Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).
Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.
Sachverhalt
Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.
Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.
Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.
Entscheidung
Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.
Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.
Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.
In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.
In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.
Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,
also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.
Betriebsrat ist auf jeden Fall „Empfänger“
Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.
Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.
Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.
Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.
Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.
Für den Betriebsrat gilt die DSGVO
Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.
Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).
Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.
Dies ist hier nicht der Fall.
Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.
Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.
Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht
gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.
Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.
Erlaubnistatbestand?
Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.
In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.
Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).
§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO
Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).