31
Jan
2020

ArbeitsrechtDatenschutz und IT-Recht

Auskunftsanspruch des Betriebsrates auf sensitive Daten – nicht ohne angemessene Schutzmaßnahmen

Dr. Frank Bongers

Das Bundesarbeitsgericht hat mit dem Beschluss vom 09.04.2019 (Az.: 1 ABR 51/17) gleich mehrere grundlegende Fragen zum Datenschutz im Spannungsverhältnis zwischen Arbeitgeber, Betriebsrat und Arbeitnehmer geprüft und – zum Teil – entschieden. Neben der Darlegungslast des Betriebsrates bei der Geltendmachung von Auskunftsansprüchen, ging es um die Frage, ob ein Auskunftsanspruch des Betriebsrates von dem entgegenstehenden Willen einer Arbeitnehmerin und von der Darlegung und Umsetzung angemessener Schutzmaßnahmen für die Verarbeitung personenbezogener Daten durch den Betriebsrat abhängig ist. Der zuletzt genannte Aspekt betrifft zudem die kontrovers diskutierte Frage nach der Aufteilung der Verantwortung für den Datenschutz zwischen Arbeitgeber und Betriebsrat.

Sachverhalt
Der Arbeitgeber hatte den Betriebsrat in der Vergangenheit nur dann über die Schwangerschaft einer Arbeitnehmerin informiert, wenn diese auf Nachfrage der Information des Betriebsrates nicht widersprochen hatte. Der Betriebsrat vertrat die Auffassung, dass ihm – unabhängig vom Willen der Arbeitnehmerin – stets jegliche Schwangerschaft mitzuteilen sei. Er habe als Gremium darüber zu wachen, dass die zugunsten der Arbeitnehmerinnen geltenden Gesetze, z. B. das Mutterschutzgesetz, von dem Arbeitgeber eingehalten werden. Der Betriebsrat beantragte deshalb beim Arbeitsgericht, dem Arbeitgeber aufzugeben, ihn über alle ihm bekannt werdenden Fälle einer Schwangerschaft von Arbeitnehmerinnen unaufgefordert zu unterrichten, auch in den Fällen, in denen die betroffene Arbeitnehmerin einer Unterrichtung des Betriebsrats widersprochen hat.

Darlegungslast des Betriebsrates
Der Betriebsrat ist nach § 80 Abs. 2 S. 1 BetrVG zur Durchführung seiner Aufgaben rechtzeitig und umfassend von dem Arbeitgeber zu unterrichten. Zu den Aufgaben des Betriebsrates zählt es, nach § 80 Abs. 1 Nr. 1 BetrVG darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden. Da einige der vorgenannten Vorschriften dem Schutz von Schwangeren dienen, kann grundsätzlich ein Auskunftsanspruch des Betriebsrates darüber, welche Arbeitnehmerinnen schwanger sind, bestehen. Nach dem BAG muss der Betriebsrat jedoch dem Arbeitgeber bei der Geltendmachung des Informationsanspruchs genau benennen, welches zugunsten der Arbeitnehmerinnen konkret geltende Ge- oder Verbot der Betriebsrat hinsichtlich seiner Durchführung oder Einhaltung zu überwachen beabsichtigt und inwieweit er dafür die Unterrichtung über jede einzelne der Arbeitnehmerin angezeigte Schwangerschaft unter Namensnennung benötigt. Dies gelte umso mehr, weil bestimmte mutterschutzspezifische Pflichten – wie etwa das grundsätzliche Verbot der Nachtarbeit für schwangere Frauen – nur bei bestimmten betrieblichen Gegebenheiten greifen und auch nur dann eine entsprechende Überwachungsaufgabe auszulösen vermögen. Da dies der Betriebsrat nicht dargelegt hatte, hob das BAG die angefochtene Entscheidung des Landesarbeitsgerichts auf und verwies die Sache an das Landesarbeitsgericht zurück. Ungeachtet dessen nahm das BAG zu weiteren entscheidungserheblichen Rechtsfragen Stellung.

Relevanz des entgegenstehenden Willens der Arbeitnehmer
Das BAG hatte erneut entschieden, dass dann, wenn die Übermittlung personenbezogener Daten für die Durchführung der Aufgaben des Betriebsrates erforderlich ist, ein entgegenstehender Wille der betroffenen Person unbeachtlich ist. Dies gelte auch für die Information über eine Schwangerschaft. Die Aufgabenfüllung des Betriebsrates stehe nicht zur Disposition der Arbeitnehmerin.

