Während vor Inkrafttreten der DSGVO längere Zeit vorherrschend vertreten wurde, dass dem betrieblichen Datenschutzbeauftragten kein Kontrollrecht hinsichtlich der Tätigkeiten des Betriebsrats zusteht, ist diese Sichtweise mittlerweile zur Mindermeinung geworden.
Datenschutzbeauftragte ist zur Kontrolle des Betriebsrats verpflichtet
Überwiegend wird seit Inkrafttreten der DSGVO davon ausgegangen, dass der Datenschutzbeauftragte („DSB“) seine Überwachungsaufgaben, die ihm nach Art. 39 Abs. 1 lit. b DSGVO obliegen, auch gegenüber dem Betriebsrecht ausüben kann und sogar muss.
- Begründet wird dies damit, dass die Überwachungsfunktion sich auf den Verantwortlichen bezieht und der Betriebsrat Teil des Verantwortlichen ist, wie nunmehr auch gesetzlich geregelt in § 79a BetrVG (vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 39 Rn. 27, 28, beck-online).
- Darüber hinaus wird als Argument angeführt, dass die DSGVO im Vergleich zum BetrVG höherrangiges Recht darstellt: Da diese selbst keine Ausnahmen im Hinblick auf die zu überwachenden Bereiche beim Verantwortlichen vorsieht, spiele jede auf dem BetrVG fußende Argumentation gegen ein Kontrollrecht keine Rolle mehr (vgl. Forgó/Helfrich/Schneider Betr. Datenschutz, Teil V. Kap. 3 Datenschutz und Mitbestimmung Rn. 157, beck-online).
So eindeutig stellt es auch die Landesbeauftragte für den Datenschutz Niedersachen in einem FAQ-Beitrag aus 2020 dar und ordnet die Überwachung der Verarbeitung personenbezogener Daten als „Berechtigung und Verpflichtung“ des DSB ein. Diese habe er jedoch stets unter Berücksichtigung der besonderen Stellung des Betriebsrats nach dem BetrVG umzusetzen.
Eine klare Positionierung aus der Rechtsprechung liegt mit dem Beschluss des Landesarbeitsgerichts Baden-Württemberg vom 20.05.2022 (Az. 12 TaBV 4/21) mittlerweile ebenfalls vor: Die Verarbeitung personenbezogener Daten durch den Betriebsrat unterliegt laut dieser Entscheidung der Geltung der DSGVO und damit auch der Überwachung durch den Datenschutzbeauftragten.
- Als Begründung verweist das Gericht auf § 79 S. 4 BetrVG, aus dem sich im logischen Umkehrschluss eine Kontrolle der Betriebsratsarbeit ableiten lasse: § 79a S. 4 BetrVG sieht vor, dass der „Datenschutzbeauftragte […] gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet [ist] über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“ Solche Informationen können dem DSB aber nur vorliegen, wenn er überhaupt selbst ein Recht hat, Einblick in die entsprechenden Prozesse zu nehmen.
- Darüber hinaus wird auf die Gesetzesbegründung (BT-Drs. 19/28899, S. 22) verwiesen. Dort heißt es: „Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der Datenschutz-Grundverordnung (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle.“
Eine ebenso eindeutige Aussage des EuGH – oder zumindest des BAG – zu der Thematik erhoffte man sich anlässlich des 2023 entschiedenen Rechtsstreits zu der Frage, ob ein Interessenkonflikt vorliege, wenn die Ämter des DSB und des Betriebsratsvorsitzenden in Personalunion ausgeübt werden. In diesem Zusammenhang hätten sich aufgrund der Klärung des Verhältnisses der beiden Rollen ggf. auch nähere Erkenntnisse zum Thema Kontrollrecht ergeben können.
