Schlagwort: Betriebsrat
9. Juni 2023
Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.
Der Fall
Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.
Die Vorlagefragen an den EuGH:
Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.
Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.
Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.
Entscheidung des EuGH
Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.
Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.
Fazit
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.
13. Juli 2021
Am 18.06.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft getreten (BGBl. 2021 I S. 1762). In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt. Damit endet der lange Streit um die datenschutzrechtliche Frage, ob der Betriebsrat dem Arbeitgeber als datenschutzrechtlich Verantwortlicher zuzuordnen oder als datenschutzrechtlich eigene verantwortliche Stelle einzuordnen ist. § 79a Satz 2 BetrVG stellt nun klar:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“
Die in § 78a Satz 3 BetrVG normierte, gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften beruht laut der Gesetzesbegründung auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat ist danach zum Beispiel nicht verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwingend auf die Unterstützung des Betriebsrats angewiesen. Auch bei der Erfüllung etwaiger Auskunftsansprüche (Art. 15 DSGVO) die sich auf die durch den Betriebsrat verarbeiteten Daten beziehen, ist der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen.
Gemäß der Gesetzesbegründung muss der Betriebsrat innerhalb seines Zuständigkeitsbereichs auch eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO sicherstellen. Hierfür hat der Arbeitgeber den Betriebsrat mit den erforderlichen Sachmitteln, wie etwa geeigneten Sicherungseinrichtungen für Unterlagen mit personenbezogenen Daten, auszustatten.
Auch wenn der neue § 78 BetrVG Unklarheiten bzgl. der Zuständigkeit für die einzuhaltenden Datenschutzmaßnahmen klärt, stehen Unternehmen und Betriebsräte weiterhin vor der Herausforderung diese innerhalb des gesetzlich abgesteckten Rahmens einvernehmlich umzusetzen. Die Festlegung und Umsetzung von entsprechenden Prozessen sind hierfür notwendig. Die Gesetzesbegründung hebt in diesem Zusammenhang auch die mögliche Inanspruchnahme der Beratung des betrieblichen Datenschutzbeauftragten durch den Betriebsrat hervor.
5. Mai 2021
Das Bundesarbeitsgericht musste sich mit der Frage befassen, ob das Amt des Vorsitzenden eines Betriebsrats in Personalunion mit dem Amt des Datenschutzbeauftragten ausgeübt werden darf. Dafür soll nun per Vorabentscheidungsersuchen geklärt werden, ob die hohen Anforderungen, die das deutsche Recht an die Abberufung eines betrieblichen Datenschützers stellt, mit der europäischen Datenschutzgrundverordnung im Einklang stehen.
Vorausgegangen war eine Klage eines Betriebsratsvorsitzenden eines Unternehmens, welcher zusätzlich zum betrieblichen Datenschutzbeauftragten bestellt wurde. Nach Inkrafttreten der DSGVO im Jahr 2018 wurde der Kläger jedoch von dem beklagten Unternehmen in seiner Funktion als Datenschutzbeauftragter abberufen. Gründe dafür seien mögliche Interessenskollisionen zwischen der beiden von ihm ausgeübten Positionen, welche einen wichtigen Grund für die Abbestellung im Sinne des §§ 38 Abs. 2, 6 Abs. 4 BDSG i.V.m. § 626 BGB darstellen.
In einem Vorabentscheid soll der EuGH nun ergründen, ob diese hohen Anforderungen des deutschen Rechts mit dem Unionsrecht im Einklang stehen. Dieses schreibt in Art. 38 der DSGVO lediglich vor, dass eine Abbestellung nur dann nicht erfolgen darf, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird.
Sollte der Gerichtshof die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, ergibt sich die Folgefrage, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv Art. 38 Abs. 6 Satz 2 DSGVO führt. In einem früheren Urteil wurde vom BAG in Erfurt eine solche Personalunion als vereinbar erklärt. Das Urteil wurde jedoch im Jahr 2011 – und damit vor dem Inkrafttreten der DSGVO – verkündet.
