rechte und Pflichten rechtsfähig. Doch dies unterscheidet ihn zunächst nicht von einem vollrechtsfähigen Rechtssubjekt. Denn auch bei vollrechtsfähigen Rechtssubjekten werden Rechte und Pflichten gesetzlich zugewiesen. Allerdings sind vollrechtsfähige Subjekte uneingeschränkt rechts- und pflichtenfähig. Dem Betriebsrat hingegen schreiben verschiedene Gesetzesstellen enumerative Rechte und Pflichten zu.403 Er kann Betriebsvereinbarungen mit dem Arbeitgeber schließen (§ 77 Abs. 2 BetrVG), hat bei bestimmten, die Arbeitnehmer betreffenden Maßnahmen mitzubestimmen (§ 87 BetrVG) oder er kann die Versetzung bzw. Entfernung von im Betrieb störenden Arbeitnehmern verlangen (§ 104 BetrVG). Pflichten arrondieren diese Rechte: Er ist etwa zur vertrauensvollen Zusammenarbeit mit dem Arbeitgeber verpflichtet (§ 2 Abs. 1 BetrVG) und hat darüber zu wachen, dass arbeitnehmerschützende Gesetze im Betrieb durchgeführt werden (§ 80 Abs. 1 Nr. 1 BetrVG). Diese Rechte und Pflichten sind originär betriebsverfassungsrechtlich, was einige Autoren dazu bewegt, den Betriebsrat als „lediglich im Rahmen seiner betriebsverfassungsrechtlichen Rechte und Pflichten teilrechtsfähig“ zu bezeichnen.404 Allerdings hat der Betriebsrat auch über das BetrVG hinausgehende Rechte und Pflichten: Er bestimmt etwa bei der Kündigung behinderter Menschen im Betrieb (§ 170 Abs. 2 SGB IX) oder bei Kündigungsvorhaben gegenüber Betriebsratsmitgliedern mit (§ 15 Abs. 1 Satz 1 KSchG). Sonderpflichten hat er zudem im arbeitsgerichtlichen Verfahren, wo er als Prozesspartei parteifähig ist (§§ 10 ff. ArbGG). Über die aufgezählten Rechte und Pflichten hinaus ist der Betriebsrat nicht rechtsfähig: Er ist in Teilen rechtsfähig, eben teilrechtsfähig. Bei der datenschutzrechtlichen Verantwortlichkeit wird die Rechtsfähigkeit v. a. deshalb vielfach thematisiert, weil ohne die Rechtsfähigkeit einige Rechtsfolgen datenschutzrechtlicher Verantwortlichkeit schwer durchzusetzen sind. Eine nicht rechtsfähige Entität könne etwa nur schwerlich haften. Dabei wird verkannt, dass Vermögensfähigkeit allein eine spezifische Ausformung von Rechtsfähigkeit ist,

401

Ellenbeck, Die Grundrechtsfähigkeit des Betriebsrats, S. 151 f.; s. auch Dreier, in: ders. (Hrsg.), GG I, Art. 19 Abs. 3, Rn. 50. 402 Kreutz, Grenzen der Betriebsautonomie, S. 18 ff. 403 Vgl. Kreutz, Grenzen der Betriebsautonomie, S. 18 ff.; Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 61; Richardi, in: ders. (Hrsg.), BetrVG, Einl., Rn. 109. 404 Etwas missverständlich, da u. a. mit Verweis auf die Rechtsfähigkeit des Betriebsrats in § 10 ArbGG Boemke, in: Kiel / Lunk / Oetker (Hrsg.), MHdbArbR, Bd. 3, § 286, Rn. 16; Düwell, in: ders. (Hrsg.), BetrVG, Einl., Rn. 120; s. etwa auch Bergmann, NZA 2013, 57 (58); auch noch Brams / Möhle, ZD 2018, 570 (571).

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

81

nämlich potenzielle Trägerschaft von Rechten und Pflichten mit Vermögenswert.405 Für eine Haftbarkeit genügt also keine – irgendwie geartete – (Teil-)Rechtsfähigkeit. Denn wenn die Teilrechtsfähigkeit gerade keine Vermögensfähigkeit umfasst, laufen Ansprüche trotz aller (sonstigen) Rechtsfähigkeit leer. Effektive Durchsetzbarkeit hängt also an der Vermögensfähigkeit. Vollrechtsfähigkeit umfasst auch volle Vermögensfähigkeit. Bei Fehlen voller Vermögensfähigkeit kann ein Rechtssubjekt umgekehrt höchstens teilrechtsfähig sein. Seit einem wegweisenden Urteil des BGH406 ist eine Diskussion darüber entfacht, ob betriebsverfassungsrechtliche Normen einer Vermögensfähigkeit des Betriebsrats entgegenstehen. § 41 BetrVG verbietet z. B. eine Finanzierungsumlage der Belegschaft. Andererseits regelt die arbeitgeberseitige Kostentragungspflicht (§§ 40 Abs. 1, 80 Abs. 3 BetrVG), dass der Betriebsrat Inhaber vermögenswerter Ansprüche auf Kostenausgleichung gegenüber dem Arbeitgeber sein können muss. Der Betriebsrat ist nach Auslegung des BetrVG immer dann vermögensfähig, wenn seine Rechte und Pflichten Vermögenswerte betreffen.407 V.a. im Kontext des Vertragsschlusses ist die Vermögensfähigkeit des Betriebsrats umstritten.408 Der Möglichkeit des Betriebsrats, sich Dritten gegenüber zu verpflichten, steht ein vermögenswerter Freistellungsanspruch des Betriebsrats gegen den Arbeitgeber gegenüber (§ 40 Abs. 1 BetrVG).409 Und auch im Rahmen von Sachverständigenbestellungen gem. § 80 Abs. 3 BetrVG kennt das BAG die betriebsrätliche Vermögensfähigkeit. Wenn der Betriebsrat mit dem Arbeitgeber eine Vereinbarung trifft, entstehe ein gesetzliches Schuldverhältnis, dessen Gläubiger der Betriebsrat sei.410 Durch dieses „vermögensrechtliche gesetzliche Schuldverhältnis“411 entstehe ein Freistellungsanspruch des Betriebsrats gegenüber dem Arbeitgeber, der sich bei Abtretung an den Dritten in einen Zahlungsanspruch gegen den Arbeitgeber wandle.412 Der Betriebsrat muss folglich auf einem Zwischenschritt Schuldner des Dienstvertrags mit dem Sachverständigen und damit insoweit vermögensfähig sein. Diese Vermögensfähigkeit sagt aber andererseits ausdrücklich nichts über seine tatsächliche Aus 405

Jahnke, RdA 1975, 343 (343); dazu und folgend auch Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 34. 406 BGH, Urt. v. 25. 10. 2012 – Az. III ZR 266/11. 407 BAG, Beschl. v. 29. 9. 2004 – Az. 1 ABR 30/03 = NZA 2005, 123 (123); s. dazu auch Triebel, Die Haftung des Betriebsrats und der Durchgriff auf seine Mitglieder, S. 29. 408 S. dazu die gute Übersicht bei Kamanabrou, Arbeitsrecht, Rn. 2384 mit vielen weiteren Nachweisen. 409 BGH, Urt. v. 25. 10. 2012  – Az. III ZR 266/11, dieser Entscheidung folgend Teile der Literatur, vgl. exemplarisch Richardi, RdA 2013, 317 (317 ff.); Müller / Jahner, BB 2013, 440 (440 ff.); Dommermuth-Alhäuser / Heup, BB 2013, 1461 (1561 ff.). 410 Ursprünglich Feststellung der Teilrechtsfähigkeit und Vermögensfähigkeit in diesem Rahmen noch allgemein am Beispiel der Trägerschaft einer Betriebskantine: BAG, Urt. v. 24. 4. 1986 – Az. 6 AZR 607/83; BAG, Beschl. v. 13. 5. 1998 – Az. 7 ABR 65/96 in I der Urteilsgründe. 411 Bestätigt in BAG, Beschl. v. 24. 10. 2000 – Az. 7 ABR 20/00; dazu auch: Müller / Jahner, BB 2013, 440 (440 ff.); Dommermuth-Alhäuser / Heup, BB 2013, 1461 (1461 ff.). 412 Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 64 f.

82

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

gleichspflicht aus. Denn alternative Ausgleichspflichtige sind neben dem Organ Betriebsrat etwa der Arbeitgeber oder die handelnden Betriebsratsmitglieder. Eine Literaturansicht vertritt, wenn ohnehin das Betriebsratsmitglied hafte, dann könne auch gleich das Betriebsratsmitglied selbst und nicht der Betriebsrat als Organ Vertragspartner des Dritten und zugleich Inhaber des Freistellungsanspruchs gegenüber dem Arbeitgeber sein.413 Diese Ansicht bietet zwar immer einen vollrechtsfähigen, vermögensfähigen Schuldner (Arbeitgeber oder Betriebsrats­ mitglied). Jedoch erlegt sie im Zweifel dem Betriebsratsmitglied die Last auf, Schulden zu begleichen. Nicht nur konfligiert dies mit dem Charakter des Betriebsrats als Ehrenamt (§ 37 Abs. 1 BetrVG), denn die ehrenamtliche Tätigkeit soll gerade benachteiligungsfrei sein.414 Viel entscheidender ist, dass § 40 Abs. 1 BetrVG den Betriebsrat auch als kostenverursachendes Organ vorsieht. Wozu soll – wenn nicht zur Begründung der Teilvermögensfähigkeit – der Betriebsrat überhaupt als Organ adressiert sein? Der Betriebsrat ist somit in einigen Normenkonstellationen auch teilvermögensfähig. Bei der Fragestellung, ob er auch datenschutzrechtlich vermögensfähig ist, kommt es maßgeblich auf die konkrete Normausgestaltung an. (c) Rechtsfähigkeit, Teilrechtsfähigkeit und datenschutzrechtliche Verantwortlichkeit Der Betriebsrat wäre datenschutzrechtlich teilrechtsfähig, soweit ihm datenschutzrechtliche Vorschriften Rechte und Pflichten auferlegen. Die Auflistung der verantwortlichen Stellen in Art. 4 Nr. 7 1. Hs. DSGVO zeigt jedoch, dass der DSGVO-Gesetzgeber für die Eigenschaft als Verantwortlicher gar keine Rechtsfähigkeit verlangt. Denn auch Behörden, die (bisher) unstreitig nicht rechtsfähig sind, sind verantwortlich, soweit sie über Datenverarbeitungszwecke und -mittel entscheiden. Voraussetzung datenschutzrechtlicher Verantwortlichkeit kann also nicht sein, dass eine Entität bereits a priori rechtsfähig ist. Inwiefern sollte sie überhaupt rechtsfähig sein? Denn gerade durch die Eigenschaft als Verantwortlicher könnte sie ja erst (datenschutzrechtlich) rechtsfähig werden. Den Ansichten, die geltend machen, Verantwortlichkeit setze Rechtsfähigkeit voraus, liegt also ein Missverständnis des Rechtsfähigkeitskonzepts zugrunde. Rechtsfähigkeit geht nicht der datenschutzrechtlichen Verantwortlichkeit voraus, sondern vielmehr ist sie potenzielle Folge der datenschutzrechtlichen Verantwortlichkeit. Indem also Rechtsfolgen an die datenschutzrechtliche Verantwortlichkeit knüpfen, begründet die Verantwortlichkeit gerade datenschutzrechtliche Rechtsfähigkeit.415 Fehlende

413

Reichold, in: Kiel / Lunk / Oetker (Hrsg.), MHdbArbR, Bd. 1, § 58, Rn. 19 f.; Kamanabrou, Arbeitsrecht, Rn. 2384. 414 Mauer, in: Rolfs / Giesen / K reikebohm / Meßling / Udsching (Hrsg.), BeckOK ArbR / BetrVG, § 37, Rn. 1. 415 S. ausf. Kap. § 2 D. II. 1. b) aa) (3) (d).

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

83

(Voll-)Rechtsfähigkeit ist also kein zulässiger und durchgreifender Einwand gegen die potenzielle datenschutzrechtliche Verantwortlichkeit des Betriebsrats.416 (d) Die datenschutzrechtliche Teilrechtsfähigkeit des Betriebsrats Rechtsfähigkeit meint  – nach hier vertretener Auffassung  – Zuweisung von Rechten bzw. Pflichten durch eine Rechtsnorm. Teilrechtsfähigkeit meint partielle Zuweisung von Rechten und Pflichten, etwa in einem spezifischen Rechtsgebiet, wobei der Übergang zur Vollrechtsfähigkeit fließend ist.417 Unterschiedliche Rechtsnormen aus unterschiedlichen Rechtsgebieten weisen dem Betriebsrat Rechte und Pflichten zu: Der Betriebsrat ist unumstritten rechtsfähig im Rahmen der ihm durch das BetrVG zugewiesenen Rechte und Pflichten.418 Auch andere Fachgesetze (ArbGG, SGB IX, KSchG) erlegen dem Betriebsrat Rechte und Pflichten auf bzw. setzen diese voraus. Der Betriebsrat ist somit in unterschiedlicher Art und Weise spezialgesetzlich teilrechtsfähig. Im Rahmen der Teilrechtsfähigkeit kann er auch kostenausgleichspflichtig sein. Da er im Sinne des Art. 4 Nr. 7 1. Hs. DSGVO über die Zwecke und Mittel seiner Datenverarbeitungen in concreto entscheidet, ist er als andere Stelle datenschutzrechtlich Verantwortlicher.419 Und mit der datenschutzrechtlichen Verantwortlichkeit ist er auch datenschutzrechtlich teilrechtsfähig. Die DSGVO begründet folglich die datenschutzrechtliche Teilrechtsfähigkeit des Betriebsrats. Dass der Betriebsrat nicht  a priori rechtsfähig ist, kann der Eigenschaft als datenschutzrechtlich Verantwortlicher also gar nicht entgegenstehen. Vielmehr würde er durch die datenschutzrechtliche Verantwortlichkeit datenschutzrechtlich teilrechtsfähig. Auch etwaige national abweichende Regelungen im Rahmen von Öffnungsklauseln stehen diesem Rechtsfähigkeitskonzept nicht entgegen. Denn es bleibt variabel und knüpft an konkrete Rechtsund Pflichtenzuweisungen an.

416

Etwa Kreutz, Grenzen der Betriebsautonomie, S. 18 ff.; Richardi, in: ders. (Hrsg.), BetrVG, Einl., Rn. 109. 417 Fabricius, Relativität der Rechtsfähigkeit. 418 Konstituierend bereits Rosset, Rechtssubjektivität des Betriebsrats und Haftung seiner Mitglieder, S. 53 ff.; Kamanabrou, Arbeitsrecht, Rn. 2381 ff.; Triebel, Die Haftung des Betriebsrats und der Durchgriff auf seine Mitglieder, S. 31; Happe, Die persönliche Rechtsstellung von Betriebsräten, S. 71 ff.; Richardi, in: ders. (Hrsg.), BetrVG, Einl., Rn. 111 ff.; Düwell, in: ders. (Hrsg.), BetrVG, Einl., Rn. 120 ff.; Koch, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ArbR / BetrVG, § 1, Rn. 18; Lunk / Rodenbusch, NJW 2014, 1889; Müller / Jahner, BB 2013, 440 (441). 419 S. Kap. § 2 II 2, III.

84

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

bb) Aspekte der systematischen Stellung des Verantwortlichkeitskonzepts in der DSGVO für die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats Überschrieben mit „Begriffsbestimmungen“ steht Art. 4 Nr. 7 DSGVO im allgemeinen Teil der DSGVO und vereinheitlicht grundlegende Begriffe, die mitgliedstaatenübergreifend gelten sollen. Verantwortlichkeit ist DSGVO-Schlüsselkonzept,420 wie bereits die im Schnitt etwa 1,1-fache Verwendung des Begriffs pro Erwägungsgrund zeigt. Da vielfältige Rechtsfolgen an die Eigenschaft als Verantwortlicher anknüpfen,421 soll die Verantwortlichkeit eindeutig zugewiesen sein.422 Eingrenzungen im Verantwortlichkeitskonzept und die Erwägungsgründe liefern systematische Hinweise zu der Frage, ob der Betriebsrat datenschutzrechtlich Verantwortlicher ist. Die DSGVO kennt nur eine begrenzte Anzahl datenschutzrechtlich relevanter Entitäten. Sie kennt Verantwortliche, die im Sinne von Art. 4 Nr. 7 1. Hs. 1. Alt. DSGVO entweder allein oder im Sinne von Art. 4 Nr. 7 1. Hs. 2. Alt. DSGVO gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden und dann gemeinsam Verantwortliche sind (Art. 26 DSGVO). Sie kennt auch das Konzept der Auftragsverarbeitung (Art. 28 DSGVO): Ein Auftragsverarbeiter verarbeitet im Auftrag eines Verantwortlichen Daten, wobei der Verantwortliche über die Zwecke und Mittel der Datenverarbeitung entscheidet. Der Auftragsverarbeiter ist zwar datenschutzrechtlich relevant, aber nicht verantwortlich.423 In der DSGVO gibt es also ein vierschematisches Konzept: Datenschutzrechtlich nicht relevant, alleiniger Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter. Das Organ Betriebsrat verarbeitet nicht im Auftrag eines anderen, sondern eigenständig Daten. Und auch die einzelnen Betriebsratsmitglieder sind keine Auftragsverarbeiter. Der Betriebsrat ist also aus keinem denkbaren Blickwinkel Auftragsverarbeiter. Der Betriebsrat verarbeitet aber unstreitig Daten und steht außerhalb der Weisungsstruktur des Arbeitgebers424 und ist damit in keine fremde Weisungsstruktur eingegliedert. Er ist also datenschutzrechtlich relevanter Akteur. In der Architektur der datenschutzrechtlichen Akteure verbleibt die Überlegung, ob der Betriebsrat eigenständig Verantwortlicher ist oder aber gemeinsam Verantwortlicher. Das Organ Betriebsrat entscheidet nicht gemeinsam mit einem anderen 420

Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 61; Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 5; Schild, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 4, Rn. 93a; s. ausf. Kap. § 2 D. II. 1. a) dd). 421 S. die Auflistung von zumindest 47 unterschiedlichen Pflichten bei Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art.  4, Rn.  170; s. ausf. Kap. § 3. 422 DSGVO-EG 79. 423 Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 8, Rn. 7. 424 Kap. § 2 D. II. 1. d) bb).

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

85

über die Zwecke und Mittel seiner Datenverarbeitung.425 Denn der Betriebsrat nutzt personenbezogene Daten allein, etwa zur Wahrnehmung von Mitbestimmungsrechten. Einzig die Betriebsratsmitglieder sind an den Datenverarbeitungen beteiligt. Dies veranlasst vereinzelte Stimmen, eine gemeinsame Verantwortlichkeit von Betriebsrat und Betriebsratsmitgliedern – unter Rekurs auf die Zeugen-­Jehovas-​ Rechtsprechung des EuGH426 – anzunehmen.427 Hier ging es um die datenschutzrechtliche Verantwortlichkeit für zu Werbezwecken geführte Listen nach Verkündungstätigkeiten von Mitgliedern der Zeugen Jehovas. Der EuGH nahm eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) von Mitgliedern und der Religionsgemeinschaft Zeugen Jehovas an. Die Mitglieder hätten unstreitig über die Zwecke und Mittel der Datenverarbeitung entschieden, die Religionsgemeinschaft habe die Sammlung hingegen jedenfalls zur Verkündigungstätigkeit und Mitgliedergewinnung unterstützt.428 Da der EuGH maßgeblich beurteilte, dass bei einer gemeinsamen Verantwortlichkeit nicht beide Verantwortlichen gleichermaßen über die Verarbeitungszwecke und -mittel entscheiden und auch nicht gleichermaßen bei der Datenverarbeitung „vor Ort“ sein müssten, wirkt die Sachlage zunächst vergleichbar mit der Konstellation Betriebsrat und Betriebsratsmitglieder.429 Die Akteure Betriebsrat und Religionsgemeinschaft sind jedoch nicht vergleichbar. Die Zeugen Jehovas sind freiwilliger Zusammenschluss mit weitreichenden Entscheidungsbefugnissen über Zwecke und Mittel der Datenverarbeitung, während der Betriebsrat betriebsverfassungsrechtlich vorgegeben ist und betriebsverfassungsrechtlich vorgezeichnete Aufgaben hat. Er ist nur im Rahmen dieser ihm gesetzlich zugewiesenen Aufgaben rechtsfähig,430 während die Religionsgemeinschaft der Zeugen Jehovas losgelöst von gesetzlichen Präskriptionen über Zwecke und Mittel der Datenverarbeitung entscheidet. Über die Notwendigkeit der Datenverarbeitung zu Zwecken der Belegschaftsinteressenvertretung entscheidet das Organ Betriebsrat im Rahmen betriebsverfassungsrechtlicher Vorgaben. Betriebsratsmitglieder sind lediglich im Rahmen seiner Beschlüsse und Vorgaben handlungsbefugt. Weitreichende Befugnisse sind den Betriebsratsmitgliedern und auch dem Betriebsratsvorsitzenden bereits gesetzlich verwehrt. Befugnisse können nicht einmal theoretisch durch Betriebsratsbeschluss o.ä. übertragen werden.431 Anders als etwa beim Arbeitgeber ist das Betriebsratsmitglied demokratisch zur Handlung legitimiert: Der Betriebsausschuss (§ 27 Abs. 1 Satz 3 BetrVG) und der Betriebsratsvorsitzende (§ 26 Abs. 1 BetrVG) werden aus der Mitte des Betriebsrats 425

Lücke, NZA 2020, 658 (661) mit Verweis auf die Tatsache, dass eine rein faktische Zusammenarbeit nicht ausreicht bei Bertermann, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 26, Rn. 10. 426 EuGH, C-25/17, Urt. v. 10. 7. 2018, Rn. 73 – Zeugen Jehovas. 427 Vgl. Maschmann, NZA 2020, 1207 (1210). 428 EuGH, C-25/17, Urt. v. 10. 7. 2018, Rn. 70 ff. – Zeugen Jehovas. 429 S. zu diesem Versuch Maschmann, NZA 2020, 1207 (1211). 430 Kap. § 2 D. II. 1. b) aa) (3) (d). 431 Außer ein kleiner Verhandlungsspielraum für den Betriebsratsvorsitzenden, vgl. Koch, in: Müller-Glöge / P reis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 26, Rn.  2.

86

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

gewählt und geben Handlungsmaßstäbe für die Betriebsratsmitglieder vor. Selbiges gilt für Aufgabenverteilungspläne zur Zuweisung der Arbeitsgebiete. Handeln die Betriebsratsmitglieder ohne Veranlassung des Betriebsrats, so sind sie nicht zur Handlung legitimiert. Die demokratisch legitimierten Betriebsratsmitglieder sind also streng an die gesetzlich beeinflussten Vorgaben des Gremiums gebunden. Die Kompetenzen des Betriebsrats sind im Sinne des BetrVG gerade als Gremienkompetenzen ausgestaltet, während die einzelnen Betriebsratsmitglieder nur wenige Entscheidungsspielräume haben. In der Zeugen-Jehovas-Entscheidung war gerade der weite Entscheidungsspielraum der Mitglieder vor Ort Kerncharakteristikum der gemeinsamen Verantwortlichkeit. Für eine Ermunterung der Betriebsratsmitglieder zur Ausnutzung breiter Handlungsfreiräume, wie etwa bei der Organisation Zeugen Jehovas unterstellt, fehlt dem Betriebsrat bereits der gesetzliche Auftrag: Die betriebsrätliche Datenverarbeitung von Betriebsratsmitgliedern muss durch Organe und / oder Organteile des Betriebsrats beschlossen und eben insbesondere gesetzlich zur Belegschaftsinteressenvertretung vorgesehen sein. Hinzu tritt eine weitere Ungenauigkeit in der Argumentation: Wenn die handelnden Betriebsratsmitglieder verantwortlich wären, so bliebe unklar, warum auch noch das Organ Betriebsrat datenschutzrechtlich Verantwortlicher sein muss. Denn wenn die Betriebsratsmitglieder vor Ort entscheiden, so sind sie verantwortlich und Adressat der Verantwortlichkeitsfolgen. Rechtsfolgenprobleme, die allein wegen des Organs Betriebsrat auftreten,432 wären so gelöst. Es bleibt schleierhaft, wie die vorgeschlagene gemeinsame Verantwortlichkeit von Betriebsratsmitgliedern und Betriebsrat mit der Adressierung im Innenverhältnis433 datenschutzrechtlich zusammenhängen soll. Betriebsrat und Betriebsratsmitglieder sind nicht gemeinsam verantwortlich. Insbesondere verarbeitet der Betriebsrat auch nicht gemeinsam mit dem Arbeitgeber Daten. Zwar kann theoretisch auch der Arbeitgeber bei betriebsrätlicher Datenverarbeitung Verantwortlicher sein  – nämlich immer dann, wenn er über Zwecke und Mittel betriebsrätlicher Datenverarbeitung entscheidet. Die Sphärentheorie grenzt in diesen Fällen Verantwortlichkeitsbereiche ab:434 Alle Entscheidungen über Datenverarbeitungen in der arbeitgeberseitigen Sphäre sind dem Arbeitgeber, alle Entscheidungen in der betriebsrätlichen Verantwortlichkeitssphäre dem Betriebsrat zuzurechnen.435 Ob der Arbeitgeber automatisch bei sog. Alibi-Betriebsräten Verantwortlicher ist, ist fraglich.436 Denn auch Alibi-Betriebsräte entscheiden selbst, dass sie sich Arbeitgebervorgaben zur Datenverarbeitung anschließen. Nur wenn dem Betriebsrat diese Entscheidung faktisch verwehrt ist, dürfte der Arbeitgeber für „betriebsrätliche Handlungen“ verantwortlich 432

S. ausf. Kap. § 3.  Maschmann, NZA 2020, 1207 (1212). 434 So noch Kurzböck / Weinbeck, BB 2018, 1652 (1654), die jedoch später von einer regelmäßigen Verantwortlichkeit des Betriebsrats ausgehen, vgl. dies., BB 2020, 500 (501), mit Ausnahme der Fälle von sog. Alibi-Betriebsräten. 435 Kleinebrink, DB 2018, 2566. 436 A. A. wohl Kurzböck / Weinbeck, BB 2020, 500 (500 ff.). 433

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

87

sein.437 Häufig verarbeitet der Betriebsrat aber sogar Daten gegen den Arbeitgeberwillen. Und würde er Expertise des Arbeitgebers nutzen wollen, so wäre dies wegen des betriebsverfassungsrechtlichen Prinzips der Gegnerunabhängigkeit verboten.438 Dass der Arbeitgeber nicht für betriebsrätliche Datenverarbeitungen verantwortlich sein kann, zeigen auch die Betroffenenrechte (Art. 8 Abs. 2 Satz 1 GRCh-EU, Artt. 15 ff. DSGVO): Der von Datenverarbeitungen Betroffene hat gegenüber dem Verantwortlichen etwa ein Recht auf Auskunft über verarbeitete Daten (Art. 15 DSGVO), auf Berichtigung fehlerhafter Daten (Art. 16 DSGVO) und auf Löschung nicht mehr benötigter Daten (Art. 17 DSGVO). Wenn Betroffene diese Rechte gegenüber dem Betriebsrat ausüben wollen, ist der Arbeitgeber evident falscher Ansprechpartner. Denn er darf als Ausfluss des bipolaren Betriebsverfassungssystems439 nicht auf betriebsrätliche technische Infrastruktur zugreifen.440 Mitarbeitervertretungen sind also für die Umsetzung von Datensicherungsmaßnahmen verantwortlich – und wenn dies so ist, dann ist es konsequent, die einem Verantwortlichen obliegenden Pflichten dem Betriebsrat selbst aufzuerlegen.441 Denn nur der Betriebsrat kann über von ihm verarbeitete Daten Auskünfte erteilen, diese berichtigen oder löschen.442 Das Organ Betriebsrat ist Anknüpfungspunkt der datenschutzrechtlichen Verantwortlichkeit. cc) Art. 4 Nr. 7 DSGVO, europäisches Primärrecht und datenschutzrechtliche Verantwortlichkeit des Betriebsrats Das Europarecht hat unterschiedliche Gliederungsebenen: Das europäische Primärrecht443 rahmt den Erlass von Sekundärrechtsakten. Wegen des (primärrechtlichen) Prinzips der begrenzten Einzelermächtigung gem. Art. 5 Abs. 1 EUV444 sind die europäischen Regelungsmöglichkeiten rechtsgebietsspezifisch. Hier geht es um das Rechtsgebiet445 Datenschutzrecht. Grundwertungen des Primärrechts sind bei 437

A. A. wohl Kurzböck / Weinbeck, BB 2020, 500 (500 ff.). S. zum bipolar ausgestalteten Betriebsverfassungssystem Richardi, in: ders. (Hrsg.), BetrVG, Einl., Rn. 107. 439 Richardi, in: ders. (Hrsg.), BetrVG, Einl., Rn. 107. 440 Vgl. etwa LAG Düsseldorf, Beschl. v. 7. 3. 2012 – 4 TaBV 87/11; s. auch Wollmerath, in: Düwell (Hrsg.), BetrVG, § 34, Rn. 12. 441 Gola, in: ders. (Hrsg.), DSGVO, Art. 4, Rn. 56; anders aber Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24. 442 Zur Begrenztheit dieses Arguments s. allerdings Kap. § 2 D. II. 1. b) ee). 443 Im Wesentlichen die sog. „Verträge“ im Sinne von Art. 1 Abs. 2 AEUV, die die Grundprinzipien der Europäischen Union im Sinne eines „Verfassungsrechts auf völkervertragsrechtlicher Wurzel“ festlegen (Ruffert, in Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 1 AEUV, Rn. 9). Aber auch ungeschriebene Grundsätze und gem. Art. 6 Abs. 1 EUV die europäische Grundrechtecharta (GRCh-EU). 444 S. hierzu etwa Haltern, Europarecht I, S. 353. 445 Ohne näher zu erläutern, was das Datenschutzrecht als Rechtsgebiet ausmacht, wird das Datenschutzrecht – soweit ersichtlich – wohl einhellig als Rechtsgebiet angesehen, vgl. nur Kühling / Klar / Sackmann, Datenschutzrecht, S. 35, Rn. 13. 438

88

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

der Auslegung sekundärrechtlicher Rechtsakte zu berücksichtigen. In der Tradition des Datenschutzrechts, behördliche ED-Verarbeitungen zu regulieren,446 schützt Datenschutzrecht heute Menschen.447 Durch Implementierung als Bürgerrecht448 soll Informationsmacht rechtlich beherrschbar werden.449 Da das Primärrecht Verantwortlichkeitsbegriffe nicht in der hiesigen Form kennt,450 sind für den datenschutzrechtlichen Verantwortlichkeitsbegriff keine Implikationen direkt ableitbar. Im Rahmen sog. primärrechtskonformen Auslegung451 beeinflusst das Primärrecht das Verantwortlichkeitskonzept jedoch mittelbar. Die DSGVO stützt sich auf Art. 8 GRCh-EU und Art. 16 AEUV.452 Die historische Tradition des Binnenmarktbezugs wird durch den Rekurs auf den Schutz von Bürgerrechten abgelöst.453 Denn gerade der indes gut funktionierende Binnenmarkt habe einen Anstieg von Datenverarbeitungen in der EU verursacht.454 Die DSGVO steuere den noch teils weiter fortwirkenden Ungleichheiten aber u. a. entgegen, die Binnenmarkteffektuierung und -wachstum behinderten.455 Neben der Frage, ob der europäische Gesetzgeber durch datenschutzrechtliche Regelungen überhaupt die (kollektivarbeitsrecht­liche) Stellung des Betriebsrats im Datenschutz regeln darf  (1), wird thematisiert, ob europäische Grundrechte die Stellung des Betriebsrats im Datenschutzrecht vorzeichnen (2). Die Ergebnisse werden kurz zusammengefasst (3).

446

Zum Zusammenhang zwischen Möglichkeiten automatisierter Datenverarbeitung und der gesetzgeberischen Intervention Simitis / Hornung / Spiecker, in: dies. (Hrsg.), DSGVO, Einl., Rn. 5 ff.; so formuliert es auch Schiedermair, die die Entstehung des Datenschutzrechts eng an das Aufkommen der Computertechnologie koppelt (Der Schutz des Privaten als internationales Grundrecht, S. 41); v. Lewinski, Geschichte des Datenschutzrechts von 1600 bis 1977, in: Arndt et al. (Hrsg.), Freiheit – Sicherheit – Öffentlichkeit, S. 196–220 (204) zum Zusammenhang von EDV und Datenschutzrecht. 447 v. Lewinski, Die Matrix des Datenschutzes, S. 4 f. 448 Zur Gesetzgebungsgeschichte der GRCh-EU s. Jarass, GRCh-EU, Einl., Rn. 4 ff.; s. ausf. Kap. § 2 D. II. 1. c) aa). 449 Tinnefeld, in: dies. / Buchner / Petri / Hof (Hrsg.), Einführung in das Datenschutzrecht, § 1, Rn. 1 ff., 8. 450 Zwar nutzt das europäische Primärrecht den Begriff der Verantwortlichkeit an drei Stellen im EUV (Artt. 16 Abs. 7, 17 Abs. 8, 34 Abs. 2 2. Hs. EUV) und an vier Stellen im AEUV (Artt. 73, 80, 207 Abs. 4 lit. b, 317 AEUV): Verantwortlichkeit meint hier aber immer institutionelle Zuständigkeit im staatlichen Gefüge und hilft bei der Auslegung der betriebsrätlichen Verantwortlichkeit also nicht weiter. 451 S. hierzu ausf. Anweiler, Auslegungsmethoden des Gerichtshofs, S. 185 ff. 452 DSGVO-EG 1. 453 Der europäische Gesetzgeber selbst neigt zu dem Erlass der DSGVO auf Basis von Art. 16 Abs. 2 AEUV (vgl. DSGVO-EG 12). 454 DSGVO-EG 5.  455 DSGVO-EG 7. 

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

89

(1) Regelungsübergriffe aus dem Datenschutzrecht in das Betriebsverfassungsrecht Als Abfolge des Prinzips der begrenzten Einzelermächtigung (Art. 5 Abs. 1 EUV) ist Arbeitsrecht weitestgehend mitgliedstaatliche Angelegenheit: Gem. Art. 153 AEUV ist die EU im Arbeitsrecht nur sehr begrenzt und lediglich durch Richtlinie und nicht durch Verordnung regelungsermächtigt. Art. 4 Nr. 7 DSGVO hat als Regelung in einer Verordnung für den Betriebsrat mittelbar auch arbeitsrechtsrechtliche Wirkung.456 Würde Art. 4 Nr. 7 DSGVO als arbeitsrechtliche Vorschrift Art. 153 AEUV unterfallen, wäre diese möglicherweise primärrechtswidrig. Der DSGVO-Gesetzgeber stützt seine Kompetenz zum DSGVO-Erlass auf Art. 16 Abs. 1 AEUV,457 d. h. auf die datenschutzrechtliche, nicht auf die arbeitsrechtliche Ermächtigungsvorschrift. Und dies ist auch folgerichtig: Jede Norm beeinflusst andere Rechtsgebiete, ohne zugleich systematisch Regelung eines anderen Rechtsgebiets zu sein.458 (2) Auslegungsimplikationen europäischer Grundrechte, insbesondere Art. 8 GRCh-EU Primärrechtliche Grundrechte könnten Einfluss auf die betriebsrätliche Verantwortlichkeit haben. Hier steht Art. 8 GRCh-EU neben Art. 16 AEUV, der dessen Wortlaut überleitend und nicht konstitutiv wiederholt.459 In der Vergangenheit wurde Art. 8 Abs. 1 GRCh-EU mit Art. 7 GRCh-EU als die Privatheit 460 schützendes Abwehr-Kombinationsgrundrecht 461 betrachtet. Die damalige Ansicht, Daten 456

S. etwa Middel, AuR 2018, 411 (417). DSGVO-EG 1.  458 Kap. § 3 D. III. 3. b). 459 Vgl. vorsichtig etwa Wolff, in: Pechstein / Nowak / Häde (Hrsg.), Frankfurter Kommentar, Art. 16 AEUV, Rn. 13 f., der von Verbindung zwischen Grundrechtsbindung (Abs. 1) und Kompetenz (Abs. 2) spricht oder auch Sobotta, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 16 AEUV, Rn. 5 ff. (8), der von Wiederholung des Grundrechts auf Datenschutz in Art. 16 Abs. 1 AEUV spricht; diese Lösung ist allerdings alles andere als unumstritten. Vertreter der Gegenauffassung machen geltend, dass auch Art. 16 Abs. 1 AEUV den Schutzbereich des Datenschutzgrundrechts typisiere. Diese Meinung geht zugleich davon aus, dass Art. 8 Abs. 1 GRCh-EU und Art. 16 Abs. 1 AUEV im Wesentlichen Grundrechte sind. Folglich stellt sich die Frage, welchen Schranken dieses Grundrecht unterliegt: Soll ausschließlich Art. 8 Abs. 2 Satz 1 GRCh-EU als Schranke herangezogen werden oder muss auch Art. 16 Abs. 2 AEUV berücksichtigt werden (zu diesem Streit statt vieler Schneider, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht, B, Rn. 22 ff. m. w. N.)? 460 Um den Begriff Privatheit ranken sich zahllose Theorien (vgl. Eichenhofer, e-Privacy: Theorie und Dogmatik, S. 25 ff.). Privatheit ist ein soziales und normatives Konzept, das bestimmten individuellen und gesamtgesellschaftlichen Zwecken dient und eine spezifische Erscheinungsform des sozialen Lebens darstellt (ausf. Herleitung ebd., übergreifende Zusammenfassung auf S. 66 ff.); s. etwa EuGH, C-293/12, Urt. v. 8. 4. 2014, Rn. 29 – Digital Rights; dazu Skouris, NVwZ 2016, 1359 (1360 f.); Jarass, GRCh-EU, Art. 8, Rn. 4. 461 Marsch, Das europäische Datenschutzgrundrecht, S. 206; Gusy, EuGRZ 2018, 244 (247). 457

90

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

schutz sei Teil der Privatheit, transzendiert Art. 8 GRCh-EU mit dem Datenschutzgrundrecht, das jedenfalls jede natürliche Person462 abwehrrechtlich berechtigt. Nach der korrespondierenden Verpflichtung der EU-Organe gem. Art. 51 Abs. 1 Satz 1 GRCh-EU muss das Datenschutzgrundrecht bei Erlass und Auslegung von Sekundärrechtsakten mit berücksichtigt werden:463 Art. 8 GRCh-EU hat mittelbare Drittwirkung.464 Art. 16 Abs. 2 AEUV ermächtigt das Europäische Parlament und den Rat – in weiter Auslegung465 – Vorschriften zur Verarbeitung personenbezogener Daten zu erlassen. Die normative Zweiteilung zwischen Art. 8 Abs. 1 GRChEU und Art. 16 Abs. 2 AEUV effektuiert die Rechtsarchitektur: Da die EU nicht nur das Datenschutzgrundrecht implementiert, sondern dieses zugleich rechtlich ausgestalten darf,466 ist der Grundrechtsschutz besonders stark. Zwei Meinungsbündel streiten über die Wirkung von Art. 8 GRCh-EU zwischen originärem Freiheitsrecht467 und v. a. objektiv-institutioneller Komponente.468 Beide Ansichten haben einen gemeinsamen Kern: Das Datenschutzgrundrecht darf, nach der zweiten Ansicht muss es sogar sekundärrechtlich ausgestaltet werden.469 Die DSGVO ist

462 Franzen, in: ders. / Gallner / Oetker (Hrsg.), Europäisches Arbeitsrecht, Art. 8 GRCh-EU, Rn. 3 ff., wobei die hier allerdings nicht relevante Frage umstritten ist, ob auch juristische Personen durch Art. 8 GRCh-EU geschützt werden, s. hierzu Jarass, GRCh-EU, Art. 8, Rn. 7; Schneider, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht, B, Rn. 27 ff.; Folz, in: Vedder /  v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 8 GRCh-EU, Rn. 3 und vgl. EuGH, C-92/09, Urt. v. 9. 11. 2010, Slg. 2010, I–11063, Rn. 53 – Schecke und EuGH, C-419/14, Urt. v. 17. 12. 2015, Rn. 79 – WebMindLicenses, der davon ausgeht, dass juristische Personen generell nicht dem Schutzbereich unterfielen. 463 Franzen, in: ders. / Gallner / Oetker (Hrsg.), Europäisches Arbeitsrecht, Art. 8 GRCh-EU, Rn. 3; Folz, in: Vedder / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 8 GRCh, Rn. 3. 464 Gusy, EuGRZ 2018, 244 (245) mit der Herleitung, dass dies insbesondere auf die EuGHund EGMR-Rechtsprechung zurückgeht (EuGH, C-131/12, Urt. v. 13. 5. 2014 – ­Google Spain und EGMR, Urt. v. 5. 9. 2017 – Rs. 61496/08 – Barbulescu); Streinz / Michl, EuZW 2011, 384 (387); Eichenhofer, DuD 2016, 84; Folz, in: Vedder / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 8 GRCh, Rn. 3; zur Drittwirkung in der Grundrechtsdogmatik generell: Gusy, Grundrechtsbindungen Dritter, in: Masing / Jesteadt et al. (Hrsg.), Strukturfragen des Grundrechtsschutzes in Europa, S. 93 ff.; a. A. gegen die mittelbare Drittwirkung wegen des (vermeintlich) eindeutigen Wortlauts von Art. 16 Abs. 2 UAbs. 1 Satz 1 AEUV Franzen, in: ders. / Gallner / Oetker (Hrsg.), Europäisches Arbeitsrecht, Art. 16 AEUV, Rn. 7; bei markt­ beherrschenden Unternehmen wird eine unmittelbare Drittwirkung diskutiert, s. etwa für Google Klement, JZ 2017, 161 (166). 465 Auch der Bereich polizeilicher und justizieller Zusammenarbeit unterfalle Art. 16 Abs. 1 AEUV, vgl. etwa Kingreen, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 16 AEUV, Rn. 6. 466 Wolff, in: Pechstein / Nowak / Häde (Hrsg.), Frankfurter Kommentar, Art. 16 AEUV, Rn. 13. 467 Grimm, JZ 2013, 585 (589); Jarass, GRCh-EU, Art. 8, Rn. 2, 5 ff.; tendenziell: Wolff, in: Pechstein / Nowak / Häde (Hrsg.), Frankfurter Kommentar, Art. 8 GRCh-EU, Rn. 49 f.; wohl auch Jung, Grundrechtsschutz auf europäischer Ebene. 468 Marsch, Das europäische Datenschutzgrundrecht, S. 4, 116 ff.; s. den auch bei Gusy, EuGRZ 2018, 244 (244) angelegten Ausgestaltungsauftrag in Art. 8 Abs. 2, 3 GRCh-EU; aus deutscher Perspektive Klement, JZ 2017, 161 (162). 469 Eichenhofer, e-Privacy: Theorie und Dogmatik, S. 269 ff.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

91

einerseits Primärrechtsausgestaltung.470 Andererseits sind Regelungen aus älterem Sekundärrecht in das Primärrecht hochgezont.471 Wenn der europäische Gesetz­ geber (datenschutzrechtliche)  Abwägungsfragen im Rahmen der Öffnungsklauseln im Einzelfall auch mitgliedstaatlichen Gesetzgebern überlässt,472 so behält der EuGH jedenfalls die Deutungshoheit über die Frage, ob der konkrete Normerlass tatsächlich im Rahmen von Öffnungsklauseln zulässig ist. Die europäischen Grundrechte treffen keine Vorentscheidung zu Verantwortlichkeitsfragen und erst recht nicht zu der Frage der betriebsrätlichen Verantwortlichkeit. (3) Primärrechtskonforme Auslegung von Art. 4 Nr. 7 DSGVO und die datenschutzrechtliche Stellung des Betriebsrats Das Primärrecht bietet kaum Anhaltspunkte für die datenschutzrechtliche Einordnung des Betriebsrats. Die Überlegung, das Prinzip der begrenzten Einzelermächtigung könne die europäische Gesetzgebungskompetenz und damit Übergriffe aus dem Datenschutzrecht in das Betriebsverfassungsrecht beeinflussen, geht fehl: Der europäische Gesetzgeber darf die datenschutzrechtliche Stellung des Betriebsrats durch Grundverordnung regeln, auch wenn diese (vermeintlich) betriebsverfassungsrechtliche Folgen hat. Auch aus den europäischen Grundrechten, die sich dialektisch mit dem Sekundärrecht beeinflussen, ist kein Rückschluss auf die datenschutzrechtliche Stellung des Betriebsrats möglich.473 Insbesondere Art. 8 GRCh-EU liefert insoweit keine Hinweise. dd) Völkerrecht und datenschutzrechtliche Verantwortlichkeit des Betriebsrats Art. 17 IPbpR474 normiert klassischerweise das durch den Menschenrechtsausschuss der Vereinten Nationen ausgelegte Menschenrecht auf Datenschutz. Wegen der breiten Grundrechtsdogmatik der EMRK tritt der IPbpR jedoch zu-

470

DSGVO-EG 1; s. in concreto etwa Art. 6 Abs. 1 Satz 1 DSGVO (Verarbeitungslegitimation), Art. 6 Abs. 2 DSGVO (Verarbeitung nach Treu und Glauben) und Art. 6 Abs. 3, 4 DSGVO (Zweckbindung). 471 Z. B. die aus Art. 8 Abs. 2 Satz 1 GRCh-EU bekannten Grundsätze „Treu und Glauben, Zweckmäßigkeit und legitimer Verarbeitungsgrund“, vgl. Mehde, in: Hesselhaus / Nowak (Hrsg.), HdbEUGR, § 21, Rn. 13. 472 Streinz / Michl, EuZW 2011, 384 (388). 473 S. bei aller dialektischen Beeinflussung aber die neuerlich auch vorgenommene Auslegung der Sekundärrechtsakte am Primärrecht, die zwischen Sekundär- und Primärrecht differenziert, vgl. EuGH, C-203/15 und C-698/15, Urt. v. 21. 12. 2016, Rn. 91 – Tele 2 Sverige / ​ Vorratsdatenspeicherung I und EuGH, C-623/17, Urt. v. 6. 10. 2020, Rn. 60 ff. – Pricavy Internationel / Vorratsdatenspeicherung  II. 474 Internationaler Pakt über die bürgerlichen und politischen Rechte.

92

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

nehmend in den Hintergrund.475 So greift etwa der (europäische) Gesetzgeber von Art. 8 GRCh-EU auf die überkommene Dogmatik zu Art. 8 EMRK zurück, der das Datenschutzgrundrecht im Völkerrecht normiert.476 Nach Art. 8 Abs. 1 EMRK kann jede Person die Achtung ihres Privat- oder Familienlebens, ihrer Wohnung und ihrer Korrespondenz verlangen. Der Terminus Privatleben umfasst in weiter Auslegung477 auch Datenschutz im arbeitsrechtlichen Privatleben.478 Arbeitnehmerdaten bei personalrechtlichen Entscheidungen des Arbeitgebers sind durch Art. 8 EMRK geschützt.479 Vorgaben für Mitarbeitervertretungen liefert das Völkerrecht aber nicht. ee) Der Betriebsrat und die datenschutzrechtliche Verantwortlichkeit in den EU-Mitgliedstaaten Das Verhältnis zwischen Europarecht und mitgliedstaatlichem Recht liefert viele unterschiedliche Auslegungsansatzpunkte. Nicht immer ist die Art der Auslegung jedoch im Einzelfall methodisch zulässig. Der Verantwortliche soll klar bestimmt werden.480 Verantwortlichkeit im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO transportiert Verantwortung: Der Verantwortliche trägt Verantwortung für Datenschutzkonformität (Art. 26 DSGVO). Die DSGVO verwendet den Begriff Verantwortung u. a. im Haftungskontext.481 Der Betriebsrat muss als Verantwortlicher nach Datenschutzverstößen möglicherweise haften. In Deutschland haben Mitarbeitervertretungen jedoch ausdrücklich kein Vermögen. Eine Haftung ist (bisher) nicht vorgesehen.482 Rechtsfolgenerwägungen sind im Regelfall im Rahmen systematischer Auslegung zulässig:483 Aus der Rechtsfolge „effektive Haftung“ könnte so geschlossen werden, dass der Betriebsrat – da er nicht haften kann – nicht Verantwortlicher sein könne.484 Hier tritt allerdings eine Besonderheit hinzu: Der Verantwortlichkeitsbegriff in Art. 4 Nr. 7 1. Hs. DSGVO ist ein europarechtlicher Begriff, die Rechtsfolge ist hingegen mitgliedstaatlich, hier spezifisch deutsch. Die Normenhierarchie 475 Zu diesem Abschnitt insgesamt Schiedermair, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Einl., Rn. 162; zum IPbpR insgesamt s. Joseph / Castan, International covenant on civil and political rights. 476 Schubert, in: Franzen / Gallner / Oetker (Hrsg.), Europäisches Arbeitsrecht, Art. 8 EMRK, Rn. 4 ff. 477 Vgl. EGMR, Urt. v. 12. 6. 2003 – Rs. 35968/97, Rn. 69 – van Kück, wonach der Begriff des Privatlebens „umfassend und einer allgemeinen Definition nicht zugänglich“ ist. 478 Pätzold, in: Karpenstein / Mayer (Hrsg.), EMRK, Art. 8, Rn. 21 m. w. N. 479 Pärli, EuZA 2020, 224 (230); EGMR, Urt. v. 26. 3. 1987 – Rs. 9248/81 – Leander; EGMR, Urt. v. 26. 1. 2017 – Rs. 42788/06 – Surikov; EGMR, Urt. v. 14. 1. 2015 (final). 480 S. auch DSGVO-EG 79. 481 S. so etwa Art. 82 Abs. 5 DSGVO; Verantwortung wird auch in den Erwägungsgründen vier Mal im Haftungskontext genannt (s. etwa DSGVO-EG 146). 482 Ausf. Kap. § 3 D. I. 483 Dies in den rechtlich-systematischen Bedeutungszusammenhang einordnend: Riesenhuber (Hrsg.): Hdb. Europäische Methodenlehre, § 1, Rn. 22 ff. 484 So etwa Schuster, AuR 2020, 104 (107 f.); s. ausf. Kap. § 3 D. III. 1.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

93

begrenzt die Auslegungsmöglichkeiten. In einem ersten Schritt wird kurz das sog. Prinzip mitgliedstaatsfreundlicher Auslegung untersucht (1). Danach wird das Verhältnis vom Regelungswerk Grundverordnung und mitgliedstaatlichen Regelungen herausgearbeitet (2). Sehr wichtig ist die Frage, wie weit der Rahmen, den die Grundverordnung durch Öffnungsklauseln vorgibt, durch mitgliedstaatliche Regelungsmöglichkeiten ausgefüllt wird und wie weit er ausgefüllt werden kann (3). Im letzten Schritt wird die derzeitige Reichweite mitgliedstaatlicher Regelungen im Rahmen von Art. 4 Nr. 7 DSGVO untersucht (4). (1) Das Prinzip mitgliedstaatsfreundlicher Auslegung (Art. 4 Abs. 3 Satz 1 EUV) Europarecht wird allein unter Berücksichtigung der Normenhierarchie ausgelegt: Grundsätzlich gilt, dass rangniedrigere mitgliedstaatliche Normen keine ranghöheren europäischen Normen beeinflussen können. Das Europarecht selbst durchbricht jedoch diese strikte Vorgabe aus Akzeptanzgründen.485 Regelungen werden v. a. dann akzeptiert, wenn Mitgliedstaaten und EU konsensual entscheiden.486 Denn in den Mitgliedstaaten werden europäische Vorgaben (etwa gerichtlich) umgesetzt. Die Funktionsfähigkeit des gesamten Mehrebenen-Rechtssystems hängt vom Konsens der beteiligten Akteure ab.487 Grundlegende politische und verfassungsmäßige mitgliedstaatliche Identitäten dürfen folglich nicht durch Europarecht aufgelöst werden.488 EuGH-Urteile betonen die Berücksichtigung der „Rechtsordnungen der Mitgliedstaaten“489 und der im „Recht der Mitgliedstaaten [entspringenden] gemeinsame[n][…] Grunds[…][ätze]“490 und kulminieren im Rechtsgrundsatz mitgliedstaatsfreundlichen Verhaltens.491 Gegenüber mitgliedstaatlichen Interessen hat die EU Rücksichtnahme-,492 Kooperations- und Unterstützungspflichten.493 Sind mehrere mitgliedstaatliche Identitäten durch europäische Regelungen gleichermaßen herausgefordert, müssen diese Pflichten unter 485

Für ein Verbot einer solchen hierarchiewidrigen Auslegung wohl Wegener, in: Calliess / ​ Ruffert (Hrsg.), EUV / A EUV, Art. 19 EUV, Rn. 17. 486 EuGH, C-44/79, Slg. 1979, S. 3727 – Hauer. 487 Calliess / Kahl / Puttler, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 4 EUV, Rn. 124, die Art. 4 EUV als „Scharnier- und Brückennorm“ zwischen mitgliedstaatlichem und europäischem Recht bezeichnet. 488 Hierzu Calliess / Kahl / Puttner, in: Calliess / Ruffert (Hrsg.), Art. 4 EUV, Rn. 13 ff.; Schill  / ​ Krenn, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 4 EUV, Rn. 14 ff. 489 EuGH, C-155/79, Slg. 1982, S. 1576 (1610 ff.) – AM & S; EuGH, C-46/87, C-227/88, Slg. 1989, S. 2859 (2922 ff.) – Hoechst. 490 EuGH, C-374/87, Slg. 1989, S. 3283 (3349 ff.) – Orkem. 491 Hierzu etwa Calliess / Kahl / Puttler, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 4 EUV, Rn. 110; Calliess, Subsidiaritäts- und Solidaritätsprinzip in der EU, S. 168 ff. 492 Franzius, in: Pechstein / Nowak / Häde (Hrsg.), Frankfurter Kommentar, Art. 4 EUV, Rn. 169; Calliess / Kahl / Puttler, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 4 EUV, Rn. 110. 493 Schill / Krinn, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 4 EUV, Rn. 126.

94

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Berücksichtigung des Loyalitätsaspekts erst recht gelten. Insoweit übergreifend herausgeforderte Identitäten könnten also die zurückhaltende Auslegung von Europarecht erzwingen: Mitgliedstaatsübergreifend müssten sich dann aber Rechtsprobleme, Regelungsfolgen und / oder Problemlösungen entsprechen. Die gleich gelagerte Herausforderung mitgliedstaatlicher Regelungen durch europarechtliche Vorgaben setzt voraus, dass betriebsverfassungsrechtliche Strukturen der Mitgliedstaaten vergleichbar sind. Was einfach klingt, ist sehr voraus­ setzungsvoll: Viele europäische Mitgliedstaaten haben im Betriebsverfassungsrecht andere Traditionen als die deutsche betriebliche Belegschaftsvertretung. Gewerkschaften übernehmen hier etwa innerbetriebliche Arbeitnehmervertretung494 oder sog. Vertrauensberater.495 Mancherorts gibt es Arbeitnehmervertretungen nur in Aufsichtsräten.496 Wieder andere Mitgliedstaaten haben fakultative betriebliche Arbeitnehmervertretungen.497 Einige kennen betriebsverfassungsrechtliche Strukturen ausschließlich bei öffentlichen Arbeitgebern.498 Nur wenige Rechtsordnungen ähneln dem deutschen Betriebsverfassungsrecht.499 Die Fragestellung „Arbeitnehmervertretung und DSGVO“ wird in anderen EU-Mitgliedstaaten weitaus weniger diskutiert. Zwei mitgliedstaatliche Diskussionen sollen hier herausgegriffen und mit dem deutschen Recht verglichen werden: Aufgrund der Bedeutung Frankreichs in der EU ist dies die französische und aufgrund der dem deutschen Recht ähnlichen Strukturen im Betriebsverfassungsrecht die niederländische.500 494 Alle in Henssler / Braun (Hrsg.), Arbeitsrecht in Europa: Radoccia, Arbeitsrecht in Italien, S. 667, Rn. 360 ff.; Zimoch-Tucholka / Malinowski-Hyla, Arbeitsrecht in Polen, S. 1045, Rn. 190 ff.; Gotha, Arbeitsrecht in Rumänien, S. 1163, Rn. 185 ff. 495 Alle in Henssler / Braun (Hrsg.), Arbeitsrecht in Europa: Steinrücke / Wirtz, Arbeitsrecht in Dänemark, S. 249, Rn. 122 ff.; Leppä / Henne, Arbeitsrecht in Finnland, S. 330, Rn. 168 ff. 496 Alle in Henssler / Braun (Hrsg.), Arbeitsrecht in Europa: Steinrücke / Wirtz, Arbeitsrecht in Dänemark, S. 249, Rn. 122 ff.; Jürgen, Arbeitsrecht in Estland, S. 283, Rn. 107 ff. 497 Alle in Henssler / Braun (Hrsg.), Arbeitsrecht in Europa: Krobergs, Arbeitsrecht in Lettland, S. 691, Rn. 60 ff.; Fedtke / Fedtke, Arbeitsrecht in Portugal, S. 1102, Rn. 111; Kurz, Arbeitsrecht in Schweden, S. 1260, Rn. 170 ff. 498 Alle in Henssler / Braun (Hrsg.), Arbeitsrecht in Europa: Erken, Arbeitsrecht in Irland, S. 587, Rn. 103 ff.; Zimoch-Tucholka / Malinowski-Hyla, Arbeitsrecht in Polen, S. 1045, Rn. 190. 499 Alle in Henssler / Braun (Hrsg.), Arbeitsrecht in Europa: Castegnaro, Arbeitsrecht in Luxemburg, S. 748, Rn. 210 ff. mit sog. Personalausschüssen; Hoogendoorn / Rogmans, Arbeitsrecht in den Niederlanden, S. 830, Rn. 216 ff.; Pelzmann, Arbeitsrecht in Österreich, S. 976, Rn. 264 ff.; Calle / Prehm, Arbeitsrecht in Spanien, S. 1445, Rn. 164 und Gobert / Krisch, Arbeitsrecht in Ungarn, S. 1580, Rn. 104 ff., wo jeweils die Differenzierung zwischen betrieblicher und gewerkschaftlicher Arbeitnehmervertretung bekannt ist; Linhart / Ranic, Arbeitsrecht in Tschechien, S. 1495, Rn. 128 ff., wo seit 2000 betriebsverfassungsrechtliche Strukturen eingeführt wurden. 500 Probleme bei der Implementierung datenschutzrechtlicher europäischer Regelungen im nationalen Betriebsverfassungsrecht sollen hier in Frankreich und den Niederlanden pars pro toto untersucht werden. Die Auswahl genau dieser beiden Länder erfolgte willkürlich, einerseits in der Einsicht, nicht alle Länder untersuchen zu können, denn dies erfordert den Raum einer weiteren Arbeit, andererseits aber in der Einsicht, dass sich die betriebsverfassungsrecht-

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

95

Frankreich hatte mit bis dahin erst einmaliger Modifikation seit 1976501 bis zu den am 1. 1. 2020502 umgesetzten sozialpolitischen Reformen drei unterschiedliche betriebliche Arbeitnehmervertretungen: Das sog. comité d’entreprise, den Betriebsrat im engen Sinne, den sog. délégué du personnel, den Personalvertreter und das sog. comité d’hygiène, de sécurité et des conditions de travail (CHSCT), ein Gremium für Gesundheitsschutz und Sicherheit der Arbeitnehmer in größeren Betrieben.503 Um die Anzahl der Arbeitnehmervertreter in einem Betrieb zu reduzieren und die Arbeitsfähigkeit durch klare Verantwortlichkeitszuteilung zu sichern, fasste der französische Gesetzgeber diese drei Organe zum sog. comité social et économique des entreprises (CSE)504 zusammen.505 Bereits seit der ersten Änderung, der Anpassung an die DSRL 1995,506 definiert Art. 3 Loi n° 78–17 den Verantwortlichen als Person, Behörde, Einrichtung oder Stelle, die Zwecke und Mittel der Verarbeitung festlegt.507 Verantwortliche mussten Datenverarbeitungen seit 1995 der französischen Datenschutzaufsichtsbehörde CNIL melden,508 die Ausnahmen von der Meldepflicht durch sog. Dispense vorsah.509 Arbeitnehmervertretungen befreite sie zwar u. a. von der Meldepflicht.510 Die – wenn auch – dispensierbare, so doch grundsätzliche Meldepflicht zeigt, dass Arbeitnehmervertretungsorgane datenschutzrechtlich Verantwortliche sind. Die CNIL hat indes zur Schließung der durch die DSGVO entstandenen Lücke einen neuen Dispens erlassen.511 Das CSE treffen weiterhin alle Pflichten eines Verantwortlichen.512 Es unterliegt allen verwaltungsrechtlichen, strafrechtlichen und zivilrechtlichen Rechtsfolgen, die einen Verantwortlichen treffen, inklusive etwaiger Geldbußenverhängung.513 Auch der Arbeitgeber ist beteiligt: Soweit er dem CSE Daten in dem Wissen übermittelt, dass dieses Datenschutzstandards nicht einhält, ist er verantwortlich. Das französische Betriebsratsäquivalent CSE ist datenschutzrechtlich Verantwortlicher.514 lichen Systeme der beiden Länder gut mit dem deutschen Betriebsverfassungsrecht vergleichen lassen, Vergleiche hier also sinnvolle Einblicke versprechen. 501 Loi n° 78–17 v. 6. 1. 1978 relative à l’informatique, aux fichiers et aux libertés; s. zum historischen Prozess insgesamt Tambou, EDPL 2018, 88. 502 Fulton, National Industrial Relations, online. 503 Zu dieser historischen Gliederung s. Welter / Caron, in: Henssler / Braun (Hrsg.), Arbeitsrecht in Europa, S. 381 f., Rn. 216 ff.; auch: Hege / Dufour, IB 2009, 154 (156 ff.). 504 Fusion durch den Rechtsakt Ordonnance n° 2017–1386 du 22 septembre 2017 relative à la nouvelle organisation du dialogue social et économique dans l’entreprise et favorisant l’exercice et la valorisation des responsabilités syndicales v. 23. 9. 2017, JORF n°0223, texte n° 31. 505 Fulton, National Industrial Relations, online. 506 Modifié par Loi n° 2004–801 – art. 1 JORF v. 7. 8. 2004. 507 Art. 3 Abs. 1 Loi n° 78–17: „Le responsable d’un traitment […] est […] la personne, l’autorité publique, le service ou l’organisme qui determiné ses finalités et ses moyens.“ 508 Art. 23 I Loi n° 78–17 v. 6. 1. 1978. 509 Art. 24 II Loi n° 78–17 v. 6. 1. 1978. 510 Art. 2 Délibération n° 2006–230 v. 17. 10. 2006; vgl sog. Dispense DI-010 v. 17. 10. 2006. 511 CNIL, Dispense de Declaration v. 7. 1. 2021, online. 512 Adriansen, La protection des données s’impose au CSE v. 29. 8. 2018, online. 513 CSE Guide, La protection des données personnelles au CSE – attention!, online. 514 Adriansen, La protection des données s’impose au CSE v. 29. 8. 2018, online.

96

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

In den Niederlanden wird die Frage abweichend beantwortet: Bereits zum 1. 1. 2016 wurde das niederländische Datenschutzrecht erheblich geändert.515 Die Rolle des Betriebsrats in der DSGVO wurde bereits in diesem Gesetzgebungsprozess diskutiert.516 Der grundsätzlich zur Umsetzung datenschutzrechtlicher Regelungen verpflichtete Arbeitgeber517 müsse den mitverantwortlichen Betriebsrat zur Einhaltung der Datenschutzvorschriften immer mit einbeziehen.518 Hierbei ging es v. a. um betriebsrätliche Informations-, Initiativ- und Zustimmungsrechte.519 Unklar bleibt indes, wie weit die gemeinsame Verantwortlichkeit von Betriebsrat und Arbeitgeber reicht. Jedenfalls aber soweit Mitbestimmungsrechte tangiert sind, gilt in den Niederlanden: Betriebsrat und Arbeitgeber sind gemeinsam verantwortlich. Die Lösungsansätze zur datenschutzrechtlichen Stellung des Betriebsrats diver­ gieren: Eigene Verantwortlichkeit (Frankreich) steht gemeinsamer Verantwortlichkeit mit dem Arbeitgeber (Niederlande) gegenüber. Der in Deutschland von einem starken Meinungsstrang vertretene Lösungsansatz, der Betriebsrat sei der verantwortlichen Stelle Arbeitgeber zugeordnet, ist insoweit sogar der dritte (denkbare) Lösungsansatz. Die Mitgliedstaaten kennen keine übergreifend-einheitlichen Lösungswege. Über das Argument, mitgliedstaatliche Identitäten wahren zu müssen, lässt sich so auch keine spezifische Auslegung des Europarechts erzwingen. Vielmehr legen die unterschiedlichen Lösungen den mitgliedstaatlichen Einfluss auf die datenschutzrechtliche Einordnung des Betriebsrats offen.520 Auch mitgliedstaatliche Gesetzgeber können also – fernab mitgliedstaatskonformer Auslegung – über die datenschutzrechtliche Stellung des Betriebsrats im Rahmen von Öffnungsklauseln mitentscheiden. (2) Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats zwischen Grundverordnung und mitgliedstaatlichen Regelungen Die europäische Handlungsform gibt das Verhältnis von nationalem Recht und Europarecht vor. Die gewählte Handlungsformen hängt von den Gesetzgebungskompetenzen der EU ab (sog. Kompetenztitel).521 Kompetenzen und Ausgestaltung formen das jeweils fachspezifische Verhältnis zwischen mitgliedstaatlichem 515

Eskens, EDPL 2016, 224. S. nur Meyer-De Swaan / Vesters, Privacy and the works council I v. 26. 4. 2018, online; Meyer-De Swaan, Privacy and the works council II v. 17. 5. 2018, online. 517 Vesters / De Swaan, Tijdschrift voor Arbeid & Onderneming 2018, 65 (69 f.); Westhoeve, Tijdschrift voor Arbeid & Onderneming 2018, 177; Vesters / De Swaan, Tijdschrift voor Arbeid & Onderneming 2018, 180; Briejer, Tijdschrift voor Arbeid & Onderneming 2019, 26. 518 Schermerhorn / Blankestijn, ArbeidsRecht 2018, 15. 519 Schermerhorn / Blankestijn, ArbeidsRecht 2018, 15. 520 Kap. § 2 D. II. 1. b) ee) (3). 521 Zu den Kompetenztiteln nach Implementierung von Lissabon im Allgemeinen: Jürgens, Kompetenzabgrenzung zwischen EU und Mitgliedstaaten, S. 234 ff.; zu den Kompetenztiteln im europäischen Datenschutzrecht s. Middel, AuR 2018, 411 (417); Kap. § 2 D. II. 1. b) ee). 516

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

97

Recht und Europarecht. Regelungsziel jeder Handlungsform ist es, Vertragsziele bestmöglich zu verwirklichen.522 Die Regelungswirkungen der Handlungsformen unterscheiden sich erheblich. Während Verordnungen unmittelbar und ohne weiteren Umsetzungsakt gelten, müssen Richtlinien durch mitgliedstaatliche Regelung in nationales Recht umgesetzt werden (Art. 288 UAbs. 2 AEUV). Im Kern ist die Datenschutz-Grundverordnung Verordnung (Art. 1 Abs. 1 DSGVO). Sie normiert europäische Vorgaben, die auch die Stellung des Betriebsrats betreffen können, etwa die datenschutzrechtliche Verantwortlichkeit. Diese europarechtlichen Fragestellungen sind frei von mitgliedstaatlichen Modifikationsmöglichkeiten.523 Europarechtskonforme Auslegung beeinflusst das mitgliedstaatliche Recht.524 Die Auslegung ranghöheren Rechts durch rangniedrigeres Recht ist hingegen andersherum methodisch in der Regel unzulässig.525 Im Einzelfall beeinflussen aber auch mitgliedstaatliche Ansichten die datenschutzrechtliche Stellung des Betriebsrats. Eine extreme Perspektive erleichtert den Blick auf das Verhältnis von DSGVO und nationalem Recht: Wäre die DSGVO gewöhnliche Verordnung, so würde sie das Datenschutzrecht abschließend und unmittelbar regeln. Für nationale Regelungen verbliebe kein Raum. Die DSGVO regelt das Datenschutzrecht allerdings nicht abschließend. Denn ohne fundamentale Einwände wurde 2018 mitsamt DSGVO auch das deutsche BDSG novelliert, welches ebenfalls datenschutzrechtliche Regelungen trifft. Die DSGVO ist weder gewöhnliche Verordnung noch Richtlinie.526 Da der Begriff Grundverordnung nicht in Art. 288 UAbs. 2 AEUV aufgeführt ist, ist sie insgesamt keine klassische europäische Handlungsform. Als Grundverordnung ist sie als „Handlungsformenhybrid“527 oder „Mischwesen“528 bezeichnet worden. Ihre Regelungswirkungen sind Mischung aus Verordnung und Richtlinie. Sie ist zwar dem Grunde nach Verordnung,529 weil sie den Anspruch der Vollharmonisierung hat und unmittelbare Rechtswirkungen entfaltet. Ohne umsetzende mitgliedstaatliche Regelungen ist sie allerdings im Einzelfall kaum sinnvoll anwendbar, weil mitgliedstaatliches und europäisches Recht ineinandergreifen. Dennoch wird – fast dialektisch – darauf verwiesen, dass teils abschließende DSGVO-Regelungen im Einzelfall keinen Anwendungsbereich für nationales Recht ließen.530 522

Zum effet utile s. Kap. § 2 D. II. 1. d). Ausf. Kap. § 3. 524 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 185 mit der Einschränkung der sog. sekundärrechtskonformen Auslegung im Einzelfall, s. dazu S. 195 ff. 525 Vgl. rechtsmethodisch etwa Lepsius, JuS 2018, 950 (951). 526 Mit Ablösung der DSRL wollte der europäische Gesetzgeber das Datenschutzrecht über das bisherige Maß hinausgehend vereinheitlichen und nutzte deshalb die Handlungsform der Grundverordnung (s. nur Albrecht, CR 2016, 88 (96)). 527 Wohl erstmalig Albrecht / Janson, CR 2016, 500 (501) und Kühling / Martini, EuZW 2016, 448 (449). 528 Vedder, in: ders. / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 288 AEUV, Rn. 18. 529 Zur Geschichte der Reform hin zu Grundverordnung s. Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 40 ff.; s. auch Roßnagel, in: ders. (Hrsg.), Europäische DSGVO, S. 49; Müller, Öffnungsklauseln der DSGVO, 2018, S. 254. 530 So etwa Staben, ZFA 2020, 287. 523

98

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Die DSGVO selbst gibt das Verhältnis von europäischem und nationalem Recht vor. Die Grundverordnung harmonisiert in weiten Teilbereichen, lässt im Rahmen sog. Öffnungsklauseln allerdings Regelungsmöglichkeiten für mitgliedstaatliche Gesetzgeber offen.531 Öffnungsklauseln waren auch bereits zuvor vereinzelt in Verordnungen bekannt.532 Die DSGVO nutzt sie jedoch umfassend: In der DSGVO gibt es über 70 Öffnungsklauseln.533 Sie transportieren den Hybridcharakter: Die Grundverordnung ist „immerhin“ dem Grunde nach Verordnung und regelt ohne weiteren Umsetzungsakt unmittelbar in den Mitgliedstaaten. Sie ist aber zugleich „lediglich“ dem Grunde nach Verordnung, da sie in Teilen konkretisierungsbedürftig ist oder jedenfalls mitgliedstaatlichen Konkretisierungen Raum lässt. Das Datenschutzrecht ist Querschnittmaterie,534 deren Regelungen sich weitreichend auf andere Rechtsgebiete auswirken. Die DSGVO ermöglicht mit den Öffnungsklauseln auch den Erlass von Regelungen in Regelungsbereichen, für die die EU eigentlich keine Regelungsermächtigung hat. Mitgliedstaaten können im Rahmen der Öffnungsklauseln die Rechtsmaterie an nationale Gepflogenheiten anpassen. Die EU hat etwa im Arbeitsrecht allenfalls beschränkte Regelungsmöglichkeiten mittels Richtlinie.535 Die DSGVO greift jedoch im Einzelfall auf das Arbeitsrecht über. Mitgliedstaatliche Gesetzgeber erlangen korrespondierend zu den Übergriffen der DSGVO weitreichende Regelungsbefugnisse. Dies betrifft u. a. das Arbeitsrecht als Ausläufer der Querschnittsmaterie Datenschutzrecht, das ansonsten die DSGVO – möglicherweise als Annexkompetenz – an den europäischen Gesetzgeber gezogen hätte.536 Anders formuliert konturieren die Öffnungsklauseln die Ränder der DSGVO: Dort wo Öffnungsklauseln sind, endet häufig die Regelungskompetenz der EU. Die DSGVO hat hier richtlinienähnlichen Charak­ ter.537 Und dennoch rahmt die DSGVO mit ihren tatbestandlichen Voraussetzungen die mitgliedstaatlichen Regelungen. Die intendierte Harmonisierung durch die DSGVO im Datenschutzrecht wird aufrechterhalten.538 Wo ein Rand ist, da ist auch ein Kern: In diesem Kern trifft die DSGVO abschließende Regelungen. In Kollisionsfällen verdrängen die abschließenden Regelungen mitgliedstaatliche Regelungen. Mitgliedstaatliches Recht prägt aber im Rahmen der Öffnungsklauseln europarechtliche Fragestellungen. Die Rechtsformenwahl Grundverordnung lässt keine Rückschlüsse darauf zu, ob der Betriebsrat datenschutzrechtlich verantwortlich ist (Art. 4 Nr. 7 1. Hs. DSGVO). Die Grundverordnung konturiert aber, inwieweit mitgliedstaatliche 531

Müller, Öffnungsklauseln der DSGVO, S. 254. Müller, Öffnungsklauseln der DSGVO, S. 49 ff. 533 Lauber-Rönsberg, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 4, Rn. 10 ff. 534 Zu dem Begriff Spiecker, in: Simitis / Hornung / dies. (Hrsg.), DSGVO, Einl., Rn. 159 m. w. N.; für Arbeitsrecht und Datenschutzrecht konkreter: Körner, NZA 2016, 1383. 535 S. zu Art. 153 AEUV Kap. § 2 D. II. 1. b) cc). 536 Als Öffnungsklausel für das Arbeitsrecht s. etwa Art. 88 DSGVO. 537 S. zu der Terminologie etwa Kühling / Martini, EuZW 2016, 448 (449). 538 Müller, Öffnungsklauseln der DSGVO, S. 254 f. 532

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 

99

Normen und Auslegungskriterien Einfluss auf die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats nehmen könnten: Nämlich durch im Rahmen von Öffnungsklauseln erlassene Regelungen. Die Frage, ob der Betriebsrat datenschutzrechtlich Verantwortlicher ist, ist also keinesfalls eine originär europarechtliche Fragestellung  – anders als die Frage, ob der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO ist. Die umfassende Auslegung muss im Rahmen der Öffnungsklauseln einen Spagat überwinden: Einerseits sehen europarechtliche Öffnungsklauseln mitgliedstaatliche Regelungen auch im Bereich grundlegender Begriffe wie z. B. dem Verantwortlichkeitsbegriff vor (Art. 4 Nr. 7 2. Hs. DSGVO). Andererseits muss aber in diesen grundlegend-definitorischen Bereichen die Reichweite mitgliedstaatlicher Kompetenzen genau untersucht werden. Klar ist jedenfalls: Mitgliedstaatliche Gesetzgeber dürfen das europarechtlich vorgeschriebene Datenschutzniveau nicht behindern, etwa indem sie jede Verantwortlichkeit negieren.539 Das Verhältnis von Grundverordnung und mitgliedstaatlichen Regelungen lässt sich mit der Metapher von Rahmen und Bild beschreiben. Die DSGVO ist der Rahmen, das nationale Recht füllt diesen Rahmen bildlich aus. Allein der Rahmen oder allein das Bild entfalten keine volle Wirkung. Der Rahmen der Öffnungsklausel konturiert das Bild. Mit dem Regelungserlass im Rahmen der Öffnungsklausel füllt das Bild den Rahmen aus. Nicht die Größe des Bildes entscheidet hier über die Wahl des Rahmens. Vielmehr muss das Bild sich dem Rahmen anpassen. Denn die ranghöhere rahmt die rangniedere Normebene. (3) Ausfüllung des europarechtlichen Rahmens: Mitgliedstaatliche Regelungen im Rahmen von Öffnungsklauseln Der deutsche Gesetzgeber hat bis dato keine eindeutige Regelung zur datenschutzrechtlichen Stellung des Betriebsrats erlassen.540 Der Gesetzgeber hat beschäftigtendatenschutzrechtliche Regelungen allerdings zuletzt wieder in den Fokus gerückt: Zunächst setze das Bundesministerium für Arbeit und Soziales Mitte 2020 einen Expertenbeirat ein, der den Erlass eines Beschäftigtendatenschutzgesetzes prüfen soll.541 Auch wenn der Expertenbeirat – den Zeitplan überschreitend – bisher keine Empfehlungen veröffentlicht hat,542 veröffentlichte das Bundesministerium für Arbeit und Soziales dann Ende 2020 einen Referentenentwurf, der unter dem sperrigen Terminus Entwurf für ein Betriebsrätestärkungsgesetz in § 79a BetrVG-E u. a. die datenschutzrechtliche Stellung des Betriebsrats regelt.

539 So i.Erg. wohl auch Eßer, in: ders. / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / ​ BDSG, Art. 4, Rn. 79. 540 Stand: 15. 4. 2021; s. aber Kap. § 5. 541 Redaktion BeckAktuell, Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf v. 16. 6. 2020. 542 Stand: 15. 4. 2021.

100

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Hierbei blieben vielfältige Regelungsfolgen außer Betracht.543 Die politischen Verhandlungen stagnieren derzeit bzw. dauern fort. Das Bundeskabinett hat sich mit dem Entwurf bisher nicht beschäftigt.544 Ob und inwieweit der deutsche Gesetzgeber also eine Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats avisiert, ist bisher unklar und wird sich wohl im Laufe des Jahres 2021 herausstellen. Sollte der Beirat eine Empfehlung für die Regelung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats aussprechen oder der Gesetzgeber eine Regelung erlassen, so müsste sich diese auf eine Öffnungsklausel stützen.545 Die potenzielle mitgliedstaatliche Regelung müsste aber überhaupt einer Öffnungsklausel unterfallen. Mitgliedstaatliche Regelungen über die datenschutzrechtliche Verantwortlichkeit des Betriebsrats könnten im Rahmen von Art. 88 DSGVO (a) und Art. 4 Nr. 7 2. Hs. DSGVO (b) erlassen werden. Insbesondere die Anforderungen an Regelungen zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO müssen näher beleuchtet werden (c), ehe die Regelungsmöglichkeiten des deutschen Gesetzgebers untersucht werden (d). (a) Art. 88 DSGVO als potenzielle Öffnungsklausel? Teils wird Art. 88 DSGVO als Ausgangspunkt für eine mitgliedstaatliche Regelung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats diskutiert.546 Denn Art. 88 Abs. 1 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, u. a. Rechtsvorschriften547 zum Schutz der Rechte und Freiheiten bei der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu erlassen. Insbesondere können die Einstellung, Vertragsabwicklung, das Management, die Planung und Arbeitsorganisation, Gleichstellung, Gesundheit und Sicherheit am Arbeitsplatz, der Eigentumsschutz des Arbeitgebers und die individuellen sowie kollektiven Rechte und die Beendigung des Arbeitsverhältnisses geregelt werden. Da der Betriebsrat von der Einstellung bis hin zur Vertragsabwicklung und Beobachtung der Gesundheits- und Sicherheitsregelungen am Arbeitsplatz als Organ zur Ausübung kollektiver Rechte mitwirkt, ist er faktisch im Rahmen seiner im BetrVG normierten Aufgaben in alle Teilbereiche eines Arbeitsverhältnisses involviert. Auf den ersten Blick spricht dies dafür, dass mitgliedstaatliche Gesetzgeber Regelungen zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats auf 543

Zumkeller, BB 2021, I und Möhle, ZD-Aktuell 2021, 05067. Stand: 15. 4. 2021; s. aber Kap. § 5. 545 Zur Öffnungsklausel von § 79a BetrVG-E s. Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24. 546 So etwa Heuschmid, SR 2019, 1 (9); daneben auch die Ansicht von Lücke, NZA 2019, 658 (660); Wybitul, NZA, 2017, 1488 (1490) und auch noch Brams / Möhle, ZD 2018, 570 (573), die jeweils die einschlägige Öffnungsklausel ohne weitere Begründung in Art. 88 DSGVO verorten. 547 S. hierzu bereits früh etwa Roßnagel, DuD 2017, 277; Kort, ZD 2017, 319. 544

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  101

Basis von Art. 88 DSGVO treffen können. Allerdings ist Art. 88 Abs. 1 DSGVO zweckgebunden: Regelungen zu personenbezogenen Beschäftigtendaten dürfen für spezifische Zwecke durch Rechtsvorschriften getroffen werden. Der Erlass einer umfassenden Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats hängt jedoch davon ab, ob Regelungen zum Betriebsrat dem Merkmal „Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden […] kollektiven Rechte und Leistungen“ unterfallen.548 Der Betriebsrat ist unstreitig Kollegialorgan, soweit er nicht nur aus einer Person besteht.549 Allerdings vertritt er in erster Linie Belegschaftsinteressen. Hierbei übt er auch kollektive Rechte aus, etwa Mitbestimmungs- oder Beteiligungsrechte. Mitgliedstaatliche Gesetzgeber regeln auf Basis von Art. 88 DSGVO die Inanspruchnahme kollektiver Rechte ergänzend. Unklar ist, ob hierunter auch Regelungen zur Stellung des Betriebsrats in der Verantwortlichkeitsarchitektur fallen. Ausweislich der Erwägungsgründe dürfen im Rahmen von Art. 88 DSGVO u. a. spezifischere Vorschriften in Betriebsvereinbarungen getroffen werden.550 Art. 88 Abs. 1 DSGVO „kennt“ also den Betriebsrat. Die Norm adressiert ihn allerdings als Regelnden und nicht als Regelungsobjekt. Denn Inhalt von Betriebsvereinbarungen zwischen Betriebsrat und Arbeitgeber können etwa Regelungen zur Einstellung, Vertragsabwicklung, Planung und Arbeitsorganisation, Gleichstellung, Gesundheit und Sicherheit am Arbeitsplatz, zum Management, Eigentumsschutz des Arbeitgebers, zu individuellen und kollektiven Rechten und zur Beendigung des Arbeitsverhältnisses sein. Der Normwortlaut ermöglicht jedoch nicht unmittelbar, die datenschutzrechtliche Stellung des Betriebsrats selbst zu regeln. Im Einzelfall können Erlaubnisnormen also auch für betriebsrätliche Datenverarbeitungen geschaffen werden. Primärer Zweck von Art. 88 DSGVO ist jedoch, Regelungen mit dem Betriebsrat zu treffen und nicht Regelungen über den Betriebsrat. Die Diskussionen um Art. 88 DSGVO zeigen, dass das Verhältnis von Art. 88 DSGVO und Art. 4 Nr. 7 2. Hs. DSGVO in der bisherigen Diskussion wenig berücksichtigt ist. Bei Art. 88 DSGVO wird v. a. diskutiert, ob dessen Tatbestandsmerkmale restriktiv551 oder weit552 ausgelegt werden müssen und in welchem Verhältnis Art. 88 DSGVO und Art. 6 DSGVO stehen bzw. welche Norm Spezifizierungen der Beschäftigtendatenverarbeitung regelt.553 Dieser Streit kann auch auf das Verhältnis von Art. 4 Nr. 7 2. Hs. DSGVO und Art. 88 DSGVO übertragen werden. Denn auch hier geht es um Spezifizierungen der Beschäftigtendatenver 548

Diese Frage aufwerfend auch Morasch, Datenverarbeitung im Beschäftigungskontext, S. 59 ff. 549 Auch zu dieser Differenzierung vgl. Thüsing, in: Richardi (Hrsg.), BetrVG, § 9, Rn. 25 f. 550 DSGVO-EG 155. 551 Maschmann, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 88, Rn. 15. 552 Johannes, in: Roßnagel (Hrsg.), DSGVO, S. 233; Körner, NZA 2019, 1389. 553 Seifert, in: Simits / Hornung / Spiecker (Hrsg.), DSGVO, Art. 88, Rn. 209 ff.; Pötters, in: Gola (Hrsg.), DSGVO, Art. 88, Rn. 38 ff. (40); früh bereits hierzu Maier, DuD 2017, 169 ff. und Roßnagel, DuD 2017, 290 (292).

102

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

arbeitung. Art. 6 DSGVO ist spezieller als der allgemeinere Art. 88 DSGVO, dessen Anwendungsbereich aber nicht vollständig verdrängt wird.554 Art. 88 DSGVO ist also jedenfalls nicht deshalb die richtige Öffnungsklausel für mitgliedstaatliche Regelungen zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats, weil es hier um Beschäftigtendatenschutz im weiteren Sinne geht.555 Denn Art. 88 DSGVO ermöglicht als Öffnungsklausel den Erlass konkretisierender556 und präzisierender Regelungen zur Beschäftigtendatenverarbeitung, wie etwa § 26 Abs. 6, 1 BDSG in Deutschland.557 Ob der Betriebsrat datenschutzrechtlich Verantwortlicher ist, beeinflusst zwar mittelbar auch die Zulässigkeit der Verarbeitung von Beschäftigtendaten. Denn ist der Betriebsrat nicht selbst Verantwortlicher, sondern Teil des verantwortlichen Arbeitgebers, so wäre zumindest kein Erlaubnistatbestand für die Übermittlung personenbezogener Daten zwischen Arbeitgeber und Betriebsrat im Sinne von § 26 Abs. 1, 6 BDSG nötig. Jedoch ist diese Entscheidung mög­lichen Regelungen im Rahmen von Art. 88 DSGVO vorgelagert. Erst wenn feststeht, welche Verantwortlichen Daten im Beschäftigungskontext verarbeiten, kann auch festgestellt werden, inwieweit die Datenverarbeitung durch Normen mitgliedstaatlicher Gesetzgeber ergänzt werden kann. Insoweit Art. 4 Nr. 7 2. Hs. DSGVO hier Regelungen trifft, gehen diese etwaigen nachgelagerten, im Rahmen von Art. 88 DSGVO erlassenen Regelungen als lex specialis vor.558 (b) Art. 4 Nr. 7 2. Hs. DSGVO als potenzielle Öffnungsklausel Soweit Zwecke und Mittel der Datenverarbeitung durch Unionsrecht oder mitgliedstaatliches Recht vorgegeben sind, erlaubt es Art. 4 Nr. 7 2. Hs. DSGVO, die Verantwortlichen bzw. Verantwortlichkeitsbenennungskriterien im Unionsrecht oder im mitgliedstaatlichen Recht zu normieren.559 Dann müssten Zwecke und Mittel der Datenverarbeitung gesetzlich vorgegeben sein. Diese Zweck- und Mittelvorgabe verlangen Art. 4 Nr. 7 2. Hs. DSGVO und Art. 4 Nr. 7 1. Hs. DSGVO.560 Die Annahme, betriebsrätliche Zwecke und Mittel der Datenverarbeitung seien

554

Morasch, Datenverarbeitung im Beschäftigungskontext, S. 115 ff. So aber Lücke, NZA 2019, 658 (660); und auch noch Brams / Möhle, ZD 2018, 570 (574); s. auch etwa Morasch, Datenverarbeitung im Beschäftigungskontext, S. 115; Pötters, in: Gola (Hrsg.), DSGVO, Art. 88, Rn. 38 (40); Selk, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 88, Rn. 188 (197); Ströbel / Wybitul, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 10, S. 298 f. 556 Morasch, Datenverarbeitung im Beschäftigungskontext, S. 195. 557 Hierzu im Verhältnis von § 26 BDSG zur alten Regelung des § 32 BDSG-alt etwa Gola / T hüsing / Schmidt, DuD 2017, 244. 558 Hiervon geht wohl auch der Regierungsentwurf der Bundesregierung v. 31. 3. 2021 aus (Betriebsrätemodernisierungsgesetz), S. 24. 559 Der deutsche Gesetzgeber hat indes erste Verantwortlichkeiten unter Berufung auf Art. 4 Nr. 7 2. Hs. DSGVO direkt geregelt, etwa in § 307 Abs. 1 PDSG (Patientendaten-Schutz-Gesetz, s. BT-Drs. 19/18793, S. 100). 560 Zu Zweck- und Mittelvorgaben bereits Kap. § 2 D. II. 1. a) cc). 555

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  103

im BetrVG vorgegeben, dominiert die Diskussion.561 Der Betriebsrat wäre dann mangels eigenständiger, da gesetzlich vorgegebener Entscheidung über Zwecke und Mittel der Datenverarbeitung, kein Verantwortlicher gem. Art. 4 Nr. 7 1. Hs. DSGVO. Weil aufgrund der gesetzlichen Vorgabe auch kein anderer Verantwortlicher in Frage käme, wäre der Gesetzgeber selbst verantwortlich bzw. müsste zur Regelung der Verantwortlichkeit tätig werden.562 Die Möglichkeit zum gesetzgeberischen Regelungserlass eröffnet nun Art. 4 Nr. 7 2. Hs. DSGVO. Diese bestechend logische Lesart übersieht allerdings einen wesentlichen Aspekt: Was passiert, wenn der Gesetzgeber zwar regeln könnte, aber nicht regelt? Gäbe es dann keinen Verantwortlichen? Es deutet vieles darauf hin, dass sich die „Zwecke und Mittel der Datenverarbeitung“ im Hs. 1 und im Hs. 2 bedingen: Wo Vorgabe, da keine Entscheidung. Eine abstrakte gesetzliche Vorgabe verhindert die Entscheidung eines Verantwortlichen im Einzelfall jedoch nicht, wie bereits die Aufnahme von Behörden in Art. 4 Nr. 7 1. Hs. DSGVO zeigt, bei denen Verarbeitungszwecke immer gesetzlich vorgegeben sind.563 Denn ansonsten wäre die Regelungseffektivität selbst in Frage gestellt. Gesetzliche Rahmung von Verarbeitungszwecken und -mitteln schließt die Verantwortlichkeit qua Entscheidung im Einzelfall nicht aus. Abstrakte Gesetzesvorgaben unterscheiden sich von der konkreten Einzelfallentscheidung.564 Art. 4 Nr. 7 2. Hs. DSGVO565 ist also keine gesetzgeberische Regelungsverpflichtung, sondern vielmehr gesetzgeberische Regelungsoption. Und dies gibt das Verhältnis zu Art. 88 DSGVO vor: Art. 4 Nr. 7 2. Hs. DSGVO beeinflusst durch die Entscheidung darüber, ob neben dem Arbeitgeber auch der Betriebsrat datenschutzrechtlich Verantwortlicher ist, mittelbar auch die Zulässigkeit von Beschäftigtendatenverarbeitungen. Diese Beeinflussung ist aber vorgelagert und dem Anwendungsbereich von Art. 88 DSGVO entzogen. Der speziellere Art. 4 Nr. 7 2. Hs. DSGVO geht Art. 88 DSGVO vor.566 Hiervon geht indes auch der deutsche Gesetzgeber aus.567 Mit Feststellung der grundsätzlichen Anwendbarkeit ist allerdings noch nicht festgestellt, ob Art. 4 Nr. 7 2. Hs. DSGVO geeignete Öffnungsklausel zur Normierung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats ist.568 Denn die Öffnungsklausel in Art. 4 Nr. 7 2. Hs. DSGVO ist systematisch besonders: Art. 4 DSGVO regelt grundlegende Begriffsbestimmungen. Grundlegende Be 561

S. etwa Kranig / Wybitul, ZD 2019, 1 (1); Althoff, ArbRAktuell 2019, 414 (416); Middel, AuR 2018, 411 (417); Bonanni / Niklas, ArbRB 2018, 371 (373 f.); Heuschmid, SR 2019, 1 (8); Lücke, NZA 2019, 658 (661); kritisch zu dieser vereinfachten Annahme bereits Staben, ZFA 2020, 287 (293). 562 S. Kap. § 2 D. II. 1. b) ee) (3). 563 Kap. § 2 D. II. 1. b) aa) (1). 564 Kap. § 2 D. II. 1. b) aa) (1). 565 Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 24. 566 So i.Erg. auch Staben, ZFA 2020, 287 (309). 567 Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24; s. auch Kap. § 5. 568 Diese Fragestellung thematisiert der Regierungsentwurf hingegen nicht.

104

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

griffe sollen grundsätzlich mitgliedstaatsübergreifend einheitlich verwendet werden, damit datenschutzrechtliche Vorschriften wirklich vereinheitlicht werden. Jeweils eigene mitgliedstaatliche Regelungen in Auslegung von Art. 4 Nr. 7 2. Hs. DSGVO schafften jedoch gerade rechtlichen Pluralismus. In dieser Folge ist umstritten, ob die datenschutzrechtliche Verantwortlichkeit des Betriebsrats von den Mitgliedstaaten überhaupt im Rahmen der Öffnungsklausel in Art. 4 Nr. 7 2. Hs. DSGVO geregelt werden darf. Teilweise wird dies mit dem Argument bestritten, mitgliedstaatliche Regelungen in derartigen Kernbereichen würden dem Charakter der einheitlich regelnden Grundverordnung widersprechen und es sei bereits tatbestandlich keine Regelung auf Basis von Art. 4 Nr. 7 2. Hs. DSGVO möglich, weil die Öffnungsklausel sich allein auf öffentliche Stellen beziehe.569 Allerdings beschränkt – bei aller Berechtigung der Mahnung zur Vorsicht bei der Auslegung von Schlüsselbegriffen  – der Wortlaut die Anwendung von Art. 4 Nr. 7 2. Hs. DSGVO nicht auf öffentliche Stellen. Und Art. 4 Nr. 7 2. Hs. DSGVO selbst ermöglicht gerade die Modifikation des Verantwortlichkeitsbegriffs durch mitgliedstaatliche Regelungen. Es kann somit nicht eingewandt werden, die Modifikation sei deshalb unzulässig, weil Verantwortlichkeit Schlüsselbegriff sei. Dürfte der Verantwortlichkeitsbegriff, weil er Schlüsselbegriff ist, nicht modifiziert werden, so hätte Art. 4 Nr. 7 2. Hs. DSGVO keinen Anwendungsbereich. Der DSGVO-Gesetzgeber hätte selbst DSGVO-widriges Recht in der DSGVO normiert. Es gibt kein generelles Modifikationsverbot für den Verantwortlichkeitsbegriff. Vielmehr ist bei der Überprüfung, ob abweichende Regelungen mit Bezug zu Art. 4 Nr. 7 2. Hs. DSGVO erlassen werden dürften, einerseits Vorsicht geboten. Andererseits muss die konkrete Ausgestaltung einer mitgliedstaatlichen Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats und deren Rechtsfolgen sorgfältig überdacht werden.570 Zur Regelungsbefugnis des deutschen Gesetzgebers müssten betriebsrätliche Zwecke und Mittel der Datenverarbeitung im deutschen Recht vorgegeben sein. Die Behauptung, das BetrVG normiere Verarbeitungszwecke und Verarbeitungsmittel, genügt jedenfalls nicht zum Nachweis der Vorgabe. Verarbeitungszwecke sind das „Warum“ der Verarbeitung, das erwartete „Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“.571 Verarbeitungsmittel sind hingegen das „Wie“ der Verarbeitung, d. h. die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“.572 Vorgabe bedeutet gesetzliche Festlegung.573 569 Staben, ZFA 2020, 287 (310); zumindest für eine enge Auslegung von Art. 4 Nr. 7 2. Hs. DSGVO auch Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 14. 570 Beim Referentenentwurf sind insbesondere die Rechtsfolgen nicht mitberücksichtigt worden, vgl. Zumkeller, BB 2021, I; Möhle, ZD-Aktuell 2021, 05067. 571 S. ausf. § 2 D. II. 1. a) cc); Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 16. 572 S. ausf. § 2 D. II. 1. a) cc); Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 16. 573 S. bereits für das zuvor geltende BDSG: Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 23.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  105

Gesetze weisen öffentlichen Stellen häufig sehr weitreichend Aufgaben und damit potenziell Verarbeitungszwecke und -mittel zu.574 Im Sinne der Subordinationstheorie ist der Betriebsrat jedoch keine öffentliche Stelle. Das BetrVG könnte aber Verarbeitungszwecke und -mittel des Betriebsrats im Sinne von Art. 4 Nr. 7 2. Hs. DSGVO normieren. Die Weite der erforderlichen gesetzlichen Zweck- und Mittelvorgabe ist allerdings unklar: Genügen vereinzelte Zweck- und Mittelvorgaben, um die betriebsrätliche Verantwortlichkeit vollumfänglich zu normieren? Oder ist Verantwortlichkeit situativ, d. h. ist Verantwortlichkeit nur im Falle gesetzlicher Zweck- und Mittelvorgaben gem. Art. 4 Nr. 7 2. Hs. DSGVO gesetzlich zu normieren und in sonstigen Fällen nicht?575 Ist also dieselbe Entität möglicherweise mal Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO und mal im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO mitgliedstaatlich nicht verantwortlich? Die im BetrVG normierten, betriebsrätlichen Mitbestimmungsrechte könnten Verarbeitungszwecke sein: Ob er personenbezogene Daten verarbeitet, hängt nämlich oftmals von Mitbestimmungsrechten ab. V.a. bei Ausübung seiner Rechte in §§ 87, 90, 92, 94, 95 BetrVG verarbeitet der Betriebsrat personenbezogene Belegschaftsmitgliederdaten.576 Kopien und Archivierung von Arbeitnehmerstammdaten577 oder Auswertung von Urlaubslisten oder Mitarbeiterbefragungen in Vorbereitung auf Verhandlungen mit dem Arbeitgeber578 setzen Datenverarbeitungen voraus. Betriebsräte sind gem. § 80 BetrVG verpflichtet, Anregungen von Arbeitnehmern entgegenzunehmen (Abs. 1 Nr. 3), sie fördern die Eingliederung schwerbehinderter Menschen (Abs. 1 Nr. 4), begleiten die Beschäftigung älterer Arbeitnehmer (Abs. 1 Nr. 5) oder helfen bei der Integration ausländischer Arbeitnehmer im Betrieb (Abs. 1 Nr. 6). Sie können bei der Einsicht in die Personalakten von Arbeitnehmern beim Arbeitgeber mit zu Rate gezogen werden (§ 83 BetrVG). § 87 BetrVG enthält weitreichende Mitbestimmungsrechte im Betrieb, etwa bei vom Arbeitgeber vorgesehener Arbeitnehmerüberwachung durch technische Einrichtungen (Abs. 1 Nr. 6). Der Betriebsrat hat Beratungsrechte zu Auswirkungen von Arbeitgebermaßnahmen auf die Arbeitnehmer (§ 90 Abs. 2 BetrVG). Er bestimmt bei Veränderungen der Arbeitsplätze, des Arbeitsablaufs oder der Arbeitsumgebung (§ 91 BetrVG), bei der Personalplanung (§ 92 BetrVG), bei Beschäftigungssicherung (§ 92a BetrVG) und bei der Ausschreibung von Arbeitsplätzen (§ 93 BetrVG) mit. Kennt der Betriebsrat bei der Ausübung all dieser Rechte einzelne personenbezogene Arbeitnehmereigenheiten wie möglicherweise Alter, Geschlecht oder im Einzelfall auch Behinderung oder Abstammung nicht, so kann er nicht effektiv mitbestimmen. Dies gilt auch bei personellen Einzelmaßnahmen (§ 99 Abs. 1 BetrVG)579 574

Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 14. So wohl EDPB, Guideline 07/2020, Rn. 12, unter dem Schlagwort „functional concept“. 576 Raif, in: Kramer (Hrsg.), IT-Arbeitsrecht, C.I, Rn. 1 ff. 577 Kiesche / Willke, CuA 2012, 18 (22). 578 Kurzböck / Weinbeck, BB 2018, 1652. 579 Hierzu Wedde, CuA 2019, 8 (10), der zunächst ganz grundlegend feststellt, dass Betriebsräte für ihre Arbeit in der Regel personenbezogene Informationen benötigen und dann exemplarisch auf § 99 BetrVG verweist. 575

106

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

und bei vorläufigen Maßnahmen wie etwa Einstellungen, Eingruppierungen, Umgruppierungen und Versetzungen (§ 100 Abs. 1 BetrVG). Hierbei muss der Arbeitgeber dem Betriebsrat sogar die jeweiligen Bewerbungsunterlagen offenlegen. Auch bei der häufig mit Kündigungen einhergehenden Sozialauswahl benötigt der Betriebsrat vielfältige personenbezogene Informationen, hier sogar etwa den Familienstand bzw. Daten über Kinder, besonders sensible Daten wie Sozial- und Gesundheitsdaten, etwa Informationen über Behinderungen und bei Diskriminierungsverdacht auch Informationen zu Migrationshintergrund etc. (§ 102 BetrVG). Dies gilt etwa auch bei der Entfernung betriebsstörender Arbeitnehmer (§ 104 BetrVG) und bei der Beilegung von Meinungsverschiedenheiten (§ 109 BetrVG). Der Betriebsrat muss, insoweit er seine im BetrVG normierten Aufgaben effektiv wahrnehmen will, vielfältige und teils sensible personenbezogene Daten verarbeiten. Das BetrVG schreibt zwar nicht vor, dass der Betriebsrat Daten verarbeiten muss, es schreibt aber Zwecke vor, zu denen Daten verarbeitet werden können.580 Und will der Betriebsrat diese Zwecke effektiv ausüben, so muss er dazu personenbezogene Daten verarbeiten. Auch Verarbeitungsmittel sind ansatzweise in §§ 40, 41 BetrVG normiert. § 40 Abs. 2 BetrVG normiert etwa die Kostentragungspflicht des Arbeitgebers für die Verarbeitungsinfrastruktur und listet diese Infrastruktur sogar in Teilen auf: In erforderlichem Umfang muss der Arbeitgeber Kosten für Räume, Sachmittel, Kommunikations- und Informationstechnologie und Büropersonal tragen. § 41 BetrVG verschärft die Kostentragungspflicht durch ein Umlageverbot in der Belegschaft: Für ihre Leistungen dürfen Betriebsräte keine, auch keine freiwilligen581 Belegschaftsbeiträge erheben. Reichen diese Ansätze allerdings, um von einer gesetzlichen Mittelvorgabe bei Datenverarbeitung zu sprechen? Die neuerlich vorgeschlagene Guideline des Datenschutzausschusses verlangt hierfür „essential means“, d. h. Vorgaben, wie etwa welche Daten verarbeitet werden sollen, wie lange diese verarbeitet werden sollen, wer Zugang zu den Daten haben soll und / oder welche Kategorien von Daten welcher Personen verarbeitet werden sollen. Nicht hingegen reichten „non-essential means“, etwa Vorgaben zur verwendeten Hard- oder Software.582 Das BetrVG enthält allerdings keine konkretisierten Hinweise. Vielmehr führt es allenfalls vereinzelte, abstrakte Ansatzpunkte auf. Noch vor DSGVO-Implementierung nahm bereits das BAG an, das BetrVG normiere Verarbeitungszwecke und -mittel.583 Ob diese Normierung allerdings ausreicht, um von einer Vorgabe im Sinne von Art. 4 Nr. 7 2. Hs. DSGVO zu sprechen, ist – nicht nur aufgrund allenfalls sehr oberflächlich aufgeführter Verarbeitungs-

580 Jedoch sind diese nicht nur im BetrVG aufgelistet, auch das Sozialrecht kennt Verarbeitungstatbestände, s. etwa § 176 SGB IX. 581 S. etwa nur Thüsing, in: Richardi (Hrsg.), BetrVG, § 41, Rn. 2; Wedde, in: Däubler / ​ Klebe / Wedde (Hrsg.), BetrVG, § 41, Rn. 2; Wollmerath, in: Düwell (Hrsg.), BetrVG, § 41, Rn. 4. 582 EDPB, Guideline 07/2020, Rn. 38. 583 So in der Tendenz BAG, Urt. v. 18. 7. 2012 – Az. 7 ABR 23/11, Rn. 19, 29, 31.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  107

mittel – indes ausführungsbedürftiger, als es einige Autoren annehmen584 und wohl auch als es der Regierungsentwurf annimmt.585 Die Fragestellung wiederum beeinflusst die mitgliedstaatlichen Möglichkeiten in Art. 4 Nr. 7 2. Hs. DSGVO und somit die sehr relevante Folgefrage, ob der deutsche Gesetzgeber die betriebsrätliche Verantwortlichkeit selbst regeln dürfte. Unter Berücksichtigung der Querschnittsmaterie586 Datenschutzrecht, d. h. der Übergriffe des Datenschutzrechts in andere Rechtsbereiche und des Konflikts mit dortigen Kompetenzfragen und der spezifisch im Arbeitsrecht eingeschränkten Gesetzgebungskompetenz des europäischen Gesetzgebers, ist der Begriff der Vorgabe tendenziell weiter auszulegen, damit die ausgestalteten Kompetenzzuweisungen des EUV und damit mitgliedstaatliche Gesetzgebungskompetenzen aufrechterhalten werden. Der deutsche Gesetzgeber könnte so den Übergriff des europäischen Gesetzgebers in das Betriebsverfassungsrecht durch die Normierung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats in Art. 4 Nr. 7 1. Hs. DSGVO auflösen, indem er selbst im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO eine (abweichende) Regelung trifft. Nach hier vertretener Auffassung, die weiterer Diskussionen bedarf,587 dürfte der deutsche Gesetzgeber auf Basis von Art. 4 Nr. 7 2. Hs. DSGVO eine von Art. 4 Nr. 7 1. Hs. DSGVO abweichende Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats treffen. Die Betonung liegt – im Gesetzeswortlaut – auf kann. Denn der deutsche Gesetzgeber muss keine Regelung treffen. Der Grundsatz in Art. 4 Nr. 7 1. Hs. DSGVO gilt auch ohne deutsche Regelung fort. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats ist somit nicht originär europarechtliche Fragestellung. Diese konturiert vielmehr die Kombination aus DSGVO und im Rahmen der Öffnungsklauseln erlassenen mitgliedstaatlichen Regelungen. (c) Anforderungen an eine vom deutschen Gesetzgeber erlassene Verantwortlichkeitsregelung im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO Die Öffnungsklauseln der DSGVO eröffnen mitgliedstaatlichen Gesetzgebern Regelungsmöglichkeiten, sie heben aber nicht die Normenhierarchie auf. Vielmehr bilden sie den durch das mitgliedstaatliche Bild ausfüllbaren Rahmen.588 Allerdings müsste dieser Rahmen dann auch unter Berücksichtigung von Öffnungsklausel und Normenhierarchie angemessen ausgefüllt werden. Europarechtliche 584

Middel, AuR 2018, 411 (417); Althoff, ArbRAktuell 2019, 414 (416); Kranig / Wybitul, ZD 2019, 1 (1); Heuschmid, SR 2019, 1 (8); Lücke, NZA 2019, 658 (661). 585 Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24; s. hierzu auch Kap. § 5. 586 Zu dem Begriff Spiecker, in: Simitis / Hornung / dies. (Hrsg.), DSGVO, Einl., Rn. 159 m. w. N. 587 Gesetzgebungsrelevante Ansätze könnte der Beirat zum Beschäftigtendatenschutz liefern, der am 16. 6. 2020 die Arbeit aufgenommen hat (s. Redaktion BeckAktuell). 588 Zur Metapher von Rahmen und Bild s. Kap. § 2 D. II. 1. b) ee) (2).

