Das Bundesministerium für Arbeit und Soziales (BMAS) hat im Dezember letzten Jahres einen Referentenentwurf eines Gesetzes zur Förderung der Betriebsrats-wahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) vorge-legt. In dem Entwurf wird u. a. eine Regelung dargestellt, die die Frage klärt, ob der Betriebsrat Teil des Verantwortlichen oder selber Verantwortlicher i. S. daten-schutzrechtlicher Vorschriften ist.
Die vorgeschlagene Regelung eines anzufügenden § 79a BetrVG lautet:
„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschrif-ten über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der daten-schutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich ge-genseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“.
Bislang ist die Frage der datenschutzrechtlichen Einordnung des Betriebsrates in Literatur und Rechtsprechung umstritten. Durch die Neuregelung wäre sie zu-mindest für den Anwendungsbereich des Betriebsverfassungsgesetzes (BetrVG) geklärt. In der Entwurfsbegründung wird dies vor allem deshalb als sachgerecht bezeichnet, weil der Betriebsrat bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers agiert.
Der Entwurf betont auch, dass den Betriebsrat keine Verpflichtung trifft, selber ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Gleichzeitig soll aber das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten beim Betriebsrat beschreiben. Weiterhin habe der Betriebsrat in seinem Zustän-digkeitsbereich eigenverantwortlich die Umsetzung technisch-organisatorischer Maßnahmen zu gewährleisten.
Der Widerspruch, nach dem der Arbeitgeber Verantwortlicher ist, während der Betriebsrat innerorganisatorisch selbständig und weisungsfrei ist, soll durch Satz 2 der Neuregelung aufgelöst werden, indem dort die Betriebsparteien zu einer ge-genseitigen Unterstützung bei der Einhaltung von datenschutzrechtlichen Vor-schriften aufgefordert werden.
Auch wenn der Betriebsrat nicht Verantwortlicher ist, so ist er doch verpflichtet, datenschutzrechtliche Vorschriften einzuhalten. Dies ergibt sich nicht zuletzt aus § 75 Abs. 1 S. 1, § 80 Abs. 1 Nr. 1 BetrVG. Dort wird der Betriebsrat verpflichtet, darüber zu wachen, dass alle im Betrieb Tätigen nach den Grundsätzen von Recht und Billigkeit zu behandeln sind. Damit ist die geltende Rechtsordnung ge-meint. Wenn der Betriebsrat darauf zu achten hat, dass die zugunsten der Ar-beitnehmer geltenden Gesetze eingehalten werden, wird er durch diese Vorschrift auch selber verpflichtet. Die Betriebsparteien sind deshalb verpflichtet, sicherzu-stellen, dass es keinen datenschutzfreien Raum im Betrieb gibt. In der praktischen Umsetzung wird das bedeuten, dass der Betriebsrat datenschutzrechtliche Rege-lungen -entsprechend Verzeichnisse der Verarbeitungstätigkeiten, technisch or-ganisatorische Maßnahmen- festlegt und diese dem Arbeitgeber mitteilt. Der Ar-beitgeber als Verantwortlicher prüft diese ggf. unter Hinzuziehung des betriebli-chen Datenschutzbeauftragten auf Rechtskonformität. Weigert sich der Betriebs-rat solche Unterlagen zu erstellen, ist der Arbeitgeber berechtigt, dem Betriebsrat seine Beteiligungsrechte vorzuenthalten. Der Arbeitgeber muss innerorganisato-risch dafür sorgen, dass gesetzliche Regelungen beachtet werden. Andernfalls würde sich der Arbeitgeber rechtswidrig verhalten, wenn er personenbezogen Da-ten von Arbeitnehmer*innen dem Betriebsrat zur Verarbeitung übergibt, ohne zu wissen, wie dieser den erforderlichen Datenschutz gewährleistet.
Die mit dem Gesetzentwurf vorgeschlagene Ergänzung des BetrVG sorgt für die Klarstellung einer derzeit umstrittenen Rechtsfrage. Eine entsprechende Ergän-zung der MAVO durch einen sinngemäßen § 20 a wäre wünschenswert.