Das vorliegende Werk ist Teil der Reihe „Theorie und Praxis des Arbeitsrechts“ (Band 20) der Wolfgang-Hromadka-Stiftung und entstammt der Feder von RA Dr. Lenas Tilman Götz.

Umfassend beleuchtet werden die möglichen Haftungstatbestände bei Datenschutzverstößen durch den BR oder durch einzelne Betriebsratsmitglieder. Die Frage ist in der Praxis von erheblicher Bedeutung, weil Betriebsratskörperschaften in der täglichen Arbeit mit zahlreichen (zumindest personenbeziehbaren) Daten zu tun haben.

Nach einer grundlegenden Auseinandersetzung mit der Frage, ob der BR überhaupt Verantwortlicher iSd Art 4 Nr 7 DS-GVO sein kann, befasst sich das Werk zunächst mit der unionsrechtlichen Zulässigkeit des (neuen) § 79a S 2 BetrVG:

Bekanntlich wertete das BAG den BR vor dem Inkrafttreten der DS-GVO am 25.5.2018 als Teil der verantwortlichen Stelle AG; der BR sei aber selbst zum Datenschutz verpflichtet und habe eigenständig über Maßnahmen zu beschließen, um den Anforderungen des BDSG Rechnung zu tragen. In diesem originär eigenverantwortlichen Bereich konnte der BR nach der überwiegenden Ansicht auch nicht durch den betrieblichen Datenschutzbeauftragten kontrolliert werden. Damit wurde nach Götz der BR als „Nicht- Verantwortlicher-Verpflichteter“ konstruiert; widersprüchlich sei nach dieser Ansicht aber stets gewesen, dass der AG zwar Verantwortlicher war, der AG den BR als Teil dieser (seiner) verantwortlichen Stelle gleichwohl nicht kontrollieren konnte. Auf Grund der Einführung von Art 4 Nr 7 DS-GVO könne nunmehr auf diese damalige rechtliche Argumentation nicht mehr zurückgegriffen werden. Dennoch habe der Gesetzgeber in dem neuen § 79a S 2 BetrVG diese „Konstruktion“ verwendet.

Gem der Öffnungsklausel des Art 4 Z 7 HS 2 DSGVO kann nämlich der „Verantwortliche“ unmittelbar 91 bestimmt bzw können die bestimmten Kriterien seiner Benennung auch nach nationalem Recht vorgesehen werden, sofern dieses Zwecke und Mittel dieser Verarbeitung vorgibt. Von dieser Öffnungsklausel hat der deutsche Gesetzgeber mit seinem „Betriebsrätemodernisierungsgesetz“ (Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt, dBGBl 2021 Teil I Seite 1762, in Kraft getreten am 18.6.2021) Gebrauch gemacht: Gem § 79a Betriebsverfassungsgesetz (BetrVG) hat der BR bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Soweit der BR zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der AG der für die Verarbeitung Verantwortliche iSd datenschutzrechtlichen Vorschriften. AG und BR sollen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen.

Sofern die Mitgliedstaaten selbst über das „Ob“ und „Wie“ einer Datenverarbeitung entscheiden, ist die Bestimmung des Verantwortlichen mitgliedstaatlich möglich und aus Rechtssicherheitsgründen indiziert. Da der BR auch mit dieser Novelle aber nach wie vor allein über Zwecke und Mittel seiner Datenverarbeitung(en) tatsächlich entscheidet (und nicht der AG), ist es nach Ansicht des Autors weder sachgerecht noch unionsrechtlich zulässig, dem BR die Verantwortlicheneigenschaft über § 79a BetrVG zu entziehen, obwohl dieser die Tatbestandsvoraussetzungen des Art 4 Nr 7 DS-GVO eindeutig erfülle (S 72 f); diesem Befund ist vollinhaltlich zuzustimmen.

Das neue deutsche Gebot der gegenseitigen Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften führt überdies auch zur Gefahr, dass der AG mittelbar Einsicht in die Betriebsarbeit erlangt, zB wenn er Auskunftsbegehren bearbeitet oder wenn künftighin Datenverarbeitungen des BR durch den betrieblichen Datenschutzbeauftragten als „Gewährsmann“ des AG kontrolliert werden (siehe zu dieser neuen ungeklärten Frage näher zB auch Däubler/Kittner, Geschichte und Zukunft der Betriebsverfassung2 [2022] 487). Deshalb genießt mE die „österreichische Lösung“ keiner gesetzlichen Einflussnahme auf diese Frage den Vorzug. Bekanntlich ist nach mittlerweile wohl hA in Österreich die jeweilige Betriebsratskörperschaft als entsprechende Organisation „Verantwortlicher“, wenn sie Beschäftigtendaten (auch) für eigene (Interessenvertretungs-)Zwecke verarbeitet (grundlegend Goricnik in Knyrim, DatKomm Art 88 Rz 98 [Stand Juli 2020] mit ausführlichen Nachweisen). Ein (konkreter) Zweck einer Datenverarbeitung darf nämlich nicht mit den übergeordneten (abstrakteren) betriebsverfassungsrechtlichen Aufgaben des BR verwechselt werden, die einzelnen zweckgebundenen Datenverarbeitungen dienen vielmehr dieser übergeordneten Aufgabenerfüllung. Oder anders formuliert, bietet jede betriebsverfassungsrechtliche Aufgabe eine Vielzahl von Verarbeitungsmöglichkeiten mit jeweils vom BR festzulegenden Zwecken (so auch für die BRD etwa Schulz, ZESAR 08.19, 325).