108

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Vorschriften gehen wegen des Anwendungs- und Geltungsvorrangs589 normenhierarchisch mitgliedstaatlichen Regelungen vor. Die Feststellung, dass der Betriebsrat im nationalen Recht nicht vermögensfähig ist, darf, potenzielle Öffnungsklauseln ausgeblendet, nicht dazu führen, dass eine europarechtlich vorgegebene Verantwortlichkeit, die eben Haftung und Vermögensfähigkeit erfordert, negiert würde. Grundsätzlich folgt nicht die europarechtliche Verantwortlichkeit der nationalen „Haftungsfähigkeit“, sondern die nationalen Haftungsvorschriften folgen der europarechtlichen Verantwortlichkeit. Nationale Normen dürfen nicht die Effektivität europäischer Regelungen behindern und müssen im Zweifel modifiziert bzw. dürfen nicht angewandt werden. Unter Ausblendung aller Öffnungsklauseln müsste also, soweit das Europarecht vorgibt, dass der Betriebsrat Verantwortlicher ist, der mitgliedstaatliche Gesetzgeber die betriebsrätliche Verantwortlichkeit effektiv umsetzen. Er müsste dem Betriebsrat etwa Vermögensfähigkeit auferlegen oder die Regelungsarchitektur anderweitig optimieren.590 Art. 4 Nr. 7 2. Hs. DSGVO ermöglicht es den mitgliedstaatlichen Gesetzgebern, durch europäisches Recht im nationalen Recht entstehende Rechtsfolgenprobleme anhand von Rechtsvorschriften zu lösen, indem Kriterien der Benennung des Verantwortlichen festgelegt werden oder der Verantwortliche selbst benannt wird. Der deutsche Gesetzgeber müsste dann aber auch tätig werden.591 Bereits vor DSGVO-Implementierung kritisierte die deutsche Literatur die in der DSGVO etwaig angelegte datenschutzrechtliche Verantwortlichkeit des Betriebsrats.592 Der BDSG-Gesetzgeber hat im Rahmen der vorhandenen Öffnungsklauseln 2018 vielfältige ergänzende Regelungen zur DSGVO erlassen. Der Koalitionsvertrag zwischen SPD und CDU kündigte für die 19. Legislaturperiode sogar den Erlass eines eigenständigen Beschäftigtendatenschutzgesetzes an.593 Wenn auch Mitte 2020 ein Expertenbeirat zum Beschäftigtendatenschutz vom Bundesministerium für Arbeit und Soziales eingesetzt wurde, der die Notwendigkeit eines Beschäftigtendatenschutzgesetzes prüfen soll594 und auch erste gesetzgeberische Absichten verkündet

589

Allgemein hierzu: Ruffert, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 1 AEUV, Rn. 19 ff.; zur DSGVO s. auch Sydow, in: ders. (Hrsg.), DSGVO, Einl., Rn. 36 ff. 590 S. hierzu etwa Kap. § 3 D. III. 3. e) bb). 591 S. als ersten Ansatz Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). 592 S. etwa Kort, ZD 2015, 3 (5). 593 Koalitionsvertrag zwischen CDU, CSU und SPD, 19. Legislaturperiode, Rn. 6088; Riesenhuber, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 26, Rn. 8 ff. spricht insgesamt unter Berücksichtigung der historischen Entwicklungen, aber unter Ausblendung neuer (fehlender) Entwicklungen von einem „gescheiterten Reformvorhaben“; bereits seit 2010 scheitern zudem verschiedene Anläufe der Erlässe von Beschäftigtendatenschutzgesetzen (s. exemplarisch nur BT-Drs. 17/4230; dazu seinerzeit auch Gola, EuZW 2012, 332; zum Scheitern neuerlich: Riesenhuber, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 26, Rn. 8 ff.); s. hierzu auch Kap. § 2 C. IV. 594 Redaktion BeckAktuell: Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf v. 16. 6. 2020.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  109

werden,595 hat der deutsche Gesetzgeber bisher die datenschutzrechtliche Stellung des Betriebsrats nicht geregelt.596 Allerdings könnte eine explizite und intentionale Regelung gar nicht erforderlich sein, insoweit auch die beiläufigen Regelungen den Anforderungen des Art. 4 Nr. 7 2. Hs. DSGVO genügen.597 Denn zwar hat der deutsche Gesetzgeber noch keine ausdrückliche Regelung erlassen, die die datenschutzrechtliche Stellung des Betriebsrats regelt. Er könnte aber bereits implizit Regelungen zur datenschutzrechtlichen Stellung des Betriebsrats getroffen haben. Viele nationale Rechtsprobleme zeigen so auf, dass eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats, etwa die Haftung für Schadensersatz oder Geldbußen,598 wegen der Vermögenslosigkeit des Betriebsrats nicht ohne Weiteres im deutschen Recht umgesetzt werden kann. Hieraus könnte sich ableiten, dass die Zusammenfassung der (betriebsverfassungsrechtlichen) Einordnungsprobleme im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO mitgliedstaat­ liche Regelungen sind, die die datenschutzrechtliche Stellung des Betriebsrats in der Verantwortlichkeitsarchitektur mittelbar regeln. Die bestehenden Rechtsfolgen-Regelungen wären dann Anlass genug, darüber nachzudenken, ob Probleme im mitgliedstaatlichen Recht eine Auslegung nahelegen, die den Betriebsrat etwa als Teil der verantwortlichen Stelle Arbeitgeber klassifiziert. Beiläufige mitgliedstaatliche Regelungen, die zufällig Rechtsfolgen im Rahmen einer europäischen Öffnungsklausel entfalten, könnten jedoch die Effektivität europäischer Regelungen unterminieren – etwa, wenn eine Regelung Verantwortlichkeit negiert, aber keine Verantwortlichkeit an deren Stelle schafft. Dann gäbe es nämlich durch eine beiläufige Regelung keine Verantwortlichkeit mehr. Dies widerspricht dem Effektivitätsgrundsatz. Beiläufige Regelungen könnten allenfalls dann Wirkung entfalten, wenn die Effektivität des europäischen Rechts nicht untergraben wird. Der DSGVO-Gesetzgeber hatte beim Erlass von Art. 4 Nr. 7 2. Hs. DSGVO darüber hinaus klar vor Augen, dass mitgliedstaatliche Gesetzgeber bei Bezugnahme auf die Öffnungsklausel die Verantwortlichkeit intentional regeln sollen: In diese Richtung deutet bereits, dass der Verantwortliche selbst oder die bestimmten Kriterien seiner Benennung im Sinne von Art. 4 Nr. 7 2. Hs. DSGVO geregelt werden müssen. Bestimmt sind Kriterien v. a. dann, wenn die Regelungsintention bekannt ist. Auch dass der Gesetzgeber Regelungen treffen „kann“, deutet in diese Richtung. „Kann“ bedeutet Option. Mitgliedstaatliche Gesetzgeber müssen nicht regeln. Eine beiläufige Regelung ohne Kenntnis dieser Option ist Nichtgebrauch der Regelungsoption. Mitgliedstaatliche Gesetzgeber nehmen ihre Verantwortung praktisch ernst und beziehen sich in ihren Gesetz­gebungsunterlagen auf die konkreten Öffnungs 595

Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). Stand: 15. 4. 2021; s. auch Gola, in: ders. (Hrsg.), DSGVO, Art. 4, Rn. 56; s. nun aber Kap. § 5. 597 Die Frage nach der rechtlichen Einordnung und den Anforderungen des Art. 4 Nr. 7 2. Hs. DSGVO ist bisher kaum diskutiert. Dass die Einordnung des Hs. 2 insgesamt schwerfällt, zeigt auch, dass in der Betriebsratsdiskussion häufig Art. 4 Nr. 7 2. Hs. DSGVO gar nicht neben Art. 88 DSGVO als potenzielle Öffnungsklausel genannt wurde. Dieser wurde zu Beginn der Debatte offenbar überlesen. So auch noch Brams / Möhle, ZD 2018, 570. 598 S. ausf. Kap. § 3 D. III. 596

110

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

klauseln: Insoweit sich der deutsche Gesetzgeber – etwa im BDSG – auf Öffnungsklauseln beruft, legt er dies in den Gesetzgebungsunterlagen offen.599 Eine allein beiläufige Regelung über Kriterien oder Verantwortlichkeit ist nicht intentional.600 Beruft sich ein mitgliedstaatlicher Gesetzgeber zur definitorischen Umwandlung der Verantwortlichkeit auf eine „schwierige Rechtsfolgenlage“ o.ä., so würde jede Situation das Risiko bergen, über nationale Rechtsfolgenabwägungen die europarechtliche Verantwortlichkeit auszuhebeln. Dies ist aber gerade nicht Regelungsabsicht des europäischen Gesetzgebers, der eine effektive Regelungsarchitektur schaffen wollte. Hierfür genügt jedenfalls nicht die Feststellung, dass durch die Folgen der DSGVO-Regelung die nationale Rechtsordnung vor – lösbare,601 aber doch – erhebliche Herausforderungen gestellt wird. (d) Mitgliedstaatliche Regelungsmöglichkeiten im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO Der deutsche Gesetzgeber könnte im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO Benennungskriterien für den Verantwortlichen festzulegen oder den Verantwortlichen selbst benennen. Eine abweichende Regelung würde die Grundregelung aus Art. 4 Nr. 7 1. Hs. DSGVO verdrängen. Jedoch müssten die Anforderungen, die Art. 4 Nr. 7 2. Hs. DSGVO stellt, erfüllt sein. Zwar kann bei Auslegung der Tatbestandsvoraussetzungen – unter Berücksichtigung der Kompetenzverteilungsregelungen zwischen EU und Mitgliedstaaten – davon ausgegangen werden, dass Zwecke und Mittel der betriebsrätlichen Datenverarbeitung im deutschen Recht, v. a. im BetrVG, vorgegeben sind. Allerdings hat der deutsche Gesetzgeber bisher die Kriterien der Verantwortlichkeit oder den Verantwortlichen selbst nicht geregelt. Zu untersuchen war deshalb, welche Anforderungen an eine solche Regelung zu stellen wären. Mitgliedstaatliche Rechtsfolgenerwägungen allein reichen als Normierung von Benennungskriterien der Verantwortlichkeit nicht aus: Da die Kriterien bestimmt sein müssen, müsste eine Regelung im Sinne von Art. 4 Nr. 7 2. Hs. DSGVO intentional sein. Ein anderes Ergebnis verstieße gegen die durch die Metapher von Rahmen und Bild transportierte Normenhierarchie. Der deutsche Gesetzgeber hätte jedenfalls versuchen können, die datenschutzrechtliche Stellung des Betriebsrats selbst zu regeln (Art. 4 Nr. 7 2. Hs. DSGVO). Und weil er keine

599

Die BT-Drs. 18/11325, die den Gesetzesentwurf zum BDSG enthält, beruft sich so etwa an 27 Stellen auf DSGVO-Öffnungsklauseln; s. auch BMG, Referentenentwurf v. 30. 1. 2020 (Patientendaten-Schutzgesetz), S. 105 und Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24, die jeweils Art. 4 Nr. 7 2. Hs. DSGVO als Öffnungsklausel klar benennen. 600 Zu Recht weist Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 25, bei den wohl bisher umfassendsten Ausführungen zum Hs. 2 darauf hin, dass auch indirekte Festlegungen möglich sind und verweist insoweit etwa auf § 1 Abs. 1 Satz 2 AZRG. 601 S. zu Lösungsvorschlägen Kap. § 3. 

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  111

abweichende Regelung erlassen hat, ist der Betriebsrat nach der Grundnorm Verantwortlicher (Art. 4 Nr. 7 1. Hs. DSGVO). (4) Mitgliedstaatliche Regelungsmöglichkeiten Mitgliedstaatlicher Einfluss auf die DSGVO-Regelungsarchitektur hat v. a. zwei Anknüpfungspunkte: Die mitgliedstaatsfreundliche Auslegung und die mitgliedstaatlichen Regelungen im Rahmen von DSGVO-Öffnungsklauseln. Während die mitgliedstaatsfreundliche Auslegung mangels mitgliedstaatsübergreifender Konzepte und Probleme keinen Erfolg verspricht, bieten Öffnungsklauseln interessante Regelungsoptionen für die datenschutzrechtliche Verantwortlichkeit des Betriebsrats. Im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO könnte der deutsche Gesetzgeber die Benennungskriterien der betriebsrätlichen Verantwortlichkeit bzw. die Verantwortlichkeit selbst normieren. Insoweit er eine Regelung anstrebt, sollte er Allgemeinplätze vermeiden und die Regelungsintention deutlich machen.602 Allgemeine Rechtsfolgenerwägungen sind hier nicht ausreichend. Die Grundregelung des gestuften Verhältnisses von Art. 4 Nr. 7 1. Hs. DSGVO und Art. 4 Nr. 7 2. Hs. DSGVO gilt fort, solange der Gesetzgeber keine Regelung im Rahmen der Öffnungsklausel trifft: Im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO ist der Betriebsrat trotz abweichender mitgliedstaatlicher Regelungsmöglichkeiten als andere Stelle datenschutzrechtlich verantwortlich, weil er über Zwecke und Mittel der Datenverarbeitung entscheidet. ff) Ergebnisse der systematischen Auslegung Die systematische Auslegung bietet verschiedene vielversprechende Ansatzpunkte für die Einordnung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur. Die Binnensystematik der Norm zeigt, dass eine betriebsrätliche Entscheidung über Zwecke und Mittel der Datenverarbeitung auch trotz etwaiger bzw. im Rahmen gesetzlicher Vorgaben im BetrVG möglich sein muss. Entscheidet der Betriebsrat also im abstrakten Gesetzesrahmen konkret über Zwecke und Mittel der Datenverarbeitung, so ist er gem. Art. 4 Nr. 7 1. Hs. DSGVO Verantwortlicher. Bei der Einordnung des Betriebsrats hilft eine Negativabgrenzung zu anderen datenschutzrechtlich relevanten Entitäten weiter. Der Betriebsrat ist kein Auftragsverarbeiter. Und auch wenn für das Organ Betriebsrat die Betriebsratsmitglieder als natürliche Personen handeln, so sind diese und das Organ auch nicht gemeinsam Verantwortliche. Insbesondere ist die ZeugenJehovas-Rechtsprechung des EuGH mangels Vergleichbarkeit der Akteure nicht

602

Deutlich zu oberflächlich allerdings Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24.

112

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

auf den Betriebsrat übertragbar.603 Denn das Organ Betriebsrat ist – anders als der freiwillige Zusammenschluss Zeugen Jehovas – gesetzlich vorgegebener Zwangszusammenschluss (§ 1 BetrVG) mit Bindung der Betriebsratsmitglieder an die gesetzlichen Vorgaben. Da der Betriebsrat aber über Zwecke und Mittel der Datenverarbeitung entscheidet und damit jedenfalls datenschutzrechtlich relevante Entität ist, verbleibt somit allenfalls, dass er selbst Verantwortlicher ist oder aber, dass andere Entitäten, etwa die Betriebsratsmitglieder für die betriebsrätlichen Datenverarbeitungen verantwortlich sind. Das Völkerrecht und auch das europäische Primärrecht helfen bei der Auslegung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats nicht weiter. Das mitgliedstaatliche Recht bietet hingegen Lösungsansätze. Hier wird die Verantwortlichkeit des Betriebsrats sehr unterschiedlich gelöst. Mangels einheitlich beschriebener Problematik in den Mitgliedstaaten kommt keine mitgliedstaatsfreundliche Auslegung in Frage. Allerdings wirft die Feststellung ein weiteres Problem auf: Der europäische Gesetzgeber beabsichtigt – ausweislich der DSGVO-Erwägungsgründe – das europäische Datenschutzrecht durch Grundverordnung auf hohem Niveau zu vereinheitlichen.604 Das Europarecht liefert die Form, das mitgliedstaatliche Recht den Inhalt. Die Form und die Voraussetzungen einer jeden mitgliedstaatlichen Regelung geben die Öffnungsklauseln der DSGVO vor. Für eine Regelung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats eignet sich Art. 88 DSGVO nicht als Öffnungsklausel. Denn Art. 88 DSGVO setzt die Verantwortlichkeit einer Entität voraus, ermöglicht es somit gerade, Rechtsfolgen der Verantwortlichkeit zu regeln, nicht aber die Verantwortlichkeit selbst. Die „vorgelagerte“ Verantwortlichkeit kann hingegen im Rahmen des Art. 4 Nr. 7 2. Hs. DSGVO geregelt werden, da – nach hier vertretener Auffassung – das BetrVG bestimmte Verarbeitungszwecke und -mittel mittelbar vorgibt. Obwohl der deutsche Gesetzgeber könnte, hat er bisher keine Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats erlassen.605 Vereinzelt werden an deren Stelle jedoch mitgliedstaatliche Rechtsfolgenabwägungen angeführt, um die Dysfunktionalität der betriebsrätlichen Verantwortlichkeit gegen die Verantwortlichkeit zu wenden. Die Rahmenvorgabe des europäischen Gesetzgebers müsste inhaltlich jedoch intentional durch mitgliedstaatliche Gesetzgeber ausgefüllt werden. Reine Rechtsreflexe in den mitgliedstaatlichen Rechtsordnungen genügen also nicht zur Begründung oder Negierung der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats. Weil der deutsche Gesetzgeber bislang keine Regelung im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO getroffen hat, gilt die Grundregelung des Art. 4 Nr. 7 1. Hs. DSGVO fort. Bis zu einer potenziellen Regelung durch den deutschen Gesetzgeber bleibt der Betriebsrat als andere Stelle datenschutzrechtlich Verantwortlicher. Dieses Ergebnis soll im Folgenden historisch und teleologisch abgesichert werden.606 603

A. A. Maschmann, NZA 2020, 1207 (1210 f.). DSGVO-EG 10. 605 Stand: 15. 4. 2021; s. aber Kap. § 5. 606 Kap. § 2 D. II. 1. c), d). 604

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  113

c) Die historische Auslegung Die historische Auslegungsmethode wird im Europarecht seltener für die Begriffsauslegung genutzt als andere Methoden. Der EuGH ergänzt andere Auslegungsmethoden durch historische Auslegung.607 Gelegentlich wird der historischen Auslegung vorgehalten, sie sei überproportional willkürlich im Umgang mit dem vermeintlichen sog. gesetzgeberischen Willen.608 Ihr wird deshalb vereinzelt ihre Aussagekraft aberkannt. Der schwächere Einfluss der Historie auf die Begriffsauslegung ist u. a. damit begründbar, dass der europäische Gesetzgeber – der heute gem. Artt. 296 Abs. 2, 297 AEUV zur Offenlegung von Gesetzgebungsunterlagen verpflichtet ist – lange Zeit keine bzw. nur wenige Gesetzgebungsunterlagen offengelegt hat.609 Da historische Auslegung gerade das konkrete Gesetz, eine konkrete Norm oder einen konkreten Begriff in seiner historischen und spezifischer gesetzgeberischen Regelungsintention untersuchen möchte,610 ist ihr ohne publizierte Unterlagen weitreichend der Untersuchungsgegenstand entzogen. Im Europarecht611 werden Gesetze historisch im Hinblick auf deren Entstehungsgeschichte, Vorgeschichte und deren Entwicklungsgeschichte untersucht.612 Im Rahmen der Entwicklungsgeschichte wird für gewöhnlich die nachfolgende (historische) Vertragspraxis näher beleuchtet.613 Dem Völkerrecht entstammend, berücksichtigt sie jüngere historische Entwicklungen. Bei der DSGVO liefert die Vertragspraxis aufgrund ihres noch jungen Alters bis dato keine Einblicke und bleibt deshalb ausgeklammert.614 Beginnend bei der Entstehungsgeschichte (aa)) wird folgend die Vorgeschichte von Art. 4 Nr. 7 DSGVO untersucht (bb)). In einem letzten Schritt werden die Ergebnisse kurz zusammengefasst (cc)). aa) Die Entstehungsgeschichte des Verantwortlichkeitskonzepts in der DSGVO Gesetzesbegründungen bilden die Entstehungsgeschichte der Normen am besten ab, weil der Gesetzestext untrennbar mit seiner Begründung verbunden ist.615 607

Leisner, EuR 2007, 689 (689 ff.). Frieling, Gesetzesmaterialien und Wille des Gesetzgebers, S. 1 ff. 609 Art. 296 Abs. 2 AEUV entspricht der Vorgängernorm des Art. 253 EGV, s. Calliess, in: ders. / Ruffert (Hrsg.), EUV / A EUV, Art. 296 AEUV, Rn. 1 ff. 610 Martens, Methodenlehre, S. 387; für das nationale (in concreto Schweizer) Recht s. auch Kramer, Methodenlehre, S. 126 ff. 611 Zu dieser Herangehensweise im europäischen Datenschutzrecht s. Schmitz, ZD 2020, 173. 612 Vgl. etwa Wank, Die Auslegung von Gesetzen, und Beaucamp / Beaucamp, Methoden und Technik der Rechtsanwendung, S. 51 m. w. N. 613 Anweiler, Auslegungsmethoden des Gerichtshofs, S. 271, der diese Auslegungsmethode allerdings als eigenständige Methode betrachtet; Dörr, in: ders. / Schmalenbach (Hrsg.), Vienna Convention on the Law of Treaties, Art. 31, Rn. 70 ff. 614 S. aber Kap. § 2 D. II. 1. b) aa) (1). 615 EuGH, C-402/07 und C-432/07, Slg. 2009, I–10923, Rn. 41 f. – Sturgeon, zuvor bereits EuGH, C-298/00 P, Slg. 2004, I–4087, Rn. 97 – Italien / KOM. 608

114

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Nicht nur veröffentlichte Gesetzesvorarbeiten616 und der Zeitpunkt des Normerlasses,617 sondern auch und insbesondere die Erwägungsgründe618 sind Zeitzeugen des (intendierten) gesetzgeberischen Willens. Zunächst wird anhand der verfügbaren Gesetzgebungsdokumente der Gesetzgebungsprozess betrachtet (1), ehe die Erwägungsgründe in den Blick genommen werden (2). (1) Der Gesetzgebungsprozess von Art. 4 Nr. 7 DSGVO Veröffentlichungen der an der Gesetzgebung beteiligten Organe legen Gesetzgeberansichten offen und dokumentieren den gesamten Gesetzgebungsprozess. Das Europäische Parlament diskutierte während der DSGVO-Gesetzgebung über 4.000 Änderungsanträge. Die DSGVO ist damit eines der in der Entstehung umstrittensten und bei Implementierung anerkanntesten Gesetzgebungsprojekte in der Geschichte der europäischen Integration.619 Hier hat lediglich ein sehr kleiner Teilbereich dieser Anträge Relevanz: Ausgelegt werden soll allein Art. 4 Nr. 7 DSGVO vor dem Hintergrund der Frage, ob der Betriebsrat datenschutzrechtlich verantwortlich ist, weil er als andere Stelle über Zwecke und Mittel der Datenverarbeitung entscheidet. Sollen aus der Gesetzgebungsgeschichte Einsichten in die datenschutzrechtliche Stellung des Betriebsrats gewonnen werden, ist es sehr wichtig, die begrifflichen Diskussionen und Entwicklungen genau nachzuzeichnen. Denn Gesetzgebung ist trotz aller Rationalitätsansprüche häufig nur eingeschränkt rational.620 Hierbei müssen auch Pflichten des datenschutzrechtlich Verantwortlichen in der DSGVO berücksichtigt werden. Gerade die Schlüsselbegriffe eines Gesetzes, wie etwa die Verantwortlichkeit, werden häufig breit diskutiert, da sie möglichst klar definiert sein müssen. Die Diskussion der am 25. Mai 2018 in Kraft getretenen DSGVO begann mit einer Stellungnahme des Europäischen Datenschutzbeauftragten zur Lage des Datenschutzrechts in der EU am 22. 6. 2011.621 Den ersten DSGVO-Entwurf veröffentlichte die Europäische Kommission am 25. 1. 2012.622 Der Entwurf knüpfte eine Vielzahl von Pflichten an den für die Verarbeitung Verantwortlichen.623 Dieser war bereits definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke,

616

EuGH, C-635/11, Rn. 35 – KOM / NL. EuGH, C-61/79, Slg. 1980, 1205 – Denkavit. 618 EuGH, C-158/80, Slg. 1981, 1805, Rn. 13 – Rewe; EuGH, C-202/88, Slg. 1991, I–1223, 1269 – Endgeräte. 619 S. Albrecht (Hrsg.), Die Datenschutzreform der EU, S. 30. 620 Zu Ansprüchen und Realität aus interdisziplinärer Perspektive untersucht Steinbach, Rationale Gesetzgebung, S. 1 ff. 621 Europäischer Datenschutzbeauftragter, Entwicklungsgeschichte der DSGVO, online. 622 Europäische Kommission, 2012/0011 (COD) v. 25. 1. 2012. 623 Europäische Kommission, 2012/0011 (COD) v. 25. 1. 2012; Art. 4 Abs. 5 DSGVO-E1. 617

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  115

Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Viele Begriffselemente entsprechen in der finalen DSGVO-Fassung der Entwurfsfassung.624 Sie sind im gesamten Gesetzgebungsprozess unberührt geblieben. Spannend sind aber v. a. gesetzgeberische Beweggründe für Änderungen. Denn diese geben möglicherweise Hinweise darauf, ob der europäische Gesetzgeber unmittelbar oder mittelbar bestimmte Vorstellungen zur Einordnung von Arbeitnehmervertretungen in das datenschutzrechtliche Verantwortlichkeitskonzept hatte. Drei Unterschiede in Art. 4 Nr. 7 1. Hs DSGVO fallen zwischen Entwurfs- und finaler Fassung auf: Erstens ist der Terminus „für die Verarbeitung Verantwortlicher“ zum Begriff „Verantwortlicher“ verkürzt. Zweitens ist das sachliche Begriffselement verkürzt: Aus „Zwecken, Bedingungen und Mitteln“ wurden „Zwecke und Mittel“. Und drittens wurde „jede andere Stelle“ zur „anderen Stelle“. Und auch in Art. 4 Nr. 7 2. Hs. DSGVO gibt es v. a. drei terminologische Änderungen: Parallel zum Hs. 1 wurden „für die Verarbeitung Verantwortlicher“ zu „Verantwortlicher“ und „Zwecke, Bedingungen und Mittel“ zu „Zwecke und Mittel“. Der europäische Gesetzgeber hat zweitens „durch einzelstaatliches oder Unionsrecht vorgegeben“ bereits in der ersten Parlaments-Entwurfsfassung,625 die ohne weitere Diskussion auch vom Rat in dessen erster Fassung626 übernommen wurde,627 abgeändert in „durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben“. „Modalitäten der Benennung“ wurde drittens zu „Kriterien der Benennung“. Die sprachlichen Anpassungen Verantwortlicher und durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, lassen keine Rückschlüsse auf die datenschutzrechtliche Stellung des Betriebsrats zu. Mittelbare Aussagekraft für die Stellung des Betriebsrats könnten jedoch die Änderungen Zwecke, Bedingungen und Mittel in Zwecke und Mittel, Modalitäten der Benennung in Kriterien der Benennung und jede andere Stelle in andere Stelle haben. Die Änderung zu anderer Stelle und die Streichung von jede könnte den Anwendungsbereich der datenschutzrechtlichen Verantwortlichkeit etwa so einschränken, dass der Betriebsrat fortan nicht (mehr) Verantwortlicher sein sollte. Bei den bereits im ersten Parlamentsentwurf verschwundenen Bedingungen setzte sich der Änderungsantrag 744628 wohl mit dem Ziel, die DSGVO-Terminologie der Terminologie der DSRL anzupassen,629 gegenüber den Änderungsan-

624

VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung). 625 Rat der EU, Informatorischer Vermerk v. 27. 3. 2014, 2012/0011 (COD); 7427/1/14). 626 Rat der EU, Vermerk v. 11. 6. 2015, 2012/0011 (COD), 9565/15. 627 BayLfD, Synopse der DSGVO v. 5. 1. 2016, online. 628 DSGVO-Amendment 744 (Alexander Alvaro). 629 Vgl. DSGVO-EGe 3 und 9.

116

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

trägen 746630 und 747631 durch, die fortan allein die Zwecke der Verarbeitung als ausschlaggebend für die Verantwortlichkeit normieren wollten. Die Begriffe Modalitäten der Benennung und jede andere Stelle haben hingegen alle Erst-Entwürfe von Europäischer Kommission, Europäischem Parlament und Europäischem Rat überdauert.632 Kein Änderungsantrag dokumentiert die gesetzgeberische Intention der Änderung. Es liegt nahe, dass mit dem Begriff Kriterien der Benennung statt Modalität die DSGVO an Art. 2 lit. d DSRL angeglichen werden sollte. Es bleibt unklar, warum sich der europäische Gesetzgeber im Gesetzgebungsprozess aber letztlich entschieden hat, den Terminus jede vor andere Stelle zu entfernen. Art. 2 lit. d DSRL normiert die Verantwortlichkeit natürlicher oder juristischer Personen, Behörden, Einrichtungen oder jeder anderen Stelle, während die DSGVO nun lediglich von anderer Stelle spricht. Diese Streichung sollte also die DSGVO nicht an die Terminologie der DSRL angleichen. Jede wurde erst am Ende des Gesetzgebungsprozesses in der letzten Überarbeitungsphase nach dem 15. 12. 2015 gestrichen.633 Hier waren inhaltliche Kompromisse bereits im Trilog gefunden. Die Streichung des Wortes jede könnte lediglich formale Bedeutung haben. Das Wort jede verdeutlichte, dass der Gesetzgeber das Verantwortlichkeitskonzept weit fasste. Neben den enumerativ aufgeführten spezifischen Entitäten sollte eben auch jede andere – über Zwecke und Mittel der Datenverarbeitung entscheidende – Stelle potenziell verantwortlich sein. Jede andere Stelle hatte Auffangcharakter. Dieser bleibt aber auch ohne jede erhalten: Hierzu genügt bereits das Wort andere. Es spricht vieles dafür, dass mit der Streichung, zumal zu diesem Zeitpunkt im Gesetzgebungsprozess, lediglich eine Wortlautstraffung aus redaktionellen Gründen bezweckt werden sollte. Insgesamt ist das Verantwortlichkeitskonzept von Anfang an – im Vergleich zur allgemeinen Dynamik – durchweg positiv aufgefasst und verhältnismäßig wenig diskutiert worden.634 Der inhaltlich weiteste Änderungsvorschlag, die Spezifizierung „controllers include in particular“ in Art. 4 Nr. 7 DSGVO aufzunehmen,635 wurde abgelehnt. Hiermit wurde die Blankettregelung andere Stelle zum Ausdruck eines weiten Begriffsverständnisses gestärkt.636 630

DSGVO-Amendment 746 (Adina-Ioana Valean und Jens Rohde). DSGVO-Amendment 747 (Louis Michel). 632 BayLfD, Synopse der DSGVO v. 5. 1. 2016, online. 633 S. Art. 4 Nr. 5 DSGVO-E, Council of the European Union, Analysis v. 15. 12. 2015, 2012/0011(COD), 15039/15. 634 Dies zeigen nicht nur die wenigen Änderungsanträge im Bereich „datenschutzrechtliche Verantwortlichkeit“, sondern auch die Reaktionen des Europäischen Datenschutzbeauftragten, Stellungnahme v. 30. 6. 2012, oder des Wirtschafts- und Sozialausschusses der EU, Stellungnahme v. 31. 7. 2012. 635 DSGVO-Amendment 745 (Stanimir Ilchev). 636 Der Begriff umfasst nach Darstellung von Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art.  4, Rn.  138 alle über Zwecke und Mittel der Datenverarbeitung entscheidenden Stellen, die nicht bereits exemplarisch zuvor aufgeführt sind; von neutraler Formulierung von Art. 4 Nr. 7 DSGVO sprechend vgl. Raschauer, in: Sydow (Hrsg.), DSGVO, Art. 4, Rn. 127. 631

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  117

Die Unterlagen zum Gesetzgebungsprozess erscheinen also zwar auf den ersten Blick vielversprechend, können bei der Frage nach der betriebsrätlichen Verantwortlichkeit im Datenschutzrecht allerdings nicht weiterhelfen. (2) Die Erwägungsgründe Die Erwägungsgründe ergänzen den Wortlaut bei der Auslegung.637 Sie sind kein Gesetz, aber europäischen Gesetzen vorangestellt und helfen somit bei der Auslegung gesetzgeberischer Vorstellungen.638 Die Erwägungsgründe sind historisch und systematisieren zugleich.639 Sie bilden gesetzgeberische Vorstellungen mit mittelbaren oder unmittelbaren Auswirkungen auf die datenschutzrechtliche Stellung des Betriebsrats in der DSGVO ab. Während einige Erwägungsgründe beschreiben, was sich der europäische Gesetzgeber unter der datenschutzrechtlichen Verantwortlichkeit konkret vorstellt, zeigen andere, welche datenschutzrechtlichen Zwecke der europäische Gesetzgeber insgesamt verfolgt. Zur besseren Darstellung bietet es sich an, in den Erwägungsgründen zwischen den Termini Verantwortlichkeit, andere Stelle und Entscheidung über Zwecke und Mittel der Datenverarbeitung zu differenzieren. Die Erwägungsgründe verwenden die Begriffe Verantwortlichkeit bzw. Verantwortliche(r) insgesamt 188 Mal. Fünf Mal verwenden sie den Wortstamm und zudem 194 Mal den Begriff Verantwortung. Zum Schutz der Rechte und Freiheiten der betroffenen Person bedürfe es klarer Zuteilung von Verantwortlichkeit.640 Zur effektiven Erreichbarkeit des Verantwortlichen soll dieser einen Vertreter benennen, ohne hierdurch Verantwortung bzw. Haftung des Verantwortlichen zu berühren.641 Schutzmechanismen sollen Datenschutzverstöße des Verantwortlichen präventiv verhindern.642 Die Erwägungsgründe verwenden den Begriff andere Stelle nicht. Sie definieren weniger die beiden Begriffe, sondern fokussieren vielmehr den Umfang der Verantwortlichkeitsfolgen. Die Erwägungsgründe geben keine Hinweise zur begrifflichen Einordnung des Betriebsrats. 637

Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 32b; Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 38 m. w. N.; Martini / Wagner / Wenzel, VerwArch 2018, 296 (309). 638 In EuGH, C-246/80, Slg. 1981, 2311, Rn. 23 – Broekmeulen z. B. hilfsweise zur Stützung von systematischen Argumenten; vgl. auch Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 55 EUV, Rn. 14. 639 Zu Überschneidungen der historischen mit anderen Auslegungsmethoden im deutschen Recht s. Bydlinski, Jur. Methodenlehre und Rechtsbegriff, S. 449; Differenzierungsansätze bei Martens, Methodenlehre, S. 401. 640 DSGVO-EG 79. 641 DSGVO-EG 80, Satz 1–4. 642 Vgl. etwa DSGVO-EG 82, der die Zusammenarbeit des Verantwortlichen mit den Aufsichtsbehörden hervorhebt und den Verantwortlichen unter bestimmten Voraussetzungen den Nachweis von Verarbeitungsverzeichnissen auferlegt.

118

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Das sachliche Begriffselement Entscheidung über Zwecke und Mittel der Datenverarbeitung verwenden die Erwägungsgründe insgesamt vier Mal. Die Entscheidung rechnet Datenverarbeitungen Entitäten zu: Dort, wo tatsächlich entschieden wird, dort wo Vorgaben gemacht werden, soll etwa die Hauptniederlassung des Unternehmens und damit die Verantwortlichkeit lokalisiert sein.643 Die Erwägungsgründe verwenden die isolierten Begriffe Mittel der Verarbeitung (14 Mal) und Zwecke der Verarbeitung / Verarbeitungszwecke (48 Mal) häufiger. Zwar definieren sie die Verarbeitungsmittel nicht. Immerhin liefern sie aber Anhaltspunkte dafür, welche Ausformungen Mittel haben: Verarbeitungsmittel seien insbesondere technische, u. a. – je nach Stand der Technik644 – automatisierte645 Mittel.646 Die Verarbeitungszwecke werden ebenfalls zwar nicht definiert, aber verschiedentlich kontextualisiert. Personenbezogene Daten können nach Auffassung des DSGVOGesetzgebers im Einzelfall z. B. zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken,647 aber auch zu gesundheitlichen Zwecken,648 zu Werbezwecken649 bzw. Direktwerbungszwecken650, zu Verwaltungszwecken651 oder aber zu Zwecken der Strafverfolgung u. ä.652 verarbeitet werden. Die Erwägungsgründe definieren einzelne Zwecke, wie z. B. Archivzwecke,653 statistische Zwecke654 und Forschungszwecke655 spezifischer. Aus den einzelnen Zweck-Definitionen sind keine Rückschlüsse für die datenschutzrechtliche Stellung des Betriebsrats ableitbar. Jedoch lohnt sich ein Abgleich mit betriebsrätlichen Datenverarbeitungen: Der Betriebsrat verarbeitet zwar keine Daten zu Archiv- oder Forschungszwecken. Bei Mitbestimmungsrechten, etwa bei sozialverträglichen Kündigungen oder bei der Sozialauswahl, kann der Betriebsrat aber u. U. Statistiken erstellen – er verarbeitet also u. a. personenbezogene Daten zu statistischen Zwecken. Die Heterogenität der aufgeführten Zwecke zeigt darüber hinaus, dass auch die Belegschaftsvertretung Verarbeitungszweck sein kann. Der Terminus Entscheidung wird mehrfach verwendet. Hier geht es um „Managementtätigkeiten“656 zu Grundsatzentscheidungen und damit tatsächlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung. Erneut sind Hinweise für die datenschutzrechtliche Stellung des Betriebsrats allein mittelbar ableitbar. Der Betriebsrat selbst bestimmt die Ausformung des konkreten Beteiligungsrechts im 643

DSGVO-EG 36, Satz 1. DSGVO-EG 26, Satz 3 f. 645 DSGVO-EG 68, Satz 1. 646 DSGVO-EGe 36, Satz 4; 51, Satz 3; 67, Satz 2.  647 S. exemplarisch nur den DSGVO-EG 53, Satz 1. 648 DSGVO-EGe 35, Satz 2 und 53, Satz 2. 649 DSGVO-EG 38, Satz 2. 650 DSGVO-EG 47, Satz 7. 651 DSGVO-EG 48, Satz 1. 652 DSGVO-EG 19, Satz 1, dann allerdings im Rahmen der sog. JI-RL (RL (EU) 2018/680). 653 DSGVO-EG 158, Satz 2. 654 DSGVO-EG 162, Satz 2. 655 DSGVO-EG 159, Satz 2. 656 DSGVO-EG 36, Satz 1–3. 644

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  119

BetrVG. Er trifft also „Grundsatzentscheidungen“. Die Erwägungsgründe legen seine datenschutzrechtliche Verantwortlichkeit zwar nahe, diese ist jedoch nicht zwingend.657 Die Erwägungsgründe helfen nicht unmittelbar bei der Auslegung der anderen Stelle. Bei der Auslegung der Kombination aus personeller und sachlicher Komponente658 helfen sie aber mittelbar. Über das sachliche Element wird die Verantwortlichkeit gerade klar zugeteilt: Diejenigen, die tatsächlich Grundsatzentscheidungen zu Verarbeitungszwecken und -mitteln treffen, sollen datenschutzrechtlich verantwortlich sein. Die Entscheidung über Zwecke und Mittel rechnet Datenverarbeitungen einer Entität zu. Rückschlüsse auf die Ausformung dieser Entität können aus den in den Erwägungsgründen erläuterten Datenverarbeitungszwecken und -mitteln gezogen werden. Mittel der Datenverarbeitung sind in erster Linie technischer Art. Der Betriebsrat nutzt intelligente technische Infrastrukturen wie z. B. Computer. Zur Belegschaftsinteressenvertretung verarbeitet er hiermit teils zu statistischen Zwecken personenbezogene Daten. Bei Betriebsratswahlen nutzt er zu Verwaltungszwecken möglicherweise personenbezogene Daten bei der Wahlvorbereitung. Jede einzelne Datenverarbeitung dient dem übergeordneten Ziel der Belegschaftsinteressenvertretung. Das Organ Betriebsrat gibt im Einzelfall durch Betriebsratsbeschlüsse, Arbeitspläne und interne Absprachen vor, ob, warum und wie personenbezogene Daten von wem verarbeitet werden. In der konkreten Situation muss der Verantwortliche selbst nicht immer Zugang zur Datenverarbeitung haben. Er muss aber jedenfalls die Zwecke vorgeben.659 Der Betriebsrat trifft damit Grundsatzentscheidungen über Zwecke und Mittel zur effektiven Datenverarbeitung. Die Erwägungsgründe sprechen damit in sachlicher Hinsicht für eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats, weil allein er im Einzelfall das „Ob“, „Wie“ und „Warum“ der Datenverarbeitung steuern kann. Ob er hierbei jedoch andere Stelle ist, klären die Erwägungsgründe nicht auf. Da das personelle Begriffselement aber dem sachlichen Element folgt,660 spricht vieles insgesamt für seine datenschutzrechtliche Verantwortlichkeit. bb) Die Vorgeschichte des Verantwortlichkeitskonzepts Der Begriff Vorgeschichte beschreibt den Zeitraum vor Beginn der Gesetzgebungsgeschichte der DSGVO. Der europäische Gesetzgeber stellt die DSGVO ausdrücklich in die Tradition überkommener datenschutzrechtlicher Prinzipien. Der Vorteil dieser Vorgehensweise ist, dass Konzepte nicht konturlos erscheinen, son 657 S. zum Einwand, der Betriebsrat könne nicht über Verarbeitungszwecke und -mittel entscheiden, weil diese gesetzlich vorgegeben seien Kap. § 2 D. II. 1. b) aa) (1). 658 S. oben in Kap. § 2 D. II. 1. a) bb) (2): Die personelle folgt der sachlichen Begriffskom­ ponente. 659 EDPD, Guideline 07/2020, Rn. 42. 660 S. Kap. § 2 D. II. 1. a) bb) (2).

120

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

dern vielmehr gerahmt sind, weil historische Bezüge bereits als Interpretationshilfe herangezogen werden können. Auch überkommene Rechtsprechung kann hierbei genutzt werden.661 Da die DSGVO an datenschutzrechtliche Ziele und Grundsätze anknüpft,662 muss die Herkunft des Begriffskonzepts geprüft und es muss untersucht werden, wie es Einzug in das Europarecht gefunden hat (1). Die Rolle des Betriebsrats im Datenschutzrecht könnte von EuGH-Rechtsprechung beeinflusst worden sein und werden (2). (1) Gesetzliche Begriffsentwicklung in Zeiten vor der DSGVO Die DSGVO knüpft ihre Terminologie eng an überkommene datenschutzrechtliche Begriffe etwa aus der DSRL. Die DSRL verweist in ihren Erwägungsgründen auf die DSK 108 des Europarats. Die DSK 108 ist historischer Ursprung dieser Verweiskette. Sie verwendet im Jahre 1981 erstmalig den Begriff der datenschutzrechtlichen Verantwortlichkeit. Sie ist also Ansatzpunkt begrifflicher Vorgeschichte (a). Der erste europarechtliche Anknüpfungspunkt ist die DSRL von 1995 (b). Als Richtlinie musste sie vom deutschen Gesetzgeber umgesetzt werden. Als Folge fehlerhafter Implementierung in das BDSG von 1977 entstand eine lang fortdauernde Dichotomie der Verantwortlichkeitskonzepte zwischen DSRL und BDSG. Diese Dichotomie ist interessanter Anknüpfungspunkt für heutige Probleme bei der Einordnung des Betriebsrats in das datenschutzrechtliche Verantwortlichkeitskonzept (c). Historische Wirkungen und heutige Begriffsentwicklung sind eng verknüpft (d). Ausgeklammert bleibt bei der historischen Entwicklung die Richtlinie über Datenschutz und grenzüberschreitende Datenströme der OECD von 1981. Sie hat zwar internationalen Fortschritt im Datenschutzrecht forciert, berührt aber die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats nicht.663 (a) Der Ursprung des Verantwortlichkeitskonzepts in der DSK 108 des Europarats (1981) Bereits am 31. 1. 1968 begannen in der Parlamentarischen Versammlung (Assem­ bly), die neben dem Ministerkomitee zentrales Organ des Europarats ist,664 Debatten über das global zu niedrige Datenschutzniveau.665 Die Feststellung war eindeutig: Über neuartige Nutzung von Datenbanken am Computer biete die 661

EuGH, C-310/08, Slg. 2010, I–1065, Rn. 47 – Ibrahim. DSGVO-EG 9, Satz 1; die DSRL selbst knüpfte an die DSK 108 des Europarats an, vgl. DSRL-EG 11. 663 Vgl. OECD, Guidelines on the protection of privacy and transboarder flows of personal data, 23. 9. 1980, Detailled Comments, Para 1: „legal or natural person, public authority, agency or any other body“, online. 664 Brummer, Der Europarat, S. 93 ff. 665 Evans, AJCL 571 (1981), 571 (572). 662

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  121

Datenverarbeitung historisch neue Möglichkeiten; damit entstünden zugleich neue und nie dagewesene Gefahren, weshalb gemeinsame Standards für den Datenaustausch666 und zum Schutze persönlicher Freiheit667 dringend geboten seien,668 u. a. zur Verwirklichung der Ziele von Art. 8 EMRK.669 1979 entwickelte das Expertengremium CDCJ eine Konvention für den Schutz der Privacy bei Datenverarbeitungen.670 Der Entwurf schuf grundlegende Garantien für die automatisierte Verarbeitung personenbezogener Daten.671 Er wurde bereits Anfang 1980 von der Parlamentarischen Versammlung akzeptiert,672 Ende April 1980 finalisiert673 und im September 1980 vom Ministerkomitee angenommen.674 Am 28. Januar 1981 wurde die DSK 108675 als erstes internationales Dokument zum Datenschutz676 zur Unterzeichnung ausgelegt und von den Mitgliedstaaten umgesetzt.677 Historisch ist dies die Geburtsstunde des datenschutzrechtlichen Verantwortlichkeitskonzepts. Art. 2 lit. d DSK 108 definierte, dass Verantwortlicher für die Datei / Datensammlung jene Stelle sei, die nach innerstaatlichem Recht für die Entscheidung zuständig sei, welchen Zweck die automatisierte Datei / Datensammlung haben solle, welche Arten personenbezogener Daten gespeichert und welche Verarbeitungsverfahren auf sie angewandt werden sollen. Bei der Bestimmung des Verantwortlichen ging es also darum, wer zuständig für die anstehenden Verarbeitungsentscheidungen war.678 Die ursprüngliche Legaldefinition kommt der heutigen Definition in der DSGVO auch in der englischen und französischen Sprachfassung nahe.679 Heutige Ungenauigkeit bei Definitionsansätzen in den Er 666

Committee of Ministers of the Council of Europe, Resolution (73) 23 v. 26. 9. 1973, ­Addendum II, S. 14. 667 Evans, AJCL 571 (1981), 571 (575 f.). 668 Mit unterschiedlichen Standards für den privaten (Committee of Ministers of the Council of Europe, Resolution (73) 22 v. 26. 9. 1973) und den öffentlichen Sektor (Committee of Ministers of the Council of Europe, Resolution (74) 29 v. 20. 9. 1974). 669 Committee of Ministers of the Council of Europe, Resolution (73) 23 v. 26. 9. 1973, ­Addendum I, S. 4. 670 Council of Europe, Explanatory Report v. 28. 1. 1981, S. 4, online. 671 Lange / Filip, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 50, Rn. 18. 672 Parliamentary Assembly of the Council of Europe, Resolution 721 (1980) v. 1. 2. 1980. 673 Council of Europe, Explanatory Report v. 28. 1. 1981, S. 5, online. 674 Committee of Ministers of the Council of Europe, Council Recommendation (80) 13 v. 18. 9. 1980. 675 Übereinkommen des Europarats zum Schutz des Menschen bei der automatisierten Verarbeitung von personenbezogenen Daten v. 29. 1. 1981 (Konvention Nr. 108). 676 Henke, Die Datenschutzkonvention des Europarates, S. 48; s. generell auch: Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, § 15, S. 460–512; Mehde, Datenschutz, in: Heselhaus / Nowak (Hrsg.), HdbEUGR, § 21, Rn. 15; Burkert, CR 1988, 751–758; Hornung, DuD 2004, 719 (719 ff.); Auernhammer, DuD 1985, 7. 677 Für Deutschland exemplarisch BT-Drs. 10/2118. 678 Monreal, ZD 2014, 611 (612). 679 In Englisch: „controller of the file“ means the natural or legal person, public authority, agency or any other body who is competent according to the national law to decide what should be the purpose of the automated data file, which categories of personal data should be stored and which operations should be applied to them. In Französisch: „maître du fichier“ signifie:

122

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

wägungsgründen der DSGVO680 könnten anhand der Diskussionen im Gesetzgebungsprozess der DSK 108 ab 1968 untersucht werden. In den überlieferten und zugänglichen Gesetzgebungsunterlagen findet sich jedoch nur eine Erläuterung zu dem Themenkomplex Verantwortlichkeit. Die Definition der Verantwortlichkeit sollte hiernach auf jede Person oder Einrichtung angewandt werden, die die Ziele, Ressourcen und organisationalen Vorgaben für die Sammlung und Verarbeitung personenbezogener Daten vorgibt.681 Dies entspricht der heutigen Entscheidung über Zwecke und Mittel der Datenverarbeitung. Bereits früh bestimmte die sachliche Komponente, neben der ein personelles Element stand, den Verantwortlichkeitsbegriff. Weitere Auslegungshilfen gab es jedoch nicht. Und auch die zwar nicht rechtsverbindlichen, sich jedoch u. a. mit dem Beschäftigtendatenschutz befassenden Auslegungshilfen des Europarats682 geben keinen Hinweis, ob der Betriebsrat nach Ansicht des Konventionsgebers Verantwortlicher ist. Der Verantwortlichkeitsbegriff wurde im Wortlaut der DSK 108 zuletzt im Jahre 2018 aufgrund von Modernisierungsnotwendigkeiten, nicht etwa aufgrund terminologischer Ungenauigkeiten abgewandelt:683 Art. 2 lit. d DSK 108 normierte fortan als „Verantwortlichen“ die natürliche oder juristische Person, die Behörde, den Dienst, die Einrichtung oder jede andere Stelle, die bzw. der allein oder gemeinsam mit anderen Entscheidungsbefugnis im Hinblick auf die Datenverarbeitung hat.684 Um den Verantwortlichen zu bestimmen, musste einzelfallorientiert die tatsächliche Entscheidung über Zwecke und Mittel der Datenverarbeitung untersucht werden. Hierbei käme es auf die Frage an, ob die Person oder Stelle Kontrolle über Verarbeitungsmethoden, über die Datenauswahl und über Zugangsermöglichungen habe.685 Trotz einer langen Begriffsgeschichte im Völkerrecht ist der Begriff der Verantwortlichkeit zwischenzeitlich also nicht sehr viel genauer definiert worden. Die DSK 108 trifft insbesondere keine unmittelbare Aussage zur datenschutzrechtlichen Stellung des Betriebsrats. V.a. welche Organe in Grenzfällen prototypisch (noch) verantwortlich bzw. nicht mehr verantwortlich sind, ist nicht vertieft diskutiert. Für die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats finden sich in der DSK 108 also keine Anhaltspunkte.

la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. 680 S. ausf. Kap. § 2 D. II. 1. c) aa) (2). 681 Committee of Ministers of the Council of Europe, Recommendation (97) 18 v. 30. 9. 1997. 682 Committee of Ministers of the Council of Europe, Recommendation 89 (2) v. 18. 1. 1989; s. hierzu Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, § 15, S. 493 f. 683 Europarat, Änderungsprotokoll v. 18. 10. 2018, S. 1. 684 Europarat, Änderungsprotokoll v. 18. 10. 2018, S. 3. 685 Europarat, Änderungsprotokoll v. 18. 10. 2018.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  123

(b) Der Hintergrund eines Fehlverständnisses: Die europarechtswidrige Dichotomie der Verantwortlichkeitskonzepte in Bundesdatenschutz­ gesetz (1977) und Datenschutzrichtlinie (1995) Die DSGVO knüpft ihre Begriffe an die DSRL an. Die DSRL prägte als erstes datenschutzrechtliches Regelungswerk im Europarecht die Entwicklung des europäischen Verantwortlichkeitskonzepts maßgeblich. Sollten sich in deren Gesetzgebungsgeschichte also Ansatzpunkte für die datenschutzrechtliche Stellung des Betriebsrats finden, so wären diese auch für die Einordnung des Betriebsrats im Verantwortlichkeitskonzept der DSGVO bedeutsam. Hierbei wird kurz die Gesetzgebungsgeschichte der DSRL nachvollzogen (aa), ehe Art. 2 lit. d DSRL ausgelegt (bb) und das Verantwortlichkeitskonzept im BDSG untersucht wird (cc). (aa) Die Gesetzgebungsgeschichte der Datenschutzrichtlinie Historische Regelungsintention der DSRL war – gestützt auf die Binnenmarktkompetenz (ex Art. 100a EGV)686 – primär der Abbau von Handelsbarrieren, um den europäischen Binnenmarkt zu stärken.687 Bereits 1990 wies die Europäische Kommission in ihrer Begründung zum Vorschlag erster datenschutzrechtlicher Regelungen im Europarecht darauf hin, dass für die Ausarbeitung der beabsichtigten DSRL, implementiert letztlich 1995,688 die DSK 108 Vorbildcharakter habe.689 Der erste Regelungsvorschlag übernahm so das Verantwortlichkeitskonzept der DSK 108: Verantwortlicher der Datei sollte jede natürliche oder juristische Person, Behörde, Dienststelle oder jede andere Einrichtung sein, die nach dem Gemeinschaftsrecht oder einzelstaatlichen Vorschriften des Mitgliedstaats für die Entscheidung zuständig ist, welche Zweckbestimmung die Datei verfolgt, welche Arten personenbezogener Daten gespeichert und verarbeitet werden und welche Dritten Zugang zu den Daten haben dürfen.690 Der Rat der EG akzeptierte diesen Verantwortlichkeitsbegriff zunächst,691 ehe er ihn später abwandelte. Verantwort-

686

Simitis / Hornung / Spiecker, in: dies. (Hrsg.), DSGVO, Einl., Rn. 133. S. etwa DSRL-EG 5; Im Hintergrund stand aber auch damals bereits der Schutz von Bürgerrechten, vgl. Ehmann / Helfrich, EG-Datenschutzrichtlinie, Einl., Rn. 4, die von einer dualistischen Zielsetzung sprechen. Jedoch war diese dualistische Zielsetzung in der Bezugnahme der DSRL auf ihre Rechtsgrundlagen nicht expliziert. 688 S. hierzu allgemein: Mehde, in: Heselhaus / Nowak (Hrsg.), HdbEUGR, § 21, Rn. 16 ff. 689 Die Europäischen Gemeinschaften sollten einheitlich der Datenschutzkonvention beitreten; s. hierzu auch Commission of the European Communities, Proposal v. 13. 9. 1990, S. 17. 690 Anpassungen im Vergleich zur DSK 108 drückten europarechtliche Besonderheiten aus, Art. 2 lit. e DSRL-E (KOM 1990); s. Commission of the European Communities, Proposal v. 13. 9. 1990, S. 50 f. 691 Art. 2 lit. e DSRL-E (Rat 1990); Rat der EG, Vorschlag Richtlinie v. 5. 11. 1990, 90/C 277/03. 687

124

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

licher der Verarbeitung692 war nach 1992 die natürliche oder juristische Person, Behörde, Dienststelle oder jede andere Einrichtung, die personenbezogene Daten verarbeitet oder verarbeiten lässt und die über Zweck und Ziel der Datenverarbeitung, die verarbeiteten Daten und die auf sie angewandten Verarbeitungsverfahren sowie darüber entscheidet, welche Dritten Kenntnis von den Daten haben dürfen.693 Trotz der terminologischen Abwandlung blieb die sachliche Entscheidung maßgebliches Kriterium zur Bestimmung der Verantwortlichkeit. Inhaltlich besonders bedeutsam waren Änderungen im ersten Teilsatz: Der Auffangbegriff am Aufzählungsende wurde von Einrichtung zu Stelle und der Begriff Dienststelle wurde zu Einrichtung. Der Gesetzeswortlaut wurde an die DSK 108 angelehnt. Die Europäische Kommission änderte wiederum Einzelheiten ab. Controller of the file wurde in der englischen Sprachfassung zu controller,694 in der deutschen Sprachfassung wurden Verantwortliche der Datei zu Verantwortlichen der Verarbei­tung695 und erstmalig von lit. e in Art. 2 lit. d DSRL-E verschoben. Jede Entität konnte Stelle sein. Deshalb setzte Hs. 1 ein any vor das Ende der enumerativen Auflistung. Da im Europarecht beabsichtigt sei, dass der Verantwortliche Verantwortung für den Verarbeitungsprozess trage, nicht für die gegenständlichen Daten, sei es besser, abweichend von der DSK 108 an den controller anzuknüpfen und nicht mehr auf file oder data zu verweisen. Der Verantwortliche müsse auch über Verarbeitungsziele entscheiden, um andere Zurechnungsformen abzugrenzen, z. B. gemeinsame Verarbeitung oder die Verarbeitung durch einen anderen (Hs. 2).696 1995 entwickelten die EU-Institutionen einen gemeinsamen Standpunkt.697 Die englische Fassung von Art. 2 lit. d DSRL-E (KOM. 1995) normierte fortan: controller shall mean the natural or legal person, public authority, agency or any other body which determines the purposes and means of the processing of personal data. Where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by a national or community law. Die deutsche Fassung hingegen definierte Verantwortlicher der Verarbeitung als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die 692

Der Begriff „Verantwortlicher der Verarbeitung“ ist interessant, weil in der englischen Version parallel lediglich noch vom controller die Rede ist, vgl. Council of the European Communities, Amended Proposal v. 27. 11. 1992, 92/C 311/04. 693 Art. 2 lit. d DSRL-E (Rat 1992), Rat der EG, Geänderter Vorschlag v. 27. 11. 1992, 92/ C 311/04. 694 Commission of the European Communities, Amended proposal v. 15. 10. 1992, COM (92) 422 final, S. 64. 695 Kommission der EG, Geänderter Vorschlag v. 15. 10. 1992, KOM (92) 422 endg., Art. 2 lit e DSRL-E in Art. 2 lit. d DSRL-E. 696 Commission of the European Communities, Amended proposal v. 15. 10. 1992, COM (92) 422 final, S. 10. 697 Kommission der EG, Gemeinsamer Standpunkt v. 20. 2. 1995, 95/C 93/01.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  125

Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der Verantwortliche der Verarbeitung bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften festgelegt werden. Im Juli 1995 ergänzte das Europäische Parlament zur bereits geänderten Fassung des Art. 2 lit. d DSRL-E (PAR 1995) erstmalig die gemeinsame Verantwortlichkeit: Verantwortlicher der Verarbeitung sei auch jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide.698 Die Europäische Kommission legte in der Folge exemplarische Verantwortliche offen: z. B. staatliche Behörden, Unternehmen, Vereinigungen usw. und begrüßte die Ergänzung um den gemeinsam Verantwortlichen.699 Am 24. 10. 1995 unterzeichneten alle drei Organe die am 23. 11. 1995 im Amtsblatt der EG publizierte Datenschutzrichtlinie 95/46/EG.700 Die Gesetzgebungsgeschichte blieb bis zum Schluss nicht immer nachvollziehbar: Anstelle des Begriffs Verantwortlicher der Verarbeitung tauchte in der finalen Version der bisher nicht diskutierte Begriff für die Verarbeitung Verantwort­ licher auf. Warum der Begriff modifiziert wurde, ist unklar. Die Erwägungsgründe nutzen ihn 16 Mal, wobei insbesondere Erwägungsgrund 25 mit Erläuterungen aufwartete: Datenschutzrechtliche Pflichten oblägen den Personen, Behörden, Unternehmen, Geschäftsstellen oder anderen für die Verarbeitung verantwortlichen Stellen. Verantwortlich könne jedoch nur sein, wer endgültig über die Ziele der Verarbeitung entscheide und insoweit für Bestimmung und Durchführung der Verarbeitung Verantwortung trage.701 Eine Aussage für Arbeitnehmervertretungen wurde nicht getroffen. Ob der Betriebsrat also datenschutzrechtlich Verantwortlicher ist, ergibt sich auch aus den Gesetzgebungsunterlagen zur DSRL nicht. Die Entstehungsgeschichte der DSRL beeinflusst die Stellung des Betriebsrats aber mittelbar: Das Einfügen von any verdeutlicht die Weite der Verantwortlichkeit. Der Betriebsrat könnte vergleichbar mit einer Vereinigung im Sinne des Kommissions-Entwurfs oder aber einer Geschäftsstelle im Sinne von Erwägungsgrund 25 zur DSRL sein. Denn auch die Geschäftsstelle ist etwa lediglich Unternehmensteil.

698

Das Parlament führte damit definitorisch auch die gemeinsame Verantwortlichkeit in den Normtext ein, s. hierzu Europäisches Parlament, Beschl. v. 15. 6. 1995, C4–0051/95 – 00/0287 (COD). 699 Europäische Kommission, Stellungnahme v. 18. 7. 1995, KOM (95) 375 endg. COD287. 700 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281/31 v. 23. 11. 1995. 701 Brühann, in: Grabitz / Hilf (Hrsg.), Recht der EU, Art. 2, Begr., lit. d.

126

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

(bb) Die Auslegung des Art. 2 lit. d DSRL Die Auslegungsversuche von Art. 2 lit.  d DSRL durch die Literatur könnten bei der Einordnung des Betriebsrats weiterhelfen. Die deutsche Kommentarlitera­ tur verglich zur Einordnung des Verantwortlichkeitsbegriffs die Sprachfassungen miteinander.702 Die DSRL modernisierte die Terminologie der DSK 108. Verantwortliche Stellen waren natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, wenn sie datenschutzrechtlich relevante Entscheidungen über Zwecke und Mittel der Datenverarbeitung treffen. Begrifflich veränderte die DSRL also wenig. Ihr Ziel war die europaweite Vereinheitlichung der Datenschutzstandards.703 Die deutsche Literatur klassifizierte die andere Stelle jedoch als öffentliche Stelle und stellte sie neben die privaten Stellen „natürliche und juristische Person“.704 Zugrunde lag die terminologische Differenzierung zwischen öffentlichen und nicht-öffentlichen bzw. privaten Stellen. Im Normwortlaut von Art. 2 lit. d DSRL waren natürliche und juristische Personen bereits – durch das „und“ – grammatikalisch eng miteinander verknüpft. Natürliche und juristische Personen wurden unstreitig als private bzw. nicht-öffentliche Stellen klassifiziert.705 Nach dem Komma hinter juristische Personen war unmittelbar der Begriff Behörde angesiedelt. Behörden hingegen waren unstreitig öffentliche Stellen. Die Idee der Literatur war also folgende: Wenn durch das erste Komma grammatikalisch originär nichtöffentliche Stellen vom Prototyp der öffentlichen Stellen – nämlich der Behörde – abgetrennt sind, so musste dahinter ein System stecken. Folglich mussten auch die im Wortlaut folgenden Einrichtungen und anderen Stellen öffentliche Stellen sein. Art. 2 lit. d DSRL wurde also von der deutschen Literatur ohne großen Wi­ derspruch eingeteilt als Norm, die die Verantwortlichkeit von nicht-öffentlichen Stellen (namentlich natürlichen und juristischen Personen) und öffentlichen Stellen (namentlich Behörden, Einrichtungen oder anderen Stellen) vorsah. Der Betriebsrat war nicht-öffentliche Stelle, aber weder natürliche noch juristische Person. Nach damaliger Auslegung der Literatur war der Betriebsrat also eindeutig nicht datenschutzrechtlich Verantwortlicher (Art. 2 lit. d DSRL). (cc) Das Verantwortlichkeitskonzept im BDSG Der Wortlaut der DSK 108 und von Art. 2 lit. d DSRL ermöglicht also eine Einordnung des Betriebsrats als datenschutzrechtlich Verantwortlicher – er gibt dessen Verantwortlichkeit aber nicht ausdrücklich vor. Der deutsche Gesetzgeber hat die 702

Ausf. Ehmann / Helfrich, EG-Datenschutzrichtlinie, Art. 2, Rn. 39 ff. DSRL-EG 7 ff. 704 Dammann / Simitis, EG-Datenschutzrichtlinie, Art. 2, Rn. 11 f. 705 Hierbei bleibt unklar, warum juristische Personen des öffentlichen Rechts nicht berücksichtigt wurden. 703

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  127

Möglichkeit, den Betriebsrat als datenschutzrechtlich Verantwortlichen einzuordnen, allerdings nie in Betracht gezogen, weil er ihm gemeinsam mit den Literaturmeinungen der DSRL einen eigenen Feinschliff verliehen hat. Nachvollzogen wird hier beiläufig, ob und wie der deutsche Diskurs die Auslegung der europäischen Begriffe beeinflusst hat. Die Mitgliedstaaten mussten die DSRL binnen dreijähriger Frist von 1995 bis 1998 umsetzen (Rückschluss aus Art. 32 Abs. 1 DSRL). Deutschland setzte diese, trotz oder gerade wegen der Vorreiterstellung beim Thema Datenschutz, erst nach Eröffnung eines Vertragsverletzungsverfahrens 2001 verspätet im BDSG um. Der deutsche Gesetzgeber ging – bei einem Blick in die Datenschutzrechtsgesetzgebung in Teilen wohl nicht unbegründet706 – davon aus, dass das deutsche Datenschutzniveau hoch war. Im Jahr 1970, nach Simitis dem Geburtsjahr der Datenschutzgesetzgebung, normierte gerade das deutsche Bundesland Hessen das erste Datenschutzgesetz weltweit.707 Wenig später folgten weitere Landesgesetzgeber und auch der Bundesgesetzgeber mit dem BDSG 1977.708 Während also in etwa zeitgleich internationale Diskussionen um den Datenschutz begannen und viele andere Länder noch keine Datenschutzgesetze erlassen hatten, waren in Deutschland bereits umfassende Regelungen normiert. Als die EU etwa 1990 das Thema „Datenschutz“ für sich entdeckte, weil unterschiedliche Datenschutzniveaus den Binnenmarkt behinderten, war die Datenschutzgesetzgebung in Deutschland bereits über 20 Jahre alt. Seit 1977 hatte sich in Deutschland das Begriffspaar speichernde Stelle und datenschutzrechtlich Berechtigter durchgesetzt,709 das bereits der erste BDSGGesetzgeber nach langer Diskussion verwendete (§ 2 Abs. 3 Nr. 1 BDSG (1977)).710 Speichernde Stelle war nach § 1 Abs. 1 Satz 1 BDSG (1977) jede Behörde oder sonstige öffentliche Stelle (Nr. 1) oder jede natürliche oder juristische Person, Gesellschaft oder andere privatrechtliche Personenvereinigung, die für eigene Zwecke (Nr. 2) oder geschäftsmäßig für fremde Zwecke (Nr. 3) Daten speichert, verändert, löscht oder aus Dateien übermittelt. Nachdem das BDSG nach dem Volkszählungsurteil des BVerfG (1983) im Jahre 1990 umfassend novelliert wurde, definierte fortan § 3 Abs. 8 BDSG (1990) die speichernde Stelle als Person oder Stelle, die personenbezogene Daten für sich selbst speichert oder durch andere im Auftrag speichern lässt. § 2 BDSG (1990) differenzierte öffentliche und nicht-öffentliche Stellen. Das BDSG wurde bis 2001 nicht mehr geändert. 706 v. Lewinski, Geschichte des Datenschutzrechts von 1600 bis 1977, in: Arndt et al. (Hrsg.): Freiheit – Sicherheit – Öffentlichkeit, S. 196–220; ders., Die Matrix des Datenschutzes, S. 1 ff. 707 Simitis / Hornung / Spiecker, in: dies. (Hrsg.), DSGVO, Einl., Rn. 1. 708 S. historisch Liedtke, Bundesdatenschutzgesetz. 709 In § 4 HessDSG (1970) sprach das hessische Datenschutzgesetz noch von dem Unbefugt Einsehenden, bezog die Verarbeitungstätigkeiten aber ohnehin lediglich auf Behörden oder der Aufsicht des Landes unterstehenden Körperschaften, Anstalten oder Stiftungen des Öffentlichen Rechts (§ 1 HessDSG (1970)). 710 S. etwa im Gesetzentwurf vom 21. 9. 1973 noch ohne jede konkretisierte Einbeziehung des Verantwortlichen unter Nennung einzelner Gruppen von Verantwortlichen in § 2 Abs. 1 BDSG-E (1973): BT-Drs. 7/1027, S. 5.

128

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Die deutsche Rechtswissenschaft hatte ab 1990 Ressentiments gegenüber den – teils als überflüssig angesehenen – europäischen Neuregelungen, da sie durch Vereinheitlichungen ein Absenken des deutschen Datenschutzstandards befürchtete.711 Warum, wenn bereits ein hoher Datenschutzstandard bestehe, sollten nun europäische Regelungen notwendig und gerade besser sein? Aus dieser Wahrnehmung heraus lässt sich die anfängliche Untätigkeit des deutschen Gesetzgebers bei der Umsetzung erklären. Auch bei dem datenschutzrechtlichen Verantwortlichkeitskonzept drohte Wandel: Als die EU 1995 die DSRL erließ, traf der europäische Begriff für die Verarbeitung Verantwortlicher (DSRL) auf den überkommenen deutschen Begriff speichernde Stelle (BDSG).712 Erst nach eingeleitetem Vertragsverletzungsverfahren713 setzte der deutsche Gesetzgeber die DSRL in dem Wissen um, dass er bereits früher hätte handeln müssen.714 Er novellierte das BDSG 2001 und 2003 umfassend. Die speichernde Stelle wandelte er in § 2 Abs. 7 BDSG (2001) – in vermeintlich europarechtskonformer Weise – in verantwortliche Stelle um und meinte damit jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.715 § 2 Abs. 7 BDSG und der Begriff verantwortliche Stelle blieben bei den wesentlichen Änderungen des BDSG von 2003,716 2009717 und 2015718 unberührt. Zur Erinnerung:719 Die DSRL von 1995 nutzte zu diesem Zeitpunkt weiterhin den Begriff für die Verarbeitung Verantwortlicher und meinte damit die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 2 lit. d DSRL 1995). Die Überlegung, die hinter der Zurechnung des Betriebsrats zur datenschutzrechtlich verantwortlichen Stelle Arbeitgeber stand, war  – verkürzt  – folgende: Bekannt ist aus dem deutschen Recht die Differenzierung zwischen öffentlichen und nicht-öffentlichen Stellen. Also wird diese auch der europäische Gesetzgeber vorgesehen haben. Und wenn er diese vorgesehen hat, dann spricht die grammatikalische Aufteilung in Art. 2 lit. d DSRL dafür, dass allein natürliche und juristische Personen nicht-öffentliche, alle anderen Entitäten hingegen öffentliche Stellen sein müssen. Und da der Betriebsrat weder natürliche oder juristische Person 711

Simitis / Dammann, DSRL, Einl., Rn. 2, 46 ff.; Simitis / Hornung / Spiecker, in: dies. (Hrsg.), DSGVO, Einl., Rn. 61 ff. 712 Zu den unterschiedlichen Ursprüngen und einem Vergleich beider Termini s. Monreal, ZD 2014, 611 (vgl. v. a. ab 616). 713 EuGH. Rs. C-443/00 v. 13. 9. 2001 – KOM / GER (ohne Entscheidung). 714 BT-Drs. 14/4329, S. 1. 715 BT-Drs. 14/4329, S. 33. 716 BGBl. I Nr. 3 v. 24. 1. 2003, S. 66. 717 BGBl. I Nr. 7 v. 5. 2. 2009, S. 160. 718 BGBl. I Nr. 7 v. 25. 2. 2015, S. 162. 719 S. Kap. § 2 D. II. 1. c) bb) (1) (b) (bb).

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  129

noch öffentliche Stelle sei, könne er auch nicht verantwortlich sein. Wird nunmehr dieser Gedanke in die Verantwortlichkeitsarchitektur zwischen BDSG und DSRL eingeordnet, so ergibt sich folgende Darstellung: Das deutsche Recht differenzierte in § 2 BDSG sehr zentral – bereits seit 1977 überkommen – zwischen öffentlichen und nicht-öffentlichen Stellen. Die DSRL maß der Differenzierung erheblich geringere Bedeutung bei: Sie sprach allein in Art. 28 Abs. 1 DSRL von öffentlichen Stellen, an einer Stelle in den Erwägungsgründen von Beteiligten im öffentlichen und privaten Bereich720 und an einer weiteren Stelle in den Erwägungsgründen im Kontext der Verantwortlichkeit von unter das öffentliche Recht oder das Privatrecht fallenden Personen.721 Grundsätzlich kannte die DSRL also zumindest öffentliche Stellen. Der begrifflichen Differenzierung lag hier jedoch allein in Art. 28 Abs. 1 DSRL eine dogmatische Differenzierung zugrunde. Und Art. 28 Abs. 1 DSRL nutzte die Öffentlichkeit der Stelle, anders als die deutsche Literatur, nicht als Differenzierungsmerkmal innerhalb der datenschutzrechtlichen Verantwortlichkeit. Wenn überhaupt davon ausgegangen werden kann, dass die DSRL auch private Stellen als Gegenbegriff zu den bekannten öffentlichen Stellen umfasste, obwohl sie private Stellen nicht explizit normierte, so hatte diese Differenzierung in der DSRL keinesfalls eine ebenso hervorgehobene Bedeutung wie im deutschen Recht. Und erst eine hervorgehobene Bedeutung würde eine Auslegung nahelegen, die in Art. 2 lit. d DSRL zwischen nicht-öffentlichen und öffentlichen Stellen differenziert.722 Denn diese Auslegung setzt eine systematische Trennung zwischen den Begriffen juristische Person und Behörde im Wortlaut voraus, die aus dem Europarecht nicht ableitbar ist. Ob andererseits das oder zwischen Behörde und andere Stelle eine systematische Bedeutung hatte, wurde nicht in die Überlegungen einbezogen. Nur mit Kenntnis der überkommenen Differenzierung öffentlicher und nicht-öffentlicher Stellen im deutschen Recht lag also eine den Wortlaut von Art. 2 lit. d DSRL differenzierende Auslegung nahe. Die DSRL selbst setzte diese Differenzierung jedenfalls nicht voraus. Da die europarechtlichen Neuerungen aber generelle Skepsis verursachten, wollte wohl niemand von den überkommenen datenschutzrechtlichen Konzepten in Deutschland abrücken. Und in Deutschland war unstreitig, dass der Betriebsrat Teil der verantwortlichen Stelle Arbeitgeber war. Die Literatur konstatierte, – insoweit fehlerhaft folgerichtig – es seien keine „Konflikte“ zwischen DSRL und BDSG erkennbar.723 Zwar hätte ohne Weiteres die deutsche Differenzierung zwischen öffentlicher und nicht-öffentlicher Stelle aufrecht erhalten bleiben können. Deutsche überkommene Konzepte hätten aber nicht als Auslegungsmaßstab des autonom auszulegenden Europarechts genutzt werden dürfen. Der deutsche Gesetzgeber versuchte, das europäische Verantwortlichkeitskonzept in das deutsche Recht zu integrieren und nicht (wie es recht­mäßig 720

Vgl. DSRL-EG 5. Vgl. DSRL-EG 32, s. auch DSRL-EG 55. 722 So aber die deutsche Literatur, die konstatierte: Stelle sollte wie eine Behörde sein, nur eben ohne Behördenqualität, s. Simitis / Hornung / Spiecker, in: dies. (Hrsg.), DSGVO, Einl., Rn. 61 ff. 723 Dammann / Simitis, EG-Datenschutzrichtlinie, Art. 2, Rn. 13. 721

130

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

gewesen wäre)  umgekehrt. Hierbei missachtete er  – in der Retrospektive  – die Normenhierarchie. Hinzu trat, dass der europäische Stellenbegriff seit 1995 in personeller und sachlicher Hinsicht ausdifferenzierter war als die deutschen Begriffe. Das BDSG 2003 sprach von Personen oder Stellen, während die DSRL natürliche und juristische Personen, Behörden, Einrichtungen oder andere Stellen zusammenhängend eben als Stellen bezeichnete. Der deutsche Gesetzgeber unterlag hier einem begrifflichen Fehlverständnis: Auch Personen wurden im Europarecht als spezifische Stelle bezeichnet, da der Begriff Stelle als Auffangbegriff am Ende der Aufzählung stand. Das deutsche Recht hingegen differenzierte zwischen Personen und Stellen. Daneben war das Europarecht auch in sachlicher Hinsicht anders differenziert. Die DSRL knüpfte die Verantwortlichkeit an die Verarbeitung an. Verarbeitung meinte gem. Art. 2 lit. b DSRL das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten von personenbezogenen Daten. Das BDSG knüpfte noch in der Version nach 2003 – in überkommender Terminologie der speichernden Stelle – lediglich an das Speichern an. Das im BDSG 2003 fokussierte Speichern war in der DSRL nur eine ganz spezifische Ausformung der viel weiter gefassten Verarbeitung. Die DSRL war also bereits 1995 begrifflich sowohl sachlich als auch personell erheblich anders konnotiert als das BDSG noch im Jahre 2003, während der deutsche Gesetzgeber wohl von einem Gleichlauf der Regelungswerke ausging.724 Zu Recht wird vereinzelt darauf hingewiesen, dass der deutsche Gesetzgeber einem Missverständnis unterlag725 und bereits 2003 in europarechtswidriger Weise (in personeller und sachlicher Hinsicht) Art. 2 lit. d DSRL in § 2 Abs. 7 BDSG umgesetzt hat. Diese Erkenntnis erklärt heute, warum die deutsche Rechtswissenschaft mit Implementierung der DSGVO „abrupt“ vor erhebliche definitorische Herausforderungen gestellt ist, weil „auf einmal“ auch der Betriebsrat gem. Art. 4 Nr. 7 1. Hs. DSGVO Verantwortlicher sein könnte. Die Probleme, die mit dem Betriebsrat bei Implementierung der DSGVO auftauchten, sind historisch konstruiert – und zwar vom deutschen Gesetzgeber selbst. Sie beruhen auf seinem Missverständnis der europäischen Rechtslage ab 1995. Der deutsche Gesetzgeber versperrte sich aus historischen Gründen gegenüber den europäischen Vorgaben des Verantwortlichkeitskonzepts. In der Tat musste nach seinem Verständnis der Betriebsrat im BDSG als Teil der verantwortlichen Stelle Arbeitgeber angesehen werden, wenn die andere Stelle als öffentliche Stelle definitorisch belegt und der Betriebsrat als 724 725

S. nur etwa BT-Drs. 14/4329, S. 1. Monreal, ZD 2014, 611.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  131

private Stelle weder natürliche noch juristische Person war. Diese Auslegung berücksichtigt jedoch nicht den Zusammenhang zwischen den einzelnen Entitäten und übersieht damit, dass der Terminus andere Stelle nicht lediglich öffentliche Entitäten umfasste. Bereits 1995 hätte sich der deutsche Gesetzgeber – bei europarechtskonformer Umsetzung der DSRL – damit auseinandersetzen müssen, ob der Betriebsrat datenschutzrechtlich Verantwortlicher war. Und dann wäre ihm auch aufgefallen, dass eine europäische Vorgabe, die den Betriebsrat im Sinne von Art. 2 lit. d 1. Hs. DSRL als datenschutzrechtlich Verantwortlichen klassifiziert hat, etwa über Art. 2 lit. d 2. Hs. DSRL hätte aufgelöst werden können. Denn hiernach konnten mitgliedstaatliche Gesetzgeber bei Vorgaben von Zwecken und Mitteln der Datenverarbeitung im nationalen Recht konkret bestimmen, ob die jeweils betroffene Entität datenschutzrechtlich verantwortlich sein sollte oder nicht.726 Nicht jedoch hätte er das Verantwortlichkeitskonzept selbst definitorisch verändern dürfen. Da er allerdings von europäischen Vorgaben abgewichen ist, war diese Umsetzung insoweit europarechtswidrig. (c) Folgen des Missverständnisses des europäischen Verantwortlichkeitskonzepts durch den deutschen BDSG-Gesetzgeber Das Missverständnis des deutschen Gesetzgebers rund um das Verantwortlichkeitskonzept hat auch das betriebliche Datenschutzrecht beeinflusst. Die Definition der anderen Stelle als zwingend öffentliche Stelle verhinderte den Blick der deutschen Rechtswissenschaft auf die etwaige datenschutzrechtliche Verantwortlichkeit des Betriebsrats. Seit 2003 existierten die zwei Verantwortlichkeits-Konzepte des nationalen BDSG und der europäischen DSRL parallel. Beide nutzten zwar die Dichotomie zwischen datenschutzrechtlicher Berechtigung und Verpflichtung, unterschieden sich aber inhaltlich, obwohl sie – wegen der Pflicht zur Richtlinienumsetzung – hätten gleichlaufen müssen. Dies galt bis 2018. Denn von nun an war eindeutig: Die EU stützt sich in der DSGVO auf überkommene europäische Standards in der Tradition der DSRL727 und nicht auf nationalstaatliche Vorstellungen im BDSG. Die DSGVO ist Verordnung und damit gilt auch die Definition der Verantwortlichkeit in Art. 4 Nr. 7 1. Hs. DSGVO unmittelbar und direkt. Nach Implementierung der DSGVO kann sich der deutsche Gesetzgeber nicht (erneut) definitorisch über die Neuregelungen hinwegsetzen. Die DSGVO definiert den Verantwortlichen als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 1. Hs. DSGVO). Dass diese „neue“ Definition den deutschen Gesetzgeber 2018 überraschte, ist nicht verwunderlich: Er verharrte noch in der Dichotomie 726 727

S. Kap. § 2 D. II. 1. b) ee) (3) (c), (d) zur Rechtslage in der DSGVO. Vgl. DSGVO-EG 11.

132

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

zwischen Stelle und Person (§ 3 Abs. 7 BDSG 2010). Über Jahre hinweg übersah er einen zentralen Punkt: Die europäische Definition der Verantwortlichkeit hat sich kaum verändert. Da der deutsche Gesetzgeber sich allerdings selbst über definitorische europarechtliche Vorgaben hinweggesetzt hatte, waren diese nicht in das deutsche Recht übernommen worden. Erstmalig übernimmt das BDSG von 2018 den Begriff Verantwortlicher – nun folgerichtig – mit Hinweis auf europäische Vorgaben.728 Europäischer und deutscher Begriff sind nunmehr vereinheitlicht. Mitgliedstaatlich abweichende Regelungen sind über Öffnungsklauseln denkbar – und so könnte auch das nationale Recht entscheidend für die Einordnung des Betriebsrats in die Verantwortlichkeitsarchitektur der DSGVO sein.729 Hier geht es jedoch zunächst um die originär europäische Terminologie, die durch eine mitgliedstaatliche Einordnung nicht berührt würde. Die Frage der Einordnung des Betriebsrats im Rahmen europäischer Terminologie stellt sich nun also neu. Nach wie vor versuchen Anhänger der überkommenen „deutschen Terminologie“ im Einzelfall, durch fragwürdige Behauptungen Einfluss zu nehmen, etwa indem sie die „unpraktische“ Begriffsauslegung betonen.730 Deutsche Auslegungs- und Praktikabilitätsmodalitäten haben aber – anders als vom sich seinerzeit historisch in einer datenschutzrechtlichen „Vorreiterrolle“ sehenden deutschen Gesetzgeber unterstellt – keinerlei Bedeutung bei der Auslegung europarechtlicher Begriffe. Insoweit sich der deutsche Gesetzgeber bei der Umsetzung der Richtlinie rein faktisch noch über europäische Vorgaben „hinwegsetzen“ konnte, ist dies im Rahmen der unmittelbar geltenden DSGVO nicht (mehr) möglich. Denn die DSGVO erzwingt nun ausdrücklich die in der DSRL teils gescheiterte Angleichung der mitgliedstaatlichen Datenschutzstandards.731 Gerade weil sich der deutsche Gesetzgeber in der Vergangenheit vehement gegen europarechtliche Datenschutzvorschriften wehrte, trifft ihn die definitorische „Neuausrichtung“ nun überraschend. Er setzte sein erprobtes nationales Regelungswerk der europäischen „Regelungswut“732 entgegen. Dieser Ansatz hat mit europäischer Integration wenig zu tun und droht spätestens nunmehr deshalb fehlzuschlagen, weil bei einer Verordnung europäische Gerichte möglicherweise häufiger auch Begriffsauslegungen direkt überprüfen. Und der europäische Gesetzgeber legt den Begriff der Verantwortlichkeit – trotz aller beschworenen Dysfunktionalität im deutschen Recht733 – autonom und weit aus.734 Verantwortlich sind auch andere Stellen, die 728 S. etwa §§ 38 f., 44 BDSG (2018).; für ein „reibungsloses Zusammenspiel“ zwischen DSGVO und nationalem Datenschutzrecht etwa: BT-Drs. 18/11325, S. 1 f. 729 Kap. § 2 D. II. 1. b) ee) (2), (3). 730 Vgl. etwa die Einwände, dass das Verantwortlichkeitskonzept für den Betriebsrat unpraktikabel oder politisch wenig wünschenswert sei (etwa Hitzelberger-Kijima, öAT 2018, 136 (138)). 731 Vgl. DSGVO-EG 9, Satz 1. 732 Zum Begriff, der – nicht nur im Datenschutzrecht – die EU häufig pejorativ beschreibt, s. Sander / Vetter (Hrsg.), Regelungswut in der EU – Wahrheit oder Mythos? 733 S. mit diesem Einwand wohl Hitzelberger-Kijima, öAT 2018, 136 (138). 734 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 60 f.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  133

über Zwecke und Mittel der Datenverarbeitung entscheiden. Vieles spricht vor diesem Hintergrund dafür, dass der Betriebsrat – ohne abweichende deutsche Regelung – nach Ansicht des europäischen Gesetzgebers bereits seit 1995 datenschutzrechtlich verantwortlich gewesen wäre. Abweichende Regelungsmöglichkeiten der Mitgliedstaaten sieht der europäische Gesetzgeber in Art. 2 lit. d 2. Hs. DSRL und heute im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO durch die hier normierte Öffnungsklausel735 sogar möglicherweise selbst vor.736 Der deutsche Gesetzgeber hat allerdings keine Regelung für den Betriebsrat getroffen, sondern in der DSRL vielmehr unzulässig versucht, das Verantwortlichkeitskonzept an das deutsche Recht zu adaptieren.737 Damit handelte er auf europarechtlich unzulässige Weise. (d) Aspekte der Vorgeschichte bei der Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats Das bereits 1980 der DSK 108 entsprungene datenschutzrechtliche Verantwortlichkeitskonzept liefert auch in der Fortführung der DSRL 1995 keine zwingenden Hinweise, ob der europäische Gesetzgeber den Betriebsrat als eigenständigen Verantwortlichen klassifizieren wollte. Verdeutlicht wird lediglich, dass es dem deutschen Gesetzgeber schwerfiel, europäische Begriffe autonom auszulegen. Die noch heute in ihrer Bedeutung im Rahmen der DSGVO fortgeltende Verantwortlichkeitsdefinition der DSRL ist offen formuliert und intendiert mit der weiten Auslegung sogar eine Verantwortlichkeit besonders vieler heterogener Stellen. Die Entwicklungsgeschichte des europäischen Verantwortlichkeitsbegriffs spricht tendenziell für eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats, die durch deutsche Regelungen hätte ergänzt werden können (DSRL) bzw. ergänzt werden kann (DSGVO). (2) Die EuGH-Rechtsprechung vor der DSGVO Der EuGH wird in künftigen Urteilen zur Verantwortlichkeit in der DSGVO wohl auf seine Rechtsprechung zur DSRL Bezug nehmen. Insbesondere drei seiner Urteile haben sich bisher mit dem Topos datenschutzrechtliche Verantwortlichkeit beschäftigt: Namentlich das Google-Spain-Urteil738 und hieran anknüpfend die Rechtssachen Facebook739 und Zeugen Jehovas740. Alle drei Urteile legen zwar abstrakte Leitsätze fest, beschäftigen sich aber mit dem Konzept der gemeinsamen 735 Der Begriff Öffnungsklausel ist nicht legaldefiniert. Die Öffnungsklausel ist eine abstrakte Bestimmung, die ein Regelwerk gegenüber anderen Regelwerken öffnet (Müller, Öffnungsklauseln der DSGVO, S. 51 ff.). 736 S. zur Weite der Öffnungsklauseln Kap. § 2 II. 1. b) ee) (3) (c), (d). 737 S. zur heutigen Rechtslage allerdings Kap. § 5. 738 EuGH, C-131/12, Urt. v. 13. 5. 2014 – Google Spain. 739 EuGH, C-210/16, Urt. v. 5. 6. 2018 – ULD / Wirtschaftsakademie SH. 740 EuGH, C-25/17, Urt. v. 10. 7. 2018 – Zeugen Jehovas.

