„Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI B-W) in seinem aktuellen Tätigkeitsbericht (LfDI B-W, in: 34. Datenschutz-Tätigkeitsbericht, 2018, S. 37 f.) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus umfangreiche datenschutzrechtliche Umsetzungspflichten ergeben; man denke nur an die Führung eines eigenen Verarbeitungsverzeichnisses (Art. 30 DSGVO).

Doch so heiß wie die Frage diskutiert ist, so gegensätzlich sind auch die Ansichten hierzu:

Das LAG Sachsen-Anhalt (Beschluss vom 18.12.2018 – 4 TaBV 19/17) und der LfDI Thüringen (TLfDI) (TLfDI, in: 1. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2018, 5.12, S. 65 ff.) sind ebenso wie der LfDI B-W der Auffassung, dass der Betriebsrat ein eigener Verantwortlicher ist. Begründet wird dies u.a. mit der autarken Stellung des Betriebsrats gegenüber dem Rest des Unternehmens und der Tatsache, dass dieser in gewissen Bereichen keine Pflicht zur Informationsoffenlegung hat. Doch es gibt durchaus auch beachtliche Gegenstimmen.

Das Bundesarbeitsgericht (BAG) (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12) entschied bereits unter dem alten Datenschutzrecht, dass der Betriebsrat als Teil der verantwortlichen Stelle (heute: Verantwortlicher) zu sehen ist.

Dieser Ansicht schlossen sich auch Gerichte in der jüngeren Zeit an (so das LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18; LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18). Die Gegner einer eigenen Verantwortlichkeit des Betriebsrats berufen sich u.a. darauf, dass der Betriebsrat sich immer im gleichen Betrieb befindet. Und innerhalb dieses Betriebs entscheidet zuvörderst der Arbeitgeber über die Zwecke und Mittel der Datenverarbeitung (Art. 4 Nr. 7 DSGVO).

Trotz alledem hat bisher noch keines der höchsten deutschen Gerichte eine grundsätzliche Entscheidung zu dieser doch kontroversen Frage unter der DSGVO getroffen. Auch wenn das Bundesverwaltungsgericht bereits (für den behördlichen Bereich) die Möglichkeit dazu hatte und diese Frage bewusst offen ließ (BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17).

Und auch wenn die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer Behörde datenschutzrechtlich einzuordnen ist, weiterhin nicht abschließend geklärt ist, kann man hinsichtlich der Rechtsprechung verschiedener Landesarbeitsgerichte von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.