Herzlichen Glückwunsch zum 3. Geburtstag, lieber § 79a BetrVG!

Herzlichen Glückwunsch zum 3. Geburtstag, lieber § 79a BetrVG!

Abbildung 1

Ist der Arbeitgeber der (Letzt-)Verantwortliche, muss die Unterstützungspflicht zwingend ein einklagbarer Anspruch im Beschlussverfahren sein.

Drei Jahre ist § 79a BetrVG vor Kurzem alt geworden, der mit dem Betriebsrätemodernisierungsgesetz am 18.6.2021 in Kraft trat. Die gesetzgeberische Intention schien klar zu sein: Das Datenschutzverhältnis zwischen Betriebsrat und Arbeitgeber soll geregelt und der Streit über die Frage der datenschutzrechtlichen Verantwortlichkeit gelöst werden. Nach drei Jahren ist es Zeit für eine Zwischenbilanz.

Herzstück ist Satz zwei: “Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.” Die Frage, was unter den zuständigen Aufgaben zu verstehen ist, lässt sich mit Blick auf das BetrVG noch beantworten. Die zweite Frage wird schon schwieriger: Welche Regelung traf der Gesetzgeber für den Fall, dass der Betriebsrat nicht zur Erfüllung seiner Aufgaben Daten verarbeitet? Eine Antwort gibt der Gesetzgeber nicht. Satz drei regelt: “Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.” Dieser Satz, mit einem imperativ angehauchten Inhalt, hinterlässt in der Praxis Fragezeichen. Denn was gilt, wenn eine Betriebspartei nicht unterstützt? Abschließend werfen wir noch einen Blick auf den vierten Satz: “Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.” Der Gesetzgeber gab hier eine Antwort auf eine Frage, die er selbst nicht regelte. Eine Verschwiegenheitspflicht des Datenschutzbeauftragten macht nur Sinn, wenn es eine Kompetenz für den Datenschutzbeauftragten auch gegenüber dem Betriebsrat gibt.

Die Gesetzesbegründung bestätigt, dass der Arbeitgeber der Verantwortliche ist, was sachgerecht sein soll, da der Betriebsrat keine verselbständigte Institution sei. Daraus folgt die gegenseitige Unterstützungspflicht, denn der Arbeitgeber ist bei der DSGVO-Durchführung auf die Unterstützung des Betriebsrats angewiesen.

Jetzt wechseln wir die Perspektive und begeben uns in die betriebliche Praxis: Der Betriebsrat erfasst eine Reihe von personenbezogenen Daten, z. B. durch das beliebte Spiel der Schatteneingruppierungen oder er bekommt vom BAG (9.5.2023 – 1 ABR 14/22, BB 2023, 2807) die Befugnis verliehen, besonders geschützte Daten von leitenden Angestellten über deren Schwerbehinderung zu erfassen. Betriebsräte verfügen über eine Vielzahl an Daten und jetzt werden diese Daten für betriebsverfassungswidrige Zwecke, also gerade nicht zur Erfüllung der BR-Aufgaben genutzt (z. B. doppelte Personalakte, ArbG Elmshorn, 23.8.2023 – 3 BV 31 e/23, NZA-RR 2024, 142). Denkbar ist der Fall, dass ein Unternehmen ein Löschkonzept einführt und den Betriebsrat bittet, dieses umzusetzen. Leider ohne Erfolg, weil der Betriebsrat meint, er könne alte Daten nochmal brauchen. So und jetzt versuchen Sie mal, liebe Leserinnen und Leser, diese (rein) hypothetischen Fragen mit § 79a BetrVG zu lösen.

Dieser Problemaufriss legt die Schwachstellen offen und belegt, dass der Beschäftigtendatenschutz im Verhältnis Arbeitgeber und Betriebsrat noch am Anfang steht und ohne die Grundfragen des BetrVG eine Lösung ausscheidet. Die Verantwortlichkeit und die Unterstützungspflicht sind mit den Strukturprinzipien sowie einer europarechtsfreundlichen Anwendung des BetrVG zu lösen. Das bedeutet: Ist der Arbeitgeber der (Letzt-)Verantwortliche, muss die Unterstützungspflicht zwingend ein einklagbarer Anspruch im Beschlussverfahren sein. In der Kommentierung des Fitting (BetrVG, 32. Aufl. 2024, § 79a, Rn. 53) wird das noch anders vertreten, ohne sich mit dieser Thematik und den Konsequenzen auseinanderzusetzen. Ohne Anspruch auf Durchführung einer datenschutzrechtlichen Maßnahme, denken wir an unser Löschkonzept, sind dem Unternehmen die Hände gebunden, was nicht Ziel des § 79a BetrVG sein kann.

Die Kommentarliteratur (Kania, in: ErfK, 24. Aufl. 2024, § 79a BetrVG, Rn. 3; Fitting, a. a. O., § 79a, Rn. 53) verweist bei der Verletzung der Unterstützungspflicht auf § 23 BetrVG. Das führt nicht zum bezweckten Ergebnis, denn ein Amtsenthebungsverfahren dauert lange und auch nicht zur Umsetzung datenschutzrechtlicher Vorgaben durch den Betriebsrat, sondern dazu, dass der Betriebsrat sein Amt verliert. Als Resultat muss § 79a BetrVG die Unterstützungspflicht als eine echte und im Beschlussverfahren durchsetzbare Rechtspflicht (Tun oder Unterlassen) regeln.

Dazu die Kontrollfrage: Wer trägt die DSGVO-Konsequenzen, wenn der Betriebsrat seine alten Daten nicht löscht? Die Deutsche Wohnen Entscheidung des EuGH lässt an dieser Stelle herzlich grüßen, sodass das Unternehmen als (Letzt-)Verantwortlicher für die Durchsetzung der DSGVO-Vorgaben haftet. Jetzt könnten wir noch über einen Exzess nachdenken, aber die Beweislast dafür trägt das Unternehmen. Deshalb müssen die Betriebsparteien aus § 79a S. 3 BetrVG einen durchsetzbaren Anspruch haben. Wenn wir zumindest dieses Ergebnis mitnehmen, ist das für die Praxis ein passendes Geschenk zum 3. Geburtstag von § 79a BetrVG, da die betriebliche Wirklichkeit klare Regelungen und Konsequenzen braucht, wenn sich eine Betriebspartei nicht an die Unterstützungspflicht hält. In diesem Sinne: Happy Birthday!

Dr. Dominik
Sorber
, RA/FAArbR, bei Pöllath + Partners. Der Autor berät deutsche und internationale Unternehmen in sämtlichen Rechtsfragen auf dem Gebiet des Individual- und Kollektivarbeitsrechts. Er begleitet Unternehmen zudem in der strategischen Beratung auf dem Gebiet des Betriebsverfassungsrechts und verfügt über besondere Expertise im Beschäftigtendatenschutz sowie bei Schnittstellenthemen zwischen Arbeitsrecht und Datenschutz.

Sorber, BB 2024, Heft 32, Umschlagteil, I