134

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Verantwortlichkeit,741 das bei der Diskussion um die datenschutzrechtliche Verantwortlichkeit des Betriebsrats keine Rolle spielt.742 Die Akteure Google, Facebook und die Zeugen Jehovas sind nicht mit dem Betriebsrat vergleichbar.743 Denn diese sind nicht durch betriebsverfassungsrechtliche Besonderheiten geprägt. Hier sollen nur einige Leitgedanken aus der EuGH-Rechtsprechung aufgeführt werden, die Anknüpfungspunkte von Urteilen zur datenschutzrechtlichen Stellung des Betriebsrats sein könnten. Der EuGH urteilte, Ziel der DSRL sei es, einen wirksamen und umfassenden Schutz der betroffenen Person zu gewährleisten. Der Begriff „Verantwortlicher“ sei deshalb weit auszulegen.744 Er wich bei dieser Feststellung sogar von der Ansicht des Generalanwalts ab, der für die Eigenschaft als Verantwortlicher eine „semantisch bedeutsame“ Datenverarbeitung und nicht lediglich die Verarbeitung von Computerdaten forderte.745 Der EuGH entschied weiter, dass bereits die Ermöglichung des Umgangs mit Daten Verantwortlichkeit begründen könne.746 Die abstrakten Leitsätze der EuGH-Rechtsprechung sind jedoch allenfalls vorsichtig bei der Auslegung der datenschutzrechtlichen Stellung des Betriebsrats zu berücksichtigen. cc) Aspekte der historischen Auslegung des Verantwortlichkeitskonzepts in der DSGVO Die historische Auslegung bietet viele Ansatzpunkte für die Einordnung des Betriebsrats in das datenschutzrechtliche Verantwortlichkeitskonzept: Historischer Ursprung des Verantwortlichkeitskonzepts ist die DSK 108, auf die sich der europäische Gesetzgeber der DSRL bei Konzept-Übernahme bezieht. Der DSGVOGesetzgeber übernimmt den weiten Verantwortlichkeitsbegriff der DSRL. Der deutsche Gesetzgeber hat bei Umsetzung der Vorgaben der DSRL im BDSG den Verantwortlichkeitsbegriff fehlerhaft implementiert. Dies verursacht noch heute vielfältige Auslegungsprobleme. Die DSGVO-Erwägungsgründe sprechen tendenziell dafür, dass der Betriebsrat über Zwecke und Mittel der Datenverarbeitung entscheidet (sachliches Element), regeln aber nicht, ob der Betriebsrat andere Stelle ist (personelles Element). Die EuGH-Rechtsprechung befasst sich bisher v. a. mit der gemeinsamen Verantwortlichkeit und ermöglicht somit keine Aussage zur datenschutzrechtlichen Stellung des Betriebsrats. Sie erzwingt weder die Verantwort 741

EuGH, C-131/12, Urt. v. 13. 5. 2014, Rn. 35, 80 – Google Spain. So aber Maschmann, NZA 2020, 1207 (1210); s. ausf. Kap. § 2 D. II. 1. c) bb) (d). 743 A. A. im Hinblick auf die Zeugen Jehovas wohl aber Maschmann, NZA 2020, 1207 (1210); s. hierzu Kap. § 2 D. II. 1. c) bb). 744 EuGH, C-131/12, Urt. v. 13. 5. 2014, Rn. 34  – Google Spain; EuGH, C-210/16, Urt. v. 5. 6. 2018, Rn. 66  – ULD / Wirtschaftsakademie SH; EuGH, C-25/17, Urt. v. 10. 7. 2018, Rn. 66 – Zeugen Jehovas, in Übereinstimmung mit den Schlussanträgen des GA in Rs. C-25/17 v. 1. 2. 2018, Rn. 63. 745 Schlussanträge GA in Rs. C-131/12 v. 25. 6. 2013, Rn. 83. 746 EuGH, C-131/12, Urt. v. 13. 5. 2014, Rn. 36 f. – Google Spain. 742

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  135

lichkeit des Betriebsrats noch eine Zuordnung des Betriebsrats zu einer anderen verantwortlichen Stelle. Insgesamt sprechen drei historische Gründe tendenziell für die Einordnung des Betriebsrats als datenschutzrechtlich Verantwortlichen: Der Verantwortlichkeitsbegriff ist weit auszulegen. Der europäische Gesetzgeber nimmt Arbeitnehmervertretungen nicht von der Verantwortlichkeit aus. Und der deutsche Gesetzgeber hätte in Kenntnis dieses Umstands mehrfach Zeit gehabt, Ausnahmen von dieser Regelungswirkung zu schaffen. d) Das Telos als Auslegungskriterium Bei der teleologischen Auslegung geht es um die Evolution der Begriffe und die effektive Durchsetzung gesetzgeberischer Vorstellungen. „Teleologisch“ stammt vom griechischen Wort telos („Ziel“) ab und fragt nach der ratio legis der Norm, nach deren Sinn und Zweck.747 Teleologische Auslegung wird häufig als führendes Auslegungskriterium angesehen.748 Jede Norm soll nach EuGH-Ansicht effektiv oder nach dem Grundsatz der praktischen Wirksamkeit (effet utile)749 so ausgelegt werden, dass die europäischen Vertragsziele am besten gefördert750 und der vom europäischen Gesetzgeber intendierte Regelungszweck in seiner Wirksamkeit nicht abgeschwächt wird.751 Ausnahmen von europäischen Grundsätzen sind eng auszulegen.752 Die konkrete Ausprägung der Norm soll immer evolutiv untersucht werden.753 Teleologische Auslegung kann konkrete (mit dem Gesetz verfolgte) oder abstrakte Gesetzeszwecke (Effektivität, Praktikabilität, Gleichheit) einerseits754 und subjektive (am konkreten Gesetzgeberwillen orientierte) oder objektive (vom Gesetzgeberwillen losgelöste) Sinngebung andererseits untersuchen.755 Art. 4 Nr. 7 DSGVO ist seit seiner Implementierung noch nicht bedeutend evolutiv weiterentwickelt – etwa durch Rechtsprechung oder gesetzgeberische Vorhaben.756 Das Telos entspricht inhaltlich wesentlich den Vorstellungen des historischen Gesetzgebers. Im Rahmen teleologischer Auslegung kann es bisher folglich v. a. um die effek 747

Möllers, Methodenlehre, S. 151 f. S. nur Möllers, Methodenlehre, S. 151; zur Herleitung einer übergreifenden Funktion der teleologischen Auslegung Beaucamp / Beaucamp, Methoden und Technik der Rechtsanwendung, S. 52; nicht eindeutig Kramer, Methodenlehre, S. 187 ff.; im europäischen Recht mit Verweis darauf, dass dies von EuGH-Richtern geteilt würde Anweiler, Auslegungsmethoden des Gerichtshofs, S. 199 m. w. N. 749 EuGH 246/80, Slg. 1981, 2311, Rn. 16 – Broekmeulen; EuGH, C-167/73, Slg. 1974, 359, 478, Rn. 24/26 – KOM / FRA; EuGH, 51/76, Slg. 1977, 113, Rn. 20/29 – Niederlandse Ondernemingen. 750 Seyr, effet utile, S. 102 f. 751 EuGH, C-9/70, Slg. 1970, 825, Rn. 5 – Lebepfennig; EuGH, C-41/74, Slg. 1974, 1337, Rn. 12 – van Duyn; EuGH, 51/76, Slg. 1977, 113, Rn. 20/29 – Niederlandse Ondernemingen. 752 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 55 EUV, Rn. 16. 753 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 46. 754 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 53. 755 Kramer, Methodenlehre, S. 160 f. 756 S. aber zur Verstrickung mit dem deutschen Recht Kap. § 5. 748

136

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

tive Normdurchsetzung und nicht um die Untersuchung eines bereits gewandelten Telos gehen. Zunächst wird kurz die Effektivität der qualitativ oder quantitativ zentrierten Verantwortlichkeitsarchitektur untersucht (aa)). Danach wird der Zusammenhang zwischen Entscheidung und Weisungsrecht vor dem Hintergrund von Effektivitätsaspekten (bb)) und die – auch daraus resultierende – Unabhängigkeit des Betriebsrats von der verantwortlichen Stelle Arbeitgeber untersucht (cc)). Die Ergebnisse werden abschließend zusammengefasst (dd)). aa) Regelungseffektivität: Qualitative und quantitative Aspekte der Verantwortlichkeitsarchitektur Der Effektivitätsgrundsatz verlangt effektive Verwirklichung europäischer Normen: Es sei diejenige Auslegung zu bevorzugen, die europarechtliche Ziele am besten verwirkliche.757 Das Verantwortlichkeitskonzept in Art. 4 Nr. 7 DSGVO ist Schlüsselkonzept zur Umsetzung allgemeiner Ziele der DSGVO, d. h. der Stärkung des Binnenmarkts und der Bürgerrechte.758 Zum besseren Schutz der Bürgerrechte sollen Datenverarbeitungen normativ reguliert werden und die von Verarbeitung personenbezogener Daten Betroffenen sollen die Kontrolle über ihre Daten zurückerlangen.759 Der Betriebsrat verarbeitet vielfältige personenbezogene Daten.760 Für diese Verarbeitungen muss es einen Verantwortlichen geben. Die Verantwortlichkeit des Arbeitgebers könnte allerdings für Datenverarbeitungen personenbezogener Daten durch den Betriebsrat funktional äquivalent zur Verantwortlichkeit des Betriebsrats sein.761 Die konkrete Ausgestaltung der Verantwortlichkeitsarchitektur wäre dann für das Datenschutzniveau gar nicht entscheidend. Bereits vor Implementierung der DSGVO wurde im BDSG allein der Arbeitgeber (effektiv) als datenschutzrechtlich Verantwortlicher klassifiziert.762 Mit Einfügen der anderen Stelle in den auch im deutschen Recht unmittelbar anwendbaren Art. 4 Nr. 7 1. Hs. DSGVO ist das Verhältnis von Betriebsrat und Arbeitgeber in der DSGVO allerdings neu herausgefordert. Da das zentrale Ziel des europäischen Gesetzgebers die europaweite Erhöhung des Datenschutzniveaus ist, muss untersucht werden, ob eine Verantwortlichkeit des Arbeitgebers an Stelle des Betriebsrats gleichsam effektiv für das Datenschutzniveau ist wie eine alleinige Verantwortlichkeit des 757 Staben, ZFA 2020, 287 (296) übersetzt dies mit dem lückenlosen Schutz, den das Verantwortlichkeitskonzept gewährleisten möchte: Jeder Verarbeitung soll ein Verantwortlicher gegenüberstehen. 758 S. Kap. § 2 D. II. 1. b) cc). 759 Vgl. Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 38; zu den allgemeinen Voraussetzungen dieser schweren Entscheidung: Worms / Gusy, DuD 2012, 92 (99). 760 S. Kap. § 2 D. II. 1. b) cc). 761 Oder wie es Schuster, AuR 2020, 104 (106) und Kort, ZD 2017, 3 (6) formulieren: Ist der bisherige Sonderstatus unter dem BDSG weiter aufrechtzuerhalten?; s. auch die Idee in Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), § 79a BetrVG-E. 762 S. Kap. § 2 B.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  137

Betriebsrats.763 Das Ziel Erhöhung des Datenschutzniveaus kann durch verschiedene Verantwortlichkeitszuweisungen erreicht werden. Klar ist, dass eine höhere Anzahl von Verantwortlichen nicht zwangsläufig die Effektivität datenschutzrechtlicher Regelungen erhöht.764 Eine qualitativ wohlüberlegte Verteilung von Verantwortlichkeiten sichert vielmehr ein lückenloses und besonders effektives datenschutzrechtliches Netz. Mehr Verantwortliche wirken sich möglicherweise sogar negativ auf das Datenschutzniveau aus. Denn viele unterschiedliche Stellen behindern die Prävention von Datenschutzverstößen. Weniger Verantwortliche ermöglichen nicht nur eine bessere Übersicht für die Datenschutzaufsichtsbehörden, sondern erhöhen auch die Professionalität im Umgang der Verantwortlichen mit Datenschutzverstößen. bb) Effektiver Datenschutz durch weisungsgeleitete Verantwortlichkeitsarchitektur Die DSGVO stellt bei Bestimmung der Verantwortlichen nicht die Eignung der Adressaten in den Vordergrund, sondern ihre Entscheidung über Zwecke und Mittel der Datenverarbeitung. Entscheidung bedeutet die Möglichkeit der Einflussnahme auf Datenverarbeitungen, um Datenschutzverstöße zu verhindern. Zur Verstoß-Prävention sollen etwa Sanktionen denjenigen treffen, der über die Datenverarbeitung entscheidet, denn hierbei kann zugleich sichergestellt werden, dass künftige Entscheidungen datenschutzkonform ergehen. Verantwortlichkeit fördert also dann effektiven Datenschutz, wenn sie an Beherrschbarkeit der Entscheidungen anknüpft. Verantwortlichkeit ist Entscheidungsgewalt.765 Weder bedeutet dies, dass der Betriebsrat per se Verantwortlicher ist, noch, dass der Arbeitgeber jedenfalls verantwortlich ist. Untersucht werden muss vielmehr, wer bei Datenverarbeitungen tatsächlich entscheidet. Dahinter steht ein effektivitätsgeleitetes Grundprinzip: Wer entscheidet, der kann die Einhaltung des Datenschutzrechts gewährleisten. Entscheidungsgewalt haben häufig übergeordnete Entitäten, wie der DSGVO-Gesetzgeber erkannt hat und in Art. 29 DSGVO voraussetzt. Er knüpft die Entscheidung an das Weisungsrecht.766 Weisungsrecht ist Indikator für Beeinflussungsmöglichkeiten: Dem Verantwortlichen unterstellte Personen dürfen Daten nur nach dessen Weisung verarbeiten. Dies ist auch folgerichtig: Solange zwischenzeitlich keine andere Stelle über die Zwecke und Mittel der Datenverarbeitung entscheidet, entscheidet eben die anweisende Stelle. Wegen dieser Zurechnungsmöglichkeiten in der DSGVO werden zwei Konstellationen genauer untersucht: Das Verhältnis der Betriebsratsmitglieder zum Arbeitgeber (1) und das Verhältnis der Betriebsratsmitglieder zum Betriebsrat (2). Die Ergebnisse werden kurz zusammengefasst (3). 763

Dieses Argument u. a. bei Heuschmid, SR 2019, 1 (8). Mit allenfalls kurzer Begründung wirft diese Frage Heuschmid, SR 2019, 1 (9) auf. 765 S. Kap. § 2 D. II. 1. a) cc). 766 Zu diesem Gedanken auch Maschmann, NZA 2020, 1207 (1210 f.). 764

138

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

(1) Weisungen vom Arbeitgeber an das Betriebsratsmitglied? Jedes Betriebsratsmitglied ist zugleich Arbeitnehmer des Arbeitgebers, der den Betrieb leitet (§§ 7, 8 BetrVG).767 Und der Arbeitgeber ist für Datenverarbeitungen seiner Arbeitnehmer verantwortlich, wenn er im Rahmen einer Weisung über Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 29 DSGVO). Dies gilt, soweit ein Arbeitnehmer nicht – im schlimmsten Fall vorsätzlich – exzessiv handelt.768 Der Arbeitgeber hat gegenüber den Betriebsratsmitgliedern aufgrund der betriebsrätlichen Unabhängigkeit jedoch gerade kein Weisungsrecht.769 Arbeitgeber und Betriebsrat arbeiten zwar vertrauensvoll zusammen (§ 2 BetrVG), sie sind aber betriebsverfassungsrechtliche Gegenspieler mit limitiert gegenläufigen Interessen: Den Interessen des Arbeitgebers und den Belegschaftsinteressen. Art. 29 DSGVO begründet also keine Verantwortlichkeit des Arbeitgebers für Datenverarbeitungen der Betriebsratsmitglieder. Eine europarechtlich erzwungene datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für Datenverarbeitungen des Betriebsrats würde mangels Weisungsmöglichkeit sogar die Effektivität des Datenschutzrechts in Frage stellen.770 (2) Weisungsarchitektur von Betriebsrat und Betriebsratsmitglied? Das Organ Betriebsrat hat aber auch (zumindest) kein klassisches Weisungsrecht gegenüber seinen Betriebsratsmitgliedern, denn der Betriebsrat entscheidet als Kollegialorgan über seine Maßnahmen gemeinsam.771 Art. 29 DSGVO kann jedoch aus zwei Perspektiven herangezogen werden: Der Weisungsbegriff könnte extensiv ausgelegt werden und auch organschaftliche Entscheidungen, etwa Betriebsratsbeschlüsse, umfassen. Oder es könnten die mitgliedstaatlichen Regelungen des BetrVG in das Zentrum der Diskussion gerückt werden: Da die effektive Belegschaftsinteressenvertretung durch Betriebsräte zentrales Ziel des BetrVG ist, könnten Betriebsratsmitglieder zur Verarbeitung von Daten zu Zwecken der Belegschaftsinteressenvertretung (untechnisch) angewiesen sein. Denn zwar sind Betriebsratsmitglieder natürliche Personen und potenziell selbst verantwortlich.772 Sie verarbeiten aber lediglich gerade deshalb die konkreten Daten, weil sie Mitglieder des Organs Betriebsrat sind. Im Rahmen der abstrakten gesetzlichen Vorgaben von 767 Die Begriffe Betrieb und Arbeitgeber stehen im Betriebsverfassungsrecht in einem engen Verhältnis. Der Betrieb repräsentiert betriebsverfassungsrechtlich den Arbeitgeber (vgl. Richardi / Maschmann, in: Richardi (Hrsg.), BetrVG, § 1, Rn. 8). 768 Etwa Richter, ArbRAktuell 2020, 613; s. zum datenschutzrechtlichen Exzess ausf. Kap. § 3 D. III. 3. e) ff). 769 So auch Lücke, NZA 2019, 658 (668). 770 Staben, ZFA 2020, 287 (296) unter dem Hinweis darauf, dass auch die Benennung eines Datenschutzbeauftragten für den Betriebsrat gestellt werden könnte, hieran nichts ändert. 771 S. Kap. § 2 D. II. 1. a) cc). 772 So wohl der Gedanke bei Maschmann, NZA 2020, 1207 (1212).

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  139

Verarbeitungszwecken und Verarbeitungsmitteln im BetrVG und der konkretisierenden Vorgaben durch Betriebsratsbeschlüsse und etwa (interne) Entscheidungen des Betriebsausschusses oder durch den Aufgaben-Verteilungsplan folgt das einzelne Betriebsratsmitglied weisungsähnlich den Vorgaben des Organs Betriebsrat. Solange es im Rahmen gesetzlicher und durch Betriebsratsbeschlüsse konkretisierter Vorgaben handelt, bewegt sich das handelnde Mitglied im Rahmen dieses so verstandenen Weisungsrechts. Wenn das handelnde Betriebsratsmitglied hingegen gegen Gesetze, (rechtmäßige) Betriebsratsbeschlüsse oder -vorgaben verstößt oder aber über seinen im Verteilungsplan vorgesehenen Aufgabenbereich hinaus handelt und dabei Datenschutzverstöße begeht, so ist wegen des Exzess-Gedankens über dessen eigene Verantwortlichkeit nachzudenken.773 Datenverarbeitungsrelevante Handlungen von Betriebsratsmitgliedern im Rahmen eines Beschlusses sind dem Betriebsrat als entscheidendem Kollegialorgan zuzurechnen.774 Auch wenn das Kollegialorgan Betriebsrat kein herkömmliches Weisungsrecht gegenüber seinen Mitgliedern hat, entscheidet es vorgelagert über die Zwecke und Mittel der Datenverarbeitung. Das Kollegialorgan Betriebsrat ist also bei nicht-exzessiven Handlungen seiner Mitglieder und Organe datenschutzrechtlich verantwortlich.775 (3) Weisungsähnliche Vorgaben des Organs Betriebsrat gegenüber seinen Betriebsratsmitgliedern Im Rahmen einer weisungszentrierten Betrachtungsweise über Art. 29 DSGVO und den dort angelegten Begriff der Entscheidung einer übergeordneten Entität über Zwecke und Mittel der Datenverarbeitung basieren die Handlungen der Betriebsratsmitglieder auf Entscheidungen des Betriebsrats. Das Organ Betriebsrat ist damit grundsätzlich verantwortlich, soweit Betriebsratsmitglieder im Rahmen seiner weisungsähnlichen Vorgaben handeln. cc) Insbesondere: Die datenschutzrechtliche Unabhängigkeit des Betriebsrats vom Arbeitgeber Hiergegen wird eingewandt, dieses Ergebnis sei systemwidrig. Denn auch – mit dem Betriebsrat vergleichbare  – Referate oder Unternehmensabteilungen seien Teil der datenschutzrechtlich verantwortlichen Stelle Arbeitgeber.776 Vergleichbar 773

S. hierzu ausf. Kap. § 3 D. III. 3. e) ff). S. hierzu etwa Thüsing, in: Richardi (Hrsg.), BetrVG, § 33, Rn. 1; Wolmerath, in: Boecken / Düwell / Diller / Hanau (Hrsg.), Gesamtes Arbeitsrecht, § 33 BetrVG, Rn.  1. 775 S. zur Abgrenzung von der gemeinsamen Verantwortlichkeit auch Kap. § 2 D. II. 1. b) bb) und Kap. § 3 D. III. 3. e) ff). 776 S. hierzu etwa Schuster, AuR 2020, 104; auch Staben, ZFA 2020, 287 (296) wirft die Frage auf, ob selbstständige oder unselbstständige Teilbereiche innerhalb der Organisation umfasst sind. 774

140

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

seien diese, weil auch sie – wie der Betriebsrat – nur im Betrieb des Arbeitgebers und nur wegen des Betriebs bestünden. Und eben deshalb liege es nahe, dass aus Vergleichsgesichtspunkten der Betriebsrat der verantwortlichen Stelle Arbeitgeber zuzuordnen sei.777 Dazu muss der Betriebsrat aber tatsächlich mit Referaten oder Unterabteilungen eines Unternehmens vergleichbar sein. Sollte er mit diesen nicht vergleichbar sein, so müsste er datenschutzrechtlich möglicherweise gerade zwingend anders behandelt werden. Abteilungen und Untergliederungen verfolgen nicht nur identische Ziele wie der Betrieb, nämlich Bündelung von Personal- und Sachmitteln zum wirtschaftlichen Fortschritt, sondern sind auch vom Arbeitgeber weisungsabhängig. Im Einzelfall können die Interessen von Unternehmen und Abteilungen bzw. Untergliederungen zwar divergieren, etwa wenn eine Abteilung geschlossen werden soll und sich diese „kollektiv“ gegen ihre Schließung wehrt. Diese Gegensätzlichkeit ist aber Folge der unternehmerischen Entscheidung und keine rechtliche Vorgabe. Existenz (§ 1 Abs. 1 BetrVG) und Gegnerunabhängigkeit778 des Betriebsrats sind hingegen rechtlich vorgegeben. Der Betriebsrat vertritt Belegschaftsinteressen, die durch rechtliche Vorgabe diametral Arbeitgeberinteressen gegenüberstehen können. Die rechtlich normierten Interessengegensätze spiegeln sich auch im weisungsrechtlichen Abhängigkeitsverhältnis wider: Der Weisungsabhängigkeit zwischen Abteilungen bzw. Untergliederungen und Arbeitgeber steht die Weisungsunabhängigkeit des Betriebsrats vom Arbeitgeber gegenüber.779 Solange sie nicht im Exzess handeln,780 handeln Mitarbeiter in Abteilungen und Referaten auf Weisung des Arbeitgebers (Art. 29 DSGVO) und der Arbeitgeber ist mithin verantwortlich.781 Der Betriebsrat ist hingegen nicht strukturell Teil des Betriebs. Seine – betriebsverfassungsrechtlich vorgegebene – Unabhängigkeit steht und fällt mit der Weisungsunabhängigkeit vom Arbeitgeber. Und gerade dies unterscheidet ihn von Referaten, Abteilungen und sonstigen Untergliederungen im Unternehmen. Der Betriebsrat ist also nicht deshalb Teil des datenschutzrechtlich verantwortlichen Arbeitgebers, weil dies auch Referate bzw. Unterabteilungen sind. Vielmehr gilt Gegenteiliges: Gerade weil Abteilungen in die betriebliche Weisungsstruktur eingegliedert sind, ist ihre datenschutzrechtlich vom Betriebsrat abweichende Behandlung gerechtfertigt. Hinzu tritt ein weiterer Umstand: Die Interpretation des deutschen Gesetzgebers zeigt, dass die Einordnung des Betriebsrats als eigenständiger Verantwortlicher das Datenschutzrecht effektuiert. Dies hängt mit dem sog. Verbot mit Erlaubnis-

777

S. auch Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 12, 24, der dies zur Begründung der „sachlichen Rechtfertigung“ heranzieht. 778 Vgl. etwa BAG, Beschl. v. 11. 11. 1997 – Az. 1 ABR 21/97; LAG Berlin-Brandenburg, Beschl. v. 4. 3. 2011 – Az. 19 TaBV 1984/10, Rn. 11; LAG Düsseldorf, Beschl. v. 7. 3. 2012 – Az. 4 TaBV 87/11, S. 8; Däubler, SR 2017, 85 (86 ff.) m. w. N. 779 S. Ansätze in Kap. § 2 D. II. 1. d) bb). 780 Ausf. auch in Kap. § 3 D. III. 3. e) ff). 781 So i.Erg. auch Staben, ZFA 2020, 287 (296), die deshalb von Untergliederungen des Arbeitgeberunternehmens und sonstigen Untergliederungen (etwa dem Betriebsrat) spricht.

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  141

vorbehalt782 zusammen: Für die rechtmäßige Datenverarbeitung bedarf es eines Erlaubnistatbestands. Das Europarecht kennt, anders als das deutsche Recht, keine expliziten betriebsrätlichen Erlaubnisvorbehalte: Im Rahmen der Öffnungsklausel des Art. 88 DSGVO783 regelt der deutsche Gesetzgeber das europarechtlich nicht normierte Beschäftigtendatenschutzrecht in Ansätzen selbst (§ 26 BDSG). Durch das Verbot mit Erlaubnisvorbehalt wären ansonsten betriebsrätliche Datenverarbeitungen ohne anderweitigen Erlaubnistatbestand (etwa eine Einwilligung) generell untersagt. Hier zeigt sich die gewinnbringende Verknüpfung europarechtlicher und mitgliedstaatlicher Regelungen im Rahmen der Grundverordnung: Mitgliedstaatliche Gesetzgeber müssen im Rahmen europäischer Vorgaben genau entscheiden, welche Datenverarbeitungen wirklich notwendig sind. Und bereits diese Überlegungs- und Regelungszwänge erhöhen das Datenschutzrechtsniveau. Der BDSG-Gesetzgeber ermächtigt (bewusst) zur Verarbeitung personenbezogener Beschäftigtendaten und zur Verarbeitung von Daten aus Anlass betrieblicher Beteiligungsrechte. Gem. § 26 Abs. 1 BDSG dürfen personenbezogene Beschäftigtendaten so etwa verarbeitet werden, wenn die Verarbeitung für die Zwecke des Beschäftigungsverhältnisses erforderlich ist. Der Begriff Erforderlichkeit erzwingt die Abwägung von (Grund-)Rechtspositionen.784 § 26 Abs. 6 BDSG normiert, dass betriebsrätliche Beteiligungsrechte von den Sonderregelungen zur Datenverarbeitung im Beschäftigtenverhältnis unberührt bleiben sollen. dd) Teleologische Erwägungen zu Art. 4 Nr. 7 DSGVO Das Weisungsrecht hat beim Sinn und Zweck der Verantwortlichkeitsregelung herausragende Bedeutung. Nicht jeder Handelnde ist zugleich Verantwortlicher, wie auch Art. 29 DSGVO zeigt.785 Denn bei der Bestimmung der Verantwortlichkeit kommt es gem. Art. 4 Nr. 7 1. Hs. DSGVO auf die Entscheidung über Zwecke und Mittel der Datenverarbeitung an. Das Organ Betriebsrat hat die gesetzliche Aufgabe, Belegschaftsinteressen zu vertreten. Betriebsratsbeschlüsse, Betriebsratsvorsitzender bzw. Betriebsausschuss und / oder Aufgabenverteilungsplan entscheiden im Rahmen dieser Aufgabe über Datenverarbeitungszwecke. Und auch Datenverarbeitungsmittel werden vom Betriebsrat beansprucht: Er legt fest, welche 782

Hierzu Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 2, Rn. 2 m. w. N.; zum allgemeinen Rechtsprinzip früh Gusy, JA 1981, 80. 783 Vgl. Kap. § 2 D. II. 1. b) ee) (3). 784 BT-Drs. 18/11325, S. 97. 785 So könnte allerdings die unkritische Übertragung der Zeugen-Jehovas-Rechtsprechung des EuGH bei Maschmann, NZA 2020, 1207 (1210 f.) bei Rekurs auf die „tatsächliche Entscheidung über Verarbeitungszwecke und -mittel“ verstanden werden. Denn tatsächlich entscheidet in situ immer die handelnde Person über den konkreten Verarbeitungszweck bzw. das konkrete Mittel, denn ansonsten würde diese von einer Verarbeitung generell Abstand nehmen. Die „tatsächliche Entscheidung“ ist also kein geeignetes Mittel zur Bestimmung des Verantwortlichen. Vielmehr tritt eine normative Komponente hinzu.

142

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Infrastruktur er etwa gegenüber dem Arbeitgeber einfordert (§ 40 Abs. 1 BetrVG) und welche er nutzt. Die Entscheidung über Verarbeitungszwecke und Verarbeitungsmittel trifft also das Organ Betriebsrat und nicht das einzelne Betriebsratsmitglied, soweit es nicht im Exzess handelt. Bei Zweifeln an dieser Art der Auslegung des Art. 29 DSGVO steht zumindest fest: Jedenfalls ist der Betriebsrat nicht in die Weisungsstruktur des Arbeitgebers eingebunden und kann somit bereits aus Weisungsgesichtspunkten nicht Teil des verantwortlichen Arbeitgebers sein. Insoweit eine Lösung über Art. 29 DSGVO abgelehnt würde, wäre also der Arbeitgeber dennoch nicht für betriebsrätliche Datenverarbeitungen verantwortlich. Dies gilt v. a. im Vergleich zu den dem Arbeitgeber unterstellten Unterabteilungen oder Referaten. Teleologische Auslegungsaspekte sprechen für die Verantwortlichkeit des Betriebsrats. e) Der Betriebsrat als andere Stelle und dessen Entscheidung über Zwecke und Mittel der Datenverarbeitung Der Wortlaut lässt die Fragestellung offen, ob der Betriebsrat datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO ist.786 Die systematische Auslegung liefert die weitreichendsten Argumente zur Stellung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur:787 Sie legt eine datenschutzrechtliche Verantwortlichkeit des Betriebsrats nahe. Die DSGVO ist Grundverordnung. Sie gibt als Verordnung – in der Metapher von Rahmen und Bild – den Regelungsrahmen durch Öffnungsklauseln vor und ermöglicht das bildliche Ausfüllen des Rahmens durch die mitgliedstaatlichen Gesetzgeber. Ausdruck findet dieses Prinzip im Verhältnis von Art. 4 Nr. 7 1. Hs. DSGVO und Art. 4 Nr. 7 2. Hs. DSGVO. Der Hs. 2 ermöglicht es mitgliedstaatlichen Gesetzgebern, als Öffnungsklausel eigenständige Regelungen zu treffen, soweit Zwecke und Mittel der Datenverarbeitung im mitgliedstaatlichen Recht normiert sind. Mit Vorgabe von Verarbeitungszwecken und -mitteln im BetrVG hat der deutsche Gesetzgeber also die Möglichkeit, die datenschutzrechtliche Stellung des Betriebsrats selbst zu regeln. Er muss diese Möglichkeit aber nicht nutzen.788 Reine Rechtsreflexe aus möglicherweise unliebsamen mitgliedstaatlichen Rechtsfolgen heraus reichen zur Regelung nicht aus, da eine Regelung intentional erfolgen müsste. Der deutsche Gesetzgeber hat bisher nicht intentional geregelt. Da er von seiner Regelungsmöglichkeit somit bisher keinen Gebrauch macht, löst die DSGVO die Frage selbst auf: Art. 4 Nr. 7 1. Hs. DSGVO regelt, dass auch andere Stellen, insoweit sie – im Rahmen abstrakter Gesetzesvorgaben – konkret über Zwecke und Mittel der Datenverarbeitung entscheiden, selbst datenschutzrechtlich verantwortlich sind. Die historische Auslegung deckt zwar ein Missverständnis des deutschen Gesetzgebers bei 786

S. Kap. § 2 D. II. 1. a) dd). S. Kap. § 2 D. II. 1. b) ff). 788 S. zu neueren gesetzgeberischen Entwicklungen Kap. § 5. 787

D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO  143

der Umsetzung des Verantwortlichkeitskonzepts in das deutsche Recht auf, trägt aber zum Kern der hier verfolgten Fragestellung wenig bei.789 Die teleologische Auslegung legt über die Möglichkeit der Einflussnahme des Betriebsrats auf betriebsrätliche Datenverarbeitungen nahe, dass der Betriebsrat als Organ datenschutzrechtlich Verantwortlicher ist.790 Dies entspricht etwa der Weisungsstruktur, auf die Art. 29 DSGVO bei der Bestimmung des Verantwortlichen abstellt. Da der Betriebsrat – anders als etwa Abteilungen und Untergliederungen – nicht weisungsabhängig gegenüber dem Arbeitgeber ist, kann der Arbeitgeber auch nicht für die Datenverarbeitungen des Betriebsrats verantwortlich sein. Vielmehr spricht die Weisungsarchitektur indes für eine Verantwortlichkeit des Organs Betriebsrat, weil es selbst die Richtlinien der Datenverarbeitungen vorgibt. Die deutsche Rechtswissenschaft mag nun zwar überrascht sein, dass Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats das deutsche Betriebsverfassungsrecht herausfordern. Der deutsche Gesetzgeber selbst hätte jedoch durch eigenständige Regelungen Abhilfe schaffen können (Art. 4 Nr. 7 2. Hs. DSGVO).791 2. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO Die Auslegung mit den hergeleiteten, überkommenen europäischen Methoden zeigt, dass der Betriebsrat als andere Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet, datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO ist.

III. Dogmatik und Verantwortlichkeit des Betriebsrats nach Art. 4 Nr. 7 1. Hs. DSGVO Anhand der aus Rechtsprechung und Literatur abgeleiteten, offengelegten Methodik wurde die Stellung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur des Art. 4 Nr. 7 DSGVO untersucht. Jede einzelne Methodenkategorie des europäischen Viermethodenkanons (Wortlaut, Systematik, Historie, Telos) liefert Untersuchungsansätze. Alltagsweltlicher und juristischer Wortlaut sind offen. Die systematische Auslegung spricht hingegen stark für die datenschutzrechtliche Verantwortlichkeit des Betriebsrats: Denn der deutsche Gesetzgeber hat von seiner Kompetenz in Art. 4 Nr. 7 2. Hs. DSGVO, die datenschutzrechtliche Stellung des Betriebsrats selbst zu regeln, bislang keinen Gebrauch gemacht.792 Die Grundregelung des Art. 4 Nr. 7 1. Hs. DSGVO gilt fort. 789

S. Kap. § 2 D. II. 1. c) cc). S. Kap. § 2 D. II. 1. d) dd). 791 S. so jetzt aber § 79a BetrVG; vgl. Kap. § 5. 792 S. nun aber § 79a BetrVG; Kap. § 5. 790

144

§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 

Der Betriebsrat entscheidet über Zwecke und Mittel der Datenverarbeitung und ist nach Auslegung anhand dieser Methoden datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO. Die Normgeschichte erzwingt hingegen keine Auslegungsergebnisse. Auffällig ist aber, dass der deutsche Gesetzgeber bereits seit 1995 die Verantwortlichkeitsterminologie nicht richtig umgesetzt hat. Er übernahm aus der DSRL von 1995 die eigentliche Terminologie nicht und verwendete die deutsche parallel zur europäischen Begrifflichkeit. Durch die neuerliche Regelung als Verordnung trifft ihn nunmehr „unerwartet“ die neue Terminologie. Die aus Effektivitätsgesichtspunkten teleologisch erforderliche weite Auslegung ist, neben der systematischen Auslegung, das zweite starke Indiz für die datenschutzrechtliche Verantwortlichkeit des Betriebsrats. Da die DSGVO die Verantwortlichkeit an die Weisungsarchitektur anknüpft, wird deutlich, dass jedenfalls nicht der Arbeitgeber für Datenschutzverstöße des Betriebsrats verantwortlich sein kann. Denn er ist gegenüber dem Betriebsrat nicht weisungsbefugt, kann also betriebsrätliche Datenschutzverstöße nicht verhindern. Nur der Betriebsrat selbst entscheidet konkret – im Rahmen abstrakt gesetzlicher Vorgaben – über Zwecke und Mittel der Datenverarbeitung, d. h. ob und wie er Daten verarbeitet. Die Betriebsratsmitglieder sind nicht für Datenverarbeitungen im Rahmen der betriebsrätlichen Aufgaben verantwortlich, es sei denn, sie handeln exzessiv. Die Zeugen-Jehovas-Entscheidung des EuGH lässt sich nicht auf den Betriebsrat übertragen. Betriebsrat und Betriebsratsmitglieder sind keine gemeinsam Verantwortlichen.

E. Die DSGVO als Einschnitt im überkommenen Verantwortlichkeitskonzept Zwar entstammt das Verantwortlichkeitskonzept historisch dem internationalen bzw. dem Europarecht. Allerdings war es in der Vergangenheit praktisch v. a. nationalstaatlich geprägt. Denn in der Rechtsanwendung sah – die DSRL umsetzend – das BDSG die maßgebliche Verantwortlichkeitsdefinition vor. Die Begriffe wurden also lange rein nationalstaatlich ausgelegt. Und bereits allein aufgrund der Rechtsfolgen, die die Verantwortlichkeit mit sich brachte, wurde der Betriebsrat der datenverarbeitenden Stelle Arbeitgeber zugeordnet, ohne selbst datenschutzrechtlich Verantwortlicher zu sein. Nach dem neuerlichen Rechtsformenwechsel von der Richtlinie hin zur Verordnung verändert sich diese Sichtweise: Nicht mehr der nationale Diskurs entscheidet über Verantwortlichkeit. Die Diskussion verlagert sich vielmehr auf die europäische Ebene. Nach Art. 4 Nr. 7 1. Hs. DSGVO ist fortan – und gewissermaßen weiterhin – auch jede andere Stelle datenschutzrechtlich verantwortlich, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Wenn in der Vergangenheit nationale Praktikabilitätserwägungen zur Auslegung herangezogen werden konnten, so ist der Verantwortlichkeitsbegriff spätestens nun autonom europarechtlich auszulegen. Und europäische Auslegungsmethoden, die auch der EuGH nutzt, d. h. die Wortlautauslegung, die historische Auslegung so-

E. Die DSGVO als Einschnitt im überkommenen Verantwortlichkeitskonzept 

145

wie die teleologische und systematische Auslegung, legen die datenschutzrechtliche Verantwortlichkeit des Betriebsrats selbst nahe. Der Betriebsrat ist jedenfalls gem. Art. 4 Nr. 7 1. Hs. DSGVO verantwortlich, vorbehaltlich einer denkbaren, aber noch nicht getroffenen deutschen Regelung im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO.793 Er ist – autonom europarechtlich ausgelegt – also fortan datenschutzrechtlich Verantwortlicher. Dies ist eine Zäsur in der Geschichte des betrieblichen Datenschutzrechts. Denn die Verantwortlichkeit des Betriebsrats zieht vielfältige Rechtsfolgen nach sich.



793

S. nun aber § 79a BetrVG; Kap. § 5.

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats An die datenschutzrechtliche Verantwortlichkeit des Organs Betriebsrat im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO knüpfen vielfältige Rechtsfolgen an, die gleichermaßen Fragen aufwerfen für den Fall, in dem der deutsche Gesetzgeber die Verantwortlichkeit des Betriebsrats selbst zu regeln versucht.1 Diese Rechtsfolgen begründen vielfältige organschaftliche Pflichten (A.). Die europarechtlichen Regelungen fordern insbesondere überkommene nationale Vorstellungen heraus. Wegen des Anwendungsvorrangs treten diese Herausforderungen v. a. bei Verordnungen auf.2 Bei Verhältnisfragen rahmen im Sinne der sog. Normenhierarchie europarechtliche die nationalstaatlichen Regelungen.3 Häufig können die europarechtlichen Vorgaben durch die betriebsverfassungsrechtlichen Regelungen zur Übernahme erforderlicher Kosten durch den Arbeitgeber aufgelöst werden (B.). Anhand dieser Kostenregelungen lässt sich auch die schwierige Fragestellung lösen, wer für die Kosten der pflichtigen und der freiwilligen Benennung eines Datenschutzbeauftragten aufkommt und wie dessen Infrastruktur zur Verfügung gestellt werden muss (C.). Schwieriger lösbar sind im deutschen Recht die Haftungsregelungen in der DSGVO, d. h. Regelungen über den Schadensersatz und über Geldbußen (D.). Nach umfassender Untersuchung lohnt sich ein Rückblick auf den betriebsverfassungsrechtlichen Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats (E.).

A. Die einzelnen Pflichten des Verantwortlichen Der datenschutzrechtlich Verantwortliche hat viele unterschiedliche Pflichten. Die meisten dieser Pflichten setzen lediglich, aber immerhin einen höheren administrativen Aufwand voraus. Jeder Verantwortliche muss die Verarbeitungsgrundsätze (Art. 5 DSGVO) und die Rechte der Betroffenen durch Information und Mitteilung (Art. 12 DSGVO) wahren. Informationspflichten bestehen bei Datenerhebung (Art. 13 DSGVO) und Daten-Dritterhebung (Art. 14 DSGVO), Mitteilungspflichten im Falle des Auskunftserlangens (Artt. 15, 19 DSGVO), bei Be 1

Erster Regelungsversuch der Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24; kritisch hierzu: Möhle, ZD-Aktuell 2021, 05067; s. hierzu auch Kap. § 5 2 Ruffert, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 288 AEUV, Rn. 20 ff. 3 Bergmann, in: ders. (Hrsg.), Handlexikon der EU, Normenhierarchie; sehr früh bereits EuGH, C-6/64, Urt. v. 15. 7. 1964 – Costa / Enel.

B. Übernahme erforderlicher Kosten durch den Arbeitgeber 

147

richtigung (Artt. 16, 19 DSGVO) und Löschung von Daten (Art. 17 DSGVO), bei Verarbeitungseinschränkungen (Art. 18 DSGVO), bei Datenübertragung an Dritte (Art. 20 DSGVO) und bei Geltendmachung von „einfachen“ Widerspruchsrechten (Art. 21 DSGVO) und solchen gegen automatisierte Entscheidungen (Art. 22 DSGVO). Der Verantwortliche muss betroffene Personen benachrichtigen (Art. 34 DSGVO). Er trägt Verantwortung für Datenschutzverstöße (Art. 24 DSGVO) und er muss die Datenverarbeitungstechnik sicher gestalten (Art. 25 DSGVO). Er muss ein Verarbeitungsverzeichnis führen (Art. 30 DSGVO), die Verarbeitungssicherheit gewährleisten (Art. 32 DSGVO) und Datenschutzverstöße umgehend den Aufsichtsbehörden melden (Art. 33 DSGVO). Ferner muss er ggf. Folgen von Datenverarbeitungen abschätzen (Art. 35 DSGVO). Der Betriebsrat selbst kann dazu, anders als z. B. ein Unternehmen, mangels eigener Finanzmittel kein Personal einstellen. Gem. § 40 Abs. 2 BetrVG hat aber der Arbeitgeber dem Betriebsrat u. a. hinreichend (Büro-)Personal zur Verfügung zu stellen.

B. Übernahme erforderlicher Kosten durch den Arbeitgeber von administrativen Kosten der Betriebsratsarbeit Den Betriebsrat treffen als datenschutzrechtlich Verantwortlichen bei der Verarbeitung personenbezogener Daten über bisherige Pflichten hinausgehende Informations- oder Mitteilungspflichten nach Artt. 12 ff. DSGVO, z. B. gegenüber Belegschaftsmitgliedern. Je nach Komplexität der Datenverarbeitung muss der Betriebsrat gem. Art. 30 DSGVO ein Verarbeitungsverzeichnis führen oder im Sinne von Art. 35 DSGVO die Verarbeitungsfolgen abschätzen. Die DSGVO setzt Personal zur Erfüllung dieser Pflichten voraus, wobei sie die Kostenübernahme nicht regelt. Die Ausgestaltung obliegt hier den nationalen Gesetzgebern. Im Gegensatz zum Betriebsrat kann ein verantwortliches Unternehmen z. B. zur Sicherstellung der DSGVO-Konformität mehr Büropersonal einstellen. Der Betriebsrat kann jedoch nicht ohne Weiteres personelle Kapazitäten durch Einstellung neuer Mitarbeiter schaffen, da er kein eigenes Vermögen hat. Dennoch kann er ausweislich des BetrVG seine gesetzlichen Aufgaben erfüllen, auch etwa aus DSGVO und BDSG zugewiesene Aufgaben. Dem Arbeitgeber gegenüber hat er gem. § 40 Abs. 1 BetrVG einen Anspruch auf Übernahme der zur Betriebsratsarbeit erforderlichen Kosten.4 Dies sind ausweislich § 40 Abs. 2 BetrVG etwa Kosten für Räume, sachliche Mittel, Informations- und Kommunikationstechnik sowie Büropersonal für Sprechstunden und die laufende Geschäftsführung. Nicht erforderliche Kosten 4

StRspr. z. B. BAG, Urt. v. 16. 1. 2008, NZA 2008, S. 546; vgl. auch Koch, in: MüllerGlöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 40, Rn.  1; Mauer, in: Rolfs / Giesen / K reikebohm / Meßling / Udsching (Hrsg.), BeckOk ArbR / BetrVG, § 40, Rn.  1; Thüsing, in: Richardi (Hrsg.), BetrVG, § 40 Rn. 1; Zu Anforderungen und Ausprägungen auch Schiefer, Kosten der Betriebsratstätigkeit und des Betriebsrats, in: Gräfl / Lunk / Oetker / Trebinger (Hrsg.): 100 Jahre Betriebsverfassungsrecht, S. 653–668 (663).

148

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

müssen die Betriebsratsmitglieder unter Umständen selbst tragen.5 Erforderlichkeit heißt insbesondere, dass sich die entstandenen Kosten innerhalb des gesetzlich zugewiesenen Aufgabenbereichs des Betriebsrats bewegen, also der Erfüllung seiner Amtsobliegenheiten dienen.6 Datenschutzrechtliche Pflichten müssten also Amtsobliegenheiten im Sinne der Kostentragungspflicht sein. Bisher begründet in erster Linie das BetrVG derartige Amtsobliegenheiten. Gegen das Bestehen datenschutzrechtlicher Amtsobliegenheiten könnte eingewandt werden, dass die Übertragung von betriebsrätlichen Rechten und Pflichten aus „externen“ Gesetzen systemwidrig ist. Datenschutzrechtliche Kostenregelungen müssten dann in das BetrVG überführt werden. Der Betriebsrat könnte dann bis zu einer Regelung  – dem Arbeitgeber gegenüber  – keine Kosten geltend machen. Mangels eigenen Vermögens könnte er die Kosten dann insgesamt nicht tragen. Das BetrVG stammt aus dem Jahr 1952 und wurde 1972 und 2001 umfassend novelliert. Der Gesetzgeber verfolgte mit den Novellen ausweislich der Gesetzgebungsunterlagen nicht das Ziel, sämtliche betriebsverfassungsrechtliche Regelungen zusammenzufassen.7 Entsprechend erlegen auch Normen außerhalb des BetrVG dem Betriebsrat (betriebsverfassungsrechtliche) Rechte und Pflichten auf. Manche Normen fokussieren hierbei explizit den Betriebsrat: § 15 KSchG verleiht dem einzelnen Betriebsratsmitglied zum Beispiel besonderen Kündigungsschutz. §§ 1 Abs. 2 Nr. 1 lit. a 2. Hs. und 3 KSchG adressieren in Kündigungsfragen das gesamte Gremium „Betriebsrat“. §§ 170, 176 SGB IX sprechen das Organ bei Fragen der Eingliederung bzw. Entlassung behinderter Menschen in den bzw. aus dem Betrieb an. §§ 10, 82 ArbGG regeln arbeitsprozessuale Fragen.8 Auch in anderen Rechtsgebieten als dem Betriebsverfassungsrecht hat der Betriebsrat also unterschiedliche kostenverursachende Rechte und Pflichten. Obwohl der Betriebsrat keine generelle Rechtspersönlichkeit hat,9 kann er im eigenen Namen z. B. anwaltliche Dienstleistungsverträge bzw. Beraterverträge abschließen, tritt somit in der Rolle des „Vertragspartners“ auf.10 Da dem Betriebsrat auch aus anderen Rechtsgebieten Rechte und Pflichten übertragen werden können, kann er auch durch Regelungen von DSGVO und BDSG berechtigt und verpflichtet sein; sogar, ohne dass diese ihn explizit als Adressaten benennen. Kosten, die dem Betriebsrat durch administrative Pflichten zur Ein 5

Mauer, in: Rolfs / Giesen / K reikebohm / Meßling / Udsching (Hrsg.), BeckOk ArbR / BetrVG, § 40, Rn. 3; z. B. BAG, Beschl. v. 29. 7. 2009 – Az. 7 ABR 95/07, Rn. 17: Bei „offensichtlich aussichtsloser oder mutwilliger Rechtsverfolgung des Betriebsrats.“ 6 Thüsing, in: Richardi (Hrsg.), BetrVG, § 40, Rn. 5. 7 BT-Drs. VI/1806 und BT-Drs. 14/5741; auch Düwell, in: ders. (Hrsg.), BetrVG, Einl., Rn. 21. 8 Eine weitere Auflistung aller Rechtsgrundlagen für Rechte und Pflichten des Betriebsrats findet sich bei Düwell, in: ders. (Hrsg.), BetrVG, Einl., Rn. 21–51. 9 Vgl. dazu nur BAG, Beschl. v. 24. 4. 1986 – Az. 6 AZR 607/83 = NZA 1987, 100 (101); BAG, Beschl. v. 24. 10. 2001 – Az. 7 ABR 20/00 = NZA 2003, 53; s. Kap. § 2 D. II 1 b) aa) (3) und Kap. § 3 D. III. 3. e) bb). 10 Vgl. z. B. BGH, Urt. v. 25. 10. 2012 – Az. III ZR 266/11, Rn. 10, 16 ff.

C. Benennung eines Datenschutzbeauftragten

149

haltung der DSGVO entstehen, muss der Arbeitgeber als erforderliche Kosten im Sinne von § 40 Abs. 1 BetrVG tragen.

C. Benennung eines Datenschutzbeauftragten Diese grundsätzliche Kostenübernahmeverpflichtung des Arbeitgebers gem. § 40 Abs. 1 BetrVG gilt auch für erforderliche Kosten, die dem verantwortlichen Betriebsrat durch die Pflicht entstehen, einen Datenschutzbeauftragten zu benennen. Gem. Artt. 38, 39 DSGVO unterstützt der Datenschutzbeauftragte den Verantwortlichen bei Fragen der rechtmäßigen DSGVO-Umsetzung und beim Kontakt mit den Aufsichtsbehörden. Zwei Aspekte bleiben rechtlich unklar: Erstens die Frage, wann der Betriebsrat benennungspflichtig ist und wann er freiwillig einen Datenschutzbeauftragten benennen kann mit dem Folgeaspekt, wer bei freiwilliger Benennung die Kosten zu tragen hat (I.). Zweitens die Frage, ob ein Datenschutzbeauftragter zugleich für Betriebsrat und Unternehmen doppelt benannt werden darf, kurzum, in welchem Verhältnis der Betriebsrat zu dem Datenschutzbeauftragten des Unternehmens steht (II.). Diese Frage ist bereits nach bisheriger Rechtslage breit diskutiert.11

I. Kostentragung bei pflichtiger und freiwilliger Benennung Art. 37 Abs. 1 DSGVO verpflichtet den Verantwortlichen unter bestimmten Voraussetzungen, einen Datenschutzbeauftragten zu benennen. Der Betriebsrat ist keine öffentliche Stelle (lit. a). Für ihn kommt eine Benennungspflicht allenfalls in Frage, wenn er als Kerntätigkeit personenbezogene Daten (lit. b) oder gar besonders sensible Daten (lit. c) verarbeitet. Kerntätigkeit meint Haupttätigkeit eines Verantwortlichen und nicht lediglich Verarbeitung personenbezogener Daten als Nebentätigkeit.12 Maßgeblich ist hierbei der jeweilige Geschäftsgegenstand.13 Der Betriebsrat vertritt zuvorderst Belegschaftsinteressen gegenüber dem Arbeitgeber. Hierfür verarbeitet er personenbezogene Daten. Mangels Verarbeitung personenbezogener Daten als Kerntätigkeit ist der Betriebsrat nicht gem. Art. 37 Abs. 1 DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen. Art. 37 Abs. 4 Satz 1 2. Hs. DSGVO verpflichtet den Verantwortlichen jedoch, auch bei Vorschreibung durch Unionsrecht oder mitgliedstaatliches Recht einen

11 Simitis, in: ders. (Hrsg.): BDSG, § 4g, Rn. 40; Däubler, DuD 2010, 20 (21); Wedde, in: Roßnagel (Hrsg.), Hdb. Datenschutzrecht, Kap. 6.3, Rn. 61; Aßmus, ZD 2011, 27 (29); Hackel, Der betriebliche Datenschutzbeauftragte, S. 110 ff.; Simitis, NJW 1998, 2396; zusammenfassend auch Kort, ZD 2017, 3 (7). 12 Vgl. DSGVO-EG 97. 13 Moos, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 37, Rn. 18.

150

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Datenschutzbeauftragten zu benennen.14 Der deutsche Gesetzgeber hat mit § 38 BDSG von dieser Öffnungsklausel15 Gebrauch gemacht. § 38 Abs. 1 Satz 1 BDSG sieht unter bestimmten Voraussetzungen Benennungspflichten vor. Ergänzend zu Art. 37 Abs. 1 lit. b / c DSGVO muss hiernach jeder Verantwortliche einen Datenschutzbeauftragten benennen, bei dem in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.16 Diese Personen-Grenze wurde nach zähen Diskussionen im Rahmen des 2. DSAnpUG-EU von zehn auf 20 angehoben.17 Erhöhte Schwierigkeiten für kleinere und mittelgroße Unternehmen sollten durch die Neuregelung gelöst werden.18 Die (Neu-)Regelung hat auch erhebliche Auswirkungen auf Betriebsräte. Für den Betriebsrat wirft § 38 Abs. 1 Satz 1 BDSG drei Fragen auf: Erstens die Frage, wann er in der Regel die Mitgliederzahl von 20 überschreiten kann, zweitens die Frage, was automatisierte Verarbeitung personenbezogener Daten ist und drittens die Frage, ob der Betriebsrat überhaupt Mitglieder im Sinne des Wortlauts beschäftigen kann. Die Mitgliederzahl von Betriebsräten richtet sich gem. § 9 BetrVG nach der Betriebsgröße. Ein Betriebsrat in einem Betrieb der Größe von über 2501 Arbeitnehmern hat 21 Mitglieder, ein Betrieb der Größe von 401 bis 700 Arbeitnehmern elf Mitglieder. Ab einer Betriebsgröße von über 2501 Arbeitnehmern hat ein Betriebsrat also jedenfalls über 20 Mitglieder.19 Unberücksichtigt bleibt dabei, dass Betriebsräte in der Regel zusätzliches Büropersonal haben (vgl. § 40 Abs. 2 BetrVG).20 Weil es nicht auf den Umfang der Stellen ankommt, müssen auch Teilzeitkräfte o.ä. berücksichtigt werden.21 Vorausgesetzt sind also u. U. bedeutend weniger Betriebsratsmitglieder im engen Sinne. So oder so gibt es in Deutschland einige Betriebsräte mit mehr als 20 Mitgliedern.22 An der Benennungspflicht für Betriebsräte ändert auch die tatbestandliche Einschränkung 14 Mitunter zu Benennungspflichten des Datenschutzbeauftragten Greiner / Senk, NZA 2020, 201. 15 Typologisch handelt es sich um eine Öffnungsklausel in Form einer Gestaltungsklausel, vgl. Müller, Öffnungsklauseln der DSGVO, S. 182. 16 BT-Drs. 19/11181, S. 19, nach kleiner Anfrage der FDP-Fraktion, vgl. BT-Drs. 19/11037; geführt nach Information des Bundesrats unter der BR-Drs. 380/10. 17 Dazu bereits Kenji-Kipker, DuD 2019, 371 f. 18 BT-Drs. 19/11181, S. 1 ff. 19 Alte Regelung: Ab einer Betriebsgröße von 401 Mitgliedern hatte der Betriebsrat also zumindest zehn Mitglieder. 20 Vgl. dazu Althoff, ArbRAktuell 2018, 546. 21 Kühling / Sackmann, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 38, Rn. 9 m. w. N. 22 Den größten Betriebsrat in Deutschland hat mutmaßlich Edeka, laut ver.di mit über 150 Mitgliedern (ver.di, Betriebsräte-Tagung bei Edeka, online), vermutlich gefolgt von der Volkswagen AG mit über 100 Betriebsräten (IG-Metall, VW-Betriebsrat, online). Immerhin 38,8 % der Unternehmen in Deutschland sind laut Statista sog. Großunternehmen mit über 250 Arbeitnehmern, einige dieser Unternehmen dürften auch tausende Arbeitnehmer beschäftigen, also Betriebsräte mit mehr als 20 Mitgliedern haben (Statista, Dossier zur Unternehmenslandschaft, online).

C. Benennung eines Datenschutzbeauftragten

151

nichts, dass diese Mitglieder in der Regel und ständig mit der Verarbeitung personenbezogener Daten befasst sein müssen. Denn dies bedeutet lediglich, dass kurzfristige Personalstrukturschwankungen nicht berücksichtigt werden, sondern es auf den längerfristigen Personalbestand ankommt.23 Jedenfalls Betriebsräte in Betrieben mit mehr als 2501 Arbeitnehmern sind somit gem. § 38 Abs. 1 Satz 1 BDSG benennungspflichtig.24 Unklar ist auch, ob Betriebsratsmitglieder gerade mit automatisierter personenbezogener Datenverarbeitung betraut sind. Der Begriff „automatisierte Datenverarbeitung“ ist in Art. 4 Nr. 2 DSGVO definiert als jede Form der IT-basierten Verarbeitung in einem sehr weiten Verständnis.25 Die Voraussetzung ist nicht mehr zeitgemäß, weil sie an eine vermeintliche Korrelation zwischen erheblicher Datengefährdung bei erhöhter mit Daten arbeitender Mitarbeiteranzahl anknüpft, die im IT-Zeitalter überholt ist.26 Zur automatisierten Datenverarbeitung genügt bereits die Nutzung eines personalisierten E-Mail Accounts.27 Jeder Betriebsrat, der IT-Infrastruktur (insbesondere PC) nutzt, um für die Betriebsratsarbeit relevante Belegschafts- oder Arbeitnehmerinformationen abzurufen, verarbeitet somit automatisiert personenbezogene Daten im Sinne von § 38 Abs. 1 Satz 1 BDSG. Weil der Betriebsrat kein Arbeitgeber ist, ist uneindeutig, ob er seine Mitglieder beschäftigen kann. Die Beschäftigung mit personenbezogener Datenverarbeitung ist nicht als arbeitsrechtliches Beschäftigungsverhältnis zu verstehen. Vielmehr steht Beschäftigung hier terminologisch im Kontext mit der Datenverarbeitung, meint also gerade nicht Beschäftigung zur Datenverarbeitung.28 Auch Betriebsratsmitglieder können folglich mit der personenbezogenen Datenverarbeitung beschäftigt sein. Betriebsräte sind gem. § 38 Abs. 1 Satz 2 BDSG abhängig von ihrer Größe verpflichtet, einen Datenschutzbeauftragten zu benennen. Für eine betriebsrätliche Benennungspflicht kommen noch weitere Fallgruppen in Frage. Unabhängig von der Mitgliederzahl kann der Betriebsrat gem. § 38 Abs. 1 Satz 2 1. Alt. BDSG verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Der Betriebsrat verarbeitet zwar nicht geschäftsmäßig Daten (Alt. 2). Im Einzelfall verarbeitet er jedoch in einem Umfang Daten, der einer Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO unterliegt (Alt. 1). Weil nicht jede seiner Datenverarbeitungen hochrisikoreich ist, ist der Betriebsrat in diesem Fall zwar nicht dauerhaft verpflichtet, Datenschutz-Folgenabschätzungen vorzunehmen

23

Kühling / Sackmann, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG § 38, Rn. 10. Alte Regelung: Jedenfalls Betriebsräte in Betrieben mit einer Größe von mehr als 401 Arbeitnehmern unterfielen bisher potenziell § 38 Abs. 1 Satz 1 BDSG. 25 Moos, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, § 38, Rn. 6a. 26 S. dazu Kühling / Sackmann, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG § 38, Rn. 11. 27 Hessischer Datenschutzbeauftragter, Der Datenschutzbeauftragte nach neuem Recht, S. 9 f. 28 Helfrich, in: Sydow (Hrsg.), BDSG, § 38, Rn. 15 m. w. N. 24

152

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

(Art. 35 Abs. 1 Satz 1 DSGVO).29 Es sind allerdings Konstellationen denkbar, in denen er Folgen abschätzen muss. Im Wesentlichen sind dies die Regelbeispiele aus Art. 35 Abs. 3 lit. a und b DSGVO. Lit. a fordert eine Folgenabschätzung bei systematischer, umfassender automatisierter Verarbeitung persönlicher Aspekte mit erheblicher Rechtsbeeinträchtigung. Bei jeder Kündigung und v. a. bei sog. Massenentlassungen muss der Betriebsrat zur rechtswirksamen Sozialauswahl der zu kündigenden Arbeitnehmer im Sinne von § 102 Abs. 1, Abs. 3 Nr. 1 BetrVG beteiligt werden. Damit der Betriebsrat die Rechtmäßigkeit der Sozialauswahl bewerten kann, muss er eine Vielzahl personenbezogener Daten aller (vergleichbaren) Arbeitnehmer systematisch und umfassend miteinander abgleichen – z. B. das Geschlecht, das Alter, den Familienstand, Behinderungen usf. Da dieser Abgleich die Grundlage des Betriebsrats für die Entscheidung über Kündigungswidersprüche gem. § 103 Abs. 2 Nr. 1 BetrVG ist, die Rechtswirkung gegenüber natürlichen Personen entfaltet, ist der Tatbestand von Art. 35 Abs. 3 lit. a DSGVO erfüllt. Darüber hinaus liegen gerade bei Massenentlassungen auch die Voraussetzungen von Art. 35 Abs. 3 lit. b DSGVO vor. Denn hier und z. B. bei betrieblichen Umstrukturierungen verarbeitet der Betriebsrat umfassend besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Da der Betriebsrat somit nach Art. 35 Abs. 3 lit. a und b DSGVO möglicherweise eine Datenschutzfolgeabschätzung treffen muss, kann er auch gem. § 38 Abs. 1 Satz 2 1. Alt. BDSG verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Für Fälle dieser pflichtigen Benennung greift das betriebsverfassungsrechtliche Kostengefüge gut. Denn auch die in Art. 37 DSGVO i. V. m. § 38 BDSG vorgeschriebene pflichtige Benennung eines Datenschutzbeauftragten durch den Betriebsrat verursacht vom Arbeitgeber zu tragende erforderliche Kosten gem. § 40 Abs. 1 BetrVG. Rechtlich anspruchsvoller ist der Fall, in dem keine Benennungspflicht besteht, der Betriebsrat jedoch im Rahmen seiner Rechte als Verantwortlicher (Art. 37 Abs. 4 Satz 1 1. Hs. DSGVO) freiwillig einen Datenschutzbeauftragten benennen möchte. Hier ist v. a. die Kostentragungspflicht unklar. Wenn der Arbeitgeber die entstehenden Kosten freiwillig tragen sollte, entsteht kein Streit. Eine freiwillige Benennung dürfte v. a. dann zum Rechtsstreit führen, wenn der Arbeitgeber die Kosten hierfür nicht tragen möchte. Für die Entstehung einer (gerichtlich ausgetragenen) Streitsituation sind zwei Konstellationen denkbar: Entweder benennt der Betriebsrat einen Datenschutzbeauftragten und kann dessen Kosten selbst nicht tragen, sodass es zu Streit über die arbeitgeberseitige Kostentragung kommt. Oder der Betriebsrat verzichtet auf diese Benennung. Unterläuft ihm jedoch in der Folge wegen mangelnder Expertise ein Datenschutzverstoß, der mit Unterstützung eines Datenschutzbeauftragten hätte verhindert werden können, steigert sich das Streitpotential: Muss der Arbeitgeber in diesem Fall für die Kosten des Verstoßes auf 29

Eine Ausnahme könnte z. B. für Werkstätten für behinderte Menschen gelten, in denen Betriebsräte wohl in großem Umfang Gesundheitsdaten verarbeiten.

C. Benennung eines Datenschutzbeauftragten

153

kommen? Für den Arbeitgeber könnte eine allgemeine Kostentragungspflicht bestehen, wenn die Kosten erforderlich wären (§ 40 Abs. 1 BetrVG).30 Gegen eine Erforderlichkeit dieser Kosten spricht, dass der Betriebsrat fakultativ agiert,31 weil ihm das Gesetz keine Bestellpflicht auferlegt. Der Anwendungsbereich von § 40 Abs. 1 BetrVG deckt aber gerade nur die erforderlichen Kosten der Betriebsratsarbeit ab. Wenn die gesetzgeberische Wertung in § 38 BDSG Fallgruppen vorsieht, in denen Datenschutzbeauftragte die Verarbeitung personenbezogener Daten pflichtig „betreuen“ sollen, so gilt dies gerade nicht im Fall einer freiwilligen Benennung. Auch wenn z. B. die willkürliche Grenze von 20 Personen im Zeitalter moderner Technologien kritisiert wird und werden muss,32 ist ihre Einführung von der gesetzgeberischen Einschätzungsprärogative gedeckt. Der Arbeitgeber wäre in der Folge nicht ausgleichspflichtig. Lediglich das Organ Betriebsrat oder die Betriebsratsmitglieder wären möglicherweise zur Kostentragung verpflichtet. Andererseits ist § 40 Abs. 1 BetrVG nicht die einzige Norm, die den Arbeitgeber zu Kostenübernahmen verpflichtet. Daneben regelt z. B. § 80 Abs. 3 Satz 1 BetrVG die Kostenübernahme des Arbeitgebers für vom Betriebsrat beauftragte Sachverständige.33 Das BAG definiert Sachverständige als Personen, die dem Betriebsrat fehlende fachliche oder rechtliche Kenntnisse mündlich und schriftlich vermitteln, damit dieser seine Aufgaben sachgemäß erfüllen kann.34 Voraussetzung ist auch hier die Kostenerforderlichkeit.35 Bei Beratungen zur Personaldatenverarbeitung ist bereits seit Einführung von ED-Technologien in der Rechtsprechung stark umstritten gewesen, ob der Arbeitgeber Sachverständigenkosten zu tragen hat.36 Eine Kostenübernahme durch den Arbeitgeber ist nach klärender Ansicht des BAG dann geboten, wenn dem Betriebsrat die Sachkunde fehlt, alle vom Arbeitgeber erlangten notwendigen Informationen zu verarbeiten und er sich diese Sachkunde auch nicht kostengünstiger beschaffen kann.37 Der Betriebsrat muss darüber hinaus den Verhältnismäßigkeitsgrundsatz beachten.38 Im Einzelfall kann der Verhältnismäßigkeitsgrundsatz die Überlegung aufwerfen, ob der Betriebsrat wirklich „dauerhaft“ durch einen Datenschutzbeauftragten unterstützt werden muss oder sich des 30

S. zur Herleitung auch Kap. § 3 B. Vgl. zur Terminologie die Diskussionen um Handlungen ultra vires in BGH, Urt. v. 25. 10. 2012 – Az. III ZR 266/11. 32 Dazu Kühling / Sackmann, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 38, Rn. 11; sie widerspricht zudem dem bewusst in der DSGVO nicht an der Mitgliederzahl orientierten sog. risikobasierten Ansatz (vgl. Paal, in: ders. / Pauly (Hrsg.), DSGVO, Art. 37, Rn. 4). 33 BAG, Beschl. v. 26. 02. 1992 – Az. 7 ABR 51/90 = NZA 1993, 86. 34 BAG, Beschl. v. 13. 05. 1998 – Az. 7 ABR 65/96, Rn. 35. 35 Vgl. Kania, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 80, Rn. 34. 36 Vgl. BAG, Beschl. v. 17. 03. 1987 – Az. 1 ABR 59/85 = NZA 1987, 747 und BAG, Beschl. v. 26. 02. 1992 – Az. 7 ABR 51/90 = NZA 1993, 86; ferner: Kothe / Schulze-Doll, in: Düwell (Hrsg.), BetrVG, § 80, Rn. 63. 37 BAG, Beschl. v. 26. 02. 1992 – Az. 7 ABR 51/90 = NZA 1993, 86. 38 Kothe / Schulze-Doll, in: Düwell (Hrsg.), BetrVG, § 80, Rn. 66. 31

154

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

sen oder die Expertise eines anderen Experten im Einzelfall sichern kann. Dies gilt nur bei freiwilliger Benennung eines Datenschutzbeauftragten, denn bei pflichtiger Benennung ist diese zwingend vorgegeben. V.a. dann, wenn der Betriebsrat im Ausnahmefall der Expertise bedarf, z. B. weil er regelmäßig keine Daten verarbeitet, kann dies eine Rolle spielen. Dies entspricht auch dem Sinn und Zweck der Benennung eines Datenschutzbeauftragten, intern Selbstkontrolle zu sichern.39 Wenn selten Daten verarbeitet werden, besteht ein geringeres Bedürfnis zur Selbstkontrolle. Die Übertragung der BAG-Rechtsprechung mutet an, als müsse der Arbeitgeber nur unter sehr strengen Voraussetzungen die Kosten für die freiwillige Benennung eines Datenschutzbeauftragten tragen. Jedoch ist dreierlei zu berücksichtigen: Erstens hat der Betriebsrat nicht nur bei § 40 Abs. 1 BetrVG, sondern auch bei § 80 BetrVG einen Beurteilungsspielraum, wann die Hinzuziehung eines Sachverständigen erforderlich ist.40 Zweitens regelt § 40 Abs. 1 BetrVG nicht allein pflichtig zu tragende Kosten, sondern auch Kosten, die aus einer Ausübung von Rechten des Betriebsrats resultieren. Und drittens ist die Rechtsprechung zur ED-Verarbeitung nicht ohne Weiteres mit der Datenverarbeitung eines Betriebsrats vergleichbar. Denn bei Urteilsbegründung gab es keine Norm, die Sachverständigenberatungen bei ED-Technologien „forcierte“. Art. 37 Abs. 4 Satz 1 1. Hs. DSGVO eröffnet Verantwortlichen im Gegensatz dazu evident die Möglichkeit, Datenschutzbeauftragte freiwillig zu benennen. Gerade die Offenheit von § 40 Abs. 1 BetrVG, Kosten unabhängig von der Verpflichtung oder Berechtigung zu tragen, sowie der weite Beurteilungsspielraum des Betriebsrats zeigen, dass sich die beschäftigtendatenschutzrechtliche von der damaligen allgemeinen Rechtslage zur ED-Technologie deutlich unterscheidet. Zwar gilt die Bindung des Betriebsrats an den Verhältnismäßigkeitsgrundsatz fort. Jedoch verpflichtet der offene Wortlaut von § 80 Abs. 2 Satz 1 BetrVG und § 40 Abs. 1 BetrVG den Arbeitgeber auch zur Kostenübernahme für einen freiwillig benannten Datenschutzbeauftragten. Wenn der Betriebsrat begründen kann, warum er freiwillig einen Datenschutzbeauf­ tragten benennt, der Arbeitgeber dies ablehnt und es in der Folge zu – durch einen Datenschutzbeauftragten verhinderbaren – Datenschutzverstößen des Betriebsrats kommt, haftet der Arbeitgeber für diese Verstöße. Denn er hat sich – wie sich a posteriori herausgestellt hat – evident rechtswidrig geweigert, erforderliche Kosten aufzuwenden. Der Arbeitgeber wird also bei valider Begründung des Betriebsrats im Regelfall gem. § 80 Abs. 3 BetrVG zur Kostenübernahme eines generell oder im Einzelfall herangezogenen Datenschutzbeauftragten verpflichtet sein.

39

Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 37, Rn. 3. Vgl. statt vieler nur Thüsing, in: Richardi (Hrsg.), BetrVG, § 80 Rn. 100; Fitting, in: ders. / Engels / Schmidt / Trebinger / Linsemaier (Hrsg.), BetrVG, § 80, Rn.  90; Kothe / SchulzeDoll, in: Düwell (Hrsg.), BetrVG, § 80, Rn. 66.

40

C. Benennung eines Datenschutzbeauftragten

155

II. Doppelnutzung der Infrastruktur durch Betriebsrat und Arbeitgeber zur Kosteneinsparung Aus Verhältnismäßigkeitserwägungen könnte dann aber der Betriebsrat zur Kosteneinsparung verpflichtet sein.41 Hierzu muss er u. U. auf bestehende betriebliche Infrastruktur zurückgreifen. Für den Arbeitgeber könnte eine Doppelbenennung eines Datenschutzbeauftragten für Betrieb und Betriebsrat im Vergleich zu einer Benennung zweier unterschiedlicher Datenschutzbeauftragter sowohl in den Fällen pflichtiger als auch in den Fällen freiwilliger Benennung kostengünstiger sein. Soweit der Betriebsrat einen Datenschutzbeauftragten freiwillig benennen möchte oder pflichtig benennen muss, müsste er in diesem Fall den Datenschutzbeauftragten des Arbeitgebers konsultieren bzw. benennen.42 Die Möglichkeit einer solchen Doppelbenennung hängt vom Verhältnis zwischen Betriebsrat und Datenschutzbeauftragtem des Unternehmens ab. Entgegenstehen könnte ihr das sog. Strukturprinzip der Betriebsratsunabhängigkeit. Hiernach darf der Arbeitgeber keinen Einfluss auf die Betriebsratstätigkeit haben. Das Prinzip entstammt der entsprechenden Anwendung des Art. 9 Abs. 3 GG und der hier garantierten Unabhängigkeit von Koalitionen und Gewerkschaften.43 Die postulierte Betriebsratsunabhängigkeit wirkt zumindest paradox, denn der Betriebsrat ist in finanzieller Hinsicht arbeitgeberabhängig. Er ist gegnerfinanziert,44 denn ohne die Finanzmittel des Arbeitgebers wäre Betriebsratsarbeit völlig ausgeschlossen. Dennoch durchzieht das Strukturprinzip der Betriebsratsunabhängigkeit das gesamte BetrVG.45 Nicht nur die in der Rechtsprechung besonders hervorgehobene Norm des § 5 Abs. 3 BetrVG, der die sachlogisch zur Arbeitgeberseite gehörigen leitenden Angestellten vom Anwendungsbereich des BetrVG ausnimmt, oder die §§ 7, 8, 16, 17, 18 BetrVG über die Betriebsratsbildung durch die Belegschaft transportieren dieses Leitprinzip.46 Hierzu gehört auch, dass der Betriebsrat die Kostentragung für die Betriebsratsarbeit gegenüber dem Arbeitgeber einklagen kann, dass die Betriebsratsmitglieder gem. § 15 Abs. 1 KSchG besonderen Kündigungsschutz genießen und dass § 78 Satz 2 BetrVG die Besserstellung und die Schlechterstellung der Betriebsratsmitglieder untersagt.47 Die effektive Funktionsfähigkeit eines betrieblichen Interessenausgleichs setzt 41 Dies unterstellend Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsräte­ modernisierungsgesetz), S. 24. 42 Vgl. z. B. Wybitul, NZA 2017, 1481 (1488). 43 Dies als bipolares System bezeichnend: Richardi, in: ders. (Hrsg.), BetrVG, Einl., Rn. 107. 44 Däubler, SR 2017, 85 (87). 45 So bereits BAG, Beschl. v. 11. 11. 1997  – Az. 1 ABR 21/97; exemplarisch auch: LAG Berlin-Brandenburg, Beschl. v. 4. 3. 2011 – Az. 10 TaBV 1984/10, Rn. 11 und LAG Düsseldorf, Beschl. v. 7. 3. 2012 – Az. 4 TaBV 87/11, S. 8; für die in der Literatur weniger behandelte Frage vgl. umfassend Däubler, SR 2017, 85 (86 ff.) m. w. N.; Däubler, Gläserne Belegschaften, S. 486 f. und Kiesche / Wilke, CuA 2012, 18 (19). 46 Vgl. BAG, Beschl. v. 11. 11. 1997 – Az. 1 ABR 21/97. 47 Däubler, SR 2017, 85 (87); verfassungsrechtlich undenkbar bei Gewerkschaften.

156

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Betriebsratsunabhängigkeit gerade voraus. Deshalb wurde in Rechtsprechung und Literatur nach alter Rechtslage weit überwiegend angenommen, dass die Betriebsratsarbeit nicht durch den Datenschutzbeauftragten kontrolliert werden darf.48 Zwar musste ein betrieblicher Datenschutzbeauftragter benannt werden. Und auch obwohl der Betriebsrat Teil der verantwortlichen Stelle Arbeitgeber war, durfte der betriebliche Datenschutzbeauftragte den Betriebsrat dennoch nicht überwachen. Das BetrVG ging dem alten BDSG nach überwiegender Ansicht als lex specialis vor. Über allgemeine Mitwirkungsrechte konnte der Betriebsrat umgekehrt sogar bei der Einstellung des Datenschutzbeauftragten mitwirken.49 Über die heutige Einordnung des Datenschutzbeauftragten entscheiden u. a. seine Rolle und Aufgaben gem. Art. 39 Abs. 1 DSGVO. Der Datenschutzbeauftragte muss Verarbeitung (lit. a)  und verarbeitende Mitarbeiter (lit. b)  betreuen und beraten, er muss auf Anfrage Datenschutzfolgeabschätzungen durchführen (lit. c) und mit den Aufsichtsbehörden zusammenarbeiten (lit. d) bzw. diesen als Ansprechpartner zur Verfügung stehen (lit. e). Seine Aufgaben sind also Beratung, Kontrolle, Zusammenarbeit mit Aufsichtsbehörden und Fortbildung.50 Zur Erfüllung dieser Aufgaben ist er vollständig unabhängig.51 Er kommt zwangsläufig mit personenbezogenen Daten in Kontakt, deren Publizität das Datenschutzrecht gerade verhindern möchte. Daher ist er in Ausgestaltung der Öffnungsklausel52 des Art. 38 Abs. 5 DSGVO gem. § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 5 Satz 2 BDSG zur Geheimhaltung verpflichtet. Gerade wegen dieser Geheimhaltungspflicht scheint eine Doppelbenennung des Datenschutzbeauftragten für den Betriebsrat und den Betrieb zunächst möglich. Es würde sich nicht viel ändern: Im Betrieb gäbe es weiterhin einen Datenschutzbeauftragten. Hierfür scheint auch zu sprechen, dass der Betriebsrat nach DSGVO-Implementierung als Verantwortlicher selbst über den Datenschutzbeauftragten entscheidet.53 Nur die Frage des Verhältnisses von Datenschutzbeauftragtem und Betriebsrat scheint sich somit – verursacht durch die DSGVO – neu zu stellen.54 Die Vorgabe, dass der Betriebsrat als Verantwortlicher unter bestimmten tatbestandlichen Voraussetzungen einen Datenschutzbeauftragten benennen muss, entstammt dem Europarecht (Art. 37 DSGVO). Die Unabhängigkeit des Betriebs 48

Vgl. BAG, Beschl. v. 11. 11. 1997 – Az. 1 ABR 21/97 und in der Literatur exemplarisch: Simitis, in: ders. (Hrsg.), BDSG, § 4g, Rn. 40; Däubler, DuD 2010, 20 (21); Wedde, in: Roßnagel (Hrsg.), Hdb. Datenschutzrecht, Kap. 6.3, Rn. 61; Aßmus, ZD 2011, 27 (29); Hackel, Der betriebliche Datenschutzbeauftragte, S. 110 ff.; Simitis, NJW 1998, 2396; zusammenfassend auch Kort, ZD 2017, 3 (7). 49 Dazu ausf. Kort, NZA 2015, 1345 (1350 f.). 50 Däubler, Gläserne Belegschaften, Rn. 601 ff. 51 DSGVO-EG 97. 52 Müller, Öffnungsklauseln der DSGVO, S. 165, Fn. 101. 53 Für einen sog. Datenschutzkoordinator des Betriebsrats als praktikable Lösung zur alten Rechtslage bereits Iraschko-Luscher, DuD 2007, 696 (697). 54 Vgl. z. B. Gola, ZD 2019, 383 (390 f., maßgeblich zum Personalrat); Baumgartner / Hansch, ZD 2019, 99 (102 f.); Fuhlrott, ArbRAktuell 2019, 408.

C. Benennung eines Datenschutzbeauftragten

157

rats ist hingegen aus einer Gesamtschau des – zuvor dem BDSG gegenüber spezielleren – BetrVG einfachgesetzlich normiert. Die Normenhierarchie verdrängt in neuer Rechtslage den Spezialitätsgrundsatz nach alter Rechtslage. Schnell mag geschlossen werden, die datenschutzrechtliche Sonderrolle des Betriebsrats sei somit passé.55 Denn die – umfassenden Schutz verlangende56 – DSGVO geht als europäische Grundverordnung den einfachgesetzlichen nationalen Regelungen vor. Und dies gilt auch bei Datenverarbeitungen des Betriebsrats. Dann wäre erst recht eine „Doppelbenennung“ möglich. Allerdings lässt dieser schnelle Schluss unberücksichtigt, dass der Betriebsrat datenschutzrechtlich selbst verantwortlich ist. Und nur deshalb ist er unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu benennen. Weil der Betriebsrat im Falle pflichtiger Benennung unstreitig einen Datenschutzbeauftragten benennen muss, ist hier also gar nicht das durch die DSGVO geregelte „Ob“ der Benennung fraglich. Fraglich ist vielmehr das „Wie“ der Benennung. Denn hier geht es um die Frage, inwieweit der Datenschutzbeauftragte des Unternehmens zugleich Datenschutzbeauftragter des Betriebsrats sein kann. Und diese Frage kann selbstverständlich national geregelt sein. Der Verantwortliche muss gem. Art. 38 Abs. 6 Satz 1, 2 DSGVO selbst sicherstellen, dass der Datenschutzbeauftragte nicht in einen Interessenkonflikt gerät. Die Doppelbenennung könnte einen solchen Interessenkonflikt bedingen. Denn der Betriebsrat vertritt in erster Linie die Belegschaftsinteressen und ist damit (betriebsverfassungsrechtlicher) Gegenspieler vom Unternehmen.57 Gerade in Konfliktsituationen mit dem Arbeitgeber sind Betriebsräte u. U. daran interessiert, dass Daten nicht nach außen dringen. Denkbar sind Interessenkonflikte v. a. dort, wo der Betriebsrat auf eine Datenübermittlung des Arbeitgebers angewiesen ist, die der Arbeitgeber aber verhindern möchte. Die potenziellen Konfliktsituationen sprechen wiederum dafür, den Datenschutzbeauftragten von Betrieb und Betriebsrat grundsätzlich im Vorhinein zu trennen. Idealerweise hätte der nationale Gesetzgeber diese Konfliktsituation erkannt und geregelt. Bisher ist allerdings keine Regelung getroffen. Der indes veröffentlichte Regierungsentwurf stellt zu dieser Fragestellung keinen Bezug her, sondern legt sogar nahe, dass der Datenschutzbeauftragte unproblematisch beide Betriebsparteien beraten dürfte.58 Die Rechtslage bleibt somit unklar. Eine Landesregelung bietet – aufgrund der Normenhierarchie – allenfalls, aber immerhin, Anlass für weitere dogmatische Diskussionen: Das Land Thüringen hat die erste Regelung für Personalräte erlassen. Nach § 80 Abs. 1 1. Hs. ThürPersVG soll der Personalrat einen Datenschutzbeauftragten benennen. Dienststelle und Personalvertretung 55

So Kort, ZD 2017, 3 (7). Pötters / Gola, RDV 2017, 279 (283). 57 Unter dem Terminus „Konfliktlösung im Dialog“ vgl. dazu Däubler, in: Däubler / K lebe / ​ Wedde (Hrsg.), BetrVG, Einl., Rn. 78 ff. 58 Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24; s. hierzu auch Kap. § 5. 56

158

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

können einvernehmlich einen gemeinsamen Datenschutzbeauftragten bestellen.59 Die Betonung liegt hierbei auf können, denn mit Widerspruch einer der beiden Parteien kann kein gemeinsamer Datenschutzbeauftragter eingesetzt werden.60 Somit ist eine Einzelfallentscheidung möglich. § 80 Abs. 1 1. Hs. ThürPersVG könnte Vorbild für eine wohlüberlegte Regelung sein, die die Kosten berücksichtigt und zugleich Konflikte entschärft. Bei dem Übertragen der Norm für Personalräte auf Betriebsräte ist auch deshalb Vorsicht geboten, weil die Regelungsgrundlagen üblicherweise divergieren. Personalrat und Betriebsrat sind allerdings jeweils Beschäftigtenvertretungen und das Unterscheidungsmerkmal „privatrechtlicher versus öffentlicher Arbeitgeber“ dürfte datenschutzrechtlich bei der Benennung des Datenschutzbeauftragten keine Rolle spielen. Gerade weil für den Betriebsrat bisher keine gesetzlichen Regelungen bestehen, scheint ein Blick in das benachbarte Rechtsgebiet vielversprechend. Eine fakultative Regelung wäre auch für den Betriebsrat sinnvoll. Denn trotz Verschwiegenheitspflicht ist der Datenschutzbeauftragte bei Doppelbenennung „in Personalunion“ Bezugsstelle für beide konfligierenden Parteien. Diese Konstellation ist nicht frei von Widersprüchen. Denkbar ist ferner, dass Betriebsrat und Arbeitgeber jeweils aus Vertrauensgesichtspunkten interne Besetzungen der Posten anstreben, dass also der Betriebsrat ein Betriebsratsmitglied benennen möchte, während der Arbeitgeber einen bestimmten Arbeitnehmer als Datenschutzbeauftragten präferiert. Oder eine der Parteien könnte eine externe Besetzung wünschen, z. B. um eine Spezialisierung des Datenschutzbeauftragten sicherzustellen. Die betriebsrätliche, vom Arbeitgeber unabhängige Verantwortlichkeit, die nationale Regelungsmöglichkeiten lässt und (vorsichtig übertragene)  Vorzüge der (wohlüberlegten) Regelung im thüringischen Personalvertretungsrecht sprechen dafür, dass der Betriebsrat nicht einseitig gezwungen werden kann, den betrieblichen Datenschutzbeauftragten des Unternehmens auch als eigenen doppelt zu benennen. Denn in diesem Fall drohten Konflikte, die die betriebsverfassungsrechtliche und datenschutzrechtliche Unabhängigkeit in Frage stellen könnten und damit rechtswidrig wären. Für den Betriebsrat und Arbeitgeber besteht u. U. ein Interesse daran, dass niemand, der auch Kenntnisse „im anderen Lager“ hat, eigene Verarbeitungstätigkeiten begleitet. Der Datenschutzbeauftragte ist zwar unabhängig und nicht „verlängerter Arm des Arbeitgebers“.61 Die Benennung unterschiedlicher Datenschutzbeauftragter ist jedoch für das Vertrauensverhältnis zwischen Arbeitgeber und Betriebsrat förderlich.62 Der Arbeitgeber hat somit kein Mitspracherecht bei Benennung des betriebsrätlichen Datenschutzbeauftragten. Dies ergibt sich bereits aus der eigenständigen Verantwortlichkeit des Betriebs 59

Dazu auch Meinhold, NZA 2019, 670 (671) und Gola, ZD 2019, 383 (391). A. A. entgegen dem eindeutigen Wortlaut wohl Gola, ZD 2019, 383 (391). 61 So aber ausdrücklich BAG, Beschl. v. 11. 11. 1997 – Az. 1 ABR 21/97 = NZA 1998, 385 (389). 62 Unter der alten Rechtslage war hier auch vom Datenschutzbeauftragten als „Anwalt der Betroffenen“ die Rede, vgl. Iraschko-Luscher, DuD 2007, 696 (697). 60

D. Das Haftungsregime in der DSGVO

159

rats. Gem. Art. 37 Abs. 1 DSGVO hat er selbst einen Datenschutzbeauftragten zu benennen.63 Ein Mitspracherecht des Arbeitgebers wäre auch systemwidrig. Denn wenn der Betriebsrat die Benennung eines bestimmten Datenschutzbeauftragten als erforderlich plausibilisiert, kann der Arbeitgeber wegen der im BetrVG typisierten Einschätzungsprärogative des Betriebsrats nicht widersprechen. Der Betriebsrat kann pflichtige oder freiwillige Datenschutzbeauftragte selbst benennen. Der Arbeitgeber kann ihn nicht im Rahmen von Verhältnismäßigkeitserwägungen aus Kostengründen auf einen bereits benannten betrieblichen Datenschutzbeauftragten verweisen. Mit einer Doppelbenennung entstehen dem Arbeitgeber zwar höhere Kosten (§§ 80 Abs. 3, 40 Abs. 2 BetrVG). Für einen erforderlichen Datenschutzbeauftragten hat er diese Kosten aber auch zu tragen.

D. Das Haftungsregime in der DSGVO Der Verantwortliche ist nach Datenschutzverstößen Adressat eines umfassenden Haftungsregimes: Datenschutzverstöße können Schadensersatzforderungen gegenüber dem Verantwortlichen begründen (Art. 82 DSGVO) und Geldbußen nach sich ziehen (Art. 83 DSGVO). Gegenüber dem Betriebsrat geltend gemachte Ansprüche und verhängte Geldbußen fordern die betriebsverfassungsrechtlichen Regelungen in Deutschland heraus. Das rechtswissenschaftliche Problem wird unter Berücksichtigung der Normenhierarchie verständlich: Das europäische Recht gibt Leitlinien für die datenschutzrechtliche Verantwortlichkeit des Betriebsrats vor und knüpft die Haftung an diese Verantwortlichkeit. Vollziehung der Haftung setzt Vermögensfähigkeit voraus. In der deutschen Rechtsordnung ist der Betriebsrat allerdings weder vermögensfähig noch insgesamt rechtsfähig. Dogmatischer Ausgangspunkt der erheblichen Herausforderungen in Deutschland durch die europarechtlich vorgegebene datenschutzrechtliche Verantwortlichkeit des Betriebsrats ist die fehlende Rechtsfähigkeit des Betriebsrats (I.). Solange der deutsche Gesetzgeber keine Regelung trifft,64 müssen Lösungen für dieses identifizierte Problem im deutschen Recht gesucht werden. Der rechtswissenschaftliche Diskurs problematisiert diese bisher allein punktuell – viele punktuell begründete Meinungen bereichern jedoch den Diskurs. Dies betrifft beide zu differenzierenden Kostenregime,65 also einerseits das zivilrechtlich geprägte Schadensersatzregime (II.), andererseits das dem Ordnungswidrigkeitenrecht nahestehende Geldbußenregime in der DSGVO (III.). Die Ergebnisse werden kurz zusammengefasst (IV.).

63

S. zur heutigen Rechtslage allerdings Kap. § 5. S. hierzu Kap. § 5. 65 Vgl. zur zwischen den beiden Regimen differenzierenden Ansatzart Kleinebrink, DB 2018, 2566 (2569 ff.); Brams / Möhle, ZD 2018, 570 (570 ff.); Schulz, ZESAR 2019, 323 (323 ff.); eindeutig auch: Lücke, NZA 2019, 546 (670); ausf.: Martini / Wagner / Wenzel, VerwArch 2018, 163 ff., 296 ff. 64

160

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

I. Die fehlende Rechtsfähigkeit als dogmatischer Problem-Ausgangspunkt Gegenüber datenschutzrechtlich Verantwortlichen wie dem Betriebsrat können Schadensersatzansprüche geltend gemacht werden (Art. 82 DSGVO) und Datenschutzaufsichtsbehörden können Geldbußen gegen sie verhängen (Art. 83 DSGVO).66 Gegen eine solche datenschutzrechtliche Haftung wird – im Zirkelschluss – eingewandt, der Betriebsrat sei nicht rechts- und vermögensfähig.67 Und da er nicht haften könne, könne er auch nicht verantwortlich sein. Schließlich kenne das deutsche Betriebsverfassungsrecht allenfalls die betriebsrätliche Rechtsfähigkeit im Rahmen der betriebsverfassungsrechtlichen Rechte und Pflichten. Dieser Einwand missversteht jedoch den Begriff Rechtsfähigkeit. Dass dem Betriebsrat Rechte und Pflichten zugewiesen sein können, ist an sich nicht neu. Ein Vergleich zwischen alter und neuer Rechtslage zeigt jedoch, dass die datenschutzrechtliche Rechtszuweisung durch die DSGVO neu ist für den Betriebsrat.68 Denn bisher hat der Betriebsrat keine (deliktischen) Haftungsverpflichtungen. Wenn Rechtsfähigkeit, wie hier, als Zuweisung von Rechten und Pflichten zu einer rechtlich abgrenzbaren Entität verstanden wird, dann war der Betriebsrat auch bereits bisher unstreitig teilrechtsfähig im Rahmen ihm zugewiesener (betriebsverfassungsrechtlicher) Rechte und Pflichten.69 Und auch darüber hinaus wies die Rechtsordnung ihm bestimmte Rechte und Pflichten zu, u. a. Vermögensfähigkeit, jedenfalls im Rahmen des sog. Freistellungsanspruchs gegenüber dem Arbeitgeber.70 Wenn insoweit vom Betriebsrat veranschlagte Kosten erforderlich sind, muss der Arbeitgeber diese gem. §§ 40 Abs. 1, 80, 111 BetrVG tragen und der Betriebsrat ist von der Kostentragung freigestellt. Einen Anspruch auf Kostenbegleichung hat der Betriebsrat auch, wenn die erforderlichen Kosten im Rahmen der Parteifähigkeit in arbeitsgerichtlichen Verfahren (§ 10 ArbGG) oder bei den Mitbestimmungsrechten in §§ 160, 167 SGB IX entstehen. Der Betriebsrat war also bereits bisher in unterschiedlicher Hinsicht rechts- und vermögensfähig – und zwar nicht nur im Anwendungsbereich des BetrVG.71 Die DSGVO weist dem Betriebsrat als Verantwortlichem datenschutzrechtliche Rechte und Pflichten zu. Zu seiner betriebsverfassungsrechtlichen, arbeitsverfahrensrechtlichen und sozialrechtlichen Teilrechtsfähigkeit tritt nun auch die datenschutzrechtliche Teilrechtsfähigkeit hinzu. Die Rechtszuweisung ist also nicht neu. Neu ist aber die Zielrichtung des DSGVO-Haftungsregimes, nämlich dem Betriebsrat vermögenswirksame Pflichten aufzuerlegen. Diese datenschutzrechtlichen Zuweisungen unterscheiden sich von vielen anderen (spezial-)gesetzlichen Rechts- und Pflichtenzuweisungen auch 66

S. Kap. § 3 D. III. Zur Rechtsfähigkeit des Betriebsrats s. Kap. § 2 D. II. 1. b) aa) (3). 68 Pötters / Gola, RDV 2017, 279 (280), meinen, dass das Haftungsregime der DSGVO die Rechtsfähigkeit des Verantwortlichen voraussetze. 69 S. die Herleitung in Kap. § 2 D. II. 1. b) aa) (3). 70 Diese aus § 40 Abs. 1 BetrVG herleitend Schuster / Schunder, NZA 2020, 92 (93). 71 S. die Herleitung in Kap. § 2 D. II. 1. b) aa) (3) (a), (b). 67

D. Das Haftungsregime in der DSGVO

161

dadurch, dass der Betriebsrat im Datenschutzrecht nicht exklusiv adressiert wird. SGB IX, ArbGG und BetrVG adressieren bei der Rechts- und Pflichtenzuweisung konkret „den Betriebsrat“. Die DSGVO knüpft die Zuweisung von Rechten und Pflichten hingegen abstrakt an den Begriff der Verantwortlichkeit an. Nur weil der Betriebsrat Verantwortlicher ist, auferlegt die DSGVO ihm Rechte und Pflichten.72 Macht es einen Unterschied, ob der Betriebsrat selbst angesprochen wird oder ob er als pars pro toto der Rechtsfigur „Verantwortlicher“ gilt? Hierfür spricht, dass der deutsche Gesetzgeber betriebsrätliche Rechte und Pflichten exklusiv dem Betriebsrat auferlegt. Dies gilt jedoch nicht für jeden Fall: Gem. § 80 Abs. 3 BetrVG kann der Betriebsrat zur Erfüllung seiner Rechte und Pflichten z. B. Sachverständigenverträge schließen, deren Kosten der Arbeitgeber tragen muss. Der Sachverständigenvertrag selbst richtet sich als Dienstvertrag in der Regel nach § 611 BGB. Hier werden zwar Vertragsparteien, nicht aber wird explizit der Betriebsrat vorausgesetzt. Dennoch leiten sich aus dem geschlossenen Sachverständigenvertrag Pflichten, jedenfalls aber Rechte des Betriebsrats her, die das BGB im Normwortlaut nicht ausschließlich an den Betriebsrat adressiert. Er hat einen Anspruch, d. h. ein Recht auf die Sachverständigenleistung, und er hat die Pflicht, die vereinbarte Vergütung zu gewähren (§ 611 Abs. 1 BGB). Der Betriebsrat ist somit Vertragspartei, ohne explizit gesetzlich – als Betriebsrat – angesprochen zu sein. § 40 Abs. 1 BetrVG verknüpft betriebsrätliche Kostentragung und BGB-Regelungen. Und so verknüpft das BetrVG auch die datenschutzrechtlichen Regelungen mit der betriebsrätlichen Kostentragung. Der verantwortliche Betriebsrat muss u. a. datenschutzrechtliche Vorschriften einhalten (Art. 6 DSGVO). Wenn er die Vorschriften nicht einhält, können ihn Sanktionen aus der DSGVO treffen. Er ist im Rahmen der ihm durch die DSGVO zugewiesenen Rechte und Pflichten datenschutzrechtlich teilrechtsfähig. Die Verteilung der Kostentragung ist allerdings Aufgabe der nationalen Rechtsordnung.

II. Das Schadensersatzregime der DSGVO (Art. 82 DSGVO) Unter den Voraussetzungen des Art. 82 DSGVO können Betroffene gegen den verantwortlichen Betriebsrat Schadensersatzansprüche geltend machen, wenn ihnen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden73 entstanden ist. Ein Datenschutzverstoß muss also kausal einen Schaden verursachen. Nach Vorstellung des DSGVO-Gesetzgebers ist der Terminus Schaden den Zielen der DSGVO entsprechend weit und umfassend auszulegen:74 Er umfasst unmittelbare und mittelbare Schädigungen, entgangenen Gewinn oder 72

S. zur deutschen Neuregelung allerdings Kap. § 5. S. zum Schmerzensgeld ausf. Wessels, DuD 2019, 781 unter Zitation erster Stellungnahmen der Rspr. 74 Vgl. DSGVO-EG 146, Satz 3; s. auch Kohn, ZD 2019, 498 (501 f.); s. neuerlich die Vorlage des BVerfG an den EuGH zu immateriellen Schäden: BVerfG, Beschl. v. 14. 1. 2021 – 1 BvR 28531/19. 73

162

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

rechnet sogar zukünftige unfreiwillige Schädigungen zu. Nichtvermögensschäden in diesem Sinne sind u. a. soziale Diskriminierung, psychische Auswirkungen oder eine Hemmung der freien Persönlichkeitsentfaltung.75 Der Betriebsrat wird im deutschen Recht keinen Schadensersatzansprüchen ausgesetzt. Zunächst lohnt es sich, den rechtswissenschaftlichen Meinungsstand zu der neu formulierten Problemstellung nachzuvollziehen (1.), ehe Lösungsansätze für die Konfrontation des deutschen Rechts durch das Europarecht diskutiert (2.) und die Ergebnisse zusammengefasst (3.) werden. 1. Der rechtswissenschaftliche Meinungsstand Der Betriebsrat ist als Organ Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Das DSGVO-Haftungsregime knüpft u. a. an den Verantwortlichen an (Artt. 82 ff. DSGVO). Der Verantwortliche muss Ansatzpunkt für weiterführende Überlegungen sein.76 Dies ist jedoch umstritten, weil der Betriebsrat  – jedenfalls – im deutschen Recht weder rechts-, noch vermögensfähig und somit nicht ausgleichsfähig sein könne.77 Für den Ausgleich etwaiger Ansprüche kommen aber mit dem Organ Betriebsrat, den Betriebsratsmitgliedern und dem Arbeitgeber potenziell lediglich drei Akteure in Frage. Es bietet sich folglich ein akteurszentriertes Ausschlussverfahren an.78 Bisher werden graduell abgestuft drei Positionen in der Literatur vertreten.79 Entweder sprechen sich Literaturstimmen für eine Arbeitgeberhaftung bei betriebsrätlichen Datenschutzverstößen aus. V.a. sind dies die Stimmen, die den Betriebsrat – wie nach alter Rechtslage – als Teil der verantwortlichen Stelle Arbeitgeber ansehen.80 Oder die Literaturstimmen nehmen eine Haftung von Arbeitgeber oder Betriebsratsmitgliedern je nach Verschulden des Datenschutzverstoßes an.81 Viele der bisherigen Literaturstimmen sprechen sich auch für eine exklusive Haftung der Betriebsratsmitglieder bzw. des Betriebsratsvorsitzenden aus.82 75

Wybitul / Haß / Albrecht, NJW 2018, 113 (115). Derartiges Vorgehen im Ursprung lediglich bei Brams / Möhle, ZD 2018, 570 (572); Kurzböck / Weinbeck, BB 2018, 1652 (1652 ff.); neuerlich auch: Schulz, ZESAR 2019, 323 (326); Bott / Vogel, BB 2019, 2100; stark gemacht bei Paal, MMR 2020, 14 (15), der eine Haftung sonstiger Personen, wie etwa Geschäftsführern allein nach dem jeweils nationalen Recht anerkennen möchte. 77 Vgl. statt vieler bereits sehr früh Kurzböck / Weinbeck, BB 2018, 162 (1654). 78 So bereits Kleinebrink, DB 2018, 2566 (2569 ff.); Brams / Möhle, ZD 2018, 570; Schulz, ZESAR 2019, 323. 79 S. zu den Rechtsfolgen der Neuregelung aber Kap. § 5. 80 Heuschmid, SR 2019, 1 (8); im Grundsatz wohl: Lücke, NZA 2019, 658 (669); für eine „Reservehaftung“ des Arbeitgebers: Bott / Vogel, BB 2019, 2100 (2102). 81 Möhle / Brams, ZD 2018, 570; Schulz, ZESAR 2019, 323 (327); als Abweichung von seinem Grundsatz wegen „Haftungsüberwälzung“ auch: Lücke, NZA 2019, 658 (669); tendenziell auch Meinhold, NZA 2017, 670 (671 f.). 82 Kleinebrink, DB 2018, 2566 (2570); Kurzböck / Weinbeck, BB 2018, 1652 (1655); Brink  / ​ Wybitul, ZD 2019, 1; Stück, ZD 2019 256 (262); Maschmann, NZA 2020, 2107 (1210 f.). 76

D. Das Haftungsregime in der DSGVO

163

Bereits die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers kann eine Haftung für seine eigenen Datenschutzverstöße verursachen. Wenn nun der Betriebsrat Teil des verantwortlichen Arbeitgebers sein sollte,83 so ist dieser der einzige potenziell haftbare Verantwortliche.84 Das Haftungsregime der Artt. 82 ff. DSGVO ginge von einer Rechtsfähigkeit des Verantwortlichen aus – der Betriebsrat selbst könne bereits mangels Rechtsfähigkeit nicht haften.85 Wenn nur der Arbeitgeber Verantwortlicher und zudem nur er rechtsfähig sei, müsse er auch haften.86 Zudem habe der Arbeitgeber grundsätzlich die Kosten der Betriebsratsarbeit zu tragen (§ 40 Abs. 1 BetrVG). Selbst im Falle von Fahrlässigkeitskonstellationen sei die Haftung auf den Arbeitgeber überzuleiten.87 Für eine geteilte Haftung zwischen Arbeitgeber und Betriebsratsmitgliedern bzw. Betriebsratsvorsitzendem spreche, dass § 40 Abs. 1 BetrVG dem Arbeitgeber nur die erforderlichen Kosten auferlege. Das Erforderlichkeitskriterium sei Selektionskriterium. Erforderliche Kosten seien vom Arbeitgeber zu tragen.88 Soweit Kosten nicht erforderlich seien, müsse diese angesichts der Vermögenslosigkeit des Organs Betriebsrat das handelnde Betriebsratsmitglied bzw. der Betriebsratsvorsitzende tragen. Verschuldenskriterien könnten zwischen Haftung des Arbeitgebers und der Betriebsratsmitglieder bzw. dem Vorsitzenden abgrenzen. Sei der Datenschutzverstoß vorsätzlich89 oder grob fahrlässig90 erfolgt, hafte das Betriebsratsmitglied. Sonst hafte der Arbeitgeber. Für eine exklusive Kostentragungspflicht der Betriebsratsmitglieder spreche, dass sie für den Betriebsrat handeln91 und als natürliche Personen schadensersatzpflichtig werden können. Der Arbeitgeber könne bereits nicht ausgleichspflichtig sein, weil er mangels Weisungsgebundenheit datenschutzrechtswidrige Handlungen nicht unterbinden könne.92 Handele nur ein Betriebsratsmitglied, so hafte es allein. Handelten hingegen mehrere, so könne ein Gesamtschuldnerausgleich stattfinden.93 Auch ein (rechtswidriger) Betriebsratsbeschluss führe zur Haftung

83

Tendenziell aus umgekehrter Reihenfolge im Sinne von „Da Schadensersatzansprüche drohen, die der Betriebsrat aber nicht begleichen könnte, kann er kein Verantwortlicher sein“ wohl Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 11 f. (insb. 11a). 84 Dieses Problem nicht thematisierend: Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). 85 Heuschmid, SR 2019, 1 (8). 86 Heuschmid, SR 2019, 1 (8). 87 Lücke, NZA 2019, 658 (669). 88 Schulz, ZESAR 2019, 323 (327). 89 Lücke, NZA 2019, 658 (669). 90 Brams / Möhle, ZD 2018, 570 (573). 91 Diesen Ansatzpunkt stark machend zuletzt Maschmann, NZA 2020, 1207. 92 Stück, ZD 2019 256 (262). 93 Kleinebrink, DB 2018, 2566 (2570); Kurzböck / Weinbeck, BB 2018, 1652 (1655); vgl. zu den Regelungen im BetrVG: Franzen, in: Wiese et al. (Hrsg.), GK BetrVG I, § 1, Rn. 85, der die §§ 830, 840 BGB in dieser betriebsverfassungsrechtlichen Konstellation anwendbar erklärt.

164

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

der den Beschluss tragenden Betriebsratsmitglieder.94 Die Übertragung der BGHRechtsprechung zu Überschreitungen betriebsverfassungsrechtlicher Kompetenzen bei vertraglichen Verpflichtungen des Betriebsrats sei denkbar.95 2. Lösungen zur Kostentragung des Betriebsrats im Schadensersatzregime der DSGVO Verschiedene Rechtsgrundlagen regeln die Kostentragungspflicht des Betriebsrats im Haftungsregime der DSGVO. Das Europarecht normiert die für die Haftung bei Datenschutzverstößen ursächliche datenschutzrechtliche Verantwortlichkeit des Betriebsrats. Modalitäten der Schadensersatzforderungen wegen der Datenschutzverstöße normiert jedoch das nationale Recht. Denn aufgrund der Kompetenzverteilungen zwischen mitgliedstaatlichen Gesetzgebern und dem europäischen Gesetzgeber kann allein der nationale Gesetzgeber entscheiden, ob und wie das Organ Betriebsrat Schäden begleicht. Bisher gab es weder ein Rechtskonstrukt, bei dem das Europarecht dem Betriebsrat mittelbar, da über eine „Verantwortlichkeit für einen Verstoß“ (deliktische) Kostenverpflichtungen auferlegt, noch kannte das deutsche Betriebsverfassungsrecht eine Schadensausgleichspflicht des Betriebsrats.96 Zum Umgang mit den neuen Herausforderungen bietet es sich an, auf bestehende Rechtsgrundsätze zurückzugreifen und Leitsätze im bisherigen betriebsverfassungsrechtlichen Kostentragungsregime zu suchen, die sich abstrahieren und auf die DSGVO-Kostentragungspflicht übertragen lassen. Ausgehend von der datenschutzrechtlichen Teilrechtsfähigkeit des Betriebsrats und der Feststellung, dass der Betriebsrat also Adressat von Ansprüchen ist,97 muss untersucht werden, wer tatsächlich zum Ausgleich entstandener Kosten verpflichtet ist. Zunächst werden etwaige Ausgleichspflichten von Betriebsrat, Arbeitgeber und den Betriebsratsmitgliedern miteinander abgewogen (a)). In einem zweiten Schritt wird das allgemeine betriebsverfassungsrechtliche Kostenregime in den Blick genommen und untersucht, ob § 40 Abs. 1 BetrVG Leitsätze für die Kostentragung bei Schadensersatzansprüchen liefert (b)). Daraus wird eine Verteilung der Haftung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs in entsprechender Anwendung vorgeschlagen (c)). Die Kostenausgleichspflicht könnte quotal durch Verschuldensgrade differenziert werden (d)).

94

Kurzböck / Weinbeck, BB 2018, 1652 (1655); begrifflich betrifft dies sog. „Gremienentscheidungen“. 95 Kurzböck / Weinbeck, BB 2018, 1652 (1655). 96 Franzen, in: Wiese et al. (Hrsg.) GK BetrVG I, § 1, Rn. 77; Wedde, in: Däubler / K lebe / ​ Wedde (Hrsg.) BetrVG, Einl., Rn. 150; Thüsing, in: Richardi (Hrsg.), BetrVG, vor § 26, Rn. 8; Boemke, in: Kiel / Lunk / Oetker (Hrsg.), MHdbArbR, Bd. 3, § 286, Rn. 16: auch Kamanabrou, Arbeitsrecht, Rn. 2384. 97 Zusammenfassend Kap. § 2 D. III.

