01.09.2024 | Ein Betriebsrat hat in großem Umfang Unterrichtungsansprüche gegen den Betriebsinhaber (Arbeitgeber). Nils Kummert von dka Rechtsanwälte Fachanwälte stellt zwei Entscheidungen des Bundesarbeitsgerichtes vor. Sie veranschaulichen das Spannungsverhältnis zwischen Unterrichtungsrechten und Datenschutzpflichten des Betriebsrats und geben wichtige Handlungshinweise für die Praxis.
Allgemeines zu Auskunftsansprüchen
Betriebsräte besitzen eine Fülle von Auskunftsansprüchen gegenüber dem Arbeitgeber. Diese Ansprüche knüpfen zum Teil an sehr speziellen Aspekten an (Personalplanung: § 92 BetrVG; Änderungen von Arbeitsplätzen und/oder Arbeitsabläufen: § 90 BetrVG; Betriebsänderungen: § 111 Satz 1 BetrVG etc.) oder beruhen auf der allgemeinen Vorschrift des § 80 Abs. S Satz 1 BetrVG.
Dabei gilt der Grundsatz: Wenn der Betriebsrat reklamieren kann, dass er für die Wahrnehmung einer im Betriebsverfassungsgesetz (BetrVG) genannten Aufgabe eine konkrete Information benötigt, dann muss der Arbeitgeber diese dem Betriebsrat auch erteilen. So kann der Betriebsrat verlangen, dass ihm erläutert wird, nach welchen Kriterien (übertarifliche) Zulagen und/oder Einmalzahlungen geleistet werden, ob und wann ein möglicher Gesellschafterwechsel stattfindet oder ob und wann ein Betriebsübergang nach § 613a BGB vollzogen wird. Auch müssen dem Betriebsrat die Stände von Arbeitszeit- bzw. Gleitzeitkonten mitgeteilt werden und – ausdrücklich im Gesetz genannt – es muss der Arbeitgeber auch umfassend über die Tätigkeit von Fremdfirmenbeschäftigten unterrichten (Beschäftigte von Dienstleistern, die auf Basis eines Werk- oder Dienstertrages tätig werden), die nicht in einem Arbeitsverhältnis zum Arbeitgeber stehen (vgl. § 80 Abs. 2 Satz 1 2. Halbsatz BetrVG).
Auch: Daten zu Erreichbarkeit der Beschäftigten?
Es kann auch erforderlich sein, dass der Arbeitgeber dem Betriebsrat die Informationen zu erteilen hat, die der Betriebsrat benötigt, um die Beschäftigten für die betriebliche Öffentlichkeitsarbeit zu erreichen. Wenn der Betriebsrat die konkreten Beschäftigten nicht im Betrieb persönlich ansprechen kann (Außendienst/Montage, Tätigkeit im entfernt liegenden Betriebsteil etc.), dann muss der Arbeitgeber die Mail-Adresse oder ggf. – wenn eine solche elektronische Erreichbarkeit nicht besteht – die postalische Anschrift mitteilen.
Besondere personenbezogene Daten („sensitive Daten“)
In den letzten Jahren häuften sich die Konstellationen dergestalt, dass Betriebsräte Informationen zum Status von Beschäftigten verlangen, um die Einhaltung bestimmter Schutzvorschriften nach § 80 Abs. 1 Nr. 1 BetrVG überprüfen zu können, und unter Hinweis auf den Schutz des Persönlichkeitsrechts der Betroffenen diese nicht erhalten. Betriebsräte verlangen zum Beispiel die Angabe, welche Beschäftigte wann für welche Zeitdauer arbeitsunfähig waren, um die Durchführung eines Verfahrens des betrieblichen Eingliederungsmanagements zu überwachen (§ 167 Abs. 2 SGB IX). Betriebsräte fragten nach einer bestehenden Schwangerschaft von Mitarbeiterinnen und welchem Stadium der Schwangerschaft sich diese befinden. Auch die Frage nach einer Schwerbehinderteneigenschaft wurde gestellt und abschlägig beschieden.