Im Anschluss beleuchtet Götz alle möglichen Haftungstatbestände des Bürgerlichen Gesetzbuches (BGB) sowie der DS-GVO, falls das Betriebsratsgremium und/ oder einzelne Betriebsratsmitglieder Datenschutzverstöße begehen.

Obwohl der deutsche BR – anders als in Österreich – zwar partiell als vermögensrechtsfähig angesehen wird, ist er nach Götz idR rein tatsächlich vermögenslos. Daraus wird allgemein abgeleitet, dass der BR als Gremium weder gegenüber dem AG noch gegenüber Dritten für Pflichtverletzungen auf Schadenersatz haftet und er auch kein tauglicher Adressat von Bußgeldbescheiden ist; das trifft laut dem Autor zu und führt nach seiner Ansicht dazu, dass das Betriebsratsgremium kein tauglicher Adressat von Schadenersatz insb aus Art 82 DS-GVO sowie § 823 BGB sein kann; der BR sei insoweit auch kein tauglicher Adressat eines Bußgeldbescheides gem Art 83 DS-GVO. Diese Befundung tätigt der Autor unabhängig von der Beurteilung der Verantwortlichenstellung des Betriebsratsgremiums gem Art 4 Nr 7 DS-GVO.

Götz spricht sich aber für eine grundsätzliche persönliche Haftung einzelner Betriebsratsmitglieder aus (sowohl zivilrechtlich als auch für Geldbußen) und zwar nicht nur für datenschutzwidrige „Exzesse“ einzelner Betriebsratsmitglieder (so für Österreich auch Goricnik in Knyrim, DatKomm Art 88 Rz 98/4 letzter Satz), sondern auch für die kausale Mitwirkung an rechtswidrigen Gremienbeschlüssen (gegenteilig etwa Staben, Die Datenschutzverantwortlichkeit des Betriebsrats, ZfA 2020, 287 [308], die anführt, dass es für einen entsprechenden Durchgriff auf das einzelne Betriebsratsmitglied keine Rechtsgrundlage gebe [abgesehen von „Exzessen“ einzelner Betriebsratsmitglieder]).

Diesen „Durchgriff“ insb auf Betriebsratsmitglieder, die aktiv für den datenschutzwidrigen Beschluss gestimmt haben, begründet Götz mit der Verantwortlichenstellung dieser Betriebsratsmitglieder, weil sie über Zwecke und Mittel der Datenverarbeitung entscheiden; grundsätzlich müsse auch zwischen datenschutzrechtlicher Verantwortlichkeit nach Art 4 Nr 7 DS-GVO auf der einen und der Haftung für Datenschutzverstöße auf der anderen Seite unterschieden werden (S 110). Diese Ausführungen von Götz muten aber widersprüchlich an und berücksichtigen die unionsrechtliche Adressierung des Verantwortlichen bzw Auftragsverarbeiters in den Art 82 und 83 DS-GVO aus Sicht des Rezensenten nicht ausreichend; Haftung und Geldbußen sollen aus unionsrechtlichen Effektivitätserwägungen eben grundsätzlich nicht auf untere Ebenen „durchgereicht“ werden können. Götz macht es sich aus Sicht des Rezensenten auch zu leicht, wenn er wegen des Ausscheidens des Betriebsratsgremiums als Haftungssubjekt (trotz dessen „grundsätzlich tauglicher“ Verantwortlichenstellung) dann kurzerhand einzelne Betriebsratsmitglieder (auch?) zu Verantwortlichen erklärt. Hiebei ist dogmatisch korrekt vielmehr Staben zu folgen, die für einen solchen Durchgriff eine rechtliche Grundlage als erforderlich ansieht (siehe für Österreich dazu Goricnik, Apropos: DSGVO-Geldbußen gegen den Betriebsrat? Eine Erwiderung, ecolex 2019, 796).

Eine Haftung des AG für Datenschutzverstöße des BR oder einzelner Betriebsratsmitglieder scheidet nach Götz – zu Recht – aus. Im Falle einer gemeinsamen Verantwortlichkeit gem Art 26 DS-GVO käme hingegen eine Haftung des AG in Betracht, zB bei Abschluss einer BV, die einen Datenschutzverstoß begründet (S 136 ff). Dem ist auch aus Sicht des Rezensenten zu folgen, denkbar wäre etwa ein (gemeinsam) datenschutzrechtswidrig 92 ausgestaltetes Eingliederungsmanagement (zB bei Speicherung der jeweiligen medizinischen Diagnose).

Als Fazit kann man festhalten, dass das Werk durchgängig stringent geschrieben, (auch für einen österreichischen Juristen) verständlich und nachvollziehbar und vor allem spannend ist (auch für den nur in Österreich mit betrieblichen Datenschutzfragen befassten Juristen), wobei Wissenschafter und Praktiker gleichermaßen angesprochen sind, zumal der Autor auch anschauliche Praxisbeispiele eingebaut hat.