BAG Beschluss – Betriebsrat hat Recht auf Einsichtnahme mit Einhaltung DSGVO

Neuer BAG-Beschluss zur Gültigkeit von Datenschutzrecht für Betriebsräte

Die Frage, ob ein Betriebsrat aus Sicht der DSGVO als eigene verantwortliche Stelle oder nur als Bestandteil einer verantwortlichen Stelle anzusehen, ist heiß diskutiert. Das Bundesarbeitsgericht (BAG) hat nun beschlossen, dass die Einordnung des Betriebsrates für die Rechtsgrundlage für die Betrachtung von nicht anonymisierten Dokumenten überhaupt keine Rolle spielt.

Worum ging es im Fall des BAG?

Diskutiert wurde das Einsichtsrecht des Betriebsrates in die Bruttoentgeltlisten. Der Arbeitgeber betreibt ein Krankenhaus, welches zu diesem Zeitpunkt einem gekündigten Manteltarifverlag unterlag. Die Verwaltung des Arbeitsgebers bewahrt die Bruttoentgeltlisten der Arbeitnehmer in einer digitalen Datenbank auf. Darin enthalten sind Name, Dienstart, Unterdienstart, Grundgehalt und Angaben zu Zulagen und sowohl beständigen als auch unbeständigen Bezügen der Beschäftigten. Der Betriebsrat verlangte Einsicht in dieses Dokument, der Arbeitgeber gewährte diese jedoch nur in eine anonymisierte Fassung. Dem Betriebsrat als Vertretung der Mitarbeiter genügte das nicht und er verlangte Einsicht in eine vollständig ungekürzte Fassung – die völlig „ungeschwärzt“ ist und in der alle Klarnamen sichtbar sind. Diese Forderung begründete der Betriebsrat damit, das nur so feststellbar sei, ob die Vergütungsgrundsätze durch den Arbeitgeber eingehalten wurden.

 

Vorgabe: Das Datenschutzrecht muss in jedem Fall beachtet werden

Das BAG entschied zugunsten des Betriebsrats. Gemäß § 80 Abs. 2 S. 2 Halbs. 2 BetrVG muss der Arbeitgeber Einsicht in die nicht anonymisierte Fassung gewähren. Diese Einsichtnahme wäre zwar eine Verarbeitung personenbezogener Daten, diese sei aber nach geltendem Recht erlaubt. Im Folgenden soll die Begründung des Gerichtes erläutert werden.

Zunächst einmal wurde der Begriff der Verarbeitung mithilfe der gesetzlichen Definition in Art. 4 Nr. 2 DSGVO klargestellt. Hierdurch wurde festgestellt, dass eindeutig eine Verarbeitung der personenbezogenen Daten erfolgt, wenn Einsicht in diese genommen wird. Außerdem machte das Gericht deutlich, dass, unabhängig davon ob der Betriebsrat als Dritter oder Empfänger nach Maßgaben der DSGVO zu sehen ist, die Weitergabe der Daten an diesen auch eine Datenverarbeitung darstellt und belegt dies mit Art. 4 Nr. 9 DSGVO. Das steht im Gegensatz zur vom 28. August 2002 bis zum 24. Mai 2004 gültigen Fassung von § 3 Abs. 4 Satz 2 Nr. 3 BDSG, welche eine Datenübermittlung nur bei einer Weitergabe von Daten an Dritte i.S.v. Art. 4 Nr. 10 DS-GVO einräumt.

Dort wird jede mit oder ohne Hilfe automatisierter Verfahren ausgeführter Aktion im Zusammenhang mit personenbezogenen Daten als Verarbeitung bezeichnet. Deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ gegenüber einem Empfänger, der kein Dritter sein muss, zählt ebenfalls dazu. Somit ist also nicht ausschlaggebend, inwiefern der Betriebsrat als Dritter betrachtet werden muss. Dass er Empfänger ist, ist ausreichend, damit eine erlaubnispflichtige Übermittlung personenbezogener Daten vorliegt.