2019: Bundesarbeitsgericht verlangt Datenschutzkonzept
Im Jahr 2019 hat das Bundesarbeitsgericht sich mit der Frage nach den Namen und dem voraussichtlichen Entbindungstermin von und schwangeren Mitarbeiterinnen befasst (BAG vom 9. 4. 2019– 1 ABR 51/17). Das Gericht hat die Existenz des Informationsrechts bestätigt, seine Erfüllung jedoch davon abhängig gemacht, dass der Betriebsrat besondere Schutzmaßnahmen zum Schutz der besonders sensiblen (sog. „sensitive“) Daten trifft.
Der Leitsatz lautete: „Umfasst ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG eine besondere Kategorie personenbezogener Daten (sensitive Daten im datenschutzrechtlichen Sinn), ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer/-innen angemessene und spezifische Schutzmaßnahmen trifft.“
Die Vorschrift des § 79a BetrVG stellt seit dem Jahr 2021 (Betriebsrätemodernisierungsgesetz) den althergebrachten Grundsatz ausdrücklich klar, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten und umzusetzen hat. Das Bundesarbeitsgericht legt die Konsequenzen dar, wenn ein solches Konzept nicht existiert oder nicht ausreichend ist: Der Arbeitgeber kann dann die Erfüllung des Informationsanspruchs verweigern. Die Begründung: Der Arbeitgeber kann dem Betriebsrat wegen dessen Unabhängigkeit nicht konkret vorschreiben, wie der Betriebsrat den Datenschutz umzusetzen hat. Zugleich ist der Arbeitgeber aber als datenschutzrechtlich Verantwortlicher nach den einschlägigen Regelungen der DSGVO verpflichtet, angemessene und spezifische Maßnahmen zum Schutz personenbezogener Daten sicherzustellen. Diese Pflicht gibt der Arbeitgeber gewissermaßen an den Betriebsrat weiter, indem die Erfüllung des Auskunftsanspruchs an die Existenz angemessener Datenschutzvorkehrungen geknüpft wird.
Dieser Gedankengang hat eine Logik. Aber: Das Problem bestand nun zunächst nach 2019 darin, dass die Betriebsräte und ihre Berater/-innen nicht wussten, wie genau diese Schutzmaßnahmen aussehen mussten. Naturgemäß wurde im „Arbeitgeberlager“ die Auffassung vertreten, dass die Standards gar nicht hoch genug anzusetzen seien.
2023: Bundesarbeitsgericht legt die ausreichenden Betriebsrats-Datenschutzstandards fest
Dieser Auffassung hat in einer für die Praxis sehr wichtigen Entscheidung im Mai 2023 das Bundesarbeitsgericht eine Absage erteilt (BAG vom 11. 5. 2023 – 1 ABR 14/22). Der Fall lag so, dass der Betriebsrat den Arbeitgeber erfolglos dazu aufforderte, ihm Auskunft über die Zahl und die konkreten Namen der im Betrieb beschäftigten schwerbehinderten und den Schwerbehinderten gleichgestellten Menschen zu erteilen. Das Auskunftsverlangen des Betriebsrats bezog sich also auch hier auf ein sogenanntes „sensitives“ Datum, zu denen auch die Schwerbehinderteneigenschaft gehört (Art. 9 DSGVO).
Exkurs: Warum wollte der Betriebsrat die Schwerbehinderteneigenschaft in Erfahrung bringen?
Der Betriebsrat wollte gem. § 176 Satz 2 SGB IX darauf achten, dass die in §§ 154, 155 und §§ 164 bis 167 SGB IX geregelten Pflichten vom Arbeitgeber erfüllt werden (Übersicht von Franz-Josef Düwell, Arbeitsrecht im Betrieb 3/2024, ab Seite 22):
Das Bundesarbeitsgericht bejahte die Existenz des auf die Benennung der geforderten Daten bezogenen Informationsanspruch des Betriebsrats und prüfte das vom Betriebsrat im Verfahren erläuterte von ihm selbst praktizierte Datenschutzkonzept. Der Betriebsrat hatte nämlich mit Blick auf die „Schwangeren-Entscheidung“ aus dem Jahr 2019 ein Datenschutzkonzept beschlossen.
