Sachverhalt
Im vorliegenden Fall verlangte der Betriebsrat erfolglos von der Arbeitgeberin, einer Entsorgungsdienstleisterin, ihr die Anzahl und Namen der im Betrieb beschäftigten schwerbehinderten Menschen bzw. gleichgestellten Menschen mitzuteilen. Die Arbeitgeberin lehnte die Mitteilung an den Betriebsrat aufgrund datenschutzrechtlicher Bedenken ab, nachdem sie zuvor die bei ihr angestellten schwerbehinderten Arbeitnehmer um eine Einwilligung zur Übermittlung der Daten gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO erfolglos gebeten hatte.
Dass der Schwellenwert für eine Schwerbehindertenvertretung nach § 177 Abs. 1 S. 1 SGB IX erreicht ist (mindestens fünf schwerbehinderte Menschen nicht nur vorübergehend beschäftigt), wurde dem Betriebsrat hingegen mitgeteilt. Der Betriebsrat legte mit Schriftsatz vom 05. April 2022 ein als „Datenschutzkonzept“ bezeichnetes Dokument vor, wodurch er die Übermittlung als möglich erachtete.
Der Betriebsrat erhob schließlich Klage und beantragte, dass die Arbeitgeberin verpflichtet wird, ihm eine Kopie des gemäß § 163 Abs. 1 SGB IX zu führenden Verzeichnisses über die im Betrieb beschäftigten Schwerbehinderten zu übermitteln und es zu unterlassen, die Arbeit des Betriebsrats durch die Nichtübermittlung zu stören. Weiterhin sollte der Arbeitgeberin für den Fall der Zuwiderhandlung ein Ordnungsgeld in Höhe von bis zu 10.000 Euro angedroht werden.
Zusätzlich sollte das Gericht die Beklagte verpflichten, eine Auskunft über die im Betrieb beschäftigten Schwerbehinderten zu erteilen und es zu unterlassen die Arbeit des Betriebsrats durch die Nichtmitteilung der Informationen zu behindern.
Das Arbeitsgericht Karlsruhe wies die Hauptanträge, nicht aber nach die Hilfsanträge zurück. Die Arbeitgeberin legte hiergegen Beschwerde beim Landesarbeitsgericht ein.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Beschluss
Das Landesarbeitsgericht Baden-Württemberg wies die Beschwerde des Arbeitgebers gegen das Urteil des Arbeitsgerichts zurück.
Der Betriebsrat habe hiernach einen Anspruch auf Auskunft über die im Betrieb Beschäftigten Schwerbehinderten aus § 80 Abs. 2 S. 1 BetrVG. Bei der Eingliederung schwerbehinderter Mitarbeiter handele es sich gemäß § 80 Abs. 1 Nr. 4 BetrVG um eine Aufgabe des Betriebsrats. Die begehrten Informationen seien zur Wahrnehmung dieser Aufgabe erforderlich, da der Betriebsrat ohne Kenntnis nicht seinen gesetzlichen Aufgaben nachkommen könne.
Die Voraussetzungen für die Wahl einer Schwerbehindertenvertretung nach § 177 Abs. 1 S. 1 SGB IX seien gegeben. Die Nennung der Namen der Betroffenen sei für die Einladung zur Wahl erforderlich, da es praxisfern sei, die Schwerbehinderung während der Wahl etwa durch eine Ausweiskontrolle überprüfen zu lassen. Die Erforderlichkeit einer Auskunft über Anzahl und Namen der schwerbehinderten bzw. gleichgestellten Menschen ergebe sich zudem auch aus § 80 Abs. 1 Nr. 4 BetrVG, § 176 SGB IX.
Die Erfüllung der dem Betriebsrat gesetzlich zugewiesenen Aufgaben sei auch nicht von einer vorherigen Einwilligung der Arbeitnehmer abhängig und stehe auch nicht zur Disposition der Arbeitnehmer, so das LAG.
Voraussetzung für den Auskunftsanspruch bei sensiblen Daten ist nach Ansicht des LAG, dass der Betriebsrat zur Wahrung der Interessen der betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft, was sich aus § 26 Abs. 3 BDSG im Vermessen mit § 22 Abs. 2 BDSG ergebe. Allerdings habe der Arbeitgeber aufgrund der unabhängigen Struktur des Betriebsrats die Beachtung angemessener und spezifischer Schutzmaßnahmen nicht in der Hand. Hieraus folgert das LAG, dass es Aufgabe des Betriebsrats sei, bei einem auf sensitive Daten ausgerichteten Auskunftsbegehren entsprechende Schutzmaßnahmen nachzuweisen, um die Interessen der betroffenen Arbeitnehmer mit Schwerbehinderung zu wahren. Der Nachweis solcher Schutzmaßnahmen sei Voraussetzung für einen solchen Auskunftsanspruch.
Das LAG weist darauf hin, dass § 22 Abs. 2 BDSG die möglichen Maßnahmen nicht abschließend aufzähle. Es genüge hiernach, wenn die getroffenen Maßnahmen den dort genannten bei wertender Betrachtung entsprechen. Auch benennt das LAG Beispielmaßnahmen wie das
„zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe.“
Weitere Maßnahmen, die das LAG nennt, sind, die
„freiwillige Benennung eines Datenschutz-Sonderbeauftragten für das Gremium, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen.“
Auch müssten nicht alle Maßnahmen gleichzeitig erfüllt sein. Diese seien vielmehr als optional zu sehen.