D. Das Haftungsregime in der DSGVO

165

a) Betriebsrat, Arbeitgeber oder Betriebsratsmitglieder als Ausgleichspflichtige? Zwar ist der Betriebsrat datenschutzrechtlich Verantwortlicher, damit teilrechtsfähig und potenziell Anknüpfungspunkt der Haftung. Aber als Organ hat der Betriebsrat keine liquiden Mittel zur Begleichung von Schadensersatzforderungen und ist auch an keiner Stelle des BetrVG als Schuldner von Schadensersatzansprüchen vorgesehen. Er kann betriebsverfassungsrechtlich selbst nicht tatsächlich ausgleichspflichtig sein,98 auch wenn er als Verantwortlicher datenschutzrechtlich Adressat der Schadensersatzansprüche ist. Ein europäischer Zwang gegenüber dem deutschen Gesetzgeber, eine Regelungsarchitektur für die Haftung des Organs Betriebsrat zu erlassen, wäre nicht nur kompetenziell fragwürdig, weil das Betriebsverfassungsrecht im Wesentlichen mitgliedstaatliche Angelegenheit ist (Art. 153 AEUV).99 Ein solcher Zwang würde auch das gesamte Betriebsverfassungsrecht unterminieren, das den Betriebsrat gerade als nicht wirtschaftlichen Akteur konzipiert. Anstelle des Betriebsrats können – dem rechtswissenschaftlichen Meinungsstand entsprechend100 – zwei andere Akteure realistischerweise entstehende Schäden ausgleichen: Der Arbeitgeber oder die Betriebsratsmitglieder. Die exklusive Inanspruchnahme beider Haftungssubjekte birgt isoliert Ungerechtigkeiten und dysfunktionale Risiken. Die exklusive Haftung des Arbeitgebers ist einerseits wegen des fehlenden Weisungsrechts problematisch: Der Betriebsrat begeht Datenschutzverstöße, der Arbeitgeber ist dem Betriebsrat gegenüber aber nicht weisungsbefugt.101 Betriebsrätliche Datenschutzverstöße kann der Arbeitgeber also nicht verhindern. Er soll somit für etwas haften, das er gar nicht beeinflussen kann.102 Eine Haftung ohne Setzung einer eigenen Ursache ist dem (deutschen) Recht selbst bei der weiten Produkthaftung fremd. Denn hier haftet zumindest derjenige, der das Produkt hergestellt und immerhin mit der Herstellung eine Ursache für den Schadenseintritt gesetzt hat (vgl. etwa §§ 1 Abs. 2, 4 Abs. 1 Satz 1 ProdHaftG). Der Arbeitgeber setzt allenfalls mit der Gründung des Betriebs eine Ursache für die Gründung des Betriebsrats, die gesetzlich vorgesehen ist (§ 1 Abs. 1 BetrVG). Gerade deshalb ist der Betriebsrat neben dem Arbeitgeber selbst datenschutzrechtlich verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO.103 Die DSGVO kennt nur die Haftung des Verantwortlichen für eigene Datenschutzverstöße, nicht aber eine Haftung eines Verantwortlichen für Datenschutzverstöße eines anderen ohne Ursachensetzung. 98

Dies bereits, da das BetrVG den Betriebsrat an keiner Stelle als Schuldner von Schadensersatzansprüchen benenne, Franzen, in: Wiese et al. (Hrsg.), GK BetrVG I, § 1, Rn. 77; Koch, in: Müller-Glöge / P reis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 1, Rn.  19; Kamanabrou, Arbeitsrecht, Rn. 2384, Fn. 220 m. w. N. 99 S. zu kompetenzrechtlichen Einwänden Kap. § 3 D. III. 3. b). 100 Kap. § 3 D. II. 1. 101 S. zur jetzigen rechtlichen Konzeption allerdings Kap. § 5. 102 Dies ist eine der ungesehenen Folgen des Regierungsentwurfs der Bundesregierung v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). 103 S. Kap. § 2 D. II. 1. d) bb).

166

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Auch eine exklusive Haftung von Betriebsratsmitgliedern oder Betriebsratsvorsitzendem ist problematisch, weil die Betriebsratstätigkeit Ehrenamt ist (§ 37 Abs. 1 BetrVG). Ein Ehrenamt lebt von dem Umstand, dass fehlender wirtschaftlicher Vorteil durch niedrigere Haftungsrisiken ausgeglichen wird.104 Das Interesse an der ehrenamtlichen Tätigkeit als Betriebsratsmitgliedschaft sollte nicht durch ein auferlegtes Kostenausgleichsrisiko gemildert werden. Denn der Bestand von Betriebsräten muss geschützt werden: Er schafft im deutschen Arbeitsrecht einen Interessenausgleich zwischen Arbeitgeber und Belegschaft. Wenn den (handelnden) Betriebsratsmitgliedern nun aber in jedem Fall und möglicherweise bei jedem Verschuldensgrad erhebliche finanzielle Einbußen drohen, so werden sich Arbeitnehmer künftig gut überlegen, ob sie sich als Betriebsratsmitglied diesem finanziellen Risiko wirklich aussetzen wollen. Denn wären sie lediglich „einfache Arbeitnehmer“, so griffen die sie schützenden Regelungen zum innerbetrieblichen Schadensausgleich. Betriebsratsmitglieder sind also, anders als in der Literatur teils unterstellt, gerade nicht mit einfachen Arbeitnehmern vergleichbar.105 Die DSGVO verursacht lediglich die Betriebsratshaftung, regelt jedoch nicht die Kostenübernahme im Haftungsfall. Antworten auf die Kostenfragen sind im nationalen Recht zu suchen. Bisher trifft der deutsche Gesetzgeber keine eigene Regelung zu den neuerlichen Haftungsfragen, obwohl er anhand von Regelungen im Rahmen der Öffnungsklauseln u. a. die Haftungsproblematik lösen könnte.106 Da das deutsche Betriebsverfassungsrecht (bisher) keine deliktsrechtliche Haftung des Betriebsrats als Gremium kennt, helfen auch übertragene Rechtsgedanken nicht weiter.107 Überkommene betriebsverfassungs- und arbeitsrechtliche Kostenmechanismen enthalten aber Lösungspotenzial.

104

S. etwa das Ehrenamtsstärkungsgesetz v. 21. 3. 2013, BGBl. I Nr. 15 v. 28. 3. 2013, S. 556 ff.; a. A. aber wohl Schuster / Schunder, NZA 2020, 92 (96), die dann aber die Haftung entsprechend §§ 31a, 31b BGB auf Vorsatz und grobe Fahrlässigkeit beschränken wollen und somit das Ehrenamt doch privilegieren. 105 Der Einwand von Maschmann, NZA 2020, 1207 (1212), diese Argumentation zöge nach sich, dass auch ein Berufskraftfahrer im Falle von Verkehrsverstößen bevorzugt werden müsste, geht somit jedenfalls für Schadensersatzansprüche fehl. Denn hier kann es allenfalls um Geldbußen gehen. Bei Schadensersatzansprüchen greift zu seinen Gunsten die Dogmatik des innerbetrieblichen Schadensausgleichs. Und auch die Einlassung von Schuster / Schunder, NZA 2020, 92 (95 f.) greift nicht durch: Dass Betriebsratsmitglieder zu der Zeit ihrer Betriebsratsarbeit nicht den allgemeinen Haftungsrisiken als Arbeitnehmer unterliegen, führt nicht zu einer Gleichbehandlung. Denn als Arbeitnehmer greift – im Gegensatz zur Betriebsratsarbeit  – eben in Schadenskonstellationen zu ihren Gunsten der innerbetriebliche Schadensausgleich. 106 Zur Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO s. Kap. § 2 D. II. 1. b) ee) (3). 107 Vgl. Schwab, NZA-RR 2016, 173 (176).

D. Das Haftungsregime in der DSGVO

167

b) Das allgemeine betriebsverfassungsrechtliche Kostenregime als Lösungsansatz? Ansatzpunkt für die Ausgleichspflicht bei gegen das Organ Betriebsrat geltend gemachten Schadensersatzforderungen kann das allgemeine betriebsverfassungsrechtliche Kostenregime sein: § 40 Abs. 1 BetrVG verpflichtet den Arbeitgeber, erforderliche Kosten der Betriebsratsarbeit zu tragen.108 Erforderlich sind Kosten, die notwendig zur ordnungsgemäßen Amtsausführung sind und in vertretbarem Umfang aufgewandt wurden.109 Rechtswidrige Handlungen, die etwa Datenschutz­ verstöße verursachen, können nicht erforderlich sein. Der Verstoß gegen eine datenschutzrechtliche Vorschrift kann zwar im Einzelfall, etwa bei einer Gefahr für Leib und Leben, auf Basis der anderen datenschutzrechtlichen Norm gerechtfertigt sein.110 Dann liegt aber auch kein Datenschutzverstoß vor. Für den Betriebsrat „erforderlich“ ist es, Datenschutzverstöße zu vermeiden. Und dennoch ermöglicht das Selektionskriterium der Erforderlichkeit eine (angemessene) Haftungsverteilung. Der BGH hat bei Fällen, in denen über die Übernahme erforderlicher Kosten gestritten wurde, die dem Betriebsrat gesetzlich zugewiesenen Aufgaben ausgelegt:111 Bei der Betriebsratsarbeit im Rahmen seiner gesetzlichen Aufgaben entstehende Kosten sind erforderlich.112 Damit hat der Arbeitgeber diese Kosten ausweislich § 40 Abs. 1 BetrVG zu tragen. Überschreitet der Betriebsrat aber die Grenze zugewiesener Aufgaben, so sind Kosten nicht mehr erforderlich, d. h. der Arbeitgeber muss sie nicht tragen. Da aber der Betriebsrat kein Vermögen hat, mit dem er nicht erforderliche Kosten tragen könnte, hat der BGH unter bestimmten Voraussetzungen die Betriebsratsmitglieder zum Ausgleich dieser Kosten herangezogen.113 Erforderliche Kosten sind vom Arbeitgeber zu tragen, nicht erforderliche Kosten hingegen von den Betriebsratsmitgliedern.114 Das Erforderlichkeits-Konzept kann für datenschutzrechtliche Fragestellungen fruchtbar gemacht werden. Die Erforderlichkeit verläuft damit parallel zum datenschutzrechtlichen Exzess-Gedanken.115

108

Zur Herleitung des ungeschriebenen Tatbestandsmerkmals der Erforderlichkeit s. Kap. § 3 B. So statt vieler Thüsing, in: Richardi (Hrsg.), BetrVG, § 40, Rn. 5; s. auch bereits Kap. § 3 C. I. 110 Vgl. insoweit Anknüpfungsmöglichkeiten an Art. 9 Abs. 2 lit. c DSGVO, dazu: Albers  / ​ Veit, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 9, Rn. 55 ff. 111 BGH, Urt. v. 25. 10. 2012 – Az. III ZR 266/11, Rn. 46. 112 S. bereits Kap. § 3 B. und Kap. § 3 C. I. 113 S. sogleich Kap. § 3 D. II. 2. c). 114 Ausf. Schuster / Schunder, NZA 2020, 92 (93). 115 S. zum Exzess-Gedanken im Bereich des Beschäftigtendatenschutzes Ambrock, ZD 2020, 492. 109

168

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

c) Haftungsverteilungen zwischen Arbeitgeber und Betriebsratsmitgliedern anhand des innerbetrieblichen Schadensausgleichs Der BGH beurteilte im konkreten Fall einen nicht erforderlichen Vertragsschluss des Betriebsrats. Er zog § 179 Abs. 3 BGB analog heran.116 Auch im datenschutzrechtlichen Kostenregime muss ein dogmatischer Konnex zur Verbindung von Verstoß und Haftung hergestellt werden. Diese könnte der Exzess-Gedanke sein.117 Ausgangspunkt der hier vorgeschlagenen Lösung ist – wie im BGH-Urteil – die Feststellung, dass lediglich Arbeitgeber und Betriebsratsmitglied bzw. Betriebsratsvorsitzender nach Datenschutzverstößen entstehende Schadensersatzansprüche ausgleichen können. Da der Betriebsrat als datenschutzrechtlich Verantwortlicher den Datenschutzverstoß begeht, werden Betroffene mit Schadensersatzforderungen zunächst den Betriebsrat konsultieren. Schließlich ist er auch datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 1. Hs. DSGVO.118 Der Betriebsrat wird möglicherweise auf seine Vermögenslosigkeit hinweisen und den Dritten nach dem Rechtsgedanken des § 40 Abs. 1 BetrVG an den vermögensfähigen Arbeitgeber verweisen. Der Arbeitgeber wird hingegen anmerken, dass er nicht gegen Datenschutzrecht verstoßen habe. Wenn der Betriebsrat nicht haften könne, so sollten aus seiner Sicht die Betriebsratsmitglieder haften. Diese werden jedoch einwenden, dass sie (nachweislich) im Interesse des Betriebsrats und nicht in ihrem eigenen Interesse gehandelt haben. Diese Ausgangslage ähnelt, ergänzt um den Betriebsrat, der Haftung für Sachschäden Dritter im Arbeitsverhältnis. Der Haftung für Sachschäden Dritter liegt ein bei einer betrieblich veranlassten Tätigkeit entstandener Schaden zugrunde: Ein Arbeitnehmer wird für seinen Arbeitgeber in dessen Rechts- und Pflichtenkreis tätig und schädigt hierbei ihn oder einen Dritten. Ob der Schaden beim Arbeitgeber – und dann über die Grundsätze des innerbetrieblichen Schadensausgleichs zu lösen ist – oder bei Dritten eintritt, hängt häufig lediglich vom Zufall ab.119 Ist ein Dritter mit involviert, so hat dieser in der Regel einen Schadensersatzanspruch gegen den Arbeitnehmer. Wird der Arbeitgeber geschädigt, so hat grundsätzlich er einen Schadensersatzanspruch gegen seinen Arbeitnehmer. Um den Arbeitnehmer etwaig zu entlasten, steht ihm u. U. ein sog. Freistellungsanspruch gegen den Arbeitgeber zu.120 Beiden Konstellationen liegt die Dogmatik des innerbetrieblichen Schadensausgleichs zugrunde: Der Arbeitnehmer kommt bei seiner Arbeit für den Arbeitgeber allein deshalb mit exorbitanten Sachwerten in Berührung, weil er weisungsabhängig für den Arbeitgeber arbeitet,121 welcher in der Regel auch den 116

BGH, Urt. v. 25. 10. 2012 – Az. III ZR 266/11, Rn. 25 ff. S. hierzu ausf. Kap. § 3 D. III. 3 e) ff). 118 S. bereits Kap. § 2 D. II. 1., 2. 119 Kamanabrou, Arbeitsrecht, Rn. 1203. 120 Dütz / T hüsing, Arbeitsrecht, Rn. 201 ff. 121 Dem liegt dogmatisch der Gedanke des Mitverschuldens im Sinne von § 254 BGB analog zugrunde, vgl. Schwab, NZA-RR 2016, 173; Feuerborn, in: Gsell / K rüger / Lorenz / Reymann (Hrsg.), BeckOGK / BGB, § 619a, Rn. 46. 117

D. Das Haftungsregime in der DSGVO

169

wirtschaftlichen Vorteil aus seiner Arbeit zieht. Schädigt nun ein Arbeitnehmer bei dieser weisungsgebundenen Arbeit den Arbeitgeber oder einen Dritten, soll ein Ausgleich dieses Gefälle begradigen. Denn die Höhe von Schadensersatzansprüchen ist für gewöhnliche Arbeitnehmer häufig existenzbedrohend. Begründet wird diese Dogmatik in Rechtsprechung und Literatur über § 254 BGB analog teils mit der Fürsorgepflicht des Arbeitgebers für den Arbeitnehmer, teils mit dem erhöhten Betriebsrisiko122 einer (ursprünglich) gefahrgeneigten Tätigkeit.123 Das Merkmal der Gefahrgeneigtheit wurde allerdings in einer Entscheidung des Großen Senats des BAG aufgegeben. Fortan galt der innerbetriebliche Schadensausgleich für alle Arbeiten, die durch den Betrieb veranlasst wurden.124 Denn der Arbeitgeber könnte sich jedenfalls gegen Schäden versichern. Arbeitnehmer werden u. U. also sowohl in der Konstellation des innerbetrieblichen Schadensausgleichs als auch in der Konstellation der Haftung für Sachschäden Dritter privilegiert. Handelt ein Betriebsratsmitglied für den Betriebsrat, so ist die Situation sachlich vergleichbar. Der Betriebsrat ist in sachlicher Hinsicht Arbeitnehmervertretung im Betrieb. Und nur weil der Betrieb besteht, gibt es auch den Betriebsrat, kann also letztlich nur das Betriebsratsmitglied handeln. Betriebsratsarbeit ist somit betriebsbezogen. Weniger eindeutig ist hingegen die personelle Vergleichbarkeit: Innerbetrieblicher Schadensausgleich und Haftung für Sachschäden Dritter beziehen sich auf das Verhältnis zwischen Arbeitnehmer und Arbeitgeber. DSGVO-Haftungsfragen betreffen allerdings das Verhältnis der Betriebsratsmitglieder und des Arbeitgebers. Und Betriebsratsmitglieder sind funktional nicht Arbeitnehmer. Sind also Arbeitnehmer und Betriebsratsmitglieder vergleichbar? Die trivialste Antwort könnte der sachlichen Vergleichbarkeit folgen: Ja, denn jedes Betriebsratsmitglied ist zugleich Arbeitnehmer. Da sich deren Funktion unterscheidet, ist die Lösung jedoch nicht so einfach: Der Arbeitnehmer wird eingestellt, weil der Arbeitgeber seine Arbeitskraft benötigt – er wird gerade mit Einverständnis des Arbeitgebers und auf dessen Weisung hin tätig. Anders hingegen Betriebsräte: Sie gründen sich häufig gegen den Arbeitgeberwillen, aber qua gesetzlicher Vorgabe (§ 1 Abs. 1 BetrVG). Der Arbeitgeber hat bei dessen Gründung und Tätigkeit kein Mitspracheoder Weisungsrecht. Der Betriebsrat vertritt die Belegschaftsinteressen, die sogar häufig diametral den Arbeitgeberinteressen gegenüberstehen. Spitzfindig könnte argumentiert werden, dass die Betriebsratsarbeit sogar gegen den Betrieb gerichtet sein kann und somit das genaue Gegenteil von „betriebsbezogen“ ist. Jedoch würde dieser Schluss missachten, dass der Betriebsrat und Betriebsratsmitglieder mit dem Arbeitgeber zur vertrauensvollen Zusammenarbeit verpflichtet sind (§ 2 Abs. 1 BetrVG). Für eine Vergleichbarkeit in personeller Hinsicht spricht maßgeblich die gesetzliche Wertung des § 40 Abs. 1 BetrVG: Der Arbeitgeber muss die

122

Feuerborn, in: Gsell / K rüger / Lorenz / Reymann (Hrsg.), BeckOGK / BGB, § 619a, Rn.  46 f.; ausf. auch Baumgärtner, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 611a, Rn. 74 ff. 123 BAG, Urt. v. 19. 3. 1959 – Az. 2 AZR 402/55. 124 BAG, Beschl. v. 27. 9. 1994 – Az. GS 1/98 (A).

170

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Kosten für die erforderliche Betriebsratsarbeit tragen. Er ermöglicht also nicht nur die Arbeit der Arbeitnehmer, sondern auch Betriebsratsarbeit finanziell. Während er aus der Mitarbeit seiner Arbeitnehmer in der Regel finanzielle Vorteile zieht, hat die Kostentragungspflicht der Betriebsratskosten für den Arbeitgeber andere Vorteile: Die betriebliche Mitbestimmung sorgt etwa für Ruhe und Ordnung im Betrieb, sozialen Frieden und im besten Fall durch Mitbestimmungsmöglichkeiten motiviertere Mitarbeiter.125 Durch den über die Kostentragungspflicht hergestellten Betriebsbezug jeder Betriebsratsarbeit sind Betriebsratsmitglieder in personeller Hinsicht also auch mit Arbeitnehmern des Arbeitgebers vergleichbar. Aufgrund sachlicher und personeller Vergleichbarkeit kann die Dogmatik des innerbetrieblichen Schadensausgleichs bzw. der Haftung für Sachschäden Dritter auch auf den Betriebsrat übertragen werden. Da das Konzept des innerbetrieblichen Schadensausgleichs nicht gesetzlich normiert ist, unterliegt eine konzeptuelle Übertragung nicht den Analogievoraussetzungen.126 Hierzu genügt eine abstrakte Ähnlichkeit der Fälle. Das Erforderlichkeitskriterium könnte hier – durch den innerbetrieblichen Schadensausgleich beeinflusst – übertragen werden: Hierbei könnte es um Exzesskonstellationen gehen, die nach Verschuldenskriterien aufgelöst werden. Der Arbeitnehmer wird nach dem Ansatz des innerbetrieblichen Schadensausgleichs nicht grundsätzlich von jeglicher Haftung freigesprochen, indem er auf den Betriebsbezug der schadensverursachenden Arbeit verweist. Dies wäre auch unbillig. Und dies würde auch den datenschutzrechtlichen Exzess-Gedanken verkennen.127 Beim innerbetrieblichen Schadensausgleich bestimmen Verschuldensgrade bei der Schadensverursachung über die Zuweisungsrichtung der Ausgleichspflicht,128 wobei sich die Ausgleichspflicht bei umfassender Anwendung der Dogmatik des innerbetrieblichen Schadensausgleichs nicht durch direkte Zuweisung, sondern vielmehr durch eine Freistellung des handelnden Betriebsratsmitglieds gegenüber dem Arbeitgeber ergeben dürfte.129 Die BAG-Rechtsprechung gliedert die Verschuldensgrade von sog. leichtester Fahrlässigkeit bis hin zum Vorsatz.130 Leichteste Fahrlässigkeit sind geringfügige Sorgfaltsverstöße.131 Vorsatz ist hingegen Wissen und Wollen eines rechtswidrigen Erfolgs im Bewusstsein der Rechtswidrigkeit.132 Während die Haftung in den „extremen“ Verschuldenspositionen eindeutig verteilt ist, sind Haftungspflichten bei „mittleren Verschuldensgraden“ umstritten. Ist dem Arbeitnehmer nicht einmal Fahrlässigkeit vorzuwerfen oder lediglich leichteste Fahrlässigkeit, haftet ausschließlich der 125

Edenfeld, Betriebsverfassungsrecht, Rn. 2. Vgl. dazu Larenz, Methodenlehre, S. 365 ff. 127 S. ausf. Kap. § 3 D. III. 3. e) ff). 128 S. zur groben Fahrlässigkeit das Urteil des BAG v. 28. 10. 2010 – Az. 8 AZR 418/09. 129 BAG, Urt. v. 23. 6. 1988  – Az. 8 AZR 300/85; Feuerborn, in: Gsell / K rüger / Lorenz /  Reymann (Hrsg.), BeckOGK / BGB, § 619a, Rn. 46 f.; Baumgärtner, in: Hau / Poseck (Hrsg.), ­BeckOK BGB, § 611a, Rn. 74 ff. 130 BAG, Urt. v. 22. 6. 2011 – Az. 8 AZR 102/10. 131 Henssler, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 5, § 619a, Rn. 37. 132 Stadler, in: Jauernig (Hrsg.), BGB, § 276, Rn. 15. 126

D. Das Haftungsregime in der DSGVO

171

Arbeitgeber.133 Hat der Arbeitnehmer hingegen den Schaden vorsätzlich verursacht, haftet ausschließlich er.134 In Fällen leichter, mittlerer und grober Fahrlässigkeit,135 wird die Haftung im Rahmen einer umfassenden Gesamtabwägung verteilt.136 Hier könnte im Einzelfall auf das überkommene System der BAG-Rechtsprechung137 zurückgegriffen werden. Etwa die Gefahrneigung der Tätigkeit könnte als Abgrenzungskriterium genutzt werden. Je nach Verursachungsbeitrag und sonstigen persönlichen Verhältnissen des Arbeitnehmers lässt die Dogmatik des innerbetrieblichen Schadensausgleichs Möglichkeiten von der Angleichung an die Extrem­ positionen bis hin zu Verteilungsquoten zu.138 Diese quotale Verteilung nach Verschuldensgrad hat den Vorteil, dass bei Verschulden mehrerer insbesondere die an Gremienentscheidungen des Betriebsrats beteiligten Mitglieder haften können.139 Wenn (rechtswidriger) Datenverarbeitung ein Betriebsratsbeschluss zugrunde liegt, so haften die den Beschluss tragenden Mitglieder,140 allerdings unter Berücksichtigung der jeweiligen Verschuldensgrade. Wenn kein den Beschluss tragendes Mitglied Kenntnis von der Tatsache hatte, dass der Beschluss Datenschutzverstöße verursacht und diese Kenntnis auch nicht haben musste, dann trifft die Betriebsratsmitglieder auch im Falle des Betriebsratsbeschlusses allenfalls der Vorwurf (kollektiv) leichtester Fahrlässigkeit. Wenn hingegen alle beteiligten Betriebsratsmitglieder den Verstoß bei Erlass des Betriebsratsbeschlusses vorsätzlich verursachen, so haften alle gesamtschuldnerisch. Schwieriger ist aber die Konstellation, in der zwar die Mehrheit der Mitglieder den Betriebsratsbeschluss trägt, aber nicht alle dieser Mitglieder wissen, dass der Betriebsratsbeschluss Datenschutzverstöße bedingt. Nur einige, nicht alle Betriebsratsmitglieder, haben in diesem Fall Kenntnis – und nur die Kenntnis er 133

BAG, Urt. v. 22. 6. 2011 – Az. 8 AZR 102/10; Reichold, in: Kiel / Lunk / Oetker (Hrsg.), MHdbArbR, Bd. 1, § 57, Rn. 41; Preis, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / ​ BGB, § 619a, Rn. 17; Kamanabrou, Arbeitsrecht, Rn. 1176. 134 Hierzu und zum Folgenden: Dütz / T hüsing, Arbeitsrecht, Rn. 204; mit dem Hinweis da­ rauf, dass der Arbeitnehmer auch die Höhe des Schadens zumindest für möglich halten muss Preis, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BGB, § 619a, Rn. 14; ähnlich mit der Bezeichnung Vorsatz auf die „Schadensfügung“ auch Reichold, in: Kiel / Lunk / Oetker et al. (Hrsg.), MHdbArbR, Bd. 1, § 57, Rn. 36; Kamanabrou, Arbeitsrecht, Rn. 1176. 135 S. zur groben Fahrlässigkeit das Urt. des BAG, Urt. v. 28. 10. 2018 – Az. 8 AZR 418/09. 136 Henssler, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 5, § 619a, Rn. 39. 137 S. nur etwa BAG, Urt. v. 13. 12. 2012 – Az. 8 AZR 432/11; BAG, Urt. v. 22. 6. 2011 – Az. 8 AZR 102/10; BAG, Urt. v. 28. 10. 2010  – Az. 8 AZR 418/09; konstitutiv zum heutigen Verständnis: BAG, Beschl. v. 27. 9. 1994 – Az. GS 1/98 (A); grundlegend: BAG, Urt. v. 19. 3. 1959 – Az. 2 AZR 402/55. 138 Reichold, in: Kiel / Lunk / Oetker et al. (Hrsg.), MHdbArbR, Bd. 1, § 57, Rn. 40; Preis, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BGB, § 619a, Rn.  16; Henssler, in: Säcker / ​ Rixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 5, § 619a, Rn. 39; Kamanabrou, Arbeitsrecht, Rn. 1183 ff. 139 S. zu einem etwaigen Gesamtschuldnerausgleich der beteiligten Betriebsratsmitglieder: Kloppenburg, in: Boecken / Düwell / Diller / Hanau (Hrsg.), Gesamtes Arbeitsrecht, § 1 BetrVG, Rn. 77; auch Franzen, in: Wiese et al. (Hrsg.), GK BetrVG I, § 1, Rn. 81 (85). 140 Vgl. zu dieser Idee etwa Maschmann, NZA 2020, 1207 (1214 f.) m. w. N.

172

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

möglicht den Vorsatz-Vorwurf. Wenn nun ein einzelnes Betriebsratsmitglied oder mehrere Betriebsratsmitglieder den Datenschutzverstoß in Folge eines Betriebsratsbeschlusses vorsätzlich verursachen wollten, etwa um den Arbeitgeber zu schädigen, so ist der Verstoß ihnen vorwerfbar. Konsequenterweise müssen aber für die etwa fahrlässig handelnden anderen Mitglieder die Maßstäbe individualisiert werden, da der Verschuldensmaßstab höchstpersönlich ist. Zwar tragen sie die Entscheidung mit. Sie waren sich aber des Unrechtsgehalts ihrer Entscheidung nicht bewusst; ihnen ist die Entscheidung nicht vorwerfbar und sie haften damit nicht. Die einzelnen Fallkonstellationen sind hier genauer zu diskutieren.141 d) Quotale Haftung nach Verschuldensgraden Der Vorschlag der Zuweisung quotaler Verschuldensgrade zwischen Arbeitnehmer und Arbeitgeber könnte deshalb kritisiert werden, weil der Arbeitgeber beteiligt wird. Denn er hat faktisch keinen Einfluss auf betriebsrätliche Datenschutzverstöße, weil der Betriebsrat und er zwei unterschiedliche datenschutzrechtlich Verantwortliche sind.142 Das Arbeitsrecht arrondiert hier das Datenschutzrecht: Für eine Haftungsbeteiligung des Arbeitgebers spricht, dass er trotz fehlenden Weisungsrechts gegenüber Betriebsrat und Betriebsratsmitgliedern maßgeblich beeinflussen kann, dass keine von ihm mitverschuldeten Datenschutzverstöße erfolgen, etwa indem er den Betriebsrat darauf aufmerksam macht, dass er einen Datenschutzbeauftragten benennen kann bzw. zu einer Benennung rät und ihn bei dieser Benennung unterstützt. Der Datenschutzbeauftragte würde dann den Betriebsrat beraten, der Arbeitgeber wäre exkulpiert. Wehrt sich der Arbeitgeber allerdings aus Kostengründen gegen die Benennung eines Datenschutzbeauftragten durch den Betriebsrat, hat er eine wesentliche Ursache für etwaige Datenschutzverstöße mit gesetzt. Je nach tatsächlichem „Verschuldensgrad“ des Arbeitgebers ist dessen finanzielle Beteiligung auch unterschiedlich hoch. In Extremfällen ist er geschützt: Bei vorsätzlicher Schädigung durch ein Betriebsratsmitglied haftet er gar nicht. Und so erscheint es auch angemessen, wenn die Betriebsratsmitglieder bzw. der Betriebsratsvorsitzende als Entscheidungsträger in diesen Konstellationen (Vorsatz und grobe Fahrlässigkeit) an der Haftung beteiligt werden. Denn sie hätten die Datenschutzverstöße selbst verhindern können. Sie können freiwillig einen Datenschutzbeauftragten benennen, sofern ihre Arbeit dessen Unterstützung erfordert. In anderen Situationen sind sie benennungspflichtig.143 Benennen sie einen Datenschutzbeauftragten, durch dessen Beratung ein Datenschutzverstoß verursacht wird, dürften sie haftungsrechtlich entlastet sein.144 Der dann wohl – 141

S. hierzu im Rahmen der Geldbußenverhängung auch Kap. § 3 D. III. 3. e) ff) (4). S. zur neuen Rechtslage aber Kap. § 5. 143 Kap. § 3 C. I. 144 Vermögensrechtliches Streitpotential dürfte dieser Fall aber bieten, wenn der Datenschutzbeauftragte keine Berufshaftpflichtversicherung hat und / oder insolvent ist; grundsätzlich ist der Datenschutzbeauftragte gegenüber der verantwortlichen Stelle, hier dem Betriebs 142

D. Das Haftungsregime in der DSGVO

173

logisch folgerichtige – haftungspflichtige Arbeitgeber hätte wiederum zivilrechtliche Schadensersatzansprüche gegen den Datenschutzbeauftragten.145 Die Vermeidbarkeitsgrenze schützt zugleich die Betriebsratsmitglieder. Trifft sie bei Datenschutzverstößen lediglich der Vorwurf leichtester Fahrlässigkeit, so haften sie in der Regel nicht, sondern der Arbeitgeber haftet an ihrer Stelle. Unabhängig vom Status des datenverarbeitenden Akteurs setzt die DSGVO Sensibilität beim Umgang mit personenbezogenen Daten voraus. Und dies sollte auch den einzelnen Betriebsratsmitgliedern in ihrer Funktion bekannt sein. Die Haftungsverteilung anhand von Verschuldensmaßstäben ist also insgesamt angemessen. 3. Leitsätze aus dem Recht des innerbetrieblichen Schadensausgleichs zur Regelung der Haftung bei Schadensersatzansprüchen wegen betriebsrätlicher Datenschutzverstöße Der Betriebsrat ist als datenschutzrechtlich Verantwortlicher u. U. bei durch Datenschutzverstößen auftretenden Schäden auch Schadensersatzansprüchen ausgesetzt (Art. 82 DSGVO). Doch die Adressierung besagt nichts über die tatsächliche Ausgleichspflicht für Schäden. Diese kann mit der betriebsverfassungsrechtlichen Kostendogmatik beantwortet werden: § 40 Abs. 1 BetrVG regelt, dass der Arbeitgeber grundsätzlich für die erforderlichen Kosten der Betriebsratstätigkeit aufkommt. Das Verursachen von Schadensersatz kann zwar nie erforderlich sein. Jedoch sind manche Schadensverursachungen dem Betriebsrat als Organ zurechenbar, weil sie kaum vermeidbar sind, etwa leichtest fahrlässig begangen werden. Andere sind hingegen vermeidbarer, etwa weil sie vorsätzlich begangen werden. Der hier hergeleitete Vorschlag hat einen großen Vorteil: Durch die Abwandlung des Erforderlichkeits- in ein Vermeidbarkeitskriterium (datenschutzrechtlicher Exzess) kann die Kostenfrage unter Zuhilfenahme der Dogmatik des innerbetrieblichen Schadensausgleichs aufgelöst werden. Dies ermöglicht eine angemessene Kostenverteilung. Hierzu können die Überlegungen zum innerbetrieblichen Schadensausgleich bzw. der Sachschäden Dritter auf den Betriebsrat übertragen werden. Wenn ein involviertes Betriebsratsmitglied einen Schaden leichtest fahrlässig verursacht, so muss das Betriebsratsmitglied keine Kosten ausgleichen: Der Arbeitgeber trägt die Kosten in voller Höhe (§ 40 Abs. 1 BetrVG). Verursacht jedoch das Betriebsratsmitglied grob fahrlässig oder sogar vorsätzlich einen Schaden durch Datenverarbeitung, so haftet es selbst – der Arbeitgeber ist nicht ausgleichspflichtig. Bei mittleren Verschuldensgraden (insbesondere leichter Fahrlässigkeit) wäre die Haftung auf Basis der Lehre des innerbetrieblichen Schadensausgleichs rat, aber selbst haftungsrechtlich verantwortlich (vgl. Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art.  37, Rn.  51 ff.). 145 Lantwin, ArbRAktuell 2017, 508 (510); s. auch Scheja, in: Taeger / Gabel (Hrsg.), DSGVO / ​ BDSG, Art. 38, Rn. 24; gegen eine Haftung im Rahmen der DSGVO, aber für eine Haftung aus Vertrag wohl auch Martini / Wagner / Wenzel, VerwArch 2018, 297 (306).

174

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

demnach zu teilen, wobei hier Abstufungsformen am Einzelfall umfassender zu diskutieren sind. Das Organ Betriebsrat hingegen kann entstehende Kosten mangels eigenen Vermögens selbst nicht ausgleichen. Bei konsequenter Anwendung der Dogmatik des innerbetrieblichen Schadensausgleichs ist in diesem Fall von einer Freistellung des Handelnden und nicht von einer direkten Haftungszuweisung auszugehen.146

III. Das Geldbußenregime in der DSGVO Neben Schadensersatzforderungen (Art. 82 DSGVO)147 besteht im DSGVOHaftungsregime für Datenschutzaufsichtsbehörden auch die Möglichkeit, gegen Verantwortliche Geldbußen nach Datenschutzverstößen zu verhängen. Hier soll zunächst der rechtswissenschaftliche Meinungsstand erfasst werden (1.). Zum Verständnis der DSGVO-Mechanismen lohnt es sich, zunächst kurz die alte Rechtslage im BDSG herauszuarbeiten (2.). Erst im nächsten Schritt wird das DSGVO-Geldbußenregime umfassend untersucht (3.). Abschließend werden Lösungsansätze für die durch die aktuellen Regelungen entstehenden Regelungslücken diskutiert (4.). 1. Der rechtswissenschaftliche Meinungsstand Der rechtswissenschaftliche Meinungsstand diskutiert im Themenfeld der Geldbußen weniger über die Fragestellung, wie der Betriebsrat Geldbußen ausgleichen kann. Vielmehr werden Geldbußen in umgekehrter Reihenfolge thematisiert, nämlich, um aufzuzeigen, dass der Betriebsrat nicht datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO sein könne, weil er die Geldbußen als Organ nicht ausgleichen könne.148 Allerdings ist dies ein methodisch unzulässiger Schluss von der nationalen Rechtsfolge auf die europarechtliche Rechtsursache. Die rechtswissenschaftliche Literatur wird sich zunehmend mit der Frage beschäftigen müssen, wie der Betriebsrat Geldbußen ausgleichen kann bzw. wer die Geldbußen des Betriebsrats auszugleichen hat, weil der Betriebsrat als datenschutzrechtlich Verantwortlicher Adressat der Geldbußen-Bescheide ist. Hier finden sich bisher vereinzelte, wenn auch im Detail nicht überzeugende Ansätze.149 Einige verweisen auf die im BDSG vorgesehene Anwendung des OWiG,150 ohne jedoch 146 Vgl. die Diskussionen bei Feuerborn, in: Gsell / K rüger / L orenz / Reymann (Hrsg.), ­ eckOGK / BGB, § 619a, Rn. 46 f.; ausf. auch Baumgärtner, in: Hau / Poseck (Hrsg.), ­BeckOK B BGB, § 611a, Rn. 74 ff. 147 Kap. § 3 D. II. 148 Zu Ansätzen dieses methodisch unzulässigen Schlusses s. etwa Kap. § 2 C. II., Kap. § 2 ​ D. II. 1. b) ee) und Kap. § 3 D. III. 3. e) bb); s. etwa Däubler, Gläserne Belegschaften, Rn. 640f; Lücke, NZA 2019, 658 (660 f.); Stück, ZD 2019, 256 (258). 149 Übergreifend zusammenfassend Maschmann, NZA 2020, 1207 (1212). 150 S. nur Schefzig / Rothkegel / Cornelius, in: Moos / Schefzig / Arning (Hrsg.), Die neue DSGVO, S. 614.

D. Das Haftungsregime in der DSGVO

175

detailliert zu untersuchen, welche Vorteile das OWiG bei der Beantwortung der Frage nach der Haftung des Betriebsrats für Geldbußen bietet und ob dieses für eine Haftung des Betriebsrats überhaupt operationalisiert werden kann. Andere bringen als dogmatischen Ansatzpunkt für Geldbußen gegen Betriebsratsmitglieder § 121 Abs. 2 BetrVG ins Gespräch.151 Vereinzelt wird darauf verwiesen, dass die Haftung des Betriebsrats im Widerspruch zu allgemeinen Haftungsprinzipien stünde.152 Wiederum vereinzelt wird behauptet, dass der Ausgangspunkt „Organ Betriebsrat“ fehlerhaft sei, denn die Betriebsratsmitglieder seien Anknüpfungspunkt der Datenschutzverstöße und damit der Haftung – unter argumentativer Zuhilfenahme der Anwendung des OWiG.153 Zugleich wird hiermit, in terminologischer Ungenauigkeit der Abgrenzung von Organ und Mitgliedern, auch die zuvor postulierte Verantwortlichkeit von Betriebsrat bzw. Betriebsräten in Frage gestellt: Trotz unterstellter Verantwortlichkeit des Organs Betriebsrat wird auf einmal unmittelbar bei den – auf einmal eigenverantwortlichen? – Betriebsratsmitgliedern angesetzt.154 Gerettet wird dieses Konzept, indem behauptet wird, es könne von einer gemeinsamen Verantwortlichkeit der Mitglieder und des Betriebsrats ausgegangen werden. Dies würde auch das Geldbußenregime insgesamt retten und die datenschutzrechtliche Verantwortlichkeit des Betriebsrats aufrechterhalten, da das deutsche Geldbußenrecht im OWiG allein an natürliche Personen anknüpfe.155 Wenn aber die Betriebsratsmitglieder bereits vorgelagert entscheiden, so bleibt unklar, wie noch das Organ Betriebsrat entscheiden soll. Dass eine Haftungsüberleitung von Geldbußen auf den Arbeitgeber wegen §§ 30, 130 OWiG nicht in Frage komme, wird einhellig angenommen.156 Die Überlegung, dass Betriebsratsmitglieder bei bewusstem Hinwegsetzen über Datenschutzbestimmungen regelmäßig selbst mit Bußgeldern rechnen müssten, wird hingegen durchdacht.157 2. Geldbußen gegen den Betriebsrat nach alter datenschutzrechtlicher Rechtslage Zur Sanktionierung von Datenschutzverstößen gab es vor Implementierung der DSGVO nationale Geldbußen. Die Vorgaben hierfür entstammten mit der DSRL zwar dem Europarecht.158 Zentrale materiell-rechtliche Normen beinhaltete aber konsequent das richtlinienumsetzende deutsche Recht. In Zeiten vor der DSGVO enthielt das nationale Recht also sanktionierende Normen. Das BDSG regelte alle Formen der Verarbeitung personenbezogener Daten, grundsätzliche Regelungen 151

Kranig / Wybitul, ZD 2019, 1 (3). So noch Brams / Möhle, ZD 2018, 570 (571). 153 Maschmann, NZA 2020, 1207 (1212). 154 So aber Maschmann, NZA 2020, 1207 (1212). 155 Maschmann, NZA 2020, 1207 (1212). 156 S. etwa überblicksartig Bott / Vogel, BB 2019, 2100 (2102). 157 Meinhold, NZA 2017, 670 (671 f.). 158 S. zur DSRL Kap. § 2 B. und Kap. § 2 D. II. 1. c) bb) (1) (b), (c). 152

176

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

zum Betriebsrat normierte aber das BetrVG. Geht es also um Datenverarbeitungen des Betriebsrats, so musste in Deutschland das Verhältnis von BDSG und BetrVG untersucht werden. Handlungen des Betriebsrats stützten sich in erster Linie auf das BetrVG. § 121 BetrVG kannte bereits damals bei spezifischen Verstößen zwar Geldbußen als Sanktionsmittel. Er adressiert jedoch nicht den Betriebsrat, sondern den Arbeitgeber bzw. Unternehmer.159 Für rechtswidrige Handlungen von Betriebsratsmitgliedern kannte und kennt das BetrVG lediglich Straftatbestände (§ 120 BetrVG). Diese (Sonder-)Straftatbestände unterscheiden sich jedoch in Grund und Zielrichtung von Ordnungswidrigkeiten.160 Das BetrVG ermächtigt also nicht zur Verhängung von Geldbußen gegen den Betriebsrat bzw. die Betriebsratsmitglieder. Anders als medial bei der DSGVO-Implementierung beiläufig unterstellt, kannte bereits das BDSG a. F. „Geldbußen“ als Sanktion für Datenschutzverstöße. Die DSGVO sieht also keinesfalls erstmalig Bußgeldvorschriften zur Sanktionierung von Datenschutzverstößen vor. § 43 Abs. 3 Satz 1 i. V. m. Abs. 1, 2 BDSG a. F. regelte z. B., dass bei einem Verstoß gegen die in einer enumerativen Liste aufgeführten Normen Geldbußen von bis zu 300.000 Euro verhängt werden konnten. Soweit der wirtschaftliche Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hatte, größer als 300.000 Euro war, konnte dieser Betrag sogar um ein Vielfaches überschritten werden (§ 43 Abs. 3 Satz 2, 3 BDSG a. F.). Die höchsten verhängten Geldbußen unter dem alten BDSG betrugen rund 1,1 Millionen Euro gegen die Deutsche Bahn161, rund 1,3 Millionen Euro gegen die Debeka Versicherung162 und rund 1,5 Millionen Euro gegen den Lebensmitteldiscounter Lidl.163 Soweit bei der Verarbeitung personenbezogener Daten Datenschutzverstöße begangen wurden, war das BDSG Ansatzpunkt für die Sanktionierung. Soweit also Geldbußen wegen der Datenschutzverstöße gegen den Betriebsrat hätten verhängt werden sollen, hätte das BDSG Rechtsgrundlagen hierfür liefern müssen. Die in § 43 BDSG a. F. normierten Geldbußen knüpften jedoch an spezifische taugliche Tätertypen, genauer an die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a. F. an, z. B. an den Arbeitgeber.164 Der Betriebsrat hätte also verantwort­ liche Stelle sein müssen. Dazu hätte er die personenbezogenen Daten für sich selbst erheben, verarbeiten oder nutzen bzw. dies im Auftrag eines anderen tun müssen. Der BDSG-Gesetzgeber wollte offenbar allerdings nicht den Betriebsrat sanktio 159

Trümmer, in: Däubler / K lebe / Wedde (Hrsg.), BetrVG, § 121, Rn. 6 ff; was Kranig / Wybitul, ZD 2019, 1 (4), mit dem Hinweis meinen, dass gegenüber Betriebsräten nach § 121 BetrVG Geldbußen verhängt werden könnten, ist im datenschutzrechtlichen Haftungskontext bisher unklar; s. auch die Ausführungen bei Nagel, Arbeitnehmervertretung und Strafrecht, S. 168 ff. 160 So unterscheiden sich Strafgesetze und Ordnungswidrigkeitsgesetze. Eine Ordnungswidrigkeit wird mit einer Geldbuße sanktioniert, während eine Straftat eine Strafe bestraft wird. Vgl. historisch Mitsch, Recht der Ordnungswidrigkeiten, Rn. 6 ff.; zu vielen Gemeinsamkeiten hingegen Noak, ZJS 2012, 176. 161 Vgl. Ehmann, in: Simitis (Hrsg.), BDSG, § 43, Rn. 84. 162 RP-LfDI, Pressemitteilung v. 29. 12. 2014, online. 163 Nemitz, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 50. 164 Vgl. Ehmann, in: Simitis (Hrsg.), BDSG, § 43, Rn. 22 ff.

D. Das Haftungsregime in der DSGVO

177

nieren, als er die Sanktionsvorschriften für Datenschutzverstöße implementierte. Unter Schlagworten wie Datenschutz-Compliance165 wurde diskutiert, inwiefern auch Mitglieder datenschutzrechtlich verantwortlicher Kollektivorgane taugliche Geldbußen-Adressaten seien,166 z. B. durch Anwendung des allgemeinen Ordnungswidrigkeitsrechts und von § 30 OWiG bzw. § 130 OWiG.167 So wurde z. B. über Geldbußen für Vorstandsmitglieder einer Aktiengesellschaft oder Mitglieder eines Stadt- oder Gemeinderats diskutiert.168 Da das Organ „Betriebsrat“ aber datenschutzrechtlich der verantwortlichen Stelle Arbeitgeber zugeordnet war,169 wurden Geldbußen gegen den Betriebsrat und die Betriebsratsmitglieder nie diskutiert. Denn für betriebsrätliche Datenschutzverstöße wurde dessen verantwortliche Stelle sanktioniert, d. h. der Arbeitgeber. Dass der Arbeitgeber also bereits seit Implementierung der ersten datenschutzrechtlichen Normen in Deutschland als verantwortliche Stelle angesehen wurde,170 schnitt die Diskussion der Frage danach ab, ob Geldbußen auch gegen den Betriebsrat und / oder die Betriebsratsmitglieder hätten verhängt werden können. 3. Das neue Geldbußenregime der DSGVO Im Gegensatz hierzu ist der Betriebsrat seit Implementierung der DSGVO datenschutzrechtlich eigenständig Verantwortlicher.171 Die datenschutzrechtliche Zuordnung des Betriebsrats zum verantwortlichen Arbeitgeber überlagert also nicht mehr die Möglichkeit der Geldbußenverhängung direkt gegen das Organ Betriebsrat. Es müsste dann jedoch in der DSGVO grundlegend ein Geldbußenregime vorgesehen sein, welches auch den Betriebsrat als Verantwortlichen sanktioniert. In einem ersten Schritt soll untersucht werden, wie Geldbußen verhängt werden, also insbesondere welche Akteure in der Praxis für die Geldbußenverhängung zuständig sind. Dies muss deshalb vorangestellt werden, weil diese Akteure selbst erheblichen Einfluss auf die Praxis der Geldbußenverhängung haben (a)). Gegen die in der DSGVO normierten Geldbußen werden aufgrund vermeintlicher Ähnlichkeit zu strafrechtlichen Regelungen teils kompetenzielle Einwände geltend gemacht. Griffen diese Einwände durch, so dürfte das DSGVO-Geldbußenregime im deutschen Recht nicht angewandt werden (b)). In einem dritten Schritt wird kurz in das Sanktionsregime mit seinen Verweisungstechniken von DSGVO und BDSG in das OWiG eingeführt (c)). Weiterhin werden die zur Geldbußenverhängung gegen den Betriebsrat diskutierten Normen des OWiG ausführlich untersucht. Es zeigt 165

Trüg, ZWH 2011, 6, 8.  Kritisch gegenüber der Compliance-Diskussion Hamm, NJW 2010, 1332; die Compliance-Diskussion befürwortend etwa Klindt / Pelz / T heusinger, NJW 2010, 2385. 167 Ehmann, in: Simitis (Hrsg.), BDSG, § 43, Rn. 24a f. 168 Ehmann, in: Simitis (Hrsg.), BDSG, § 43, Rn. 24. 169 Kap. § 2 B. 170 Kap. § 2 D. II. 1. c) bb) (1) (c). 171 Kap. § 2 D. III. S. aber neuerlich Kap. § 5. 166

178

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

sich hierbei insbesondere, dass die Umsetzung des Geldbußenregimes lückenhaft ist (d)). Nach umfassenden Lösungsangeboten zum Lückenschluss (e)) werden die Ergebnisse abschließend zusammengefasst (f)). a) Die Praxis der Geldbußenverhängung durch die Datenschutzaufsichtsbehörden Gem. Art. 58 Abs. 2 lit. i DSGVO sind die Datenschutzaufsichtsbehörden u. a. für die Verhängung der Geldbußen zur Sanktionierung von Datenschutzverstößen zuständig. Sie verhängen Geldbußen bei Datenschutzverstößen zusätzlich oder an Stelle von anderen in Art. 58 Abs. 1 lit. a–h, j DSGVO normierten Sanktionen (Art. 83 Abs. 2 Satz 1 DSGVO). Die Geldbußen müssen wirksam, verhältnismäßig und abschreckend sein, d. h. Art und Schwere des Verstoßes, Verschuldens- und Verantwortlichkeitsgrad, Bemühung um Schadensminderung, Wiederholungstäterschaft, Einhaltung von sonstigen Maßnahmen und andere erschwerende oder mildernde Umstände müssen berücksichtigt werden (Art. 83 Abs. 1 DSGVO).172 Trotz der Feststellung, dass nicht so viele und hohe Geldbußen verhängt wurden, wie zu Beginn der Diskussion befürchtet,173 befassen sich nach fast jeder verhängten Geldbuße Publikationen mit der aktuellen Lage rund um die DSGVO-Geldbußen-Praxis.174 Um herauszufinden, unter welchen Umständen gegen wen Geldbußen verhängt werden, werden zuerst Leitlinien der Datenschutzaufsichtsbehörden untersucht. Erste Geldbußen werden v. a. gegen Unternehmen verhängt.175 Der brisanteste Fall ist wohl die in Frankreich verhängte Geldbuße gegen Google in Höhe von 50 Millionen Euro.176 Bisher ist keine gegen einen Betriebsrat verhängte 172

DSGVO-EG 148, Satz 3; s. zu neuerlichen Aufgaben auch Roßnagel, Datenschutzaufsicht nach der EU-DSGVO. 173 S. zum Verhältnis von explosionsartig steigenden Meldungen von Datenschutzverstößen und am Ende verhängten Geldbußen Schulzki-Haddouti, Implodierende Aufsichtsbehörden, online. 174 Vgl. exemplarisch HH-BfDI, ZD-Aktuell 2020, 07328; Braun, ZD-Aktuell 2019, 06445; Dallmann / Busse, CB 2018, 97 oder auch Redaktion MMR, MMR-Aktuell 2020, 425983 zu einer wegen einer Werbekampagne in Italien in Höhe von 11,5 Millionen Euro verhängten Geldbuße gegen einen Energieversorger; eine Zusammenfassung aller wesentlichen Geldbußen der sehr aktiven französischen Datenschutzaufsichtsbehörde CNIL liefert Votteler, ZD 2019, 431; ders., ZD 2020, 184; grundsätzlich auch Beukelmann, NJW-Spezial 2020, 120; umfassender Kehr / Z app, CB 2020, 100. 175 In Deutschland sind die medial am meisten diskutierten Fälle zugleich die höchsten verhängten Geldbußen: Gegen die Deutsche Wohnen wurde im November 2019 eine Geldbuße in Höhe von 14,5 Mio. Euro verhängt (B-BfDI, Pressmitteilung v. 5. 11. 2019, online; vom LG Berlin indes am 24. 2. 2021 aufgehoben, noch keine Pressemitteilung, Stand: 15. 4. 2021). Im Dezember 2019 folgte eine Geldbuße gegen den Telefondienstanbieter „1 & 1“ in Höhe von knapp 10 Mio. Euro (BfDI, Pressemitteilung v. 9. 12. 2019, online; abgewandelt durch LG Bonn, Urt. v. 11. 11. 2020 – Az. 29 OWi 1/20 in Bußgeld in Höhe von 900.000 Euro). 176 Votteler, ZD 2019, 431; Wybitul, ZD 2019, 97; zum Vorbringen von Google und der CNIL im Verfahren Gerhold, EuZW 2020, 849.

D. Das Haftungsregime in der DSGVO

179

Geldbuße bekannt. Eine international einheitliche Gangart der Datenschutzaufsichtsbehörden begegnet vielfältigen Hindernissen: V.a. führen unterschiedliche datenschutzrechtliche Bußgeldtraditionen und unterschiedliche Bemessungen in den Mitgliedstaaten empirisch dazu, dass Rechtsvereinheitlichung nicht zugleich identische Bußgeldhöhen erzwingt.177 Der die sog. Artikel 29 Datenschutzgruppe178 ersetzende Europäische Datenschutzausschuss soll die Rechtsauslegung vereinheitlichen.179 Das unabhängige Gremium (Art. 69 DSGVO) besteht aus dem Leiter der Aufsichtsbehörden jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder dem jeweiligen Vertreter (Art. 68 Abs. 3 DSGVO). Mehrere mitgliedstaatliche Aufsichtsbehörden benennen einen gemeinsamen Vertreter (Art. 68 Abs. 4 DSGVO). Der Datenschutzausschuss entwickelt Leitlinien, Empfehlungen und Verfahren (Art. 70 Abs. 1 Satz 2 lit. k DSGVO). Ein Ende 2017 noch von der Art. 29 Datenschutzgruppe als Leitlinie für die Anwendung und Festsetzung von Geldbußen im Sinne der DSGVO erlassenes Working Paper (WP 253),180 das die Bemessung von nach Datenschutzverstößen erhobenen Geldbußen betrifft, hat der Datenschutzausschuss auch unter der DSGVO für verbindlich erklärt.181 Die Datenschutzaufsichtsbehörden müssen bzw. können also Geldbußen verhängen.182 b) Kompetenzielle Einwände gegen europarechtlich normierte Geldbußen Gegen die Normierung von Geldbußen-Regelungen in der DSGVO wird kompetenzrechtlich argumentiert: Verklausuliert in der Aussage „das Datenschutzgeldbußenrecht der Europäischen Union ist originäres europäisches Strafrecht“183 steckt der Einwand, dem europäischen Gesetzgeber fehle zu dessen Erlass die Gesetzgebungskompetenz.184 Die EU ist nämlich für den Regelungserlass nur in Rechtsgebieten zuständig, die die Mitgliedstaaten ihr kompetenziell übertragen haben.185 Wegen dieses Prinzips der begrenzten Einzelermächtigung (Art. 5 Abs. 3 EUV) und fehlender Kompetenz-Kompetenz habe der europäische Gesetzgeber im Bereich des Strafrechts keine originäre Gesetzgebungskompetenz.186 Wenn das DSGVO-Geldbußenregime Strafrecht wäre, so überschritte die EU möglicher 177

S. bereits Kap. § 2 C. III.; dazu kritisch Dieterich, ZD 2016, 260; Weiß, PinG 2017, 97 ff; zu Unterschieden selbst in den einzelnen Bundesländern s. Lüdemann / Wenzel, RDV 2015, 285. 178 DSGVO-EG 139, Satz 4. 179 Vgl. DSGVO-EG 139; ferner z. B. Brink / Wilhelm, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art.  68, Rn.  5. 180 Art. 29 Datenschutzgruppe, WP 253 v. 3. 10. 2017. 181 DSK, Erlass v. 14. 10. 2019; dazu auch Handel, K&R 2019, 757 (757 ff.). 182 Fakultative oder zwingende Verhängung sind umstritten. s. dazu Kap. § 3 D. III. 3. d) aa) (2). 183 S. hierzu exemplarisch nur Bülte, StV 2017, 460 (460 ff.); s. generell auch Golla, Strafund Bußgeldtatbestände der Datenschutzgesetze. 184 So deutlich bisher noch nicht herausgestellt, s. aber die Herleitung von Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art.  83, Rn.  5. 185 Calliess, in: ders. / Ruffert (Hrsg.), EUV / A EUV, Art. 5 EUV, Rn. 6. 186 Hecker: Europäisches Strafrecht post-Lissabon, in: Ambos (Hrsg.), Europäisches Strafrecht post-Lissabon, S. 13 (23 f.).

180

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

weise ihre Kompetenzen. Die europäischen Regelungen wären rechtswidrig.187 Die EU-Mitgliedstaaten dürften dann aber wirklich keine Regelungskompe­tenzen im Bereich des Strafrechts haben (aa)) und Geldbußen-Regelungen müssten Strafrecht sein (bb)). aa) Strafrechtliche Regelungskompetenzen der Europäischen Union Zwar hat die EU keine allgemeinen Kompetenzen zum strafrechtlichen Regelungserlass.188 Vor dem Hintergrund der Regelungen in Artt. 82 ff. AEUV ist die Unterstellung jedoch evident zu kurz gegriffen, die EU habe im Strafrecht keinerlei Gesetzgebungskompetenzen.189 Sie kann originäre Regelungen zur justiziellen Zusammenarbeit schaffen: Art. 83 Abs. 1 UAbs. 1 AEUV erlaubt der EU, grenzüberschreitende Straftaten besonders schwerer Kriminalität durch Richtlinien zu regeln. Art. 82 Abs. 2 AEUV räumt der EU zur unerlässlichen Angleichung strafrechtlicher mitgliedstaatlicher Vorschriften für die wirksame Durchführung der Unionspolitik sogar eine Annexkompetenz durch Richtlinie ein. Da die DSGVO jedoch Verordnung ist, sind Artt. 82 ff. AEUV keine Rechtsgrundlage für den Erlass des DSGVO-Geldbußenregimes. bb) Geldbußen als strafrechtliche Regelung? Nur wenn das DSGVO-Geldbußenregime tatsächlich Strafrecht wäre, könnte bezweifelt werden, ob die EU nach Artt. 82 ff. AEUV Geldbußenregelungen erlassen darf. Denn dann hätte der DSGVO-Gesetzgeber über seine Kompetenzen hinaus gehandelt. Jedoch könnten zwei verschiedene Strafrechtsbegriffe die Auslegung erschweren: Ein weit verstandener deutscher Strafrechtsbegriff könnte die Berufung auf beschränkte europäische Kompetenzen begründen, während der europäische Gesetzgeber die in Bezug genommenen Regelungen gar nicht als strafrechtliche Regelungen ansehen könnte. Für eine begriffliche Vergleichbarkeit müssten Geldbußen im Europarecht (1) und vom BVerfG (2) gleichermaßen als strafrechtliche Regelungen bezeichnet werden. 187

Bast, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 5 EUV, Rn. 30. Esser, Europäisches und Internationales Strafrecht, § 2, Rn. 121 m. w. N.; Schwarze, EuZW 2003, 261 (261); beachte aber die fundamentalen Änderungen durch den Vertrag von Lissabon, s. dazu BVerfGE 123, 267, 359 f., 408 f. (Lissabon), die weiteren Kompetenzen an die EU übertragen haben. s. dazu auch Beukelmann, NJW 2010, 2081; v. Heintschel-Heinegg, in: ders. (Hrsg.), BeckOK StGB, § 1, Rn. 90 ff. 189 Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 5 klingt insoweit etwas vorschnell; vgl. auch Bülte, StV 2017, 460 (461), der darauf hinweist, dass sich der europäische Gesetzgeber bei der DSGVO lediglich auf Art. 16 Abs. 2 AEUV und nicht auf strafrechtliche Rechtsetzungskompetenzen stützt; s. grundlegend zu diesem Thema: Heitzer, Punitive Sanktionen im EG-Recht. 188

D. Das Haftungsregime in der DSGVO

181

(1) Geldbußen und europarechtlicher Strafrechtsbegriff Bereits in der Vergangenheit hat der europäische Gesetzgeber zur effektiven Rechtsdurchsetzung häufig Geldbußenregelungen beiläufig mit erlassen.190 Solche Regelungen sind insbesondere im Ausfuhrerstattungsrecht und im Kartellrecht bekannt.191 Der EuGH akzeptierte die beiläufige Rechtsetzung zur Effektuierung von Kernrecht bereits früh.192 Spätestens seit der Rechtssache Casati im Jahre 1980 beschäftigte er sich mit der Geldbußenverhängung im Unionsrecht.193 Für Strafgesetzgebung und den Erlass von Strafverfahrensvorschriften seien zwar grundsätzlich Mitgliedstaaten zuständig. Strafrechtlicher Normerlass sei aber auch im Gemeinschaftsrecht zur Aufrechterhaltung der Warenverkehrs- und Personenverkehrsfreiheit möglich.194 Der Europäischen Kommission sei es sogar unbenommen, Geldbußen zur praktischen Wirksamkeit und effektiven Sicherstellung der Wettbewerbspolitik jederzeit anzuheben.195 Aus der generellen und auch vom EuGH geteilten Feststellung, dass Strafrecht und Strafprozessrecht grundsätzlich mitgliedstaatliches Recht seien, könne jedoch nicht geschlossen werden, dass Europarecht die Rechtsbereiche gar nicht berühre.196 In der Rechtssache Käserei Champignon grenzt der EuGH in einer Verordnung Geldbußen von strafrechtlichen Regelungen ab.197 Zwar betont er, Geldbußen seien Verwaltungssanktionen198 – und damit in einem weit ausgelegten Sinne auch europäisches Strafrecht.199 Er urteilt aber, dass die Verordnung die Sanktionen zur Durchsetzung des Fachrechts und damit als Bestandteil fachlicher Kernregelungen mit eigenem Zweck ausgestalte. Wegen dieser Zweckrichtung werden Geldbußen nach EuGH-Ansicht nicht auf Basis von Artt. 82 ff. AEUV erlassen. Und es bedarf für die Implementierung des Geld­ bußenrechts auch keines Rückgriffs auf eine umstrittene „Annexkompetenz“,200 sondern das Fachrecht selbst enthält nach EuGH-Auslegung die Rechtsetzungskom 190

Vgl. z. B. Art. 11 Abs. 1 lit. a VO (EWG) 3665/87, später ersetzt durch Art. 51 VO (EG) 800/99 der verschuldensunabhängigen Geldbußen in Höhe von 50 % des Unterschieds zwischen beantragter und tatsächlich für die Ausfuhr geltender Erstattung vorsah. s. auch die im Kartellrecht verschiedentlich bekannten Geldbußen als Sanktionsmechanismus für Kartellrechtsverstöße. Die Europäische Kommission konnte nach Art. 15 VO (EWG) 17/62 Geld­ bußen verhängen. Die zugrunde liegenden Normen wurden auch in Art. 23 VO (EG) 1/2003 und somit in die neue Verordnung übernommen (Schwarze, EuZW 2003, 261 (262 ff.)). Sie finden sich indes in europarechtskonformer Weise auch in § 81 UWG. 191 Vgl. ausf. Schwarze, EuZW 2003, 261 (262 ff.) und Bülte, StV 2017, 460. 192 S. zum Dialog über Grundrechte und Datenschutz zwischen BVerfG und EuGH Buchholtz, DÖV 2017, 837. 193 EuGH, C-203/80, Slg. 1981, 2595 – Casati. 194 EuGH, C-203/80, Slg. 1981, 2595, Rn. 27 – Casati. 195 EuGH, C-100/80, Slg. 1983, 1825, Rn. 109 – Pioneer. 196 EuGH, C-226/97, Slg. 1998, I–3711, Rn. 19 – Lemmers mit Verweis auf EuGH, C-186/87, Slg. 1989, 195, Rn. 19 – Cowan. 197 EuGH, C-210/00, Slg. 2002, I–691, Rn. 35 ff. – Käserei Champignon. 198 So im Ursprung Schwarze, EuZW 2003, 261 (262). 199 Jarass, GRCh-EU, Art. 49, Rn. 7. 200 So aber missverständlich, weil Art. 82 Abs. 2 AEUV nicht berücksichtigend, wohl Holländer, in: Wolff / Brink (Hrsg.) BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 4 ff.

182

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

petenz. Hinter der Anknüpfung an das Fachrecht steckt der effet-utile-Grundsatz,201 also die Förderung praktischer Wirksamkeit des Kernregelungsbereichs.202 Auch nach erheblichen Änderungen durch den Vertrag von Lissabon im Jahre 2009 hält die EuGH-Rechtsprechung daran fest, dass Geldbußen zur Effektuierung des Fachrechts weiterhin auf Basis fachrechtlicher Grundnormen mit erlassen werden dürfen.203 Strafrechtliche Kompetenzerwägungen stehen den DSGVO-Geldbußenregelungen also nicht entgegen. Andererseits müsste der europäische Gesetzgeber durch eine (fachrechtliche)  Norm zum Erlass von DSGVO-Geldbußenregelungen ermächtigt sein. Der DSGVO-Gesetzgeber beruft sich – der EuGH-Rechtsprechung entsprechend – auf Art. 16 Abs. 2 AEUV als Rechtsgrundlage für den Erlass des DSGVO-Geldbußenregimes.204 Hiernach können im ordentlichen Gesetzgebungsverfahren durch die Organe, Einrichtungen und sonstigen Stellen der Union uneingeschränkt Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen werden. Eine Beschränkung auf bestimmte Handlungsformen ist nicht vorgesehen. Der europäische Gesetzgeber kann also durch Grundverordnung datenschutzrechtliche Regelungen zum Schutze personenbezogener Daten natürlicher Personen erlassen.205 Art. 16 Abs. 2 AEUV löst die vorherige Akzessorietät zwischen Binnenmarkt und Datenschutz.206 Datenschutzrecht kann nun ohne konkreten Binnenmarktbezug und ohne Anforderungen an Normcharakter und Norminhalt erlassen werden. Ob die Normen Rechte oder Pflichten zuweisen oder Verhalten sanktionieren, lässt Art. 16 Abs. 2 AEUV offen. Er überlässt dem Sekundärrechtsgesetzgeber, wie er Datenschutz auf hohem Niveau sicherstellt. Art. 16 Abs. 2 AEUV ist Ermächtigung für die gesamte DSGVO und damit auch für das Geldbußenregime.207

201

S. hierzu Thiele, EuR 2008, 320 (323 ff.); schon früh hat die Europäische Kommission die Möglichkeit betont, insbesondere bei Verstößen gegen europäisches Datenschutzrecht die Sanktionierung durch „Strafrecht“ zur Effektuierung der europarechtlichen Regelungen in Erwägung zu ziehen, vgl. Europäische Kommission, Mitteilung, KOM (2011) 573 endg., S. 10. 202 Mayer, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 19 EUV, Rn. 58. 203 EuGH, C-489/10 – Bonda, nicht Slg., EuZW 2012, 543. 204 DSGVO-EG 12. 205 S. hierzu früh bereits Albrecht, CR 2016, 88 (89 f.). 206 Kingreen, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 16 AEUV, Rn. 5. 207 S. nur Sobotta, in: Grabitz / Hilf / Nettesheim (Hrsg.), Recht der EU, Art. 16 AEUV, Rn. 29; Wolff, in: Pechstein / Nowak / Häde (Hrsg.), Frankfurter Kommentar, Art. 16 AEUV, Rn. 8 f.; Kingreen, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 16 AEUV, Rn. 6; missverständlich insoweit Holländer, in: Wolff / Brink (Hrsg.) BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 4 ff., der von „Annex“ zu Art. 16 Abs. 2 AEUV spricht und so erklären müsste, inwiefern eine Annexkompetenz neben Art. 82 Abs. 2 AEUV überhaupt europarechtlich denkbar ist.

D. Das Haftungsregime in der DSGVO

183

(2) Geldbußen und der Strafrechtsbegriff des BVerfG Diese europarechtlich kohärente Lösung wird jedoch aus grundgesetzlicher Perspektive problematisiert. Denn die mitgliedstaatliche Akzeptanz der EuGHRechtsprechung setzt voraus, dass die Mitgliedstaaten den Strafrechtsbegriff des EuGH teilen. Hierüber entscheidet der deutsche Strafrechtsbegriff. Es könnte eingewandt werden, dass Geldbußen, weil sie auch repressive Zwecke verfolgen, Strafrecht der EU sind.208 Strafrecht ist die Institutionalisierung von Strafe (sog. Sanktionsnorm) zur Sanktionierung gesellschaftlich verbindlicher Normen (sog.  Verhaltensnorm) durch Übertretung eines Täters.209 Strafen setzen einen (strafrechtlichen) Schuldvorwurf voraus210 – und diese Vorwerfbarkeit prüft ein Richter.211 Alle Normen, die die Verhängung von Freiheitsstrafen ermöglichen, sind strafrechtliche Normen.212 Der Richtervorbehalt (Art. 7 Abs. 1 EMRK, Art. 49 Abs. 1 Satz 1 GRCh, Art. 104 GG) greift nur für dieses Strafrecht im engen Sinne. Andere Sanktionsformen als Freiheitsstrafen sind schwieriger einem Rechtsgebiet zuzuordnen. Finanzielle Sanktionen können originär strafrechtliche Geldstrafe (§§ 40 ff. StGB) oder aber ordnungswidrigkeitsrechtliche, behördliche Geldbuße sein. Geldbußen können Geldstrafen finanziell übersteigen, im Einzelfall sogar um ein Vielfaches. Geldbußen werden von Aufsichtsbehörden und nicht von Richtern verhängt (vgl. Artt. 58 Abs. 2 lit. i, 83 Abs. 1 DSGVO). Deutscher Gegenbegriff 208

Bülte, StV 2017, 460; von „Unternehmensstrafrecht“ redend auch Hartung / Büttgen, WPg 2017, 1152. 209 Hassemer / Neumann, in: Kindhäuser / Neumann / Paeffgen (Hrsg.), StGB, vor § 1, Rn. 101 ff., 103a ff. 210 BGH, Beschl. v. 18. 3. 1952 – Az. GSSt 2/51 = BGHSt 2, 194, Rn. 17. 211 Zu beachten ist hierbei der abweichende verfassungsrechtliche Strafbegriff des Art. 103 Abs. 2 GG, der gerade auch Ordnungswidrigkeiten umfasst (Pieroth, in: Jarass / Pieroth (Hrsg.), GG, Art. 103, Rn. 62; BVerfGE, 38, 348, 371 f. (Zweckentfremdung Wohnraum); BVerfGE 41, 314, 319 (Heimarbeit)). Denn Art. 103 Abs. 2 GG normiert lediglich das Gesetzlichkeitsprinzip, das nach allgemeiner Ansicht auch im Ordnungswidrigkeitsrecht angewandt wird. Anders allerdings der einfachgesetzliche Strafbegriff, der lediglich in § 1 StGB ausgeformt wird. Hiernach kann eine Tat nur bestraft werden, wenn die Strafbarkeit vor Tatbegehung gesetzlich bestimmt war. Das ordnungswidrigkeitsrechtliche Pendant findet sich in § 3 OWiG. Hiernach kann eine Tat als Ordnungswidrigkeit allenfalls geahndet werden, wenn die Möglichkeit der Ahndung zuvor gesetzlich bestimmt war. Während das Ordnungswidrigkeitsrecht also an den Terminus der „Ahndung“ anknüpft, verweist das Strafrecht auf den Begriff der „Bestrafung“. Wenn auch beide dem Bestimmtheitsgebot unterliegen (vgl. auch Fischer, StGB, § 1, Rn. 2), so weicht die Terminologie ab. Die strafrechtlich sanktionierte Kriminalstrafe ist eine ganz spezifische und nur unter engen Voraussetzungen zu verhängende Ausformung des grund­gesetzlichen Strafbegriffs (vgl. zu den Anforderungen etwa Hassemer / Neumann, in: Kindhäuser / ​Neumann / Paeffgen (Hrsg.), StGB, vor § 1, Rn. 103 f.; Joecks, in: ders. / Miebach (Hrsg.), MüKo StGB, Einl., Rn. 4, stellt auf die Hauptstrafen ab, etwa die Freiheitsstrafe, die originär strafrechtliche Strafe ist). 212 Etabliert hat sich die Differenzierung zwischen Verhaltensnorm und Sanktionsnorm (vgl. Appel, Verfassung und Strafe, S. 79, 449 ff.). Strafrecht zeichnet sich gerade dadurch aus, dass die zugrundeliegenden Verhaltens- und Sanktionsnormen strafrechtlicher Natur sind (vgl. BVerfG, Beschl. v. 17. 11. 2009 – 1 BvR 2717/08, Rn. 15 (Klavierspiel)).

184

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

zum von Gerichten sanktionierten Strafrecht im engen Sinne ist das von Behörden sanktionierte Strafrecht im weiten Sinne. Entsprechend Art. 103 Abs. 2 GG umfasst der Begriff Strafrecht im weiten Sinne auch das Ordnungswidrigkeitsrecht. Trotz der Sanktionsformennähe über die Kategoriengrenzen hinaus sind Geldstrafe und Freiheitsstrafe Ausformungen des Strafrechts im engen Sinne (Kriminal­ strafe),213 während Geldbußen allenfalls Strafrecht im weiten Sinne sind. Insbesondere im Lissabon-Urteil entwickelt das BVerfG einige verfassungsrechtliche Grundsätze zum Strafrecht.214 Strafrecht sei Kern der unabdingbaren Ausprägung nationalstaatlicher Identität. Jede strafrechtliche Kompetenzerweiterung in der EU sei deshalb kritisch zu prüfen. Das BVerfG verwendet hierbei einen spezifisch verfassungsrechtlichen Strafrechtsbegriff.215 Das Urteil zeigt die Skepsis des BVerfG gegenüber den vom europäischen Gesetzgeber erlassenen strafrechtlichen Regelungen, da diese die insbesondere durch das Strafrecht abgesicherte nationale Werteidentität bedrohten. Schließlich sei diese nationale Werteidentität Ursache der kompetenziellen Grenzen des europäischen Strafrechts. Der europäische Gesetzgeber könne gerade deshalb nur unter engen Voraussetzungen strafrechtliche Regelungen treffen. Über das enge Regelungskorsett hinausgehend von der EU getroffene Regelungen seien verfassungswidriges Europarecht.216 Der Blickwinkel des BVerfG ist bei der Begriffsauslegung zu berücksichtigen. Nach Implementierung des weitreichenden Vertrags von Lissabon drohe eine in alle Politikbereiche übergreifende Annexkompetenz.217 Die Annexkompetenz dürfe aber nicht identitäre Teilbereiche mitgliedstaatlicher Rechtsordnungen aushebeln. Das Strafrecht sei so für die Unverbrüchlichkeit der mitgliedstaatlichen Rechtsordnungen unerlässlich.218 Es sei in seinem Kernbestand „nicht […] rechtsethisches Instrument zur Effektuierung einer internationalen Zusammenarbeit, sondern steh[…][e] für die besonders sensible demokratische Entscheidung über das rechtsethische Minimum“219 des Zusammenlebens. Strafrecht könne zur Effektuierung europäischer Regelungen allenfalls dann genutzt werden, wenn für diese tatsächlich ein gravierendes Vollzugsdefizit bestehe, welches lediglich durch die Strafandrohung zu beseitigen sei.220 Das BVerfG bemüht das rechtsethische Minimum, versteht seine Rechtsauffassung also eng. Denn die Einbeziehung aller strafrechtlichen Normen im weiten Sinne wäre kein rechts 213

Zu der Abgrenzung s. Mitsch, in: ders. (Hrsg.), KK-OWiG, Einl., Rn. 91, 110, 118, 245; Gassner, in: Blum / dies. / Seith (Hrsg.), OWiG, Einl., Rn. 4 ff.; Gerhold, in: Graf (Hrsg.), ­BeckOK OWiG, Einl., Rn. 3. 214 BVerfGE 123, 267 (Lissabon); zu Inhalten und Auswirkungen der Rechtsprechung insbesondere im strafrechtlichen Bereich vgl. exemplarisch Zimmermann, JURA 2009, 844 und Landau, NStZ 2011, 537. 215 Zu dieser Frage Bülte, StV 2017, 7 und Hartung / Büttgen, WPg 2017, 1152. 216 Zu dem Konzept des verfassungswidrigen Europarechts vgl. BVerfGE, 126, 286 (­ Honeywell). 217 BVerfGE 123, 267, 352 (Lissabon). 218 BVerfGE 123, 267, 355 (Lissabon). 219 BVerfGE 123, 267, 358 (Lissabon). 220 BVerfGE 123, 267, 362 (Lissabon).

D. Das Haftungsregime in der DSGVO

185

ethisches Minimum. Und nur ein weiter Strafrechtsbegriff würde auch das OWiG umfassen. Das OWiG ist historisch u. a. aber gerade zur besonderen Betonung unterschiedlicher Intensitäten von Unwertverstößen aus dem StGB ausgelagert worden.221 Die Ausführungen des BVerfG beziehen sich also auf den unantast­baren Kernbereich des Strafrechts, das Strafrecht im engen Sinne,222 die Normen, die originär strafrechtliche Sanktions- und Verhaltensnorm sind.223 Nur dieser absolute Kernbereich soll europäisch unangetastet bleiben. Die Geldbußen-Implementierung zur Effektuierung des Datenschutzrechts ist als (im weiten Sinne) strafrechtlicher Randbereich europarechtlich ausformbar.224 Die Lissabon-Rechtsprechung des BVerfG steht also nicht der vom EuGH gebilligten Praxis entgegen, fachliches Kernrecht durch Sanktionstatbestände zu effektuieren. Hier ist die Verhaltensnorm gerade datenschutzrechtlich, nicht strafrechtlich. Neben den Gerichten und dem europäischen Gesetzgeber stimmt dieser Ansicht auch der deutsche Gesetzgeber im Ergebnis zu. Denn er verweist über die Öffnungsklausel des Art. 83 Abs. 8 DSGVO225 und § 41 Abs. 1 Satz 1 BDSG auf die Anwendbarkeit des OWiG. Das OWiG ist kein Strafrecht im engen Sinne, sondern 221

Von „qualitativer Verschiedenheit“ sprechend Mitsch, in: ders. (Hrsg.), KK-OWiG, Einl., Rn. 36 m. w. N. 222 So wohl auch Böse, in: Schwarze / Becker / Hatje / Schoo (Hrsg.), EU-Kommentar, Art.  83 AEUV, Rn. 30, der aus europarechtlicher Sicht eine Sperrwirkung (in concreto von Art. 83 Abs. 2 AEUV) gegenüber anderen kompetenziellen Grundlagen für die Ausgestaltung des Kriminalstrafrechts annimmt. 223 Appel, Verfassung und Strafe, S. 79, 449 ff. 224 Gestützt wird diese Auslegung auch durch die drei allgemein anerkannten, sog. EngelKriterien des EGMR (EGMR, Urt. v. 18. 2. 1999 – Rs. 1/200, Rn. 80 ff. – Engel). Hierüber wird das Strafrecht im internationalen Recht definiert (so jedenfalls Bülte, StV 2017, 460 (470)). Die drei Kriterien für das Herausarbeiten einer strafrechtlichen Vorschrift seien Zuordnung als strafrechtliche Vorschrift, Art der Zuwiderhandlung und Schwere der Sanktion. Zweites und drittes Kriterium können auch alternativ und müssen nicht kumulativ vorliegen (EGMR, Urt. v. 10. 2. 2009 – Rs. 14939/03, Rn. 53 – Zolothukin). Der Aussagewert des ersten Kriteriums ist selbstverständlich nur beschränkt, denn es sollen gerade „verschleierte Strafrechtsnormen“ offengelegt werden. Der europäische Gesetzgeber ordnet so die Norm gerade nicht dem Strafrecht, sondern dem Verwaltungssanktionsrecht zu. Er unterscheidet sogar zwischen Strafrecht und Verwaltungssanktionsrecht (vgl. DSGVO-EG 149, Satz 3 und s. indiziell auch Art. 83 DSGVO und Art. 84 DSGVO). Die Norm könnte so also zweitens Zuwiderhandlungen umfassen, die der Art (Adressatenkreis, Repression, Schuld) nach strafrechtlich sind. Norm­adressaten sind mit Sonderdeliktscharakter datenschutzrechtlich Verantwortliche und Auftragsverarbeiter, die Datenschutzverstöße begangen haben. Auch hat das DSGVO-Geldbußenregime abschreckende Wirkung. Allerdings setzt der Normwortlaut von Art. 83 DSGVO gerade kein  – bei strafrechtlicher Sanktionierung unabdingbares  – Verschulden voraus (s. Kap. § 3 D. III. 3. d) aa) (1)). Allein die Schwere der Sanktion spricht als drittes Kriterium eher für eine strafrechtliche Norm. Allerdings können auch im nationalen Ordnungswidrigkeitsrecht sehr hohe Bußgelder verhängt werden (laut Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 30, Rn. 130 ff. bis zu 10 Millionen Euro). Auch die Engel-Kriterien sprechen also gegen die Einordnung des Geldbußenrechts als Strafrecht im engen Sinne (a. A. Bülte, StV 2017, 460 (466), allerdings ohne genaue Begründung). 225 Kap. § 2 D. II. 1. b) ee) (3) (a).

186

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

ermöglicht die Verhängung von Administrativsanktionen. Für dieses Strafrecht im weiten Sinne hat die EU Regelungskompetenzen. Regelungsarchitektur und die EuGH-Rechtsprechung stützen das Geldbußenregime als Verwaltungssanktion226 zur effektiven Durchsetzung datenschutzrechtlicher Regelungen auf die Kompetenzgrundlage des Art. 16 Abs. 2 AEUV. Die Geldbußen in Art. 83 DSGVO sind im Rahmen kompetenzrechtlicher Vorgaben des AEUV von der EU regelbar. c) Die Verweisungstechnik der DSGVO zur Verhängung von Geldbußen Der europäische Gesetzgeber darf die Geldbußen in Art. 83 DSGVO normieren, der als „teuerste Norm der DSGVO“ bezeichnet worden ist.227 Art. 83 Abs. 4–6 DSGVO liefert Gründe für die und die Höhe der Geldbußenverhängung.228 Weitreichende Diskussionen hat ausgelöst, dass Geldbußen nach Art. 83 Abs. 5 1. Hs. DSGVO bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes von Unternehmen betragen können.229 Geldbußen drohen gem. Art. 83 Abs. 5 2. Hs. lit. a DSGVO bereits bei „einfachen Verstößen“ gegen die Verarbeitungsgrundsätze (Art. 6 DSGVO). Mitgliedstaatliche Regelungen ergänzen die europäischen Grundregelungen. Etwa für Behörden oder öffentliche Stellen können die Mitgliedstaaten Ausnahmen vorsehen (Art. 83 Abs. 7 DSGVO). Die DSGVO-Erwägungsgründe sehen zudem vor, dass vor der Verhängung von Geldbußen gegen natürliche Personen zunächst Verwarnungen ausgesprochen werden können.230 Art. 83 Abs. 8, 9 DSGVO normiert das Verhältnis zwischen mitgliedstaatlichem und europäischem Recht. Das mitgliedstaatliche Recht muss angemessene Verfahrensvorschriften für die Geldbußen vorsehen. Art. 83 Abs. 9 DSGVO adressiert mitgliedstaatliche Rechtsordnungen, die keine Geldbußen kennen.231 Art. 83 Abs. 8 DSGVO hingegen ist Öffnungsklausel für mitgliedstaatliche Regelungen zur Geldbußenverhängung.232 Der deutsche Gesetzgeber wiederum gestaltet diese Öffnungsklausel in §§ 41, 43 BDSG aus.233 226 Die Einordnung einer Sanktion als rein verwaltungsrechtliche oder strafrechtliche Sanktion ist im Einzelfall nicht immer einfach, vgl. Schwarze, EuZW 2003, 261 (262). 227 Bergt, DuD 2017, 555. 228 S. hierzu auch die DSGVO-EGe 148 und 150. 229 Vgl. in der juristischen Diskussion statt vieler z. B. Faust / Spittka / Wybitul, ZD 2016, 120 und Grünwald / Hackl, ZD 2017, 556. 230 DSGVO-EG 148, Satz 2; so auch Schulz, ZESAR 2019, 323 (327) mit Verweis darauf, dass eine unverhältnismäßige Belastung wohl vorliegt, wenn ein Ehrenamt zu einer finanziellen Belastung im Sinne der DSGVO-Größenordnung führt; zur Verwarnung: Martini / Wenzel, PinG 2017, 92. 231 Vgl. hierzu auch DSGVO-EG 151. 232 Müller, Öffnungsklauseln der DSGVO, S. 239; Holländer, in: Wolff / Brink, BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 82; zu Verstößen Verantwortlicher gegen auf Basis dieser Norm erlassene nationale Vorschriften auch DSGVO-EG 149. 233 BT-Drs. 18/11325, S. 109; vgl. auch Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, § 41, Rn. 3, der betont, dass Art. 83 Abs. 8 DSGVO eigentlich keine Öffnungsklausel für materielle Vorschriften, sondern allenfalls für verfahrensrechtliche Vor-

D. Das Haftungsregime in der DSGVO

187

§ 41 Abs. 1 Satz 1 BDSG verweist – unter Ausnahme der in § 41 Abs. 1 Satz 2 BDSG enumerativ als unanwendbar aufgeführten §§ 17, 35, 36 OWiG – auf die Anwendbarkeit aller Vorschriften des OWiG zur Verhängung datenschutzrechtlicher Geldbußen. Die Anwendungsbereichsausnahmen umfassen etwa die unstreitig abschließend in der DSGVO geregelte Höhe der Geldbußen, das Verhältnis von Fahrlässigkeit und Vorsatz im nationalen Recht und die Vorwerfbarkeit mit dem Abschöpfungsgedanken (§ 17 OWiG), sowie die Verfolgung und Ahndung durch die (§ 35 OWiG) und die sachliche Zuständigkeit der Verwaltungsbehörden (§ 36 OWiG). Neben den ansonsten laut § 41 BDSG umfassend anwendbaren Vorschriften des OWiG verbleibt eine Teilanwendbarkeit von § 68 OWiG mit der Maßgabe, dass bei einer Geldbuße von über 100.000 Euro abweichend das Landgericht zuständig ist. § 43 Abs. 1 BDSG wird ergänzt durch nationale Bußgeldvorschriften. § 43 Abs. 3 BDSG trifft die in Art. 83 Abs. 7 DSGVO angelegte Ausnahmeregelung: Gegen Behörden und öffentliche Stellen werden in Deutschland keine Geldbußen verhängt. §§ 41 Abs. 1, 43 BDSG sind Verbindungsnormen zwischen dem DSGVO-Geldbußenregime und dem überkommenen deutschen Bußgeldrecht im OWiG. Der doppelte Verweis strukturiert das DSGVO-Geldbußenregime in Deutschland. d) Die Lückenhaftigkeit des implementierten Geldbußenregimes in der DSGVO Nach Auffassung des deutschen Gesetzgebers werden Geldbußen für Datenschutzverstöße nach dem OWiG verhängt. Über die Unanwendbarkeitserklärung einiger Regelungen durch den deutschen Gesetzgeber hinaus werden einzelne Verweise auf OWiG-Vorschriften europarechtlich kritisiert. Öffnungsklauseln ermöglichen nämlich keinen allumfassenden Regelungserlass, sondern mitgliedstaatliche Regelungen müssen den Rahmen der jeweiligen europäischen Öffnungsklausel wahren. Die Diskussion knüpft an die vom europäischen Gesetzgeber gewählte Handlungsform der Grundverordnung an.234 Die Grundverordnung ist keine neue sekundärrechtliche Handlungsform.235 Seit Erlass der DSGVO wird sie aber jedenfalls umfassender wahrgenommen. Klassischerweise differenziert Art. 288 AEUV im europäischen Sekundärrecht – neben anderen Handlungsformen – zwischen Verordnungen und Richtlinien. Während Verordnungen allgemein schriften sei. Das Zusammenwirken von Art. 83 Abs. 8 DSGVO und Art. 83 Abs. 9 DSGVO zeige jedoch, dass nach Ansicht des europäischen Gesetzgebers alle Vorschriften über die Geldbußenverhängung in den mitgliedstaatlichen Rechtsordnungen erlassen würden. Die Kombination aus Art. 83 Abs. 8, 9 DSGVO sei somit Öffnungsklausel für den gesamten § 41 Abs. 1 BDSG. 234 Vgl. zu Europäischen Handlungsformenlehre und in diesem Kontext zur Handlungsform der Grundverordnung Müller, Öffnungsklauseln der DSGVO. 235 S. nur EuGH, C-30/70, Urt. v. 17. 12. 1970  – Scheer; Müller, Öffnungsklauseln der DSGVO, S. 254 ff. m. w. N.

188

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

und in allen Teilen verbindlich unmittelbar in jedem Mitgliedstaat gelten (Art. 288 UAbs. 2 AEUV), müssen Richtlinien im Regelfall zur Entfaltung von Rechtswirkung zunächst mitgliedstaatlich umgesetzt werden (Art. 288 UAbs. 3 AEUV). Sog. Öffnungsklauseln wurden bereits häufiger in Richtlinien und Verordnungen genutzt. Auch in der Vergangenheit sollten mitgliedstaatliche Gesetzgeber bereits in europäische Rechtsetzungsprozesse eingebunden werden.236 Da etwa Richtlinien immer mitgliedstaatlich umgesetzt werden müssen, ergänzen Öffnungsklauseln hier das allgemeine Transformationserfordernis.237 Das Rechtsinstitut Grundverordnung kombiniert Verordnungs- und Richtlinienelemente.238 Die DSGVO ist im Kern Verordnung. Denn sie gilt allgemein und in allen Teilen verbindlich unmittelbar in jedem Mitgliedstaat.239 Sie hat das Ziel, Datenschutzrecht umfassend zu vereinheitlichen. Die Handlungsform Grundverordnung hat sich nur durch massiven Druck des Europäischen Parlaments und der Öffentlichkeit gegenüber den Mitgliedstaaten durchgesetzt.240 Unterschiedliche, auch in den Verhandlungen zum Ausdruck kommende, mitgliedstaatliche Traditionen und Vorstellungen erforderten jedoch zugleich Möglichkeiten mitgliedstaatlicher Sonderwege.241 Der Gesetzgeber ergänzte die vollharmonisierende Verordnung als Ausfluss eines Richtlinienelements um insgesamt über 70 Öffnungsklauseln mit weiten mitgliedstaatlichen Kompetenzen.242 Die Wirkungen dieses Handlungsformen-Hybrids243 sind im Einzelfall nicht immer klar. Denn so gut abgrenzbar die Mischform auf den ersten Blick auch erscheint, so umstritten ist, welche Reichweite ihre Öffnungsklauseln haben.244 Die Reichweite muss aber deshalb genau untersucht werden, weil sie zeigt, wie weit mitgliedstaatliche Kompetenzen wirken. Mitgliedstaatliche Gesetzgeber dürfen jedenfalls nicht gegen in der DSGVO normiertes vereinheitlichtes Europarecht verstoßen. Die DSGVO ist die Grenze für im Rahmen ihrer Öffnungsklauseln erlassene Regelungen. Im Rahmen von Art. 83 Abs. 8 DSGVO verweist der deutsche Gesetzgeber über §§ 41, 43 BDSG auf das OWiG. Dies ist jedoch nur insoweit zulässig, wie die DSGVO den Regelungsgehalt der OWiG-Regelungen nicht bereits selbst abschließend regelt. Da der Betriebsrat eine besondere Beteiligtenstruktur hat,245 muss die 236

Müller, Öffnungsklauseln der DSGVO, S. 51 ff. Zur Transformationsnotwendigkeit s. Nettesheim, in: Grabitz / Hilf / ders. (Hrsg.), Recht der EU, Art. 288 AEUV, Rn. 114 ff.; zur Abgrenzung s. Müller, Öffnungsklauseln der DSGVO, S. 88. 238 Hierzu umfassend Kap. § 2 D. II. 1. b) ee) (2). 239 Kühling / Raab, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Einf., Rn. 73 ff. (insb. Rn. 98). 240 Albrecht, CR 2016, 88 (89). 241 Albrecht, CR 2016, 88 (97); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, I, Rn. 11 ff. 242 Müller, Öffnungsklauseln der DSGVO, S. 194; von „bedenklich hohe[r] Zahl an Öffnungsklauseln“ sprechend Kühling / Raab, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Einf., Rn. 83. 243 Kühling / Martini, EuZW 2016, 448 (449). 244 Kühling / Raab, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Einf., Rn. 98. 245 S. zu allen Beteiligten § 1 BetrVG und die Ausführungen bei Richardi / Maschmann, in: Richardi (Hrsg.), BetrVG, § 1. 237

D. Das Haftungsregime in der DSGVO

189

Passförmigkeit der Regelungen für ihn untersucht werden: Für ihn handeln lediglich Betriebsratsmitglieder, die also einzig betriebsrätliche Datenschutzverstöße verursachen können. Da das Organ Betriebsrat im Betrieb des Arbeitgebers gegründet ist (§ 1 Abs. 1 BetrVG), ist auch die Stellung des Arbeitgebers bei betriebsrätlichen Datenschutzverstößen mit zu untersuchen. Denn in der Vergangenheit haftete in der Regel er als Verantwortlicher für Datenschutzverstöße des Organs Betriebsrat, während nur in Ausnahmefällen exzessiv handelnde Betriebsratsmitglieder hafteten.246 Seit der Betriebsrat im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO datenschutzrechtlich verantwortlich ist, muss er selbst erstes Anknüpfungssubjekt für die Haftung bei Datenschutzverstößen sein.247 Die in Bezug genommenen Normen des OWiG regeln das „Ob“ (aa)) und das „Wie“ (bb)) der Geldbußenverhängung. Die Ergebnisse der Untersuchung von „Ob“ und „Wie“ der Geldbußenverhängung werden kurz zusammengefasst (cc)). aa) Das „Ob“ der Geldbußenverhängung: Europarechtskonformität von Verschuldensprinzip und Opportunitätsprinzip des OWiG im Datenschutzrecht Einige Regelungen im OWiG betreffen die Frage, „ob“ Geldbußen verhängt werden dürfen. Dies sind v. a. §§ 10, 12 OWiG, die das Schuldprinzip normieren, das durch den Verweis im BDSG auch im DSGVO-Geldbußenregime greifen soll. In einem vertrauensvoll zusammenarbeitenden Betrieb werden viele betriebliche und auch betriebsrätliche Datenschutzverstöße wohl ohne Vorsatz, ggf. auch nicht fahrlässig, also etwaig „schuldfrei“ begangen werden. Wäre das Schuldprinzip im OWiG Voraussetzung der Geldbußenverhängung, so würden unverschuldete betriebsrätliche Datenschutzverstöße nicht mit Geldbußen sanktioniert. Denn hiernach darf nur derjenige sanktioniert werden, dem ein Handeln vorwerfbar ist. „Ob“ Geldbußen verhängt werden müssen oder dürfen, hängt auch davon ab, inwieweit Aufsichtsbehörden bei der Geldbußenverhängung Ermessen haben. § 47 OWiG normiert das sog. Opportunitätsprinzip, das den Behörden Ermessen zuschreibt.248 Die zuständige Behörde hätte bei der Anwendung von § 47 OWiG auch im Datenschutzrecht keine Ahndungspflicht,249 anders als im Strafrecht (sog. Legalitätsprinzip).250 Bisher waren Geldbußen gegen den Betriebsrat dem deutschen Gesetzgeber unbekannt.251 Sollten die Mitarbeiter der Aufsichtsbehörden aus den Mitgliedstaaten also aus Opportunitätsgründen Sanktionsverfahren einstellen können, so könnten sie bei Akteuren wie dem Betriebsrat aus „traditionellen Gründen“ auf die Geldbußenverhängung verzichten. Die Verfahrenseinstellung an Stelle der 246

Zur Herleitung und als Lösungsvorschlag Kap. § 3 D. III. 3. e) ff). Kap. § 2 D. III. und Kap. § 3. 248 Meyberg, in: Graf (Hrsg.), BeckOK OWiG, § 30, Rn. 94 f. 249 Krenberger / Krumm, OWiG, § 47, Rn. 1. 250 Ellbogen, in: Mitsch (Hrsg.), KK-OWiG, § 69, Rn. 99. 251 Kap. § 3 D. III. 2. 247

190

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Geldbußenverhängung entspräche dem überkommenen deutschen Recht nämlich besser. „Ob“ Geldbußen verhängt werden dürfen bzw. müssen ist bei der OWiGAnwendung im Rahmen der DSGVO-Haftungsregelungen aus zwei Blickwinkeln zu untersuchen: Sind ordnungswidrigkeitsrechtliches Schuldprinzip gem. §§ 10, 12 OWiG (1) und Opportunitätsprinzip gem. § 47 OWiG (2) anwendbar? Die Untersuchung zeigt, dass §§ 10, 12 OWiG und § 47 OWiG gegen abschließend normiertes Europarecht verstoßen (3). (1) Europarechtskonformität des Schuldprinzips (§ 10 OWiG) § 10 OWiG normiert das ordnungswidrigkeitsrechtliche Schuldprinzip. Hiernach kann nur vorsätzliches Handeln geahndet werden, es sei denn, fahrlässiges Handeln ist gesetzlich ausdrücklich mit Geldbuße sanktioniert. § 12 OWiG begrenzt die Schuldfähigkeit auf Personen mit einem Alter von über 14 Jahren. Das Verschuldenserfordernis beschränkt die Einstandspflicht also für unterschiedliche Handlungen auf die Personengruppe der über 14-Jährigen, denen die Handlung allein über den Vorsatz- bzw. Fahrlässigkeitsvorwurf zurechenbar ist.252 Vorsatz ist entsprechend § 15 StGB das Wissen und Wollen der objektiven Tatbestandsverwirklichung.253 Fahrlässigkeit ist hingegen unbewusste und / oder ungewollt pflichtwidrige Tatbestandsverwirklichung.254 Jeder ordnungswidrigkeitsrechtlich sanktionierbar Handelnde hat zumindest die im Verkehr erforderliche Sorgfalt außer Acht gelassen. Datenschutzverstöße sind aber auch bei Beachtung der im Verkehr erforderlichen Sorgfalt möglich, etwa wenn ein bisher absolut vertrauenswürdiger Arbeitnehmer Datensätze auf einem Speichermedium entwendet.255 Bei konsequenter Anwendung des OWiG dürften unverschuldete Datenschutzverstöße nicht sanktioniert werden (§ 10 OWiG). Wenn die DSGVO hier gerade kein Verschulden fordern würde, so würde sie als Verordnung den dann unanwendbaren § 10 OWiG verdrängen. Sieht hingegen die DSGVO Verschulden vor, so formt § 10 OWiG möglicherweise die DSGVO aus. Zunächst wird der Verschuldensmaßstab der DSGVO untersucht (a), ehe das verfassungsrechtlich integrationsfeste Schuldprinzip des BVerfG gegenübergestellt wird (b). Hierbei zeigt sich, dass die §§ 10, 12 OWiG im Anwendungsbereich der DSGVO nicht angewandt werden dürfen (c).

252 Zur Anknüpfung des Verschuldensvorwurfs in Art. 83 Abs. 2 DSGVO an Vorsatz und Fahrlässigkeit vgl. Schneider, in: Saliger (Hrsg.), FS Neumann, S. 1436. 253 Krenberger / Krumm, OWiG, § 10, Rn. 2 ff. 254 Krenberger / Krumm, OWiG, § 10, Rn. 16 ff. 255 Beachtet werden muss aber der Ausnahmecharakter von Verstößen, bei denen auch nicht zumindest Organisationsverschulden vorgeworfen werden kann, der auch bei Bergt, DuD 2017, 555 (558), betont wird.