Das Bundesarbeitsgericht hat das im Fall vom Betriebsrat praktizierte Konzept als ausreichend angesehen. Welche Schutzmaßnahmen der Betriebsrat aus dem Katalog des § 22 Abs. 2 Bundesdatenschutzgesetz seinem Konzept zugrunde legt, stünde in seinem Ermessen. Er müsse nicht alle dort aufgeführten Maßnahmen umsetzen und er sei auch nicht auf diese beschränkt. Wichtig sei allerdings, dass die getroffenen Maßnahmen mit Blick auf das Vertraulichkeitsinteresse der Beschäftigten angemessen seien, tatsächlich auch umgesetzt werden würden und im Ergebnis den in § 22 Abs. 2 BDSG aufgeführten Kriterien entsprechen würden. Ein gewisser Bewertungsspielraum steht dem Betriebsrat in diesem Zusammenhang zu.
Datenschutzkonzept des Betriebsrats - vom Bundesarbeitsgericht gebilligt
Der Betriebsrat hatte folgende für ausreichend erachtete Schutzmaßnahmen getroffen und auch praktiziert:
Was muss das Konzept nicht umfassen?
Der Arbeitgeber hatte in dem Verfahren den Einwand erhoben, dass dieses Konzept nicht ausreichen würde. Das Bundesarbeitsgericht betonte, dass dieser Einwand angesichts der Tatsache, dass der Grad und der Grund der Gleichstellung bzw. Schwerbehinderung nicht abgefordert worden sei, nicht gerechtfertigt sei. So sei der Betriebsrat nicht gehalten, ein absolutes Verbot der Speicherung personenbezogener Daten auf mobile Datenträger vorzusehen. Den im Datenschutzkonzept enthaltenen Zustimmungsvorbehalt in Beug auf den Betriebsratsvorsitzenden in Verbindung mit einer Passwortsicherung und der Formatierung nach Aufgabenerledigung erachtete das Bundesarbeitsgericht für ausreichend. Auch die Regelungen zu Löschungen waren nach Meinung des Bundesarbeitsgerichts ausreichend, da der Betriebsrat für sämtliche Verarbeitungszwecke bestimmte Speicherbegrenzungen festlegt hatte. Wichtig ist auch, dass der Betriebsrat nicht verpflichtet sei, ein Datenverarbeitungsverzeichnis nach Art. 30 DSGVO zu erstellen oder eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen. Dies seien keine notwendigen spezifischen Schutzmaßnahmen.
Was bedeutet das für die Praxis?
Der Betriebsrat sollte im Rahmen einer Bestandsaufnahme feststellen, welche personenbezogene Daten – bzw. sogar „sensitiven“ Daten gem. Art. 9 DSGVO – in die Einflusssphäre des Betriebsrats gelangen, wie und zu welchem Zweck sie von wem wann verarbeitet und wo sie gespeichert werden.
Wichtig ist sodann, dass der Betriebsrat ein konkretes Datenschutzkonzept entwickelt und beschließt und die tatsächliche Umsetzung durchführt und überwacht und hierfür auch konkrete Zuständigkeiten festlegt.
