Das Betriebsrätemodernisierungsgesetz hat mit dem neuen § 79a BetrVG zwar klargestellt, dass der Arbeitgeber für die Datenverarbeitungen des Betriebsrats datenschutzrechtlich verantwortlich ist. Gleichzeitig hat diese Regelung aber viele neue Fragen aufgeworfen, etwa, wie der Arbeitgeber seine datenschutzrechtlichen Pflichten als Verantwortlicher erfüllen kann, ohne die Unabhängigkeit des Betriebsrats zu gefährden.
Eine wichtige Rolle kann dabei der betriebliche Datenschutzbeauftragte spielen, der den Betriebsrat auch zum Datenschutz beraten kann. Durch die weitgehende Autonomie des Betriebsrats innerhalb eines Unternehmens könnte man jedoch auf den Gedanken kommen, dass der Betriebsrat die Möglichkeit hat, neben dem Arbeitgeber einen eigenen Datenschutzbeauftragten zu bestellen, der nur für den Betriebsrat zuständig ist.
Ein Verantwortlicher – zwei Datenschutzbeauftragte?
Zu einer ähnlich gelagerten Frage hat unlängst der Bayerische Landesbeauftragte für den Datenschutz in seinem 30. Tätigkeitsbericht Stellung genommen. Er hatte sich mit der Frage zu beschäftigten, ob eine bayerische Behörde mehrere Datenschutzbeauftragte mit jeweils klar abgegrenzter Zuständigkeit benennen könne. Dies hat er mit folgender Argumentation verneint:
Der Wortlaut des Art. 37 Abs. 1 Buchst. a DSGVO legt nahe, dass ein Verantwortlicher in Erfüllung seiner gesetzlichen Verpflichtung jeweils nur einen Datenschutzbeauftragten benennen kann.
Gegen die Bestellung mehrerer Datenschutzbeauftragter würden allerdings vor allem die Einordnung des Datenschutzbeauftragten in die Institution als auch seine Aufgaben sprechen. So bräuchten betroffene Personen bei Fragen zu ihrer Datenverarbeitung und ihren Rechten wie auch Aufsichtsbehörden für die Zusammenarbeit einen eindeutigen Ansprechpartner. Weder betroffenen Personen noch Aufsichtsbehörden könne zugemutet werden, zunächst zu prüfen, an welchen Datenschutzbeauftragten sie sich wenden müsse. Da der Datenschutzbeauftragte gerade bei Problemen der Datenverarbeitung greifbar sein müsse, wenn andere in der Behörde sich für unzuständig erklärten.
Außerdem könne der Datenschutzbeauftragte nur dann seine Aufgaben effektiv wahrnehmen, wenn er einen Gesamtüberblick über den Verantwortlichen habe.
Diese Argumentation lässt sich auch auf private Unternehmen übertragen. Gerade der letzte Punkt spricht für einen einheitlichen Datenschutzbeauftragten, da auch Datenflüsse zwischen Arbeitgeber und Betriebsrat existieren und hier ein ganzheitlicher Überblick notwendig ist, um Fragen und Probleme bearbeiten zu können.
Eine Vertrauensperson auch für den Betriebsrat
Sofern von Seiten des Betriebsrats grundsätzliche Zweifel an der Unabhängigkeit des Datenschutzbeauftragten aufkommen, sind diese unbegründet. Der Datenschutzbeauftragte ist schon nach der DSGVO zur Wahrung der Vertraulichkeit verpflichtet. Zusätzlich sieht auch § 79a BetrVG vor, dass der Datenschutzbeauftragte keine vertraulichen Informationen des Betriebsrats an den Arbeitgeber weitergeben darf. Die Unabhängigkeit des Betriebsrats ist also auch bei Einbeziehung des Datenschutzbeauftragten geschützt. Eine vertrauliche Zusammenarbeit von Betriebsrat und Datenschutzbeauftragtem wäre somit für alle – nicht zuletzt für die Beschäftigten – vorteilhaft.
Fazit
Ein separater Datenschutzbeauftragter für einen Betriebsrat scheint mit der DSGVO nicht vereinbar. Am Ende bleibt es Aufgabe des für das Unternehmen bestellten Datenschutzbeauftragten auch die Datenverarbeitung des Betriebsrats im Blick zu haben. Hierbei muss der Datenschutzbeauftragte auch gegenüber dem Arbeitgeber die Verschwiegenheit wahren. Zusätzlich ist es jedoch die Aufgabe der Betriebsparteien zu vereinbaren, wie sie sich gegenseitig bei der Einhaltung des Datenschutzes unterstützen können.