Betriebsratswahl 2022: Haften Arbeitgeber, wenn Betriebsräte gegen den Datenschutz verstoßen?

Das Gesetz verkompliziert durch den gewählten Mittelweg, mit dem es Verantwortlichkeit nach der DSGVO und Verpflichtung im Sinne der DSGVO voneinander löst, das Verhältnis zwischen Betriebsrat und Arbeitgeber. Der Arbeitgeber ist datenschutzrechtlich Verantwortlicher und muss damit dafür sorgen, dass die Vorgaben der DSGVO eingehalten werden. Dies kann der Arbeitgeber jedoch nur gewährleisten, wenn er in datenschutzrechtlicher Hinsicht anweisen und überprüfen kann, wie der Betriebsrat diese Pflichten umsetzt. Allerdings ist der Betriebsrat dem Strukturprinzip der Betriebsverfassung nach autonom und unterliegt daher keinen Weisungen des Arbeitgebers.

Anderes ergibt sich auch nicht aus der in § 79a Satz 3 BetrVG normierten Unterstützungspflicht zwischen Betriebsrat und Arbeitgeber. Diese gibt nicht vor, inwieweit dem Arbeitgeber datenschutzrechtliche Kontrollrechte zustehen. Dabei wollte der Gesetzgeber, dass die Autonomie des Betriebsrats im Datenschutzrecht nicht durchbrochen wird und es dem Arbeitgeber weiterhin verboten bleibt, dem Betriebsrat Vorgaben hinsichtlich des Datenschutzes zu machen. Die umfassende Verantwortlichkeit in Sachen Datenschutz bleibt indes beim Arbeitgeber.

Der Hinweis auf den Datenschutzbeauftragten in § 79a Satz 4 BetrVG ist ebenfalls keine Hilfe für den Arbeitgeber. Dieser ist dem Arbeitgeber gegenüber zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse über den Meinungsbildungsprozess des Betriebsrats ermöglichen könnten. Erfährt der Datenschutzbeauftragte von einem Verstoß, der im Zusammenhang mit dem Meinungsbildungsprozess steht, darf er den Arbeitgeber nicht über diesen Verstoß informieren. Die Weisungsfreiheit und Unabhängigkeit des Datenschutzbeauftragten dürfte es dem Arbeitgeber zweifellos erschweren, in derartigen Situationen rechtskonform zu handeln.

Leider enthält § 79a BetrVG keine Exkulpations- oder Enthaftungsmöglichkeit zugunsten des Arbeitgebers. Obwohl der Arbeitgeber keine Kontrolle über die Datenschutzorganisation des Betriebsrats hat, haften Unternehmen dennoch für jegliches datenschutzrechtliche Fehlverhalten des Betriebsrats. Insbesondere wird sich der Arbeitgeber nicht auf eine mangelhafte Umsetzung der Unterstützungspflicht berufen können, weil diese nichts an seiner Verantwortung ändert. Die durch § 79a BetrVG geschaffene Konstellation stellt für den Arbeitgeber daher eine unkontrollierbare Haftungsfalle dar. Die gesamte Konstruktion des § 79a BetrVG verletzt den zivilrechtlichen Grundsatz, dass man nur in dem Umfang des eigenen Verschuldens haftet und ist dadurch rechtsdogmatisch äußerst problematisch. Durch die mangelhafte gesetzliche Regelung werden Arbeitgeber letztlich gezwungen, datenschutzrechtliche Verstöße hinzunehmen, um dann ggf. den Weg über ein Verfahren nach § 23 BetrVG anzustrengen.

§ 79a BetrVG ist aus den dargelegten Gründen offen gesagt überflüssig – diese Norm hilft schlicht niemandem. Die in der Praxis wirklich entscheidende Frage des Umgangs mit der Haftung und entsprechenden Kontrollmöglichkeiten wird nicht geregelt. Dem Arbeitgeber ist es nicht möglich, die oben beschriebene Haftungssystematik abzuschwächen. Nach hiesiger Auffassung ist die einzige Handlungsoption des Arbeitgebers, mit dem Betriebsrat gemeinsam verbindliche Regelungen zur Einhaltung des Datenschutzes zu treffen. Soweit Anhaltspunkte dafür bestehen, dass ein Betriebsrat datenschutzrechtlich unsauber arbeitet, sollten Arbeitgeber stets genau prüfen, welche Informationen an den Betriebsrat zur Aufgabenerfüllung weiterzugeben sind und welche nicht. Denn insbesondere innerhalb der allgemeinen Auskunftsansprüche nach § 80 Abs. 2 BetrVG wird der Betriebsrat den Schutz personenbezogener Daten sicherstellen müssen.