"Am 25.5.18 sind die DSGVO und das neu gefasste BDSG in Kraft getreten. Seitdem werden die bisherige Rspr. des BAG zur Stellung des BR im Rahmen des Datenschutzes sowie die daraus resultierenden mangelnden Kontrollbefugnisse der betrieblichen Datenschutzbeauftragten in Frage gestellt.

In der bisherigen Rspr. wurde der BR nicht als verantwortliche Stelle angesehen, sondern als Teil derselben. Zentraler Anknüpfungspunkt ist der Begriff des »Verantwortlichen« iSd. Art. 4 Nr. 7 DGSVO. In der Lit. wird der BR mit Verweis auf Wortlaut des Art. 4 Nr. 7 DGSVO BR teilweise als »Verantwortlicher« iSd. DSGVO ansehen. Zudem wird auf den Anwendungsvorrang der DSGVO verwiesen, die die Sonderstellung des BR nach dem BetrVG ablöse. Andere in der Lit. kommen zum Ergebnis, dass der BR als »Teil der Verantwortlichen« iSd. DSGVO weiter wie bisher zu bewerten sei. Hauptargumente sind hier, dass der BR aufgrund seiner fehlenden Rechtsfähigkeit nur »Teil der Verantwortlichen Stelle« sein könne. Der BR könne nicht frei über seine Datenverarbeitung und deren Zwecke entscheiden. Der AG gebe regelmäßig die jeweilige IT Strukturen vor. Der Zweck der Datenverarbeitung durch den BR sei durch das BetrVG geregelt, unter den Vorgaben seiner Mitbestimmungs- und Beteiligungsrechte. Das BAG hat 2019 entschieden, dass dem BR Auskunftsrechte z. B. aus § 80 BetrVG zustehen und nicht mit Hinweis auf Datenschutz anonymisiert oder gar vorenthalten werden können.

Der Beitrag thematisiert, ob der BR der Kontrolle durch den Datenschutzbeauftragten unterliegt. Art. 82 Abs. 2 S. 1 DGSVO knüpft die zivilrechtliche Haftung an den Begriff des Verantwortlichen. Die Rspr. zur Haftung des BR wird aufgezeigt, auch die problematische Entscheidung des BGH v. 25.10.2012. Bei Abwägung der Argumente spricht vieles dafür, dass der BR wie bisher Teil der verarbeitenden Stelle ist. Er hat aber, wie das BAG verlangt, im Rahmen eines Datenschutzkonzeptes dafür zu sorgen, dass die DGSVO im BR-Büro eingehalten wird. Soweit der BR eigene Dateien erstellt und verarbeitet, erfolgt dies ausschließlich im Rahmen seiner Aufgaben und Beteiligungsrechte nach dem BetrVG. Der AG gibt die IT-Struktur vor und der BR bewegt sich darin. Der drohenden Haftung seitens des AG hält der Autor entgegen, dass das Haftungsrisiko bei einem vorhandenen Datenschutzkonzept des BR, das eingehalten und dokumentiert wird minimal ist. Es spricht alles dafür, den BR als Teil der Verantwortlichen Stelle anzusehen.

Works Council as Part of the Responsible in Terms of the DSGVO (General Data Protection Regulation

On 25/05/2018 the DSGVO and the amended text of the BDSG [= federal data privacy act] entered into force. Since then previous case law of the BAG [German Federal Labour Court] relating to the position of works council in the context of data privacy as well as resulting lack of monitoring rights on part of company's data privacy commissioner are put into question.

In previous case law, the works council has not been considered as responsible body, but as part of it. Central point of contact here is the term »responsible body« in the meaning of Article 4 no. 7 DSGVO. In some references the works council is partly considered as »responsible body“ in the meaning of the DSGVO with reference to the wording of Article 4 no. 7 DSGVO. Furthermore, it is indicated to the primacy in application of the DSGVO which renders works council's exceptional position under the BetrVG [Works Constitution Act] obsolete. Other authors are of the opinion that the works council as «part of the responsible body“ in the meaning of the DSGVO should still be considered as before. Here the major point is that the works council – due to its lacking legal capacity – cannot be more than a «part of the responsible body«. Works council cannot freely decide about its data processing and related purposes. Employer stipulates relevant IT structures as a rule. The purpose of data processing by works council is subject to the BetrVG, including provisions relating to codetermination rights and participation rights. In 2019, the BAG held that the works council is entitled to be informed, e.g. under § 80 BetrVG, and that such information must not be anonymized, or even kept from works council with reference to data privacy.

The article addresses the topic of whether works council is subject to monitoring by a data privacy commissioner. Article 82 (2) sentence 1 DSGVO links civil law liability with the term of the responsible body. Case law with respect to works council's liability is illustrated, including the problematic ruling of the BGH [Federal Court of Justice] dated 25/10/2012. When balancing pros and cons, much speaks in favour of the opinion that the works council is still part of the processing body. But works council itself – as demanded by BAG – has to take care that the DSGVO is complied with in the works council's office in the context of a data privacy concept. To the extent works council prepares and processes own data, such must exclusively be done in the context of its tasks and participation rights under the BetrVG. Employer stipulates the IT structure, and works council must not step beyond its boundaries. The author addresses the issue of threatening liability on part of employer by saying that the risk of being held liable is reduced to an absolute minimum as long as a data privacy concept of works council exists, and is complied with, and documented. Everything suggests to consider works council as part of the «responsible body“."

Support: Digital