Der Betriebsrat als Teil der verantwortlichen Stelle oder eigene verantwortliche Stelle?
Klingt nicht dramatisch, hat jedoch ein paar kleinere Auswirkungen. Die Frage ist umstritten, aber noch immer nicht geklärt, auch nicht durch die neueste Entscheidung des Bundesarbeitsgerichts (BAG). Dieses hat entschieden, dass der Arbeitgeber nach § 80 Abs. 2 S. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren.
Wie der Betriebsrat nach den Vorgaben der DSGVO einzuordnen ist – ob als eigene verantwortliche Stelle oder als Bestandteil einer verantwortlichen Stelle – ist nach wie vor ungeklärt und bleibt weiterhin eine rege Diskussion. Im vorliegenden Fall soll dies keine Rolle spielen.
Warum ist die Entscheidung datenschutzrechtlich gleichwohl erwähnenswert?
1. Das Datenschutzrecht gilt so oder so, so das BAG (hatten wir aber bereits vage geahnt); auch der Betriebsrat muss die Vorschriften einhalten.
2. Die Gewährung von Einsicht/Offenlegung in die/der Liste an Betriebsausschuss/Betriebsrat ist Datenverarbeitung (vom Gericht wohl fehlerfrei aus der Gesetzesdefinition abgeleitet); dies dürfte für sämtliche personenbezogene Daten gelten.
3. Das BAG ist der Auffassung, dass diese Datenverarbeitung einer eigenen Rechtsgrundlage bedürfe. Dies ist sehr umstritten und für z.B. die Auftragsverarbeitung ist die Datenschutzkonferenz (DSK) der (wohl zutreffenden) Auffassung, dass es keiner solchen bedarf.
Zu beachten: Die zweifelsfreie Einordnung hätte dringende Fragestellungen im Bereich der Umsetzung von Betroffenenrechten (Information) und der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten treffen können; auch hier bleibt die Unsicherheit, das BAG wollte wohl nicht.
Zur Vertiefung Details der Begründung:
„Der Begriff der Verarbeitung bezeichnet nach Art. 4 Nr. 2 DS-GVO u.a. jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“, also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DS-GVO folgt – kein Dritter sein muss. Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DS-GVO ist.“
Es spiele in diesem Fall also gar keine Rolle, ob der Betriebsrat „Dritter“ ist, da er zumindest immer Empfänger sei. Dies reiche aus, damit eine erlaubnispflichtige Übermittlung personenbezogener Daten vorliege.
