Das Landesarbeitsgericht Baden-Württemberg hat sich mit Beschluss vom 20.5.2022 (Az 12 TaBV 4/21) zu den datenschutzrechtlichen Voraussetzungen der Weitergabe besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) vom Arbeitgeber an den Betriebsrat geäußert. Im konkreten Fall ging es um ein Auskunftsbegehren des Betriebsrates nach § 80 Abs. 2 S. 1 BetrVG, in Bezug auf Anzahl und Namen von schwerbehinderten/gleichgestellten Menschen.
Rechtsgrundlage der Datenverarbeitung
Die Weitergabe der Daten an den Betriebsrat kann auf die Rechtsgrundlage des § 26 Abs. 3 BDSG (als Umsetzung von der Öffnungsklausel in Art. 9 Abs. 2 lit. b DSGVO) gestützt werden. Bei der Weitergabe solcher hier betroffener „sensibler“ Daten an den Betriebsrat, sind nach § 26 Abs. 3 S. 3 BDSG zudem die besonderen Anforderungen des § 22 Abs. 2 BDSG zu beachten. Es sind danach angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.
Aber: der Arbeitgeber habe rein faktisch die Beachtung des Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand.
„Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt“.
Hieraus folgert das LAG, dass es Aufgabe des Betriebsrates sei, bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens,
„das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwerbehinderung mitteilenden Arbeitnehmer – wahren“.
Für die Praxis bedeutet dies, dass der Betriebsrat, bevor der Arbeitgeber die Daten weitergaben oder zB Zugriff gewähren kann, entsprechende Schutzmaßnahmen nachweisen muss. Der Nachweis dieser Schutzmaßnahmen ist nach Ansicht des LAG ein Teil der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung. Dies macht das LAG in seiner Begründung sehr deutlich:
„Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit – was der Würdigung des Tatsachengerichts unterliegt – schließt den streitbefangenen Anspruch aus“.
Erforderliche Schutzmaßnahmen
Zunächst stellt des LAG klar, dass die in § 22 Abs. 2 BDSG genannten Maßnahmen allein eine beispielhafte Aufzählung bilden und nicht abschließend zu verstehen sind.
Ziel der Schutzmaßnahmen muss auf Seiten des Betriebsrates die Gewährleistung sein, dass er bei einer Verarbeitung sensitiver Daten das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 S. 2 BDSG aufgelisteten Kriterien entsprechen.
Das LAG benennt in seiner Entscheidung einige Beispielmaßnahmen.
„Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören.“
Im konkreten Fall erachtete das LAG die vorhandenen Maßnahmen als ausreichend. So existierte etwa für eine elektronische Übermittlung eine spezielle Empfängeradresse mit Passwortschutz. Hiermit, so das LAG, wird der Betriebsrat zugleich seiner Pflicht zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO gerecht.
Eine Anonymisierung bzw. Pseudonymisierung (vgl. § 22 Abs. 2 Nr. 6 BDSG) kann hier nicht verlangt werden. Denn der Auskunftsanspruch des Betriebsrates zielt ja gerade auf Namen von Personen. Ohne diese Namen könnte der Betriebsrat also seine Aufgaben nicht wahrnehmen.
Zudem nennt das LAG allgemein noch weitere möglich Maßnahmen, die der Betriebsrat ergreifen könnte: freiwillige Benennung eines Datenschutz-Sonderbeauftragten für das Gremium, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen.
Diese Liste mit Maßnahmen kann in der Praxis als eine gute Grundlage für eigene Prüfung der Zulässigkeit einer Datenweitergabe an den Betriebsrat verwendet werden.
Datenschutzbeauftragter des Arbeitgebers darf auch den Betriebsrat überwachen
Zudem beantwortet das LAG noch eine, in der Praxis immer mal wieder diskutierte, Frage. Benötigt der Betriebsrat einen eigenen Datenschutzbeauftragten oder darf bzw. muss der Datenschutzbeauftragte des Arbeitgebers auch den Betriebsrat kontrollieren?
Nach Auffassung des LAG richtet sich die (u.a. auch in § 22 Abs. 2 Nr. 4 BDSG) vorgesehene Bestellung eines Datenschutzbeauftragten nicht an den Betriebsrat, sondern an den Arbeitgeber. Und weiter:
„Die Verarbeitung personenbezogener Daten durch den Betriebsrat unterliegt unter Geltung der DSGVO dabei ohnehin der Überwachung durch den betrieblichen Datenschutzbeauftragten“
Dies, so das LAG, werde zwar in der neuen Vorschrift des § 79a BetrVG nicht ausdrücklich geregelt, aber sowohl von § 79a S. 4 BetrVG als auch im Regierungsentwurf vorausgesetzt, BT-Drs. 19/2899, S. 22.