Vorliegend betrachtet das LAG die vom Betriebsrat getroffenen Maßnahmen als ausreichend. So sei das Betriebsratsbüro entsprechend gesichert und es lägen technische und organisatorische Maßnahmen vor, da für eine elektronische Übermittlung eine spezielle Empfängeradresse mit Passwortschutz existiere. Eine Anonymisierung bzw. Pseudonymisierung könne nicht verlangt werden, da es vorliegend gerade auf die konkreten Namen der Mitarbeiter ankomme.
Die in § 22 Abs. 2 Nr. 4 BDSG vorgesehene Bestellung eines Datenschutzbeauftragten richte sich nicht an den Betriebsrat, sondern an den Arbeitgeber. Es sei Aufgabe des betrieblichen Datenschutzbeauftragten, die Verarbeitung personenbezogener Daten durch den Betriebsrat zu überwachen, was in § 79a S. 4 BetrVG zwar nicht ausdrücklich geregelt, aber vorausgesetzt werde.
Auch nicht verlangt werden könne, dass die Gewährleistung der Datensicherheit zwingend über eine Betriebsvereinbarung im Sinne des § 26 Abs. 4 BDSG erfolgen müsste, dass der Betriebsrat ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I DSGVO) führen oder eine Datenschutzfolgeabschätzung (Art. 35 I DSGVO) vornehmen müsste.
Das LAG sieht in der Auskunftsverweigerung der Arbeitgeberin eine Behinderung zu Lasten des Betriebsrats nach § 78 S. 1 BetrVG. Durch die Nichtmitteilung der Anzahl und Namen der schwerbehinderten Menschen bzw. gleichgestellten Personen werde die Tätigkeit des Betriebsrats als Betriebsverfassungsorgan der Arbeitnehmerseite in unzulässiger Weise behindert, woraus sich ein Unterlassungsanspruch ergebe.
Die Androhung eines Ordnungsgeldes in Höhe von bis zu 10.000 Euro stützt das LAG auf § 23 Abs. 3 S. 2 BetrVG analog, § 890 Abs. 2 ZPO, § 85 Abs. 1 S. 3 ArbGG.
Datenschutzrechtliche Beurteilung
Das LAG Baden-Württemberg hat mit diesem Beschluss klargestellt, dass der Betriebsrat trotz eines bestehenden Informationsanspruches ein angemessenes Schutzniveau für sensible personenbezogene Daten gewährleisten muss. Für Arbeitgeber hat dies zur Folge, dass sie sich vor einer Übermittlung versichern müssen, ob bei dem Betriebsrat ein angemessenes Schutzniveau vorliegt.
Die vom LAG genannten Maßnahmen sind hilfreich für die Praxis, können sie doch als Grundlage für die eigene Prüfung der Zulässigkeit der Datenweitergabe an den Betriebsrat herangezogen werden. Der Betriebsrat wiederum kann anhand der dargelegten Maßnahmen seinerseits überprüfen, ob seine Schutzmaßnahmen ausreichen.
Die lange umstrittene Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrates wurde nochmals bestätigt. Denn die gesetzliche Festschreibung in § 79 a Betriebsverfassungsgesetz stellt klar, dass ein Betriebsrat keinen eigenen Datenschutzbeauftragten benötigt, da sich die Pflicht hierzu vielmehr an das Unternehmen als eigenständige Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO richtet.
Fazit
Wenig überraschend bekräftigt das BAG die Verneinung des Betriebsrates als datenschutzrechtlich Verantwortliche. Aus § 79 a BetrVG lassen sich nichtsdestoweniger eigene, originäre (Unterstützungs-)Pflichten des Betriebsrates im Bereich des Datenschutzes ableiten. Pflichten, die im Normalfall den Arbeitgeber treffen, werden insoweit an den Betriebsrat delegiert werden müssen, um keinen Verstoß gegen Datenschutzbestimmungen zu riskieren.
Bei der Weitergabe von personenbezogenen Daten an den Betriebsrat handelt es sich demnach nicht mehr um eine rechtfertigungsbedürftige Übermittlung an eine eigens Verantwortliche, sondern vielmehr um eine Datenverarbeitung an eine bloß funktionell abgegrenzte Unternehmenseinheit innerhalb des Unternehmens. Wie das Urteil zeig, kann der Betriebsrat dennoch die Preisgabe von einem grundsätzlich weisungsunabhängigen Arbeitgeber bzw. Verantwortlichen für sich beanspruchen. Eine rein tatsächliche Betrachtung, wer in solchen Fällen über Zwecke und Mittel der Verarbeitung entscheidet, wird entgegen den Vorgaben der DSGVO, nicht für die Einordung als Verantwortlicher herangezogen.
Der Art. 4 Nr. 7 DSGVO wird fortan inhaltlich von der rechtlichen Fiktion der Verantwortlichkeit überlagert werden. Ein gewisses rechtliches Vakuum bzgl. des datenschutzrechtlichen Verhältnisses zwischen Arbeitgeber und Betriebsrat besteht daher nach wie vor und wird noch für viele streitige Einzelfälle in der unternehmerischen Praxis sorgen.