Dies war im Ergebnis jedoch nicht der Fall. Der EuGH antwortete auf die im Verfahren vorgelegten Vorabersuchen nur relativ allgemein zum Begriff des Interessenkonflikts und das BAG entschied mit Urteil vom 06.06.2023 (Az. 9 AZR 383/19), dass der Betriebsratsvorsitzende nicht zugleich Datenschutzbeauftragter sein kann, ohne aber in diesem Zusammenhang Kontrollrechte zu thematisieren.
Gegenansicht ist zur Mindermeinung geworden
Die zu Zeiten des BDSG noch vorherrschende Auffassung wird mittlerweile nur noch als Mindermeinung vertreten:
- Das BAG hatte in einem Urteil aus dem Jahr 1997 (11.1997, Az. 1 ABR 21/97) ein Kontrollrecht des Datenschutzbeauftragten gegenüber dem Betriebsrat mit der Begründung abgelehnt, dass ein solches nicht vereinbar mit der Unabhängigkeit des Betriebsrats vom Arbeitgeber sei, da der DSB von diesem beauftragt werde und daher sozusagen „auf dessen Seite“ agiere.
- Die Äußerung in der Entscheidung des BAG vom 18.07.2012 (Az. 7 ABR 23/11), dass der Betriebsrat „eigenständig über Maßnahmen zu beschließen [habe], um den Anforderungen des BDSG Rechnung zu tragen“, wird unter dem Stichwort der Unabhängigkeit teilweise als Fortsetzung der damaligen Rechtsprechung eingeordnet.
Vertreter der Mindermeinung gehen aufgrund dieser vom BAG betonten Unabhängigkeit davon aus, dass der Betriebsrat entgegen der nunmehr eindeutigen gesetzlichen Regelung im BetrVG eigener Verantwortlicher und nicht Teil des Arbeitgebers als verantwortlicher Stelle sei.
Die Argumentation wird formal u.a. darauf gestützt, dass die entsprechende Regelung im § 79a BetrVG europarechtswidrig sei. Es wird angeführt, dass die Regelung nicht von einer Öffnungsklausel der DSGVO gedeckt sei und daher die Zuordnung zum Begriff des Verantwortlichen gar nicht durch den nationalen Gesetzgeber hätte getroffen werden dürfen (vgl. Kevin Leibold, LL. M. in ZD-Aktuell 2022, 01227: Überwachung des Betriebsrats durch den Datenschutzbeauftragten?, beck-online).
Auch wenn sich über die Europarechtskonformität des § 79a BetrVG diskutieren lässt (näher dazu: Olaf Rossow in DuD – Datenschutz und Datensicherheit 2/2022, S. 22: Datenschutz beim Betriebsrat), sprechen unabhängig davon inhaltliche Argumente gegen die seinerzeit vom BAG getroffenen Ausführungen: Der DSB steht nämlich gerade nicht im Lager oder aufseiten des Arbeitgebers, sondern nimmt selbst eine unabhängige Rolle ein: Diese ergibt sich insbesondere aus dem Benachteiligungsverbot des Art. 38 Abs. 3 S. 2 DSGVO sowie aus dem Sonderkündigungsschutz des § 6 Abs. 4 S. 2 BDSG.
Fazit
Der Datenschutzbeauftragte kann und muss auch seine Kontrollrechte gegenüber dem Betriebsrat wahrnehmen. Die in Art. 39 DSGVO normierten Pflichten des Datenschutzbeauftragten, die Einhaltung der DSGVO zu überwachen, betrifft auch den Betriebsrat. In der Praxis gilt aber auch für den Betriebsrat, was auch für die Personal- oder Marketingabteilung des Unternehmens gilt; der Datenschutzbeauftragte wird bei möglichen datenschutzrechtlichen Optimierungsbedarf Lösungen gemeinsam mit dem Betriebsrat erarbeiten, da der Spielraum des Betriebsrats bei der Datenverarbeitung im Rahmen des Betriebsverfassungsgesetzes zu beachten ist. Eine Beschränkung der Arbeit des Betriebsrats ist nicht das Ziel der DSGVO.