Raphael Lugowski weist zurecht in „Computer und Arbeit“, Heft 2/2024, Seite 15 ff. auf Folgendes hin: „Im Standard-Datenschutzmodell der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder sind ausgehend von einzelnen, aus der DSGVO abgeleiteten Gewährleistungszielen technische und organisatorische Maßnahmen zur Umsetzung beschrieben. Auch wenn der Betriebsrat keine verantwortliche Stelle ist, bietet das Modell eine gute Grundlage für die Ausarbeitung eines individualisierten angemessenen Datenschutzkonzepts für die Betriebsratsarbeit. Das Standard-Datenschutzmodell findet sich hier: https://datenschutzkonferenz-online.de/anwendungshinweise.html. Die fortschreitende Digitalisierung kann zusätzliche Schutzmaßnahmen erforderlich machen, beispielsweise, wenn personenbezogene Daten cloudbasiert verarbeitet und gespeichert werden sollen. Der Verschlüsselung von Daten (Transportverschlüsselung, serverseitige Verschlüsselung, Festplattenverschlüsselung etc.) kommt dann besondere Bedeutung zu. Immer im Blick zu behalten sind dabei die Datenschutzgrundsätze nach Art. 5 DSGVO, auf die sich das BAG in der vorliegenden Entscheidung mehrfach bezieht.“
Fazit
Das Bundesarbeitsgericht hat mit dieser Entscheidung aus dem Jahr 2023 „dir Kirche im Dorf gelassen“ und verlangt von den Betriebsräten nichts Unmögliches oder gar nur Übermäßiges. Ein hinreichendes, aber auch machbares Datenschutzkonzept muss her. Betriebsräte können sich hierzu beraten lassen und nutzen ihre guten Kontakte zu den Gewerkschaftssekretären/-innen der IG-Metall-Geschäftsstelle.
Zur Abrundung ein paar Lesetipps:
Häufiges Praxisproblem: Weitergabe von Daten an Dritte?
Abschließend soll noch zu einer in der Praxis sehr häufig gestellten Frage etwas gesagt werden. Betriebsräte möchten nach Erhalt bestimmter Informationen vom Arbeitgeber nicht selten personenbezogene (sehr selten: auch die „sensitiven“ Daten) an Dritte (andere Beschäftigte, Vorträge auf Betriebsversammlungen, Beantwortung von Anfragen von Rechtsanwälten, Informationsbitte einer Gewerkschaft etc.) weitergeben. Hierzu muss deutlich gesagt werden:
Ohne eine einzelfallbezogene Zustimmung (Einwilligung) der Betroffenen ist diese Weitergabe von personenbezogenen Informationen datenschutzrechtlich nicht zulässig. Eine Zuwiderhandlung kann auch strafrechtliche und schadensersatzrechtliche Folgen haben.
In der Literatur ist lediglich mit Blick auf die verfassungsrechtlich in Art 9 Abs. 3 GG verankerte Sonderstellung der Gewerkschaften Folgendes weitgehend anerkannt (vgl. Wolfgang Däubler, Interessenvertretung durch Betriebsrat und Gewerkschaften im digitalen Betrieb, HSI-Schriftenreiche Band 41, 2022, S. 65 bis 68): Um Beschäftigte werbend und informierend anzuschreiben, dürfen Betriebsräte an Gewerkschaften ihnen bekannte und legal erlangte Mail-Adressen (und wohl auch Post-Anschriften) von Nicht-Mitgliedern weitergeben, damit die Gewerkschaften – soweit nicht die Betroffenen ausdrücklich der Übersendung von Informationen widersprochen haben (Rechtsgedanke: Art. 21 Abs. 2 DSGVO) – diesen sodann Material zuzusenden. Für Mitglieder gibt es ohnehin kein Problem, weil diese mit ihrer Organisationsmitgliedschaft eingewilligt haben). Diese Einschätzung beruht auf einer grundrechtsfreundlichen Auslegung des Art. 6 Abs. 1 Buchstabe f) DSGVO. Eine höchstrichterliche und somit belastbare Entscheidung des Bundesarbeitsgerichts hierzu liegt allerdings noch nicht vor. Diese Aspekte abwägend sollte ein Betriebsrat genau prüfen, welche Daten er an wen weitergibt. Er sollte aber auch nicht übervorsichtig agieren, um gewerkschaftliche Spielräume nicht unnötig einzuschränken.