Wer haftet, wenn der Betriebsrat gegen den Datenschutz verstößt?

Nicht nur Arbeitgeber, sondern auch Betriebsräte müssen ihre datenschutzrechtlichen Pflichten erfüllen, sammeln sie doch eine Vielzahl von Beschäftigtendaten. Fraglich ist, ob und wie sie haften, wenn sie gegen den Datenschutz verstoßen.

Doppelte Verpflichtung des Betriebsrats
Der Betriebsrat muss den Arbeitgeber dahingehend überwachen, dass er den Beschäftigtendatenschutz einhält (§§ 75 Abs. 2 S. 1, 80 Abs. 1 Nr. 1 BetrVG).

Auch bei seiner eigenen Arbeit muss er Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BSDG) einhalten, wenn er Beschäftigtendaten erhebt, verarbeitet oder nutzt (beispielsweise Geburtstagslisten, Mitarbeiterumfragen).

Doppelte Kontrolle des Betriebsrats
Im Unternehmen kontrolliert der betriebliche Datenschutzbeauftragte den Betriebsrat (Art. 39 Abs. 1 lit. b DSGVO), soweit der Arbeitgeber die dafür notwendigen Kriterien erfüllt (Art. 37 DSGVO i.V.m. § 38 BDSG) und diesen ernennen muss. Damit der Betriebsrat gegenüber dem Arbeitgeber weiterhin unabhängig bleibt, arbeitet der Datenschutzbeauftragte unabhängig und weisungsfrei (§ 38 Abs. 3 DSGVO). Er ist dem Arbeitgeber gegenüber hinsichtlich der Beschäftigtendaten zur Verschwiegenheit verpflichtet (Art. 38 Abs. 5 DSGVO i.V.m. §§ 38 Abs. 2 S. 1, 6 Abs. 5 S. 2, Abs. 6 BDSG).

Darüber hinaus kontrolliert die jeweils für das Bundesland zuständige Aufsichtsbehörde (§ 40 Abs. 1 BDSG) den Betriebsrat. Sie darf sein Büro betreten und Besichtigungen vornehmen, insbesondere Datenverarbeitungsanlagen und -geräte prüfen (§ 40 Abs. 5 BDSG). Verstößt der Betriebsrat gegen den Datenschutz, darf die Behörde die betroffenen Personen davon unterrichten und den Verstoß bei der dafür zuständigen Stelle anzeigen (§ 40 Abs. 3 BDSG).

Haftung des Betriebsrats
Bei einem Verstoß gegen den Datenschutz drohen hohe Bußgelder (Art. 83 DSGVO), die bis zu mehrere Millionen Euro betragen können.

Der Gesetzgeber hat auch neue Bußgeld- und Straftatbestände geschaffen, die Geldbußen bzw. Geld- oder Freiheitsstrafe von bis zu drei Jahren vorsehen (§§ 42, 43 BDSG).

Ferner kann jeder Verstoß gegen die DSGVO, der zu einem Schaden führt, eine Schadensersatzpflicht auslösen (Art. 82 DSGVO). Reicht die betroffene Person dann Klage ein, muss sie bloß darlegen, dass der Beklagte personenbezogene Daten verarbeitet hat. Der Beklagte muss dagegen umfassend nachweisen, dass er den Datenschutz einhält.

Ebenso sind Schadensersatzansprüche aus Vertrag, unerlaubter Handlung oder vorsätzlicher sittenwidriger Schädigung (§§ 823, 826 BGB) möglich.

Doch haftet bei einem Verstoß gegen den Datenschutz der gesamte Betriebsrat, nur einzelne Mitglieder oder der Arbeitgeber?

Strafbar bzw. bußgeldpflichtig sind in den Fällen der §§ 42 und 43 BDSG nur die einzelnen Betriebsratsmitglieder.

Anders verhält es sich bei Verstößen gegen Art. 82, 83 DSGVO:

Entscheidet der Betriebsrat darüber, ob, wofür und inwieweit er Beschäftigtendaten verarbeitet und handelt er weisungsfrei (beispielsweise Führung eigener Personalakten, Durchführung von Mitarbeiterbefragungen), ist er bei Verstößen Bußgeldadressat.

Wacht der Betriebsrat als Kontrollorgan über den Arbeitgeber und prüft er ihn nur auf die Einhaltung des Datenschutzes, entscheidet er nicht selbst über Zweck und Mittel der Datenverarbeitung. Bei Verstößen ist daher der Arbeitgeber Bußgeldadressat.

Einzelne Betriebsratsmitglieder können auch deliktisch haften (§§ 823 Abs. 2, 826 BGB). Die Haftung scheidet aber regelmäßig aus, weil das Mitglied bei der Datenverarbeitung als Betriebsrat handelt und sein Handeln dann nur nach den Vorgaben des BetrVG geahndet wird.

Liegt grundsätzlich eine Haftung des Betriebsrats vor, fragt sich auch, gegen wen sich ein Schadenersatzanspruch oder Bußgeldbescheid etc. richtet.

Basiert der Datenschutzverstoß auf einem Betriebsratsbeschluss, haften die Mitglieder als Gesamtschuldner, die den Beschluss unterstützt haben. Beruht der Verstoß auf dem Handeln einzelner Betriebsratsmitglieder, haften allein diese.

Betriebsräte sollten daher auch bei ihrer eigenen Arbeit den Datenschutz einhalten, um einer Haftung zu entgehen.

Sie sollten Maßnahmen schaffen, um die geltenden Regelungen einzuhalten. So können sie etwa eine Person benennen, die den Datenschutz sicherstellt und regelmäßig überprüft. Sie sollten darauf bestehen, dass der Arbeitgeber sie in Löschkonzepte, Vorsichtsmaßnahmen zur Sicherung des Datenschutzes oder Meldeverfahren bei Datenpannen einbezieht, damit der Datenschutz im gesamten Betrieb einheitlich ist und nicht vor der Tür des Betriebsratsbüros aufhört.

Sollte das Thema Datenschutz bislang in Ihrem Betrieb keine Aufmerksamkeit gefunden haben, stehen wir Ihnen dabei gerne beratend zur Seite. Darüber hinaus bieten wir dazu auch inhouse und online Schulungen an. Wenn wir Ihr Interesse geweckt haben, können Sie sich gerne bei uns melden.