D. Das Haftungsregime in der DSGVO

191

(a) Der Verschuldensmaßstab in der DSGVO Geldbußen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO). Einen Verschuldensmaßstab kennt die Geldbußen-Grundnorm also nicht. Ausweislich Art. 83 Abs. 2 Satz 1 DSGVO werden Geldbußen nach den Einzelfallumständen verhängt. Im Einzelfall müssen aber Vorsatz und Fahrlässigkeit eines Verstoßes bei der Entscheidung über die Verhängung von und die Höhe der Geldbußen berücksichtigt werden (Art. 83 Abs. 2 Satz 2 lit. b DSGVO). Der Verschuldensmaßstab könnte sich also aus Art. 83 Abs. 2 Satz 2 DSGVO ergeben. Der Wortlaut ist jedoch uneindeutig: Wenn beide Alternativen, d. h. Verhängung und Höhe, syntaktisch getrennt würden, so könnten Vorsatz und Fahrlässigkeit lediglich Auslegungskriterium für die Höhe der Geldbußen sein. Auch unverschuldete Datenschutzverstöße wären demnach zwingend durch Geldbuße zu sanktionieren – tendenziell jedoch mit geringeren Geldbußen als verschuldete Verstöße. Allerdings spricht Art. 83 Abs. 2 Satz 2 DSGVO ausdrücklich von der Entscheidung über die Verhängung und über den Betrag der Geldbuße. Diese Aneinanderreihung legt nahe, dass der Verschuldensmaßstab auch eine Rolle bei der Frage spielen kann, ob Geldbußen verhängt werden müssen. Die Erwägungsgründe stützen beide Interpretationsvarianten. Bei geringfügigen Verstößen oder falls natürliche Personen von Datenschutzverstößen betroffen sind, sollen unter Berücksichtigung vom „vorsätzlichen Charakter des Verstoßes [… und] dem Grad der Verantwortlichkeit“ u. U. Verwarnungen an Stelle von Geldbußen verhängt werden.256 Das Verschulden wäre fakultatives und kein konstitutives Element der Geldbußenverhängung. Geldbußen könnten auch verschuldensfrei verhängt werden. Der Verschuldensmaßstab kann nach dieser Lesart aber immerhin Einfluss darauf haben, „ob“ Geldbußen verhängt werden müssen. Die Erwägungsgründe verlangen allerdings auch, dass Geldbußen sonstige Sanktionen ergänzen.257 Geldbußen sollten nach dieser Lesart grundsätzlich immer verhängt werden. Die Ausnahmefälle „natürliche Person“ und „außerordentliche Belastung“, in denen von Geldbußen abgesehen werden kann, rahmen den Regelfall: Im Regelfall beeinflusst das Verschuldensprinzip nicht die Frage, ob Datenschutzverstöße sanktioniert werden müssen, denn Vorsatz und Fahrlässigkeit sind hier nur ein denkbarer Ansatzpunkt. In der Literatur ist umstritten, ob die DSGVO über Art. 83 DSGVO hinaus ein Schuldprinzip kennt, das § 10 OWiG ausformt258 oder ob die DSGVO kein Schuldprinzip kennt, § 10 OWiG also nicht anwendbar ist. Nach einer Ansicht hat sich der EU-Gesetzgeber bewusst gegen die Aufnahme des Schuldprinzips in die DSGVO entschieden. Das Schuldprinzip sei nicht nur kein Bestandteil der DSGVO, sondern gar bewusst abgelehnt worden. Es dürfe also durch nationale Regelung nicht 256

DSGVO-EG 148, Satz 3; Schulz, ZESAR 2019, 323 (327). DSGVO-EG 148, Satz 1. 258 Folgefrage wäre in diesem Fall, ob § 10 OWiG das in der DSGVO angelegte Schuldprinzip richtig ausformt. 257

192

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

wieder eingeführt werden.259 Diese Ansicht hebt den Wortlaut von Art. 83 DSGVO hervor, der – anders als vergleichbare Regelungen260 – kein Verschulden für die Geldbußenverhängung verlangt.261 Die Gesetzgebungsgeschichte zeige, dass der Gesetzgeber den Wortlaut bewusst gewählt habe. Denn in den DSGVO-Entwürfen von Europäischer Kommission262 und Europäischem Rat263 waren verschuldensabhängige Geldbußen vorgesehen. Das Europäische Parlament hingegen habe den Verschuldensmaßstab nur bei der Frage der Geldbußenhöhe angelegt, nicht hingegen bei der vorgelagerten Frage der Geldbußenverhängung.264 Aus den Entwürfen könne insgesamt geschlossen werden, dass das Europäische Parlament sich mit seiner Forderung nach verschuldensunabhängigen Geldbußen durchgesetzt habe.265 Gesetzgebungsverfahren und DSGVO zeigten, dass die Entscheidung des europäischen Gesetzgebers gegen ein Verschuldenserfordernis bewusst gefallen sei.266 Für eine solche Auslegung spreche ferner, dass die Frage des Verschuldensgrades in Art. 83 Abs. 2 lit. b DSGVO als Frage der Bemessungshöhe der Geldbuße ausgestaltet sei, nicht als Frage der Verhängung.267 (b) Das sog. verfassungsrechtlich integrationsfeste Schuldprinzip des BVerfG Hiergegen wird gelegentlich eingewandt, die Geldbußenverhängung auch zur Sanktionierung schuldloser Datenschutzverstöße widerspreche dem verfassungsrechtlich integrationsfesten Schuldprinzip.268 Die Verhängung einer Geldbuße

259

S. hierzu Bergt, DuD 2017, 555 (558 f.); ders., in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 10, 34 ff.; Boms, ZD 2019, 536; Nemitz, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 17; Schneider, Unschärfen des Datenschutzrechts  – genügen die Bußgeldvorschriften der DSGVO dem Bestimmtheitsgebot?, in: Saliger (Hrsg.), FS Neumann, S. 1425 ff. (1436 f.); Härting, DSGVO, Rn. 253 jedoch unter Äußerung etwaiger verfassungsrechtlicher Zweifel; wegen des nicht im Gesetzeswortlaut erforderlichen Verschuldens kritisch gegenüber einer direkten Anwendung von § 10 OWiG auch Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 25 f., 60, der dann jedoch den – nicht begründeten – Schluss zieht, dass fahrlässiges Handeln erforderlich ist, ähnlich Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, § 41, Rn. 4, der § 10 OWiG durch unionsrechtskonforme Auslegung und ein Hineinlesen des in Art. 83 Abs. 2 lit. b DSGVO genannten fahrlässigen Handelns als ausdrückliche Bedrohung im Sinne des Tatbestandes aufrechterhalten möchte. 260 Vgl. DSGVO-EG 146, Satz 2, zu den Schadensersatzansprüchen. 261 Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 25 f., 60; Bergt, DuD 2017, 555 (558). 262 Art. 79 Abs. 4, 5, 6 DSGVO-E (KOM), 2012/0011 (COD) v. 25. 1. 2012. 263 Art. 79a Abs. 1, 2 DSGVO-E (Rat), 2012/0011 (COD), 9398/15 v. 11. 6. 2015. 264 Art. 79 Abs. 2 DSGVO-E (EP), Europäisches Parlament, LIBE-Ausschuss v. 21. 11. 2013, 2012/0011 (COD), 0402/2013. 265 Vgl. in diesem Sinne auch Albrecht, CR 2016, 88 (96). 266 Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 10, 34. 267 Nemitz, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 17; Härting, DSGVO, Rn. 253. 268 Vgl. dazu die Ausführungen bei Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 36 und Eckhardt / Menz, DuD 2018, 139 (143).

D. Das Haftungsregime in der DSGVO

193

setze hiernach immer Verschulden voraus.269 Wenn das Verschuldenserfordernis zwar möglicherweise nicht aus Art. 83 Abs. 1 DSGVO selbst ableitbar sei, so sei es jedoch über Verhältnismäßigkeitserfordernisse in die DSGVO hineinzulesen.270 Diese Ansicht beruft sich auf eine BVerfG-Entscheidung,271 in der das integrationsfeste Schuldprinzip als in der Menschenwürdegarantie verankert beurteilt wurde. Ob dieses integrationsfeste Schuldprinzip durch die DSGVO-Vorgaben wirklich betroffen ist, ist verfassungsrechtliche Fragestellung und nicht durch die Auslegung einfachgesetzlicher Normen zu beantworten.272 In dem vom BVerfG entschiedenen Fall ging es um ein Auslieferungsersuchen von Italien an Deutschland auf Basis des europäischen Haftbefehls. In Italien war in dessen Abwesenheit gegen einen Amerikaner ein Strafurteil wegen Mitgliedschaft in einer kriminellen Vereinigung und Drogenbesitzes ergangen. Der Amerikaner machte gegenüber deutschen Sicherheitsbehörden geltend, er könne die Beweisführung in Italien wegen Fristablaufs nach Urteilsspruch nicht erneut überprüfen lassen. Dies widerspreche deutschen verfassungsrechtlichen Grundsätzen. Das BVerfG folgte seiner Ansicht inhaltlich und rechtlich. Es bestünden Zweifel an der Vergleichbarkeit des italienischen und des deutschen Strafprozessrechts. Zwar sei das Auslieferungsersuchen im europäischen Recht begründet. Dem Ersuchen stünde jedoch das deutsche Schuldprinzip entgegen, das durch Verankerung in Art. 1 Abs. 1 i. V. m. Art. 23 Abs. 1 Satz 3 i. V. m. Art. 79 Abs. 3 GG integrationsfest sei.273 Wenn Italien den Vorgaben dieses Schuldprinzips nicht gerecht würde, könne – auch innerhalb der EU – nicht ausgeliefert werden. Der integrationsfeste deutsche Verfassungskern beschränke mithin den Anwendungsbereich des Europarechts. Sollen aus für nach den DSGVO-Geldbußenregelungen etwaig sanktionierte, schuldlose Datenschutzverstöße rechtliche Wertungen abgeleitet werden, so müssten diese den vom BVerfG beurteilten, integrationsfesten verfassungsrechtlichen Kern berühren. Das BVerfG stellt fest, sozialethisches Fehlverhalten sei Strafgrund einer Straftat. Sozialethisches Fehlverhalten ist jedoch vielfältig: Sowohl Strafrecht als auch Ordnungswidrigkeitsrecht sanktionieren sozialethisch unwertes Verhalten.274 An 269 Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, DSGVO, Art. 83, Rn. 14; Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 18, 28; Frenzel, in: Paal / Pauly (Hrsg.), DSGVO, Art. 83, Rn. 8; ohne greifbare Begründung unter Verweis auf das Kartellrecht Schreibauer / Spittka, in: Wybitul (Hrsg.), DSGVO, Art. 83, Rn. 28 und Popp, in: Sydow (Hrsg.), DSGVO, Art. 83, Rn. 13; Becker, in: Plath (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 11; i.Erg. wohl auch: Gola, in: ders. (Hrsg.), DSGVO, Art. 83, Rn. 31 f.; Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, Art. 83, Rn. 17, uneindeutig hingegen ebd., § 41 BDSG, Rn. 4. 270 Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 18; Frenzel, in: Pauly / Paal, DSGVO, Art. 83, Rn. 14. 271 BVerfGE 140, 317, Rn. 36 (Identitätskontrolle); s. auch BVerfGE 123, 267, 364 (Lissabon). 272 Anders aber der Versuch der Übertragung von Schuldprinzip des StGB auf das OWiG anhand der Auslegung einfachgesetzlicher Normen Mitsch, in: ders. (Hrsg.), KK-OWiG, Einl., Rn. 123. 273 BVerfGE 140, 317, Rn. 36 (Identitätskontrolle); s. auch BVerfGE 123, 267, 364 (Lissabon). 274 Zur Aufgabe der qualitativen Unterscheidungsansätze vgl. Mitsch, Recht der Ordnungswidrigkeiten, § 3, Rn. 7 ff.

194

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

die Frage, ob sozialethisches Fehlverhalten bei Straftaten und Ordnungswidrigkeiten gleichermaßen sanktioniert wird, knüpft die Frage an, ob das BVerfG das Schuldprinzip auch auf das OWiG überträgt. Denn Geldbußenverhängung auch bei unverschuldeten Datenschutzverstößen stünde allenfalls im Widerspruch zum integrationsfesten Schuldprinzip, wenn der Strafrechtsbegriff des BVerfG auch das Geldbußenrecht umfassen würde. Einerseits wird ohne Begründung angeführt, in Deutschland sei jede Sanktionierung von natürlichen Personen ohne Schuldvorwurf verfassungswidrig.275 Andererseits wird dies vehement mit der Einheitlichkeit der Rechtsordnung bezweifelt. Das BVerfG verknüpfe das Schuldprinzip eng mit der Straftat (nulla poena sine culpa). Der EuGH erachte wiederum selbst strafrechtliche Rechtssysteme mit allein objektiven Schuldelementen für zulässig.276 Die Abgrenzung von Strafrecht und Ordnungswidrigkeitsrecht ist sehr diffizil,277 wie vielfältige Abgrenzungsversuche verdeutlichen.278 Hier sollen diese Versuche allein aus dem Blickwinkel des Schuldprinzips untersucht werden.279 Strafrechtliche Schuld stellen Gerichte fest (§ 6 StPO), während Behörden die Geldbußen nach Ordnungswidrigkeiten exekutiv verhängen (§ 35 Abs. 1 OWiG). Historisch war dies nicht immer so: Seit 1871 waren alle sozialethischen Verstöße einheitlich im StGB sanktioniert, als Verbrechen, Vergehen (= Straftaten) und sog. Übertretungen.280 Erste Auslagerungen von Ordnungswidrigkeiten aus dem StGB begannen ab 1952 mit Implementierung des Ordnungswidrigkeitsgesetzes.281 Umfassend sind jedoch erst mit dem Einführungsgesetz zum Gesetz über Ordnungswidrigkeiten282 (EGOWiG) Ordnungswidrigkeitentatbestände zum 1. Januar 1969 aus dem StGB in das OWiG ausgelagert worden. Der bis dahin auch für Ord 275 Nolde, PinG 2017, 114 (118); mit historischen Ansatzpunkten hingegen Mitsch, in: ders. (Hrsg.), KK-OWiG, Einl., Rn. 123, der darauf hinweist, dass sich Ordnungswidrigkeitsrecht von Tendenzen einer rein objektiven Zurechnung historisch gelöst habe. Derartige Tendenzen hätten im Ursprung im Polizeistrafrecht und dem teilweisen Verzichten auf Vorsatz und Fahrlässigkeit bei Verhängung ordnungswidrigkeitsrechtlicher Geldbußen gesehen werden können. Hieran ändere auch der Umstand nichts, dass das Ordnungswidrigkeitsgesetz den Begriff „Schuld“ zugunsten des Terminus „Vorwerfbarkeit“ vermeide, denn dies bilde lediglich die angestrebte Differenz zur Straftat ab. 276 Bergt, DuD 2017, 555 (558) mit Verweis auf EuGH, C-443/13, Urt. v. 13. 11. 2014, Rn. 42 – Reindl. 277 Vgl. nur BVerfGE 45, 272 (289) (OWi); von Hefendehl, in: ZIS 2016, 636 (638) wurde die Abgrenzungsfrage sogar als „die Jahrhundertfrage schlechthin“ bezeichnet; zur geschichtlichen Entwicklung vgl. Mitsch, in: ders. (Hrsg.), KK-OWiG, Einl., Rn. 50–118; s. zum neuerlich überwiegend vertretenen sog. quantitativen Ansatz ders., Recht der Ordnungswidrigkeiten, I, § 3, Rn. 7 ff. m. w. N. 278 S. z. B. Bülte, StV 2017, 460 ff., der von dem Datenschutzbußgeldrecht als „originäre[…] [m] Strafrecht der Europäischen Union“ spricht. 279 Zu anderen Abgrenzungsschwerpunkten s. Gerhold, in: Graf (Hrsg.), BeckOK OWiG, Einl., Rn. 2 ff. 280 Mitsch, in: ders. (Hrsg.), KK-OWiG, Einl., Rn. 6 ff. 281 Insgesamt sehr ausf. zu der Ausdifferenzierung von Straf- und Ordnungswidrigkeitsrecht Mitsch, Recht der Ordnungswidrigkeiten, insb. I § 4, Rn. 1 ff. 282 EGOWiG, eingeführt mit Wirkung zum 1. 1. 1969.

D. Das Haftungsregime in der DSGVO

195

nungswidrigkeiten vorgesehene Richtervorbehalt griff ab diesem Zeitpunkt nicht mehr.283 Der Gesetzgeber unterstellte, die Begehung von Ordnungswidrigkeiten sei sozialethisch weniger verwerflich als die Straftatenbegehung. Die Annahme dieser Ungleichwertigkeit durch gesetzliche Manifestierung hat das BVerfG verfassungsrechtlich gebilligt.284 Gesetzgeber und BVerfG stellen für Ordnungswidrigkeiten andere Maßstäbe auf als für Straftaten: Der Richtervorbehalt greift etwa im OWiG nicht.285 Freiheitsstrafen bzw. Maßregeln sanktionieren mit der strafrechtlichen Schuld sozialethisch erheblich höheren Unwert als die mit Geldbußen sanktionierten ordnungswidrigkeitsrechtlichen Verstöße.286 Die Sanktionierung unterscheidet sich nicht nur auf Ebene des einfachen Rechts, sondern ist auch verfassungsrechtlich akzeptiert.287 Das vom BVerfG als integrationsfest bezeichnete Schuldprinzip ist strafrechtlicher, nicht ordnungswidrigkeitsrechtlicher Natur.288 Eine Übertragung der BVerfG-Rechtsprechung wäre somit sogar systemwidrig, weil das BVerfG Strafrecht und Ordnungswidrigkeitsrecht strukturell trennt.289 Der Schluss, aus dem verfassungsrechtlich integrationsfesten Verschuldensprinzip folge, dass auch Geldbußen in der DSGVO nur nach verschuldeten Datenschutzverstößen verhängt werden können, ist unzulässig. Nur das strafrechtliche Schuldprinzip ist integrationsfest. (c) Die Unanwendbarkeit von § 10 OWiG bei der datenschutzrechtlichen Geldbußenverhängung Hierneben wird aber behauptet, aus der DSGVO-Entstehungsgeschichte lasse sich ableiten, dass der Gesetzgeber einen Verschuldensnachweis zur Geldbußenverhängung implementieren wollte.290 Das gesetzgeberische Ziel, das Verschulden aus dem Tatbestand zu verdrängen, sei im Gesetzgebungsprozess aufgegeben worden.291 Dies ergebe sich heute aus den Erwägungsgründen.292 Erwägungsgrund 148 lässt allerdings offen, ob die Aufsichtsbehörde aus Ermessenserwägungen 283

S. hierzu Appel, Verfassung und Strafe. BVerfGE 27, 18, Rn. 35 (Ordnungswidrigkeiten). 285 BVerfGE 8, 197, S. 207 (Bußgeldverfahren): „Auf die allgemeinere Streitfrage, ob es eindeutige materielle Kriterien für den Begriff der ‚rechtsprechenden Gewalt‘ im Sinne des Art. 92 GG gibt, braucht dabei nicht eingegangen zu werden. Denn sicher gehört die Ausübung der Strafgerichtsbarkeit zu den Funktionen dieser Gewalt. Das Bußgeldverfahren ist aber kein Strafverfahren.“; kritisch dazu aber Gassner, in: Blum / dies. / Seith (Hrsg.), OWiG, Einl., Rn. 190. 286 Krenberger / Krumm, OWiG, § 1, Rn. 1 ff. 287 So wohl i.Erg. auch Frenzel, in: Pauly / Paal, DSGVO, Art. 83, Rn. 14. 288 BVerfGE 140, 317, Rn. 36 (Identitätskontrolle). 289 BVerfGE 27, 18, Rn. 35 (Ordnungswidrigkeiten); s. auch die Anlage in BVerfG, Beschl. v. 17. 11. 2009, 1 BvR 2717/08, Rn. 15 ff. (Klavierspiel). 290 Popp, in: Sydow (Hrsg.), DSGVO, Art. 83, Rn. 13. 291 Schreibauer / Spittka, in: Wybitul (Hrsg.), DSGVO, Art. 83, Rn. 28, jedoch ohne Nachweis und Begründung. 292 Vgl. DSGVO-EG 150, Satz 2. 284

196

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

auf die Geldbußenverkürzung nach geringfügigen Datenschutzverstößen verzichten kann, weil den Verstoßenden kein Verschulden trifft.293 Dieser Erwägungsgrund nimmt aber Bezug zu Art. 83 Abs. 2 Satz 2 DSGVO. Und hier normiert der europäische Gesetzgeber, dass bei der Frage über die Verhängung und über deren Betrag das Verschulden im Einzelfall eine Rolle spielt. Dass jedoch Geldbußen grundsätzlich verhängt werden sollen, regelt bereits vorgelagert Art. 83 Abs. 2 Satz 1 DSGVO, nach dem diese zusätzlich zu oder an Stelle von sonstigen Maßnahmen verhängt werden. Art. 83 Abs. 2 Satz 1 DSGVO gibt der entscheidenden Behörde eine Art intendiertes Ermessen an die Hand. Vorsatz und Fahrlässigkeit sind regelmäßig nicht Kriterium für das „Ob“, sondern für das „Wie“ der Geldbußenverhängung. Verschulden ist nicht Maßstab bei der Entschließung, sondern Frage bei der Auswahl. Für die Behauptung, im Gesetzgebungsprozess sei ein Verschuldensnachweis eingeführt worden, fehlt die Beweisführung. Die DSGVO eröffnet den Aufsichtsbehörden vielmehr die Möglichkeit, auch bei unverschuldeten Datenschutzverstößen Geldbußen zu verhängen. Denn Art. 83 DSGVO setzt – im Gegensatz zu § 10 OWiG – kein Verschulden in jedem Fall der Geldbußenverhängung voraus. § 10 OWiG steht damit in Widerspruch zu den originär europarechtlichen Vorgaben aus Art. 83 DSGVO. Auch eine verordnungskonforme Auslegung294 von § 10 OWiG liefert kein anderes Ergebnis. Denn eine hinreichende Einzelfallregelung sieht bereits Art. 83 Abs. 2 DSGVO vor, der das Verschulden als Frage des Auswahlermessens klassifiziert. § 10 OWiG bleibt damit unangewendet. Zwar mag das Ergebnis, dass Geldbußen auch ohne Verschulden verhängt werden können, aus deutscher Sicht bemerkenswert sein. Die DSGVO räumt den Datenschutzaufsichtsbehörden aber (weite) Ermessenskompetenzen ein, die auch die Geldbußenverhängung nach unverschuldeten Datenschutzverstößen umfassen. Dass also bei jedem unverschuldeten Datenschutzverstoß Geldbußen verhängt werden müssen, ist damit keinesfalls gesagt. Hierüber entscheidet aber letztlich nicht § 10 OWiG, sondern im Sinne der DSGVO die Datenschutzaufsichtsbehörde.

293

Zur Weite der Auslegung anhand von Erwägungsgründen vgl. Köngen, Die Rechtsgrundlagen des Europäischen Privatrechts, in: Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, Rn. 48 ff.; vgl. DSGVO-EG 150, Satz 2, 3. 294 Zum Begriff der verordnungskonformen Auslegung s.: Krebs / Jung, in: Jung / K rebs / Steigler (Hrsg.), Gesellschaftsrecht in Europa, § 2, Rn. 189 ff. Der Begriff der verordnungskonformen Auslegung ist unüblicher und für diesen herrscht weniger praktischer Bedarf als für sein Begriffspendant „richtlinienkonforme Auslegung“. Denn eine Verordnung wirkt im Regelfall gerade unmittelbar und bedarf keines nationalen Transformationsaktes. Gerade durch den Transformationsakt im Falle der Richtlinie kommt es häufiger zu Auslegungslücken im transformierenden, nationalen Gesetz, die durch richtlinienkonforme Auslegung „gefüllt“ können, vgl. zur richtlinienkonformen Auslegung z. B. Ruffert, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 288 AEUV, Rn. 77 ff.

D. Das Haftungsregime in der DSGVO

197

(2) Europarechtskonformität des Opportunitätsprinzips (§ 47 OWiG) An den Strukturunterschieden zwischen Strafrecht und Ordnungswidrigkeitsrecht entspringt auch die zweite Fragegestellung im Kontext des „Ob“ der Geldbußenverhängung. Bei sozialethisch schwerwiegenden strafrechtlichen Verstößen muss die deutsche Staatsanwaltschaft ermitteln (sog. Legalitätsprinzip, § 152 StPO). Die Verfolgung sozialethisch weniger schwerwiegender Ordnungswidrigkeiten ist für die Behörden nach dem sog. Opportunitätsprinzip hingegen nicht zwingend (§ 47 OWiG).295 Über den Verweis des § 41 Abs. 1 BDSG ist § 47 OWiG nach Ansicht des deutschen Gesetzgebers auch bei der Geldbußenverhängung wegen Datenschutzverstößen anwendbar. Die DSGVO enthält hingegen keine korrespondierende Norm zur Opportunität. Zur Untersuchung der Anwendung des Opportunitätsprinzips aus dem OWiG auch im Rahmen der DSGVO wird zunächst der rechtswissenschaftliche Meinungsstand nachvollzogen (a), ehe ein in Art. 83 Abs. 2 DSGVO angelegtes Regel-Ausnahmeverhältnis herausgearbeitet wird (b). (a) Der rechtswissenschaftliche Streitstand In der Literatur regt sich gegen die Zulässigkeit von Opportunitätserwägungen erheblicher Widerstand. Einige Literaturstimmen machen historisch-systematische Gründe gegen die Anwendung des Opportunitätsprinzips in der DSGVO geltend.296 Das DSGVO-Geldbußenregime zeichne sich durch die „verbindlich vorgegebene Ausgestaltung“297 aus. Im Regelfall gebe es eine Sanktionspflicht, die sich aus dem Wortlaut von Art. 83 Abs. 2 DSGVO, Erwägungsgrund 148 Satz 1 zur DSGVO und der Entstehungsgeschichte ergebe.298 Im Gegensatz zur heutigen Gesetzesfassung war während des Gesetzgebungsverfahrens lange Zeit eine kann-Formulierung vorgesehen.299 Der Gesetzgeber habe sich in der finalen Gesetzesfassung jedoch bewusst gegen die kann-Formulierung entschieden, um zu verdeutlichen, dass Geldbußen zur abschreckenden Wirkung immer zu verhängen seien. Diese Auslegung gebe zudem der gemeinsame Leitfaden des Europäischen Parlaments, des Rates und der Kommission zur Abfassung von Rechtstexten vor.300 Allein der Anwendungsbereich von Art. 83 Abs. 7 DSGVO ermögliche Abweichungen durch nationales Recht. Bei der Frage der Opportunität gehe es 295

S. zu den Prinzipien Erb, Legalität und Opportunität. So u. a. Spindler, DB 2016, 937 (947). 297 Diederich, ZD 2016, 260 (264). 298 Nemitz, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 14; in diese Richtung wohl auch Sommer / Däubler, in: Däubler / Wedde / Weichert / Sommer (Hrsg.), DSGVO / BDSG, Art.  83, Rn. 4 ff. 299 Bergt, DuD 2017, 555 (556 f.); aus dieser Perspektive auch vehement gegen das behörd­liche Entschließungsermessen: Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 15. 300 Bergt, DuD 2017, 555 (557). 296

198

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

allerdings nicht um Geldbußenverhängung gegen Behörden, sondern darum, inwieweit eine europarechtlich abschließende Regelung modifizierbar sei.301 Art. 83 DSGVO sehe die Geldbußenverhängung zwingend vor; der nationale Gesetzgeber könne folglich nicht abweichen.302 Gewicht dürfte auch der Hinweis des Schattenberichterstatters im Europäischen Parlament Jan Philipp Albrecht haben. Er hebt das System obligatorischer Sanktionen mit dem Argument hervor, dass die zwingende Sanktionierung zu einer effektiveren Durchsetzung der DSGVO führe.303 Andere Literaturstimmen machen geltend, dass Geldbußen optional verhängt werden können, nicht zwingend verhängt werden müssen.304 Denn das im OWiG angelegte Opportunitätsprinzip sei ohnehin in der DSGVO vorgesehen. Hierfür sprächen bereits Praktikabilitätserwägungen: Ein einheitlicher Vollzug durch die Aufsichtsbehörden ohne Möglichkeiten opportuner Nichtverfolgung sei unmöglich.305 Auch sei es im Sinne von Art. 70 DSGVO Aufgabe des Datenschutz­ ausschusses, vereinheitlichende Maßstäbe für die Geldbußenverhängung zu entwickeln; der europäische Gesetzgeber wolle also gar keine abschließenden Regelungen erlassen.306 Dies ergäbe sich, wie etwa Golla unter dem Subtitel „How I Learned to Stop Worrying about Fines and Love the GDPR“ feststellt, auch aus einem Umkehrschluss: Erwägungsgrund 148 Satz 2 zur DSGVO erhebe die Geldbußenverhängung zwar zum Regelfall, stelle aber zugleich klar, dass generell auch mildere Sanktionen zur Verfügung stünden.307 Die Formulierung in Erwägungsgrund 150 Satz 1 zur DSGVO könne zudem bemüht werden, um ein Regel-Ausnahme-Verhältnis zu erklären. Der Einzelfall entscheide über Verhängung oder Nichtverhängung von Geldbußen.308 Soweit eine hohe Abschreckungswirkung im Einzelfall erreicht werden solle, könne das Ermessen auf Null reduziert sein und Geldbußen müssten verhängt werden. Aus der Einzelfallkonstellation könne jedoch kein abstrakt wirkender Mechanismus abgeleitet werden.309

301

Ehmann, ZD 2017, 201. Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 30 ff., 115; BDSG, § 41, Rn. 16. 303 Albrecht, CR 2016, 88 (96). 304 Insoweit ohne Begründung Becker, in: Plath (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 2; Eckhardt / Menz, DuD 2018, 139 (143); Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, DSGVO, Art. 83, Rn. 14; Popp, in: Sydow (Hrsg.), DSGVO, Art. 83, Rn. 11; Schreibauer / Spittka, in: Wybitul (Hrsg.), DSGVO, Art. 83, Rn. 28; Martini / Wagner / Wenzel, VerwArch 2018, 163 (163 ff.). 305 Pohl, PinG 2017, 85 (89), wobei unklar bleibt, warum gerade Abweichungen bei gleichgelagerten Fällen global betrachtet praktikabel sein sollen. So liegt nahe, dass Abweichungen bei eigentlich gleich gelagerten Fällen gerade die Rechtsunsicherheit dauerhaft erhöhen. 306 Laue / Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 11, Rn. 19 f. 307 Golla, CR 2018, 353 (354 f.); später auch ders., in: Eßer / K ramer / v. Lewinksi (Hrsg.), Auernhammer DSGVO / BDSG, Art. 83, Rn. 10 ff. 308 Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 26.1. 309 Nemitz, in: Ehmann / Selmayer (Hrsg.), DSGVO, Art. 83, Rn. 14; Gola, in: ders. (Hrsg.), DSGVO, Art. 83, Rn. 30. 302

D. Das Haftungsregime in der DSGVO

199

(b) Das in Art. 83 Abs. 1 DSGVO angelegte Regel-Ausnahme-Verhältnis Die ausgetauschten Argumente berücksichtigen einen Aspekt nur unzureichend: Letztlich unterscheiden sich beide Ansichten weniger, als in der leidenschaftlichen Diskussion unterstellt. Dies folgt aus dem Zusammenspiel zwischen gesetzlicher Regelung und Erwägungsgründen. Das von Teilen der zweiten Ansicht herausgearbeitete Regel-Ausnahme-Verhältnis310 entspricht der gesetzgeberischen Vorstellung. In der Regel werden Geldbußen verhängt. Es gibt jedoch Ausnahmen von dieser Regel, die Teile der ersten Ansicht herausstellen. Art. 83 Abs. 1 Satz 1 DSGVO mutet zunächst an, als bestünde die generelle Pflicht, Geldbußen zu verhängen. Die Aufsichtsbehörden dürften bei isolierter Betonung von Abs. 1 Satz 1 keine Opportunitätserwägungen anstellen. Ausweislich Art. 83 Abs. 1 Satz 2 DSGVO sind allerdings bestimmte Kriterien für die Geldbußenverhängung leitend: Behörden hätten bei Betonung von Abs. 1 Satz 2 bei der Auslegung einen Ermessensspielraum. Die Erwägungsgründe werten ergänzend: Bei Verstößen gegen die Verordnung sollen zusätzlich zu oder an Stelle von anderen Maßnahmen Geldbußen verhängt werden.311 Das behördliche Ermessen ist intendiert, nicht hingegen gebunden. Beide vertretenen Ansichten haben somit ihre Berechtigung – und nur in Kombination sind sie zielführend. Beide Ansichten betonen (für sich fehlerhaft) nur einen Satz von Art. 83 Abs. 1 DSGVO, obwohl erst beide Sätze gemeinsam das Rechtsproblem auflösen: Satz 2 ermöglicht nämlich die Ausnahmen vom Grundsatz des Satzes 1. Diese Ausnahmemöglichkeiten führt Erwägungsgrund 148 auf und zeigt die gesetzgeberisch-systematische Kohärenz.312 Erwägungsgründe können v. a. bei der Ermittlung des Telos einer Regelung berücksichtigt werden.313 Sie sind Bestandteil der DSGVO und geben Aufschluss über deren Zielsetzung und Vorhaben.314 Sie begründen einerseits keine eigenständigen Rechte, müssen andererseits aber zur Auslegung von im Rechtsakt angelegten Rechten herangezogen werden.315 Die Erwägungsgründe konkretisieren die in Art. 83 Abs. 2 Satz 2 DSGVO vorgesehenen Ausnahmen: Von der Geldbußenverhängung kann erstens abgesehen werden, wenn der Verstoß lediglich geringfügig ist und zweitens, wenn die Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person wäre.316 310

Vgl. Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 26.1. 311 DSGVO-EG 148, Satz 1. 312 Vgl. Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 32b bezeichnet die Ansätze in Art. 83 Abs. 2 S. 2 DSGVO und DSGVO-EG 148 weiter sogar als „redaktionelle Rückstände“ der ursprünglichen Ermessensnorm und macht damit seinen Standpunkt klar, dass die Aufsichtsbehörde in keinem Fall Ermessen habe. 313 Zur Wirkung der Erwägungsgründe in der DSGVO s. bereits Kap. § 2 D. II. 1. c) aa) (2); Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 32b; Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 38 m. w. N.; Martini / Wagner / Wenzel, VerwArch 2018, 297 (309). 314 Wegener, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 19 EUV, Rn. 16. 315 Riesenhuber (Hrsg.), Hdb. Europäische Methodenlehre, § 10, Rn. 38 m. w. N. 316 DSGVO-EG 148, Satz 2.

200

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Die Erwägungsgründe formulieren die Ausnahmen abschließend. Und Art. 83 Abs. 2 Satz 2 DSGVO bestimmt diese in Verbindung mit den Erwägungsgründen. Im Regelfall sollen die Aufsichtsbehörden also Geldbußen verhängen. Soweit der Verstoß geringfügig ist oder die Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person wäre, kann an ihrer Stelle verwarnt werden.317 Hierfür spricht auch die Ergänzung, jede Aufsichtsbehörde solle befugt sein, Geldbußen zu verhängen.318 „Werden Geldbußen einer Person auferlegt“,319 so ist das Einkommensniveau des jeweiligen Mitgliedstaats und die wirtschaftliche Lage der Person zu berücksichtigen. „Werden Geldbußen […] auferlegt“, verdeutlicht die Optionalität der Geldbußenverhängung im Rahmen der Ausnahmefälle. Die Geldbußenverhängung unterliegt gerade – bis auf wenige Ausnahmefälle – nicht aufsichtsbehördlicher Opportunität. Die DSGVO normiert die Regel- und Ausnahmefälle abschließend. Für das OWiG verbleibt kein Anwendungsbereich; das ordnungswidrigkeitsrechtliche Opportunitätsprinzip kann nicht berücksichtigt werden.320 Anderes könnte sich allenfalls ergeben, wenn die DSGVO weitere mitgliedstaatliche Ausnahmen im Rahmen von Öffnungsklauseln ermöglichte. Art. 83 DSGVO enthält aber keine Öffnungsklausel für weitere Ausnahmen. Und bei Ausformung der Öffnungsklausel in Art. 83 Abs. 8 DSGVO durch § 41 Abs. 1 BDSG mit Verweis auf das OWiG muss der deutsche Gesetzgeber die Normenhierarchie berücksichtigen. § 47 OWiG ermöglicht den Behörden ein umfassenderes Entschließungsermessen als die DSGVO selbst. Der Verweis in § 41 Abs. 1 BDSG auf § 47 OWiG verstößt somit gegen die Normenhierarchie und ist damit bei europarechtskonformer Auslegung unanwendbar.321 Das Streichen von „kann“ aus dem Normwortlaut des Art. 83 Abs. 2 Satz 1 DSGVO im Gesetzgebungsverfahren zeigt entsprechend, dass der europäische Gesetzgeber bewusst keine generelle Ermessensentscheidung einführen wollte,322 sondern das Ermessen auf wenige, enumerativ aufgeführte Fälle beschränken wollte. Weiterreichende behördliche Kompetenzen sind aber auch deshalb nicht notwendig, weil Art. 83 DSGVO bereits eine weit ausdifferenzierte Regelung zur Geldbußenverhängung vorsieht. (3) Die Europarechtswidrigkeit von § 10 OWiG und § 47 OWiG Der deutsche Gesetzgeber hätte § 10 OWiG und § 47 OWiG zur Klarstellung in den Katalog der Bereichsausnahmen in § 41 Abs. 1 Satz 2 BDSG aufnehmen sollen: Die hier normierten Prinzipien sind im Datenschutzrecht unanwendbar. Alle auf­ 317

DSGVO-EG 148, Satz 2. DSGVO-EG 150, Satz 1. 319 DSGVO-EG 150, Satz 4. 320 I.Erg. auch Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, Art. 83, Rn. 13. 321 Zur Terminologie bereits Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 41, Rn. 16. 322 Bergt, DuD 2017, 555 (556 f.); Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 15. 318

D. Das Haftungsregime in der DSGVO

201

geworfenen Rechtsfragen regelt bereits die DSGVO vorrangig abschließend. Anders als im OWiG dürfen die Datenschutzaufsichtsbehörden bei Geldbußen zur Sanktionierung von Datenschutzverstößen grundsätzlich keine Verschuldens­ kriterien und Opportunitätserwägungen berücksichtigen. Die DSGVO normiert das „Ob“ der Geldbußenverhängung abschließend. bb) Das „Wie“ der Geldbußenverhängung: Regelungsstruktur und Europarechtskonformität der Verweislösung auf das Ordnungswidrigkeitsrecht Mit der Untersuchung, ob Geldbußen verhängt werden können bzw. müssen, ist noch keine Aussage darüber getroffen, wie Geldbußen im Einzelfall verhängt werden. Hierbei soll zunächst die gesetzgeberische Verweisung untersucht werden. Es geht also zunächst lediglich um die Frage, wie der Gesetzgeber die Verhängung von Geldbußen auch gegen den Betriebsrat ausgestaltet hat bzw. versucht auszugestalten. Im Einzelfall setzt die Geldbußenverhängung gegen den Betriebsrat nach dem gesetzgeberischen Verweis auf das OWiG zwei Elemente voraus: Der Tatbestand der jeweiligen OWiG-Norm, auf die Art. 83 Abs. 8 DSGVO i. V. m. § 41 Abs. 1 BDSG verweisen, muss erstens erfüllt sein und die Norm muss generell auch zur Verhängung von Geldbußen gegen den Betriebsrat geeignet sein. Zweitens muss die jeweilige Norm europarechtskonform und somit anwendbar sein. Der Betriebsrat hat eine besondere Beteiligtenstruktur. Er besteht aus Betriebsratsmitgliedern, die von Belegschaftsmitgliedern des Betriebs aus der Belegschaft des Betriebs gewählt werden. Er existiert innerhalb eines Betriebs (§ 1 Abs. 1 BetrVG). Für ihn handeln die Betriebsratsmitglieder (vgl. § 26 BetrVG), die also faktisch auch die dem Betriebsrat zurechenbaren Datenschutzverstöße verursachen. Theoretisch könnten also „Betriebsratshandlungen“ ordnungswidrigkeitsrechtlich sehr unterschiedlichen Stellen zugerechnet werden: Dem Organ, den Betriebsratsmitgliedern oder aber dem Betrieb, d. h. dem Arbeitgeber. Das OWiG rechnet hierbei Handlungen oder Merkmale zu: Bei der Geldbußenverhängung könnte entweder das Verantwortlichkeitskriterium einem (etwaig nicht verantwortlichen) Handelnden zugerechnet werden oder aber die Handlung einem (etwaig nicht handelnden) Verantwortlichen. Die Anwendbarkeit verschiedener Normen im OWiG wird zur Geldbußen-Verhängung bei Datenschutzverstößen des Betriebsrats diskutiert.323 Lösungen bieten möglicherweise § 130 OWiG (1), § 30 OWiG (2), § 14 OWiG (3) oder auch § 9 OWiG (4). Die Untersuchung all dieser Normen zeigt jedoch, dass die Verweisstruktur des deutschen Gesetzgebers insgesamt lückenhaft ist (5). 323

So für die Diskussionen exemplarisch Brams / Möhle, ZD 2018, 570 (572) und Schulz, ­ ESAR 2019, 323 (327) mit der Diskussion über eine mögliche Anwendung von §§ 9, 14 OWiG; Z Bott / Vogel, BB 2019, 2100 (2101 f.) mit einer Diskussion über die Anwendbarkeit von §§ 9, 30, 130 OWiG; Kranig / Wybitul, ZD 2019, 1, über die Anwendbarkeit von § 14 OWiG, allerdings mit der Prämisse, dass der Arbeitgeber Verantwortlicher sei; Wybitul, EFAR, online über die Anwendbarkeit von §§ 30, 9, 14 OWiG.

202

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

(1) § 130 Abs. 1 Satz 1 OWiG als normativer Anknüpfungspunkt Als ein normativer Anknüpfungspunkt zur Lösung der Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße wird § 130 Abs. 1 Satz 1 OWiG diskutiert.324 Nach § 130 Abs. 1 Satz 1 OWiG handelt der Betriebs- oder Unternehmensinhaber ordnungswidrig, wenn er vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlässt, die erforderlich wären, um Zuwiderhandlungen gegen ihn treffende und mit Geldbußen bedrohte Pflichten zu verhindern. Dies gilt gem. § 130 Abs. 1 Satz 2 OWiG immer dann, wenn die Zuwiderhandlung durch seine gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Inhaberbezogene Pflichten gem. § 130 Abs. 1 Satz 3 OWiG sind die Bestellung, sorgfältige Auswahl und Überwachung. Untersucht werden der Tatbestand (a) und die Anwendbarkeit und Anwendung von § 130 OWiG im Rahmen der DSGVO (b). Das Ergebnis wird kurz zusammengefasst (c). (a) Tatbestand des § 130 Abs. 1 Satz 1 OWiG Tatbestandlich werden die Begriffe Inhaber des Betriebes bzw. Unternehmens (aa) und die Frage diskutiert, was Aufsichtsmaßnahmen und wie umfangreich diese sind (bb). Danach wird der in § 130 OWiG geforderte doppelte Pflichtenverstoß untersucht (cc), ehe der Sonderfall-Charakter des Betriebsrats herausgearbeitet wird (dd). (aa) Betriebsrat, Betrieb und Betriebsinhaber? Betriebsinhaber ist jede natürliche Person mit unternehmerischen Pflichten.325 Zur Bestimmung der Betriebsinhaber von juristischen Personen wird im Zweifel auf die Repräsentantenzuweisung des § 9 OWiG zurückgegriffen.326 Bei weitem Verständnis des Betriebsbegriff im OWiG könnte der Betriebsrat selbst ordnungswidrigkeitsrechtlich Betrieb sein. Ist der Betriebsbegriff hingegen eng auszulegen, so kommt allein der betriebsverfassungsrechtliche Betrieb (des Arbeitgebers bzw. Unternehmers) hierfür in Frage. Der ordnungswidrigkeitsrechtliche Betrieb des Betriebsinhabers setzt sich zusammen aus organisierten Personal- und Sachmitteln, die einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordern und auf eine gewisse Dauer angelegt sind.327 Der Betriebsrat, der zuständig für die Arbeitnehmervertretung innerhalb des Betriebs ist (vgl. § 80 Abs. 1 BetrVG), 324 § 130 anwendbar, so z. B. Hohmann, in: Roßnagel (Hrsg.), Europäische DSGVO, § 3, Rn. 326; Schreibauer / Spittka, in: Wybitul (Hrsg.), DSGVO, Art. 83, Rn. 38. 325 Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 130, Rn. 25. 326 Krenberger / Krumm, OWiG, § 130, Rn. 8. 327 Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 9, Rn. 75 m. w. N.

D. Das Haftungsregime in der DSGVO

203

erfordert selbst keinen in kaufmännischer Weise eingerichteten Geschäftsbetrieb. Er wird in einem Betrieb von der Belegschaft gegründet (§ 1 Abs. 1 BetrVG). Die Personal- und Sachmittelzusammenfassung findet auf der dem Betriebsrat strukturell übergeordneten Ebene, also auf der Ebene des Betriebes (im engen Sinne) statt. Der Betriebsrat ist auch bei weiter Auslegung kein Betrieb im Sinne des OWiG. Und der Betriebsratsvorsitzende ist folglich auch nicht Betriebsinhaber des Betriebsrats, nur weil er innerhalb der Betriebsratsmitglieder leicht hervorgehobene Stellung hat (§ 26 Abs. 1 BetrVG). Allein der Inhaber des Betriebes im engen Sinne bzw. des Unternehmens ist potenziell Betriebsinhaber im Sinne des OWiG. (bb) Datenschutzverstoß und Aufsichtspflichtverstoß § 130 OWiG verlangt, dass ein Betriebsinhaber seiner Aufsichtspflicht nicht nachkommt, wenn ein anderer Verpflichtungen zuwiderhandelt. Soll nun der Betriebsinhaber des Betriebs bzw. Unternehmens bei Datenschutzverstößen des Betriebsrats adressiert werden, so müssten den Betriebsinhaber spezifische Aufsichtspflichten über datenschutzrechtlich relevante Handlungen der Betriebsratsmitglieder treffen. Und diese Aufsichtspflichten müsste er verletzt haben. § 130 OWiG verlangt insoweit zwei Pflichtverletzungen:328 Eine (datenschutzrechtliche)  Pflicht muss durch einen anderen als den Betriebsinhaber verletzt werden (Datenschutzverstoß). Und der Betriebsinhaber muss seine Aufsichtspflicht gegenüber dem Betriebsrat verletzen (Aufsichtspflicht beim Datenschutzverstoß). Innerhalb einer verantwortlichen Stelle sind Aufsichtspflichten möglicherweise über Weisungen herzuleiten (vgl. etwa Art. 29 DSGVO). Besonderheit hier ist allerdings, dass Betriebsrat und Arbeitgeber zwei unterschiedliche Verantwortliche sind (Art. 4 Nr. 7 1. Hs. DSGVO). Zunächst muss herausgestellt werden, ob die konkrete Handlung einer natürlichen Person überhaupt als „Betriebshandlung“ zurechenbar ist. Erst dann kann eine etwaige Aufsichtspflichtverletzung untersucht werden. Grundsatz des datenschutzrechtlichen Verantwortlichkeitskonzepts ist die Handlungsexklusivität der Verantwortlichen: Ein Datenschutzverstoß wird – außer im Fall der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO)  – immer einem Verantwortlichen zugerechnet.329 Wenn also bereits der Betriebsrat als Organ oder aber das Betriebsratsmitglied selbst als handelnde natürliche Person datenschutzrechtlich verantwortlich wäre, so könnte die Handlung datenschutzrechtlich nicht dem Betriebsinhaber zugerechnet werden. Denn bereits die erste der beiden notwendigen Pflichtverletzungen wäre dann nicht dem Betrieb zurechenbar, die Verletzung der zweiten (Aufsichts-)Pflicht folglich unmöglich. Zunächst muss immer untersucht werden, wem das Handeln der natürlichen Person zuzurechnen ist, wer also über die Zwecke und Mittel der Datenverarbeitung (vgl. Art. 4 Nr. 7 328

Krenberger / Krumm, OWiG, § 130, Rn. 16 ff. Jung / Hansch, ZD 2019, 143 unter Auslegung von EuGH, Urt. v. 10. 7. 2018, C-25/17, bisher nicht in Slg. veröffentlicht – Zeugen Jehovas.

329

204

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

1. Hs. DSGVO) entscheidet. Entscheidet die handelnde, natürliche Person selbst oder entscheidet der Betrieb / das Unternehmen oder der Betriebsrat, für den bzw. das die natürliche Person tätig wird, über Zwecke und Mittel der Datenverarbeitung?330 Eine Aufsichtspflichtverletzung knüpft dann etwaig erst hieran an: Ihr liegt ein Verstoß des Betriebsinhabers gegen aus Spezial-, Generalnormen oder allgemeinen Grundsätzen erwachsende Handlungspflichten zugrunde. (cc) Der Betriebsrat und der doppelte Pflichtenverstoß des § 130 OWiG Da allein der Betriebsinhaber als Adressat von § 130 OWiG in Frage kommt, ist ein doppelter Pflichtenverstoß im Sinne von § 130 OWiG also nur denkbar, wenn ein Betriebsratsmitglied Datenschutzverstöße im Aufsichtspflichtenkreis des Betriebsinhabers begeht. Den Betriebsinhaber müsste dann eine Aufsichtspflicht treffen, die zur Verhinderung von Datenschutzverstößen im Sinne von § 130 Abs. 1 Satz 1 OWiG in dem Betrieb erforderlich ist. Der Betriebsrat müsste also in dem Betrieb angesiedelt sein. Die DSGVO verschiebt die Akteurskonstellationen: Anders als noch unter dem BDSG sind Arbeitgeber und Betriebsrat zwei unterschiedliche datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO. Unter dem BDSG war der Betriebsrat noch dem datenschutzrechtlich verantwortlichen Arbeitgeber zugeordnet.331 Hier waren datenschutzrechtliche Aufsichtspflichten des Arbeitgebers auch über den Betriebsrat strukturell vorgegeben. Da unter Geltung der DSGVO aber der Betriebsrat eigenständiger Verantwortlicher ist, ist nur er selbst für die Rechtmäßigkeit „seiner“ Datenverarbeitungen verantwortlich (Art. 24 Abs. 1 Satz 1 DSGVO). Dies darf jedoch nicht darüber hinwegtäuschen, dass sowohl Betriebsrat als auch Arbeitgeber auf Handlungen von natürlichen Personen angewiesen sind, die den beiden Verantwortlichen zugerechnet werden. Ohne natürliche Personen könnten die beiden nicht handeln. Außer bei der gemeinsamen Verantwortlichkeit (Art. 26 Abs. 1 DSGVO) ist eine Handlung jedoch immer allein einem Verantwortlichen zurechenbar. Und dies gilt für Arbeitgeber und Betriebsrat gleichermaßen. Bereits mangels einheitlicher Zweckverfolgung sind Betriebsrat (Belegschaftsinteressenvertretung) und Arbeitgeber (wirtschaftlicher Fortschritt durch Beschäftigung von Arbeitnehmern) im Regelfall keine gemeinsam Verantwortlichen. Darüber hinaus nutzen beide Verantwortlichen sogar je eigene personelle und sachliche Mittel. Verarbeitet ein Betriebsratsmitglied personenbezogene Daten zu betriebsrätlichen Zwecken, so ist originär der Betriebsrat verantwortlich. Verarbeitet hingegen ein – möglicherweise auch als Betriebsratsmitglied gewählter – Arbeitnehmer Daten zu betrieblichen Zwecken, so wird seine Handlung dem originär verantwortlichen Arbeitgeber zugerechnet. Anderes gilt in beiden Fällen allenfalls im Exzess der handelnden

330 331

Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 9 f. Kap. § 2 B. und Kap. § 2 D. II. 1. c) bb) (1) (b).

D. Das Haftungsregime in der DSGVO

205

natürlichen Person.332 Allein der jeweilige Verantwortliche hat Aufsichtspflichten bei ihm zugerechneten Datenschutzverstößen. Denn die Verarbeitung fördert lediglich seine Verarbeitungszwecke. Aufsichtspflichten bei Datenverarbeitungen, die anderen Verantwortlichen zugerechnet werden, widersprächen wiederum der DSGVO-Regelungsarchitektur – ein Verantwortlicher (Arbeitgeber) hat keine Aufsichtspflichten über die Handlungen eines anderen Verantwortlichen (Betriebsrat). Dem Betriebsinhaber kann also in aller Regel keine Aufsichtspflichtverletzung bei einem datenschutzrechtlichen Verstoß eines Betriebsratsmitglieds bei Datenverarbeitungen für den Betriebsrat vorgeworfen werden. Das Datenschutzrecht läuft hier konsequent parallel zur betriebsverfassungsrechtlich garantierten Unabhängigkeit.333 Sollte der Betriebsrat dennoch als in dem Betrieb angesiedelt betrachtet werden, so stößt dieser Ansatz an eine weitere Grenze: Das Kerncharakteristikum mancher Betriebsräte ist gerade der betriebsübergreifende Bestand. Konzernbetriebsräte könnten allenfalls dem Konzern, nicht aber einem Betrieb zugerechnet werden.334 Europäische Betriebsräte bestehen sogar in grenzüberschreitend tätigen Unternehmen. Betriebsrat ist nicht gleich Betriebsrat. Und auch dies spricht für eine klare Trennlinie zwischen den Handlungen der datenschutzrechtlich Verantwortlichen Arbeitgeber und Betriebsrat. (dd) Der Betriebsrat als Sonderfall in § 130 OWiG Um § 130 OWiG dennoch bei betriebsrätlichen Datenschutzverstößen anwenden zu können, könnten allenfalls die Besonderheiten in der Beteiligtenstruktur des Betriebsrats betont werden: Die enge Verflechtung zwischen den beiden Verantwortlichen Arbeitgeber und Betriebsrat zeigt, dass der Betriebsrat ein Sonderfall innerhalb der datenschutzrechtlich Verantwortlichen ist.335 Denn normalerweise sind Verantwortliche relativ autonom von äußeren Einflüssen, wie Unternehmen als Prototyp der Verantwortlichen im Wirtschaftsverkehr zeigen. Arbeitgeber des Betriebs336 und Betriebsrat müssen hingegen – gesetzlich vorgeschrieben – vertrauensvoll zusammenarbeiten (§ 2 Abs. 1 BetrVG). Denkbar sind mittelbare betriebsverfassungsrechtliche Betriebsinhaberpflichten aufgrund des Gebots der vertrauensvollen Zusammenarbeit. Der Betriebsinhaber könnte im Einzelfall rechtlich beraten sein und deshalb im Gegensatz zum Betriebsrat ein Grundmaß 332

Vgl. dazu Article 29 Data Protection Working Party, WP 169 v. 16. 10. 2010, S. 20 f.; Kap. § 3 D. III. 3. e) ff). 333 Dazu exemplarisch Däubler, SR 2017, 85 (86 ff.) m. w. N.; s. auch Kap. § 3 C. II. 334 S. hierzu neuerlich Haußmann / Dolde, NZA 2020, 1588. 335 In diese Richtung Kap. § 2 D. II. 1. a) dd), s. auch die besondere Weisungsarchitektur Kap. § 2 D. II. 1. d) bb). 336 Der Betriebsbegriff ermöglicht den Arbeitnehmern Beteiligungsrechte an Arbeitgeberentscheidungen. Der Betrieb als Referenzpunkt repräsentiert also, auch wenn mehrere Arbeitgeber ihn als gemeinsamen Betrieb implementieren, den Arbeitgeber (vgl. Richardi / Maschmann, in: Richardi (Hrsg.), BetrVG, § 1, Rn. 8).

206

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

an datenschutzrechtlicher Expertise haben. Er könnte aufgrund des Gebots der vertrauensvollen Zusammenarbeit verpflichtet sein, den Betriebsrat nicht sehenden Auges ohne Intervention in einen Datenschutzverstoß laufen zu lassen. Denn das (betriebsverfassungsrechtliche) Gebot der vertrauensvollen Zusammenarbeit gilt fort, auch wenn Betriebsrat und Arbeitgeber (datenschutzrechtlich) zwei unterschiedliche Verantwortliche sind. Dem Betriebsinhaber wären in diesem Fall auch unterlassene Handlungen seiner Mitarbeiter bei deren Interventionsverpflichtung zurechenbar. Dies dürfte jedenfalls gelten, soweit die fraglichen Mitarbeiter vertretungsberechtigt sind. Neben dem evidenten Verstoß gegen die vertrauensvolle Zusammenarbeit sind auch Konstellationen denkbar, in denen zwar keine Hinweispflicht des Arbeitgebers besteht, weil er nicht beiläufig eine betriebsrätliche Handlung mitbekommt, die in einen Datenschutzverstoß mündet, in der er es aber möglicherweise (fahrlässig) vergisst, den Betriebsrat über technische Neuerungen im Betrieb zu informieren, die Datenschutzverstöße wahrscheinlicher werden lassen. Etwa durch fehlende Übertragung eines Compliance Managements kann der Arbeitgeber somit eine Ursache für einen Datenschutzverstoß setzen und (mittelbar) Aufsichtspflichten verletzen.337 Der Arbeitgeber könnte sich von dem Vorwurf dieser Pflichtverletzung aber entlasten, wenn er den Betriebsrat auf die Möglichkeit hinweist, einen eigenen Datenschutzbeauftragten bestellen zu dürfen.338 Hat der Arbeitgeber den Betriebsrat hierauf hingewiesen, den Hinweis dokumentiert und sich der Betriebsrat dennoch gegen die Benennung eines eigenen Datenschutzbeauftragten entschieden, so hat sich der Arbeitgeber exkulpiert. Er hat seine Aufsichtspflicht nicht verletzt. Allein wegen des Gebots der vertrauensvollen Zusammenarbeit regelt der Tatbestand des § 130 OWiG bei europarechtskonformer Auslegung nur einen kleinen Teil der denkbaren Geldbußenverhängung im Datenschutzrecht. Der Arbeitgeber kann in Ausnahmefällen bei Unterlassen also auch für betriebsrätliche Datenschutzverstöße sanktioniert werden. (b) Anwendbarkeit und Anwendung von § 130 OWiG im Datenschutzrecht? Der Anwendung von § 130 OWiG dürften in der Normenhierarchie zugleich auch keine europarechtlichen, abschließenden Regelungen entgegenstehen. Zunächst wird die Stellung von § 130 OWiG im Geldbußenregime der DSGVO untersucht (aa), ehe dieser in der Regelungsarchitektur der Öffnungsklauseln verortet wird (bb). Erst im nächsten Schritt wird untersucht, ob § 130 OWiG im Rahmen der Öffnungsklausel des Art. 84 DSGVO (cc) oder Art. 83 DSGVO (dd) erlassen werden dürfte. Der deutsche BDSG-Gesetzgeber war sich im Gesetzgebungsprozess nicht sicher, ob § 130 OWiG überhaupt im Rahmen der DSGVO angewandt werden darf (ee). Wie die angekündigte Praxis der Aufsichtsbehörden zeigt, werden

337 338

Bott / Vogel, BB 2019, 2100 (2101). Kap. § 3 C.

D. Das Haftungsregime in der DSGVO

207

wohl zumindest keine über § 130 OWiG begründeten Geldbußen erhoben werden (ff). § 130 OWiG ist ungeschriebene Bereichsausnahme in § 41 Abs. 1 BDSG (gg). (aa) § 130 OWiG im Geldbußenregime der DSGVO Das OWiG knüpft im Regelfall an (eigene) Handlungen natürlicher Personen an.339 Von diesem Grundsatz gibt es nur wenige Ausnahmefälle, z. B. die Zurechnung der Handlung einer natürlichen Person zu einer juristischen Person (§ 30 OWiG).340 § 130 OWiG ist keine klassische Ausnahme von diesem Regelfall; er erweitert über den Ordnungswidrigkeitsvorwurf aber den Kreis der Ordnungswidrigkeitsadressaten. § 130 OWiG knüpft nämlich an einen eigenen Schuldvorwurf an: Den Aufsichtspflichtverstoß. Dem Aufsichtspflichtverstoß vorgelagert ist ein Pflichtverstoß einer anderen Person, den also nicht der Aufsichtspflichtige begeht, der sanktioniert wird. § 130 OWiG sanktioniert einen eigenen Aufsichtspflichtverstoß mit Bezug zur ordnungswidrigen Handlung eines anderen. Problematisch wäre die Anwendung von § 130 OWiG, wenn europarechtliche Normen der Anknüpfung an den aufsichtspflichtigen Betriebsinhaber / Arbeitgeber entgegenstünden. Die DSGVO sanktioniert den datenschutzrechtlich Verantwort­ lichen für Datenschutzverstöße (Art. 83 Abs. 2–6 DSGVO). Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Natürliche Personen können grundsätzlich sanktioniert werden, wenn sie selbst datenschutzrechtlich verantwortlich sind. Handelt eine natürliche Person hingegen für eine und im Rahmen der Vorgaben einer übergeordnete(n) Organisationseinheit,341 so ist sie nicht verantwortlich. Denn ihre Handlung wird dieser Organisationseinheit zugerechnet (Art. 29 DSGVO). Bekannt ist dieses Prinzip vom sog. funktionalen Unternehmensbegriff.342 Während das OWiG also im Regelfall bei der Sanktionierung an natürliche Personen anknüpft, knüpft die DSGVO an Verantwortliche an, die theoretisch auch natürliche Personen sein können, die dann in der DSGVO allerdings gegenüber anderen sanktionierten Entitäten u. U. bessergestellt sind.343 § 130 OWiG knüpft 339

Rogall, in: Mitsch (Hrsg.) KK-OWiG, Einl., Rn. 19; Maschmann, NZA 2020, 1207 (1212). Rogall, in: Mitsch (Hrsg.) KK-OWiG, Einl., Rn. 19. 341 Unter (übergeordneter) Organisationseinheit (vgl. zur Terminologie Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 9) soll hier derjenige datenschutzrechtlich Verantwortliche verstanden werden, der auf ihm zurechenbare Handlungen einer natürlichen Person angewiesen ist. Übergeordnet ist die Organisationseinheit gerade, weil sie über Zwecke und Mittel der Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO entscheidet und somit selbst datenschutzrechtlich verantwortlich ist. Die theoretisch auch datenschutzrechtlich verantwortliche natürliche Person, die handelt, wird somit entlastet. 342 Vgl. z. B. Uebele, EuZW 2018, 440 zu dem Unternehmensbegriff, der aus dem Kartellrecht übertragen wurde. 343 DSGVO-EG 148, Satz 2; so auch Schulz, ZESAR 2019, 323 (327). 340

208

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

zwar auch an die natürliche Person „Betriebsinhaber“ an. Diese Anknüpfung ist aber nicht deckungsgleich mit den Ansatzpunkten der DSGVO an die GeldbußenAdressaten, wie ein Einblick in die Architektur der DSGVO-Geldbußenverhängung zeigt: Da juristische Entitäten im Gegensatz zu natürlichen Personen nicht selbst handeln können, setzen Datenschutzverstöße juristischer Entitäten Handlungen natürlicher Personen voraus, die zugerechnet werden.344 Der funktionale Unternehmensbegriff in der DSGVO345 setzt für die Sanktionierung auf Unternehmensebene lediglich die Handlung irgendeines Mitarbeiters im Unternehmen im Rahmen seiner Aufgaben voraus.346 Auch der Betriebsrat ist auf die Handlungen natürlicher Personen angewiesen, da er selbst als Entität nicht handeln kann. § 130 OWiG versucht, die Haftung des Betriebs- bzw. Unternehmensinhabers neben die europarechtliche Haftung des datenschutzrechtlich verantwortlichen Unternehmens zu stellen. Weil der Betriebsinhaber eine Aufsichtspflicht verletzt hat, kann auch er ordnungswidrigkeitsrechtlich belangt werden – datenschutzrechtlich verantwortlich ist er jedoch nicht. § 130 OWiG erweitert den Kreis sanktionierbarer Stellen um eine Zurechnungsebene: Die Handlung des Betriebsratsmitglieds wird dem Betriebsrat zugerechnet.347 Wenn der Betriebsinhaber beim betriebsrätlichen Datenschutzverstoß eine Aufsichtspflicht verletzt, könnte nun auch der Betriebsinhaber sanktioniert werden. Dies wäre Ausdruck einer doppelten Zurechnung. Die DSGVO kennt auf der Suche nach dem Verantwortlichen lediglich eine einfache Zurechnung: Die zweite Zurechnungsebene vom Betriebsrat zum Betriebsinhaber ist der DSGVO fremd. Denn zur Bestimmung der Verantwortlichkeit genügt die erste Zurechnungsebene: Die Entscheidung über Zwecke und Mittel der Datenverarbeitung. (bb) Ansichten zur Anwendbarkeit von § 130 OWiG: Die vergessenen DSGVO-Öffnungsklauseln Die Frage, ob die DSGVO die zweite Zurechnungsebene zum Betriebsinhaber bewusst ungeregelt lässt, entscheidet über die Anwendbarkeit von § 130 OWiG im europäischen Datenschutzrecht. Denn die europäische Zurechnung könnte abschließend sein. Dann verstieße § 130 OWiG gegen die Normenhierarchie und wäre unanwendbar. Ließe Art. 83 DSGVO hingegen Spielräume für weitere nationale Regelungen offen, so wäre § 130 OWiG europarechtskonforme Ausgestaltung der DSGVO. In der Literatur wird diese Frage unterschiedlich beantwortet. Einige 344

Schild, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 4, Rn. 89. S. DSGVO-EG 150, Satz 3; vgl. exemplarisch DSK, Entschließung v. 3. 4. 2019, 97, abgedruckt in: Spiecker / Betthauer (Hrsg.), Dokumentationen zum Datenschutz 75; s. auch: Frenzel, in: Paal / Pauly (Hrsg.), DSGVO, Art. 83, Rn. 20 unter Verweis auf die wirtschaftliche Einheit des Unternehmens, die diesem Begriff zugrunde liegt. 346 Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 69. 347 S. bereits Kap. § 2 D. II. 1. d) bb). 345

D. Das Haftungsregime in der DSGVO

209

Meinungen stellen hierzu knapp fest, dass nach § 41 Abs. 1 BDSG das OWiG anwendbar sei,348 soweit § 41 Abs. 1 Satz 2 BDSG Normen nicht explizit ausnehme. Wenige Literaturstimmen sprechen sich für eine unabhängige Betrachtung der Geldbußenverhängung nach DSGVO und BDSG aus. Sie akzeptieren die Erweiterung des Adressatenkreises durch das OWiG bewusst in Gänze.349 Denn in der Entscheidungskompetenz des deutschen Gesetzgebers stehe es auch, im Rahmen der DSGVO-Öffnungsklauseln Regelungen zu erweitern, soweit diese möglicherweise den Datenschutz verbesserten. In Teilen wird zwar auf einen kleinen Anwendungsbereich des § 130 OWiG verwiesen, da bereits Art. 83 DSGVO selbst weit reiche.350 § 130 OWiG ist nach diesen Auffassungen aber grundsätzlich zur Sanktionierung von Datenschutzverstößen anwendbar. Die entgegenstehende Ansicht verweist auf Unstimmigkeiten zwischen § 130 OWiG und der DSGVO.351 Viele der Ansichten untersuchen die dogmatischen Grundlagen nicht hinreichend. Die DSGVO ermöglicht es nationalen Gesetzgebern gerade, Regelungen zu treffen. Sie kanalisiert diese Möglichkeit allerdings in den Öffnungsklauseln. Die Anwendung von § 130 OWiG könnte nun von Art. 84 DSGVO352 und Art. 83 DSGVO353 als Öffnungsklausel gedeckt sein, soweit deren jeweilige Grenzen gewahrt bleiben. (cc) Art. 84 Abs. 1 Satz 1 DSGVO als Öffnungsklausel für § 130 OWiG Art. 84 DSGVO ermächtigt die Mitgliedstaaten, Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung und für alle zu deren Anwendung erforderlichen Maßnahmen zu treffen.354 Geldbußen sind eine Sonderform verwaltungsrechtlicher Sanktionen.355 Art. 84 Abs. 1 DSGVO ist jedoch insbesondere Öffnungsklausel für Verstöße, die nicht durch Geldbuße gem. Art. 83 DSGVO sanktioniert sind. Soll eine Regelung zu Geldbußen erlassen werden, so müssten auch Geldbußen in Art. 84 DSGVO normiert werden können. Da nach Art. 84 348

Gola, in: ders. (Hrsg.), DSGVO, Art. 83, Rn. 31 f. und Boehm, in: Simitis / Hornung / ­Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 59 ff. jeweils ohne Nennung der einzelnen fraglichen Normen des OWiG; ohne Begründung §§ 30, 130 OWiG für anwendbar erklärend: Schreibauer / Spittka, in: Wybitul (Hrsg.), DSGVO, Art. 83, Rn. 38. §§ 9, 30, 130 OWiG für anwendbar erklärend: Hohmann, in: Roßnagel (Hrsg.), Europäische DSGVO, § 3, Rn. 326. 349 S. insoweit Schefzig / Rothkegel / Cornelius, in: Moos / Schefzig / A rning (Hrsg.), Die neue DSGVO, Kap. 16, Rn. 120 ff. 350 Born, in: Specht / Mantz (Hrsg.), HdbEUDtDSR, § 8, Rn. 71. 351 Tendenziell Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 102; Ehmann, in: Gola / Heckmann (Hrsg.), BDSG, Rn. 21; Eckhardt  / ​ Menz, DuD 2018, 139. 352 Kap. § 3 D. III. 3. d) bb) (1) (b) (cc). 353 Kap. § 3 D. III. 3. d) bb) (1) (b) (dd). 354 Zu Art. 84 DSGVO als Öffnungsklausel im Sinne einer Anpassungsklausel vgl. Müller, Öffnungsklauseln der DSGVO, S. 177. 355 DSGVO-EGe 148, Satz 1 und 149, Satz 3, der zwischen verwaltungsrechtlichen und strafrechtlichen Sanktionen differenziert.

210

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Abs. 1 DSGVO Mitgliedstaaten andere Sanktionen normieren können, muss das Verhältnis zu Art. 83 DSGVO berücksichtigt werden. Der deutsche Gesetzgeber wollte mit dem Erlass von §§ 42, 43 BDSG bewusst Art. 84 DSGVO als Öffnungsklausel ausfüllen.356 Dass er beim Erlass von § 41 Abs. 1 BDSG hingegen ausweislich der Gesetzgebungsunterlagen an die Öffnungsklauseln in Art. 83 DSGVO dachte,357 beantwortet nicht die Frage, ob der Verweis auf das OWiG eventuell dennoch Art. 84 DSGVO unterfällt. Wenn Geldbußen auch über Art. 84 Abs. 1 Satz 1 DSGVO national ausformbar wären, dürften die OWiGRegelungen anwendbar sein, insoweit sie nicht bereits im Rahmen von Art. 83 DSGVO erlassen werden können.358 Vereinzelt wird daraus unmittelbar auf die Anwendbarkeit von § 130 OWiG geschlossen.359 Jedoch wird hierbei das Verhältnis von Art. 83 DSGVO und Art. 84 DSGVO ausgeblendet.360 Denn damit Art. 84 DSGVO passende Öffnungsklausel ist, müssten nationale Geldbußen Sanktion im Sinne des Art. 84 DSGVO sein. Auch müsste § 130 OWiG in tatbestandlicher Hinsicht Regelung zur Sanktionierung von Verstößen sein. Sanktionen nach Art. 84 Abs. 1 Satz 1 DSGVO können insbesondere vorgesehen werden für „Verstöße, die keiner Geldbuße gem. Art. 83 DSGVO unterliegen“. Die Systematik von Art. 83 DSGVO und Art. 84 DSGVO legt nahe, dass die Geldbuße als aufsichtsbehördliches Sanktionsinstrument abschließend in Art. 83 DSGVO normiert ist.361 Zwar würde der allgemeine Sanktionsbegriff so also Geldbußen umfassen. Diese wären als konkrete Sanktionsausformung jedoch abschließend spezialgesetzlich in Art. 83 DSGVO normiert. Bei Erlass des BDSG folgte insbesondere auch der deutsche Gesetzgeber diesem Verständnis, da er § 41 Abs. 1 BDSG nicht auf Art. 84 DSGVO, sondern auf Art. 83 DSGVO stützt.362 Gegen diese Auslegung spricht allerdings die Systematik: Mit Art. 83 DSGVO stünde dann die speziellere Regelung vor der allgemeineren Regelung des Art. 84 DSGVO. Ein anderes systematisches Argument spricht für ein abschließendes Spezialitätsverhältnis zwischen Art. 83 DSGVO und Art. 84 DSGVO. Art. 83 Abs. 8 DSGVO normiert die Möglichkeit, Verfahrensgarantien zu erlassen. Wenn mitgliedstaat­ liche Gesetzgeber auch nach Art. 84 DSGVO (allgemeinere) Geldbußenregelungen erlassen könnten, hätte es nahegelegen, die Verfahrensvorschriften für alle erlassenen Geldbußen einheitlich in Art. 84 DSGVO zu regeln. Art. 83 Abs. 8 DSGVO regelt, da er nach dieser Lesart gegenüber Art. 84 DSGVO spezieller ist, allein das 356 BT-Drs. 18/11325, S. 109; s. dazu auch Brodowski / Nowak, in: Wolff / Brink (Hrsg.), ­ eckOK Datenschutzrecht / BDSG, § 42, Rn. 5; Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), B DSGVO, Art. 84, Rn. 17. 357 BT-Drs. 18/11325, S. 108. 358 Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 84, Rn. 8 f. 359 Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 84, Rn. 18. 360 Zum Verhältnis als „Kaskade“ Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art.  84, Rn.  2. 361 Popp, in: Sydow (Hrsg.), DSGVO, Art. 84, Rn. 3, sehr skeptisch Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 84, Rn. 8 f. 362 Vgl. BT-Drs. 18/11325, S. 108 f.

D. Das Haftungsregime in der DSGVO

211

Verfahren für Geldbußen nach Art. 83 DSGVO. Für nach Art. 84 DSGVO ergänzte Geldbußen stellt sich dann allerdings die (systematische) Frage, welche Verfahrensregelungen hier anwendbar sein sollen. Ein Rückschluss von der spezielleren (Art. 83 Abs. 8 DSGVO) auf die allgemeinere Regelung (Art. 84 DSGVO) ist nämlich methodisch zumindest fragwürdig. Der in Art. 84 DSGVO genannte Begriff Sanktion dürfte grundsätzlich auch Geldbußen umfassen. Es spricht jedoch vieles dafür, dass allein über Art. 83 DSGVO der Kreis der Geldbußen erweitert werden kann. Im Rahmen des Art. 84 DSGVO können Mitgliedstaaten also alle sonstigen verwaltungsrechtlichen Sanktionen erlassen363 – nicht aber Geldbußen. Soll Art. 84 DSGVO dennoch als Öffnungsklausel für den Verweis auf das OWiG genutzt werden, so müsste § 130 OWiG daneben überhaupt Verstöße gegen diese Verordnung im Sinne von Art. 84 Abs. 1 Satz 1 DSGVO regeln. Es ist allerdings sehr fraglich, ob § 130 OWiG einen Verstoß gegen die Verordnung sanktioniert. Denn § 130 OWiG sanktioniert den Aufsichtspflichtigen, der den Datenschutzverstoß selbst nicht begeht. Der Verstoß gegen eine Aufsichtspflicht ist gerade kein originärer Datenschutzverstoß.364 Da sich Aufsichtspflichten also nicht aus der DSGVO selbst ergeben, ist der Vorwurf, Aufsichtspflichten verletzt zu haben, kein datenschutzrechtlicher Vorwurf. § 130 OWiG sanktioniert somit auch keinen Verstoß gegen die DSGVO gem. Art. 84 Abs. 1 Satz 1 DSGVO, der als Öffnungsklausel somit nicht zur Einbeziehung einer Geldbußenverhängung nach § 130 OWiG ermächtigt.365 (dd) Art. 83 Abs. 8 DSGVO als Öffnungsklausel für § 130 OWiG Art. 83 DSGVO und Art. 84 DSGVO bilden ein in sich kohärentes System. Wenn nicht Art. 84 DSGVO die richtige Öffnungsklausel ist, so könnte der Geldbußen abschließend regelnde Art. 83 DSGVO Öffnungsklausel für die Einbeziehung von § 130 OWiG sein. Ausweislich Art. 83 Abs. 8 DSGVO können die Mitgliedstaaten neben dem Unionsgesetzgeber Verfahrensgarantien für die Geldbußenverhängung erlassen.366 Vom – weit ausgelegten – Begriff Verfahrensgarantien müssten dann, was umstritten ist, formelle und materielle Regelungen wie § 130 OWiG umfasst sein.367 363

DSGVO-EGe 149, Satz 3 und DSGVO-EG 152. Kap. § 3 D. III. 3. d) bb) (1) (a) (bb), (cc). 365 Sogar von „Sperrwirkung“ des Art. 83 DSGVO redend Martini / Wagner / Wenzel, ­VerwArch 2018, 297 (320). 366 Zur streitigen Differenzierung zwischen obligatorischer und fakultativer Öffnungsklausel s. etwa Müller, Öffnungsklauseln der DSGVO, S. 106; Martini / Wagner / Wenzel, VerwArch 2018, 163 (177). 367 So etwa Bott / Vogel, BB 2019, 2100 (2101 f.); grundsätzlich auch Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 41, der – trotz potenzieller Europarechtswidrigkeit – in Rn. 2 ff. immerhin den allgemeinen Teil des OWiG neben den originären Verfahrensvorschriften (Rn. 14 ff.) zur Diskussion stellt; a. A. Martini / Wagner / Wenzel, VerwArch 2018, 297 (309), die allein den Erlass formeller Regelungen im Rahmen von Art. 83 Abs. 8 DSGVO zulassen wollen, was unmittelbar die Unvereinbarkeit von § 130 OWiG mit Europarecht nach sich zöge 364

212

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Nur dann könnten die Geldbußen-Vorschriften der DSGVO auch um weitere Tätertypen des OWiG ergänzt werden. Nicht mehr allein der Verantwortliche, sondern etwa auch der Betriebsinhaber könnte Geldbußen-Adressat werden. Dann dürfte Art. 83 DSGVO sanktionierbare Stellen jedoch nicht bereits abschließend normieren. Eine stark vertretene Literaturansicht macht – gegen die allgemeine Behauptung, § 130 OWiG sei anwendbar, weil § 41 Abs. 1 BDSG ihn in Bezug nehme368 – geltend, § 130 OWiG widerspreche den Vorgaben von Art. 83 DSGVO. Nach Ansicht von Golla ist § 130 OWiG deshalb europarechtlich problematisch, weil die DSGVO allein Verantwortliche, Auftragsverarbeiter oder in Ausnahmefällen Zertifizierungsstelle bzw. Überwachungsstelle haftbar mache. Sonstige Entitäten seien von einer Haftung befreit, würden aber über § 130 OWiG haftbar gemacht. Das OWiG erweitere den Haftungskreis also gerade.369 Die weitgehendste Meinung hält § 41 Abs. 1 BDSG folglich für umfassend europarechts-widrig.370 Welche Folge diese Europarechtswidrigkeit haben soll, bleibt indes unklar: Neben einer Nichtanwendung von § 41 Abs. 1 BDSG kommt auch eine europarechtskonforme Auslegung dahingehend in Frage, dass zumindest § 130 Abs. 1 OWiG unanwendbar ist. Denn die generelle Europarechtswidrigkeit von § 41 Abs. 1 BDSG hätte zur Folge, dass die Bezugnahme auf das OWiG insgesamt unterbunden wäre. Zunächst erweitere allerdings nur § 130 OWiG den von der DSGVO vorgegebenen Adressatenkreis in unzulässiger Weise. Der Verweis auf § 130 OWiG sei jedenfalls gänzlich unzulässig – und dies selbst, wenn die nach dem OWiG verhängten Geldbußen häufig gleichlaufend nach der DSGVO verhängt würden.371 Maßstab bei einem Gleichlauf von § 130 OWiG und DSGVO ist allenfalls die DSGVO selbst, es sei denn, der deutsche Gesetzgeber wollte im Rahmen des in der DSGVO nur eingeschränkt geltenden Zitationsverbot mit § 130 OWiG Normen oder Normteile zur Verdeutlichung in das deutsche Recht übernehmen.372 Doch könnte das gut gemeinte Ziel von § 130 OWiG den DSGVO-Intentionen gerade widersprechen. Durch die Verhängung von Geldbußen gegen unterschiedliche Akteure nebeneinander werden gegenläufige Interessen, Spannungen und Verwerfungen verursacht. So würde die Aufarbeitung von Datenschutzverstößen erschwert. Das primäre Ziel der DSGVO, effektive Umsetzung des Datenschutzrechts, trete hierbei in den Hintergrund.373 Der europäische Gesetzgeber adressiere bewusst die Verantwort(ebd., 311); zuletzt auch Ambrock, ZD 2020, 492 (496); Nemitz, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 11; im Hinblick auf (materielle) Verjährungsregelungen zweifelnd auch Popp, in: Sydow (Hrsg.), DSGVO, Art. 83, Rn. 26. 368 So zuletzt ohne ausgiebige Diskussion wohl Maschmann, NZA 2020, 1207 (1213); zur Diskussion insgesamt: Bott / Vogel, BB 2019, 2100 (2101 f.) m. w. N. 369 Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, § 41, Rn. 7. 370 Bergt, DuD 2017, 555 (558). 371 Ehmann, in: Gola / Heckmann (Hrsg.), BDSG, § 41, Rn. 20 f. 372 Vgl. etwa § 1 Abs. 5 BDSG und DSGVO-EG 8; zum Zitierverbot StRspr. des EuGH seit Urt. v. 10. 10. 1973, C-34/73, Slg. 1973, 981 ff., Rn. 9 ff. – Abdullahi; s. auch Schweitzer / Dederer, Staatsrecht III – Staatsrecht, Völkerrecht, Europarecht, Rn. 343a. 373 Eckhardt / Menz, DuD 2018, 139 (143).

D. Das Haftungsregime in der DSGVO

213

lichen und kenne keine spezifischen Aufsichts- oder Überwachungspflichten des Betriebsinhabers.374 In der Tat fokussiert Art. 83 DSGVO einen spezifischen Adressatenkreis: Verantwortliche und Auftragsverarbeiter (Art. 83 Abs. 2–8 DSGVO) und lediglich in Ausnahmefällen Zertifizierungsstellen (Art. 83 Abs. 4 lit. b DSGVO) und Überwachungsstellen (Art. 83 Abs. 4 lit.  c DSGVO). Alle potenziell sanktionierten Stellen entscheiden über Zwecke und Mittel der Verarbeitung, d. h. die Erhebung oder Erfassung von Daten oder die anderweitige Bereitstellung, Löschung oder Vernichtung (Art. 4 Nr. 2 DSGVO). Diese Entscheidungen treffen natürliche Personen oder eben sonstige Entitäten, für die im Regelfall natürliche Personen handeln. Die DSGVO ist grundsätzlich offen für Sanktionen gegenüber dem Betriebs- bzw. Unternehmensinhaber, solange dieser als natürliche Person über Zwecke und Mittel der Datenverarbeitung entscheidet.375 Verstöße können – je nachdem, wo entschieden wird – sogar anderen Entitäten zugerechnet werden. Die DSGVO kennt also den Adressatenkreis von § 130 OWiG. Sie kennt allerdings den konkreten Zurechnungsmechanismus von § 130 OWiG nicht. Sie selbst hätte neben verantwortlichen Organisationseinheiten – fernab der gemeinsamen Verantwortlichkeit – z. B. bereits parallel die natürliche Person als zweiten Verantwortlichen stellen können. Dies wäre gesetzgeberischer Versuch gewesen, durch mehr Verantwortlichkeit ein höheres Datenschutzniveau zu schaffen. Der DSGVO-Gesetzgeber hat sich aber für das Gegenteil entschieden: Die handelnde natürliche Person wird entlastet, soweit ihre Handlungen einer übergeordneten Entität zuzurechnen sind.376 Die DSGVO wollte also keine parallelen Verantwortlichkeiten. § 130 OWiG würde hingegen eine zweite haftende Stelle einführen: Der nicht verantwortliche Betriebsinhaber stünde neben dem Verantwortlichen und könnte ebenfalls sanktioniert werden. Unterschiedliche Anknüpfungspunkte deutscher und europäischer Sanktionsregelungen beruhen historisch auf verschiedenen Strukturen der Sanktionssysteme.377 Der europäischen Geldbußenverhängung liegt das Funktionsträgerprinzip zugrunde, das übergeordnete Organisationseinheiten als Geldbußen-Adressaten fokussiert. Das Rechtsträgerprinzip des deutschen Ordnungswidrigkeitsrechts nimmt hingegen v. a. natürliche Personen in den Blick.378 Funktions- und Rechts 374

Martini / Wagner / Wenzel, VerwArch 2018, 296 (311). Zu der Aufweichung des Verantwortlichkeitskonzepts im Datenschutzrecht wegen zunehmender Macht natürlicher Personen bei der Datenverarbeitung s. Wagner, ZD 2018, 307. 376 Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 66 ff. 377 Ehmann, in: Gola / Heckmann (Hrsg.), BDSG, § 41, Rn. 19 ff.; Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 9; Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 76; Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 20 m. w. N. 378 Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 9 ff.; Bergt bezeichnet die europarechtliche Haftungstradition als unmittelbare Verbandshaftung sui generis (Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 20). 375

214

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

trägerprinzip laufen im Einzelfall gleich – im Datenschutzrecht v. a. dann, wenn eine (handelnde) natürliche Person selbst über Zwecke und Mittel der Datenverarbeitung entscheidet. Spezifisch bei eigenständigen Entscheidungen natürlicher Personen und in Exzess-Situationen entsprechen sich nationales und europäisches Sanktionierungssystem mit der Anknüpfung an die natürliche Person.379 Allerdings sind die Regelungen in Art. 83 DSGVO wesentlich „am Verantwortlichen [und Auftragsverarbeiter] orientiert“.380 Hinter der Anknüpfung an Verantwortliche bzw. Auftragsverarbeiter steht der Ausgleichsgedanke von Kompetenz und Risiko: Weitreichende Befugnisse oder ökonomisch vergütete Risikoübernahme korrespondieren mit größeren Sanktionsrisiken. Mit Entscheidungskompetenzen des Verantwortlichen über Zwecke und Mittel der Datenverarbeitung oder finanziell vorteilhafter Risikoübernahme des Auftragsverarbeiters gehen auch Geldbußen als Risiko fehlerhafter Entscheidungen einher.381 Der Grundsatz mehr Kompetenz für mehr Risiko würde bei der Anwendung von § 130 OWiG in sein Gegenteil verkehrt: Dem erhöhten Haftungsrisiko des Betriebsinhabers stünde kein datenschutzrechtsrelevanter Kompetenzgewinn gegenüber. Die DSGVO schützt natürliche Personen vor übermäßigen Belastungen.382 Hier würde der Betriebsinhaber als natürliche Person in § 130 OWiG aber gerade parallel zum Verantwortlichen belastet. Die Anwendung von § 130 OWiG ist damit europarechtlich fragwürdig. Und auch der § 130 OWiG zugrundeliegende Gedanke entspricht keiner Verantwortlichkeitskategorie der DSGVO, kann also gleichfalls nicht aufrechterhalten werden. Der Betriebsinhaber entscheidet nicht mit insbesondere dem Aufsichtspflichtigen gemeinsam über Zwecke und Mittel der Datenverarbeitung,383 ist also nicht gemeinsam Verantwortlicher (vgl. Art. 26 DSGVO). Die Verlagerung der Haftung auf die natürliche Person Betriebsinhaber ist in der DSGVO nicht angelegt. Sie wird wegen des partiellen Schutzes natürlicher Personen vor verhängten Geldbußen sogar tendenziell vermieden. Dieses Ergebnis liegt auch systematisch nahe: Die Öffnungsklausel in Art. 83 Abs. 7 DSGVO ermächtigt mitgliedstaatliche Gesetzgeber, eigenständige, abweichende Geldbußenregelungen für Behörden und sonstige öffentliche Stellen zu treffen. Öffentliche Stellen sind der gesamte Bereich der Betätigung der öffentlichen Hand,384 d. h. Behörden, Organe der Rechtspflege und andere öffentlich-rechtliche Organisationen des Bundes, der Länder oder der Kommunen (§ 2 Abs. 1, 2 BDSG). Die Norm greift auf die Differenz der Komplementärbegriffe öffentliche Stelle 379

S. Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 69. 380 Frenzel, in: Paal / Pauly (Hrsg.), DSGVO, Art. 83, Rn. 22. 381 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 61. 382 S. nur DSGVO-EG 148, Satz 2; so auch Schulz, ZESAR 2019, 323 (327). 383 Spoerr, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 26, Rn. 14; s. auch Specht-Riemenschneider / Schneider, MMR 2019, 503 (504 f.); zum Umgang mit der gemeinsamen Verantwortlichkeit in der Praxis s. Gierschmann, ZD 2020, 69. 384 Klar / Kühling, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 2, Rn. 3.

D. Das Haftungsregime in der DSGVO

215

und nicht-öffentliche Stelle (§ 2 Abs. 1 BDSG) im Geldbußenregime zurück.385 Nicht-öffentliche Stellen sind  – unabhängig von der Rechtsform386  – natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG). Explizite Modifikationsmöglichkeiten für öffentliche Stellen in Art. 83 Abs. 7 DSGVO legen im Umkehrschluss nahe, dass mitgliedstaatliche Gesetzgeber für nicht-öffentliche Stellen grundsätzlich keine Entscheidungskompetenz über die Frage haben, ob und in welchem Umfang Geldbußen verhängt werden können. Die in Art. 83 Abs. 7 DSGVO vorgesehene Spezial­regelung spricht dafür, dass nationale Gesetzgeber bei der materiellen Verhängung von Geldbußen gegen eine nicht-öffentliche Stelle wie den Betriebsrat kein Mitspracherecht haben sollen. Wenn die Ausweitung der sanktionierbaren Entitäten und Personen das Datenschutzniveau erhöhen würde, läge sie möglicherweise im Interesse der DSGVO. Deren zentrales Ziel ist es, das Datenschutzniveau insgesamt zu erhöhen.387 Die Einbeziehung von § 130 OWiG müsste das Datenschutzniveau dann aber tatsächlich erhöhen. Und dies klingt auf den ersten Blick sogar plausibel: § 130 OWiG erhöht die Zahl potenziell haftender Stellen. Und mehr sanktionierbare Stellen könnten auch Datenschutzrecht effektuieren. Ein Mehr an Sanktionsadressaten bedeutet jedoch nicht, dass das Datenschutzniveau automatisch steigt. Denn v. a. bei der Aufklärung von Datenschutzverstößen haben mehrere, zeitgleich Sanktionierte unterschiedliche und gegenläufige Interessen.388 Die Erweiterung des potenziellen Geldbußen-Adressatenkreises birgt Konflikte und damit ein erhöhtes Maß an Unsicherheit bei der Aufklärung von Datenschutzverstößen.389 Art. 83 DSGVO regelt die datenschutzrechtlich sanktionierbaren Stellen abschließend, wobei hierunter gerade nicht der Betriebs- oder Unternehmensinhaber fällt, soweit er nicht über Zwecke und Mittel der Datenverarbeitung entscheidet. § 130 OWiG ist im Rahmen der DSGVO unanwendbar. (ee) § 130 OWiG im BDSG-Gesetzgebungsprozess Während des Gesetzgebungsprozesses hat der deutsche Gesetzgeber den Wortlaut von §§ 41, 42 BDSG in Kenntnis der problematischen Rechtslage mehrfach abgewandelt. Bereits in der BDSG-Fassung der ersten390 und zweiten391 Ressort­ abstimmung hat er durch § 42 BDSG-E1 bzw. § 39 Abs. 1 BDSG-E2 Anwendungs 385

S. zur Herleitung Kap. § 2 D. II. 1. c) bb) (1) (b) (cc); auch etwa Schild, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 2, Rn. 32 ff. 386 Klar / Kühling, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 2, Rn. 14. 387 DSGVO-EG 10, Satz 1. 388 S. ausf. Kap. § 3 D. III. 3. d) bb) (3) (b). 389 Eckhardt / Menz, DuD 2018, 139 (143). 390 BMI, DSAnpUG-EU 1. Ressortabstimmung v. 5. 8. 2016; vgl. auch Holländer, in: Wolff / ​ Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 89. 391 BMI, DSAnpUG-EU 2. Ressortabstimmung v. 11. 11. 2016.

216

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

bereichsausnahmen im OWiG ausdrücklich geregelt. Während in der finalen Fassung lediglich §§ 17, 35, 36 OWiG ausgenommen sind, nahm er in den Entwurfsfassungen ergänzend §§ 9, 30, 130 OWiG aus, was auf Zustimmung in der damaligen Diskussion traf.392 Der Gesetzentwurf zur ersten Ressortabstimmung führte sogar noch umgekehrt enumerativ die aus dem OWiG anwendbaren Normen auf (§§ 42 ff. BDSG-E1), während der Gesetzentwurf zur zweiten Ressortabstimmung eindeutig herausstellte, dass für die Anwendung von §§ 9, 30, 130 OWiG deshalb kein Raum verbleibe, weil die DSGVO Zurechnungen abschließend regele (§ 39 Abs. 1 BDSG-E2).393 Nicht dokumentiert ist, warum der Anwendungsbereich im Laufe des Gesetzgebungsprozesses auf die Bereichsausnahmen in der finalen Fassung von § 41 Abs. 1 BDSG verkürzt wurde und warum nicht weiterhin §§ 9, 30, 130 OWiG ausgenommen blieben bzw. bleiben. § 41 Abs. 1 BDSG normiert heute §§ 17, 34, 35 OWiG als Bereichsausnahmen, weil die DSGVO deren tatbestandlichen Anwendungsbereich abschließend regele. Der deutsche Gesetzgeber thematisiert jedoch nicht, ob die Geldbußen-Adressaten durch die DSGVO abschließend geregelt sind.394 Die Reintegration von §§ 9, 30, 130 OWiG begründen die Gesetzgebungsunterlagen nicht. Das Entfernen der Bereichsausnahme könnte bewusste gesetzgeberische Entscheidung oder aber gesetzgeberisches Redaktionsversehen gewesen sein.395 (ff) Die Praxis der Geldbußenverhängung auf Basis von § 130 OWiG Bisher beeinflussen v. a. die Datenschutzaufsichtsbehörden die Datenschutzrechtsauslegung.396 Ihre Ansichten sind zwar nicht rechtsverbindlich, finden aber aufgrund ihrer Expertise Gehör. Die Datenschutzaufsichtsbehörden organisieren sich übergreifend und publizieren zur Vereinheitlichung der Anwendung des Datenschutzrechts Richtlinien.397 Bei dem Zuständigkeitswechsel von Art. 29 Datenschutzgruppe zum Datenschutzausschuss mit der DSGVO398 drohte die Entstehung von Blaupausen, die jedoch gerade im Bereich der Geldbußenverhängung problematisch wäre: Zur Gewährleistung vorhersehbarer Sanktionen wird idealerweise bereits vor der Verhängung konkreter Geldbußen aufgezeigt, unter welchen Voraussetzungen und für welche Art von Verstößen in welcher Höhe sanktioniert wird. Denn hierdurch werden sanktionierte Verstöße u. U. bereits im 392

Vgl. nur Kühling / Martini et al., DSGVO und nationales Recht, 280 f., die zu der unmöglichen Verhängung von Geldbußen gegen Privatrechtssubjekte auf den abschließenden Charakter der DSGVO verweisen; Rost, RDV 2017, 13 (19). 393 BMI, DSAnpUG-EU 2. Ressortabstimmung v. 11. 11. 2016, S. 104. 394 BT-Drs. 18/11325, S. 108; s. hierzu auch Ehmann, in: Gola / Heckmann (Hrsg.), BDSG, § 41, Rn. 12. 395 So etwa Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 102. 396 Petri, ZD 2020, 81; Brink, ZD 2020, 59. 397 Kap. § 2 C. III. 398 Kap. § 2 C. III.

D. Das Haftungsregime in der DSGVO

217

Voraus vermeidbar.399 Zur Minimierung von Übergangsrisiken und zum Aufzeigen der Beständigkeit des Datenschutzrechts400 hat der Datenschutzausschuss bei Implementierung der DSGVO einige Dokumente unmittelbar auch für die DSGVO anerkannt. V.a. zwei Leitlinien spielen bzw. spielten bei der Geldbußenverhängung eine herausragende Rolle: Dies ist einerseits die Leitlinie für die „Anwendung und Festsetzung von Geldbußen im Sinne der DSGVO“ (WP 253), die der Datenschutzausschuss als anwendbar anerkannte.401 Im WP 253 sind lediglich DSGVOGrundlagen konturiert: An Stelle der Verhängung von Geldbußen gegen natürliche Personen bei voraussichtlich unverhältnismäßigen Belastungen könne z. B. auch verwarnt werden.402 Bedeutsam, wenn auch novelliert durch die Guideline des Datenschutzausschusses,403 ist hingegen die „Stellungnahme zu den Begriffen Verantwortlicher und Auftragsverarbeiter“ (WP 169).404 Das WP 169 kann also fortan allenfalls als Auslegungshilfe herangezogen werden. Hiernach sei zuallererst die übergeordnete Organisationseinheit (z. B. das Unternehmen) selbst Sanktionsadressat und nicht eine natürliche Person innerhalb der Organisationseinheit. Solange die Verarbeitung also für eine übergeordnete Stelle erfolge, hafte diese in der Regel. Anderes gelte allenfalls, wenn klare Anzeichen für die eigenständige Verantwortung der natürlichen Person bestünden.405 Solche Anzeichen seien z. B. Datenverarbeitungen der natürlichen Person für eigene Zwecke außerhalb des Tätigkeitsfelds und somit außer Kontrolle der übergeordneten Organisationseinheit. Wenn also entweder bereits von Vornherein die Datenverarbeitung aus privaten Zwecke erfolge oder aber nicht mehr die übergeordnete Stelle über Zwecke und Mittel der Datenverarbeitung entscheide, weil sich die natürliche Person über deren Entscheidung hinwegsetze, so sei nicht die Stelle, sondern die natürliche Person verantwortlich.406 Das Unterlassen der Implementierung von Sicherheitsmaßnahmen kann hierneben dennoch weiterhin die Verantwortung der übergeordneten Stelle begründen.407 Gerichtliche und rechtswissenschaftliche Praxis könnte dazu neigen, wegen der Anknüpfung der Novelle408 an WP 169, dieses weiterhin bei der Auslegung zu berücksichtigen: Andere Ansatzpunkte in Rechtsprechung oder Literatur fehlen nämlich bisher. In der sog. Datenschutzkonferenz vereinheitlichen auch Bund und Länder in Deutschland beim Thema Datenschutz ihre Vorgehensweise.409 Die DSK hat ein 399

Petri, ZD 2020, 81. European Data Protection Board, Endorsement v. 25. 5. 2018. 401 Artikel 29 Datenschutzgruppe: WP 253 v. 3. 10. 2017; zur Anwendbarkeit s. European Data Protection Board, Endorsement v. 25. 5. 2018. 402 Artikel 29 Datenschutzgruppe, WP 253 v. 3. 10. 2017, S. 9. 403 EDPB, Guideline 07/2020. 404 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010. 405 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 19. 406 S. zur Anwendung dieses Exzess-Gedankens Kap. § 3 D. III. 3. e) ff). 407 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 20 f. 408 EDPB, Guideline 07/2020, Rn. 6. 409 Zur Stellung der DSK bereits Kap. § 2 C. III.; Lepper, DuD 2013, 74; s. zur Geschichte, zu Aufgaben und Schwerpunkten der Arbeit der DSK auch Thiel, ZD 2020, 93. 400

218

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

gestaffeltes Bemessungsverfahren für Geldbußen gegen Unternehmen, nicht aber gegen konzeptuell bewusst ausgenommene natürliche Personen veröffentlicht.410 Selbst die Geldbußen für Kleinstunternehmen sind nach Ansicht der Aufsichtsbehörden für natürliche Personen wohl zu hoch angesetzt. Die Unternehmenshaftung scheint in der Praxis gegenüber der Haftung natürlicher Personen vorrangig, wie auch der funktionale Unternehmensbegriff zeigt.411 Die DSK weist bereits seit dem Gesetzgebungsprozess ausdrücklich darauf hin, dass der Verweis in § 41 Abs. 1 BDSG auf die – die DSGVO beschränkenden OWiG-Regelungen – europarechtswidrig sei. Sie hat sogar den Bundesgesetzgeber aufgefordert, u. a. den Verweis auf § 130 OWiG durch Erweiterung der vorhandenen Anwendungsbereichsausnahme aufzuheben. Die deutschen Datenschutzaufsichtsbehörden gehen also davon aus, dass § 130 OWiG unanwendbar ist. Wenn auch die Publikationen von Datenschutzausschuss und DSK nicht rechtsverbindlich sind, werden wohl in der (deutschen) Praxis keine Geldbußen auf Basis von § 130 OWiG verhängt werden.412 (gg) § 130 OWiG als ungeschriebene Bereichsausnahme in § 41 Abs. 1 BDSG (europarechtskonforme Auslegung) Die Normenhierarchie steht der Anwendung von § 130 OWiG entgegen, selbst wenn der deutsche Gesetzgeber sich bewusst entschieden hätte, § 130 OWiG über § 41 Abs. 1 BDSG in Bezug zu nehmen, die Inbezugnahme also kein Redaktionsversehen wäre. Europäische Vorschriften sind autonom auszulegen.413 Mit Art. 83 Abs. 7, 8 DSGVO sieht der europäische Gesetzgeber Öffnungsklauseln vor, die den mitgliedstaatlichen Gesetzgebern spezifische Regelungsbereiche bei Haftungsfragen überlassen. Der europäische Gesetzgeber ermöglicht den Mitgliedstaaten so u. a. Behörden von der Sanktion nach Datenschutzverstößen auszunehmen. Er zeigt damit, dass er mitgliedstaatliche Ausnahmegestaltungen im Bereich der Geldbußen grundsätzlich akzeptiert. Dies gilt zuvorderst für den Bereich öffentlicher Stellen (Abs. 7). Er implementiert aber bewusst keine weitgehendere Öffnungsklausel für das Geldbußenregime nicht-öffentlicher Stellen. Regelungen zu Verantwortlichen, die nicht Behörde oder öffentliche Stellen sind, trifft die DSGVO selbst abschließend. Ergänzende Regelungen sind allenfalls im Rahmen von Art. 83 Abs. 8 DSGVO zulässig, der aber nur die Regelung formeller und – umstritten – materieller Verfahrensvorschriften ermöglicht. Art. 83 Abs. 8 DSGVO ermöglicht jedoch gerade keine Modifikation des Kreises der für Geld­bußen ausgleichspflichtigen

410

DSK, Konzept v. 14. 10. 2019. DSK, Entschließung der 97. Konferenz, in: Spiecker / Bretthauer (Hrsg.), Dokumentationen zum Datenschutz 75 mit Ausnahme des sog. Handlungsexzesses. 412 DSK, Entschließung der 97. Konferenz, in: Spiecker / Bretthauer (Hrsg.), Dokumentationen zum Datenschutz 75 mit Ausnahme des sog. Handlungsexzesses. 413 EuGH, C-69/79, Slg. 1980, 75, Rn. 6  – Jordens-Vosters; EuGH, C-296/95, Slg. 1998, I-1605, Rn. 30 – EMU Tabac; EuGH, C-426/05, Slg. 2008, I-685, Rn. 26 – Tele 2 m. w. N. 411

D. Das Haftungsregime in der DSGVO

219

Verantwortlichen über Behörden bzw. öffent­liche Stellen hinaus und gerade im nicht-öffentlichen Bereich (§ 2 BDSG).414 Die Literatur hebt insoweit ergänzend die von der DSGVO vorgesehene vorrangige Sanktionierung juristischer Personen vor natürlichen Personen hervor.415 Auch der deutsche Gesetzgeber selbst hat lange Zeit an der Inbezugnahme auf § 130 OWiG gezweifelt, weil die ordnungswidrigkeitsrechtliche Haftung nach § 130 OWiG mit dem Funktionsträgerprinzip dem europäischen vorrangigen Rechtsträgerprinzip gegenübersteht. Da der Verweis in § 41 Abs. 1 BDSG die Kompetenzen überschreitet, die Art. 83 Abs. 7, 8 DSGVO den Mitgliedstaaten überlässt, muss er europarechtskonform ausgelegt werden. § 130 OWiG muss als Bereichsausnahme in § 41 Abs. 1 BDSG hineingelesen werden. (c) § 130 OWiG als Lösung der Geldbußenverhängung? § 130 OWiG soll nach Auffassung des deutschen Gesetzgebers in der Verweiskette „Art. 83 Abs. 8 DSGVO über § 41 Abs. 1 BDSG in das OWiG“ die Geldbußenverhängung mit regeln. § 130 OWiG müsste allerdings im Rahmen dieser Verweiskette rechtmäßig in Bezug genommen worden sein. Art. 84 Abs. 1 Satz 1 DSGVO wird von der spezielleren Öffnungsklausel in Art. 83 Abs. 8 DSGVO verdrängt. Umstritten ist darüber hinaus bereits, ob eine materielle Regelung wie § 130 OWiG überhaupt auf Basis von Art. 83 Abs. 8 DSGVO erlassen werden darf.416 Wird dies angenommen, so widerspricht die Zurechnung von Sanktionsrisiken zu einer natürlichen Person wie dem Betriebsinhaber aber gerade der enumerativen Verankerung von datenschutzrechtlich Verantwortlichen in der DSGVO. Durch die Anwendung von § 130 OWiG wird der in der DSGVO angelegte Kompetenz-Risiko-Zusammenhang durchbrochen. Der Erlass von § 130 OWiG wahrt nicht die europarechtlichen Vorgaben der Öffnungsklausel in Art. 83 Abs. 8 DSGVO. § 130 OWiG ist damit unanwendbar und im Wege europarechtskonformer Auslegung als ungeschriebene Bereichsausnahme zu den in § 41 Abs. 1 BDSG aufgezählten Bereichsausnahmen hinzu zu lesen. Der deutsche Gesetzgeber hat bereits bei Novellierung des BDSG erkannt, dass die Anwendung von § 130 OWiG im Datenschutzrecht problematisch sein könnte. Aus heutiger Sicht beruhigt, dass die für die Geldbußenverhängung zuständigen Datenschutzaufsichtsbehörden bereits im Gesetzgebungsprozess angekündigt haben, § 130 OWiG nicht anzuwenden. Wenn auch der deutsche Gesetzgeber (fehlerhaft) von einer Anwendbarkeit ausgeht, so werden

414

Da dies ein neuer Bußgeldtatbestand ist, wird damit die mitgliedstaatliche Kompetenz überschritten, vgl. Schwartmann / Jacquemain, in: Schwartmann / Jaspers / Thüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 47. 415 Zu den Ansätzen s. DSGVO-EG 148, Satz 2; s. auch nur Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 66 ff.; Bergt, DuD 2018, 555 (560 f.); Schulz, ZESAR 2019, 323 (327); Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 4 Nr. 7, Rn. 9; Rauschauer, in: Sydow (Hrsg.), DSGVO, Art. 4, Rn. 129. 416 Vgl. nur Nemitz, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 11.

