Am 18.06.2021 trat das Betriebsrätemodernisierungsgesetz in Kraft, durch welches im § 79a Satz 2 BetrVG nun eindeutig festgelegt wurde, dass der Arbeitgeber Verantwortlicher bezüglich der personenbezogenen Daten ist, die der Betriebsrat zu Erfüllung seiner Aufgaben verarbeitet. Somit steht fest, dass der Arbeitgeber gemäß Art. 37 Abs. 1 lit. c DSGVO in Verbindung mit § 38 Abs. 1 BDSG ernannte Datenschutzbeauftragte*r auch für die Datenverarbeitung des Betriebsrats zuständig ist. Warum der Betriebsrat keine*n eigene*n Datenschutzbeauftragte*n bestellen kann, erfahren Sie hier.
Dies wirft Fragen nach den Befugnissen der /des Datenschutzbeauftragten auf, sowie nach möglichen Risiken für die vertrauliche Verarbeitung personenbezogener Daten des Betriebsrats.
Befugnisse mit Konfliktpotential
Die Befugnisse der/des Datenschutzbeauftragten ergeben sich aus Art. 38 DSGVO und § 38 Abs. 2 BDSG. Der Arbeitgeber hat der/dem Datenschutzbeauftragten für die Erfüllung seiner Aufgaben nach Art. 39 DSGVO und für ihre/seine Weiterbildung die erforderlichen Ressourcen zur Verfügung zu stellen, sowie dafür zu sorgen, dass sie/er zur Aufgabenerfüllung den unbeschränkten Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen erhält. Somit muss auch der Betriebsrat Zugriff auf Verarbeitungsvorgänge und Daten gewähren, unabhängig davon, ob sie einer besonderen Verschwiegenheitspflicht unterliegen.
Weiterhin hat der Arbeitgeber – und damit auch der Betriebsrat – sicherzustellen, dass die/der Datenschutzbeauftragte ordnungsgemäß und frühzeitig bei Fragen eingebunden wird, die den Schutz personenbezogener Daten betreffen. Dieser Unterrichtungsbefugnis sollte auch in einem angemessenen Zeitraum Rechnung getragen werden, damit eine eventuell angeratene Korrektur nicht den gesamten Prozess über die Maßen verzögert.
Ähnlich seiner Beratungsaufgabe gegenüber Arbeitgeber und Betriebsrat ist die/der Datenschutzbeauftragte auch befugt, gegenüber betroffenen Beschäftigten bei Fragen zur Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte gegenüber dem Arbeitgeber oder Betriebsrat beratend tätig zu sein. Eine Entscheidungsbefugnis hat die/der Datenschutzbeauftragte dabei nicht.
Aufgrund der umfassenden Zugriffsbefugnis auf Verarbeitungsvorgänge und Daten könnte es problematisch für den Betriebsrat oder einzelne Beschäftigte sein, dass die/der Datenschutzbeauftragte gemäß Art. 38 Abs. 3 Satz 3 DSGVO unmittelbar der höchsten Managementebene des Arbeitgebers berichtet. Insbesondere, wenn es sich um eine*n interne*n betriebliche*n Datenschutzbeauftragte*n handelt, ist diese*r häufig auch noch in anderer Funktion für den Arbeitgeber tätig. Zwar ist die/der Datenschutzbeauftragte nach Art. 38 Abs. 3 Satz 1 DSGVO in ihrer/seiner Funktion nicht weisungsgebunden, wohl aber bezüglich der originären Anstellung.
Vertrauen und Vertraulichkeit
Den Folgen dieser Weisungsgebundenheit wird in der Datenschutz-Grundverordnung mit diversen Regelungen begegnet. So ist der Arbeitgeber gemäß Art. 38 Abs. 6 Satz 2 DSGVO verpflichtet sicherzustellen, dass ein solcher Interessenkonflikt nicht aufkommt. Außerdem darf die/der Datenschutzbeauftragte von dem Arbeitgeber nicht wegen der Erfüllung ihrer/seiner Aufgaben abberufen oder benachteiligt werden. Sofern die Benennung einer/eines Datenschutzbeauftragten verpflichtend für den Arbeitgeber ist, unterliegt die Abberufung den Voraussetzungen der fristlosen Kündigung eines Dienstvertrages. Gleiches gilt für die Kündigung des Arbeitsvertrages, diese kann nur nach den Voraussetzungen der fristlosen Kündigung aus wichtigem Grund erfolgen.
Dies verstärkt die Position der/des Datenschutzbeauftragten gegenüber dem Arbeitgeber bezüglich möglicher Interessenkonflikte, welche die Einhaltung der Verschwiegenheitspflicht gefährden könnten.
Die Verschwiegenheitspflicht der/des Datenschutzbeauftragten ergibt sich aus Art. 38 Abs. 5 DSGVO in Verbindung mit §§ 38 Abs. 2, 6 Abs. 5 Satz 2 BDSG. Davon umfasst sind die Identität der betroffenen Personen, sowie Umstände, die Rückschlüsse auf betroffene Personen zulassen. Darüber hinaus hat der Gesetzgeber der/dem Datenschutzbeauftragten über den § 79a Satz 4 und 5 BetrVG eine spezielle Verschwiegenheitspflicht gegenüber dem Arbeitgeber bezüglich Informationen auferlegt, die Rückschlüsse auf die Meinungsbildung des Betriebsrats zulassen. Der Betriebsrat kann sich also auch in vertraulichen Angelegenheiten an die/den Datenschutzbeauftragte*n wenden, ohne befürchten zu müssen, dass der Arbeitgeber hiervon ungewollt Kenntnis erlangt.
Bei Nichtbeachtung seiner Verpflichtung hat die/der Datenschutzbeauftragte neben der allgemeinen Haftung und arbeitsrechtlichen Konsequenzen auch strafrechtliche Sanktionen zu fürchten. Ein Verstoß gegen die Verschwiegenheitspflicht ist nach § 203 Abs. 4 StGB mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr strafbewehrt.
Fazit
Im Ergebnis verfügt die/der Datenschutzbeauftragte über sehr umfassende Zugriffs- und Einsichtsrechte bezüglich der betrieblichen Verarbeitungstätigkeiten personenbezogener Daten. Daraus ergibt sich dementsprechend eine strafbewehrte Verschwiegenheitspflicht. Anhand der Regelungen der Datenschutz-Grundverordnung, des Bundesdatenschutzgesetzes und des novellierten Betriebsverfassungsgesetzes wird das Entstehen eines Interessenkonflikts bei Datenschutzbeauftragten wirksam verhindert und die Durchsetzung der Verschwiegenheitspflicht gewährleistet. Der Betriebsrat kann sich folglich vertraulich an die/den Datenschutzbeauftragte*n wenden, ohne befürchten zu müssen, dass sensible Informationen an den Arbeitgeber herangetragen werden.