Besondere Anforderungen an die Übermittlung besonderer Kategorien personenbezogener Daten an den Betriebsrat
Die Schwangerschaft wie auch die rassische und ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung zählen zu den besonderen Kategorien personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (Artikel 9 Abs. 1 DS-GVO, Artikel 4 Nr. 15 DS-GVO). Artikel 9 Abs. 1 DS-GVO stellt den Grundsatz auf, dass die Verarbeitung dieser besonderen Kategorien personenbezogener Daten (welche auch „sensitive Daten“  genannt werden) untersagt ist. Etwas anderes gilt nur, wenn eine Ausnahme nach Artikel 9 Abs. 2 DS-GVO vorliegt. Nach Artikel 9 Abs. 2 Buchst. b DS-GVO kann die Verarbeitung dieser besonderen Kategorien personenbezogener Daten, nach dem Recht der Mitgliedstaaten dann zulässig sein, wenn sie erforderlich ist, damit der Verantwortliche die ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen kann, wobei das nationale Recht geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vorsehen muss. Eine solche Ausnahmeregelung hat der bundesdeutsche Gesetzgeber in § 26 Abs. 3 BDSG getroffen. Das BAG bestätigt, dass § 26 Abs. 3 BDSG den Vorgaben der Eröffnungsklausel des Artikel 9 Abs. 2 Buchst. b DS-GVO entspricht. Die Anforderung an die Regelungen, dass sie „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vorsehe“, habe der bundesdeutsche Gesetzgeber dadurch ausreichend umgesetzt, dass er in § 26 Abs. 3 S. 1 BDSG ausdrücklich geregelt habe, dass die Verarbeitung nur zulässig sei, wenn kein Grund zu der Annahme bestehe, dass schutzwürdige Interessen der betroffenen Personen an dem Ausschluss der Verarbeitung überwiegen. Durch den Verweis in § 26 Abs. 3 S. 3 BDSG auf § 22 Abs. 2 BDSG habe der Gesetzgeber ausreichend deutlich gemacht, welche Schutzmaßnahmen insofern in Betracht kommen.

Voraussetzung für die rechtmäßige Datenverarbeitung durch den Betriebsrat sei demnach aber, dass beim Betriebsrat angemessene und spezifische Maßnahmen zum Schutz der Interessen der Arbeitnehmerinnen tatsächlich umgesetzt sind. Nur für den Fall, des Vorliegens von Schutzmaßnahmen i.S.v. § 26 Abs. 3 S. 3 i.V.m. § 22 Abs. 2 BDSG bestehe kein Grund zu der Annahme, dass schutzwürdige Interessen der betroffenen Arbeitnehmerinnen an dem Ausschuss der Verarbeitung überwiegen (BAG, a.a.O., Rn. 38). Fehlt es an solchen Maßnahmen, ist die Verarbeitung sensitiver Daten durch den Betriebsrat unzulässig (BAG, a.a.O., Rn. 40). Beispielhaft nennt das BAG Maßnahmen zur Datensicherheit, wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewährung begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe (BAG, a.a.O., Rn. 48). Da der Betriebsrat in dem Rechtsstreit nichts zu angemessenen Schutzmaßnahmen vorgetragen hatte, konnte auch aus diesem Grund dem Antrag des Betriebsrates nicht stattgegeben werden.

Zuständigkeit für die Einhaltung des Datenschutzes im Betriebsrat?
Das BAG hat betont, dass bei der Weitergabe sensitiver Daten an den Betriebsrat der Arbeitgeber die Beachtung des Gebots, angemessene Schutzmaßnahmen vorzusehen, nicht in der Hand habe. Ihm seien hierauf bezogene Vorgaben an den Betriebsrat aufgrund von dessen Unabhängigkeit „als Strukturprinzip der Betriebsverfassung“ verwehrt (vgl. BAG, 11.11.1997 – 1 ABR 21/97). Daher habe der Betriebsrat bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens das Vorhalten von Datenschutzmaßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer wahren. Den Betriebsrat treffe insoweit unabhängig davon, ob er selbst ein „Verantwortlicher“ im Sinne von Artikel 4 Nr. 7 DS-GVO sei (früher „verantwortliche Stelle“) eine spezifische Schutzpflicht. Das BAG hat die kontrovers diskutierte Frage, ob der Betriebsrat selbst nur Teil des „Verantwortlichen“ oder selbst „Verantwortlicher“ i. S. einer verantwortlichen Stelle ist, offengelassen. Es hat gewissermaßen herausgearbeitet, dass der Betriebsrat zwar in seinem Bereich verantwortlich ist, aber nicht zwingend ein „Verantwortlicher“ im Sinne der DS-GVO sein muss.

Praxistipp
Dass das BAG einen Anspruch des Betriebsrats auf Auskunft über sensitive Daten an besondere Datenschutzmaßnamen beim Betriebsrat knüpft, muss auch dem Arbeitgeber zu denken geben. Ist nämlich ein Empfang von personenbezogenen Daten durch den Betriebsrat rechtswidrig, ist es auch die Übersendung der Daten an den Betriebsrat durch den Arbeitgeber.

Arbeitgeber müssen also selbst aktiv werden, denn sie selbst haben ein Interesse, dem Betriebsrat rechtmäßig sensitive personenbezogene Daten übermitteln zu dürfen. Dabei geht es nicht nur um eine Verhinderung von Bußgeldern. Wenn die Weitergabe von Daten an den Betriebsrat rechtlich nicht möglich ist, würde die Umsetzung mitbestimmungspflichtiger Maßnahmen durch den Arbeitgeber behindert oder sogar ausgeschlossen werden. Deswegen ist Arbeitgebern zu empfehlen, gemeinsam mit Betriebsräten angemessene Schutzmaßnahmen i.S.v. § 26 Abs. 3 i.V.m. § 22 BDSG für die Betriebsratsarbeit zu erarbeiten und umzusetzen.

» zur Übersicht