220

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

zumindest faktisch keine (rechtswidrigen) Geldbußen auf Basis von § 130 OWiG verhängt werden. (2) § 30 OWiG als normativer Anknüpfungspunkt Auch § 30 OWiG wird als Ansatzpunkt für die Geldbußenbegleichung nach betriebsrätlichen Datenschutzverstößen diskutiert.417 § 30 OWiG wird tatbestandlich untersucht (a) und dessen Anwendbarkeit wird beleuchtet (b). Die Ergebnisse wer­ den kurz zusammengefasst (c). (a) Der Tatbestand von § 30 OWiG Nach § 30 OWiG haftet eine juristische Person bzw. Personenvereinigung für Pflichtverletzungen (Straftaten oder Ordnungswidrigkeiten) von natürlichen Personen, die in einem Organ- bzw. Vertretungsverhältnis zum genannten Personenverbund stehen. Wenn der Betriebsrat bereits nicht Akteur im Sinne der Nummern 1 bis 5 wäre, käme es auf die Organstellung des Betriebsratsmitglieds gar nicht mehr an. Die Organstellung der Betriebsratsmitglieder wird also immer erst nachgelagert untersucht. Zunächst wird thematisiert, ob der Betriebsrat vertretungsberechtigtes Organ ist (aa), ehe die Eigenschaft als nicht rechtsfähiger Verein (bb), als rechtsfähige Personengesellschaft (cc), das Unternehmen als rechtsfähige Personen­gesellschaft (dd) und der Betriebsrat im Rahmen von § 30 Abs. 1 Nr. 4 und 5 OWiG diskutiert werden (ee). Das Ergebnis wird kurz zusammengefasst (ff). (aa) Der Betriebsrat als vertretungsberechtigtes Organ (§ 30 Abs. 1 Nr. 1 OWiG)? § 30 Abs. 1 Nr. 1 OWiG knüpft an vertretungsberechtigte Organe juristischer Personen oder Mitglieder solcher Organe an. Juristische Person ist jeder Personenverbund mit Rechtsfähigkeit,418 Personenverband oder jede Körperschaft mit (umfassenden) durch Gesetz zugewiesenen Rechten und Pflichten. Der einfache Gesetzgeber setzt zur Bestimmung juristischer Personen die Vollrechtsfähigkeit als Personenzusammenschluss voraus.419 Unterschiedliche Gesetze weisen auch dem Betriebsrat bestimmte Rechte und Pflichten zu, z. B. das BetrVG oder die DSGVO.420 Er ist mit bestimmten Rechten und Pflichten also (datenschutzrecht 417

So z. B. Bott / Vogel, BB 2019, 2100 (2101 f.) und Wybitul, EFAR, online. Zur Rechtsfähigkeit bereits Kap. § 2 D. II. 1. b) aa) (3) (d) und später Kap. § 3 D. III. 3. e) bb). 419 Vgl. Remmert, in: Maunz / Dürig, GG, Art. 19 Abs. 3, Rn. 37 f.; Ellenbeck, Grundrechtsfähigkeit des Betriebsrats; zur Relativität des Begriffs s. Fabricius, Relativität der Rechts­ fähigkeit; zur zivilrechtlichen Begriffsbildung im Gesellschaftsrecht vgl. etwa Saenger, Gesellschaftsrecht, § 2, Rn. 15 f. 420 Zur Rechtsfähigkeit bereits Kap. § 2 D. II. 1. b) aa) (3) (d) und später Kap. § 3 D. III. 3. e) bb). 418

D. Das Haftungsregime in der DSGVO

221

lich) teilrechtsfähig421 und nicht voll rechtsfähig. Damit ist er keine juristische Person. Dass die Teilrechtsfähigkeit nicht zur Klassifizierung als juristische Person genügt, zeigt z. B. auch die teilrechtsfähige und (teil-)vermögensfähige Offene Handelsgesellschaft (§§ 105 ff. HGB), die jedoch nach ganz herrschender Ansicht keine juristische Person ist.422 Die OHG unterfällt unstreitig nicht Nr. 1.423 Der Betriebsrat ist keine juristische Person (§ 30 Abs. 1 Nr. 1 OWiG) und damit nicht normrelevanter Akteur.424 Der Arbeitgeber kann zwar als juristische Person organisiert und damit normrelevanter Akteur sein. Dann müsste aber zugleich das handelnde Betriebsratsmitglied bzw. das Organ Betriebsrat für den Arbeitgeber vertretungsberechtigt sein. Vertretungsberechtigt sind Geschäftsführer (§§ 35, 6 GmbHG), Vorstände (§ 78 AktG) bzw. Gesellschafter (§ 25 HGB). Der Betriebsrat vertritt allerdings Arbeitnehmerinteressen im Betrieb und nicht den Betrieb selbst. Er handelt lediglich intern und hat keine originäre externe Vertretungsbefugnis für den Betrieb bzw. das Unternehmen. Der Betriebsrat und auch die Betriebsratsmitglieder, die allenfalls im Interesse des Betriebsrats, nicht jedoch im Arbeitgeberinteresse handeln, sind keine vertretungsberechtigten Organe für das Unternehmen. Auch das Unternehmen ist keine haftende juristische Person für betriebsrätliche Datenschutzverstöße gem. § 30 Abs. 1 Nr. 1 OWiG. § 30 Abs. 1 Nr. 1 OWiG kommt als Ansatzpunkt insgesamt nicht in Frage. (bb) Der Betriebsrat als nicht-rechtsfähiger Verein (§ 30 Abs. 1 Nr. 2 OWiG)? § 30 Abs. 1 Nr. 2 OWiG knüpft an Handlungen von Vorständen nicht-rechts­ fähiger Vereine an. Da die ansonsten in § 30 Abs. 1 OWiG aufgeführten Fälle die Rechtsfähigkeit der Akteure voraussetzen, ist § 30 Abs. 1 Nr. 2 OWiG Ausnahmefall.425 Nicht-rechtsfähige Vereine sind auf Dauer bestehende Personenverbindungen zur Verfolgung eines gemeinsamen Zwecks mit wechselnden Mitgliedern, einer Satzung und einem Gesamtnamen, die allerdings nicht durch Eintragung im Handelsregister oder Verleihung rechtsfähig werden (§ 54 BGB).426 Zwar deutet bereits die Auslegung des Begriffs nicht-rechtsfähiger Verein im Sinne von § 54 Satz 1 BGB an, dass der Betriebsrat, weil er teilrechtsfähig ist, nicht nicht-rechts 421

Kap. § 2 D. II. 1. b) aa) (3) (d) und später Kap. § 3 D. III. 3. e) bb). Vgl. nur Schmidt, in: ders. (Hrsg.), MüKo HGB, § 124, Rn. 1; Klimke, in: Häublein / ​ Hoffmann-Theinert (Hrsg.), BeckOK HGB, § 124, Rn. 2; Hillmann, in: Ebenroth / Boujong / ​ Joost / Strohn (Hrsg.), HGB, § 124, Rn. 1; Steitz, in: Henssler / Strohn (Hrsg.), HGB, § 124, Rn. 2; Boesche, in: Oetker (Hrsg.), HGB, § 124, Rn. 1 f.; Roth, in: Baumbach / Hopt et al., HGB, § 124, Rn. 1. 423 Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 30, Rn. 62 ff. 424 So i.Erg. auch Bott / Vogel, BB 2019, 2100 (2101). 425 Bott / Vogel, BB 2019, 2100 (2101). 426 Schöpflin, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 54, Rn. 4; ders., Der nichtrechtsfähige Verein; auch: Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 30, Rn. 38. 422

222

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

fähig ist und damit auch kein nicht-rechtsfähiger Verein sein kann.427 Das Merkmal nicht-rechtsfähiger Verein umfasst aus arbeitsrechtlicher Perspektive aber u. a. Gewerkschaften. Es liegt also nahe, tatbestandlich über die Einordnung des Betriebsrats als nicht-rechtsfähiger Verein nachzudenken. Der nicht-rechtsfähige Verein ist körperschaftlich auf Basis einer Satzung verfasst.428 Der Betriebsrat organisiert sich durch Geschäftsordnung (§ 36 BetrVG), in der die Bestimmungen über Ordnung und Ablauf der Betriebsratssitzungen, Ladung, Form und Frist sowie Mitteilungen zur Tagesordnung zusammengefasst sind.429 Wenn die Geschäftsordnung Satzung wäre, hätte der Betriebsrat möglicherweise körperschaftliche Struktur. Die Organisation verschiedener privatrechtlicher und öffentlich-rechtlicher Akteure auf Basis von Geschäftsordnungen beantwortet nicht die Frage, ob Geschäftsordnungen Satzungen sind.430 Ausweislich einer BVerfG-Entscheidung ist die Geschäftsordnung des Bundestages autonome Satzung: Ihre Bestimmungen bänden nur Bundestagsmitglieder und die Regelungen würden grundsätzlich lediglich für die Dauer einer Wahlperiode gelten, bei gleichzeitiger Übernahmemöglichkeit durch den nächsten Bundestag.431 Im Grundsatz gilt dies auch für die Geschäftsordnung des Betriebsrats, wobei die Diskontinuität umstritten ist.432 Die Geschäftsordnung des Betriebsrats ähnelt also einer Satzung. Ein nicht rechtsfähiger Verein tritt allerdings auch unter einheitlichem Vereinsnamen auf (vgl. § 54 Satz 1 BGB).433 Der Betriebsrat hat über den Begriff Betriebsrat hinaus keinen eigenen Vereinsnamen. § 30 Abs. 1 Nr. 2 OWiG ist kein tauglicher Anknüpfungspunkt.

427 Über die Begründung, dass der Betriebsrat auch keine Außenrechtsfähigkeit hat i.Erg. auch Bott / Vogel, BB 2019, 2100 (2101); s. aber zur BGH-Entscheidung, die die Teilrechtsfähigkeit des nicht rechtsfähigen Vereins begründet oben in Kap. § 2 D. II. 1. b) aa) (3) (a). 428 Schöpflin, Der nichtrechtsfähige Verein, S. 217 ff. 429 Edenfeld, Betriebsverfassungsrecht, Rn. 138. 430 S. exemplarisch nur die Geschäftsordnungen von Bundestag (Art. 40 Abs. 1 Satz 2 GG) und Bundesrat (Art. 52 Abs. 3 S. 2 GG) oder die Geschäftsordnung der Hauptversammlung einer AG (§ 129 Abs. 1 Satz 1 AktG). 431 BVerfG 1, 144, Rn. 21 (Geschäftsordnungsautonomie); s. hierzu kritisch insbesondere auch Morlok, in: Dreier (Hrsg.), GG, Art. 40, Rn. 18, der die Geschäftsordnung als eigenen Regelungstypus ansieht und auch die sonstigen vertretenen Ansichten gut wiedergibt; für die gleichrangige Einordnung mit einfachen Gesetzen: Schliesky, in: von Mangoldt / K lein / Starck et al. (Hrsg.), GG, Art. 40, Rn. 22. 432 Für eine automatische Fortgeltung z. B. Wedde, in: Däubler / K lebe / ders. (Hrsg.), BetrVG, § 36, Rn. 12 m. w. N.; Koch, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 36, Rn. 1; a. A. z. B. Thüsing, in: Richardi (Hrsg.), BetrVG, § 36, Rn. 15 m. w. N. 433 Schöpflin, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 54 BGB, Rn. 4.

D. Das Haftungsregime in der DSGVO

223

(cc) Der Betriebsrat als rechtsfähige Personengesellschaft (§ 30 Abs. 1 Nr. 3 OWiG)? § 30 Abs. 1 Nr. 3 OWiG knüpft an eine rechtsfähige Personengesellschaft an, wenn zumindest ein vertretungsberechtigter Gesellschafter eine Ordnungs­ widrigkeit begeht. Rechtsfähigkeit ist die Fähigkeit, Rechte zu erwerben und Verbindlichkeiten einzugehen (§ 14 Abs. 2 BGB). Personengesellschaft ist bereits begrifflich eine Form der Gesellschaft, also gesellschaftsrechtlicher Begriff.434 Personengesellschaften unterscheiden sich gemeinhin von Körperschaften.435 Die Breite der Gesellschaftsformen führt allerdings dazu, dass verschiedene Gesellschaftsdefinitionen diskutiert werden. Nach einer begrifflich engen Ansicht436 sind Gesellschaften privatrechtliche Personenvereinigungen, die auf Basis eines kooperativen Vertragsverhältnisses einen bestimmten Zweck verfolgen.437 Gesellschaftsgründung setzt hiernach einen Vertrag voraus. Eine begrifflich weitere Ansicht betrachtet Gesellschaften als privatrechtliche Vereinigung von Personen, die zur Erreichung eines bestimmten Zwecks durch Rechtsgeschäft begründet werden.438 Konsequenz der Unterscheidung ist: Die engere Ansicht knüpft an den Begriff der Personengesellschaft an, die weitere ergänzt Personengesellschaften um Körperschaften und sonstige korporative Zusammenschlüsse, z. B. eingetragene Vereine (e. V.).439 Die Überlegung, ob e. V. und Betriebsrat vergleichbar sind, hilft nicht weiter, weil der e. V. Körperschaft und damit keine Personengesellschaft gem. § 30 Abs. 1 Nr. 3 OWiG ist. Personengesellschaften sind – wie alle anderen Gesellschaftsformen – Zusammenschlüsse natürlicher Personen zur gemeinsamen Zweckverfolgung. Sie sind von ihren Gesellschaftern abhängig, genauer von der Individualität der sie begründenden Personen.440 Diese Abhängigkeit begründet auch der jeder Personengesellschaft zugrunde liegende Gesellschaftsvertrag.441 Spezialformen der Personengesellschaft sind die Offene Handelsgesellschaft (§§ 105 ff. HGB, OHG) und die Kommanditgesellschaft (§§ 161 ff. HGB, KG), die beide einen spezifischen Zweck verfolgen: Den Betrieb eines Handelsgewerbes (vgl. § 105 Abs. 1 1. Hs. HGB). Ein Handelsgewerbe ist jede selbstständige, planmäßige und auf eine gewisse Dauer angelegte, nach außen gerichtete und nicht freiberufliche Tätigkeit mit 434

Krenberger / Krumm, OWiG, § 130, Rn. 14. Vgl. Schmidt, Gesellschaftsrecht, S. 47. 436 Zur Terminologie vgl. Schäfer, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 7, vor § 705, Rn. 2. 437 So etwa Schmidt, Gesellschaftsrecht, S. 3; Schäfer, Gesellschaftsrecht, § 2, Rn. 1; Bitter  / ​ Heim, Gesellschaftsrecht, § 1, Rn. 1; Koch, Gesellschaftsrecht, § 1, Rn. 3 ff.; Kindl, Gesellschaftsrecht, § 1, Rn. 1 ff. 438 Vgl. etwa Saenger, Gesellschaftsrecht, § 1, Rn. 2; zu der Unterscheidung zwischen engem und weitem Begriff auch Schmidt, Gesellschaftsrecht, S. 45; Schäfer, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 7, vor § 705, Rn. 1 ff. 439 Schäfer, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 7, vor § 705, Rn. 1. 440 Schmidt, Gesellschaftsrecht, S. 46. 441 Vgl. etwa § 108 HGB, §§ 163 ff. HGB usf. 435

224

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Gewinnerzielungsabsicht.442 Der Betriebsrat verfolgt zwar auch (gesetzlich vorgegebene) Zwecke, nämlich die Interessenvertretung der Belegschaft. Dieser Zweck ist aber weder selbstständige Tätigkeit mit Gewinnerzielungsabsicht. Noch ist die Interessenvertretung zwangsläufig nach außen gerichtet. Der Betriebsrat ist eindeutig weder OHG noch KG. Die Gesellschaft bürgerlichen Rechts (GbR) als Grundtypus der Personengesellschaften entsteht jedoch aufgrund einer gegenseitigen Verpflichtung der Gesellschafter durch Gesellschaftsvertrag, die Erreichung eines bestimmten gemeinsamen Zwecks, in der durch Vertrag bestimmten Weise zu fördern, insbesondere vereinbarte Beiträge zu leisten (§ 705 BGB). Der Zweck der GbR ist also weiter als der engere Zweck Handelsgeschäftsbetrieb. Mit einer GbR können sehr heterogene Zwecke verfolgt werden. Grundsätzlich wäre so auch das Ziel Belegschaftsinteressenvertretung geeigneter GbR-Zweck. Erstens zahlen die Betriebsratsmitglieder allerdings keine Beiträge zur Zweckverfolgung. Der Arbeitgeber trägt die erforderlichen Kosten der Betriebsratsarbeit (§ 40 BetrVG) und Beitragserhebungen in Umlageform sind sogar verboten (§ 41 BetrVG). Und zweitens gründet sich der Betriebsrat nicht durch einen Gesellschaftsvertrag. Er kann bereits aus einem Betriebsratsmitglied bestehen (§ 9 BetrVG), das allein keinen Vertrag schließen kann: Dem allgemeinen Vertragsrecht entsprechend443 besteht ein Gesellschaftsvertrag aus zumindest zwei übereinstimmenden und mit Bezug zueinander abgegebenen Willenserklärungen, die auf die Herbeiführung der gewollten Gesellschaftsgründung gerichtet sind.444 Die Betriebsratswahl bei Betrieben mit mindestens fünf ständigen wahlberechtigten Arbeitnehmern (§ 1 Abs. 1 Satz 1 BetrVG) ersetzt den Gesellschaftsvertrag nicht. Zwar sind mindestens fünf Betriebsmitglieder beteiligt und das Gremium Betriebsrat geht aus der Belegschaft hervor. Auch ist die Stimmabgabe der Belegschaftsmitglieder als Wahlentscheidung Willensentäußerung, die das starke Stimmgewicht der gewählten Person herbeiführen will. Willenselement der Stimmabgabe könnte darüber hinaus sogar eine generelle Wahlaffirmation durch die reine Wahlteilnahme sein. Vieles spricht dafür, dass die Stimmabgabe bei einer Wahl Willenserklärung ist.445 Da alle Arbeitnehmer in der gesamten Belegschaft ihre Stimme abgeben, setzt sich die Wahlentscheidung aus mehreren Willenserklärungen zusammen. Alle sind auf die Begründung des Betriebsrats gerichtet, wenn sie auch im Einzelfall unterschiedliche konkrete Wahlentscheidungen enthalten. Die Betriebsratswahl hat also Vertragselemente.446 442

BGH, Urt. v. 10. 6. 1974 – Az. VII ZR 44/73 = BGHZ 63, 32, S. 6. Schöne, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 705, Rn. 42 ff. 444 So etwa Schöne, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 705, Rn. 19. 445 Vgl. zu den Überlegungen auch Romero, Alternative Arbeitnehmervertretungen, S. 135 ff., die zwischen öffentlicher und geheimer Wahl differenziert. Betrachtet man bereits die Wahlteilnahme selbst als (affirmierendes) Willenselement, so dürfte diese Differenzierung jedoch keinen Unterschied machen. Hierbei steht nämlich in der Folge auch nicht mehr die Empfangsbedürftigkeit der Willenserklärung (§ 130 Abs. 1 BGB) dem Vertragsschluss entgegen. 446 Wenn die Wahl auch mangels zivilrechtlicher Willenserklärung ggf. kein Vertrag ist, so könnte sie zumindest Rechtsgeschäft sein. Ein Rechtsgeschäft setzt sich aus einer Willenserklärung bzw. mehreren Willenserklärungen zusammen, ohne dabei zwingend Vertrag zu sein 443

D. Das Haftungsregime in der DSGVO

225

Doch anders als bei dem Abschluss eines Gesellschaftsvertrages wählen Belegschaftsmitglieder das Gremium „Betriebsrat“. Bei der Gründung einer Personengesellschaft schließen hingegen die Gesellschafter selbst den konstituierenden Gesellschaftsvertrag. Jeder den Vertrag Schließende ist zugleich Gesellschafter (inter partes). Nicht jedes wählende Belegschaftsmitglied ist hingegen Teil des Gremiums Betriebsrat. Wenn hilfsweise allein die Betriebsratsmitglieder als Gesellschafter betrachtet würden, so würden – wiederum inkonsequent – nicht sie allein den Gesellschaftsvertrag schließen. Externe Belegschaftsmitglieder wählen das Gremium Betriebsrat. Selbst wenn also die Betriebsratswahl Vertragselemente hat, ist sie nicht Gesellschaftsvertrag. Am Abschluss eines Gesellschaftsvertrages wirken allein Gesellschafter mit – im Falle des Betriebsrats ausschließlich Betriebsratsmitglieder. Diese werden aber erst durch externe Belegschaftsmitglieder in ihre Position gewählt. Ein Gedankenspiel zeigt die Konsistenz auf: In dem Moment, in dem die Betriebsratsmitglieder selbst einen Gesellschaftsvertrag schließen könnten, ist dieser bereits durch Wahl vorgegeben. Neben der Wahl könnte ein dem Gesellschaftsvertrag vergleichbares Rechtsinstitut allenfalls die vom Betriebsrat verabschiedete Geschäftsordnung sein (§ 36 BetrVG), die – im Gegensatz zur Beteiligung Externer bei der Wahl der Betriebsratsmitglieder – allein von den Betriebsratsmitgliedern verabschiedet wird. Zu beachten ist jedoch die umstrittene Fragestellung, ob ein eine Person umfassender Betriebsrat (§ 9 BetrVG) eine Geschäftsordnung erlassen soll.447 Wenn nämlich nicht jeder Betriebsrat eine Geschäftsordnung hätte, könnte sie auch kein (generell für die Begründung einer Gesellschaft erforderliches) Vertragselement ersetzen. Und selbst wenn ein Betriebsrat, der aus einem Mitglied besteht, eine Geschäftsordnung erließe, so wäre hiermit allenfalls die Geschäftsordnung, nicht aber deren Vertragscharakter ersetzt. Zudem schließen auch mehrere Betriebsratsmitglieder die (Wendtland, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 134, Rn. 4). Eine Willenserklärung ist die auf den Eintritt einer Rechtsfolge gerichtete Äußerung des Willens einer Person, die nach der Rechtsordnung deshalb eintritt, weil sie gewollt ist (Wendtland, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 133, Rn. 4). Wahlen setzen immer mehrere Wähler voraus. Die Willenserklärungen der Wähler könnten somit den rechtsgeschäftlichen Charakter ausmachen. Jedoch ist gerade die pluralistische Stimmenabgabe Voraussetzung einer demokratischen Wahl (grundlegend Fraenkel, Pluralismus als Strukturelement der freiheitlich-rechtsstaatlichen Demokratie). Anders formuliert kommt es bei einer demokratischen Wahl gerade darauf an, dass die abgegebenen Wahlentscheidungen (Willenserklärungen) unterschiedliche Rechtsfolgen wollen, nämlich unterschiedliche politische Mehrheitsverhältnisse. Manche der Willenserklärungen werden also genau nicht das Ziel erreichen, das sie verfolgen. Die Gesamtheit der Willenserklärungen ist unter dem Aspekt der Auswahl einer spezifischen Person kein Rechtsgeschäft. Wenn die übereinstimmenden konkreten Wahlentscheidungen bereits nicht Willenselement sind, so kann über die Wahlteilnahme jedoch an die Akzeptanz des Wahlergebnisses als solches angeknüpft werden. Das Rechtsgeschäft könnte sich somit aus der Tatsache ergeben, dass der Wähler an der demokratischen Wahl teilnimmt und damit jedes – rechtmäßig ausgezählte – Wahlergebnis akzeptiert. Jede Wahlerklärung ist Willenserklärung. Für das Rechtsgeschäft fehlt es allerdings am verbindenden Element. Das verbindende Element könnte die Wahlergebnisaffirmation sein. 447 Thüsing, in: Richardi (Hrsg.), BetrVG, § 9, Rn. 25.

226

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Geschäftsordnung nicht durch Willenserklärungen vertraglich ab. Willenserklärungen sind auf die Herbeiführung einer bestimmten Rechtsfolge gerichtet.448 Die Betriebsratsmitglieder verabschieden die Geschäftsordnung allerdings nicht, weil sie es wollen, sondern weil sie als gewähltes Betriebsratsmitglied gem. § 36 BetrVG den gesetzlichen Auftrag haben, mit Stimmenmehrheit eine Geschäftsordnung zu beschließen. Der Beschluss mag zwar Willenselemente enthalten, bei denen aber der Charakter als Willenserklärung fraglich ist. Anders als der Gesellschaftsvertrag normiert die Geschäftsordnung aber auch nicht den Gesellschaftszweck. Denn dieser Zweck ist unabhängig von den Geschäftsordnungsinhalten, etwa dem Erlass von Geschäftsführungsbestimmungen, bereits gesetzlich normiert: Betriebsräte vertreten Belegschaftsinteressen. Die Geschäftsordnung ist kein Substitut für den Gesellschaftsvertrag. Der Betriebsrat ist somit unter keinem Blickwinkel durch einen Gesellschaftsvertrag gegründet. Er darf zudem keine Beitragszahlungen zur Verfolgung eigener Zwecke erheben. Er ist keine Personengesellschaft im Sinne des § 30 Abs. 1 Nr. 3 OWiG. (dd) Der Betriebsrat und das Unternehmen als rechtsfähige Personengesellschaft (§ 30 Abs. 1 Nr. 3 OWiG) Im Gefüge des Betriebsrats könnte auch das Unternehmen bzw. der Betrieb Personengesellschaft sein, innerhalb derer sich der Betriebsrat gründet. Allerdings ist der Betriebsrat wiederum nicht vertretungsberechtigter Gesellschafter von Betrieb bzw. Unternehmen. Zwar könnten theoretisch einzelne Betriebsratsmitglieder zugleich vertretungsberechtigte Gesellschafter sein. Der Betriebsrat als Organ vertritt allerdings die Belegschafts- und nicht die Arbeitgeberinteressen. Er ist somit nicht Vertreter der rechtsfähigen Personengesellschaft. Da auch der Arbeitgeber kein tauglicher Anknüpfungspunkt ist, ist § 30 Abs. 1 Nr. 3 OWiG insgesamt kein Ansatzpunkt für die Ausformung der Geldbußenverhängung bei betriebsrätlichen Datenschutzverstößen. (ee) Der Betriebsrat im Rahmen von § 30 Abs. 1 Nr. 4 und 5 OWiG § 30 Abs. 1 Nr. 4 und Nr. 5 OWiG setzen – als allgemeinere Regelung449 – entweder eine juristische Person oder eine Personenvereinigung voraus. Der Betriebsrat ist aber weder juristische Person noch Personenvereinigung.450 Zwar überwacht der Betriebsrat durch den Einsatz für Belegschaftsinteressen mittelbar auch die Geschäftsführung (vgl. Nr. 5). Allerdings steht ihm diese bestimmte Kontrollbefugnis – anders als etwa mit der Finanzkontrolle betrauten Personen oder Mitglie 448

Wendtland, in: Hau / Poseck (Hrsg.), BeckOK BGB, § 133, Rn. 4. Krenberger / Krumm, OWiG, § 30, Rn. 15. 450 S. zuvor Kap. § 3 D. III. 3. d) bb) (2) (a). 449

D. Das Haftungsregime in der DSGVO

227

dern des Aufsichtsrates451 – weder in unternehmensleitender Stellung zu, noch ist er explizit zur Kontrolle der Betriebsleitung eingesetzt. Er ist Vertretungsorgan der Belegschaft mit enumerativen gesetzlichen Rechten und Pflichten. Der Betriebsrat ist insbesondere nicht für die Überwachung der Geschäftsführung oder die sonstige Kontrollbefugnis in leitender Stellung im Sinne von § 30 Abs. 1 Nr. 5 OWiG zuständig. (ff) Die tatbestandliche Untauglichkeit des § 30 OWiG Anders als teilweise in der Diskussion angedacht452 ist § 30 OWiG bereits tatbestandlich untauglich für die Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße. (b) Anwendbarkeit und Anwendung von § 30 OWiG im Datenschutzrecht? Dennoch wird daneben – und zur Absicherung der Argumentation – auch die Anwendbarkeit von § 30 OWiG im europäischen Datenschutzrecht untersucht. Die Regelungswirkung von § 30 OWiG unterscheidet sich von § 130 OWiG: Die datenschutzrechtlich relevante Handlung würde – bei tatbestandlicher Einschlägigkeit und Anwendbarkeit – einer übergeordneten Entität zugerechnet, die in der Konstellation der § 30 Abs. 1 Nr. 1–5 OWiG häufig auch die übergeordnete verantwortliche Stelle wäre. Etwa die Zurechnung von weisungsrechtlichen Entscheidungen über Art. 29 DSGVO legt nahe, dass das § 30 OWiG zugrunde liegende Prinzip der DSGVO bekannt ist. Vereinzelt wird daraus geschlossen, dass auch § 30 OWiG selbst anwendbar sein dürfte.453 § 30 OWiG definiert jedoch einen eigenständigen Personenkreis Handelnder, deren Handlungen zugerechnet werden: Vertretungsberechtigte Organe, Vorstände, vertretungsberechtigte Gesellschafter, Generalbevollmächtigte oder auch sonstige Leitungspersonen im Betrieb oder Unternehmen. Die DSGVO hingegen legt einen anderen Maßstab zugrunde: Soweit eine zur Handlung berechtigte Person einen Datenschutzverstoß begeht, ohne im Exzess zu handeln, wird die Handlung dem Verantwortlichen zugerechnet. Die Person, die tätig wird, muss also gerade keine Person in Leitungsfunktion454 oder eines sonstigen „exklusiven Personenkreises“ sein,455 der nach der enumerativen Aufzählung in § 30 OWiG erforderlich wäre. Art. 83 DSGVO umfasst den Anwendungs-

451

Krenberger / Krumm, OWiG, § 30, Rn. 30. Wybitul, EFAR, online. 453 So Gola, in: ders. (Hrsg.), DSGVO, Art. 83, Rn. 11. 454 Holländer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / DSGVO, Art. 83, Rn. 9 ff., insb. 11.; Heghmanns, in: Sydow (Hrsg.), BDSG, § 41, Rn. 16, der ein Fehlverhalten „auf Sachbearbeiterebene“ für ausreichend erachtet. 455 Ehmann, in: Gola / Heckmann (Hrsg.), BDSG, § 41, Rn. 20. 452

228

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

bereich von § 30 OWiG somit vollständig456 – und geht darüber hinaus. Umgekehrt beschränkt § 30 OWiG den weiten Anwendungsbereich von Art. 83 DSGVO und darf folglich im Rahmen der DSGVO nicht angewandt werden.457 Vereinzelt wird im Ausnahmefall eine Anwendung von § 30 OWiG nur für den nicht rechtsfähigen Verein diskutiert.458 Diese Anwendung wäre aber allenfalls notwendig, wenn Art. 83 DSGVO nicht auch den nicht rechtsfähigen Verein umfasst. Art. 83 Abs. 1 DSGVO setzt für die Geldbußenverhängung den Datenschutzverstoß eines Verantwortlichen voraus. Verantwortlich ist gem. Art. 4 Nr. 7 DSGVO auch jede andere Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Potenziell ist jede entscheidende Stelle datenschutzrechtlich verantwortlich. Der offene Wortlaut schließt den nicht rechtsfähigen Verein also gerade nicht aus.459 Die Verengung von § 30 OWiG auf einen exklusiven Handelndenkreis steht im Widerspruch zur potenziellen Geldbußenverhängung gegen alle legitimiert Handelnden in der DSGVO. Und da Art. 83 DSGVO den nicht rechtsfähigen Verein über den offenen Verantwortlichkeitsbegriff ohnehin umfasst, muss auch zu dessen Einbeziehung nicht auf § 30 OWiG zurückgegriffen werden. Nach einer Ansicht ist § 30 OWiG deshalb extensiv auszulegen. Contra legem sollen auch Personen („Repräsentanten“) einbezogen werden, die nicht Führungspositionen einnehmen.460 Dieses Auslegungsergebnis könnte jedoch allenfalls richtig sein, wenn § 30 OWiG überhaupt Regelungswirkung entfaltete. Für § 30 OWiG gibt es aber bereits keine Öffnungsklausel. Denn dieser versucht, die Sanktionsadressaten der DSGVO zu modifizieren. Die Verengung des Adressatenkreises von Geldbußen durch § 30 OWiG ist durch die abschließende Regelung in Art. 83 Abs. 4–6 i. V. m. Art. 4 Nr. 7 DSGVO jedoch ausgeschlossen. § 30 OWiG kann also im Datenschutzrecht weder restriktiv noch extensiv ausgelegt angewandt werden.461 Vorgelagert muss vielmehr bereits § 41 Abs. 1 BDSG europarechtskonform ausgelegt werden, sodass das BDSG im Einzelfall nicht auf § 30 OWiG verweist. Diese Lösung entspricht auch den Referentenentwürfen (BDSG-E1 und BDSG-E2), die § 30 OWiG ausdrücklich als Bereichsausnahme normieren.462

456

Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 41, Rn. 7. Zwei Ausn. (Abs. 2a und Abs. 6) betonend Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / ​ BDSG, § 41, Rn. 7. 458 So Bott / Vogel, BB 2019, 2100 (2101). 459 So explizit auch Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 4 Nr. 7, Rn. 13; Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann (Hrsg.), DSGVO / BDSG, Art.  4, Rn.  138. 460 Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, § 41, Rn. 6. 461 I.Erg. auch Brodowski / Nowak, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 41, Rn. 11 ff. 462 Bereits Kap. § 3 D. III. 3. d) bb) (2) (b). 457

D. Das Haftungsregime in der DSGVO

229

(c) Tatbestandliche Grenzen und Unanwendbarkeit von § 30 OWiG zur Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO § 30 OWiG ist zur Geldbußenverhängung wegen betriebsrätlicher Datenschutz­ verstöße bereits tatbestandlich nicht einschlägig. Da seine Anwendung gegen abschließend in der DSGVO normierte Prinzipien verstieße, ist er zudem unanwendbar. (3) § 14 OWiG als normativer Anknüpfungspunkt Auch § 14 OWiG wird als normativer Ansatzpunkt für die Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO diskutiert.463 Neben der tatbestandlichen Erfüllung (a) wird auch die Anwendbarkeit von § 14 OWiG behandelt (b). Die Ergebnisse werden zusammengefasst (c). (a) Tatbestand von § 14 OWiG § 14 OWiG ist Zuweisungsnorm bei der Beteiligung Mehrerer an einer Ordnungswidrigkeit. Insoweit besondere persönliche Merkmale gem. § 9 OWiG bei einem Sorgfaltspflichtverstoß nur bei einem mehrerer Beteiligter vorliegen, ermöglicht die Norm als Ausprägung des sog. Einheitstäterbegriffs464 die Ahndung auch sonstiger Beteiligter. Thematisiert wird, ob die datenschutzrechtliche Verantwortlichkeit besonderes persönliches Merkmal (aa) und der datenschutzrechtlich Verantwortliche Tatbeteiligter ist (bb), ehe die Ergebnisse kurz zusammengefasst werden (cc). (aa) Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats als besonderes persönliches Merkmal (§ 14 Abs. 1 Satz 2 OWiG) Ausweislich § 14 Abs. 1 Satz 2 OWiG ist bei der Beteiligung Mehrerer die die Ordnungswidrigkeit begründende Handlung auch anderen Beteiligten zurechenbar, soweit ein nur bei einem Beteiligten vorliegendes besonderes persönliches Merkmal ihre Haftung begründet. Besondere persönliche Merkmale werden als täterbezogene465 besondere persönliche Eigenschaften, Verhältnisse oder Umstände 463

Exemplarisch Brams / Möhle, ZD 2018, 570 (572); Schulz, ZESAR 2019, 323 (327); Kranig / Wybitul, ZD 2019, allerdings mit der Prämisse, der Arbeitgeber sei Verantwortlicher; Wybitul, EFAR, online. 464 Krenberger / Krumm, OWiG, § 14, Rn. 1. 465 Zur Unterscheidung von tatbezogenen und täterbezogenen Merkmalen vgl. Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 9, Rn. 28 m. w. N. insb. auf das StGB.

230

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

klassifiziert, die an der Person haften und ihre Beziehung zur Umwelt begründen, indem sie ihr Sorgfaltspflichten auferlegen (§ 9 Abs. 1 OWiG).466 Anders formuliert geht es um rechtliche Wesensmerkmale.467 Ein Wesensmerkmal eines Handelnden begründet folglich die Haftung auch anderer Beteiligter. Die datenschutzrecht­liche Verantwortlichkeit setzt ausweislich Art. 4 Nr. 7 1. Hs. DSGVO in personeller Hinsicht eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle voraus, die in sachlicher Hinsicht über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Eine spezifizierte Entität entscheidet also über Zwecke und Mittel der Datenverarbeitung. Datenschutzrechtliche Verantwortlichkeit ist täterbezogen und nicht tatbezogen. Die Ahndungsmöglichkeit folgt erst der Eigenschaft als datenschutzrechtlich Verantwortlicher: Nicht jeder Verstoß eines jeden gegen datenschutzrechtliche Vorschriften ist mit einer Geldbuße bedroht. Geldbußen erfordern vielmehr einen bestimmten Tätertypus: Zur Sanktion muss der Täter eines Datenschutzverstoßes datenschutzrechtlich Verantwortlicher oder Auftragsverarbeiter (Art. 83 Abs. 1–6 DSGVO) sein bzw. in jeweils einem Ausnahmefall Zertifizierungsstelle (Art. 83 Abs. 4 lit. b DSGVO) bzw. Überwachungsstelle (Art. 83 Abs. 4 lit. c DSGVO).468 Die reine Eigenschaft als Betriebsratsmitglied etwa genügt nicht, um eine Haftung auch anderer Betriebsratsmitglieder herzuleiten. Vielmehr kommt es auf den Status als datenschutzrechtlich Verantwortlicher an. Das täterbezogene Merkmal datenschutzrechtliche Verantwortlichkeit ist bei Datenschutzverstößen haftungsbegründend. Es ist besonderes persönliches Merkmal (§ 14 Abs. 1 OWiG). (bb) Datenschutzrechtlich Verantwortlicher als Tatbeteiligter (§ 14 Abs. 1 Satz 1 OWiG)? § 14 Abs. 1 Satz 1 OWiG verknüpft die Beteiligung eines Merkmalsträgers an der Ordnungswidrigkeit mit Zurechnungsmöglichkeiten. In ihrem Kompetenzund Aufgabenbereich entscheiden das Organ Betriebsrat und der Arbeitgeber im Regelfall über Zwecke und Mittel ihrer Datenverarbeitung. Sie sind also datenschutzrechtlich Verantwortliche.469 Als Merkmalsträger müsste ein datenschutzrechtlich Verantwortlicher an dem über § 14 Abs. 1 Satz 1 OWiG sanktionierten Datenschutzverstoß tatbeteiligt sein. Als Organ kann der Betriebsrat selbst nicht handeln – er ist auf die Handlungen natürlicher Personen, namentlich der Betriebsratsmitglieder, angewiesen. Das OWiG ahndet im Grundsatz Ordnungswidrigkeiten natürlicher Personen.470 Und auch § 14 Abs. 1 OWiG adressiert grundsätzlich natürliche Personen, denen persönliche Merkmale anderer natürlicher Person zu 466

Krenberger / Krumm, OWiG, § 9, Rn. 3 f. Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 9, Rn. 28. 468 Hierzu auch: Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 21. 469 Kap. § 2 D. II. 1. d) cc). 470 Krenberger / Krumm, OWiG, § 9, Rn. 1. 467

D. Das Haftungsregime in der DSGVO

231

gerechnet werden. Zwar können auch natürliche Personen datenschutzrechtlich verantwortlich sein (Art. 4 Nr. 7 DSGVO). Da betriebsratsbezogene Handlungen natürlicher Personen im Rahmen von Art. 29 DSGVO aber dem verantwortlichen Organ Betriebsrat zugerechnet werden, sind die Betriebsratsmitglieder bei Datenverarbeitungen für den Betriebsrat im Regelfall nicht verantwortlich.471 Gemeinschaftlich exzessiv handelnde Betriebsratsmitglieder sind bereits als über Zwecke der Datenverarbeitung entscheidende natürliche Personen verantwortlich. In diesem Fall muss also kein Merkmal zugerechnet werden. Den Spagat könnte allenfalls § 30 OWiG überbrücken, durch den ausnahmsweise auch juristische Personen herangezogen werden: Durch Zurechnung der Handlungen natürlicher Personen werden auch juristische Organe quasi-ordnungswidrig gestellt.472 Der Betriebsrat ist aber kein Organ gem. § 30 Abs. 1 OWiG.473 Er ist kein (Mit-)Täter des Datenschutzverstoßes und damit auch kein geeigneter Tätertypus gem. § 14 Abs. 1 OWiG. Eine Zurechnung seiner datenschutzrechtlichen Verantwortlichkeit etwa auf Betriebsratsmitglieder über § 14 Abs. 1 OWiG ist nicht möglich. Zwar ist auch der Arbeitgeber häufig keine natürliche Person, im Gegensatz zum Betriebsrat kann er aber juristische Person oder rechtsfähige Personengesellschaft sein (§ 30 Abs. 1 OWiG). Als Verantwortlicher könnte auch der Arbeitgeber tatbeteiligt sein. Sein Verantwortlichkeitsmerkmal könnte dann auf das handelnde Betriebsratsmitglied übergeleitet werden. Weil § 30 Abs. 1 OWiG lediglich die Festsetzung einer Geldbuße erlaubt, könnte er Personen bzw. Personenvereinigungen allerdings nur haftungs- und nicht umfassend tatbeteiligen. Trotz des missverständlichen Wortlauts ist Sinn und Zweck von § 30 Abs. 1 OWiG, eine dem deutschen Recht ansonsten fremde sog. Verbandstäterschaft einzuführen – eine eigenständige und über die reine Haftung hinausgehende Beteiligung.474 Dann müsste den Arbeitgeber aber auch eine in § 30 Abs. 1 OWiG aufgeführte Stelle vertreten. Betriebsratsmitglieder sind gerade keine vertretungsberechtigten Organe des potenziell als juristische Person organisierten Arbeitgebers, Vorstand eines nicht rechtsfähigen Vereins oder Gesellschafter einer rechtsfähigen Personengesellschaft.475 Handlungen von Betriebsratsmitgliedern werden allenfalls dem Organ Betriebsrat, nicht aber dem Arbeitgeber zugerechnet, der folglich nicht gem. § 30 Abs. 1 OWiG tatbeteiligt ist. Die Verantwortlichkeit des Arbeitgebers kann wiederum nicht dem handelnden Betriebsratsmitglied zugerechnet werden. Über § 130 OWiG ist also allenfalls die Tatbeteiligung des Betriebsinhabers denkbar  – unterstellt, dieser wäre datenschutzrechtlich Verantwortlicher. Denn der Betriebsinhaber ist Täter, wenn er die Aufsichtspflicht für einen Datenschutz­

471

Martini / Wagner / Wenzel, VerwArch 2018, 297 (302); s. auch Kap. § 2 D. II. 1. d) bb). Krenberger / Krumm, OWiG, § 30, Rn. 18. 473 Kap. § 3 D. III. 3. d) bb) (2) (a). 474 Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 30, Rn. 2 f.; Herleitung und Begründung der Verbandstäterschaft sind stark umstritten, vgl. ebd., Rn. 8 m. w. N. 475 Kap. § 3 D. III. 3. d) bb) (2) (a). 472

232

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

verstoß des Betriebsrats verletzt.476 § 130 Abs. 1. Satz 1 OWiG setzt zwei Pflichtverletzungen voraus: Den Datenschutzverstoß eines nicht aufsichtspflichtigen Täters und die Aufsichtspflichtverletzung des aufsichtspflichtigen Betriebsinhabers.477 Tatvorwurf ist hier die Aufsichtspflichtverletzung und nicht der Datenschutzverstoß. § 14 Abs. 1 OWiG ermöglichte also allenfalls eine Beteiligung an der Aufsichtspflichtverletzung des Betriebsinhabers. Selbst in den wenigen Fällen, in denen der Betriebsinhaber eine Aufsichtspflicht innehat und verletzt,478 ist er nicht Beteiligter am Datenschutzverstoß: Ihm wird ausdrücklich nur der Aufsichtspflichtverstoß vorgeworfen. Auch der Betriebsinhaber ist nicht über § 14 Abs. 1 OWiG i. V. m. § 130 Abs. 1 OWiG tatbeteiligt. (cc) Die tatbestandliche Untauglichkeit des § 14 Abs. 1 OWiG Für die Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße ist § 14 OWiG insgesamt bereits tatbestandlich ungeeignet. (b) Anwendbarkeit und Anwendung von § 14 OWiG im Datenschutzrecht Durch die Untersuchung der (potenziellen) Anwendbarkeit im Datenschutzrecht wird die tatbestandliche Ungeeignetheit von § 14 OWiG abgesichert. § 14 OWiG implementiert den sog. ordnungswidrigkeitsrechtlichen Einheitstäterbegriff: Bei der Anwendung im Datenschutzrecht könnten über die Zurechnung der datenschutzrechtlichen Verantwortlichkeit auch etwa handelnde Betriebsratsmitglieder oder der Betriebsinhaber sanktioniert werden. § 14 OWiG benennt also Tatbeteiligte und ergänzt damit die in Art. 83 Abs. 2–8 DSGVO normierten GeldbußenAdressaten. Dies sind v. a. datenschutzrechtlich Verantwortliche, insbesondere natürliche Personen, soweit sie über Zwecke und Mittel der Datenverarbeitung entscheiden. § 14 OWiG erweitert diesen Kreis potenzieller Geldbußen-Adressaten: Über § 14 OWiG werden v. a. auch (handelnde) natürliche Personen in den Anwendungsbereich der DSGVO einbezogen, selbst wenn sie nicht über Zwecke und Mittel der Datenverarbeitung entscheiden und damit nicht datenschutzrechtlich verantwortlich sind. Denn ihnen könnte das Merkmal der Verantwortlichkeit über § 14 OWiG zugerechnet werden. Zwei Teilaspekte der Anwendung von § 14 OWiG würden die DSGVO modifizieren: Erstens haftete nicht mehr ausschließlich derjenige, der aus der Datenverarbeitung Vorteile zieht, etwa weil er über Zwecke und Mittel der Datenverarbeitung entscheidet (Verantwortlicher) oder weil er finanziell profitiert (Auftragsverarbeiter), sondern die Haftung würde auch auf Entitäten ausgeweitet, die rein faktisch Daten 476

Kap. § 3 D. III. 3. d) bb) (2) (a) (bb), (cc); Krenberger / Krumm, OWiG, § 130, Rn. 8. Krenberger / Krumm, OWiG, § 130, Rn. 16. 478 Kap. § 3 D. III. 3. d) bb) (2) (a) (bb), (cc). 477

D. Das Haftungsregime in der DSGVO

233

verarbeiten. Die klare Haftungszuweisung würde aufgeweicht. Zweitens beträfe diese Haftungsverlagerung insbesondere auch natürliche Personen. Verarbeitet eine natürliche Person für eine übergeordnete Entität Daten, so wird die Datenverarbeitung bisher der Entität zugerechnet, weil diese über Zwecke und Mittel der Datenverarbeitung entscheidet. Sie haftet auch im Falle von Datenschutzverstößen. Die Anwendung von § 14 OWiG ermöglichte es jedoch, auch natürliche Personen direkt zur Haftung heranzuziehen, weil ihnen das Verantwortlichkeitsmerkmal zugerechnet wird. Dies widerspricht den Wertungen der DSGVO. Denn die DSGVO schützt natürliche Personen tendenziell: Ihre Handlungen werden etwa übergeordneten Organisationseinheiten zugerechnet, soweit sie auf deren Weisung handeln (Art. 29 DSGVO). Und auch die Erwägungsgründe führen Privilegierungen natürlicher Personen gegenüber sonstigen Verantwortlichen bei der Geldbußenverhängung auf.479 Dieser Perspektive könnte entgegnet werden, die Möglichkeit, mehr Geldbußen zu verhängen, fördere das Ziel der DSGVO, ein höheres Datenschutzniveau sicherzustellen. Dieser Schluss ist zwar empirisch nicht wiederlegbar, logisch jedoch keinesfalls zwingend. Denn nicht die Quantität verhängter Geldbußen, sondern deren maßvoller Einsatz an der richtigen Stelle entscheidet über die Effektivität der Sanktionierung. Ein Nebeneinander Sanktionierter kann sogar die Aufklärung von Datenschutzverstößen behindern.480 Denn Sanktionen gegen unterschiedliche Verantwortliche verursachen einen Wettlauf gegenläufiger Interessen bei der Aufarbeitung des Datenschutzverstoßes. § 14 OWiG entfernt sich damit von den DSGVO-Vorgaben.481 Dieser Gedanke wird gestützt durch Leitlinien der Artikel 29 Datenschutzgruppe,482 nach der die grundsätzliche Zurechnung der Handlungen einer natürlichen Person zu einer juristischen Person nur bei einem Handlungs­ exzess durchbrochen wird.483 § 14 OWiG wäre somit selbst bei tatbestandlicher Eignung wegen Verstoßes gegen Art. 83 DSGVO insgesamt unanwendbar.484

479

Vgl. DSGVO-EG 148, Satz 2; so auch Schulz, ZESAR 2019, 323 (327). Eckhardt / Menz, DuD 2018, 139 (143); Eckhardt, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, Art. 83 DSGVO, Rn. 104; bereits Kap. § 2 D. II. 1. b) ee) (2). 481 Eckhardt / Menz, DuD 2018, 139 (143). 482 Zur Art. 29 Datenschutzgruppe Kap. § 2 C. III., zum Gedanken Kap. § 3 D. III. 3. e) ff). 483 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 19 f.; zum Handlungsexzess Kap. § 3 D. III. 3. e) ff). 484 Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, § 41, Rn. 5; Boms, ZD 2019, 536 (540) m. w. N. 480

234

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

(c) Tatbestandliche Grenzen und Unanwendbarkeit von § 14 OWiG zur Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO § 14 OWiG ist zur Geldbußenverhängung wegen betriebsrätlicher Daten­ schutzverstöße tatbestandlich ungeeignet und im Rahmen der DSGVO auch nicht anwendbar. (4) § 9 OWiG als normativer Anknüpfungspunkt Auch § 9 OWiG wird als normativer Ansatzpunkt für die Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO vorgeschlagen.485 Nach dem kurzen Rekurs auf die tatbestandlichen Anforderungen (a) werden Anwendbarkeit und Anwendung in der DSGVO hinterfragt (b), ehe die Ergebnisse kurz zusammengefasst werden (c). (a) Tatbestand von § 9 OWiG § 9 Abs. 1 OWiG erlaubt die Zurechnung einer Sondereigenschaft. Hiernach können, wenn der Vertretene ein besonderes persönliches Merkmal erfüllt, auch enumerativ aufgezählte Vertretende sanktioniert werden, selbst wenn sie das Merkmal nicht persönlich erfüllen. § 9 OWiG erlaubt somit – wie § 14 OWiG – die Zurechnung einer Sondereigenschaft. Im Unterschied zu § 14 OWiG geht es nicht um die (mittäterschaftliche) Zurechnung einer Sondereigenschaft zu einem anderen Beteiligten. Vielmehr ermöglicht § 9 OWiG die Zurechnung einer Sondereigenschaft in der Vertretungskonstellation: Eine Sondereigenschaft des Vertretenen, etwa einer juristischen Person, einer rechtsfähigen Personengesellschaft oder eines ansonsten gesetzlich Vertretenen kann dem Vertreter zugerechnet werden. Bei einem Datenschutzverstoß könnte dieser Vertreter mit voller Haftsumme nach Art. 83 DSGVO haften. Die Anwendung von § 9 OWiG (ggf. i. V. m. § 14 Abs. 1 OWiG) hätte in Erweiterung der Normanwendung für Datenschutzaufsichtsbehörden den Vorteil, dass sich die Haftung auch auf „untere Hierarchieebenen“ verlagern könnte. Da auch einfache Sachbearbeiter sanktioniert werden könnten, träfe die Haftung möglicherweise jedes Betriebsratsmitglied.486 Zunächst wird kurz die Eigenschaft des Betriebsrats als vertretenes Organ untersucht (aa), ehe die gesetzliche Vertretungsmacht des Betriebsratsvorsitzenden in den Blick genommen wird (bb). Auch die Eignung des Betriebsratsbeschlusses als Ausdruck gesetz 485

Exemplarisch Brams / Möhle, ZD 2018, 570 (572); Schulz, ZESAR 2019, 323 (327); Kranig / Wybitul, ZD 2019, allerdings mit der Prämisse, der Arbeitgeber sei Verantwortlicher; Wybitul, EFAR, online. 486 Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 41, Rn. 13.

D. Das Haftungsregime in der DSGVO

235

licher Vertretung wird kurz thematisiert (cc) und die ehrenamtliche Stellung des Betriebsratsmitglieds wird ergänzend berücksichtigt (dd). Die Ergebnisse werden kurz zusammengefasst (ee). (aa) Der Betriebsrat als vertretenes Organ im Sinne von § 9 Abs. 1 OWiG? Nach § 9 Abs. 1 OWiG können vertretungsberechtigte Organe juristischer Personen (Nr. 1), vertretungsberechtigte Gesellschafter rechtsfähiger Personengesellschaften (Nr. 2) oder aber gesetzliche Vertreter eines anderen (Nr. 3), ohne selbst ein besonderes persönliches Merkmal zu erfüllen, für dieses Merkmal erfordernde Handlungen geahndet werden, soweit es der Vertretene erfüllt. Der Betriebsrat ist weder juristische Person noch rechtsfähige Personenvereinigung.487 § 9 Abs. 1 Nr. 1, 2 OWiG entfällt somit als Rechtsgrundlage des Vertretungsverhältnisses. In Frage kommt darüber hinaus aber die in § 9 Abs. 1 Nr. 3 OWiG vorgesehene Vertretungskonstellation der gesetzlichen Vertretereigenschaft für einen anderen. Denn der Betriebsrat muss als Organ zur Handlungsfähigkeit vertreten werden. Das BetrVG sieht auch entsprechend Vertretungsregelungen in § 26 BetrVG vor. Der Betriebsrat könnte somit gesetzlich vertretene, sonstige Entität gem. § 9 Abs. 1 Nr. 3 OWiG sein. (bb) Die gesetzliche Vertretungsmacht des Betriebsratsvorsitzenden (§ 9 Abs. 1 Nr. 3 OWiG)? Der das besondere persönliche Merkmal „datenschutzrechtliche Verantwortlichkeit“ erfüllende Betriebsrat handelt durch seine Betriebsratsmitglieder. Das Organ Betriebsrat hat – je nach Größe des Betriebs – unterschiedlich viele Mitglieder (§ 9 BetrVG). Wenn die Betriebsratsmitglieder gesetzliche Vertreter des datenschutzrechtlich verantwortlichen Betriebsrats wären, könnte seine Sondereigenschaft auf diese übertragen werden. Zur Zurechnung über § 9 Abs. 1 Nr. 3 OWiG genügt nicht allein faktische Vertretung, sondern es bedarf gerade einer spezifischen gesetzlichen Vertreterstellung. Der Begriff gesetzlicher Vertreter umfasst alle Fälle der gesetzlichen Vertretung, in denen die Vertretungsmacht unmittelbar auf einer gesetzlichen Regelung beruht und der somit keine rechtsgeschäftsähnliche oder vertragliche Vereinbarung zugrunde liegt.488 Der Betroffene muss als gesetzlicher Vertreter handeln, seine Handlung muss also Vertretungsbezug aufweisen und sich von einer Handlung als Privatperson unterscheiden.489 Die Vertretungsregelungen in § 26 BetrVG sehen keine gesetzliche Vertretungsmacht 487

Kap. § 3 D. III. 3. d) bb) (2) (a). Kleemann, in: Blum / Gassner / Seith (Hrsg.), OWiG, Rn. 28; Valerius, in: Graf (Hrsg.), BeckOK OWiG, § 9, Rn. 20; Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 9, Rn. 55. 489 Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 9, Rn. 58. 488

236

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

für jedes Betriebsratsmitglied vor. Ausweislich § 26 Abs. 2 Satz 1 BetrVG vertritt vielmehr allein der Betriebsratsvorsitzende den Betriebsrat im Rahmen der von ihm gefassten Beschlüsse. § 26 Abs. 2 Satz 2 BetrVG ermächtigt den Betriebsratsvorsitzenden zudem, Erklärungen für den Betriebsrat abzugeben oder entgegenzunehmen. Betriebsratsvorsitzender ist nicht situativ möglicherweise jedes gewöhnliche Betriebsratsmitglied, sondern Vorsitzender und Stellvertreter werden aus der Mitte des Betriebsrats dauerhaft gewählt (§ 26 Abs. 1 BetrVG). Gewöhnliche Betriebsratsmitglieder haben keine gesetzliche Vertretungsmacht – ihnen ist das Verantwortlichkeitsmerkmal nicht zuzurechnen. Allein dem Betriebsratsvorsitzenden könnte die datenschutzrechtliche Verantwortlichkeit wegen seiner Vertreterstellung zugerechnet werden.490 Ausweislich § 8 OWiG könnte dieser auch durch Unterlassen Datenschutzverstöße begehen, etwa weil er die Umsetzung von Datenschutzmaßnahmen unterlassen hat. Der Betriebsratsvorsitzende vertritt den Betriebsrat im Rahmen seiner gesetzlich zugewiesenen Aufgaben.491 Hierbei hat der Betriebsratsvorsitzende keine weitreichenden Vertretungsbefugnisse: Bei Ausübung seiner Vertretungsmacht ist er an Entscheidungen des Betriebsrats gebunden – er kann nicht etwa an dessen Stelle Entscheidungen treffen und ist nur im Rahmen gefasster Beschlüsse vertretungsberechtigt.492 Der Betriebsrat kann die Vertretungsmacht also auch durch Beschluss erheblich beschränken. Die gesetzliche Zuweisung der Vertretungsmacht für den Betriebsratsvorsitzenden könnte also auch Vertreterstellung gem. § 9 Abs. 1 Nr. 3 OWiG sein. Zwar beruht die Vertretungsmacht des Betriebsratsvorsitzenden gerade auf § 26 Abs. 2 Satz 1 BetrVG. Die Vertretung nach BetrVG könnte in der Folge zugleich gesetzliche Vertretung im Sinne des OWiG sein. Im Vergleich zu den sonstigen vom OWiG adressierten prototypischen Vertretern,493 sind die Rechte des Betriebsratsvorsitzenden jedoch deutlich beschränkter. Der Betriebsratsvorsitzende vertritt den Betriebsrat nur durch Erklärungen im Rahmen der gefassten Betriebsratsbeschlüsse.494 Der Betriebsrat ist ausweislich der Gesetzgebungsunter­ lagen nicht Vertreter im Willen, sondern lediglich Vertreter in der Erklärung.495 Der Betriebsratsvorsitzende darf sogar Geschäfte der laufenden Verwaltung so lange nicht selbst vornehmen, wie ihm diese nicht per Betriebsratsbeschluss übertragen worden sind. Eine generelle selbstständige Entscheidungsvollmacht darf – auch zur 490

Krenberger / Krumm, OWiG, § 9, Rn. 2; s. auch Hässler, Geschäftsführung des Betriebsrates. 491 Bott / Vogel, BB 2019, 2100 (2101–2102). 492 Thüsing, in: Richardi (Hrsg.), BetrVG, § 26, Rn. 34/35. 493 Vgl. die Aufzählungen bei Valerius, in: Graf (Hrsg.), BeckOK OWiG, § 9, Rn. 20 und Rogall, in: Mitsch (Hrsg.), KK-OWiG, § 9, Rn. 56; s. für einen zivilrechtlich mit weiten Kompetenzen verbundenen Vertreterbegriff auch Schubert, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 1, § 164, Rn. 187. 494 BT-Drs. I/3585, 7; s. hierzu auch Koch, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 26, Rn. 2, der von Willensvertreter und Erklärungsvertreter spricht und Wedde, in: Däubler / K lebe / ders. (Hrsg.), BetrVG, § 26, Rn. 17. 495 BT-Drs. I/3585, 7; s. grundsätzlich Böhm, Rechtliche Stellung des Betriebsratsvorsit­ zenden.

D. Das Haftungsregime in der DSGVO

237

Vereinfachung – nicht übertragen werden.496 Andersherum kann der Betriebsrat dem Betriebsratsvorsitzenden durch Beschluss auch die Vertretung weitreichend entziehen. Der Betriebsratsvorsitzende ist kein Stellvertretertyp, den § 9 Abs. 1 Nr. 3 OWiG adressiert. Er ist nicht Vertreter im Sinne von § 9 Abs. 1 Nr. 3 OWiG.497 (cc) Der Betriebsratsbeschluss als Indikator gesetzlicher Vertretung? Auch wenn das Gremium Betriebsrat Betriebsratsbeschlüsse erlässt (§ 33 BetrVG), vertritt es sich gesetzlich nicht selbst. Denn diese sind allein normative Vorgabe für die Vertretung durch den Betriebsratsvorsitzenden (§ 26 BetrVG). (dd) Ergänzende teleologische Erwägungen: Das Ehrenamt „Betriebsratsmitglied“ Gegen eine Merkmalsüberleitung im Sinne von § 9 OWiG auf den Betriebsratsvorsitzenden spricht tendenziell auch, dass die Betriebsratsmitgliedschaft Ehrenamt ist. Damit stehen der Übertragung allgemeine betriebsverfassungsrechtliche Erwägungen entgegen.498 Dem Betriebsratsmitglied dürfen ausweislich § 37 Abs. 1 BetrVG weder Vor- noch Nachteile aus seiner Betriebsratstätigkeit gegenüber Nichtmitgliedern entstehen.499 Eine Benachteiligung gerade wegen der Betriebsratstätigkeit ist unzulässig.500 Begeht der Betriebsratsvorsitzende bei einer dem Betriebsrat zugerechneten Handlung einen (womöglich lediglich leicht fahrlässigen) Datenschutzverstoß und wird die Geldbuße wegen § 9 OWiG übergeleitet, so könnte dieser Umstand ihn benachteiligen. In diesem Fall könnte aber bezweifelt werden, dass datenschutzrechtliche Sanktionen gerade wegen der Betriebsratsmitgliedschaft erfolgen. Denn die Geldbuße gegen den Betriebsratsvorsitzenden ist zwar unmittelbare Folge des Datenschutzverstoßes, nicht aber seiner Betriebsratsmitgliedschaft. Wenn die Sanktion also Benachteiligung ist, dann unmittelbar nur, da der Betriebsratsvorsitzende den Datenschutzverstoß zu verantworten hat. Nicht hingegen, weil der Betriebsratsvorsitzende Betriebsratsmitglied ist. Diese Zweifel blenden jedoch Kausalitäten aus und greifen somit zu kurz: Die natürliche Person würde nur deshalb sanktioniert werden können, weil sie aus der Mitte der Betriebs 496

Thüsing, in: Richardi (Hrsg.), BetrVG, § 26, Rn. 44 f.; allenfalls kommt eine Bevollmächtigung im Sinne eines „Verhandlungsspielraums“ bzw. einer „Linie“ in Frage, vgl. Wollmerath, in: Boecken / Düwell / Diller / Hanau, Gesamtes Arbeitsrecht, § 26 BetrVG, Rn.  17. 497 So i.Erg. auch Brams / Möhle, ZD 2018, 570 (572); Bott / Vogel, BB 2019, 2100 (2102); Schulz, ZESAR 2019, 323 (327). 498 Vgl. Brams / Möhle, ZD 2018, 570 (572); Schulz, ZESAR 2019, 323 (327). 499 Mauer, in: Rolfs / Giesen / K reikebohm / Meßling / Udsching (Hrsg.), BeckOK ArbR / BetrVG, § 37, Rn. 1; Wolmerath, in: Düwell (Hrsg.), BetrVG, § 37, Rn. 5; Wedde, in: Däubler / K lebe / ders. (Hrsg.), BetrVG, § 37, Rn. 3; für eine Haftung, da das Ehrenamtsprinzip in solchen Fällen nicht betroffen sei (allerdings in Bezug auf Schadensersatzforderungen) s. Schuster / Schunder, NZA 2020, 92 (95 f.). 500 Thüsing, in: Richardi (Hrsg.), BetrVG, § 37, Rn. 1.

238

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

ratsmitglieder als Betriebsratsvorsitzender gewählt wurde. Wenn die Betriebsratsmitglieder von nun an befürchten müssten, aufgrund ihrer Wahl zum Betriebsratsvorsitzenden möglicherweise bei jedem tätigkeitsbezogenen Datenschutzverstoß Geldbußen ausgesetzt zu sein, hätte dies abschreckende Wirkung.501 Erhebliche Haftungsrisiken würden die Aufstellung zur Wahl als Betriebsratsvorsitzender, ggf. sogar als Betriebsratsmitglied beeinträchtigen, wenn das Risiko droht, als Vorsitzender auch gegen den Willen gewählt zu werden. Ob die Sanktion mittelbar oder unmittelbar mit der Betriebsratstätigkeit verbunden ist, ist unerheblich – denn die abschreckende Wirkung ist identisch. Daran ändert auch der Hinweis nichts, dass Arbeitnehmer auch für über ihre Kompetenzen hinausgehende und gegen Gesetze verstoßende Handlungen haften.502 Denn im Gegensatz zu datenschutzrechtlichen Geldbußen setzen diese Verstöße Verschulden voraus, während die Datenschutzaufsichtsbehörden Geldbußen zur Sanktionierung von Datenschutzverstößen verschuldensunabhängig verhängen dürfen.503 (ee) Die tatbestandliche Untauglichkeit von § 9 Abs. 1 OWiG § 9 Abs. 1 OWiG regelt bereits tatbestandlich nicht die Verhängung von Geldbußen nach betriebsrätlichen Datenschutzverstößen. (b) Anwendbarkeit und Anwendung von § 9 OWiG im Datenschutzrecht Zur Absicherung dieses Ergebnisses wird neben den tatbestandlichen Untersuchungen auch die Anwendbarkeit und Anwendung des § 9 OWiG im Datenschutzrecht untersucht, wobei im Wesentlichen auf die Ausführungen zu § 14 OWiG verwiesen werden kann.504 Wie auch bei § 14 OWiG wird mit § 9 OWiG das Leitprinzip der DSGVO durchbrochen, natürliche Personen zu schützen. Denn die Haftung natürlicher Personen über Überleitungsvorschriften des OWiG würde die Haftungsadressaten der DSGVO-Vorschriften erweitern. Für die Erweiterung nach § 9 OWiG fehlt jedoch bereits die Öffnungsklausel.505 Weil aber die Datenverarbeitung natürlicher Personen, in concreto also der Betriebsratsmitglieder, im Regelfall auf einer Datensammlung der übergeordneten Entität beruht und auch deren Zwecke verfolgt, ist die Handlung regelmäßig ihr zuzurechnen. Die 501 Und gerade dies ist maßgeblicher Grund für die Ausgestaltung des Betriebsratsamtes als Ehrenamt: Ehrenamt setzt auch passive Wahlteilnahme voraus. Der von Maschmann, NZA 2020, 1207 (1213) bemühte Berufskraftfahrer, dem bußgeldrechtlich vermeintlich Vorteile zu gewähren seien, übt gerade kein Ehrenamt aus und lässt sich folglich auch nicht freiwillig zur Wahl aufstellen. 502 Schuster / Schunder, NZA 2020, 92 (95 f.). 503 Zum Opportunitätsprinzip s. bereits Kap. § 3 D. III. 3. d) aa) (2). 504 Kap. § 3 D. III. 3. d) bb) (3). 505 Golla, in: Eßer / K ramer / v. Lewinski (Hrsg.), Auernhammer DSGVO / BDSG, § 41, Rn. 7.; Boms, ZD 2019, 536 (540) m. w. N.

D. Das Haftungsregime in der DSGVO

239

Zuweisung von Verantwortlichkeit in der DSGVO würde durch die Anwendung von § 9 OWiG in ihr Gegenteil verkehrt. Denn das Datenschutzrecht selbst rechnet Handlungen von Mitarbeitern in Organisationseinheiten gerade den übergeordneten Organisationseinheiten zu.506 Dies entspricht auch den Ausführungen der vorsichtig übertragbaren Leitsätze der Artikel 29 Datenschutzgruppe,507 nach der die grundsätzliche Zurechnung der Handlungen einer natürlichen Person zu einer juristischen Person nur beim Handlungsexzess durchbrochen wird.508 § 9 OWiG darf bei Verhängung datenschutzrechtlicher Geldbußen nicht angewandt werden. (c) Die tatbestandliche Untauglichkeit und Unanwendbarkeit von § 9 OWiG § 9 OWiG ist nicht passförmig und dürfte wegen Verstoßes gegen europarechtliche Leitsätze grundsätzlich auch nicht zur Verhängung von Geldbußen gegen den Betriebsrat angewandt werden. (5) Lückenhafte Regelungen zum „Wie“ der Geldbußenverhängung Auch wenn geltend gemacht wird, der Verweis in § 41 Abs. 1 BDSG auf das OWiG sei im Rahmen der Öffnungsklausel des Art. 83 Abs. 8 DSGVO hinreichend, um betriebsrätliche Datenschutzverstöße zu erfassen,509 geht die Regelungsarchitektur fehl: Zwar ermöglicht die Öffnungsklausel in Art. 83 Abs. 8 DSGVO eigenständige nationale Regelungen, von denen der deutsche Gesetzgeber durch § 41 Abs. 1 BDSG mit Verweis auf das OWiG auch versucht, Gebrauch zu machen. Dieser Verweis verstößt jedoch seinerseits gegen die Vorgaben der Öffnungsklausel in Art. 88 DSGVO und darf nicht angewandt werden. Dies täuscht aber nicht darüber hinweg, dass die fundamental ansetzende Kritik von Bergt, der die Verweise auf §§ 9, 14, 30 OWiG in § 41 Abs. 1 BDSG insgesamt für europarechtswidrig erachtet, im Ergebnis zwar zutrifft, aber die sehr unterschiedlichen tatbestandlichen Regelungswirkungen der einzelnen Normen nicht hinreichend beleuchtet. Zwar widersprechen jedenfalls §§ 9, 14, 30 OWiG dem DSGVO-Haftungssystem, das eine Repräsentantenhaftung gerade ablehnt.510 Sie passen allerdings vorgelagert bereits 506

Vgl. etwa den sog. funktionalen Unternehmensbegriff, s. hierzu Uebele, EuZW 2018, 440. Kap. § 2 C. III. 508 Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 19 f. 509 So ohne nähere Auseinandersetzung wohl: Gola, in: ders. (Hrsg.), DSGVO, Art. 83, Rn. 31 f. und Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 59 ff. jeweils ohne Nennung der einzelnen fraglichen Normen des OWiG; ohne Begründung §§ 30, 130 OWiG für anwendbar erklärend: Schreibauer / Spittka, in: Wybitul (Hrsg.), DSGVO, Art. 83, Rn. 38. §§ 9, 30, 130 OWiG für anwendbar erklärend: Hohmann, in: Roßnagel (Hrsg.), Europäische DSGVO, § 3, Rn. 326. 510 Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 41, Rn. 7 ff.; DSGVO, Art. 83, Rn. 115; Bergt, DuD 2017, 555 (555). 507

240

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

tatbestandlich nicht, um die Geldbußenverhängung für Datenschutzverstöße gegen den Betriebsrat zu regeln.511 Einzig § 130 OWiG bietet hierzu in Ausnahmefällen Ansätze – mit Bezug zum Betriebsinhaber, der in der DSGVO aber gerade ein anderer Verantwortlicher (Arbeitgeber) ist als der Betriebsrat. Geldbußen gegen den Betriebsinhaber sind allenfalls bei Datenschutzverstößen denkbar, für die er aufsichtspflichtig ist. Die Norm setzt zwar einen Datenschutzverstoß eines anderen voraus. Sie ermöglicht aber in Anknüpfung an diesen Datenschutzverstoß die Haftung für eigene Aufsichtspflichtverletzungen. In aller Regel ist allein der datenschutzrechtlich Verantwortliche haftungsrechtlich für eigene Datenschutzverstöße verantwortlich (vgl. Art. 83 Abs. 1–6 DSGVO). Für betriebsrätliche Datenschutzverstöße haftet also allein der Betriebsrat. Allenfalls in Ausnahmefällen kann aber der Betriebsinhaber wegen des Gebots der vertrauensvollen Zusammenarbeit (§ 2 Abs. 1 BetrVG) zwischen Betriebsrat und Arbeitgeber aufsichtspflichtig sein. Auch wenn der deutsche Gesetzgeber weiterhin den Anschein erweckt, von der Anwendbarkeit der Regelungsarchitektur DSGVO-BDSG-OWiG auszugehen, müssen Betroffene aufgrund dieser Fehleinschätzung keine Geldbußen fürchten. Die die Geldbußen verhängenden deutschen Aufsichtsbehörden haben bereits während des BDSG-Gesetzgebungsverfahrens verdeutlicht, dass sie keine Geldbußen auf §§ 9, 14, 30 OWiG stützen werden: Sie verlangten, die Normen klarstellend vom Verweis in § 41 Abs. 1 BDSG auszunehmen.512 Das zentrale Problem hierbei ist nicht unbedingt die rechtliche Lösbarkeit.513 Denn die Normenhierarchie bietet hierfür verschiedene Ansätze. Das zentrale Problem ist eher, dass der deutsche Gesetzgeber weiterhin von einer GeldbußenAbwicklung über das OWiG ausgeht, das OWiG aber unanwendbar ist. Der deutsche Gesetzgeber verursacht mit dem fehlgehenden und rechtswidrigen Verweis und der Unanwendbarkeit der OWiG-Regelungen eine Lücke in der GeldbußenArchitektur. Wie Geldbußen wegen betriebsrätlicher Datenschutzverstöße verhängt werden können, ist trotz weitreichender gesetzgeberischer Vorstellungen allenfalls lückenhaft geregelt. cc) Die Lückenhaftigkeit des derzeit normierten datenschutzrechtlichen Geldbußenregimes Durch den Verweis in § 41 Abs. 1 BDSG auf die Regelungen des OWiG versucht der deutsche Gesetzgeber die Geldbußenverhängung zu regeln. Er beruft sich hierbei auf die Öffnungsklausel des Art. 83 Abs. 8 DSGVO. Und tatsächlich hat er im Rahmen der DSGVO-Öffnungsklauseln weitreichende eigene Regelungs 511

So i.Erg. auch Brams / Möhle, ZD 2018, 570 (570 ff.); Schulz, ZESAR 2019, 323 (327); Bott / Vogel, BB 2019, 2100 (2101 f.). 512 DSK, Entschließung der 97. Konferenz, in: Spiecker / Bretthauer (Hrsg.), Dokumentationen zum Datenschutz 75. 513 S. hierzu die Lösungsansätze in Kap. § 3 D. III. 3. e).

D. Das Haftungsregime in der DSGVO

241

befugnisse.514 Seine mit Bezug zu den Öffnungsklauseln erlassenen Regelungen müssen allerdings den Rahmen der DSGVO wahren. Und an dieser Einhaltung scheitert der vom deutschen Gesetzgeber vorgesehene, in sich kohärente Verweis. Durch die Verweise über § 41 Abs. 1 BDSG auf §§ 10, 47 OWiG und §§ 9, 14, 30, 130 OWiG überschreitet der deutsche Gesetzgeber die Grenzen der Rahmung durch Art. 83 DSGVO. Er verstößt bei der Regelung des Ob und des Wie der Geldbu­ ßenverhängung gegen europarechtliche Vorgaben. Nicht nur das in Bezug genommene Schuldprinzip (§ 10 OWiG) und das Opportunitätsprinzip (§ 47 OWiG) sind hierdurch unanwendbar. Auch die Regelungen zur Frage, wie Geldbußen verhängt werden sollen, regelt der deutsche Gesetzgeber überwiegend europarechtswidrig. Die Zurechnungsvorschriften, die der deutsche Gesetzgeber anwenden möchte, sind bereits ganz überwiegend tatbestandlich nicht zur Geldbußenverhängung nach betriebsrätlichen Datenschutzverstößen einschlägig (§§ 9, 14, 30 OWiG). Und obwohl § 130 OWiG in wenigen Fällen tatbestandlich tauglich ist, verstößt er gegen das europarechtliche Grundprinzip, natürliche Personen allenfalls zurückhaltend haften zu lassen und ist damit unanwendbar. Die Regelungen, die der deutsche Gesetzgeber also für rechtmäßig anwendbar hält, sind wegen der zwingenden europarechtskonformen Auslegung unanwendbar. Und auch trotz vielfach geäußerter Kritik aus Praxis515 und Literatur516 hat der deutsche Gesetzgeber bisher keine Abhilfe geschaffen. Wenn in Kenntnis der Rechtswidrigkeit auch die Datenschutzaufsichtsbehörden in der Praxis wohl keine Geldbußen auf Basis der OWiG-Vorschriften verhängen werden, hinterlässt der deutsche Gesetzgeber ein fragiles und lückenhaftes Regelungssystem. Seine ursprüngliche Regelungsintention ist evident fehlgeschlagen. e) Lösungsvorschläge: Geldbußen und der Betriebsrat im Geldbußenregime der DSGVO Der europäische517 und der deutsche Gesetzgeber wollten die nationalen Bußgeldvorschriften nutzen, um die Geldbußenverhängung nach Datenschutzverstößen zu regeln.518 Dieses Vorhaben ist durch den unglücklichen Verweis in § 41 Abs. 1 BDSG auf tatbestandlich nicht immer einschlägige Regelungen des OWiG und 514

Martini / Wagner / Wenzel, VerwArch 2018, 163 (184). DSK, Entschließung der 97. Konferenz, in: Spiecker / Bretthauer (Hrsg.), Dokumentationen zum Datenschutz 75. 516 Bergt, DuD 2017, 555 (558); Ehmann, in: Gola / Heckmann (Hrsg.), BDSG, § 41, Rn. 20 f.; Eckhardt / Menz, DuD 2018, 139 (143); Martini / Wagner / Wenzel, VerwArch 2018, 296 (311); Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 115; § 41, Rn. 7 ff. 517 Zum Verweis über Art. 83 Abs. 9 DSGVO auf nicht bestehende nationale Bußgeldvorschriften auch Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 114. 518 So könnte in der abweichenden Terminologie zunächst eine Unterscheidung angelegt sein: Der deutsche Gesetzgeber spricht von Bußgeldvorschriften (vgl. z. B. § 121 BetrVG) und die DSGVO von Vorschriften zu Geldbußen (vgl. Art. 83 DSGVO). 515

242

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

den Verstoß dieser Regelungen gegen europäisch abschließende Rahmung fehlgeschlagen. Durch die Unanwendbarkeit der vom deutschen Gesetzgeber intendierten Regelungen fehlt das verbindende Element zwischen europäischen und deutschen Normen, d. h. es entsteht eine Regelungslücke.519 Bisher wenig vorhandene Rechtsprechung520 und fehlende Hinweise der Datenschutzaufsichtsbehörden521 treten neben bisher überwiegend lediglich den Status Quo beschreibende Ausarbeitungen in der rechtswissenschaftlichen Literatur, die mit der Modifikation des (europarechtlich abschließend normierten) Verantwortlichkeitsbegriff wenig überzeugende Lösungen anbieten.522 Der Betriebsrat ist jedoch einerseits Verantwortlicher und damit potenzieller Adressat von Geldbußen. Im deutschen Recht ist er andererseits jedoch nicht vermögensfähig, kann Geldbußen also nicht unbedingt begleichen. Um hier zu vermitteln, werden einige rechtliche Ansätze vorgeschlagen, wobei betont werden muss, dass allein der Gesetzgeber die unklare Rechtslage rechtsverbindlich lösen könnte.523 Er sollte hierbei auf bestehende Rechtsfolgenprobleme achten, um mit der Regelung nicht neue Probleme zu verursachen. Die hier diskutierten Lösungsvorschläge sollen allerdings zugleich aufzeigen, dass der Gesetzgeber bei Neuregelung auf bereits bestehende Regelungen zurückgreifen und aufbauen kann. In zunehmend von der ursprünglichen gesetzgeberischen Vorstellung abweichender Reihenfolge werden hier Vorteile und Risiken verschiedener Vorschläge diskutiert. Diese Vorschläge sind keinesfalls die einzigen Ansatzmöglichkeiten und sie erheben keinen Anspruch auf Verbindlichkeit. Hierfür ist bereits die Rechtslage im Datenschutzrecht viel zu dynamisch.524 Ihr Ziel ist es, die Diskussion gerade durch den Hinweis auf die Schwächen des jeweils diskutierten Ansatzes zu bereichern. Zunächst wird kurz thematisiert, ob die Vorschriften des OWiG in entsprechender Weise angewandt werden könnten (aa)). Ein Lösungsansatz wäre, dass das Europarecht eine Vermögensfähigkeit des Betriebsrats vorgäbe (bb)). Ein anderer, 519

Dem Begriff der Lücke im Völkerrecht entspringend: Fastenrath, Lücken im Völkerrecht, S. 17. 520 S. neuerlich auch sehr ausführlich und unter Berücksichtigung der Ansichten aus den Datenschutzaufsichtsbehörden und der Literatur LG Bonn, Urt. v. 11. 11. 2020 – Az. 29 OWi 1/20, Rn. 55, 57 ff., das die Anwendung von § 30 OWiG in Abweichung von einer zitierten Rspr. des österreichischen BVerwG (Urt. v. 19. 8. 2019 – W211 2208885–1) ausdrücklich ablehnt, da dieser den Anwendungsbereich von Art. 83 DSGVO verenge. 521 S. aber etwa BW-LfDI, Pressemitteilungen v. 22. 11. 2018, v. 18. 6. 2019 und v. 28. 2. 2019; LfDINDS, Pressemitteilung v. 3. 9. 2020; B-BfDI, Pressemitteilungen v. 19. 9. 2019 und v. 5. 11. 2019, die für die Verhängung der Geldbußen nicht auf das OWiG, sondern auf die in Art. 83 DSGVO enthaltenen Grundsätze verweisen. 522 So etwa bei den eigentlich vielversprechenden Ansätzen von Maschmann, der jedoch nicht immer klar herausstellt, inwieweit der Betriebsrat als Organ Verantwortlicher ist und inwieweit die Betriebsratsmitglieder datenschutzrechtlich verantwortlich sind (NZA 2020, 1207 (1207 ff.)). 523 S. hierzu den ersten Ansatz von der Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). 524 S. nur Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), § 79 BetrVG-E, S. 12.

D. Das Haftungsregime in der DSGVO

243

dass Geldbußen gegen den Betriebsrat schlichtweg leerlaufen, gerade weil er nicht vermögensfähig ist (cc)). Neben diesen Lösungen könnte Art. 83 Abs. 1–8 DSGVO wegen der Normenhierarchie abschließend an die Stelle der OWiG-Vorschriften treten (dd)). Auch wäre die Anwendung von § 40 Abs. 1 BetrVG möglicherweise plausibler Lösungsansatzpunkt (ee)). Letztlich könnte der Exzess-Gedanke bei betriebsrätlichen Datenschutzverstößen datenschutzrechtliche und betriebsverfassungsrechtliche Eigenheiten jeweils möglichst weitreichend aufrechterhalten (ff)). Die kombinierte Anwendung unterschiedlicher Ansätze bietet nach hier vertretener Auffassung Aussicht auf Erfolg (gg)). aa) Die analoge Anwendung der OWiG-Vorschriften zur Ausfüllung der Regelungslücke? Regelungslücken werden v. a. im Sanktionsrecht kritisch betrachtet – und strafrechtlich insbesondere unter dem Begriff Strafbarkeitslücke diskutiert. Spricht der deutsche Jurist von Regelungslücke, so denkt er im Regelfall zugleich an den Schluss dieser Lücke. Ein probates Mittel zum Lückenschluss ist die Analogie.525 Die Analogie ist im Europarecht grundsätzlich methodisch zulässig,526 wie auch der EuGH bereits mehrfach bestätigt hat.527 Sie ist Auslegungsform, die über die herkömmlichen Auslegungsmethoden hinausgeht.528 Bei vergleichbarer Interessenlage wird eine planwidrige Regelungslücke durch entsprechende Anwendung von Normen geschlossen,529 soweit diese analogiefähig sind.530 Hier kommen einzig §§ 9, 14, 30, 130 OWiG zur Schließung der Regelungslücke in Frage. Die Interessenlage ist vergleichbar mit der Interessenlage der direkten Anwendung der Normen. Regelungslücke meint unbefriedigende Gesetzeslücke, die planwidrig ist.531 Sie zeichnet sich dadurch aus, dass ein Rechtsfall nach dem implementierten Gesetz nicht beurteilt werden kann.532 Planwidrigkeit meint Abweichen des gesetzlichen Ist-Zustands vom gesetzgeberisch intendierten Soll-Zustand. 525

Luther, JA 2013, 449. Vgl. nur Anweiler, Auslegungsmethoden des Gerichtshofs, S. 309 ff.; Ahmling, Analogiebildung durch den EuGH im EPR; Pieper, in: Dauses / Ludwigs (Hrsg.), Hdb. EU-Wirtschaftsrecht, Rechtsquellen, Rn. 185. 527 EuGH, C-165/84, Urt. v. 12. 12. 1985, Slg. 1985, 3997  – Krohn; C-201,202/85, Urt. v. 25. 11. 1986, Slg. 1986, 3477 – Klensch; EuGH, C-67/91, Urt. v. 16. 7. 1992, Slg. 1992, I–4785 – AEG; s. aus der Sicht der Lehre auch die Untersuchung von Ahmling, Analogiebildung durch den EuGH im EPR. 528 Vgl. Sachs, in: Stelkens / Bonk / ders. (Hrsg.), VwVfG, § 44, Rn. 53 ff. 529 S. zu den Voraussetzungen Luther, JA 2013, 449, zu Gefahren der Analogieanwendung Heussen, NJW 2016, 1500 und zur Abgrenzung von Analogie und teleologischer Reduktion Danwerth, ZfPW 2017, 230. 530 Wank, Auslegung von Gesetzen, S. 87; hierbei zeigt sich auch, dass die vorgelagerte Fragestellung der Anwendbarkeit der Analogie im Einzelfall eng mit einer der tatbestandlichen Voraussetzungen der Analogie, konkret der planwidrigen Regelungslücke, verwoben ist. 531 S. hierzu grundlegend Canaris, Die Feststellung von Lücken im Gesetz, S. 16 m. w. N. 532 Bydlinski, Jur. Methodenlehre und Rechtsbegriff, S. 473. 526

244

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Der Gesetzgeber schweigt also gerade nicht bewusst, was für eine Planmäßigkeit sprechen würde.533 Der Ist-Zustand (keine Anwendung) weicht aus Sicht des deutschen Gesetzgebers vom intendierten Soll-Zustand (Regelung der avisierten Fallkonstellationen) ab. Denn mit Bezug zur Öffnungsklausel in Art. 83 Abs. 8 DSGVO hat der deutsche Gesetzgeber im Mehrebenensystem534 § 41 Abs. 1 BDSG erlassen535 und verweist hierüber auf das OWiG. §§ 9, 14, 30, 130 OWiG sind trotz des Verweises jedoch zur Regelung der Verhängung datenschutzrechtlicher Geldbußen unanwendbar536 und damit nicht analogiefähig. Grundsätzlich ist jede Norm analogiefähig.537 Dies gilt jedoch nicht für unanwendbare Normen. Denn die Unanwendbarkeit einer (rechtswidrigen) Norm darf nicht durch die analoge Anwendung einer anderen – oder hier sogar derselben – unanwendbaren Norm geschlossen werden. Auch die analog angewandten Normen sind an der Normenhierarchie zu messen. Daran ändert nichts, dass der Mechanismus der Aufrechterhaltung von verfassungswidrigen Normen im Ausnahmefall im deutschen Recht bekannt ist.538 Denn die sog. Unvereinbarkeitsbeschlüsse, die das BVerfG mit dem Hinweis an den Gesetzgeber erlässt, neue Regelungen zu schaffen und die in §§ 31 Abs. 2 Satz 2, 3, 79 Abs. 1 BVerfGG angelegt sind,539 sind – zeitlich begrenzte – Aufrechterhaltung des gesetzgeberischen Willens und keine Analogie. §§ 9, 14, 30, 130 OWiG sind unanwendbar und nicht analogiefähig. Insgesamt gibt es keine Norm, die – an deren Stelle – analog angewandt werden könnte. bb) Europarechtlich zwingende Vermögensfähigkeit des Betriebsrats durch Anwendung von Art. 83 DSGVO? Folge der Anwendung von Art. 83 DSGVO an Stelle von §§ 9, 14, 30, 130 OWiG könnte sein, dass der Betriebsrat als datenschutzrechtlich Verantwortlicher gem. Art. 4 Nr. 7 1. Hs. DSGVO grundsätzlich selbst Adressat und Ausgleichspflichtiger der Geldbußen (Art. 83 Abs. 1 DSGVO) ist.540 Der Betriebsrat ist im deutschen Betriebsverfassungsrecht zumindest bisher in Verpflichtungskonstellationen nicht vermögensfähig,541 was sich zumindest bisher auch auf das Datenschutzrecht 533

Röhl / Röhl, Allgemeine Rechtslehre, S. 633. Zur Kritik des Begriffs „Mehrebenensystem“ s. Schladebach, NVwZ 2018, 1241; zum europarechtlichen Mehrebenensystem s. Gusy / Eichenhofer, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 1, Rn.  27 ff.; Schiedermair, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Einl., Rn. 180 ff. 535 BT-Drs. 18/11325, S. 108; s. etwa auch Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, § 41, Rn. 1. 536 Kap. § 3 D. III. 3. d) bb) (5) und Kap. § 3 D. III. 3. d) cc). 537 Würdinger, AcP 2006, 946 (955) m. w. N. 538 Vgl. statt vieler BVerfGE 135, 238–248 (Bremer Vergnügungssteuer). 539 Karpenstein, in: Walter / Grünewald (Hrsg.), BeckOK BVerfGG, § 78, Rn. 33 ff. 540 So auch der Grundgedanke der Verantwortlichkeit Kap. § 2 D. II. 2., Kap. § 3 A. und Kap. § 3 D. III. 3. d). 541 Kap. § 2 D. II. 1. b) aa) (3) (d); Kap. § 3 B. 534

D. Das Haftungsregime in der DSGVO

245

(BDSG) durchschlug: Die Zuordnung des Betriebsrats zur verantwortlichen Stelle Arbeitgeber ermöglichte insoweit die Aufrechterhaltung der betriebsrätlichen Vermögenslosigkeit. Das deutsche Recht kennt kein haftendes Organ Betriebsrat. Zwar ist der Betriebsrat teilrechtsfähig, die Vermögensfähigkeit ist jedoch Teilausformung der Rechtsfähigkeit. Dies zeigt sich bereits an den dem Betriebsrat zugeschriebenen Rechten: Manche Rechte betreffen die Mitbestimmung (§§ 87, 99–103 BetrVG), andere Rechte hingegen etwa die Kostenerstattung von Betriebsratsarbeit (z. B. § 40 Abs. 1, 2 BetrVG).542 Die Kostenerstattung setzt die Möglichkeit der Geltendmachung von Vermögenspositionen voraus, die Mitbestimmung hingegen nicht. Sie setzt lediglich voraus, dass der Betriebsrat sich auf diese konkreten Rechte berufen kann. Nicht jede Form der Rechtsfähigkeit formt auch die Vermögensfähigkeit aus. Denn nicht jede Form der Rechtsfähigkeit setzt auch die Vermögensfähigkeit voraus.543 Und dem Betriebsrat sind bisher allenfalls Vermögenspositionen zuerkannt, bei denen er gegenüber anderen (bisher v. a. dem Arbeitgeber) Vermögenswerte geltend machen kann (§§ 40 Abs. 1, 2, 80 Abs. 3 Satz 1 BetrVG).544 Nicht jedoch kann der Betriebsrat als Organ bisher selbst durch seine Vermögensfähigkeit begründende Normen verpflichtet werden.545 Der Betriebsrat hat bisher also allenfalls rechtsbegründende und nicht – wie hier – rechtsverpflichtende Vermögensposition inne.546 Die DSGVO könnte nun mitsamt seiner datenschutzrechtlichen Verantwortlichkeit auch seine Vermögensfähigkeit voraussetzen. Unter strenger Berufung auf den Wortlaut der DSGVO wäre die einzige denkbare Alternative, dass gegen den Betriebsrat verhängte Geldbußen leerliefen.547 In der Normenhierarchie geht die DSGVO als Verordnung den nationalen Regelungen vor. Für eine aus der DSGVO abgeleitete Vermögensfähigkeit des Betriebsrats spricht zunächst ein Rückschluss aus der Systematik und den als Auslegungshilfe heranzuziehenden548 Erwägungsgründen: Diese sehen allein für natürliche Personen an Stelle von Geldbußen zunächst u. U. Verwarnungen vor.549 Ausweislich Art. 83 Abs. 7 DSGVO können mitgliedstaatliche Gesetzgeber daneben für öffentliche Stellen und Behörden abweichende Regelungen treffen. Das Organ Betriebsrat ist aber andere Stelle. Gegen andere Stellen sollen regelmäßig Geldbußen verhängt werden. Effektive Durchsetzung von Europarecht anhand der 542

Koch, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 1, Rn. 18. Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 34. 544 Koch, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 1, Rn. 18 fasst folgendermaßen zusammen: „Der Betriebsrat ist nur insoweit vermögensfähig, als ihm nach dem BetrVG vermögensrechtliche Ansprüche zustehen.“ 545 Dies gilt auch im Falle etwaiger anderslautender Vereinbarungen zwischen Arbeitgeber und Betriebsrat, vgl. BAG, Beschl. v. 29. 9. 2004 – Az. 1 ABR 30/03 = NZA 2005, 123. 546 Kap. § 2 D. II. 1. b) aa) (3) (d). 547 S. hierzu bereits Brams / Möhle, ZD 2018, 570 (571); Maschmann, NZA 2020, 1207 (1212 f.); Kap. § 3 D. III. 3. e) cc). 548 Martini / Wagner / Wenzel, VerwArch 2018, 163 (172) mit Verweis auf EuGH, C-345/13, Urt. v. 19. 6. 2014, Slg. 2014, I–2013, Rn. 31 m.w.N – Karen Millen Fashions. 549 DSGVO-EG 148, Satz 2. 543

246

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Verhängung von Geldbußen setzt zur Effektuierung des Datenschutzrechts die Vermögensfähigkeit der mit Geldbußen sanktionierten Entitäten voraus. Dies deutet zunächst darauf hin, dass der Betriebsrat als eigenständiger Verantwortlicher für gegen ihn verhängte Geldbußen selbst aufkommen (können) soll. Die datenschutzrechtliche Fragestellung wirkt sich im Betriebsverfassungsrecht aus. Und hier hat der europäische Gesetzgeber weniger weitreichende Ermächtigungen als im Datenschutzrecht. Die datenschutzrechtliche Verantwortlichkeit bedingt arbeitsrechtliche Rechtsfolgen. Die Kompetenzordnung begrenzt die Nutzbarkeit einer Öffnungsklausel. Innerhalb europäischer Vorgaben dürfen Mitgliedstaaten durch Gesetz oder Kollektivvereinbarungen abweichende Regelungen zum Beschäftigtendatenschutz treffen (Art. 88 DSGVO). Zwar haben sich die Koalitionsparteien der Großen Koalition für die 19. Legislaturperiode im Koalitionsvertrag auf die Ausfertigung eines Beschäftigtendatenschutzgesetzes geeinigt.550 Und indes ist auch ein Expertenbeirat zu der beschäftigtendatenschutzrechtlichen Fragestellung eingesetzt, der den Regelungsbedarf sondiert.551 Der deutsche Gesetzgeber hat jedoch von der Öffnungsklausel in Art. 88 DSGVO (noch) keinen (umfassenden) Gebrauch gemacht.552 Der Verhandlungsfortschritt ist unklar – v. a. wegen der Tradition vieler in der Vergangenheit gescheiterter Vorstöße zu Regelungen zum Beschäftigtendatenschutz.553 Umgekehrt transportiert Art. 88 DSGVO den Leitgedanken, dass der europäische DSGVO-Gesetzgeber nur zurückhaltend arbeitsrechtliche Regelungen erlässt.554 Er hat vor dem Hintergrund mitgliedstaatlicher Eigenheiten nur sehr beschränkte Gesetzgebungskompetenzen im Arbeitsrecht (Art. 153 AEUV).555 Hinter Art. 88 DSGVO steht insoweit ein allgemeiner Regelungsgrundsatz.556 Der europäische Gesetzgeber möchte mit Art. 83 DSGVO nicht überkommene arbeitsrechtliche Grundsätze der Mitgliedstaaten aufbrechen. Denn hier ist seine Gesetzgebungskompetenz beschränkt.557 Das deutsche Recht trennt betriebsrätliche 550

Koalitionsvertrag zwischen CDU, CSU und SPD, 19. Legislaturperiode, Rn. 6088. Redaktion BeckAktuell, Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf v. 16. 6. 2020. 552 S. jedoch § 26 BDSG. 553 Riesenhuber, in: Wolff / Brink (Hrsg.), BeckOK Datenschutzrecht / BDSG, § 26, Rn. 8 ff.; nun aber Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). Dies gilt erst Recht nach Erlass des Betriebsrätemodernisierungsgesetzes, vgl. Kap. § 5. 554 Dies folgt aus traditionell sehr weit auseinanderliegenden Vorstellungen der Mitgliedstaaten zum Beschäftigtendatenschutz, vgl. etwa Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 135; Tiedemann, in: Sydow (Hrsg.), DSGVO, Art. 88, Rn. 3. 555 Kocher, in: Pechstein / Nowak / Häde (Hrsg.), Frankfurter Kommentar, Art. 153 AEUV, Rn. 1; s. zur Gesetzgebungskompetenz zum Beschäftigtendatenschutz aus Sicht der DSGVO Selk, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 88, Rn. 11 ff., der Art. 16 Abs. 2 AEUV als Rechtsgrundlage bevorzugt. 556 Str. wegen des „Datenschutzrechts als Querschnittsmaterie“, s. umfassend Morasch, Datenverarbeitung im Beschäftigungskontext, S. 129 ff. 557 Darauf verweisend, dass die mitgliedstaatlichen Gesetzgeber im Beschäftigungskontext die Gegebenheiten selbst anpassen sollen, in Deutschland insbesondere „die Institution des Betriebsrates“ Pauly, in: Paal / ders., DSGVO, Art. 88, Rn. 1 f. 551

D. Das Haftungsregime in der DSGVO

247

Rechtsfähigkeit und Vermögensfähigkeit voneinander. Zwar ist der Betriebsrat teilrechtsfähig und kann im Einzelfall auch vermögenswerte Rechte geltend machen. Das deutsche Recht kennt bisher jedoch keine vermögenswerten Pflichten des Betriebsrats. Sollte der Betriebsrat als datenschutzrechtlich Verantwortlicher nun nicht nur Haftungsadressat, sondern auch ausgleichspflichtig sein, so widerspricht dies der überkommenen betriebsverfassungsrechtlichen Struktur. Die datenschutzrechtliche (Teil-)Rechtsfähigkeit erweitert ohnehin den Kreis betriebsrätlicher Rechte und Pflichten erheblich. Die datenschutzrechtlich forcierte Vermögensfähigkeit des Betriebsrats würde allerdings den noch legitimen Rahmen sprengen: Sie wäre systemwidrig, jedenfalls soweit sie auch potenzielle Vermögensverpflichtungen umfasst. Und hieran ändert auch der Umstand nichts, dass der europäische Gesetzgeber die DSGVO effektiv ausgestalten wollte.558 Die Kompetenzen begrenzen seinen gesetzgeberischen Willen. Die Ausstrahlungswirkung des in Art. 88 DSGVO verkörperten Prinzips beinhaltet, dass der Betriebsrat durch seine datenschutzrechtliche Verantwortlichkeit nicht zugleich vermögensfähig wird. Auch der Einwand, dass der europäische Gesetzgeber bereits in Art. 83 Abs. 7 DSGVO und den Erwägungsgründen Möglichkeiten nationaler Gesetzgeber vorsieht, einzelne Akteure von Geldbußen auszunehmen, ändert hieran nichts. Denn Art. 88 DSGVO steht neben Art. 83 Abs. 7 DSGVO. Dass das Organ Betriebsrat Geldbußen-Adressat ist, bedingt nicht seine Vermögensfähigkeit. Denn in der bisherigen Vermögensrechts-, aber nicht -pflichtenzuweisung verbirgt sich ein Schutzgedanke:559 Der Betriebsrat ist – historisch erwachsen560 – Arbeitnehmervertretung im Betrieb. Er hat politisch ausgehandelte und wesentlich im BetrVG und sonstigen Nebengesetzen normierte enumerative Rechte und Pflichten. Er ist gerade nicht Akteur im Wirtschaftsverkehr, kann nicht selbstständig Vermögen bilden.561 Dies ist über das in § 41 BetrVG normierte Verbot der Beitragserhebung bzw. Umlage­ finanzierung aus der Belegschaft sogar explizit verboten. Der Betriebsrat soll allein die ihm auferlegten Aufgaben erfüllen, damit einen Interessenausgleich schaffen und gerade nicht im Betrieb einen (auch finanziellen) Gegenpol zum Arbeitgeber darstellen. Geldbußen adressieren so zwar das Organ Betriebsrat. Es ist jedoch nicht vermögensfähig. Und mangels Vermögensfähigkeit ist das Organ Betriebsrat nicht kostenausgleichspflichtig.