10. September 2019
In dem Fall ging es um das Einblicksrecht des Betriebsrats in Bruttoentgeltlisten. Der Arbeitgeber betrieb eine Klinik, die einem gekündigten Manteltarifvertrag unterfällt. Die Klinik führte seit einiger Zeit die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Dabei enthielten die Listen die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu weiteren Bezügen. Der Arbeitgeber gewährte dem Betriebsrat nur Einsicht in eine anonymisierte Fassung dieser Listen.
Der Betriebsrat verlangte für seinen Betriebsausschuss Einblick in eine ungeschwärzte Fassung der Bruttoentgeltlisten mit sämtlichen Klarnamen. Nur so lasse es sich feststellen, ob der Arbeitgeber die Vergütungsgrundsätze eingehalten hat.
Das Bundesarbeitsgericht (BAG) sprach dem Betriebsausschuss ein Einsichtnahmerecht in die nicht-anonymisierten Bruttoentgeltlisten zu. Dabei hat das BAG nun entschieden, dass dieses Einblicksrecht auch unter Berücksichtigung datenschutzrechtlicher Vorgaben nicht-anonymisierte Bruttoentgeltlisten umfasst. Der Arbeitgeber ist nach § 80 Abs. 2 S. 2 Betriebsverfassungsgesetz (BetrVG) verpflichtet, dem Betriebsausschuss Einblick in die nicht-anonymisierten Bruttoentgeltlisten zu gewähren. Der Arbeitgeber muss dem Betriebsrat auf sein Verlangen alle für die Betriebsratsarbeit nötigen Unterlagen zur Verfügung stellen. Um zu prüfen, ob die innerbetriebliche Lohngerechtigkeit eingehalten ist, muss der Betriebsrat über die effektiv gezahlten Vergütungen Bescheid wissen. Daher darf der hier zuständige Betriebsausschuss Einblick in die Bruttogehaltslisten mit Namen nehmen.
Das Gewähren von Einblick in die personifizierten Gehaltslisten stellt eine Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts dar. Das Beschäftigungsdatenschutzrecht erlaubt jedoch eine solche Verarbeitung, wenn diese zur Ausübung der sich aus dem BetrVG ergebenden Rechte und Pflichten des Betriebsrats nötig ist. Das ist vorliegend der Fall, da der Betriebsrat sonst nicht seinen betriebsverfassungsrechtlichen Pflichten nachkommen kann.
14. Dezember 2016
Das Bundesarbeitsgericht hatte gestern zu entscheiden, ob der Betriebsrat ein Mitbestimmungsrecht bei dem Unternehmensauftritt in sozialen Netzwerken hat.
In dem Beschluss vom 13.12.2016 geht es darum, dass das betroffene Unternehmen im Jahre 2013 eine Facebook-Seite einrichtete. Im Laufe der Zeit verwendeten Nutzer von Facebook die Kommentarfunktion, um ihren Unmut über Mitarbeitern des Unternehmens Luft zu machen. Daraufhin schaltete sich der Betriebsrat ein und vertrat die Ansicht, dass Einrichtung und Betrieb der Facebook-Seite mitbestimmungspflichtig sei. Als Begründung wurde angeführt, dass die Möglichkeit der öffentlichen Äußerung über das Arbeitsverhalten von Mitarbeitern einen zu hohen Überwachungsdruck erzeuge.
Das Bundesarbeitsgericht gab diesem Vorbringen teilweise Recht. Der Betriebsrat hat keinen Einfluss darauf, ob das Unternehmen eine Präsenz in sozialen Netzwerken hat. Wenn jedoch die Möglichkeit besteht, dass Nutzer der Plattform Beiträge auf der Seite des Unternehmens posten können, welche sich inhaltlich auf die einzelnen Beschäftigten beziehen, dann ist der Betriebsrat anzuhören.