In diesem Fall ist es also nicht wichtig, wie der Betriebsrat eingeordnet wird, da er in jedem Fall als Empfänger anzusehen ist. Somit ist eine genaue Beurteilung der Rolle des Betriebsrates für diese Situation überhaupt nicht nötig.

 

Weitere Begründungen des BAG

Das Bundesarbeitsgericht interpretiert die Gesetzeslage also so, als dass der Betriebsrat Empfänger ist. Ob Mitarbeiter oder Abteilungen innerhalb eines Unternehmens als Empfänger betrachtet werden können, wird in der Literatur kontrovers diskutiert. Wichtiger Streitpunkt ist hierbei, ob ein Empfänger eine rechtliche Eigenständigkeit besitzen muss und ob diese bei Unternehmensteilen wie dem Betriebsrat, welche rechtlich festgeschriebene Sonderpflichten und – Privilege besitzen, gegeben sind. Dieser Frage hat sich das Bundesarbeitsgericht jedoch in diesem Prozess nicht gewidmet, obwohl die Einordnung des Betriebsrates große Auswirkungen auf die Arbeit von Verantwortlichen hat, so hängt etwa die Umsetzung der Betroffenenrechte (aufgeführt in Art. 13, 14, 15, 19 DSGVO) und auch das Verzeichnis von Verarbeitungstätigkeiten (erläutert in Art. 30 DSGVO)davon ab.

Zudem ist das Gericht der Ansicht, dass die Gewährung von Einblick in personenbezogenen Daten per se eine Datenverarbeitung darstelle und damit eine eigene Rechtsgrundlage benötige. Dieser Standpunkt ist nicht unumstritten und auch im Falle der Auftragsverarbeitung wurde diese Einschätzung bereits diskutiert: Hier ist der „Auftragsverarbeiter“ ebenfalls ein Empfänger, dem persönliche Kundendaten übermittelt werden, ohne Dritter zu sein. Folgt man nun also der Argumentationskette des BAG, wäre auch in diesem Fall eine eigene Rechtsgrundlage für die Weiterverarbeitung der Daten vonnöten. Dieser Fakt wird häufig als Begründung genannt, warum die Sonderstellung der Auftragsverarbeitung mit der neuen Datenschutzgrundverordnung entfallen muss, was im Widerspruch zum Standpunkt der DSK steht, die eine eigene Rechtsgrundlage für eine Weitergabe personenbezogener Daten an einen Auftraggeber für nicht notwendig hält.

 

Beschluss: Einsichtnahme ist zulässig

Nach Auffassung des Bundesarbeitsgerichts verarbeitet der Betriebsrat also personenbezogene Daten, was unabhängig davon, ob es sich bei diesem um den Bestandteil einer verantwortlichen Stelle oder um eine ganz eigene verantwortliche Stelle handelt, zu einer Einhaltung der datenschutzrechtlichen Vorschriften verpflichtet. Die Zulässigkeit der Einsichtnahme in die unzensierten Bruttoentgeltlisten begründet sich nach Auffassung des Gerichtes in § 26 Abs. 1 Satz 1 BDSG, da dieses Vorgehen zur Erfüllung der Pflichten gemäß § 80 Abs. 2 Satz 2 Halbs. 2 zwingend notwendig sei.

 

Welche weitere Rolle der Betriebsrat spielt

Bei dem Beschluss des Gerichtes wurde ganz bewusst offengelassen, ob der Betriebsrat nun als Verantwortlicher im Sinne der DSGVO anzusehen ist. Trotzdem handelt es sich um einen höchst brisanten Beschluss, da Schlussfolgerungen weit außerhalb des Beschäftigtendatenschutzes gezogen werden. Wie der Betriebsrat einzuordnen ist, bleibt jedoch weiterhin unklar und diese Frage kann weiterhin diskutiert werden. Eine zukünftige Rolle des Betriebsrats durch dieses Gesetz wird nicht festgelegt und wird vermutlich auch noch Zukunft einen Streitpunkt darstellen.