558

Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 47. Zur Begründung des Schutzgedankens bei der fehlenden Vermögensfähigkeit vgl. den (historischen) Streitstand zur GbR, der lange Zeit von einer starken Meinung ebenfalls die Vermögensfähigkeit aberkannt wurde: Schäfer, in: Säcker / R ixecker / Oetker / Limperg (Hrsg.), MüKo BGB, Bd. 7 § 705, Rn. 304 ff. 560 Vgl. etwa Rückert / Friedrich, Betriebliche Arbeiterausschüsse. 561 S. für den vergleichbaren Personalrat Richardi, in: ders. / Dörner / Weber (Hrsg.), PersVR, Einl., Rn. 85; Kloppenburg, in: Boecken / Düwell / Diller / Hanau (Hrsg.), BetrVG, § 1, Rn.  70. 559

248

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

cc) Leerlaufen der gegen den Betriebsrat verhängten Geldbußen? Wenn das Europarecht nicht die Vermögensfähigkeit des Betriebsrats voraussetzt und aber Geldbußen gegen den Betriebsrat als datenschutzrechtlich Verantwortlichen verhängt werden, so könnten diese Geldbußen leerlaufen. Denn der Betriebsrat ist lediglich in rechtsbegründenden Vermögenspositionen teilvermögensfähig und kann (bisher) nicht vermögensrechtlich verpflichtet werden. Selbst wenn er vermögensrechtlich verpflichtet werden könnte, so wären Urteile gegen ihn möglicherweise in Deutschland nicht vollstreckbar, soweit sie auf Zahlung einer Geldbuße gerichtet sind. Denn die Vollstreckung von Urteilen setzt einen insoweit vermögensfähigen Schuldner voraus. Zwar ist der Betriebsrat auch arbeitsverfahrensrechtlich teilrechtsfähig (vgl. § 10 ArbGG). Dies gilt jedoch nur, soweit das Verfahren seine Rechtspositionen in explizit ihn adressierenden Gesetzen, wie etwa dem BetrVG, betrifft (§ 10 ArbGG i. V. m. § 2a Abs. 1 Nr. 1 ArbGG). Die enumerative Aufzählung der §§ 10 i. V. m. 2a Nr. 1–3f ArbGG begründet also keine generelle prozessuale Vermögensfähigkeit des Betriebsrats. Die Lösung, dass Geldbußen gegen den Betriebsrat leerlaufen könnten, widerspricht jedoch dem Effektivitätsgrundsatz.562 Europarechtliche Vorschriften müssen hiernach möglichst effektiv angewandt werden. Und nationale Vorschriften, die die Verhängung oder die Vollstreckung von Geldbußen gegenüber dem Betriebsrat verhindern, stehen dieser Effektivität im Wege. Allenfalls käme insoweit ggf. ein Vertragsverletzungsverfahren der Europäischen Kommission gegen Deutschland in Frage, wegen Verstoßes gegen die (effektive) Ausgestaltung einer obligatorischen Öffnungsklausel563 in der DSGVO (Art. 258 AEUV). Geldbußen müssen ausweislich der Gesetzesbegründungen, der Erwägungsgründe und dem Gesetzeswortlaut im Sinne einer „Mindesttrias“ gerade in wirksamer, abschreckender und verhältnismäßiger Weise erlassen werden.564 Dies gilt für jede verhängte Geldbuße. Die reine Möglichkeit leerlaufender Geldbußen bedeutet jedoch nicht, dass tatsächlich jede Geldbuße, die wegen Datenschutzverstößen im Betriebsratskontext verhängt wird, leerläuft. Denn dies betrifft nur Geldbußen, die exklusiv gegen das Organ „Betriebsrat“ verhängt werden. Und möglicherweise wird nicht jede Handlung im Betriebsratskontext auch dem Betriebsrat zugerechnet.565

562

Zum sog. effet utile bereits Kap. § 2 D. II. 1. d). S. zum obligatorischen Charakter von Art. 83 Abs. 8 DSGVO Kap. § 3 D. III. 3. e) aa). 564 Wirksamkeit kann insoweit an zugleich general- und spezialpräventiver Wirkung festgemacht werden, s. Bergt, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 50; hierzu auch Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 83, Rn. 18 ff. 565 Kap. § 3 D. III. 3. e) ff). 563

D. Das Haftungsregime in der DSGVO

249

dd) Staatshaftungsrecht zur Füllung der Regelungslücke? Grundsätzlich füllt Art. 83 Abs. 1–6 DSGVO die durch die Unanwendbarkeit von §§ 9, 14, 30, 130 OWiG entstehende Lücke aus.566 Art. 83 DSGVO normiert Grundlagen eines formellen und materiellen Sanktionsrechts und harmonisiert damit teilweise das Recht der datenschutzrechtlichen Geldbußen.567 Hiernach müssen die von den Aufsichtsbehörden nach unterschiedlichen Kriterien festgesetzten und verhängten Geldbußen (Abs. 2) in jedem Einzelfall wirksam, verhältnismäßig und angemessen sein (Abs. 1). Geldbußen werden ausweislich Art. 58 DSGVO gegen den Verantwortlichen oder Auftragsverarbeiter verhängt. Art. 83 Abs. 4–6 DSGVO enthalten auch Regelungen über die Höhe der Geldbußen. Der Betriebsrat ist datenschutzrechtlich Verantwortlicher568 und damit grundsätzlich Geldbußen-Adressat. Da das Europarecht keine Vermögensfähigkeit des Betriebsrats erzwingen kann, weil dem europäischen Gesetzgeber hierzu die Ermächtigung fehlt,569 ist der Betriebsrat nicht zwingend datenschutzrechtlich vermögensfähig. Die gegen ihn als Verantwortlichen verhängten Geldbußen drohen leerzulaufen.570 Denn seine Teilrechtsfähigkeit571 impliziert nicht zwangsläufig seine Vermögensfähigkeit. Hieraus entsteht ein (unklarer) Schwebezustand, den rechtsverbindlich allenfalls der Gesetzgeber aufheben könnte, indem er das Geldbußenregime neu regelt.572 Am deutschen Gesetzgeber hängt also die Neuregelung der Rechtslage573 – und diese Stellung ist bekannt von der fehlerhaften Richtlinienumsetzung. Insoweit die deutschen Regelungen im Rahmen der obligatorischen Öffnungsklausel des Art. 83 Abs. 8 DSGVO574 die Rechtslage für den Betriebsrat tatbestandlich nicht lösen und auch nicht lösen könnten, weil sie unanwendbar sind, muss der deutsche Gesetzgeber neue Regelungen erlassen. Bei fehlerhafter oder unvollständiger Umsetzung sind im Einzelfall unter bestimmten Voraussetzungen nicht etwa nur Richtlinien unmittelbar und ohne weiteren Umsetzungsakt anwendbar.575 Bei fehlerhafter mitgliedstaatlicher Umsetzung kommen bei kausal hieraus resultierenden Schäden möglicherweise auch staatshaftungsrechtliche Ansprüche gegen den 566

Kap. § 3 D. III. 3. e) aa); so i.Erg. auch Thiel / Wybitul, ZD 2020, 3 (3 f.); nach Ansicht von Martini / Wagner / Wenzel, VerwArch 2018, 297 (300 f.) verbleiben für den Erlass neben Art. 83 DSGVO bestehender materieller Vorschriften ohnehin allenfalls drei Fallgruppen: Erstens, wenn ein anderer als der verantwortliche Akteur handelt rechtswidrig, zweitens, wenn eine Regelungslücke vorliegt und drittens, wenn im Rahmen einer Öffnungsklausel gegen nationale Vorschriften verstoßen wird. 567 Heghmanns, in: Sydow (Hrsg.), BDSG, § 41, Rn. 31. 568 Kap. § 2 D. III., Kap. § 2 E. 569 Kap. § 3 D. III. 3. e) bb). 570 Kap. § 3 D. III. 3. e) cc). 571 Kap. § 2 D. II. 1. b) aa) (3) (d). 572 Der Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 12, 24 zieht dies leider nicht in Betracht. 573 Vgl. zur heutigen Rechtslage Kap. § 5. 574 S. zur Herleitung des obligatorischen Charakters Kap. § 3 D. III. 3. e) aa). 575 Ausf. Schroeder, in: Streinz (Hrsg.), EUV / A EUV, Art. 288 AEUV, Rn. 91 ff.

250

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

jeweiligen Mitgliedstaat in Frage.576 Das Staatshaftungsrecht wird seit der Frankovich-Entscheidung des EuGH577 aus allgemeinen Grundsätzen des Unionsrechts über Art. 340 AEUV hergeleitet. Wenn aufgrund entgegenstehender mitgliedstaatlicher Regelungen keine Geldbußen gegen Verantwortliche verhängt werden können, könnten staatshaftungsrechtliche Sanktionen gegen mitgliedstaatliche Gesetzgeber verhängt werden. So soll die Umsetzung der europarechtlichen Vorgaben zur Effektuierung des Europarechts erzwungen werden. Allerdings bestehen bei der Anwendung des Staatshaftungsrechts v. a. drei Problemkreise. (1) Lassen sich staatshaftungsrechtliche Richtlinienvorgaben auf die DSGVO übertragen? Das Europarecht differenziert u. a. zwischen Richtlinien und Verordnungen (Art. 288 AEUV). Während Spezifikum der Richtlinie gerade deren Umsetzungsbedarf ist,578 gelten Verordnungen unmittelbar und ohne weiteren Umsetzungsakt in den mitgliedstaatlichen Rechtsordnungen. Staatshaftungsrechtliche Sanktionen von Mitgliedstaaten wegen verpasster oder fehlerhafter Umsetzung europarechtlicher Vorgaben gibt es folglich grundsätzlich nur bei Richtlinien. Die DSGVO ist Grundverordnung. Sie enthält weitreichende Öffnungsklauseln für mitgliedstaatliche Regelungsoptionen, aber auch, um Mitgliedstaaten zu Regelungen zu verpflichten: Neben fakultativen Öffnungsklauseln kennt sie auch obligatorische Öffnungsklauseln,579 wie etwa Art. 83 Abs. 8 DSGVO.580 Obligatorische Öffnungsklauseln müssen von mitgliedstaatlichen Gesetzgebern ausgefüllt werden, damit europarechtliche Vorgaben nicht behindert werden (effet utile). Der deutsche Gesetzgeber behindert jedoch durch die fehlerhafte Umsetzung der Geldbußenverhängung deren Effektivität bei betriebsrätlichen Datenschutzverstößen.581 Bei obligatorischen Öffnungsklauseln gleicht die Grundverordnung also einer Richtlinie – hier wird ihr Hybrid-Charakter besonders deutlich.582 Da die Interessenlage vergleichbar ist mit dem Umsetzungsbedarf bei Richtlinien und auch keine Vorschrift die Sanktionierung fehlerhafter Umsetzung im Rahmen einer Grundverordnung regelt, kann im Falle der DSGVO über eine entsprechende Anwendung des Staatshaftungsrechts nachgedacht werden. 576

Vedder, in: ders. / v. Heintschel-Heinegg (Hrsg.), Unionsrecht, Art. 288 AEUV, Rn. 44 ff.; Ruffert, in: Calliess / ders., EUV / A EUV, Art. 340 AEUV, Rn. 63 ff. 577 EuGH, C-6/90 und C-9/90, Urt. v. 19. 11. 1991, Slg. 1991, 5357 ff. – Frankovich. 578 S. nur Ruffert, in: Calliess / Ruffert (Hrsg.), EUV / A EUV, Art. 288 AEUV, Rn. 23. 579 Hierzu und zu weiterer Binnendifferenzierung s. Müller, Öffnungsklauseln der DSGVO, S. 145 ff. 580 Kap. § 3 D. III. 3. e) aa). 581 Regelungsvorschläge obliegen dem deutschen Gesetzgeber, könnten aber etwa die Vermögensfähigkeit des Betriebsrats oder aber die Haftung des Arbeitgebers für betriebsrätliche Datenschutzverstöße sein. 582 Kühling / Martini, EuZW 2016, 448 (449).

D. Das Haftungsregime in der DSGVO

251

(2) Effektuierung der Geldbußenverhängung durch Sanktionen gegen den deutschen Gesetzgeber? Jedoch effektuieren staatshaftungsrechtliche Sanktionen die Geldbußenverhängung nicht unmittelbar. Das primäre Ziel, Geldbußen durch die richtige Aufsichtsbehörde gegenüber der richtigen Stelle zu verhängen, ist beim Staatshaftungsrecht allenfalls in der Langzeitperspektive erreichbar. Sekundäres Zwischenziel ist es, den Staat durch finanzielle Sanktionierung zur Umsetzung durch Normerlass zu zwingen. Das Staatshaftungsrecht eignet sich somit mittelbar zur Durchsetzung der Geldbußeninhalte. Die Europäische Kommission erlässt jedoch die zu erlassenden Normen nicht selbst. Die allein mittelbare Wirkung des Staatshaftungsrechts ist kein Spezifikum bei der Durchsetzung datenschutzrechtlicher Regelungen und steht der Anwendung des Staatshaftungsrechts grundsätzlich nicht im Wege. (3) Die Akteurskonstellation und die Ungeeignetheit staatshaftungsrechtlicher Sanktionen Insbesondere ist die Akteurskonstellation untypisch für die Anwendung des Staatshaftungsrechts. Denn für gewöhnlich machen natürliche Personen staatshaftungsrechtliche Ansprüche geltend, weil sie durch mangelhafte mitgliedstaatliche Umsetzung des Europarechts in ihren (europäisch begründeten) Rechtspositionen (finanziell) geschädigt sind. „Der Staat“ wird durch staatshaftungsrechtliche Ansprüche belastet, der Bürger hingegen begünstigt. Die hier fragliche Situation unterscheidet sich hiervon grundlegend: Hier geht es gerade nicht um das Verstellen privater Rechte durch fehlende Regelungen, sondern vielmehr werden (staatliche) Sanktionen gegen Private bisher möglicherweise durch fehlende Regelungen in Deutschland unterbunden. Die Interessen der Datenschutzaufsichtsbehörden, also staatlicher Stellen, werden durch die Gesetzgebung des (Mitglied-)Staats beschränkt. Bei Anwendung des Staatshaftungsrechts würde der Staat dazu bewegt werden, die Geldbußenverhängung neu zu regeln. Er würde gezwungen, sich mit dem Erlass einer Rechtsgrundlage selbst Kompetenzen zu schaffen. Zwei staatliche Stellen sind somit einerseits belastet und andererseits begünstigt. Anders als ansonsten bei staatshaftungsrechtlichen Ansprüchen ist hier nicht der Bürger „Begünstigter“ der erzwungenen Neuregelung, sondern der Staat selbst. Ist sonst der Bürger Anspruchsteller, so wäre hier die durch fehlende Regelungen behinderte Datenschutzaufsichtsbehörde Anspruchstellerin. Dieser entsteht aber – im Gegensatz zu den betroffenen Bürgern  – kein finanzieller Nachteil durch eine bisher ausgebliebene Regelung. Sie hat, anders formuliert, keinen Schaden, für den der Staat haften könnte. Die Staatshaftung diente so zwar ohne Weiteres der effektiven Durchsetzung europäischer Regelungen. Da die Datenschutzaufsichtsbehörde jedoch keinen finanziellen Nachteil hat, kann es auch keine Staatshaftung geben.

252

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

(4) Die Anwendung von Art. 83 Abs. 1–6 DSGVO ohne staatshaftungsrechtliche Sanktionen Art. 83 Abs. 1–6 DSGVO füllt also grundsätzlich das Vakuum, das durch die Unanwendbarkeit der §§ 9, 14, 30, 130 OWiG entsteht. Zur Geldbußenverhängung gegen den Betriebsrat liefert Art. 83 Abs. 1–6 DSGVO allerdings keine weiterreichenden Anhaltspunkte, da der europäische Gesetzgeber keine Kompetenz hat, die datenschutzrechtliche Vermögensfähigkeit des Betriebsrats zu erzwingen. Und auch das Staatshaftungsrecht kann mitgliedstaatliche Regelungen nicht (unterstützend) erzwingen. ee) § 40 Abs. 1 BetrVG im Geldbußenrecht der DSGVO Da das Organ Betriebsrat nicht umfassend vermögensfähig ist, liefen Geldbußen leer, soweit es allein ausgleichspflichtig wäre. Doch wie bereits im Schadensersatzrecht der DSGVO könnte § 40 Abs. 1 BetrVG auch im Geldbußenrecht Lösungsansätze bieten. Der Betriebsrat ist datenschutzrechtlich teilrechtsfähig.583 Im Rahmen betriebsverfassungsrechtlicher Rechtspositionen ist er auch bereits bisher partiell vermögensfähig.584 Seine Vermögensfähigkeit wäre also an sich kein evidenter Systembruch. Gegen das Organ Betriebsrat könnten also – je nach Fall-Ausgestaltung – grundsätzlich Geldbußen verhängt werden. Dies heißt jedoch nicht, dass der Betriebsrat selbst auch tatsächlich ausgleichspflichtig sein muss.585 Denn nicht jede Rechtsposition des Betriebsrats begründet zugleich eine entsprechende Vermögensposition.586 Zwar knüpft die DSGVO bei deren Sanktionierung an Datenschutzverstöße des Verantwortlichen, also des Betriebsrats an. Jedoch kann sie – anders als bei vollumfänglich vermögensfähigen Unternehmen – mangels Rechtsetzungskompetenz nicht verlangen, dass der Betriebsrat selbst ausgleichspflichtig sein muss. Aufgrund der Kompetenzverteilung zwischen europäischem Gesetzgeber und mitgliedstaatlichen Gesetzgebern muss die Verhängung von Geldbußen gegen den Betriebsrat zwangsläufig mitgliedstaatlich geregelt werden. Da Schadensersatzansprüche und die Geldbußen gleichermaßen durch europäisches Recht beeinflusst sind, liegt die Idee nahe, beide Fallgruppen rechtlich gleichzustellen.587 Schadensersatzansprüche setzen einen Schaden voraus, d. h. ein unfreiwilliges Vermögensopfer, dessen Ausgleich der Anspruchsberechtigte begehrt.588 Geldbußen hingegen sind Verwaltungssanktion mit zwei Sanktionswir 583

Kap. § 2 D. II. 1. b) aa) (3) (d); s. insbesondere auch Pötters / Gola, RDV 2017, 279 (283). Koch, in: Müller-Glöge / Preis / Schmidt (Hrsg.), ErfK ARbR / BetrVG, § 1, Rn. 18. 585 S. etwa zum (allerdings missglückten) Versuch des deutschen Gesetzgebers, bei der Haftung an andere Akteure anzuknüpfen Kap. § 3 D. III. 3. d) bb). 586 Ausdrücklich Reuter, Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, S. 35 m. w. N. 587 Zum DSGVO-Schadensersatzregime s. Kap. § 3 D II. 588 Beachte aber den Hinweis in DSGVO-EG 146, Satz 3, der normiert, dass der Begriff des Schadens in einer Weise auszulegen ist, die den Verordnungszielen in vollem Umfang ent 584

D. Das Haftungsregime in der DSGVO

253

kungen: Vergangenes Fehlverhalten wird repressiv sanktioniert und künftiges Fehlverhalten soll präventiv unterbunden werden.589 Geldbußen setzen keinen Schaden voraus, sondern allein ein sanktionierbares sozialethisch verwerfliches Verhalten, hier den Datenschutzverstoß. Die Begründung der Höhe einer Geldbuße hängt v. a. von der Schwere eines Verstoßes ab. Zwar mag für die geschädigte Person der Schadensausgleich dringlicher erscheinen als die Verhängung einer Geldbuße. Und es unterscheidet sich auch der Grund von Schadensersatz und Geldbußen. In beiden Fällen besteht allerdings gegen eine sanktionierte Stelle ein Anspruch auf Zahlung eines Geldbetrags. Und insoweit sind Geldbußen und Schadensersatzforderungen miteinander vergleichbar. Auch das Geldbußenregime könnte somit möglicherweise über § 40 Abs. 1 BetrVG und den Begriff der erforderlichen Kosten in Kombination mit den Grundsätzen des innerbetrieblichen Schadensausgleichs aufgelöst werden. Der Kostenbegriff in § 40 Abs. 1 BetrVG könnte Geldbußen umfassen. Er wäre somit Ansatzpunkt für eine „angemessene“ Verteilung der Geldbußen.590 Zwar kann ein Datenschutzverstoß nie erforderlich sein, auch nicht, wenn er eine Geldbuße verursacht. Das Erforderlichkeits-Kriterium könnte allerdings in ein Vermeidbarkeitskriterium abgewandelt werden, dass dann – wie beim innerbetrieblichen Schadensausgleich – nach Verschuldensgraden die Ausgleichsverpflichtung zwischen Arbeitgeber und Organ Betriebsrat verteilt.591 Zwar setzt die direkte Anwendung des innerbetrieblichen Schadensausgleichs einen Schaden voraus.592 Und Geldbußen sind schadensunabhängige Sanktion. Das Konzept des innerbetrieblichen Schadensausgleichs könnte aber entsprechend übertragen werden. Somit liefen jedenfalls nicht alle Geldbußen leer, die gegen das Organ Betriebsrat verhängt werden. Denn der Arbeitgeber wäre im Einzelfall ausgleichspflichtig (Datenschutzverstöße ohne Verschuldensvorwurf bzw. mit dem Vorwurf leichtester Fahrlässigkeit). In anderen Fällen wäre das Betriebsratsmitglied selbst ausgleichspflichtig (vorsätzliche und grob fahrlässig verursachte Datenschutzverstöße). Und bei mittleren Verschuldensgraden (insbesondere leichter Fahrlässigkeit) könnte auf Basis der Dogmatik des innerbetrieblichen Schadensausgleichs von einer Kostenteilung ausgegangen werden, wobei die genauen Haftungsquoten letztlich rechtliche Entscheidung sind und hier allein zur Diskussion gestellt werden sollen.593 Für dieses Ergebnis sprechen systematische Erwägungen: Geld­bußen und

spricht; Boehm, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 82, Rn. 26 spricht von der Wiedergutmachungsfunktion. 589 „Administratives Interventionsinstrument mit […] eindeutig repressiver Ausrichtung und erklärtermaßen abschreckender Funktion“, so unter Verweis auf die DSGVO-EGe 148, 152 und Art. 83 Abs. 1, 9 DSGVO Popp, in: Sydow (Hrsg.), DSGVO, Art. 83, Rn. 2; Thiel / Wybitul, ZD 2020, 3; als repressiv, präventiv und restitutiv wirkend auch beschrieben von Martini / Wagner / Wenzel, VerwArch 2018, 163 (165). 590 Vgl. insoweit auch Schulz, ZESAR 2019, 323 (327). 591 S. zu Idee und rechtlicher Herleitung Kap. § 3 D. II. 2. c), d). 592 Vgl. etwa Maties, in: Gsell / K rüger / Lorenz / Reymann (Hrsg.), BeckOGK / BGB, § 611a, Rn. 1677, 1691 ff. 593 S. hierzu Kap. § 3 D. II. 2. c), d).

254

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Schadensersatzansprüche werden häufig nebeneinander geltend gemacht, wobei die Geldbußenverhängung in der DSGVO geringere Voraussetzungen hat als die Geltendmachung von Schadensersatzansprüchen. Die Geltendmachung von Schadensersatzansprüchen setzt zusätzlich einen Schaden voraus. Geringere Anforderungen müssten gerade die Voraussetzungen der Geltendmachung erleichtern. Die Anwendung von § 40 Abs. 1 BetrVG mit modifiziertem ErforderlichkeitsKriterium ist eine Möglichkeit, die Geldbußenverhängung nach betriebsrätlichen Datenschutzverstößen zu regeln.594 Der Handelnde, d. h. das Betriebsratsmitglied, wäre dann Adressat der Haftung, wobei ihm im Sinne konsequenter Anwendung der Dogmatik des innerbetrieblichen Schadensausgleichs – im Einzelfall und je nach Verschuldensgrad – ein Freistellungsanspruch gegenüber dem Arbeitgeber zustünde595 – mit weiter zu diskutierenden insolvenzrechtlichen Konsequenzen. ff) Geldbußen gegen die Betriebsratsmitglieder wegen eigenen Verschuldens – der Exzess-Gedanke als Aufrechterhaltung des Betriebsverfassungsrechts? Trotz der Anwendung von § 40 Abs. 1 BetrVG liefen Geldbußen etwa in Fällen leer, in denen der Arbeitgeber nach dem Prinzip des innerbetrieblichen Schadensausgleichs nicht haftet (ggf. leicht oder grob fahrlässige und vorsätzliche Datenschutzverstöße). Das Leerlaufen der Geldbußen widerspricht evident dem Effektivitätsgrundsatz. Da aber das Organ Betriebsrat nicht haften kann und auch der Arbeitgeber nicht haftet, weil er auf den konkreten Datenschutzverstoß (mangels Weisungsrechts) keinen Einfluss hat, bleiben als Schuldner der verhängten Geldbußen allenfalls die Betriebsratsmitglieder. Hierbei ist zu beachten, dass Betriebsratsmitgliedschaft Ehrenamt ist (§ 37 BetrVG).596 Betriebsratsmitglieder verarbeiten Daten, damit der Betriebsrat seiner Aufgabenwahrnehmung – der Arbeitnehmerinteressenvertretung im Betrieb – nachkommen kann.597 Anders formuliert: Ohne die Betriebsratsmitgliedschaft würden die Betriebsratsmitglieder die konkret verarbeiteten Daten gerade nicht verarbeiten. Und sie würden folglich auch keine Datenschutzverstöße begehen. Wenn sie die Datenschutzverstöße nicht explizit wollen (Vorsatz), so verursachen sie die Datenschutzverstöße fahrlässig oder ohne Verschuldensvorwurf, aber allein deshalb, weil sie in ihrer Funktion als Betriebsratsmitglied Daten für den Betriebsrat verarbeiten. Gerade weil sie ehrenamtlich

594

S. zu erfolgreichen Ansätzen beim Schadensersatzregime Kap. § 3 D. II. 2. BAG, Urt. v. 23. 6. 1988 – Az. 8 AZR 300/85; Feuerborn, in: Gsell / K rüger / Lorenz / Reymann (Hrsg.), BeckOGK / BGB, § 619a, Rn. 46 f.; Baumgärtner, in: Hau / Poseck (Hrsg.), ­BeckOK BGB, § 611a, Rn. 74 ff. 596 Brams / Möhle, ZD 2018, 570 (572); Schulz, ZESAR 2019, 323 (327); zu Möglichkeiten der Sanktionierung ohne Verstoß gegen das Ehrenamtsprinzip s. Schuster / Schunder, NZA 2020, 92 (95 f.); kritisch hierzu wohl Maschmann, NZA 2020, 1207 (1213); s. bereits Kap. § 3 ​ D. III. 3. d) bb) (4) (a) (dd). 597 S. Kap. § 1 und Kap. § 2. 595

D. Das Haftungsregime in der DSGVO

255

tätig sind, sollen sie nicht übermäßig belastet werden.598 Ausfluss des betriebsverfassungsrechtlichen Grundprinzips „Ehrenamt“ könnte z. B. sein, dass nicht jeder – etwa schuldlos oder ggf. auch leichtest bzw. leicht fahrlässig – verursachte Datenschutzverstoß dem Betriebsratsmitglied selbst zugerechnet werden soll. Denn ansonsten würden Betriebsratsmitglieder schlechter stehen als sonstige Belegschaftsmitglieder. Nicht jeder Datenschutzverstoß eines Betriebsratsmitglieds bei für den Betriebsrat vorgenommenen Handlungen darf nach diesem Gedanken zu seiner Haftung führen. Und auch die Möglichkeit, gegen Betriebsratsmitglieder als natürliche Person zunächst „Verwarnungen“ auszusprechen, reicht nicht aus.599 Denn hiermit werden allein datenschutzrechtliche Maßstäbe zugrunde gelegt, während auch die Beurteilung betriebsverfassungsrechtlicher Besonderheiten den Datenschutzaufsichtsbehörden obläge. Hierzu werden zunächst die Weisungsstruktur (1) und der potenzielle Exzess von Betriebsratsmitgliedern (2) untersucht. Dann wird die Haftung der Betriebsratsmitglieder wegen Exzesses in den Mittelpunkt gestellt (3), ehe besondere Problemkonstellationen herausgestellt werden (4). Abschließend werden die Gedanken zusammengetragen (5). (1) Weisungsstruktur (Art. 29 DSGVO) und Geldbußen gegen den Betriebsrat Die Konstellation, dass natürliche Personen für übergeordnete Stellen Daten verarbeiten, ist gemeinhin bekannt: Jede juristische Person ist auf Handlungen natürlicher Personen angewiesen. Dahinter liegt ein Zurechnungsprinzip, das u. a. in Art. 29 DSGVO angelegt ist: Die natürliche Person verarbeitet im Interesse und auf Weisung der übergeordneten Entität hin personenbezogene Daten.600 Nicht sie, sondern vielmehr die übergeordnete Entität entscheidet über Zwecke und Mittel der Datenverarbeitung. Die übergeordnete Entität ist verantwortlich im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO, nicht die natürliche Person. Dieses Prinzip ist stark mitarbeiterorientiert.601 Im Regelfall sind Mitarbeiter Randfiguren der Verarbeitung, die nicht sanktioniert werden sollen, solange sie im Rahmen ihrer Kompetenzen arbeiten.602 Ausweislich Art. 29 DSGVO hängt die Zurechnung, soweit keine Verarbeitungspflicht besteht, daran, ob eine Person als unterstellte Person Zugang zu personenbezogenen Daten hat und auf Weisung der übergeordneten Stelle die 598

Brams / Möhle, ZD 2018, 570 (572); Schulz, ZESAR 2019, 323 (327); kritisch hierzu wohl Maschmann, NZA 2020, 1207 (1213); a. A. wohl Schuster / Schunder, NZA 2020, 92 (95 f.), die die Handlung des Arbeitnehmers im Betrieb der Handlung des Betriebsratsmitglieds im Betrieb gegenüberstellen und versuchen herauszuarbeiten, dass Arbeitnehmer und Betriebsratsmitglieder für Überschreitungen ihrer Kompetenzen sanktioniert werden und somit gerade keine der beiden Gruppen gegenüber der anderen schlechter gestellt ist; hierzu a. Kap. § 3 ​ D. III. 3. d) bb) (4) (a) (dd). 599 A. A. Maschmann, NZA 2020, 1207 (1213). 600 S. bereits Kap. § 2 D. II. 1. 601 Hartung, in: Kühling / Buchner (Hrsg.), DSGVO / BDSG, Art. 29, Rn. 12 f. 602 Martini / Wagner / Wenzel, VerwArch 2018, 297 (333).

256

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Daten verarbeitet. Die Weisung unterliegt keinen spezifischen Formvorschriften.603 Zwar ist das Organ Betriebsrat nicht weisungsbefugt gegenüber den Betriebsratsmitgliedern. Gesetz und Betriebsratsbeschlüsse geben aber weisungsähnliche Handlungsparameter vor (§ 33 BetrVG).604 (2) Weisungsrecht und Exzess der Betriebsratsmitglieder An die in Art. 29 DSGVO normierte Weisungsarchitektur knüpft das ExzessKonzept605 an, dass die grundsätzliche Stellung des Organs Betriebsrat als datenschutzrechtlich Verantwortlichen nicht berührt.606 Denn grundsätzlich werden Handlungen der Betriebsratsmitglieder weiterhin dem Organ Betriebsrat zugerechnet, soweit sie innerhalb von dessen Handlungsmaßgaben erfolgen. Der Exzess kann aber diese Zurechnung im Einzelfall durchbrechen. Ein datenschutzrecht­ licher Exzess ist der Verstoß eines Handelnden gegen die Vorgaben bzw. Weisungen einer übergeordneten und eigentlich über Zwecke und Mittel der Datenverarbeitung entscheidenden Stelle. Da der Handelnde ausdrücklich gegen deren Vorgaben und Weisungen verstößt, hat die übergeordnete Stelle an diesem Exzess kein Interesse.607 Der Verstoß hat erhebliche Auswirkungen auf die Stellung als datenschutzrechtlich Verantwortlicher: Der übergeordneten Stelle entgleitet die Entscheidung über Zwecke und Mittel der Datenverarbeitung, da sich der Handelnde über ihre Entscheidung (gerade) hinwegsetzt. Vielmehr entscheidet beim Exzess die gegen die Weisung verstoßende natürliche Person über die Zwecke und Mittel der Datenverarbeitung und ist damit selbst datenschutzrechtlich verantwortlich im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO. Ihre Entscheidung löst die ursprüngliche Entscheidung der übergeordneten Stelle ab – denn die natürliche Person entscheidet auch nicht mit der übergeordneten Stelle als gemeinsam Verantwortliche. Art. 29 DSGVO rechnet nicht lediglich zu, sondern grenzt zugleich Zurechnung und Exzess voneinander ab.608 Ohne Rückgriff auf die von Art. 83 DSGVO verdrängten OWiG-Vorschriften ermöglicht das Konzept des Exzesses, dass natürliche Personen wegen ihrer Entscheidung über Zwecke und Mittel der Datenverarbeitung als Verantwortliche für Handlungen im Aufgabenbereich einer übergeordneten Stelle selbst sanktioniert werden.609 Gesetzlicher Anknüpfungspunkt hierfür sind die in Art. 4 Nr. 7 1. Hs. DSGVO genannten natürlichen

603

Bertermann, in: Ehmann / Selmayr (Hrsg.), DSGVO, Art. 29, Rn. 4; Petri, in: Simitis / Hornung / Spiecker (Hrsg.), DSGVO, Art. 29, Rn. 14; Hartung, in: Kühling / Buchner (Hrsg.), DGSVO / BDSG, Art.  29, Rn.  16. 604 Kap. § 2 D. II. 1. d) bb). 605 S. bereits Article 29 Data Protection Working Party, WP 169 v. 16. 2. 2010, S. 20 f. 606 Unklar jedoch bei Maschmann, NZA 2020, 1207 (1210 ff.). 607 Martini / Wagner / Wenzel, VerwArch 2018, 297 (302). 608 Martini / Wagner / Wenzel, VerwArch 2018, 297 (302). 609 So auch Thiel / Wybitul, ZD 2020, 3.

D. Das Haftungsregime in der DSGVO

257

Personen, die bei Entscheidung über Zwecke und Mittel der Datenverarbeitung als Verantwortliche für Datenschutzverstöße haften können (Art. 83 DSGVO).610 (3) Die Haftung der Betriebsratsmitglieder wegen Exzesses zwischen Schutzbedürfnis und Verschuldensgrad Der Exzess-Gedanke muss zwei Extreme berücksichtigen: Auf der einen Seite heißt eigene Verantwortlichkeit ohne Weiteres auch eigene Haftung natürlicher Personen, wie etwa der Betriebsratsmitglieder für eigenes datenschutzrechtliches Fehlverhalten. Auf der anderen Seite verarbeiten Betriebsratsmitglieder die konkreten Daten nur deshalb, weil sie Betriebsratsmitglieder sind. Und als Betriebsratsmitglieder sind sie finanziell schutzbedürftig (vgl. etwa § 40 Abs. 1 BetrVG). Ob eine konkrete Handlung dem verantwortlichen Organ Betriebsrat oder dem Betriebsratsmitglied selbst zugerechnet werden kann, ist Einzelfallfrage. Im Einzelfall entscheidet sich auch, gegen wen nach Art. 83 DSGVO Geldbußen verhängt werden können. Oben wurde bereits die Haftungsverteilung zwischen dem Betriebsrat und dem Arbeitgeber anhand des innerbetrieblichen Schadensausgleichs vorgeschlagen.611 Der Arbeitgeber hätte nach diesem Vorschlag alle nicht vermeidbaren Kosten zu tragen, weil diese erforderlich sind (§ 40 Abs. 1 BetrVG). Nicht vermeidbar sind Kosten dann, wenn die ihnen zugrunde liegenden Datenschutzverstöße ohne Fahrlässigkeitsvorwurf oder mit leichtester Fahrlässigkeit verursacht wurden.612 Andererseits muss der Arbeitgeber nicht haften, wenn ein Betriebsratsmitglied Datenschutzverstöße grob fahrlässig oder sogar vorsätzlich verursacht, weil diese Datenschutzverstöße vermeidbar und damit nicht erforderlich im Sinne von § 40 Abs. 1 BetrVG sind.613 Während der Arbeitgeber vermeidbare Datenschutzverstöße nicht ausgleichen muss, ist er also bei unvermeidbaren Datenschutzverstößen ausgleichspflichtig. Adressat nicht vermeidbarer Geldbußen ist zunächst das Organ Betriebsrat, wobei der Arbeitgeber über § 40 Abs. 1 BetrVG die Kosten (der Betriebsratsarbeit) zu tragen hat.614 Anders ist die Sachlage hingegen bei grob fahrlässigen oder vorsätzlichen Datenschutzverstößen von Betriebsratsmitgliedern. Da bei einer Kompetenzüberschreitung nicht das Organ Betriebsrat, sondern vielmehr das einzelne Betriebsratsmitglied über Zwecke und Mittel der Datenverarbeitung entscheidet, ist hier – als Folge

610

Etwas verwirrend im Verhältnis zur Verantwortlichkeit des Organs Betriebsrat an diesen Gedanken auch anknüpfend Maschmann, NZA 2020, 1207 (1207 ff.). 611 Kap. § 3 D. II. 3.; im Bereich der Geldbußen halten neuerlich – unter der Annahme, §§ 9, 130 OWiG seien anwendbar – auch Moos / Schefzig, in: Taeger / Gabel (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 93a den innerbetrieblichen Schadensausgleich für anwendbar. 612 Kap. § 3 D. II. 3. 613 S. zum Vorschlag der Modifikation des Erforderlichkeits- in ein Vermeidbarkeitskriterium Kap. § 3 D. II. 3.  und Kap. § 3 D. III. 3. e) ee). 614 Kap. § 3 D. II. 3.

258

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

des Exzess-Gedankens – bereits keine Zurechnung zum Organ Betriebsrat möglich. Denn das handelnde Betriebsratsmitglied entscheidet über Zwecke und Mittel der Datenverarbeitung. Es ist als über Zwecke und Mittel der Datenverarbeitung entscheidende natürliche Person folglich selbst verantwortlich (Art. 4 Nr. 7 1. Hs. DSGVO) und damit Adressat der Geldbußen nach Art. 83 Abs. 1 DSGVO. Da hier ein zumindest grob fahrlässiger Datenschutzverstoß zugrunde liegen muss, erhält dieser Ansatz auch die besondere Schutzbedürftigkeit der ehrenamtlichen Tätigkeit bei der Betriebsratsarbeit aufrecht. Denn auch das ehrenamtliche Betriebsratsmitglied darf natürlich nicht – und schon gar nicht willentlich – gegen gesetzliche Vorgaben verstoßen. Liegt einem betriebsrätlichen Datenschutzverstoß keine Einzelhandlung sondern sogar eine Entscheidung des Betriebsausschusses o.ä. zugrunde, so könnten im Falle daraus resultierender grob fahrlässiger oder vorsätzlicher Datenschutzverstöße die Betriebsratsmitglieder verantwortlich sein, die den Beschluss getragen haben.615 Denn sie haben über den gesetzlich zulässigen Rahmen hinaus selbst über Zwecke und Mittel der Datenverarbeitung entschieden.616 Der Ausgleich wäre zu teilen, wenn Datenschutzverstöße leicht fahrlässig verursacht werden: Die Abstufungen müssen im Einzelfall entschieden und diskutiert werden. Die Gefahrneigung der Tätigkeit könnte hierbei als Abgrenzungskriterium genutzt werden. Bei diesen Verschuldensgraden wäre die Ausgleichspflicht zwischen Arbeitgeber und handelndem Betriebsratsmitglied möglicherweise zu teilen (inner­betrieblicher Schadensausgleich). (4) Besondere Problemkonstellationen beim Exzess der Betriebsratsmitglieder Zumindest Grenzfälle fordern den Exzess-Gedanken heraus: Einerseits ist denkbar, dass ein Betriebsratsmitglied einen zu rechtmäßiger Datenverarbeitung anhaltenden Betriebsratsbeschluss grob fahrlässig falsch versteht und in dessen Folge gegen Datenschutzrecht verstößt. Denkbar ist andererseits auch, dass einzelne am Betriebsratsbeschluss Beteiligte ohne Verschuldensvorwurf die Datenschutzrechtswidrigkeit des Beschlusses verkennen, während andere, wohl wissentlich, den Datenschutzverstoß anhand des Betriebsratsbeschlusses herbeiführen wollen. In beiden Fällen hilft der Zurechnungsgedanke des innerbetrieblichen Schadensausgleichs aber als Verteilungsschlüssel nach Verschuldensgrad weiter.617 Die Haftung bei leichter Fahrlässigkeit ist nach der Dogmatik des innerbetrieblichen Schadensausgleichs aufzuteilen: Für Datenschutzverstöße könnte an dieser starren Dogmatik festgehalten oder diese könnte im Einzelfall, etwa unter Berücksichtigung der Gefahrneigung der Tätigkeit, angepasst werden. Hier soll nur auf drohende Probleme und etwaige Lösungsmöglichkeiten hingewiesen werden, etwa durch stärkere Berücksichtigung der Gefahrneigung der Tätigkeit. Gerade 615

I.Erg. so auch Maschmann, NZA 2020, 1207 (1214). S. zum parallel verlaufenden Arbeitnehmerexzess jüngst Richter, ArbRAktuell 2020, 613. 617 Dieser Gedanke findet sich auch bei Martini / Wagner / Wenzel, VerwArch 2018, 297 (305). 616

D. Das Haftungsregime in der DSGVO

259

bei leicht fahrlässigen Datenschutzverstößen bedarf es somit weiterer Diskussion. Bei grober Fahrlässigkeit (oder im Einzelfall eben auch bei leichter Fahrlässigkeit) könnte das Betriebsratsmitglied so noch selbst über Zwecke und Mittel der Datenverarbeitung entscheiden, etwa weil es die im Verkehr erforderliche Sorgfalt so sehr außer Acht lässt, dass es Handlungshoheit hat. Das Betriebsratsmitglied wäre dann haftender Verantwortlicher im Sinne von Art. 83 DSGVO. Ist dem Betriebsratsmitglied im Einzelfall jedoch lediglich leichteste (oder in anderen Einzelfällen auch leichte) Fahrlässigkeit vorwerfbar, so wäre weiterhin das Organ Betriebsrat Verantwortlicher und der Arbeitgeber würde die Kosten tragen. Der Verschuldensmaßstab könnte also geeignetes Kriterium bei der Zurechnung von Datenschutzverstößen zwischen Organ Betriebsrat bzw. arbeitgeberseitiger Ausgleichspflicht und der Ausgleichspflicht des einzelnen Betriebsratsmitglieds sein. Da der Betriebsratsbeschluss im ersten Fall zu einer rechtmäßigen Datenverarbeitung aufforderte, haben die am Beschluss beteiligten Betriebsratsmitglieder rechtmäßig entschieden – sie sind nicht sanktionierbar. Das oder die (grob fahrlässig) falsch verstehende(n) Betriebsratsmitglied(er) hingegen würde(n) in dieser Logik selbst über die Zwecke und Mittel der Datenverarbeitung entscheiden und wäre(n) selbst verantwortlich und damit ausgleichspflichtig. Im zweiten Fall ist die Konstellation hingegen anders: Ursache und Ausgangspunkt des Datenschutzverstoßes618 ist hier bereits der Betriebsratsbeschluss. Einige Betriebsratsmitglieder führen den rechtswidrigen oder den die rechtswidrige Datenverarbeitung verursachenden Beschluss vorsätzlich herbei, während andere sich der Rechtswidrigkeit in nicht vorwerfbarer Weise nicht bewusst sind. Dieser Datenschutzrechtsverstoß ist somit nicht allen Betriebsratsmitgliedern gemeinsam vorwerfbar. Angeknüpft werden könnte an das Abstimmungsergebnis des Betriebsratsbeschlusses oder an das voluntative Element bei der Abstimmung. Entweder träfe die Sanktion also alle den Betriebsratsbeschluss unterstützenden Betriebsratsmitglieder oder allein die Betriebsratsmitglieder, die dem Datenschutzverstoß vorsätzlich bzw. grob fahrlässig den Weg geebnet haben. Soweit allerdings zumindest ein Betriebsratsmitglied vorsätzlich einen Datenschutzverstoß verursacht hat, ist konsequenterweise der Arbeitgeber von seiner Kostentragungspflicht nach § 40 Abs. 1 BetrVG befreit. Verschuldensanteile von unverschuldet gegen Datenschutzrecht verstoßenden Betriebsratsmitgliedern könnten ihm nicht zugerechnet werden. Die praktische Umsetzung obläge den Datenschutzaufsichtsbehörden.

618

So i.Erg. auch Maschmann, NZA 2020, 1207 (1214) m. w. N.; vgl. umfassend zur Haftung aus Delikt von Betriebsratsmitgliedern gemeinsam: Franzen, in: Wiese et al. (Hrsg.), GK BetrVG I, § 1, Rn. 81 (85); zu einer unmöglichen gesamtschuldnerischen und deshalb einer je individualisierten Haftung s. auch Moos / Schefzig, in: Taeger / Gabel (Hrsg.), DSGVO / BDSG, Art. 83, Rn. 83.

260

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

(5) Der Exzess-Gedanke als Lösungsmöglichkeit für Geldbußen gegen den Betriebsrat Ziel der vorliegenden Arbeit ist es, Lösungsmöglichkeiten für die Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße aufzuzeigen. Nun ist der weitere rechtswissenschaftliche Diskurs gefordert, die Plausibilität der Vorschläge zu diskutieren und – wenn für verwertbar bewertet – weiterzuentwickeln. Der Exzess-Gedanke ist – insbesondere in Kombination mit § 40 Abs. 1 BetrVG und dem innerbetrieblichen Schadensausgleich – eine Möglichkeit für Gerichte, Rechtspraxis und Datenschutzaufsichtsbehörden, die Geldbußen-Verhängung der DSGVO in der bestehenden deutschen Rechtsordnung auch ohne die (tatbestandlich nicht passenden und unanwendbaren) Vorschriften des OWiG durchzusetzen. Diese Möglichkeit hat den Vorteil, dass sie das Datenschutzrecht effektuiert und gleichermaßen betriebsverfassungsrechtliche Wertungen aufrechterhält. gg) Vielfältige Lösungsmöglichkeiten für Geldbußen wegen betriebsrätlicher Datenschutzverstöße Aus dem bestehenden Recht lassen sich unterschiedliche Lösungsmöglichkeiten für die Verteilung verhängter Geldbußen gegen den Betriebsrat ableiten, deren Vor- und Nachteile im Rahmen der Arbeit und fortlaufend diskutiert werden sollten. Die hiesigen Lösungsvorschläge werden zur Diskussion gestellt. Hier formulierte Lösungs-Präferenzen, die wiederum die aufgezeigten Problemfolgen mit sich bringen, sollen nicht darüber hinwegtäuschen, dass noch viel Diskussionsbedarf besteht. Wichtig erscheint, dass der gescheiterte Regelungsversuch des deutschen Gesetzgebers mit dem Verweis auf das OWiG neu geregelt werden sollte, aber nicht zwingend neu geregelt werden muss.619 Eine analoge Anwendung der unanwendbaren §§ 9, 14, 30, 130 OWiG kommt hierbei bereits aus methodischen Gründen nicht in Frage. Problematisch ist aufgrund der fehlenden Rechtsetzungskompetenz des europäischen Gesetzgebers auch die Annahme, die DSGVO setze die Vermögensfähigkeit des Betriebsrats zwingend voraus. Und auch das mögliche Leerlaufen von gegen den Betriebsrat verhängten Geldbußen wegen seiner negierten Vermögensfähigkeit ist wegen des effet utile eine nur schwerlich denkbare Lösung. Näher liegt hingegen, dass Art. 83 Abs. 1–6 DSGVO zunächst die aus der Unanwendbarkeit der OWiG-Vorschriften entstehende Lücke füllt: Gegen den Betriebsrat können als datenschutzrechtlich Verantwortlichen Geldbußen verhängt werden. Verhängte Geldbußen bedeuten jedoch nicht zugleich, dass der Geldbußen-Adressat die Geldbußen auch tatsächlich ausgleichen muss. So regelt die allgemeine betriebsverfassungsrechtliche Kostenverteilungsregelung des § 40 Abs. 1 619

Der Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz) sieht diese Probleme leider nicht, die im Hinblick auf die Anwendbarkeit des OWiG für den Arbeitgeber gleichermaßen gelten.

D. Das Haftungsregime in der DSGVO

261

BetrVG bereits, dass etwaig der Arbeitgeber die Kosten der Betriebsratsarbeit zu tragen hat. Und diese Kostenverteilungsregelung könnte auch die Kostenverteilung bei Datenschutzverstößen regeln. Der Arbeitgeber muss grundsätzlich erforder­ liche Kosten der Betriebsratsarbeit tragen. Erforderlichkeit könnte im Haftungskontext im Sinne der Dogmatik des innerbetrieblichen Schadensausgleichs mit Vermeidbarkeit übersetzt werden. Vermeidbar sind jedenfalls vorsätzliche und – nach hier vorgeschlagener, an die Dogmatik des innerbetrieblichen Schadensausgleichs anknüpfender, aber sicher diskutabler Auffassung – auch grob fahrlässige Datenschutzverstöße. Für diese muss der Arbeitgeber nicht aufkommen, während Geldbußen für Datenschutzverstöße mit leichtester – und wohl in Teilen auch leichter – Fahrlässigkeit vom Arbeitgeber auszugleichen sind. Die Lastenverteilung für vorsätzliche und grob fahrlässige Datenschutzverstöße, die nicht vom Arbeitgeber zu tragen sind, könnte – nach hier vertretener Ansicht – durch den Exzess-Gedanken arrondiert werden. Denn der Exzess-Gedanke verhindert das Leerlaufen vereinzelter Geldbußen wegen fehlender betriebsrätlicher Vermögensfähigkeit. Überschreitet ein Betriebsratsmitglied in vorwerfbarer Weise, d. h.  – nach hier vertretener, aber sicher diskutabler Auffassung vorsätzlich oder grob fahrlässig – seine im Rahmen der Betriebsratsarbeit bestehenden Kompetenzen, so entscheidet es selbst über Zwecke und Mittel der Datenverarbeitung. Das Betriebsratsmitglied ist dann als natürliche Person selbst datenschutzrechtlich verantwortlich (Art. 4 Nr. 7 1. Hs. DSGVO) und Geldbußen-Adressat für den begangenen Datenschutzverstoß (Art. 83 Abs. 1 DSGVO). Das Ehrenamts-Prinzip findet Ausdruck in besonderen Schutzmechanismen in der DSGVO, die eine übermäßige finanzielle Belastung verhindern sollen: Datenschutzaufsichtsbehörden haben die Möglichkeit, natürliche Personen zunächst zu verwarnen, anstatt mittelbar Geldbußen gegen sie zu erheben. Der Betriebsrat bliebe so, entgegen anderer oder jedenfalls klarer als bei anderen Auffassungen,620 organschaftlich Verantwortlicher, insbesondere um Betroffenenrechte (Artt. 12 ff. DSGVO) und Verarbeitungsgrundsätze effektiv wahren zu können (Art. 5 DSGVO) und unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen zu müssen bzw. zu können (Art. 37 DSGVO).621 Datenschutzrechtliche Grundprinzipien blieben gewahrt. Er bleibt aber zugleich nicht vermögensfähig, denn er selbst ist nie ausgleichspflichtig – je nach Zurechnung der Verschuldensabstufungen haftet entweder der Arbeitgeber oder aber es haften die Betriebsratsmitglieder. Und insoweit werden die betriebsverfassungsrechtlichen Grundprinzipien gewahrt. Europäische Vorgaben und durch mitgliedstaatliche Regelungen beschränkte europäische Kompetenzen werden also gleichermaßen aufrechterhalten: Geldbußen liefen nicht leer und der Betriebsrat wäre trotzdem nicht europarechtlich erzwungen (rechtswidrig) vermögensfähig.

620

Vgl. etwa Maschmann, NZA 2020, 1207. Leider verkennt der Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz) die Probleme bei der Benennung des Datenschutzbeauftragten.

621

262

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

f) Geldbußen in der DSGVO gegen den datenschutzrechtlich verantwortlichen Betriebsrat Da der Betriebsrat im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO datenschutzrechtlich Verantwortlicher ist, drohen gegen ihn Geldbußen verhängt zu werden. Praktisch wird keine Geldbuße auf Basis der Vorschriften des OWiG gegen den Betriebsrat verhängt werden, weil die Datenschutzaufsichtsbehörden die Verweisungstechnik von Art. 83 Abs. 8 DSGVO über § 41 Abs. 1 BDSG auf das OWiG für europarechtswidrig und unanwendbar halten. Der deutsche Verweis auf das OWiG schafft es nicht, das Geldbußenregime rechtmäßig zu ordnen. Die OWiG-Vorschriften zum „Ob“ und „Wie“ der Geldbußenverhängung gegen den Betriebsrat sind wegen Verstoßes gegen die europarechtliche Rahmung in Art. 83 DSGVO unanwendbar. Zwar könnte der deutsche Gesetzgeber den Betriebsrat im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO grundsätzlich von der Verantwortlichkeit ausnehmen oder gerade – etwaig unter Regelung der Rechtsfolgen – als Verantwortlichen klassifizieren. Er hat bisher allerdings keine Regelung erlassen. Die alte Rechtslage unter dem BDSG, den Betriebsrat weiterhin der verantwortlichen Stelle Arbeitgeber zu­zurechnen, kann zugleich zumindest so lange nicht aufrechterhalten werden, wie der deutsche Gesetzgeber nicht eine derartige, abweichende Regelung im Rahmen der Öffnungsklausel von Art. 4 Nr. 7 2. Hs. DSGVO erlässt.622 Und ob der zur Sondierung eingesetzte Expertenbeirat zum Beschäftigtendatenschutz eine Regelung empfehlen wird, ist unklar, angesichts der heterogenen Meinungen in der Literatur, die Einzug in das Gremium finden dürften. Der kürzlich veröffentlichte Regierungsentwurf 623 überzeugt jedenfalls deshalb nicht, weil er die Rechtsfolgen weitgehend außer Acht lässt. Denn der Arbeitgeber hat mangels Weisungsrechts keinen Einfluss auf betriebsrätliche Datenverarbeitungen und haftet so möglicherweise für Datenschutzverstöße, die er selbst nicht verhindern konnte bzw. kann. Bis zu einer Regelung durch den deutschen Gesetzgeber muss in der deutschen Rechtsordnung nach passförmigen Lösungen gesucht werden. Die Untersuchung stellt Lösungsansätze zur Diskussion. 4. Das Geldbußenregime im Wandel der Rechtsnormen Der rechtswissenschaftliche Meinungsstand und auch die bisherige Rechtslage unter dem alten BDSG bieten keine Hinweise für die Verteilung der neuerlich gegen den datenschutzrechtlich verantwortlichen Betriebsrat zu verhängenden Geld­bußen, da sich die Rechtslage erheblich geändert hat. Der Betriebsrat ist nun als Organ datenschutzrechtlich Verantwortlicher. Die europarechtlichen Vorgaben erzwingen die Suche nach Lösungen zur Geldbußenverhängung im deutschen Recht. Der Verweisungsversuch des deutschen Gesetzgebers auf das OWiG geht

622

623

S. hierzu Kap. § 5. Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz).

D. Das Haftungsregime in der DSGVO

263

jedoch fehl. Und dennoch lassen sich auf Basis des deutschen Rechts Lösungen herleiten. Hier werden verschiedene Lösungsansätze vorgeschlagen und diskutiert. Nicht verborgen soll die hiesige Präferenz für eine Lösung bleiben, die aus einer Kombination der Anwendung von § 40 Abs. 1 BetrVG, den Regelungen des innerbetrieblichen Schadensausgleichs in entsprechender Anwendung und dem ExzessGedanken besteht. Diese Lösung hat sicherlich ihre Schwächen – hier aufgezeigte und weitere. Diese Schwächen müssen diskutiert werden. Denn klar ist: Bis der deutsche Gesetzgeber keine europarechtskonforme Neuregelung geschaffen hat, ist das Geldbußen-Sanktionssystem in der DSGVO nicht rechtssicher. Der Gesetzgeber könnte den Betriebsrat von der datenschutzrechtlichen Verantwortlichkeit im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO gänzlich befreien oder ihn andererseits vollumfänglich für verantwortlich erklären.624 Beide Regelungsvarianten, d. h. die Verantwortlichkeit des Betriebsrats und die Zuordnung des Betriebsrats zu einer anderen verantwortlichen Stelle wie etwa dem Arbeitgeber, hätten wiederum Folgeprobleme, die beachtet werden sollten und müssen, insoweit der Gesetzgeber durch die Neuregelung nicht neue Probleme verursachen möchte. V.a. der Exzess-Gedanke könnte bei der Lösung dieser Probleme auch künftig helfen. Der deutsche Gesetzgeber könnte hierneben aber auch spezialgesetzliche Regelungen zur Ausgleichspflicht von Geldbußen erlassen, die den Betriebsrat als Sanktionsadressaten aufrechterhalten, die Kostenausgleichspflicht aber abweichend regeln.

IV. Der Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats Das DSGVO-Haftungsregime stellt die bestehende deutsche Rechtsordnung vor erhebliche und dennoch lösbare Herausforderungen, die nicht allein Folge europarechtlicher Regelungen, sondern v. a. auch Folge unterlassener Regelungen des deutschen Gesetzgebers sind. Bei der Auflösung der Haftungsdogmatik, d. h. gegen den Betriebsrat geltend gemachter Schadensersatzforderungen und verhängter Geldbußen, ist – nach dem hier zur Diskussion gestellten Ansatz – § 40 Abs. 1 BetrVG Schlüsselnorm, wobei viele unterschiedliche Lösungen denkbar sind und diskutiert werden können. Hier wird in Anlehnung an die BGH-Rechtsprechung eine Modifikation der in § 40 Abs. 1 BetrVG angelegten Erforderlichkeit im Sinne eines Vermeidbarkeitskriteriums und die Aufteilung nach den aus dem Recht des innerbetrieblichen Schadensausgleichs bekannten Verschuldensgraden vorgeschlagen, über die sich viele Fälle lösen lassen. Auch der von der Artikel 29 Datenschutzgruppe aufgeworfene Exzess-Gedanke könnte helfen, der wiederum Datenschutzverstöße, die die Betriebsratsmitglieder selbst begehen, von solchen Verstößen differenziert, die dem Betriebsrat als Organ zugerechnet werden. Obwohl die europarechtlich vorgegebene Verantwortlichkeit des Betriebsrats im Sinne von 624

S. zu neueren Entwicklungen Kap. § 5.

264

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

Art. 4 Nr. 7 1. Hs. DSGVO nicht angetastet wird, verbleiben für das Organ Betriebsrat selbst keine Kostentragungspflichten, insoweit die Verschuldensgrade aus dem innerbetrieblichen Schadensausgleich übertragen werden. Denn entweder muss der Arbeitgeber diese Kosten ausgleichen, weil sie nicht vermeidbar und somit erforderlich sind (§ 40 Abs. 1 BetrVG). Oder aber die Betriebsratsmitglieder überschreiten vorsätzlich oder grob fahrlässig ihre Kompetenzen bei der (vermeintlich) im Interesse des Betriebsrats vorgenommenen Datenverarbeitung und sind selbst verantwortlich, weil sie an Stelle des Betriebsrats über Zwecke und Mittel der Datenverarbeitung entscheiden. Sie sind dann als datenschutzrechtlich Verantwortliche auch selbst Adressaten der Geldbußen für ihre Datenschutzverstöße.

E. Der betriebsverfassungsrechtliche Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit Die Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO fordern die deutsche Rechtsordnung unterschiedlich stark heraus. Bei ihrer Lösung spielt insgesamt die allgemeine betriebsverfassungsrechtliche Kostenverteilungsnorm des § 40 Abs. 1 BetrVG eine herausragende Rolle. Allgemeine Kostentragungspflichten, z. B. für erhöhten administrativen Aufwand, sind etwa ohne Weiteres über § 40 Abs. 1 BetrVG auflösbar. Und auch die Benennung des pflichtig oder häufiger fakultativ benannten Datenschutzbeauftragten kann über allgemeine betriebsverfassungsrechtliche Regelungen gut gelöst werden: Die (erforderlichen) Kosten der pflichtigen Benennung trägt gem. § 80 Abs. 3 Satz 1 BetrVG in Verbindung mit Wertungen des § 40 Abs. 1 BetrVG der Arbeitgeber. Wenn der Betriebsrat die freiwillige Benennung eines Datenschutzbeauftragten plausibilisiert, gilt dies auch für hieraus entstehende und deshalb erforderliche Kosten. Der Arbeitgeber kann nicht einseitig verlangen, dass der Betriebsrat aus Kostengründen bestehende Infrastruktur mit nutzt, etwa einen bereits benannten betrieblichen Datenschutzbeauftragten. Denn die Doppelnutzung des betrieblichen Datenschutzbeauftragten auch für betriebsrätliche Aufgaben gefährdet u. U. die Unabhängigkeit des Betriebsrats. All diese Rechtsfolgen sind in Auslegung der bestehenden Rechtsordnung gut zu lösen. Deutlich herausfordernder sind Lösungen für das Haftungsregime der DSGVO. Hier wird auch zur Lösung dieses Haftungsregimes, d. h. für Schadensersatzansprüche und Geldbußen gegenüber dem Betriebsrat, die Anwendung von § 40 Abs. 1 BetrVG in Kombination mit den Verschuldensgraden des innerbetrieblichen Schadensausgleichs und mit dem Exzess-Gedanken vorgeschlagen. Durch die aus der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats resultierenden Rechtsfolgen ist die deutsche Rechtsordnung zwar herausgefordert. Allerdings lassen sich die hier thematisierten und breit diskutierten Rechtsfolgen auch ohne erneutes gesetzgeberisches Tätigwerden lösen, wie hier aufgezeigt. Der deutsche Gesetzgeber sollte auf der einen Seite den wohl überlegten und Rechts-

E. Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit

265

folgen berücksichtigenden Regelungserlass nicht scheuen.625 Die deutsche Rechtswissenschaft sollte auf der anderen Seite keine Sorge vor den europarechtlichen Vorgaben haben. Dennoch wäre eine gesetzgeberische Regelung in naher Zukunft vorteilhaft.626 Die hier vorgeschlagenen Lösungsansätze müssen weiterhin diskutiert werden – insbesondere im Bereich der Geldbußen. Abzuwarten bleibt, wie die Rechtsprechung die Problematik lösen wird. Jeder – hier und in Zukunft – diskutierte Lösungsansatz muss sich daran messen lassen, wie er auf der einen Seite europarechtliche Kompetenzen wahrt und wie er diese auf der anderen Seite begrenzt, um nicht überkommene Grundsätze des deutschen Betriebsverfassungsrechts aufzulösen. Bei aller Berechtigung jedes einzelnen Vorschlags zum Umgang mit den Rechtsfolgen der betriebsrätlichen Verantwortlichkeit im Datenschutzrecht lohnt sich eines jedenfalls zu berücksichtigen: Die am meisten diskutierte Rechtsfolge der datenschutzrechtlichen Verantwortlichkeit ist wohl, dass fortan gegen den Betriebsrat Geldbußen verhängt werden könnten. Die Möglichkeit der Geldbußenverhängung ist jedoch nur eine von vielen Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit. Der datenschutzrechtlich Verantwortliche hat vielfältige weitere Pflichten, die explizit an ihn adressiert sind, weil allein er sie erfüllen kann. Nur er kann u. a. Betroffenenrechte effektiv wahren (Artt. 12 ff. DSGVO). Jeder Versuch, die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO zu vermeiden, löst zwar möglicherweise bei der Geldbußenverhängung bestehende Probleme  – und löst aber mit Sicherheit Folgeprobleme bei anderen Rechtsfolgen der Verantwortlichkeit aus. Denn jedes Antasten der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats beschränkt auch etwa die Betroffenenrechte (Artt. 12 ff. DSGVO): Weder der Arbeitgeber noch ein ansonsten für den Betriebsrat Verantwortlicher kann an Stelle des Betriebsrats Auskunft darüber geben, ob und wie dieser Daten verarbeitet und kann auf dessen Datenträgern gespeicherte Daten löschen oder berichtigen.627 Soll die Lösung der bestehenden Unsicher­ heiten eine Modifikation der Verantwortlichkeit sein, so ist der Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO zu wahren. Die Modifikation obliegt allein dem Gesetzgeber, der möglichst alle Rechtsfolgen im Blick behält – nicht hingegen der rechtswissenschaftlichen Literatur. Einfach mutet an, den Arbeitgeber für die datenschutzrechtlichen Handlungen des Betriebsrats verantwortlich zu stellen. Denn er war bereits im Rahmen der DSRL verantwortlich. Es versperrt jedoch den Blick darauf, dass mit dieser „Umdefinition“ nicht alle Verantwort 625

S. hierzu in Ansätzen, aber leider insgesamt fehlgehend Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz); vgl. Möhle, ZD-Aktuell 2021, 05067. 626 S. hierzu Kap. § 5. 627 Eine beiderseitige Unterstützungspflicht, wie in § 79a BetrVG-E (Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24) unterstellt, geht fehl, denn sie missachtet das betriebsverfassungsrechtliche Prinzip der Gegnerunabhängigkeit zwischen Betriebsrat und Arbeitgeber, indem sie dem Arbeitgeber Einblicke in betriebsrätliche Datenverarbeitungen gewährt (vgl. Möhle, ZD-Aktuell 2021, 05067).

266

§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 

lichkeitsfolgen gleichermaßen gelöst, sondern zugleich vielfältige neue Probleme geschaffen, für die keine Lösungen angeboten werden. Klarstellung bei der einen Rechtsfolge bedeutet Unklarheit bei der anderen Rechtsfolge. Die datenschutzrechtliche Verantwortlichkeitsarchitektur darf nicht allein aufgrund einer Rechtsfolge modifiziert werden. Nicht Probleme bei den wegen Datenschutzverstößen verhängten Geldbußen entscheiden über die Auslegung der datenschutzrechtlichen Verantwortlichkeit. Die datenschutzrechtliche Verantwortlichkeit schafft und löst Probleme bei den als Sanktion von Datenschutzverstößen verhängten Geldbußen. Jeder Versuch, die betriebsrätliche Verantwortlichkeit zu verstellen, beschränkt die Effektivität europäischer Regelungen. Wie aufgezeigt, muss die finanzielle Ausgleichspflicht im Einzelfall trotz der datenschutzrechtlichen Verantwortlichkeit des Organs Betriebsrat nicht das Organ Betriebsrat treffen. Das „Schreckgespenst“ datenschutzrechtlich verantwortlicher Betriebsrat ist harmloser als vermutet. Das Betriebsverfassungsrecht bietet Antworten auf die datenschutzrechtliche Verantwortlichkeit des Betriebsrats.

§ 4 Resümee: Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats zwischen europäischen Vorgaben und nationalen Regelungsmöglichkeiten Die DSGVO erzwingt eine Neuordnung der Verantwortlichkeitsarchitektur und ihrer Rechtsfolgen im Beschäftigtendatenschutzrecht.1 Die Einordnung des Arbeitgebers als Verantwortlicher für betriebsrätliche Datenschutzverstöße in Zeiten vor der DSGVO ist fraglich gestellt.2 Wie der Betriebsrat nun in der datenschutzrechtlichen Verantwortlichkeitsarchitektur einzuordnen ist, ist bei den beteiligten Akteuren in Literatur, Rechtsprechung und bei den Datenschutzaufsichtsbehörden stark umstritten.3 Viele Beiträge setzen sich bisher alleine mit einzelnen Fragestellungen auseinander und stellen diese nicht in einen übergeordneten Zusammenhang. Unter Berücksichtigung dieser Meinungen und unter Begründung der verwendeten Methodik4 leitete die Arbeit anhand der Wortlautauslegung, der systematischen, der historischen und der teleologischen Auslegung die Stellung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur her.5 In einem zweiten Schritt wurden dann die Rechtsfolgen dieser Stellung untersucht.6 Ausgehend von Art. 4 Nr. 7 1. Hs. DSGVO wurde die europarechtliche Terminologie über Art. 4 Nr. 7 2. Hs. DSGVO bis in das nationale Recht nachvollzogen. Art. 4 Nr. 7 1. Hs. DSGVO setzt zwei die Verantwortlichkeit begründende Elemente voraus: Ein personelles und ein sachliches. Der Betriebsrat ist im Wortlaut7 des Art. 4 Nr. 7 1 Hs. DSGVO nicht konkret als Verantwortlicher benannt, könnte jedoch andere Stelle im Sinne der Vorschrift sein. Auf sachlicher Ebene müsste er dann aber auch über Zwecke und Mittel der Datenverarbeitung entscheiden. Der Wortlaut erzwingt für den Betriebsrat kein spezifisches Auslegungsergebnis. Unter den Voraussetzungen von Art. 4 Nr. 7 2. Hs. DSGVO können nationale Gesetzgeber Kriterien für die oder die Verantwortlichkeit selbst regeln. Die historische Auslegung8 zeigt, dass der deutsche BDSG-Gesetzgeber die Verantwortlichkeits-Terminologie bereits 1995 fehlerhaft aus der DSRL in das nationale BDSG übernahm.

1

S. zu neuesten Entwicklungen Kap. § 5. Kap. § 2 B. 3 Kap. § 2 C. I., II., III. 4 Kap. § 2 D. I. 5 Kap. § 2 D. II. 1. 6 Kap. § 3 B., C., D. 7 Kap. § 2 D. II. 1. a). 8 Kap. § 2 D. II. 1. c). 2

268

§ 4 Resümee

Maßgeblich für die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats sind systematische9 und teleologische10 Argumente. 1. Die DSGVO setzt in personeller Hinsicht nicht die Rechtsfähigkeit des Verantwortlichen voraus. Dass der Betriebsrat nach überwiegender Ansicht nicht rechtsfähig ist, steht also seiner datenschutzrechtlichen Verantwortlichkeit nicht entgegen.11 2. Vielmehr kommt es auf die Frage an, ob er über die Zwecke und Mittel der Datenverarbeitung entscheidet. Das personelle Begriffselement in Art. 4 Nr. 7 1. Hs. DSGVO folgt dem sachlichen Begriffselement.12 3. Zu betriebsrätlichen Datenverarbeitungen weist im Regelfall jedenfalls nicht der Arbeitgeber an  – er entscheidet regelmäßig nicht über die betriebsrätlichen Zwecke und Mittel der Datenverarbeitung. Verantwortlich ist entweder das Organ Betriebsrat oder das beteiligte Betriebsratsmitglied.13 4. Betriebsratsorgane, Betriebsrat und Betriebsratsvorsitzender geben – im Rahmen des BetrVG – Verarbeitungszwecke vor. Das Organ Betriebsrat entscheidet auch, welche Verarbeitungsmittel es gegenüber dem Arbeitgeber verlangt. Wenn diese Entscheidungen auch keine Weisungen an die Betriebsratsmitglieder im engen Sinne sind (Art. 29 DSGVO), so haben sie weisungsähnlichen Charakter. Und dieser Charakter transportiert die Entscheidung. Das Betriebsratsmitglied entscheidet also im Regelfall nicht selbst. Das Organ Betriebsrat entscheidet über Zwecke und Mittel der Datenverarbeitung.14 5. Betriebsratsmitglieder entscheiden nicht mit dem Organ Betriebsrat gemeinsam. Die Zeugen-Jehovas-Rechtsprechung des EuGH ist nicht ohne Weiteres auf den Betriebsrat übertragbar. Anders als bei datenschutzrechtlichen Fragestellungen der Zeugen Jehovas ist bei datenschutzrechtlichen Fragestellungen des Betriebsrats dessen betriebsverfassungsrechtliche Organisationsstruktur mit zu berücksichtigen.15 6. Soweit die Betriebsratsmitglieder im Rahmen der Vorgaben der Betriebsratsorgane handeln, sind sie – mangels eigenständiger Entscheidung – nicht selbst datenschutzrechtlich verantwortlich. Bei eigenständiger Entscheidung über Zwecke und Mittel der Datenverarbeitung sind sie jedoch selbst verantwortlich (sog. datenschutzrechtlicher Exzess).16

9

Kap. § 2 D. II. 1. b). Kap. § 2 D. II. 1. d). 11 Kap. § 2 D. II. 1. b) aa) (3). 12 Kap. § 2 D. II. 1. a) bb), cc), dd). 13 Kap. § 2 D. II. 1. d) cc). 14 Kap. § 2 D. II. 1. d) bb). 15 Kap. § 2 D. II. 1. b) bb). 16 Kap. § 3 D. II. 2. und Kap. § 3 D. III. 3. e) ff). 10

§ 4 Resümee

269

7. Der betriebsrätlichen Verantwortlichkeit steht nicht entgegen, dass Zwecke und Mittel der Datenverarbeitung teilweise im BetrVG vorgegeben sind. Denn gesetzliche Zweck- und Mittelvorgaben sind abstrakt, während der Betriebsrat konkret über die Zwecke und Mittel seiner Datenverarbeitung entscheidet.17 8. Die Regelungsform Grundverordnung ordnet das Verhältnis zwischen europäischem und mitgliedstaatlichem Recht. Die Öffnungsklauseln der DSGVO rahmen mitgliedstaatliche Regelungen.18 9. Wenn der deutsche Gesetzgeber eine inhaltliche Regelung zur datenschutzrechtlichen Stellung des Betriebsrats erlassen wollte, müsste er sich auf die Öffnungsklausel in Art. 4 Nr. 7 2. Hs. DSGVO berufen, die einer Regelung im Rahmen von Art. 88 DSGVO als lex specialis vorgeht.19 10. Art. 4 Nr. 7 2. Hs. DSGVO ermöglicht es den mitgliedstaatlichen Gesetzgebern, als Öffnungsklausel eigenständige abweichende Regelungen von Hs. 1 zu treffen. Insoweit der deutsche Gesetzgeber von seiner Option nach Hs. 2 keinen Gebrauch macht, richtet sich die Verantwortlichkeit weiterhin allgemein nach Hs. 1. Da der deutsche Gesetzgeber bisher keine Regelung getroffen hat, ist der Betriebsrat gem. Art. 4 Nr. 7 1. Hs. DSGVO datenschutzrechtlich Verantwortlicher.20 11. Die Einwände der deutschen Rechtswissenschaft, die Rechtsfolgen der betriebsrätlichen Verantwortlichkeit passten nicht zum deutschen Betriebsver­ fassungsrecht und deshalb könne der Betriebsrat nicht datenschutzrechtlich Verantwortlicher sein (Rechtsreflex), greifen nicht durch. Das Berufen auf eine Öffnungsklausel erfordert eine intentionale Regelung zur Abweichung von Hs. 1.21 Dieses Ergebnis wird dennoch vielfach problematisiert, weil an die datenschutzrechtliche Verantwortlichkeit verschiedene Rechtsfolgen anknüpfen, welche die nationale Rechtswissenschaft, die nationalen Gerichte und auch den nationalen Gesetzgeber herausfordern. Nur der Gesetzgeber könnte die Rechtslage durch eine Regelung im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO entschärfen, indem er entweder einzelne Rechtsfolgen regelt oder aber eine Entscheidung über die datenschutzrechtliche Verantwortlichkeit des Betriebsrats oder Modalitäten seiner Verantwortlichkeit trifft.22 Dass der Betriebsrat (momentan) datenschutzrechtlich Verantwortlicher ist, stellt die nationale Rechtsordnung insgesamt jedoch nicht vor unlösbare Aufgaben. In der Arbeit wurden so die umstrittensten Rechtsfolgen aufgegriffen, diskutiert und versucht, einer Lösung zuzuführen:23 17

Kap. § 2 D. II. 1. b) aa) (1) und Kap. § 2 D. II. 1. a) cc). Kap. § 2 D. II. 1. b) ee) (2), (3), (4). 19 Kap. § 2 D. II. 1. b) ee) (3) (a), (b). 20 Kap. § 2 D. II. 1. b) ee) (3). 21 Kap. § 2 D. II. 1. b) ee) (3) (c), (d). 22 Vgl. Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 7, 24; s. auch Kap. § 5. 23 Kap. § 3 A. zur Begründung dieser Auswahl. 18

270

§ 4 Resümee

1. Wer trägt die Kosten für den Mehraufwand, der durch die datenschutzrechtliche Verantwortlichkeit des Betriebsrats entsteht?24 Allgemeine Kosten, etwa höhere Personalkosten und Sachmittelkosten z. B. wegen des erhöhten administrativen Aufwandes bei der Bearbeitung von Datenschutz-Folgenabschätzungen oder Betroffenenrechten, trägt der Arbeitgeber (§ 40 Abs. 1 BetrVG). 2. Muss und / oder kann der Betriebsrat einen Datenschutzbeauftragten benennen? Wer trägt die Kosten für den Datenschutzbeauftragten?25 Durch die Änderung von § 38 Abs. 1 Satz 1 BDSG besteht nur (noch) für wenige mitgliederreiche Betriebsräte die Pflicht, einen Datenschutzbeauftragten zu bestellen. In den Fällen, in denen Betriebsräte verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, trägt gem. § 40 Abs. 1 BetrVG der Arbeitgeber die Kosten der Benennung. Benennt der Betriebsrat hingegen freiwillig einen Datenschutzbeauftragten, so muss er glaubhaft darlegen, dass die Benennung erforderlich ist, um die Kostentragungspflicht des Arbeitgebers zu begründen. Gelingt ihm dieser Nachweis nicht, ist im Sinne der BGH-Rechtsprechung zu Sachverständigenverträgen u. U. das einzelne Betriebsratsmitglied Kostenschuldner. 3. Treffen den Betriebsrat nach Datenschutzverstößen möglicherweise Schadensersatzforderungen? Falls ja, wie sind Schadensersatzansprüche zu begleichen?26 Nach Datenschutzverstößen machen Betroffene gegenüber dem Betriebsrat als Verantwortlichen möglicherweise Schadensersatz-Ansprüche geltend. Problematisch ist hierbei, dass der Betriebsrat (europarechtlich) zwar Adressat der Schadensersatzansprüche, aber (betriebsverfassungsrechtlich) nicht vermögensfähig ist. Hier wird vorgeschlagen, die Verhängung von der tatsächlichen Ausgleichspflicht zu trennen. Denn hierdurch wird die grundsätzliche Verantwortlichkeit des Organs Betriebsrat im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO nicht berührt, was ausweislich Art. 4 Nr. 7 2. Hs. DSGVO Aufgabe des nationalen oder des europäischen Gesetzgebers wäre.27 Soweit Kosten erforderlich sind, hat der Arbeitgeber diese als Kosten der Betriebsratsarbeit zu tragen (§ 40 Abs. 1 BetrVG). Die Dogmatik des innerbetrieblichen Schadensausgleichs wird zur Kostenverteilung übertragen.28 Da Schädigungen nie „erforderlich“ sind, könnte diese Kriterien bei Haftungsfragen des Betriebsrats in ein Vermeidbarkeitskriterium abgewandelt. Erforderlich sind Datenschutzverstöße demnach, wenn sie nicht vermeidbar (datenschutzrecht­licher Exzess) sind. Bei unverschuldet oder leichtest fahrlässig verursachten (unvermeidbaren) Datenschutzverstößen wäre der Arbeitgeber ausgleichspflichtig. Würden

24

Kap. § 3 B. Kap. § 3 C. 26 Kap. § 3 D. II. 27 S. insoweit neuerlich Kap. § 5. 28 Zur Begründung s. Kap. § 3 D. II. 2. c). 25

§ 4 Resümee

271

Datenschutzverstöße vorsätzlich oder grob fahrlässig (vermeidbar) verursacht, so haftete nicht der Arbeitgeber.29 Für Fälle leichter Fahrlässigkeit muss ein angemessener Ausgleich gefunden werden. Anhaltspunkt hierzu kann die Dogmatik des innerbetrieblichen Schadensausgleichs sein, die eine Haftungsverteilung vorsieht, etwa durch Berücksichtigung der Gefahrneigung der Tätigkeit. Für Datenschutzverstöße bedarf es in ihrer Anwendung jedoch weiterer Diskussion und ggf. auch einer genauen Durchsicht der gerichtlichen Dogmatik, soll an der ursprünglichen Dogmatik des innerbetrieblichen Schadensausgleichs festgehalten werden. Weil das Organ Betriebsrat nicht vermögensfähig ist, wurden die Betriebsratsmitglieder als haftende Entitäten fokussiert, die im Rahmen der Vorgaben des Betriebsrats und des BetrVG als natürliche Personen für den Betriebsrat handeln.30 Überschreiten sie die „Weisung“, dann entscheiden sie selbst über die Zwecke und Mittel der Datenverarbeitung. Da sie in diesem Fall als natürliche Person über Zwecke und Mittel der Datenverarbeitung entscheiden, sind sie gem. Art. 4 Nr. 7 1. Hs. DSGVO datenschutzrechtlich selbst verantwortlich (sog. datenschutzrechtlicher Exzess). Nach hiesiger Auffassung ist also entweder der Arbeitgeber oder das handelnde und / oder das entscheidende Betriebsratsmitglied ausgleichspflichtig. Durch Gremienentscheidungen verursachte Datenschutzverstöße könnten im Rahmen des Gesamtschuldnerausgleichs ausgeglichen werden. Die Kombination aus § 40 Abs. 1 BetrVG,31 der Abwandlung des Erforderlichkeits- in ein Vermeidbarkeitskriterium32 (datenschutzrechtlicher Exzess) in Verbindung mit der Dogmatik des innerbetrieblichen Schadensausgleichs33 bietet als notwendige Folge der DSGVOVorgaben – nach hier vertretener Auffassung, die weiter diskutiert werden sollte – einen angemessenen Ausgleich der Haftungsverteilung wegen betriebsrätlich verursachter Schadensersatzansprüche. Auch weiter diskutiert werden sollte die Frage, ob sich die Annahme der Dogmatik des innerbetrieblichen Schadensausgleichs, dass zunächst der Handelnde, d. h. das Betriebsratsmitglied Anknüpfungspunkt der Haftung ist und dieses erst in einem nächsten Schritt ggf. von der Haftung freigestellt wird, auch für Datenschutzverstöße eignet. Andernfalls könnte die – in der Rechtsprechung entwickelte – Dogmatik hier durch eine direkte Zuweisung der Haftungsquote modifiziert werden. 4. Werden gegen den Betriebsrat nach Datenschutzverstößen möglicherweise Geldbußen verhängt? Wenn ja, wie werden diese beglichen?34 Zur Sanktionierung von Datenschutzverstößen können Datenschutzaufsichtsbehörden auch Geldbußen gegen den verantwortlichen Betriebsrat verhängen. Art. 83 Abs. 8 DSGVO bietet Raum für mitgliedstaatliche Handhabung. Der deutsche

29

Kap. § 3 D. II. 2. d). Zu den möglichen Ausgleichspflichten s. etwa Kap. § 2 D. II. 2. 31 Kap. § 3 D. II. 2. b). 32 Kap. § 3 D. II. 2. c). 33 Kap. § 3 D. II. 3. 34 Kap. § 3 D. III. 30

272

§ 4 Resümee

Gesetzgeber hat unter Berufung auf Art. 83 Abs. 8 DSGVO den Verweis auf die Anwendbarkeit des OWiG in § 41 Abs. 1 BDSG erlassen. Bereits in tatbestand­ licher Hinsicht ist unklar, wie §§ 9, 14, 30, 130 OWiG die Geldbußenverhängung gegen den Betriebsrat strukturieren sollen.35 Selbst wenn unterstellt würde, dass die Normen tatbestandlich weiterführten, so verstießen sie gegen abschließendes Europarecht.36 Verschiedene Lösungsmöglichkeiten im geltenden Recht wurden diskutiert. So wurde eine analoge Anwendung thematisiert.37 Gefragt wurde, ob die Vermögensfähigkeit des Betriebsrats europarechtlich vorgegeben38 oder aber das Leerlaufen von Geldbußen beabsichtigter Zweck der gesetzgeberischen Vorstellungen sein könnte.39 Auch staatshaftungsrechtliche Erwägungen wurden angestellt.40 Wegen der jeweils aufgeworfenen Probleme all dieser Lösungsansätze lehnt sich die hier bevorzugte Lösung im Geldbußenregime jedoch an die Ideen zum Schadensersatz-Regime an: Angewandt werden könnten auch hier § 40 Abs. 1 BetrVG41 in Verbindung mit einer Modifikation des Erforderlichkeitskriteriums in ein Vermeidbarkeitskriterium (datenschutzrechtlicher Exzess) in Verbindung mit der Dogmatik des innerbetrieblichen Schadensausgleichs.42 Denn dieser Vorschlag knüpft weiterhin an das Organ Betriebsrat als Verantwortlichen an, während er zugleich betriebsverfassungsrechtliche Vorgaben (fehlende Vermögensfähigkeit) berücksichtigt. In zwei Bearbeitungsschritten wurde die datenschutzrechtliche Verantwortlichkeit des Betriebsrats tatbestandlich und deren Rechtsfolgen diskutiert. Nationale Gesetzgeber dürfen unter bestimmten Voraussetzungen eigenständige Vorschriften zur datenschutzrechtlichen Verantwortlichkeit oder zu deren Kriterien erlassen (Art. 4 Nr. 7 2. Hs. DSGVO). Der deutsche Gesetzgeber, der die Rechtslage ändern könnte, hat bisher keine Regelung erlassen. Ob die hier entwickelten Ansätze zur Lösung der aufgeworfenen Probleme beitragen können, wird der datenschutzrechtliche Diskurs beurteilen. Einzelne Fragestellungen kann eine Arbeit selbst dieses Formats nicht umfassend behandeln. Weiterer Forschungsbedarf besteht so exemplarisch bei der historischen Aufarbeitung des Verantwortlichkeitsbegriffs in der DSK 108. Dokumente sind hier (bisher) kaum zugänglich, sodass eine (ggf. historische) Archivierung gewinnbringend wäre. Verknüpft hiermit ist die grundlegende Fragestellung, was das Verantwortlichkeitskonzept im Datenschutzrecht leisten soll, was es leisten kann und was es leistet. Denn selbst wenn künftig eine fachspezifische Regelung die Ver-

35

S. hierzu Kap. § 3 D. III. 3. d) bb) (1) (a), (2) (a), (3) (a), (4) (a). S. hierzu Kap. § 3 D. III. 3. d) bb) (1) (b), (2) (b), (3) (b), (4) (b). 37 Kap. § 3 D. III. 3. e) aa). 38 Kap. § 3 D. III. 3. e) bb). 39 Kap. § 3 D. III. 3. e) cc). 40 Kap. § 3 D. III. 3. e) dd). 41 Kap. § 3 D. III. 3. e) ee). 42 Kap. § 3 D. III. 3. e) ff). 36

§ 4 Resümee

273

knüpfung zwischen tatbestandlichen und Rechtsfolgenregelungen speziell für den Betriebsrat explizit ordnet,43 so bleibt diese grundsätzliche Frage unbeantwortet. Auch das in der vorliegenden Arbeit vorgeschlagene (konstruktivistische) Rechtsfähigkeitskonzept der datenschutzrechtlichen Teilrechtsfähigkeit des Betriebsrats dürfte und muss in der Literatur weiter diskutiert werden. Die Fragestellung, ob und wenn ja, inwieweit der Betriebsrat rechtsfähig ist, wird – vor dem Hintergrund der neuen datenschutzrechtlichen Anforderungen – hoffentlich weiterführend aufgegriffen. In diesem Zusammenhang stellt sich zudem die generelle Frage nach dem Verhältnis von Europarecht und nationalem Betriebsverfassungsrecht, die bisher in der datenschutzrechtlichen Diskussion im Rahmen von Art. 153 AEUV wenig beleuchtet wurde. Insbesondere zur weiteren Diskussion gedacht sind die hier hergeleiteten Lösungsansätze zum Schadensersatz- und Geldbußenrecht. Darüber hinaus wurden viele Rechtsfolgen, die den Betriebsrat als datenschutzrechtlich Verantwortlichen treffen, hier nicht behandelt, in der Regel, weil sie sich deutlich unproblematischer in das deutsche Recht einfügen. Dennoch könnte jede einzelne Rechtsfolge der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats vor dem Hintergrund des deutschen Betriebsverfassungsrechts genauer untersucht werden, etwa die Verpflichtung, Datenschutz-Folgenabschätzungen durchzuführen (Art. 35 Abs. 1 Satz 1 DSGVO), Betroffenenrechten und Auskunftspflichten nachzukommen (Artt. 12 ff. DSGVO) oder aber unter aber unter bestimmten Voraussetzungen ein Verarbeitungsverzeichnis führen zu müssen (Art. 30 DSGVO). Gleichfalls konnten konzeptuelle Ideen zum innerbetrieblichen Schadensausgleich deshalb nur schematisch aufgezeigt werden, weil es schwierig ist, jeden empirischen Einzelfall im Blick zu behalten: So bedarf es weiteren Diskussionsbedarf jedenfalls bei der Frage der Zuweisung des Haftungsausgleichs mittlerer Verschuldensgrade (insbesondere bei leicht fahrlässig verursachten Datenschutzverstößen) und auch bei der Frage danach, ob Haftungsquoten dem Arbeitgeber und dem handelnden Betriebsratsmitglied direkt zugewiesen werden oder ob zunächst das handelnde Betriebsratsmitglied Adressat ist, aber partielle oder umfassende Haftungsfreistellung gegenüber dem Arbeitgeber beanspruchen kann. All diese – und weitere – Rechtsfolgen stellen die deutsche Rechtsordnung zwar nicht vor ähnliche Herausforderungen wie die hier diskutierten Rechtsfolgen. Untersucht werden sollte dennoch, wie sie sich in das deutsche Betriebsverfassungsrecht einfügen. Die Querschnittsmaterie Datenschutzrecht ist also insgesamt noch an vielen weiteren Stellen diskussionsbedürftig. Der Umfang der Arbeit ist zugleich ihre Grenze. Schwierig war es bei der Bearbeitung, die unterschiedlichen Prämissen und Perspektiven von Betriebsverfassungsrecht und Datenschutzrecht unter Berücksichtigung der Normenhierarchie an jeder Stelle konsistent einzubeziehen. Die Arbeit hat versucht, die in der bisherigen Diskussion zu häufig parallel betrachteten Rechtsgebiete miteinander zu verknüp-

43

S. Kap. § 5.

274

§ 4 Resümee

fen. Eine rein datenschutzrechtliche oder eine rein betriebsverfassungsrechtliche Antwort auf beschäftigtendatenschutzrechtliche Fragestellungen ist jeweils nicht zielführend. Gerade die Perspektivenvielfalt belebt allerdings – richtig gewendet – das Beschäftigtendatenschutzrecht. Der Gesetzgeber könnte indes erste sedimentierte Diskussionsergebnisse nutzen, wollte er künftig auch außerhalb von Art. 88 DSGVO bzw. § 26 Abs. 1, 6 BDSG an den Betriebsrat denken.44

44 Ein erster Lichtblick in Richtung einer Regelung, nicht aber in Richtung zunehmender Berücksichtigung bisheriger Diskussionsergebnisse ist der – indes handwerklich und in der Begründung – schwache Regierungsentwurf der Bundesregierung v. 31. 3. 2021 (Betriebsräte­ modernisierungsgesetz); kritisch bereits Zumkeller, BB 2021, I; Möhle, ZD-Aktuell 2021, 05067; Keitel / Busch, BB 2021, 564; affirmierend Althoff, ArbRAktuell 2021, 151.

§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021 Am 14. Juni 2021 wurde das Betriebsrätemodernisierungsgesetz im Bundesgesetzblatt veröffentlicht.1 Das Gesetz führt § 79a BetrVG ein, der fortan das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber normiert. Zwar habe auch der Betriebsrat die Vorschriften über den Datenschutz einzuhalten (§ 79a S. 1 BetrVG). Der Gesetzeswortlaut ist jedoch eindeutig: Der Betriebsrat sei Teil der verantwortlichen Stelle Arbeitgeber, soweit er zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet (§ 79a S. 2 BetrVG). Hierbei unterstützt der Betriebsrat den Arbeitgeber (§ 79a S. 3 BetrVG). Mit der Neuregelung scheint es, als sei der Worst Case für eine Dissertation eingetreten: Der vielzitierte „Federstrich des Gesetzgebers“ könnte das Thema „Datenschutzrechtliche Verantwortlichkeit des Betriebsrats“ aus den Bibliotheksregalen verdrängen. Der geneigte Leser darf jedoch beruhigt sein: Das Thema wird aktuell bleiben. In der gebotenen Kürze eines Annex‘ werden im Folgenden der Gesetzgebungsprozess und die Reaktionen der Rechtswissenschaft nachvollzogen. Hierbei wird auch der – möglicherweise – fortwirkende Mehrwert der vorliegenden Arbeit kurz skizziert. Im Koalitionsvertrag von Anfang 2018 überzeugend angekündigt,2 aber am 21. Dezember 2020 dennoch überraschend, veröffentlichte das BMAS einen Referentenentwurf für ein Betriebsrätestärkungsgesetz.3 Die Veröffentlichung des Entwurfs überraschte v. a. deshalb, weil zur Ausarbeitung beschäftigtendatenschutzrechtlicher Fragestellungen erst im Juni 2020 ein Expertenbeirat für den Beschäftigtendatenschutz eingesetzt wurde, der Regelungserfordernisse untersuchen sollte.4 Dieser Beirat hatte bis Ende 2020 aber noch keine Empfehlungen ausgesprochen.5 Der Entwurf wurde also ohne Berücksichtigung der Expertise des Beirats ausgearbeitet und veröffentlicht. Er enthielt mit § 79a BetrVG-E eine eher beiläufig erlassen wirkende Regelung zur datenschutzrechtlichen Stellung des Betriebsrats. Der Betriebsrat sollte die Vorschriften über den Datenschutz einhalten, aber, soweit er im Rahmen der Erfüllung der in seiner Zuständigkeit liegenden 1

BGBl. 2021 I 32, 1762 ff. Koalitionsvertrag zwischen CDU, CSU und SPD, 19. Legislaturperiode, Rn. 6088. 3 BMAS, Referentenentwurf v. 21. 12. 2020 (Betriebsrätestärkungsgesetz). 4 Redaktion BeckAktuell, Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf v. 16. 6. 2020. 5 Heute hat indes wohl eine Abschlusskonferenz stattgefunden, ohne dass bisher jedoch Ergebnisse nach außen gedrungen sind (Stand: 15. 7. 2021). 2

276

§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021

Aufgaben personenbezogene Daten verarbeite, in Ausformung der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO Teil der verantwortlichen Stelle Arbeitgeber sein. Zur Einhaltung der datenschutzrechtlichen Vorschriften sollten sich Arbeitgeber und Betriebsrat gegenseitig unterstützen.6 Die Randstellung der Vorschrift zeigte sich auch in der (verbesserungswürdig ausgearbeiteten) Entwurfsbegründung.7 Diese erlegte dem Betriebsrat zwar Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften auf. Dennoch war der Betriebsrat nicht Verantwortlicher.8 Art. 24 Abs. 1 S. 1 DSGVO, der (datenschutzrechtliche)  Verantwortlichkeit mit (datenschutzrechtlicher) Verantwortung verknüpft, wurde hier – vorsichtig formuliert – zumindest sehr liberal ausgelegt. Anders formuliert: Datenschutzrechtliche Verantwortung war – zumindest bisher – ohne datenschutzrechtliche Verantwortlichkeit nicht denkbar. Die terminologische Ungenauigkeit trat neben die auch inhaltlich wenig überzeugende Regelung: Die Literatur9 und die nach der Entwurfsveröffentlichung abgegebenen Stellungnahmen kritisierten die Regelung in weiten Teilen.10 Sie machten geltend, dass die Zuweisung von Verantwortung an den Betriebsrat bei gleichzeitiger Verantwortlichkeit des Arbeitgebers in § 79a S. 2 BetrVG-E widersprüchlich sei.11 Zudem bliebe missverständlich, wie die Unterstützungspflicht in § 79a S. 3 BetrVG-E zu verstehen sei.12 Es wurde bemängelt, dass die Haftungsrisiken sowie die Rechte und Pflichten des Datenschutzbeauftragten unklar ausgestaltet seien.13 Die Gewerkschaften schienen in Teilen überzeugt von der Neuregelung, häufig jedoch ohne valide Argumente.14 Der auf der Arbeitnehmerseite am Schärfsten analysierende DGB machte etwa geltend, die Regelung sei deshalb sinnvoll, weil der Betriebsrat vermögenslos und weil er nach außen hin nicht verselbstständigt sei. Betroffenenrechte etwa könne er im Falle eigenständiger Verantwortlichkeit gar nicht erfüllen. Dennoch war auch der DGB nicht gänzlich von der Neuregelung überzeugt: Er wies darauf hin, dass die „gegenseitige Unterstützungspflicht“ in § 79a S. 3 BetrVG-E eine gemeinsame Verantwortlichkeit bedingen könnte. Besser wäre es nach seiner Ansicht gewesen, wenn die Einholung externen Sachverstands gesetzlich als „erforderliche Kosten“ im Sinne von § 40 6

BMAS, Referentenentwurf v. 21. 12. 2020 (Betriebsrätestärkungsgesetz), S. 7, 24. BMAS, Referentenentwurf v. 21. 12. 2020 (Betriebsrätestärkungsgesetz), S. 24. 8 BMAS, Referentenentwurf v. 21. 12. 2020 (Betriebsrätestärkungsgesetz), S. 24. 9 Kritisch u. a. Zumkeller, BB 2021, I; Möhle, ZD-Aktuell 2021, 05067; Schulze, ArbRAktuell 2021, 211 (212). 10 Arbeitgeberverband Gesamtmetall, Stellungnahme v. 12. 1. 2021, III. 4.; BDA, Stellungnahme v. 19. 1. 2021, S. 4; ausf. auch BITKOM, Stellungnahme v. 19. 1. 2021, S. 2 f; im Detail aber auch DGB, Stellungnahme v. 19. 1. 2021, S. 11 ff. 11 Arbeitgeberverband Gesamtmetall, Stellungnahme v. 12. 1. 2021, III. 4.; BDA, Stellungnahme v. 19. 1. 2021, S. 4; ausf. auch BITKOM, Stellungnahme v. 19. 1. 2021, S. 2 f. 12 Arbeitgeberverband Gesamtmetall, Stellungnahme v. 12. 1. 2021, III. 4. 13 DAV, Stellungnahme v. 19. 1. 2021, S. 9. 14 S. etwa Deutscher Beamtenbund, Stellungnahme v. 18. 1. 2021, S. 5 („unstreitig“); Dachverband Fach- und Führungskräfte, Stellungnahme v. 19. 1. 2021, S. 2 („sinnvoll“). 7

§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021

277

Abs. 1 BetrVG klassifiziert worden wäre. So hätte die originäre Verantwortlichkeit des Arbeitgebers betont und der Betriebsrat kostentechnisch schadlos gestellt werden können.15 Die politische Uneinigkeit im Bundeskabinett verhinderte zunächst den Regelungserlass: Während das sozialdemokratisch geführte BMAS den Entwurf verteidigte, blockierte diesen v. a. das konservativ geführte Bundesministerium für Wirtschaft und Energie.16 Letztlich blieb das Bundeskabinett aber offenbar von Lob und Tadel der Literatur und der beteiligten Verbände unbeeindruckt. Anstatt zumindest auf den Hinweis der Literatur hin auf Ergebnisse des Expertenbeirats fortzuwarten,17 veröffentlichte es – nach der vorigen Blockade wieder überraschend – am 31. März 2021 einen Kabinettsentwurf.18 Das Gesetzgebungsvorhaben wurde von nun an Betriebsrätemodernisierungsgesetz genannt. § 79a BetrVG-E und dessen Begründung blieb aber im Wesentlichen mit dem Referentenentwurf identisch. Die Einordnung des Betriebsrats als Teil der verantwortlichen Stelle Arbeitgeber sei sachgerecht, weil der Betriebsrat auch bei der Datenverarbeitung nach außen hin unselbstständig sei.19 Zwar habe er datenschutzrechtliche Vorschriften einzuhalten. Der Arbeitgeber sei aber für diese Einhaltung verantwortlich. Operationalisierbar sei dieser scheinbare Widerspruch durch die in § 79a S. 3 BetrVG-E eingeführte Unterstützungspflicht: Die Verantwortlichkeit des Arbeitgebers werde einerseits nach außen aufrechterhalten und andererseits von der institutionellen Selbstständigkeit des Betriebsrats nach innen arrondiert. Die Unterstützungsverpflichtung gelte insbesondere bei dem Führen des Verarbeitungsverzeichnisses durch den Arbeitgeber, bei der Beantwortung von Auskunftsrechten und der Umsetzung technischer und organisatorischer Maßnahmen. Der betriebliche Datenschutzbeauftragte solle auch den Betriebsrat beraten. Das BMAS forcierte, den Kabinettsentwurf in der laufenden, 19. Legislaturperiode zu verabschieden und klassifizierte ihn als besonders eilbedürftig (Art. 76 Abs. 2 Satz 4 GG). Der Bundesrat nahm am 23. April 2021 Stellung und meldete gegen § 79a BetrVG-E keine Bedenken an.20 Am 6. Mai 2021 fand die Erste Lesung im Bundestag statt.21 Allein eine Abgeordnete von BÜNDNIS 90/DIE GRÜNEN sprach sich gegen die datenschutzrechtliche Vorschrift aus, argumentierte ansonsten aber betriebsratsfreundlich.22 15

DGB, Stellungnahme v. 19. 1. 2021, S. 11 ff. Vgl. etwa Althoff, ArbRAktuell 2021, 151 (153). 17 Hierzu etwa Möhle, ZD-Aktuell 2021, 05067; bis heute sind keine Ergebnisse publiziert (Stand: 15. 7. 2021). 18 Bundesregierung, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz). 19 Hierzu und folgend Bundeskabinett, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 23. 20 BT-Drs. 271/1/21 v. 23. 4. 2021. 21 Plenarprotokoll 19/227 v. 6. 5. 2021, 28886. 22 Plenarprotokoll 19/227 v. 6. 5. 2021, 28886 (28891). 16

278

§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021

Die anderen Redebeiträge gingen nicht auf die datenschutzrechtliche Stellung des Betriebsrats ein. Der Überweisungsvorschlag richtete sich an die Ausschüsse für Arbeit und Soziales, für Recht und Verbraucherschutz sowie für die Digitale Agenda. Am 21. Mai 2021 verabschiedete der Bundestag § 79a BetrVG im Betriebsrätemodernisierungsgesetz.23 Die am 21. Juni 2021 im Bundesgesetzblatt ausgefertigte Fassung24 wurde gegenüber dem ansonsten wortlautgleichen Kabinettsentwurf um die Sätze 4 und 5 ergänzt, die die Stellung des – für Betriebsrat und Arbeitgeber zuständigen – betrieblichen Datenschutzbeauftragten regeln. Die Regelung stößt in der Rechtswissenschaft überwiegend auf Verwunderung. Die Kritik der Rechtswissenschaft an der Neuregelung25 setzt teils bereits bei der Frage an, ob der Gesetzgeber überhaupt hätte regeln dürfen – gerade weil keine Zwecke und Mittel der betriebsrätlichen Datenverarbeitung in deutschen Gesetzen erlassen seien, womit die § 79a BetrVG in der Folge unionsrechtswidrig wäre – mangels Regelungswirkung im Rahmen einer Öffnungsklausel (Art. 4 Nr. 7 2. Hs. DSGVO).26 Nach hier vertretener, aber diskussionswürdiger und in Zukunft weiter begründungsbedürftiger Auffassung darf der deutsche Gesetzgeber im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO wohl eine Regelung zur datenschutzrechtlichen Verantwortlichkeit des Betriebsrats treffen.27 Er hätte sich allerdings die Regelungsfolgen bewusster machen müssen und hat mit der Regelung vielfältige neue Probleme verursacht, nur wenig Klarheit geschaffen und weitestgehend an der Debatte vorbei normiert: Auf viele (bereits zuvor) in der Rechtswissenschaft aufgeworfene Fragen liefert die Vorschrift keine Antworten. Die Neuregelung ist insoweit bemerkenswert.28 Insbesondere unklar ist die Wirkungsweise der in § 79a S. 3 BetrVG normierten gegenseitigen Unterstützungspflicht. Der Gesetzgeber müsste eigentlich klarstellen, was er unter der Unterstützungspflicht versteht und wie sie sich ggf. von der vertrauensvollen Zusammenarbeit (§ 2 BetrVG) einerseits,29 andererseits aber von der Unabhängigkeit der Betriebsparteien30 abgrenzt.31 Die (terminologische) Benennung als Unterstützungspflicht ist hierbei unzureichend – teils sogar als ob 23

BT-Drs. 19/29819. BGBl. 2021 I 32, 1762 ff. 25 Affirmierend aber etwa Althoff, ArbRAktuell 2021, 151 (153 f.). Hier jedoch unter dem Hinweis darauf, dass der Betriebsrat etwa Betroffenenrechte gar nicht erfüllen könne, wobei unklar bleibt, wer – wenn nicht der Betriebsrat – Betroffenenrechte hinsichtlich seiner Datenverarbeitungen ansonsten erfüllen können soll. 26 Maschmann, NZA 2021, 834 (836 f.). 27 S. hierzu Kap. § 2 D. II. 1. b. ee. (3); dass diese Frage mit guten Gründen umstritten ist, hat der Gesetzgeber nicht einmal gesehen. 28 Schiefer/Worzalla, NZA 2021, 817 (821). 29 S. nun auch Schiefer/Worzalla, NZA 2021, 817 (821). 30 Etwa BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97; Däubler, SR 2017, 85 (86 ff.). 31 Möhle, ZD-Aktuell 2021, 05067. 24

§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021

279

skur32 bezeichnet worden. Auch die in der Gesetzesbegründung aufgeworfenen Fallgruppen (Verarbeitungsverzeichnis, Auskunftsrechte, technische und organisatorische Maßnahmen)33 vermögen nicht, abstrakt zu klären, was die Unterstützungspflicht ist und insbesondere wo sie endet. Die viel diskutierte und wichtige Frage nach der Haftung blendet die Regelung gänzlich aus. Offenbar haftet nach dem Verständnis des Gesetzgebers der Arbeitgeber für durch betriebsrätliche Datenschutzverstöße verursachte Schäden und Geldbußen. Wie diese Haftung aussieht, bleibt v. a. deshalb schleierhaft, weil der Arbeitgeber kein Weisungsrecht gegenüber dem Betriebsrat hat, er Datenschutzverstöße also gerade nicht – und auch in Zukunft nicht – verhindern kann.34 Unklar ist auch, wer in welchen Fällen verantwortlich für Verstöße bei der gegenseitigen Unterstützungspflicht ist. Bedingt diese letztlich doch eine gemeinsame datenschutzrechtliche Verantwortlichkeit? Und auch die Stellung des Datenschutzbeauftragten zwischen Arbeitgeber und Betriebsrat und dessen Aufsichtsrechte bleiben konturlos.35 Wo enden „Prozesse der Meinungsbildung“ (§ 79a S. 4 BetrVG), bei denen der Betriebsrat die Auskünfte gegenüber dem Arbeitgeber verweigern kann? Was passiert, wenn sich der Anspruch eines Betroffenen und das Auskunftsverweigerungsrecht des Betriebsrats gegenüberstehen? Haftet dann der Arbeitgeber, der „Gläubiger“ des Anspruchs gegenüber dem Betriebsrat und „Schuldner“ des Betroffenenanspruchs ist, dem Betroffenen gegenüber wegen eines Datenschutzverstoßes? Wie weit reicht das Informationsrecht des Arbeitgebers? § 79a BetrVG verursacht weitreichende Folgenprobleme. Sofern die vorliegende Arbeit nicht ohnehin „gesetzgeberischen Zuspruch“ erfährt, bleiben mit diesen Problemen auch ihre Fragestellungen aktuell. Der Gesetzgeber anerkennt eines ihrer zentralen Ergebnisse: Wenn der Betriebsrat als datenschutzrechtlich Verantwortlicher klassifiziert werden soll, so bedarf es einer Regelung im Rahmen von Art. 4 Nr. 7 2. Hs. DSGVO, deren Bedingungen jedoch weiter zu diskutieren sind.36 Die Neuregelung löst die in der Arbeit diskutierten Rechtsfolgenprobleme nicht auf. Zwar mag eine Kostentragung des Arbeitgebers für allgemeine, bei der Betriebsratsarbeit im Kontext des Datenschutzes entstehende Kosten näher liegen.37 Fragen im Schadensersatzregime38 und Geldbußenregime39 wirft der Entwurf aber nicht einmal auf. Und auch sonstige Fragen, etwa zur

32

Maschmann, NZA 2021, 834 (835). Bundeskabinett, Regierungsentwurf v. 31. 3. 2021 (Betriebsrätemodernisierungsgesetz), S. 24. 34 S. zum Kabinettsentwurf bereits Möhle, ZD-Aktuell 2021, 05067; Maschmann, NZA 2021, 834 (839). 35 S. zum Kabinettsentwurf bereits Möhle, ZD-Aktuell 2021, 05067; nun auch Maschmann, NZA 2021, 834 (836); Schiefer/Worzalla, NZA 2021, 817 (822). 36 S. Kap. § 2. 37 S. Kap. § 3 B. 38 Kap. § 3 D. II. 39 Kap. § 3 D. III. 33

280

§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021

Stellung des Datenschutzbeauftragten werden nicht beantwortet.40 Sie müssen näher beleuchtet werden – und könnten unter Berücksichtigung der hier vorgeschlagenen Lösungsansätze näher untersucht werden. Die gut-gemeinte Regelung in § 79a BetrVG verdeckt leider eher den Blick auf die wirklich relevanten Fragestellungen, als dass sie Klarheit schafft. Sie stellt zwar die Bedingung klar(er) heraus, löst aber deren Rechtsfolgen nicht auf. Bei der – nun in die Hand der Rechtswissenschaft gelegten – Auflösung liefert die vorliegende Arbeit argumentative Ansatzpunkte.

40

Kap. § 3 C.

Literaturverzeichnis Abel, Horst G. (Hrsg.): Praxiskommentar Bundesdatenschutzgesetz, 5. Aufl., Kissing 2009. Adam, Jürgen / Schmidt, Karsten / Schumacher, Jörg: Nulla poena sine culpa – Was besagt das verfassungsrechtliche Schuldprinzip?, NStZ 2017, 7.  Adriansen, Laurent: La protection des données s’impose au CSE v. 29. 8. 2018, online: https:// blog.osezvosdroits.com/protection-des-donnees-cse-rgpd/ (letzter Abruf: 25. 2. 2021). Ahmling, Rebecca: Analogiebildung durch den EuGH im Europäischen Privatrecht, Berlin 2012. Albiges, Christophe (Hrsg.): Dictionnaire du vocabulaire juridique, Paris 2002. Albrecht, Jan Philipp (Hrsg.): Die Datenschutzreform der Europäischen Union, 2015. Albrecht, Jan Philipp: Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88. Albrecht, Jan Philipp / Janson, Nils C.: Datenschutz und Meinungsfreiheit nach der Datenschutzgrundverordnung, CR 2016, 500. Albrecht, Jan Philipp / Jotzo, Florian: Das neue Datenschutzrecht der EU, 1. Aufl., Baden-­ Baden 2017. Alexy, Robert: Theorie der juristischen Argumentation, 1. Aufl., Frankfurt am Main 1983. Althoff, Lars: Büropersonal des Betriebsrats – Aufgaben und Anforderungen an die Assistenz, ArbRAktuell 2018, 546. Althoff, Lars: Das Betriebsrätestärkungsgesetz  – Fortschritt oder Stillstand, ArbRAktuell 2021, 151. Althoff, Lars: Die Rolle des Betriebsrats im Zusammenhang mit der EU-Datenschutzgrundverordnung, ArbRAktuell 2018, 414. Ambos, Kai (Hrsg.): Europäisches Strafrecht post-Lissabon, Göttingen 2011. Ambrock, Jens: Mitarbeiterexzess im Datenschutzrecht, ZD 2020, 492. Anweiler, Jochen: Die Auslegungsmethoden des Gerichtshofs der Europäischen Gemeinschaften, Frankfurt am Main 1997. Appel, Ivo: Verfassung und Strafe, 1. Aufl., Berlin 1998. Article 29 Data Protection Working Party / Artikel 29 Datenschutzgruppe: Working Paper 169 (WP 169): Opinion 1/2010 on the concepts of „controller“ and „processor“, 00264/10/ EN v. 16. 2. 2010. Article 29 Data Protection Working Party / Artikel 29 Datenschutzgruppe: Working Paper 253 (WP 253): Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679 17/DE v. 3. 10. 2017.

282

Literaturverzeichnis

Aßmus, Ubbo: Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten?, ZD 2011, 27.  Auernhammer, Herbert: Die Europäische Datenschutzkonvention und ihre Auswirkungen auf den grenzüberschreitenden Datenverkehr, DuD 1985, 7. Basedow, Jürgen / Hopt, Klaus J. / Zimmermann, Reinhard: Max Plank Encyclopedia of European Private Law, Oxford 2012. Battis, Ulrich / Bleckmann, Iris: Datenverarbeitung durch den Personalrat, Computer und Recht 1989, 532. Baumbach, Adolf / Hopt, Klaus J. / Kumpan, Christoph / Merkt, Hanno / Roth, Markus (Hrsg.): Kommentar zum Handelsgesetzbuch, 39. Aufl., München 2020. Baumgartner, Ulrich / Hansch, Guido: Der betriebliche Datenschutzbeauftragte, ZD 2019, 99. Bayerischer Landesbeauftragter für den Datenschutz (BayLfD): Aktuelle Kurz-Informationen 23 – Der Personalrat – Verantwortlicher im Sinne des Datenschutzrechts? v. 1. 7. 2019. Bayerischer Landesbeauftragter für den Datenschutz (BayLfD): Synopse der DSGVO v. 5. 1. 2016, online: https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/​ 02/baylda_synopse.pdf (letzter Abruf: 25. 2. 2021). Bayerischer Landesbeauftragter für den Datenschutz (BayLfD): Tätigkeitsbericht für den Datenschutz 2019 v. 25. 5. 2020. Beaucamp, Guy / Beaucamp, Jakob: Methoden und Technik der Rechtsanwendung, 4. Aufl., Heidelberg 2019. Beck, Gunnar: Legal Reasoning of the Court of Justice of the EU, Oxford 2013. Becker, Ulrich / Hatje, Armin / Schoo, Johann / Schwarze, Jürgen (Hrsg.): EU-Kommentar, 4. Aufl., Tübingen 2019. Bengoetxea, Joxerramon: The Legal Reasoning of the European Court of Justice: Towards a European Jurisprudence, Oxford 1993. Berger, Klaus Peter: Auf dem Weg zu einem europäischen Gemeinrecht der Methode, ZEuP 2001, 4.  Bergmann, Jan: Handlexikon der Europäischen Union, 5. Auf., Baden-Baden 2015. Bergmann, Magnus: Finanzielle Haftung von Betriebsratsmitgliedern, NZA 2013, 57. Bergt, Matthias: Sanktionierung von Verstößen gegen die Datenschutz-Grundverordnung, DuD 2017, 555. Berliner Beauftragte für Datenschutz und Informationsfreiheit (B-BfDI): Pressemitteilung – Geldbuße gegen Delivery Hero, v. 19. 9. 2019, online: https://www.datenschutz-berlin.de/ fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf (letzter Abruf: 25. 2. 2021). Berliner Beauftragte für Datenschutz und Informationsfreiheit (B-BfDI): Pressemitteilung – Geldbuße gegen Deutsche Wohnen, v. 5. 11. 2019, online: https://www.datenschutz-berlin. de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf (letzter Abruf: 25. 2. 2021).

Literaturverzeichnis

283

Beseler, Dora von / Jacobs-Wüstefeld, Barbara: Law Dictionary Englisch-Deutsch, 4. Aufl., Berlin 1986. Beukelmann, Stephan: Europäisierung des Strafrechts  – Die neue strafrechtliche Ordnung nach dem Vertrag von Lissabon, NJW 2010, 2081. Beukelmann, Stephan: Geldbußenverhängung bei Datenschutzverstößen, NJW-Spezial 2020, 120. Bieber, Roland / Epiney, Astrid / Haag, Marcel / Kotzur, Markus: Die Europäische Union, 12. Aufl., Baden-Baden 2016. Bitter, Georg / Heim, Sebastian: Gesellschaftsrecht, 5. Aufl., München 2020. Bleckmann, Albert: Europarecht, 6. Aufl., Köln 1997. Bleckmann, Albert: Rechtsvergleichung im europäischen Gemeinschaftsrecht, in: ders. (Hrsg.): Studien zum Europäischen Gemeinschaftsrecht, 1. Aufl., Köln 1986. Bleckmann, Albert: Zu den Auslegungsmethoden des Europäischen Gerichtshofs, NJW 1982, 1177. Blum, Heribert / Gassner, Kathi / Seith, Sebastian (Hrsg.): Handkommentar zum Ordnungs­ widrigkeitengesetz, 1. Aufl., Baden-Baden 2016. Bobek, Michal: The Legal Reasoning of the Court of Justice of the EU, European Law Review 2014, 418. Boecken, Winfried / Düwell, Josef / Diller, Martin / Hanau, Hans (Hrsg.): Gesamtes Arbeitsrecht, 1. Aufl., Baden-Baden 2016. Böhm, Heinz: Die rechtliche Stellung des Betriebsratsvorsitzenden, Meiningen 1933. Boms, Wilfried: Ahndung von Ordnungswidrigkeiten nach der DSGVO in Deutschland, ZD 2019, 536. Bonanni, Andrea / Niklas, Lisa-Marie: Ist der Betriebsrat „Verantwortlicher“ im Sinne der DSGVO?, ArbRB 2018, 371. Borges, Georg: Rechtliche Rahmenbedingungen für autonome Systeme, NJW 2018, 977. Bott, Ingo / Vogel, Jan-Patrick: Sanktionen gegen Betriebsrat und Betriebsratsmitglieder nach der DSGVO?, BB 2019, 2100. Brams, Isabelle / Möhle, Jan-Peter: Die Stellung des Betriebsrats unter der DS-GVO, ZD 2018, 570. Braun, Steffen: Kooperation oder Konfrontation? Erste Bußgelder nach der DSGVO, ZD-Aktuell 2019, 06445. Briejer, Alexander: Vervangende toestemming: de dubbele toetsingsnorm ex art. 27 lid lid 4 WOR toepast, Tijdschtift voor Arbeid & Onderneming 2019, 26.  Brink, Stefan: Der Beratungsauftrag der Datenschutzaufsichtsbehörden, ZD 2020, 59. Brink, Stefan / Joos, Daniel: Datenschutzrechtliche Verantwortlichkeit der betrieblichen und behördlichen Beschäftigtenvertretungen, NZA 2019, 1395.

284

Literaturverzeichnis

Brummer, Klaus: Der Europarat – Eine Einführung, 1. Aufl., Wiesbaden 2008. Buchholtz, Gabriele: Grundrechte und Datenschutz im Dialog zwischen Karlsruhe und Luxemburg, DÖV 2017, 837. Buck, Carsten: Über die Auslegungsmethoden des Gerichtshofs der Europäischen Gemeinschaft, Frankfurt am Main 1998. Bülte, Jens: Das Datenschutzbußgeldrecht als originäres Strafrecht der Europäischen Union, StV 2017, 460. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Pressemitteilung – BfDI verhängt Geldbuße gegen Telekommunikationsanbieter, v. 9. 12. 2019, online: https:// www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverhängtGeldbuße1u1. html (letzter Abruf: 25. 2. 2021). Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Die Datenschutzbeauftragten in Behörden und Betrieben, Januar 2020. Bundesministerium des Innern (BMI): Referentenentwurf des Bundesministeriums des Innern eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) v. 5. 8. 2016, 1. Ressortabstimmung. Bundesministerium des Innern (BMI): Referentenentwurf des Bundesministeriums des Innern eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) v. 11. 11. 2016, 2. Ressortabstimmung. Bundesministerium für Arbeit und Soziales (BMAS): Referentenentwurf eines Gesetzes zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) v. 21. 12. 2020. Bundesministerium für Gesundheit (BMG): Referentenentwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz­gesetz (PDSG)) v. 30. 1. 2020. Bundesregierung: Kabinettsentwurf zur Datenstrategie – Eine Innovationsstrategie für gesellschaftlichen Fortschritt und nachhaltiges Wachstum v. 27. 1. 2021, online: https://www. bundesregierung.de/breg-de/suche/datenstrategie-der-bundesregierung-1845632 (letzter Abruf: 25. 2. 2021). Burkert, Herbert: Die Konvention des Europarates zum Datenschutz, CR 1988, 751. Bydlinski, Franz: Juristische Methodenlehre und Rechtsbegriff, 2. Aufl., Wien 1991. Calliess, Christian / Ruffert, Matthias (Hrsg.): EUV / A EUV Kommentar – Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 5. Aufl., München 2016. Calliess, Christian: Subsidiaritäts- und Solidaritätsprinzip in der Europäischen Union, 1. Aufl., Baden-Baden 1996. Canaris, Claus Wilhelm: Die Feststellung von Lücken im Gesetz, 1. Aufl., Berlin 1983. Canaris, Claus Wilhelm / Diederichsen, Uwe (Hrsg.): Festschrift für Karl Larenz zum 80. Geburtstag, 1. Aufl., München 1983.

Literaturverzeichnis

285

Caspar, Johannes: Das aufsichtsbehördliche Verfahren nach der EU-DSGVO – Defizite und Alternativregelungen, ZD 2012, 555. Chalmers, Damian / Arnull, Anthony (Hrsg.): Oxford Handbook of European Law, Oxford 2015. Colneric, Ninon: Auslegung des Gemeinschaftsrechts und gemeinschaftsrechtskonforme Auslegung, ZEuP 2005, 225. Commission nationale de l’informatique et des libertés (CNIL): Dispense de Declaration: DI 10 – Activité des comités d’enterprise et d’établissement v. 7. 1. 2021, online: www.cnil.fr/ declaration/pdf (letzter Abruf: 25. 2. 2021). Commission of the European Communities / Kommission der Europäischen Gemeinschaften: Proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data, COM (90) 314 final v. 13. 9. 1990. Commission of the European Communities / Kommission der Europäischen Gemeinschaften: Amended proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data v. 15. 10. 1992, COM (92) 422 final. Commission of the European Communities / Kommission der Europäischen Gemeinschaften: Gemeinsamer Standpunkt im Hinblick auf den Erlass der Richtlinie zum Schutz natür­ licher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 20. 2. 1995, in: ABl. Nr. 95/C 93/01 v. 13. 4. 1995. Committee of Ministers of the Council of Europe: Recommendation (80) 13 on exchange of legal information relating to data protection v. 18. 9. 1980. Committee of Ministers of the Council of Europe: Recommendation (89) 2 on the protection of personal data used for employment purposes v. 18. 1. 1989. Committee of Ministers of the Council of Europe: Recommendation (97) 18 on the protection of personal data collected and processed for statistical purposes v. 30. 9. 1997. Committee of Ministers of the Council of Europe: Resolution (73) 22 on the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector v. 26. 9. 1973. Committee of Ministers of the Council of Europe: Resolution (73) 23 on harmonisation measures in the field of legal data processing in the member states of the Council of Europe v. 26. 9. 1973. Committee of Ministers of the Council of Europe: Resolution (74) 29 on the protection of the privacy of individuals vis-à-vis electronic data banks in the public sector v. 20. 9. 1974. Conrad, Sebastian: Die Verantwortlichkeit in der Realität, DuD 2019, 563. Constantinesco, Léontin-Jean: Das Recht der Europäischen Gemeinschaften, Bd. 1, 1. Aufl., Baden-Baden 1977. Council of Europe / Europarat: Explanatory Report to the Convention for the protection of individuals with regard to automatic processing of personal data v. 28. 1. 1981, online: https:// rm.coe.int/16800ca434 (letzter Abruf: 25. 2. 2021). Council of the European Communities / Rat der Europäischen Gemeinschaften: Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data v. 27. 11. 1992, 92/C 311/04.

286

Literaturverzeichnis

Council of the European Union / Rat der Europäischen Union: Analysis of the final compromise text with a view to agreement v. 15. 12. 2015, Interinstitutional File 2012/0011(COD), 15039/15. Council of the European Union / Rat der Europäischen Union: Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, SEV Nr.223 v. 10. 10. 2018. Craig, Paul: Pringle and the nature of legal reasoning, Maastricht Journal of European and Comparative Law 2014, 205. Craig, Paul: Pringle: Legal Reasoning, Text, Purpose and Teleology, Maastricht Journal of European and Comparative Law 2013, 3. CSE-Guide: La protection des données personnelles au CSE: attention!, online: https://www. cse-guide.fr/protection-donnees-cse/ (letzter Abruf: 25. 2. 2021). Dallmann, Michael / Busse, Philipp: Die aufsichtsbehördliche Praxis nach Geltung der EU Datenschutz-Grundverordnung, CB 2018, 97. Dammann, Ulrich / Simitis, Spiros (Hrsg.): Kommentar EG-Datenschutzrichtlinie, 1. Aufl., Baden-Baden 1997. Danwerth, Christopher: Analogie und teleologische Reduktion  – zum Verhältnis zweier scheinbar ungleicher Schwestern, ZfPW 2017, 230. Danwitz, Thomas von: Der Einfluss des nationalen Rechts und der Rechtsprechung der Gerichte der Mitgliedstaaten auf die Auslegung des Gemeinschaftsrechts, ZESAR 2008, 57. Datenschutzkonferenz (DSK): Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, v. 3. 4. 2019. Datenschutzkonferenz (DSK): Erlass eines Konzepts der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung im Verfahren gegen Unternehmen, v. 14. 10. 2019. Däubler, Wolfgang: Gläserne Belegschaften – Das Handbuch zum Beschäftigtendatenschutzrecht, 8. Aufl., Frankfurt am Main 2019. Däubler, Wolfgang: Neue Unabhängigkeit für den betrieblichen Datenschutzbeauftragten?, DuD 2010, 20.  Däubler, Wolfgang: Unabhängigkeit des Betriebsrats trotz Gegnerfinanzierung? – Probleme der Vergütung von Betriebsratsmitgliedern, SR 2017, 85. Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter (Hrsg.): Betriebsverfassungsgesetz mit Wahlordnung und EBR-Gesetz, 17. Aufl., Frankfurt am Main 2020. Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter / Weichert, Thilo (Hrsg.): Kompaktkommentar Bundesdatenschutzgesetz, 5. Aufl., Frankfurt am Main 2016. Däubler, Wolfgang / Wedde, Peter / Weichert, Thilo / Sommer, Imke (Hrsg.): Kompaktkommentar EU-DSGVO und BDSG, 2. Aufl., Frankfurt am Main 2020. Dauses, Manfred / Ludwigs, Markus (Hrsg.): Handbuch des EU-Wirtschaftsrechts, Band 1, 48. EL, München 2019.

Literaturverzeichnis

287

De Swaan, Carola / Vesters, Danny, Privacy and the works council I v. 26. 4. 2018, online: https://boontjeadvocaten.nl/en/privacy-and-the-works-council-what-works-council-membersneed-to-know-about-the-gdpr/ (letzter Abruf: 25. 2. 2021). Dederichs, Mariele: Die Methodik des Gerichtshofes der Europäischen Gemeinschaften, EuR 2004, 345. Deutscher Gewerkschaftsbund (DGB): Betriebsrätegesetz gescheitert v. 10. 2. 2021, online: https://www.dgb.de/themen/++co++1c1027cc-6add-11eb-87dc-001a4a160123 (letzter Abruf: 25. 2. 2021). Dieterich, Thomas: Rechtsdurchsetzungsmöglichkeiten der DS-GVO: Einheitlicher Rechtsrahmen führt nicht zwangsläufig zu einheitlicher Rechtsdurchsetzung, ZD 2016, 260. Dommermuth-Alhäuser, Daniel / Heup, Eva: Haftung des Betriebsrats und seiner Mitglieder, BB 2013, 1461. Dörr, Oliver / Schmalenbach, Kirsten (Hrsg.): Vienna Convention on the Law of Treaties – A Commentary, Heidelberg 2012. Dreier, Horst (Hrsg.): Grundgesetz, Bd. 1, 3. Aufl., Tübingen 2013. Dreier, Horst (Hrsg.): Rezeption und Rolle der Reinen Rechtslehre  – FS Walter, 1. Aufl., Wien 2001. Dudenredaktion (Hrsg.): DUDEN  – Das Herkunftswörterbuch: Etymologie der deutschen Sprache, 5. Aufl., Berlin 2013. Dütz, Wilhelm / T hüsing, Gregor: Arbeitsrecht, 25. Aufl., München 2020. Düwell, Franz Josef (Hrsg.): Handkommentar Betriebsverfassungsgesetz, 5. Aufl., BadenBaden 2018. Düwell, Franz Josef / Brink, Stefan: Beschäftigtendatenschutz nach der Umsetzung der DSGVO: Viele Änderungen und wenig Neues, NZA 2017, 1081. Ebenroth, Carsten Thomas / Boujong, Karlheinz / Joost, Detlev / Strohn, Lutz (Hrsg.): Handelsgesetzbuch, 4. Aufl., München 2020. Eckhardt, Jens / Menz, Konrad: Bußgeldsanktionen der DSGVO, DuD 2018, 139. Edenfeld, Stefan: Betriebsverfassungsrecht, 4. Aufl., Heidelberg 2014. Ehmann, Eugen: Externe Dienstleister und ärztliche Schweigepflicht – so wird es nichts werden, ZD 2017, 201. Ehmann, Eugen / Helfrich, Marcus (Hrsg.): Kurzkommentar EG-Datenschutzrichtlinie, Köln 1999. Ehmann, Eugen / Selmayr, Martin (Hrsg.): Kommentar Datenschutz-Grundverordnung, 2. Aufl., München 2018. Eichenhofer, Johannes: E-Privacy – Theorie und Dogmatik eines europäischen Privatheitsschutzes im Internet-Zeitalter, Tübingen 2021. Eichenhofer, Johannes: Privatheitsgefährdung durch Private, DuD 2016, 84. Eisenhardt, Ulrich: Deutsche Rechtsgeschichte, 7. Aufl., München 2019.

288

Literaturverzeichnis

Ellenbeck, Frank: Die Grundrechtsfähigkeit des Betriebsrats, Berlin 1996. Ellger, Reinhard (Hrsg.): Der Datenschutz im grenzüberschreitenden Datenverkehr, 1. Aufl., Baden-Baden 1990. Erb, Volker: Legalität und Opportunität, 1. Aufl., Berlin 1999. Eskens, Sarah Johanna: Netherlands  – New Notification Obligations and Fines Under the Dutch Data Protection Act, EDPL 2016, 224. Eßer, Martin / Kramer, Philipp / L ewinski, Kai von (Hrsg.): Auernhammer – Kommentar zum Bundesdatenschutzgesetz und Nebengesetze, 4. Aufl., Bonn 2014. Eßer, Martin / Kramer, Philipp / L ewinski, Kai von (Hrsg.): Auernhammer Kommentar – Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Nebengesetze, 7. Aufl., Bonn 2020. Esser, Robert (Hrsg.): Europäisches und internationales Strafrecht, 4. Aufl., Heidelberg 2020. Europäische Kommission: Mitteilung an das Europäische Parlament, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Auf dem Weg zu einer europäischen Strafrechtspolitik: Gewährleistung der wirksamen Durchführung der EUPolitik durch das Strafrecht v. 20. 9. 2011, KOM (2011), 573 endg. Europäische Kommission: Stellungnahme zu den Abänderungen des Europäischen Parlaments des gemeinsamen Standpunkts des Rates betreffend den Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten v. 18. 7. 1995, KOM (95) 375 endg., COD287. Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 2012/0011(COD) v. 25. 1. 2012. Europäische Union (Hrsg.): Gemeinsamer Leitfaden für die Abfassung von Rechtstexten, 2. Aufl., Brüssel 2013. Europäischer Datenschutzbeauftragter: Entwicklungsgeschichte der DSGVO v. 25. 5. 2018, online: https://edps.europa.eu/data-protection/data-protection/legislation/history-generaldata-protection-regulation_de (letzter Abruf: 25. 2. 2021). Europäischer Datenschutzbeauftragter: Stellungnahme zum Datenschutzreformpaket v. 30. 6. 2012, ABl. (EU) 2012/C 192, S. 7. Europäisches Parlament: Beschluss betreffend den gemeinsamen Standpunkt des Rates im Hinblick auf die Annahme einer Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 15. 6. 1995, C4–0051/95 – 00/0287(COD). Europäisches Parlament: LIBE-Ausschuss  – Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) v. 21. 11. 2013, 2012/0011(COD), 0402/2013. European Data Protection Board (EDPB)/Europäischer Datenschutzausschuss: Endorsement 1/2018 v. 25. 5. 2018.

Literaturverzeichnis

289

European Data Protection Board (EDPB)/Europäischer Datenschutzausschuss: Guideline 07/2020 on the concepts of controller and processor in the GDPR v. 19. 10. 2020. Evans, A. C.: European Data Protection Law, American Journal of Comparative Law 1981, 571. Fabricius, Fritz: Relativität der Rechtsfähigkeit, 1. Aufl., München 1963. Fastenrath, Ulrich: Lücken im Völkerrecht, Berlin 1991. Faust, Sebastian / Spittka, Jan / Wybitul, Tim: Milliardenbußgelder nach der DSGVO? – Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, ZD 2016, 120. Fehner, Paul / Herrmann, August (Hrsg.): Wörterbuch der deutschen und französischen Rechtsund Verwaltungssprache, Strasbourg 1920. Fischer, Thomas: Kommentar zum Strafgesetzbuch mit Nebengesetzen, 68. Aufl., München 2021. Fitting, Karl / Engels, Gerd / Schmidt, Ingrid / Trebinger, Yvonne / Linsemaier, Wolfgang (Hrsg.), Handkommentar zum Betriebsverfassungsgesetz mit Wahlordnung, 30. Aufl., München 2020. Fleck, Klaus W. / Güttler, Wolfgang / Kettler, Hans (Hrsg.): Wörterbuch Recht, Wirtschaft und Politik, München 2017. Fraenkel, Ernst: Der Pluralismus als Strukturelement der freiheitlich-rechtsstaatlichen Demokratie, 1. Aufl., München 1964. Franzen, Martin / Gallner, Inken / Oetker, Hartmut (Hrsg.): Kommentar zum europäischen Arbeitsrecht, 3. Aufl., München 2020. Frieling, Tino: Gesetzesmaterialien und Wille des Gesetzgebers, Tübingen 2017. Fuhlrott, Michael: Wahrung von Datenschutzstandards als Voraussetzung arbeitgeberseitiger Betriebsratsinformation, ArbRAktuell 2019, 408. Fulton, Lewis: National Industrial Relations, an update, 2020, online: http://www.workerparticipation.eu/National-Industrial-Relations/Countries/France/Workplace-Representation (letzter Abruf: 25. 2. 2021). Gerhold, Maximilian: Europäisches Datenschutzrecht ohne den EuGH, EuZW 2020, 849. Gesang, Bernward (Hrsg.): Die großen Kontroversen der Rechtsphilosophie, 1. Aufl., Paderborn 2011. Gierschmann, Sybille: Gemeinsame Verantwortlichkeit in der Praxis, ZD 2020, 69. Gola, Peter (Hrsg.): Datenschutzgrundverordnung – VO (EU) 2016/679, 2. Aufl., München 2018. Gola, Peter: Beschäftigtendatenschutz und EU-DSGVO, EuZW 2012, 332. Gola, Peter: Spezifika bei der Benennung behördlicher Datenschutzbeauftragter, ZD 2019, 383. Gola, Peter / Heckmann, Dirk (Hrsg.): Kommentar Bundesdatenschutzgesetz, 13. Aufl., München 2019.

290

Literaturverzeichnis

Gola, Peter / Klug, Christoph / Körffer, Barbara / et al. (Hrsg.): Kommentar Bundesdatenschutzgesetz, 12. Aufl., München 2015. Gola, Peter / Pötters, Stephan / Wronka, Georg: Handbuch Arbeitnehmerdatenschutz, 7. Aufl., Zwickau 2016. Gola, Peter / T hüsing, Gregor / Schmidt, Maximilian: Was wird aus dem Beschäftigtendatenschutz?, DuD 2017, 244. Golla, Sebastian J.: Das Opportunitätsprinzip für die Verhängung von Bußgeldern nach der DSGVO, CR 2018, 353. Golla, Sebastian J.: Straf- und Bußgeldtatbestände der Datenschutzgesetze, 1. Aufl., Berlin 2015. Grabitz, Eberhard / Hilf, Meinhard (Hrsg.): Das Recht der Europäischen Union, 40. Aufl., München 2009. Grabitz, Eberhard / Hilf, Meinhard / Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, 71. EL, München 2020. Graf, Jürgen (Hrsg.): Beck’scher Online-Kommentar OWiG, 29. Edit., München 2021. Gräfl, Edith / Lunk, Stefan / Oetker, Hartmut / Trebinger, Yvonne (Hrsg.): 100 Jahre Betriebsverfassungsrecht, München 2020. Greiner, Stefan / Senk, Clara: Der Datenschutzbeauftragte und sein Schutz vor Benachteiligung, Abberufung und Kündigung – Ein Wegweiser durch DSGVO und BDSG, NZA 2020, 201. Grimm, Dieter: Der Datenschutz vor einer Neuorientierung, JZ 2013, 585. Groeben, Hans von der / Schwarze, Jürgen / Hatje, Armin (Hrsg.): Europäisches Unionsrecht, 7. Aufl., Baden-Baden 2015. Grundmann, Stephan M.: Die Auslegung des Gemeinschaftsrechts durch den Europäischen Gerichtshof, Konstanz 1997. Gründwald, Andreas / Hackl, Jens: Das neue umsatzbezogene Sanktionsregime der DSGVO, ZD 2017, 556. Gsell, Beate / Krüger, Wolfgang / L orenz, Stephan / Reymann, Christoph (Hrsg.): Beck Online Großkommentar zum BGB, Buch 2, 2020. Gusy, Christoph: Datenschutz als Privatheitsschutz oder Datenschutz statt Privatheitsschutz?, EuGRZ 2018, 244. Gusy, Christoph: Demokratisches Denken in der Weimarer Republik, 1. Aufl., Baden-Baden 2000. Gusy, Christoph: Staatsrechtlicher Positivismus, JZ 1989, 505. Gusy, Christoph: Verbot mit Erlaubnisvorbehalt – Verbot mit Dispensvorbehalt, JA 1981, 80. Hackel, Danguole: Der betriebliche Datenschutzbeauftragte, Frankfurt am Main 2013. Hähnchen, Susanne (Hrsg.): Methodenlehre zwischen Wissenschaft und Handwerk, 1. Aufl., Tübingen 2019. Haltern, Ulrich: Europarecht, Bd. I, 3. Aufl., Baden-Baden 2017.

Literaturverzeichnis

291

Hamann, Christian / Wegmann, Clemens: Ein Jahr DS-GVO – Einige Erkenntnisse und viele offene Fragen, BB 2019, 1347. Hamburgischer Beauftragter für den Datenschutz und Informationssicherheit (HH-BfDI): Bußgeld gegen H&M, ZD-Aktuell 2020, 07328. Hamm, Rainer: Compliance vor Recht? – Anwälte bei der Bewältigung eines „Datenskandals“, NJW 2010, 1332. Handel, Timo: Das Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen, K&R 2019, 757. Happe, Nico: Die persönliche Rechtsstellung von Betriebsräten, Berlin 2017. Härting, Niko: Datenschutz-Grundverordnung, Berlin 2016. Hartung, Jürgen / Büttgen, Lisa: Sanktionen und Haftungsrisiken nach der DSGVO, WPg 2017, 1152. Hässler, Manfred: Die Geschäftsführung des Betriebsrates, 4. Aufl., Heidelberg 1976. Hau, Wolfgang / Poseck, Roman: Beck’scher Online-Kommentar BGB, 56. Edit., München 2020. Häublein, Martin / Hoffmann-Theinert, Roland: Beck’scher Online-Kommentar HGB, 31. Edit., München 2021. Haußmann, Katrin / Dolde, Rieke: Datenverarbeitung im Konzern: Arbeitgeber-Verantwortung im Datenschutz und Betriebsrats-Zuständigkeit in der Mitbestimmung, NZA 2020, 1588. Heck, Philipp: Gesetzesauslegung und Interessenjurisprudenz, 1. Aufl., Tübingen 1914. Hefendehl, Roland: Ordnungswidrigkeiten: Legitimation und Grenzen, ZIS 2016, 636. Hege, Adelheid / Dufour, Christian: Betriebliche Gewerkschaftsvertreter ohne Gewerkschaftsbindung? Das Paradox der zunehmenden gewerkschaftlich organisierten Comités d’enterprise in Frankreich, Industrielle Beziehungen 2009, 154. Heintschel-Heinegg, Bernd von (Hrsg.): Beck’scher Online-Kommentar StGB, 48. Edit., München 2020. Heitzer, Anne: Punitive Sanktionen im Europäischen Gemeinschafsrecht, Heidelberg 1996. Henke, Ferdinand: Die Datenschutzkonvention des Europarates, Frankfurt am Main 1986. Henkes, Andre: Die (Weiter-)Entwicklung der deutschen Rechtssprache in Belgien, Eupen 2012. Henssler, Martin / Braun, Axel (Hrsg.): Arbeitsrecht in Europa, 3. Aufl., Köln 2011. Henssler, Martin / Strohn, Lutz (Hrsg.): Kommentar zum Handelsgesetzbuch, 5. Aufl., München 2021. Herdegen, Matthias: Völkerrecht, 19. Aufl., München 2020. Heselhaus, F. Sebastian M. / Nowak, Carsten: Handbuch der Europäischen Grundrechte, München 2006. Hesse, Konrad: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, Neudruck 1. Aufl., Heidelberg 1999.

292

Literaturverzeichnis

Hessischer Beauftragter für Datenschutz und Informationsfreiheit: Der Datenschutzbeauftragte nach dem neuen Recht, Juni 2017. Heuschmid, Johannes: Datenschutzgrundverordnung und Betriebsverfassung – Eine Positionsbestimmung unter besonderer Berücksichtigung des primären Unionsrechts, SR 2019, 1.  Heussen, Benno: Analogie ist unlogisch, NJW 2016, 1500. Hitzelberger-Kijima, Yukiko: Datenschutzgrundverordnung und Arbeitsnehmervertretung, öAT 2018, 136. Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.): Grundlagen des Verwaltungsrechts, Bd. 1, 2. Aufl., München 2012. Hornung, Gerrit: Fortentwicklung des datenschutzrechtlichen Regelungssystems des Europarats, DuD 2004, 719. IG-Metall: VW-Betriebsrat, online: https://www.igmetall-wob.de/betriebe/vw/vw-betriebsrat/ (letzter Abruf: 25. 2. 2021). Iraschko-Luscher, Stephanie: Zusammenarbeit des Datenschutzbeauftragten mit dem Betriebsrat, IT-Sicherheit und Datenschutz 2007, 696. Jahnke, Volker: Kompetenzen des Betriebsrats mit vermögensrechtlichem Inhalt, RdA 1975, 343. Jarass, Hans D. / Pieroth, Bodo: Kommentar zum Grundgesetz, 16. Aufl., München 2020. Jarass, Hans D.: Kommentar – Charta der Grundrechte der Europäischen Union, 3. Aufl., München 2016. Jauernig, Othmar / Stürner, Rolf (Hrsg.): Bürgerliches Gesetzbuch, 18. Aufl., München 2021. Jestaedt, Matthias: Hans Kelsen und die deutsche Staatsrechtslehre, 1. Aufl., Baden-Baden 2013. Joecks, Wolfgang / Miebach, Klaus (Hrsg.): Münchener Kommentar zum Strafgesetzbuch, Bd. 1–8, 3./4. Aufl., München 2018–2020. Joseph, Sarah / Castan, Melissa: The international covenant on civil and political rights, 3. Aufl., Oxford 2020. Jung, Aeryung: Grundrechtsschutz auf europäischer Ebene, Hamburg 2016. Jung, Alexander / Hansch, Guido: Die Verantwortlichkeit in der DS-GVO und ihre praktischen Auswirkungen, ZD 2019, 143. Jung, Stefanie / Krebs, Peter / Stiegler, Sascha (Hrsg.): Gesellschaftsrecht in Europa, 1. Aufl., Baden-Baden 2019. Jürgens, Fabian: Die Kompetenzabgrenzung zwischen der Europäischen Union und den Mitgliedstaaten, München 2010. Kamanabrou, Sudabeh: Arbeitsrecht, Tübingen 2017. Karpen, Hans-Ulrich: Die Verweisung als Mittel der Gesetzgebungstechnik, Berlin 1970. Karpenstein, Ulrich / Mayer, Franz: Kommentar zur EMRK, 2. Aufl., München 2015.

Literaturverzeichnis

293

Kehr, Thomas / Z app, Benjamin: DSGVO – Ein erster Überblick aus der Bußgeldpraxis der Aufsichtsbehörden, CB 2020, 100. Keitel, Ines / Busch, Alicia: Der neue Referentenentwurf für ein Betriebsrätestärkungsgesetz – wesentliche Änderungen, BB 2021, 564. Kelsen, Hans: Die philosophischen Grundlagen der Naturrechtslehre und des Rechtsposivitismus, 1. Aufl., Berlin 1928. Kelsen, Hans: Reine Rechtslehre – Studienausgabe, 1. Aufl. (1934), Berlin 2008. Kenji-Kipker, Dennis: 2. DSAnpUG-EU und die Talfahrt des deutschen Datenschutzrechts, DuD 2019, 371. Kiel, Heinrich / Lunk, Stefan / Oetker, Hartmut / et al. (Hrsg.): Münchener Handbuch zum Arbeitsrecht – Bd. 3: Kollektives Arbeitsrecht I, 4. Aufl., München 2019. Kiesche, Eberhard / Wilke, Matthias: Die Interessenvertretung und der Beschäftigtendatenschutz, CuA 2012, 18.  Kindhäuser, Urs / Neumann, Ulfrid / Paeffgen, Hans-Ullrich (Hrsg.): Strafgesetzbuch, 5. Aufl., Baden-Baden 2017. Kischel, Uwe: Rechtsvergleichung, München 2015. Kleinebrink, Wolfgang: Arbeitgeber und Betriebsrat als „Verantwortliche“ im neuen Datenschutzrecht?, DB 2018, 2566. Klement, Jan Henrik: Öffentliches Interesse an Privatheit, JZ 2017, 161. Klement, Jan Henrik: Verantwortung, Tübingen 2006. Klindt, Thomas / Pelz, Christian / T heusinger, Ingo: Compliance im Spiegel der Rechtsprechung, NJW 2010, 2385. Köbler, Gerhard: Juristisches Wörterbuch, 16. Aufl., München 2016. Koch, Hans-Joachim: Methoden zum Recht, 1. Aufl., Baden-Baden 2010. Koch, Hans-Joachim / Rüßmann, Helmut (Hrsg.): Juristische Begründungslehre. Eine Einführung in die Grundprobleme der Rechtswissenschaft, 1. Aufl., München 1982. Koch, Jens: Gesellschaftsrecht, 11. Aufl., München 2019. Kohn, Joachim: Der Schadensersatzanspruch nach Art. 82 DSGVO, ZD 2019, 498. Körner, Marita: Die Auswirkungen der DSGVO in der betrieblichen Praxis, Frankfurt am Main 2019. Körner, Marita: Die DS-GVO und nationale Regelungsmöglichkeiten für Beschäftigtendatenschutz, NZA 2016, 1383. Kort, Michael: Das Dreieck von Betriebsrat, betrieblichem Datenschutzbeauftragten und Aufsichtsbehörde beim Arbeitnehmer-Datenschutz, NZA 2015, 1345. Kort, Michael: Der Beschäftigtendatenschutz gem. § 26 BDSG-neu, ZD 2017, 319. Kort, Michael: Rechte des Betriebsrats auf Daten der elektronischen Personalakte – Aufgabenerfüllung der Personalvertretung und Arbeitnehmerdatenschutz, ZD 2015, 3. 

294

Literaturverzeichnis

Kort, Michael: Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO?, ZD 2017, 3.  Kramer, Ernst A.: Juristische Methodenlehre, 5. Aufl., München 2016. Kramer, Stefan: IT-Arbeitsrecht, 2. Aufl., München 2019. Kranig, Thomas: Zuständigkeit der Datenschutzaufsichtsbehörden – Feststellung des Status Quo mit Ausblick auf die DSGVO, ZD 2013, 550. Kranig, Thomas / Wybitul, Tim: Sind Betriebsräte für den Datenschutz selbst verantwortlich?, ZD 2019, 1. Krenberger, Benjamin / Krumm, Carsten / Bohnert, Joachim (Hrsg.): Kommentar zum Ordnungs­ widrigkeitengesetz, 5. Aufl., München 2018. Kreutz, Peter: Grenzen der Betriebsautonomie, 1. Aufl., München 1979. Kühling, Jürgen / Buchner, Benedikt (Hrsg.): Kommentar Datenschutz-Grundverordnung / Bundesdatenschutzgesetz, 3. Aufl., München 2020. Kühling, Jürgen / Klar, Manuel / Sackmann, Florian: Datenschutzrecht, 4. Aufl., Heidelberg 2018. Kühling, Jürgen / Martini, Mario: Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, 448. Kühling, Jürgen / Martini, Mario / Heberlein, Johanna / Kühl, Benjamin / Nink, David / Weinzierl, Quirin / Wenzel, Michael: Die Datenschutzgrundverordnung und das nationale Recht, Münster 2016. Küpferle, Otto: Arbeitnehmerdatenschutz im Spannungsfeld von BDSG und BetrVG, ­München 1986. Kurzböck, Christoph / Weinbeck, Kathrin: Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, BB 2020, 500. Kurzböck, Christoph / Weinbeck, Kathrin: DSGVO-Verstöße im Betriebsratsbüro – wer haftet?, BB 2018, 1652. Kutscher, Hans: Die den nationalen Rechtsordnungen und dem Gemeinschaftsrecht gemeinsamen Auslegungsmethoden, in: Gerichtshof der Europäischen Gemeinschaften: Begegnung von Justiz und Hochschule – Berichte, Luxemburg 1976. Landau, Herbert: Strafrecht nach Lissabon, NStZ 2011, 537. Landesbeauftragte für den Datenschutz Niedersachsen (LfDNDS): FAQ  – Betriebsräte, v. 4. 11. 2020, online: https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/ betriebsrat/faq-fur-betriebsrate-194163.html#Sind_Betriebsraete_aus_Sicht_der_LfD_ Niedersachsen_Verantwortliche_im_Sinne_von_Artikel_4_Nummer_7_der_Verordnung_ EU_2016_679_Datenschutz-Grundverordnung_-_DS-GVO_ (letzter Abruf: 25. 2. 2021). Landesbeauftragte für den Datenschutz Niedersachsen (LfDNDS): Fragen und Antworten zur DSGVO, online: https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/ kommunen/kommunen-166467.html#Frage_9 (letzter Abruf: 25. 2. 2021). Landesbeauftragte für den Datenschutz Niedersachsen (LfDNDS): Pressemitteilung – Übersicht über die verhängten Geldbußen, v. 3. 9. 2020, online: https://www.lfd-niedersachsen. de/download/bussgelder (letzter Abruf: 25. 2. 2021).

Literaturverzeichnis

295

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (BWLfDI): Pressemitteilung  – LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DSGVO v. 22. 11. 2018, online: https://www.baden-wuerttemberg. datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschlandnach-der-ds-gvo/ (letzter Abruf: 25. 2. 2021). Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (BWLfDI): 34. Tätigkeitsbericht Datenschutz 2018 v. 17. 1. 2019. Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (BWLfDI): Pressemitteilung  – LfDI Baden-Württemberg verhängt Bußgeld gegen früheren Juso-Landeschef v. 28. 2. 2019, online: https://www.baden-wuerttemberg.datenschutz.de/ lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/ (letzter Abruf: 25. 2. 2021). Landesbeauftragter für Datenschutz und Informationsfreiheit Rheinland-Pfalz (RP-LfDI): Tätigkeitsbericht zum Datenschutz 2018 v. Februar 2020. Landesbeauftragter für Datenschutz und Informationsfreiheit Rheinland-Pfalz (RP-LfDI): Pressemitteilung – Bußgeldverfahren gegen die Debeka einvernehmlich abgeschlossen v. 29. 12. 2014, online: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/ bussgeldverfahren-gegen-die-debeka-einvernehmlich-abgeschlossen-debeka-akzeptiertgeldbusse-und-gar/ (letzter Abruf: 25. 2. 2021). Landesbeauftragter für Datenschutz und Informationsfreiheit Rheinland-Pfalz (RP-LfDI): Pressemitteilung – Erstes Bußgeld gegen Polizeibeamten v. 18. 6. 2019, online: https://www. datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-erstes-bussgeld-gegen-polizeibeamten/ (letzter Abruf: 25. 2. 2021). Lantwin, Tobias: Risikoberuf Datenschutzbeauftragter? Die Haftung nach der neuen DSGVO, ArbRAktuell 2017, 508. Larenz, Karl: Methodenlehre der Rechtswissenschaft, 5. Aufl., Berlin 1983. Larenz, Karl / Canaris, Claus Wilhelm: Methodenlehre der Rechtswissenschaft, 3. Aufl., Berlin 1995. Laue, Philip / Kremer, Sascha: Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden 2019. Lee, Kye Il: Die Struktur der juristischen Entscheidung aus konstruktivistischer Sicht, Tübingen 2010. Leisner, Georg: Die subjektiv-historische Auslegung des Gemeinschaftsrechts: Der „Wille des Gesetzgebers“ in der Judikatur des EuGH, EuR 2007, 689. Lenaerts, Koen / Gutierréz-Fons, Jose A.: Working Paper EU / Italy – To say what the law of EU is: methods of interpretation and the ECJ, AEL 2013/9, 6–27. Lepper, Ulrich: Düsseldorfer Kreis wird Gremium der Datenschutzkonferenz, DuD 2013, 74. Lepsius, Oliver: Normenhierarchie und Stufenbau der Rechtsordnung, JuS 2018, 950. Lewinski, Kai von: Datenschutzaufsicht in Europa als Netzwerk, NVwZ 2017, 1483. Lewinski, Kai von: Die Matrix des Datenschutzes, Tübingen 2014.

296

Literaturverzeichnis

Lewinski, Kai von: Geschichte des Datenschutzrechts von 1600 bis 1977, in: Arndt, Felix, ­Nicole Betz, Anuscheh Farahat, Matthias Goldmann, Matthias Huber, Rainer Keil, Petra Lea Lancos, Jan Schaefer, Maja Smrkolj, Franziska Sucker und Stefanie Valta (Hrsg.): Freiheit – Sicherheit – Öffentlichkeit, S. 196–220, 1. Aufl., Heidelberg 2009. Liedtke, Werner: Das Bundesdatenschutzgesetz  – Eine Fallstudie zum Gesetzgebungsprozeß, München 1980. Lücke, Oliver: Die Betriebsverfassung in Zeiten der DS-GVO, NZA 2019, 658. Lüdemann, Volker / Wenzel, Daniel: Zur Funktionsfähigkeit der Datenschutzaufsicht in Deutschland, RDV 2015, 285. Luhmann, Niklas: Das Recht der Gesellschaft, 1. Aufl., Frankfurt am Main 1995. Lunk, Stefan / Rodenbusch, Vincent: Die Haftung des Betriebsrats und seiner Mitglieder, NJW 2014, 1989. Lurtz, Helmut / Ruhmann, Maurice: Der lange Weg zu einem Beschäftigtendatenschutzgesetz?, ZD-Aktuell 2020, 07281. Luther, Christoph: Die juristische Analogie, JA 2013, 449. MacCormick, Neil / Summers, Robert S.: Interpreting Statutes: A Comparative Study, 1. Aufl., New York 1991. Maier, Natalie: Der Beschäftigtendatenschutz nach der Datenschutzgrundverordnung, DuD 2017, 169. Mangoldt, Hermann von / Klein, Friedrich / Starck, Christian / Huber, Peter M. / Voßkuhle, ­Andreas (Hrsg.): Kommentar zum Grundgesetz, 7. Aufl., München 2018. Marsch, Nikolaus: Das europäische Datenschutzgrundrecht, Tübingen 2018. Martens, Sebastian A. E.: Methodenlehre des Unionsrechts, Tübingen 2013. Martini, Mario / Wagner, David / Wenzel, Michael: Das neue Sanktionsregime der DSGVO – Ein scharfes Schwert ohne legislativen Feinschliff, Teil I und II, VerwArchiv 2018, 163 ff. und 296 ff. Martini, Mario / Wenzel, Michael: „Gelbe Karte“ von der Aufsichtsbehörde: die Verwarnung als datenschutzrechtliches Sanktionenhybrid, PinG 2017, 92. Maschmann, Frank: Der Arbeitgeber als Verantwortlicher für den Datenschutz im Betriebsratsbüro (§ 79a BetrVG)?, NZA 2021, 834. Maschmann, Frank: Der Betriebsrat als für den Datenschutz Verantwortlicher, NZA 2020, 1207. Masing, Johannes / Jestaedt, Matthias / Capitant, David / L e Divellec, Armel (Hrsg.): Strukturfragen des Grundrechtsschutzes in Europa, Tübingen 2015. Maunz, Theodor / Dürig, Günter / Scholz, Rupert / et al. (Hrsg.): Grundgesetz-Kommentar, 92. EL, München 2020. Meder, Stephan: Rechtsgeschichte, 7. Aufl., Köln 2021. Mehde, Veith: Die Ministerialverantwortlichkeit nach dem Grundgesetz, DVBl 2001, 13. 

Literaturverzeichnis

297

Meinhold, Stefan: Stellung des Personalrats als Verantwortlicher nach der DS-GVO, NZA 2019, 670. Metzger, Gillian E. / Stack, Kevin M.: Internal Administrative Law, Michigan Law Review 2017, 1239. Meyer-De Swaan, Carola: Privacy and the works council II v. 17. 5. 2018, online: https:// boontjeadvocaten.nl/en/privacy-and-the-works-council-part-ii-what-role-does-the-workscouncil-play-in-implementation-of-the-gdpr/ (letzter Abruf: 25. 2. 2021). Middel, Lukas: Beschäftigtendatenschutz im Lichte der DSGVO und unter Berücksichtigung des BDSG (neu), AuR 2018, 411. Mitsch, Wolfgang (Hrsg.): Karlsruher Kommentar zum Gesetz über Ordnungswidrigkeiten, 5. Aufl., München 2018. Mitsch, Wolfgang: Recht der Ordnungswidrigkeiten, 2. Aufl., Berlin 2005. Möhle, Jan-Peter: Datenschutz und Betriebsrat im Betriebsrätestärkungsgesetz: Politischer Wille ohne rechtlichen Weitblick, ZD-Aktuell 2021, 05067. Möllenkamp, Olaf: Anmerkung zu LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, NZA-RR 2019, 196. Möllers, Thomas M. J.: Die Rolle des Rechts im Rahmen der europäischen Integration, 1. Aufl., Baden-Baden 1999. Möllers, Thomas M. J.: Juristische Methodenlehre, 1. Aufl., München 2017. Monreal, Manfred: „Der für die Verarbeitung Verantwortliche“ – das unbekannte Wesen des deutschen Datenschutzrechts, ZD 2014, 611. Moos, Flemming / Schefzig, Jens / Arning, Marian (Hrsg.): Die neue Datenschutz-Grundverordnung, Berlin 2018. Morasch, Olga: Datenverarbeitung im Beschäftigungskontext, Baden-Baden 2019. Möstl, Markus: Die Beschlüsse des BVerfG zu KFZ-Kennzeichenkontrollen, GSZ 2019, 101. Müller, Friedrich / Christensen Ralph: Juristische Methodik, Bd. 2, 2. Aufl., Berlin 2007. Müller, Friedrich / Christensen, Ralph: Juristische Methodik, Bd. 1, 11. Aufl., Berlin 2013. Müller, Marian: Die Öffnungsklauseln der Datenschutzgrundverordnung, 1. Aufl., Münster 2018. Müller, Stefan / Jahner, Kristina: Die Haftung des Betriebsrats und der Betriebsratsmitglieder, BB 2013, 440. Müller-Glöge, Rudi / Preis, Ulrich / Schmidt, Ingrid (Hrsg.): Erfurter Kommentar zum Arbeitsrecht, 21. Aufl., München 2021. Nagel, Philipp A.: Arbeitnehmervertretung und Strafrecht, 1. Aufl., Baden-Baden 2016. Nguyen, Alexander M.: Die zukünftige Datenschutzaufsicht in Europa, ZD 2015, 265. Nicola, Fernanda G.: National Legal Traditions at Work in the Jurisprudence of the Court of Justice of the European Union, American Journal of Comparative Law 2016, 865.

298

Literaturverzeichnis

Nicolaysen, Gert: Der Gerichtshof – Funktion und Bewährung der Judikative, EuR 1972, 375. Nipperdey, Hans Carl / Ennecerus, Ludwig: Allgemeiner Teil des BGB, 15. Aufl., Tübingen 1959/1960. Noak, Torsten: Einführung ins Ordnungswidrigkeitenrecht – Teil 1, ZJS 2012, 175. Nolde, Malaika: Sanktionen nach DSGVO und BDSG-neu: Wem droht was warum?, PinG 2017, 114. O’Keeffe, David / Bavasso, Antonio: Judicial Review in European Union Law, 1. Aufl., ­Alphen aan den Rijn 2000. Oetker, Hartmut (Hrsg.): Kommentar zum Handelsgesetzbuch, 6. Aufl., München 2019. Oppermann, Thomas / Classen, Dieter / Nettesheim, Martin: Europarecht, 8. Aufl., München 2018. Oppermann, Thomas: Europarecht. Ein Studienbuch, 1. Aufl., München 1991. Organisation for Economic Cooperation and Development: Distributed Public Governance, November 2002. Organisation for Economic Cooperation and Development: Overview OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data v. 23. 9. 1980, online: http://www.oecd.org/digital/ieconomy/15589558.pdf (letzter Abruf: 25. 2. 2021). Paal, Boris: Schadensersatzansprüche bei Datenschutzverstößen, MMR 2020, 14.  Paal, Boris / Pauly, Daniel (Hrsg.): Beck’scher Kompakt-Kommentar DSGVO und BDSG, 3. Aufl., München 2021. Palandt, Otto (Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch, 80. Aufl., München 2021. Parisi, Francesco: The Language of Law and Economics – A Dictionary, 1. Aufl., ­Cambridge 2013. Pärli, Kurt: Die EGMR-Rechtsprechung zum Schutz der Privatsphäre und vor Überwachung am Arbeitsplatz, EuZA 2020, 224. Parliamentary Assembly of the Council of Europe: Resolution (80) 721 on data processing and the protection of human rights v. 1. 2. 1980. Pechstein, Matthias / Nowak, Carsten / Häde, Ulrich (Hrsg.): Frankfurter Kommentar EUV – GRC – AEUV, 1. Aufl., Tübingen 2017. Petri, Thomas: Das Verhältnis von Datenschutzaufsicht und Rechtsprechung, ZD 2020, 81. Pfeiffer, Wolfgang (Hrsg.): Etymologisches Wörterbuch des Deutschen – Bd. 2 (M–Z), 2. Aufl., Berlin 1993. Piltz, Carlo / Zwerschke, Johannes: Überblick zur bisher ergangenen Rechtsprechung des BAG zum neuen Datenschutzrecht, NZA-RR 2020, 113. Plath, Kai-Uwe (Hrsg.): Kommentar zum BDSG sowie den Datenschutzbestimmungen von TMG und TKG, Köln 2013. Plath, Kai-Uwe (Hrsg.): Kommentar zum BDSG und zur DSGVO sowie den Datenschutz­ bestimmungen von TMG und TKG, 3. Aufl., Köln 2018.

Literaturverzeichnis

299

Pohl, Dirk: Durchsetzungsdefizite der DSGVO, PinG 2017, 85. Pollicino, Oreste: Legal Reasoning of the Court of Justice in the context of the principle of equality between judicial activism and self-restraint, German Law Journal 2004, 283. Pötters, Stephan / Gola, Peter: Wer ist datenschutzrechtlich „Verantwortlicher“ im Unternehmen?, RDV 2017, 279. Pötters, Stephan / Hansen, Marco: Datenschutzanforderungen an die Betriebsratsarbeit, ­A rbRAktuell 2020, 193. Rat der Europäischen Gemeinschaften: Vorschlag Richtlinie über den Schutz von Personen bei der Verarbeitung personenbezogener Daten v. 5. 11. 1990, 90/C 277/03. Rat der Europäischen Union: Informatorischer Vermerk – Lesung zum Vorschlag der Europäischen Kommission – Interinstitutionelles Dossier des Rats der EU v. 27. 3. 2014, 2012/0011 (COD); 7427/1/14. Rat der Europäischen Union: Vermerk  – Vorbereitung einer allgemeinen Ausrichtung v. 11. 6. 2015, 2012/0011 (COD) 9565/15. Redaktion Beck Aktuell: Beirat zum Beschäftigtendatenschutz nimmt Arbeit auf, 16. 6. 2020. Redaktion MMR-Aktuell: Italien – Energieversorger muss Millionenstrafe wegen unerlaubtem Telemarketing zahlen, MMR-Aktuell 2020, 425983. Reding, Viviane: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, 195. Reimer, Philipp: Verwaltungsdatenschutzrecht, 1. Aufl., Baden-Baden 2019. Reinhard, Christian: Rechte und Pflichten des Betriebsrats bei der Verwendung von Arbeitnehmerdaten, Freiburg 2012. Reinhardt, Tilman: Die Auslegung der völkerrechtlichen Verträge der Europäischen Union, München 2016. Reuter, Iris: Der Betriebsrat als Mandant im Rahmen des § 111 BetrVG, 1. Aufl., Baden-­ Baden 2018. Richardi, Reinhard (Hrsg.): Kommentar zum Betriebsverfassungsgesetz, 16. Aufl., München 2018. Richardi, Reinhard: Besprechung des Urteils BGH v. 25. 10. 2012 – III ZR 266/11, RdA 2013, 317. Richardi, Reinhard / Dörner, Hans-Jürgen / Weber, Christoph (Hrsg.): Personalvertretungsrecht, 5. Aufl., München 2020. Richter, Tim: Der Arbeitnehmer als Verantwortlicher für die Einhaltung datenschutzrecht­ licher Bestimmungen, ArbRAktuell 2020, 613. Riesenhuber, Karl: Europäische Methodenlehre  – Handbuch für Ausbildung und Praxis, 3. Aufl., Berlin 2015. Röhl, Klaus F. / Röhl, Hans Christian: Allgemeine Rechtslehre, 3. Aufl., Köln 2008. Rolfs, Christian / Giesen, Richard / Kreikebohm, Ralf / Meßling, Miriam / Udsching, Peter (Hrsg.): Beck’scher Online-Kommentar Arbeitsrecht, 58. Edit., München 2020.

300

Literaturverzeichnis

Romero, Sibylle: Alternative Arbeitnehmervertretungen, 1. Aufl., Baden-Baden 2017. Rosset, Christoph: Rechtssubjektivität des Betriebsrats und Haftung seiner Mitglieder, Heidelberg 1985. Roßnagel, Alexander (Hrsg.): Europäische Datenschutz-Grundverordnung  – Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl., Baden-Baden 2017. Roßnagel, Alexander (Hrsg.): Handbuch Datenschutzrecht – Die neuen Grundlagen für Wirtschaft und Verwaltung, 1. Aufl., München 2003. Roßnagel, Alexander: Datenschutzaufsicht nach der DSGVO, Wiesbaden 2017. Roßnagel, Alexander: Datenschutzgesetzgebung für öffentliche Interessen und den Beschäftigungskontext, DuD 2017, 290. Roßnagel, Alexander: Gesetzgebung im Rahmen der Datenschutz-Grundverordnung, DuD 2017, 277. Rost, Maria Christina: Bußgeld im digitalen Zeitalter – Was bringt die DS-GVO?, RDV 2017, 13.  Rückert, Joachim / Friedrich, Wolfgang: Betriebliche Arbeiterausschüsse in Deutschland, Großbritannien und Frankreich im späten 19. und frühen 20. Jahrhundert, Frankfurt am Main 1979. Rüthers, Bernd / Fischer, Christian / Birk, Axel: Rechtstheorie, 11. Aufl., München 2020. Sächsischer Datenschutzbeauftragter (SächsDSB): Schutz des Persönlichkeitsrechts – Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018, v. 19. 12. 2019 (zugleich LT Drs. (Sachsen) 7/800). Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut / Limperg, Bettina (Hrsg.): Münchener Kommentar zum BGB, Band 1–13, 8. Aufl., München 2018–2021 (nach Bd.). Saenger, Ingo: Gesellschaftsrecht, 5. Aufl., München 2020. Salachova, Bohumila: Interpretation of European Law – Selected issues, MUP 2013, 2717. Sander, Gerald G. / Vetter, Rainer (Hrsg.): Regelungswut in der EU – Wahrheit oder Mythos?, 1. Aufl., Berlin 2007. Savigny, Friedrich Carl von: System des heutigen Römischen Rechts, Bd. 1–9, 1. Aufl., Berlin 1840. Schäfer, Carsten: Gesellschaftsrecht, 5. Aufl., München 2018. Schermerhorn, Sara / Blankestijn, Sanne: De rol van de ondernemingsraad bij de implementatie van de Algemene Verordening inzake Gegevensbescherming, ArbeidsRecht 2018, 15. Schiedermair, Stephanie: Der Schutz des Privaten als internationales Grundrecht, 1. Aufl., Tübingen 2012. Schiefer, Bernd / Worzalla, Michael: Das Betriebsrätemodernisierungsgesetz – Eine „Mogelpackung“?, NZA 2021, 817. Schierbaum, Bruno: Datenschutz im Betriebsrats-/Personalratsbüro, Computer-Fachwissen 2004, 29. 

Literaturverzeichnis

301

Schierbaum, Bruno: Datenschutz im Personalratsbüro, Der Personalrat 2002, 499. Schirmer, Jan-Erik: Rechtsfähige Roboter?, JZ 2016, 660. Schladebach, Marcus: Rechtsanwendungsgleichheit im Mehrebenensystem, NVwZ 2018, 1241. Schlink, Bernhard: Bemerkungen zum Stand der Methodendiskussion in der Verfassungswissenschaft, Der Staat 1980, 101. Schmidl, Michael / Wolff, Alexander: Verantwortlicher im Sinne der DSGVO?, AuA 2018, 696. Schmidt, Karsten (Hrsg.): Münchener Kommentar zum HGB, Bd. 1–7, 4. Aufl., München 2016. Schmidt, Karsten: Gesellschaftsrecht, 4. Aufl., Köln 2002. Schmitt, Carl: Der Begriff des Politischen, unveränd. Nachdruck, Berlin 1979. Schmitz, Barbara: Viel Lärm um die DS-GVO, ZD 2020, 173. Schneider, Jochen: Unschärfen des Datenschutzrechts  – genügen die Bußgeldvorschriften der DSGVO dem Bestimmtheitsgebot?, in: Saliger, Frank (Hrsg.): Rechtsstaatliches Strafrecht – Festschrift für Ulfrid Neumann zum 70. Geburtstag, Baden-Baden 2017. Schneider, Peter: Prinzipien der Verfassungsinterpretation, in: Schneider, Peter, Horst Ehmke, Günther Jaenicke und Walther Leisner (Hrsg.): Prinzipien der Verfassungsinterpretation, Berlin 1963. Schoch, Friedrich / Schneider, Jens-Peter (Hrsg.): Kommentar Verwaltungsrecht VwGO, 39. EL, München 2020. Schöpflin, Martin: Der nichtrechtsfähige Verein, 1. Aufl., Köln 2003. Schreiber, Kristina: Gemeinsame Verantwortlichkeit gegenüber Betroffenen und Aufsichtsbehörden, ZD 2019, 55. Schroeder, Werner: Die Auslegung des EU-Rechts, JuS 2004, 177. Schulz, Tim: Ist der Betriebsrat Verantwortlicher i. S. d. Europäischen Datenschutz-Grundverordnung?, ZESAR 2019, 323. Schulzki-Haddouti, Christiane: Implodierende Aufsichtsbehörden, PinGdigital v. 29. 3. 2019, online: https://www.pingdigital.de/blog/2019/03/29/implodierende-aufsichtsbehoerden/1626 (letzter Abruf: 25. 2. 2021). Schuster, Doris-Maria / Schunder, Maximilian Luca: Betriebsratshaftung – nach 100 Jahren noch alles beim Alten?, NZA 2020, 92. Schuster, Norbert: Der Betriebsrat als Teil des Verantwortlichen iSd. DSGVO, AuR 2020, 104. Schwab, Brent: Haftung im Arbeitsverhältnis – 1. Teil: Die Haftung des Arbeitnehmers, NZARR 2016, 173. Schwartmann, Rolf / Jaspers, Andreas / T hüsing, Georg / Kugelmann, Dieter (Hrsg.): Heidelberger Kommentar zu Datenschutz-Grundverordnung und Bundesdatenschutzgesetz, 2. Aufl., Heidelberg 2020. Schwarze, Jürgen: Rechtsstaatliche Grenzen der gesetzlichen und richterlichen Qualifikation von Verwaltungssanktionen im europäischen Gemeinschaftsrecht, EuZW 2003, 261.

302

Literaturverzeichnis

Schwarze, Jürgen / Becker, Ulrich / Hatje, Armin / Schoo, Johann (Hrsg.): EU-Kommentar, 4. Aufl., Baden-Baden 2019. Schweitzer, Michael / Dederer, Hans-Georg: Staatsrecht III – Staatsrecht, Völkerrecht, Europarecht, 12. Aufl., Heidelberg 2020. Seebold, Elmar (Hrsg.): KLUGE  – Etymologisches Wörterbuch der deutschen Sprache, 24. Aufl., Berlin 2002. Seyr, Sibylle: Der effet utile in der Rechtsprechung des EuGH, Berlin 2008. Simitis, Spiros: Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014. Simitis, Spiros: Die neuen Datenschutzbeauftragten – Zur notwendigen Korrektur einer notwendigen Kontrollinstanz, NJW 1998, 2396. Simitis, Spiros / Hornung, Gerrit / Spiecker gen. Döhmann, Indra (Hrsg.): Datenschutzrecht – DSGVO mit BDSG, 1. Aufl., Baden-Baden 2019. Skouris, Vassilios: Leitlinien der Rechtsprechung des EuGH zum Datenschutz, NVwZ 2016, 1359. Specht, Louisa / Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht, München 2019. Specht-Riemenschneider, Louisa / Schneider, Ruben: Die gemeinsame Verantwortlichkeit im Datenschutzrecht, MMR 2019, 503. Spiecker, gen. Döhmann, Indra / Bretthauer, Sebastian (Hrsg.): Dokumentationen zum Datenschutz, 75. Aktualisierung, München 2020. Spindler, Gerald: Die neue EU-Datenschutz-Grundverordnung, DB 2016, 937. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, 4. Aufl., München 2019. Staben, Lisa: Die Datenschutzverantwortlichkeit des Betriebsrats, ZFA 2020, 287. Stark, Eva: Datenschutzrechtliche Grenzen der Aufgabenwahrnehmung des Betriebsrats, Hamburg 2018. Statista (Hrsg.): Dossier zur Unternehmenslandschaft in Deutschland, online: https://de.statista. com/statistik/studie/id/23690/dokument/unternehmenslandschaft-in-deutschland-statistadossier/ (letzter Abruf: 25. 2. 2021). Steinbach, Armin: Rationale Gesetzgebung, Tübingen 2017. Stellkens, Paul / Bonk, Joachim / Sachs, Michael (Hrsg.): Kommentar zum Verwaltungsverfahrensgesetz, 9. Aufl., München 2018. Stolleis, Michael: Der Methodenstreit in der Weimarer Staatsrechtslehre – Ein abgeschlossenes Kapitel der Wissensgeschichte, 1. Aufl., Frankfurt am Main 2011. Streinz, Rudolf (Hrsg.): EUV / A EUV Kommentar, 3. Aufl., München 2018. Streinz, Rudolf / Michl, Walther: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW 2011, 384.

Literaturverzeichnis

303

Stück, Volker: Ansprüche des Betriebsrats auf Entgeltlisten und -auskünfte im Brennpunkt von Arbeits- und Datenschutzrecht, ArbRAktuell 2020, 591. Stück, Volker: Betriebsrat oder Geheimrat?, ZD 2019, 256. Stück, Volker: Datenschutzrechtliche Aspekte einzelner Mitbestimmungsrechte, ZD 2019, 346. Sydow, Gernot (Hrsg.): Handkommentar Bundesdatenschutzgesetz, 1. Aufl., Baden-Baden 2020. Sydow, Gernot (Hrsg.): Handkommentar Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018. Taeger, Jürgen / Gabel, Detlev (Hrsg.): Kommentar DSGVO – BDSG, 3. Aufl., Frankfurt am Main 2019. Taeger, Jürgen / Gabel, Detlev (Hrsg.): Kommentar zum BDSG und zu den Datenschutz­ vorschriften des TKG und TMG, 2. Aufl., Frankfurt am Main 2013. Tambou, Olivia: GDPR Implementation Series – France: The French Approach to the GDPR Implementation, EDPL 2018, 88. Thiel, Barbara: DSK – Starke Stimme für den Datenschutz, ZD 2020, 93. Thiel, Barbara / Wybitul, Tim: Bußgelder wegen Datenschutzverstößen aus Sicht von Aufsichtsbehörden und Unternehmen, ZD 2020, 3. Thiele, Carmen: Sanktionen gegen EG-Mitgliedstaaten zur Durchsetzung von Europäischem Gemeinschaftsrecht, EuR 2008, 320. Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (ThüLfDI): 1. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2018, Juni 2019. Tinnefeld, Marie-Theres / Buchner, Benedikt / Petri, Thomas / Hof, Hans-Joachim: Einführung in das Datenschutzrecht, 7. Aufl., Berlin 2019. Tolani, Madeleine: „Teilrechtsfähigkeit“ von Personenvereinigungen, Berlin 2009. Triebel, Götz: Die Haftung des Betriebsrats und der Durchgriff auf seine Mitglieder, Berlin 2003. Trüg, Gerson: Die Verbandsgeldbuße gegen Unternehmen  – Ist-Zustand und Reformüber­ legungen?, ZWH 2011, 6.  Uebele, Fabian: Das „Unternehmen“ im europäischen Datenschutzrecht, EuZW 2018, 440. Vedder, Christoph / von Heintschel-Heinegg, Wolff (Hrsg.): Europäisches Unionsrecht, 2. Aufl., Baden-Baden 2018. Ver.di: Betriebsräte-Tagung bei Edeka, online: https://handel.verdi.de/gross-und-aussenhandel/​ ++co++765ed5de-bcec-11e4-a850-525400248a66 (letzter Abruf: 25. 2. 2021). Vesters, Danny / Meyer-de Swaan, Carola: ‚De medezeggenschapsaspecten van de AVG‘, Tijdschrift voor Arbeid & Onderneming 2018, 65. Vesters, Danny / Meyer-de Swaan, Carola: Naschrift bij de reactive van M. Westhoeve op ‚De medezeggenschapsaspecten van de AVG‘ – Verlies de WOR niet uit het oog!, Tijdschrift voor Arbeid & Onderneming 2018, 180.

304

Literaturverzeichnis

Vogenauer, Stefan: Eine gemeineuropäische Methodenlehre des Rechts – Plädoyer und Programm, ZEuP 2005, 234. Volkmann, Uwe: Qualifizierte Blankettnormen, ZRP 1995, 220. Votteler, Moritz: Praxis der Geldbußenbemessung der CNIL, ZD 2019, 431. Votteler, Moritz: Whitelist und Blacklist der CNIL, ZD 2020, 184. Wagner, Bernd: Disruption der Verantwortlichkeit, ZD 2018, 307. Wagner, Edgar: Der Entwurf einer Datenschutz-Grundverordnung der Europäischen Kommission, DuD 2012, 676. Walter, Christian / Grünewald, Benedikt (Hrsg.): Beck’scher Online-Kommentar zum Bundesverfassungsgerichtsgesetz, 9. Edit., München 2020. Walz, Christian: Das Ziel der Auslegung und die Rangfolge der Auslegungskriterien, ZJS 2010, 482. Wank, Rolf: Arbeitsrecht und Methode, RdA 1999, 130. Wank, Rolf: Die Auslegung von Gesetzen, 6. Aufl., München 2015. Wedde, Peter (Hrsg.): Datenschutz im Betriebsratsbüro muss sein!, CuA 2019, 8.  Wedde, Peter (Hrsg.): Handbuch Datenschutz und Mitbestimmung, 2. Aufl., Frankfurt am Main 2019. Weiler, Frank: Grammatikalische Auslegung des vielsprachigen Unionsrechts, ZEuP 2010, 861. Weiß, Steffen: Die Bußgeldpraxis der Aufsichtsbehörden in ausgewählten EU-Staaten – ein aktueller Überblick, PinG 2017, 97. Wessels, Michael: Schmerzensgeld bei Verstößen gegen die DSGVO, DuD 2019, 781. Westhoeve, Michelle: Reactie op ‚De medeueggenschapsaspecten van de AVG‘ – Verlies de WOR niet uit het oog!, Tijdschtift voor Arbeid & Onderneming 2018, 177. Weth, Stephan / Herberger, Maximilian / Wächter, Michael / Sorge, Christoph (Hrsg.): Datenund Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl., München 2019. Wiese, Günther / Kreutz, Peter / Oetker, Hartmut / Raab, Thomas / Weber, Christoph / Franzen, Martin / Gutzeit, Martin / Jacobs, Matthias / et al. (Hrsg.): Gemeinschaftskommentar zum Betriebsverfassungsgesetz, Bd. I und Bd. II, 11. Aufl., Köln 2018. Wirtschafts- und Sozialausschuss der EU: Stellungnahme zur DSGVO v. 31. 7. 2012, ABl. (EU) 2012/C 229/17. Wittgenstein, Ludwig: Philosophische Untersuchungen, 2. Aufl., Berlin 2011. Wolff, Heinrich Amadeus / Brink, Stefan (Hrsg.): Beck’scher Online-Kommentar Datenschutzrecht, 34. Edit., München 2020. Worms, Christoph / Gusy, Christoph: Verfassung und Datenschutz, DuD 2012, 92. Würdinger, Markus: Die Analogiefähigkeit von Normen, ACP 2006, 946.

Literaturverzeichnis

305

Wybitul, Tim (Hrsg.): Handbuch EU-Datenschutz-Grundverordnung, 1. Aufl., Frankfurt am Main 2017. Wybitul, Tim: Betriebsrat und DSGVO-Bußgelder, in: Expertenforum Arbeitsrecht (EFAR) v. 9. 5. 2019, online: https://efarbeitsrecht.net/betriebsrat-und-dsgvo-bussgelder/ (letzter Abruf: 25. 2. 2021). Wybitul, Tim: Betriebsvereinbarungen im Spannungsverhältnis von arbeitgeberseitigem Informationsbedarf und Persönlichkeitsschutz des Arbeitnehmers, NZA 2017, 1481. Wybitul, Tim: CNIL verhängt hohes Bußgeld – welche Folgen hat der Fall für Unternehmen?, ZD 2019, 97. Wybitul, Tim / Haß, Detlef / Albrecht, Jan Philipp: Abwehr von Schadensersatzansprüchen nach der DS-GVO, NJW 2018, 113. Yaroshevskiy, Vladimir: Die Auslegungsmethoden des EuGH, in: Calliess, Christian: Ber­liner Online-Beiträge zum Europarecht, 2010, 1.  Zedler, Friederike: Mehrsprachigkeit und Methode, 1. Aufl., Baden-Baden 2015. Zimmermann, Frank: Die Auslegung künftiger EU-Strafrechtskompetenzen nach dem Lissabon-Urteil des Bundesverfassungsgerichts, JURA 2009, 844. Zippelius, Reinhold: Varianten und Gründe rechtlicher Verantwortlichkeit, in: Lampe, Ernst Joachim (Hrsg.), Jahrbuch für Rechtssoziologie und Rechtstheorie 1989, 257. Zuleeg, Manfred: Die Auslegung des europäischen Gemeinschaftsrechts, EuR 1969, 97. Zumkeller, Alexander R.: Das Betriebsrätestärkungsgesetz – gut gemeint, schlecht gemacht, BB 2021, Heft 5, I.

Sachwortverzeichnis Analogie  243–244 – Analogie, Analogiefähigkeit  243 – Analogie, Analogievoraussetzungen  170 – Analogie, Regelungslücke, planwidrige ​ 243–244 Arbeitgeber, Verantwortlicher  1, 29–34, 37, 69, 71, 73, 80–82, 86 f., 92, 94–96, 100– 102 f., 105 f., 109, 128–130, 136–140, 142, 144, 146–149, 151–155, 157–163, ­165–170, 172 f., 176 f., 189, 201–207, 221, 224, 226, 229–231, 240, 245, 253 f., 257, 259–262, 264 f., 267 f., 270 f., 273, 275–279 Arbeitsrecht, Kompetenz der EU  88–90 – Arbeitsrecht, kollektives  88 Artikel 29-Datenschutzgruppe 36, 69 f., 179, 217, 233, 239, 263 Aufsichtspflichtverstoß  203–208, 211, 214, 231 f., 240 Auftragsverarbeitung  84, 111, 185, 212–214, 217, 230, 232, 249 Auslegung  20, 36, 38, 40, 43–47, 58 f., 63, 66–68, 88, 97, 109–113, 126, 129, 144, 179–181, 184, 191–193, 197, 199, 216 f., 221, 228, 245, 264, 266 – Auslegung, Auslegungskriterien  41, 43 – Auslegung, Auslegungsmethoden 25, 40– 44, 48, 56–58, 81, 144, 210, 243 – Auslegung, Auslegungsziele  41 – Auslegung, autonome  72 – Auslegung, europarechtskonforme 97, 200, 206, 212, 218–220, 241 – Auslegung, evolutive  56 – Auslegung, historische  47, 54 f., 60, 113– 135, 142, 144, 267 – Auslegung, mitgliedstaatsfreundliche 93, 96, 111 – Auslegung, primärrechtskonforme  88, 91 – Auslegung, Rechtsvergleich 47, 51–54, 58 – Auslegung, systematische  47, 51–54, 60, 71–112, 142–144, 210, 267, 268 f.

– Auslegung, teleologische  47, 55–56, 135– 142 f., 145, 267, 268 f. – Auslegung, verordnungskonforme  196 – Auslegung, völkerrechtskonforme  47 – Auslegung, Wortlautauslegung 47, 50 f., 60–71, 117, 142, 145, 267 Bereichsausnahme  187, 200, 207, 216, 218 f., 228, Berichtigungsrecht 87 Beschäftigtendatenschutz, Expertenbeirat zum ​ 38, 99, 108, 246, 262, 275, 277 Betrieb 68, 80, 95, 105, 138, 140 f., 148, 150 f., 155–157, 202 f., 205 – Betrieb, Betriebsinhaber  202–208, 212– 215, 219, 231 f., 240 Betriebsparteien  157, 278 – Betriebsparteien, Unabhängigkeit der  34, 155 f., 278 Betriebsrat, Verantwortlicher  59–143 – Betriebsrat, Betriebsausschuss  85, 139, 141, 258 – Betriebsrat, Betriebsratsbeschluss 119, 138 f., 141, 163, 171 f., 234, 236 f., 256, 258 f. – Betriebsrat, Verantwortlicher, Alibi-Betriebsrat 86 – Betriebsrat, Verantwortlicher, Betriebs­ ratsmitglied  62, 70, 80, 82, 84–86, 111 f., 137–139, 142, 144, 148, 150 f., 153, 155, 158, 162–173, 175–177, 189, 201–204, 208, 220 f., 224–226, 230–232, 234–238, 253– 259, 261, 263 f., 268, 270 f., 273 – Betriebsrat, Verantwortlicher, Betriebs­ rats­sitzung  222 – Betriebsrat, Verantwortlicher, Betriebs­ rats­vorsitzender  85, 141, 162 f., 166, 168, 172, 203, 234–238, 268 – Betriebsrat, Verantwortlicher, Betriebs­ rats­wahlen  119, 224  f. – Betriebsrat, Verantwortlicher, Büropersonal ​106, 147, 150

Sachwortverzeichnis – Betriebsrat, Verantwortlicher, CSE  95 – Betriebsrat, Verantwortlicher, Konzernbetriebsrat 205 Betriebsrätemodernisierungsgesetz 24, 275, 277 f. Betriebsrätestärkungsgesetz  24, 38, 99, 275 Betriebsratsunabhängigkeit, Strukturprinzip der (s. Betriebsratsparteien) Betriebsvereinbarung  80, 101 Betriebsverfassungsrecht (s. Arbeitsrecht) Betroffenenrechte  87, 146, 261, 265, 270, 273, 276, 278 f. Binnenmarkt  52, 88, 123, 127, 136, 182, Bundesdatenschutzgesetz  28 f., 123, 126– 132, 215, 218 Bürgerrechte  88, 136 CNIL 95 Datenschutzaufsichtsbehörden  25 f., 30, 34– 36, 39, 137, 147, 149, 156, 160, 174, 178 f., 183, 189 Datenschutzbeauftragter  24, 37 f., 149–159, 172 f., 206, 264, 270, 276, 279 f. – Datenschutzbeauftragter, behördlicher ​38 – Datenschutzbeauftragter, Benennung  76, 146, 149, 152 f., 158 f., 261 – Datenschutzbeauftragter, betrieblicher ​157, 277–278 – Datenschutzbeauftragter, Bundesdatenschutzbeauftragter  35 f. – Datenschutzbeauftragter, Doppelbenen155–158 nung ​ – Datenschutzbeauftragter, Europäischer ​ 36, 114, 179 – Datenschutzbeauftragter, freiwillig benannter  1​46, 149, 152–154, 159, 261 – Datenschutzbeauftragter, Geheimhaltung ​ 155, 158 – Datenschutzbeauftragter, Interessenkonflikt 155–157 – Datenschutzbeauftragter, Kosten  154 – Datenschutzbeauftragter, Landesdatenschutzbeauftragte  36 f. – Datenschutzbeauftragter, pflichtig benannter 146, 149–152, 157, 261 – Datenschutzbeauftragter, Verhältnismäßigkeit  153 f., 159

307

Datenschutz-Folgenabschätzung  151 f., 270, 273 Datenschutzgrundverordnung – Datenschutzgrundverordnung, Begriffe (s. Verantwortlichkeit, datenschutzrechtliche)  – Datenschutzgrundverordnung, Geschichte  ​113–135 Datenschutzkonferenz des Bundes und der Länder (DSK)  35 f., 217 f., 240 Datenschutzkonvention  108 (Europarat) 28, 120–126, 128, 134, 272 Datenschutzniveau  99, 120, 127, 136 f., 213, 215, 233 Datenschutzrichtlinie  28, 69, 95, 115 f., 120, 123–134, 144, 175, 267 Datenschutzverstoß 75 f., 152, 161–163, 167 f., 172, 196, 203, 206, 208, 211, 227 f., 230– 234, 237 f., 240, 253–255, 258 f., 261, 279 Datenverarbeitung  23, 27, 30 f., 33 f., 37, 39, 59–61, 66–76, 78, 82–88, 95, 101–106, 110–112, 114, 116–119, 121–122, 124, 126, 121, 131, 133 f., 136–139, 141–144, 147, 151, 153 f., 157, 171, 173, 176, 203–205, 207 f., 213 f., 217, 228, 230–233, 238, 255– 259, 261 f., 264, 267–269, 271, 277 f. Effet utile  24, 55, 135, 182, 250, 260, 56 Ehrenamt 82, 166, 186, 235, 237 f., 254 f., 258, 261 Einheitstäterbegriff  229, 232 Einzelermächtigung, Prinzip der begrenzten ​ 42, 87, 89, 91, 179 Entscheidung  33, 59, 61, 66, 68–71, 73–76, 81, 85 f., 102 f., 111, 117–119, 121–124, 126, 136 f., 139, 141 f., 172, 208, 217, 227, 256 f., 268 Erlaubnisvorbehalt, Verbot mit  140 f. Erwägungsgründe  32, 46, 54, 57 f., 63, 84, 101, 112, 114, 117–120, 125, 129, 134, 186, 191, 195 f., 197–200, 233, 245, 247 f. Etymologie  60–63, 66 Europäischer Datenschutzausschuss  36, 69 f., 106, 179, 198, 216–218 Europarechtskonformität  97, 123, 128, 130 f., 189 f., 197, 200 f., 206, 208, 211 f., 218 f., 228, 239, 241, 263 Europarechtswidrigkeit (s. Europarechtskonformität)

308

Sachwortverzeichnis

Exzess, datenschutzrechtlicher  138–140, 142, 144, 167 f., 170, 173, 189, 204, 214, 227, 231, 233, 239, 243, 254–260, 260 f., 263 f., 268, 270–272 Fahrlässigkeit 163, 171, 173, 187, 190 f., 196, 253, 257–259, 261, 271 – Fahrlässigkeit, grobe  171 f., 259 – Fahrlässigkeit, leichte  171, 173, 253, 258 f., 261, 271 – Fahrlässigkeit, leichteste 163, 171, 173, 253, 257, 261 – Fahrlässigkeit, mittlere  171, 173 Funktionsträgerprinzip  213, 219 Geldbuße  174–263, 271–273, 279 – Geldbuße, Öffnungsklausel (s. Öffnungsklausel) – Geldbuße, Opportunität (s. Opportunitäts­ prinzip) – Geldbuße, Ordnungswidrigkeitsrecht ​187– 240 – Geldbuße, Schuldprinzip (s. Schuldprinzip) – Geldbuße, Strafrecht  180–185 – Geldbuße, Verhängungspraxis  178–179 – Geldbuße, Verwaltungssanktion  181, 186, 252 Geschäftsordnung  222, 225 f. Gesellschaftsvertrag 223–226 Gesetzgebungsprozess  114–117, 123–126, 215 – Gesetzgebungsprozess, Änderungsantrag ​ 114–116 – Gesetzgebungsprozess, Entstehungsgeschichte  63, 113 f., 125, 195, 197 – Gesetzgebungsprozess, Entwicklungsgeschichte  113, 133 – Gesetzgebungsprozess, Vorgeschichte ​113, 119 f., 133 Gesetzgebungsunterlagen  70, 109 f., 113, 122, 125, 148, 210, 126, 236 Grundrechte, europäische  34, 52, 88–91 Haftung 159–264 – Haftung, Geldbußen (s. Geldbußen) – Haftung, Haftungsverteilung  241–260 – Haftung, innerbetrieblicher Schadensausgleich (s. Schadensausgleich, innerbetrieblicher)

– Haftung, lückenhafte Regelungsstruktur ​ 240 – Haftung, quotale  171 f. – Haftung, Rechtsfähigkeit (s. Rechtsfähigkeit) – Haftung, Sachschäden Dritter 168–170, 173 – Haftung, Schadensersatz (s. Schadensersatz) – Haftung, Vermögensfähigkeit (s. Rechtsfähigkeit) Handlungsformenlehre  96 f., 182, 187 f. – Handlungsformenlehre, Grundverordnung ​ 91, 93, 96–99, 104, 112, 141 f., 157, 182, 187 f., 250, 269 – Handlungsformenlehre, Handlungsformenhybrid  97 f., 188, 250 – Handlungsformenlehre, Richtlinie  33, 89, 97 f., 120, 131 f., 143 f., 180, 187 f., 216, 249 f. – Handlungsformenlehre, Verordnung 28, 33, 35, 89, 97–99, 131 f., 142, 144, 146, 180 f., 187 f., 190, 199, 209, 211, 245, 250 Informationspflichten 146 Kompetenzordnung 246 Kompetenztitel  33, 96 Kosten, erforderliche 106, 141, 146–149, 152–154, 159 f., 163, 167 f., 170, 173, 224, 253 f., 257, 261, 264, 270–272, 276 Legalitätsprinzip  189, 197 Lissabon-Urteil 182, 184 f. Löschung  87, 147, 213 Mehrsprachigkeit 57 – Mehrsprachigkeit, Sprachvergleich 51, 62–​66 Merkmal, besonderes persönliches 229 f., 234 f. Methoden  39–57 – Methoden, EuGH  45 f., 56 f. – Methoden, Europäischer Methodenkanon ​ 45–57 – Methoden, Literatur  47 f., 49–56 – Methoden, Methodenkanon (s. Methoden) Mitbestimmungsrechte 71, 73, 75, 85, 96, 105, 118, 160

Sachwortverzeichnis Normenhierarchie  24, 43, 51–54, 58, 61, 72, 92 f., 107 f., 110, 130, 146, 157, 159, 200, 206, 208, 218, 240, 243–245, 273 Öffnungsklausel 24, 76 f., 83, 91, 93, 96, 98–104, 107–112, 132 f., 141 f., 150, 156, 166, 185–188, 200, 206, 208–211, 214, 218 f., 228, 238–241, 244, 246, 248–250, 262 f., 265, 269, 276, 278 Opportunitätsprinzip  189 f., 197–201, 241 f., 183–185, 190, Ordnungswidrigkeit 176  193–195, 197, 200–202, 207 f., 213, 219 f., 223, 229 f., 232 Organisationseinheit, übergeordnete  213 Personalrat  34, 38, 157 f. Personengesellschaft, rechtsfähige  220, 223, 226, 231 Pflichten, datenschutzrechtliche  26, 28, 34, 61 f., 66, 75, 79–83, 87, 93, 95, 114, 125, 146–148, 150, 160 f., 168, 170, 182, 202– 206, 211, 220, 227, 230, 245, 247, 250, 264 f., 273, 276 Praktischen Wirksamkeit, Grundsatz der (s. effet utile) Primärrecht  44, 51 f., 56 f., 72, 87–91, 112 Rechte, datenschutzrechtliche  26, 160 Rechtsfähigkeit 66, 78–83, 160, 163 f., 220– 223, 245, 247, 249, 268, 273 – Rechtsfähigkeit, arbeitsverfahrensrechtliche ​160 – Rechtsfähigkeit, betriebsverfassungsrecht­ liche 160 – Rechtsfähigkeit, datenschutzrechtliche ​82, 160 – Rechtsfähigkeit, sozialrechtliche  160 – Rechtsfähigkeit, Vermögensfähigkeit  24, 33, 78, 80–82, 108, 159 f., 242, 244–250, 252, 260 f., 272 Rechtsträgerprinzip  213, 219 Redaktionsversehen  216, 218 Referate (s. Unternehmensabteilungen) Repräsentantenhaftung 239 Richtervorbehalt  183, 195 Sachverständiger 81, 153 f., 161, 270 Sanktionen, Andere  209 f.

309

Schadensausgleich, innerbetrieblicher 94, 166, 168–171, 173 f., 253 f., 257 f., 260 f., 263 f., 270–273 – Schadensausgleich, innerbetrieblicher, Frei­ stellungsanspruch  81 f., 160, 168, 254 Schadensersatz  24 f., 76, 109, 160, 161–174, 252–254, 263 f., 270 f. Schuldprinzip  190–196, 241 – Schuldprinzip, integrationsfest  192–195 Sekundärrecht 42–44, 51 f., 55 f., 72, 88, 90 f., 187 Sondereigenschaft  234 f. Staatshaftungsrecht 61, 249–252, 272 Stelle (s. Verantwortlicher, datenschutzrechtlicher) – Stelle, andere Stelle (s. Verantwortlicher, datenschutzrechtlicher) – Stelle, nichtöffentliche Stelle  27, 29, 35, 126–129, 215, 218 f. – Stelle, öffentliche Stelle  29 f., 38, 104 f., 126–131, 149, 186 f., 214 f., 218 f., 245 Stelle, speichernde  27, 127 f. Strafrecht 179, 181–185 – Strafrecht, Im engen Sinne  184 f. – Strafrecht, Im weiten Sinne  180, 185 – Strafrecht, Rechtsethisches Minimum ​ 184 – Strafrecht, Regelungskompetenz  179 f. – Strafrecht, Sanktionsnorm  183 – Strafrecht, Verhaltensnorm  183 Tatbeteiligung 229–232 Tätigkeit, gefahrgeneigte  168, 258, 271 Teilrechtsfähigkeit (s. Rechtsfähigkeit) Unternehmensabteilungen  29, 67, 139–142 Unternehmensbegriff, funktionaler  207 f., 218 Unterstützungspflicht  93, 276–279 Unvereinbarkeitsbeschluss 244 Verantwortlicher, für die Verarbeitung 28, 114 f., 125, 128 Verantwortlichkeit, datenschutzrechtliche – Verantwortlichkeit, datenschutzrechtliche, Begriffsauslegung  58–145 – Verantwortlichkeit, datenschutzrechtliche, Begriffsgenese  26–39

310

Sachwortverzeichnis

– Verantwortlichkeit, datenschutzrechtliche, personelles Element 33, 59 f., 62–68, 72 f., 119, 122, 130, 134, 230, 267 f. – Verantwortlichkeit, datenschutzrechtliche, Rechtsfolgen  146–264 – Verantwortlichkeit, datenschutzrechtliche, sachliches Element  59 f., 68–73, 119, 122, 130, 134, 267 f. Verantwortlichkeit, gemeinsame  84–86, 96, 111, 125, 134, 144, 175, 203 f., 213 f., 256, 268, 276, 279 Verantwortung 30, 61, 76, 92, 117, 124 f., 147, 217, 276 Verarbeitungsgrundsätze  74, 146, 186, 261 f., 37, 39, Verarbeitungsmittel 23, 30, 33  59–61, 66–71, 73–76, 78, 82–86, 95, 102–106, 110–112, 114–119, 122, 124– 126, 128, 131, 133 f., 137–139, 141–144, 203–205, 207 f., 213–215, 217, 228, 230, 232–233, 255–259, 261, 264, 267–269, 271, 278 Verarbeitungsverzeichnis  147, 273, 277, 279 Verarbeitungszwecke 23, 30, 33 f., 37, 39, 59–61, 66–71, 73–76, 78, 82–86, 95, 102– 104, 106, 110–112, 114–119, 122, 124– 126, 128, 131, 133 f., 137–139, 141–144, 203 f., 207 f., 213–215, 217, 228, 230, 232– 233, 255–259, 261, 264, 267–269, 271, 278

Verbandstäterschaft 231 Verfahrensgarantien  210 f. Vermeidbarkeit  173, 217, 253, 257, 261, 263 f., 270–272 Vermögensfähigkeit (s. Rechtsfähigkeit) Verschuldensmaßstab  172 f., 190, 191 f., 259 Vertretung  63, 206, 220, 234–237 – Vertretung, gesetzliche  220, 235–237 – Vertretung, Im Willen  236 – Vertretung, In der Erklärung  236 – Vertretungsberechtigung  206, 220, 226 Viermethodenkanon  47–49, 143 Weisungsrecht 84, 136–144, 163, 165, 169, 172, 203, 205, 233, 254–256, 262, 268, 271, 279 Working Paper  69, 179 Zeugen Jehovas  85 f., 111 f., 133 f., 141, 144, 203, 268 Zurechnung  66, 124, 128, 137, 207, 213, 216, 219, 227, 230–235, 239, 241, 255 f., 258 f., 261 – Zurechnung, Doppelte  208 – Zurechnung, Einfache  208 Zusammenarbeit, Grundsatz der loyalen  53 Zusammenarbeit, vertrauensvolle 80, 138, 169, 189, 205 f., 240, 278