Der Betriebsrat und der Datenschutz
Schutzpflichten des Betriebsrates – Keine Datenweitergabe an ihn ohne entsprechende Schutzmaßnahmen
Verlangt der Betriebsrat gemäß § 80 Abs.2 Satz 1 BetrVG Auskunft über sensitive Arbeitnehmerdaten, muss er angemessene und spezifische Maßnahmen des Datenschutzes treffen. Dies entschied das BAG in seinem Beschluss vom 09.04.2019, 1 ABR 51/17. Im Folgenden wird die Entscheidung des BAG zusammengefasst und in einem zweiten Schritt näher darauf eingegangen, welche Vorkehrungen des Datenschutzes Betriebsräte treffen müssen, um die Auskunft sensitiver Arbeitnehmerdaten geltend machen zu können.
I. Sachverhalt
Die Arbeitgeberin ist ein Luft- und Raumfahrunternehmen, in deren Betrieb in M. der antragstellende Betriebsrat gewählt ist. Diesen informierte die Arbeitgeberin in der Vergangenheit darüber, welche Arbeitnehmerin ihre Schwangerschaft angezeigt hat. Seit Mitte 2015 räumt sie den schwangeren Arbeitnehmerinnen die Möglichkeit ein, der Weitergabe dieser Information an den Betriebsrat fristgebunden zu widersprechen. Hierfür verwendet sie ein Musteranschreiben, das auszugsweise lautet:
„Sollten wir bis … von Ihnen keine Rückmeldung erhalten, werden wir den Betriebsrat über Ihre Schwangerschaft und die damit verbundenen Mutterschutzfristen informieren.“
Der Betriebsrat war damit nicht einverstanden. Seiner Meinung nach waren seine Informations- und Kontrollrechte vorrangig gegenüber dem Interesse der Arbeitnehmerinnen an der Geheimhaltung ihrer schwangerschaftsbezogenen Gesundheitsdaten.
Das Arbeitsgericht München (Beschluss vom 08.03.2017, 24 BV 138/16) und das Landesarbeitsgericht (LAG) München (Beschluss vom 27.09.2017,11 TaBV 36/17) gaben dem Betriebsrat Recht. Daraufhin zog der Arbeitgeber vor das BAG.
II. Entscheidung des BAG
Das BAG hob den Beschluss auf und verwies die Sache an das LAG zurück. Es führte zunächst die Voraussetzungen des allgemeinen Auskunftsanspruches gem. § 80 Abs. 2 BetrVG auf:
„Nach § 80 Abs. 2 S. 1 BetrVG hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Hieraus folgt ein entsprechender Anspruch des Betriebsrats, soweit die begehrte Information zur Aufgabenwahrnehmung erforderlich ist. Anspruchsvoraussetzung ist damit zum einen, dass überhaupt eine Aufgabe des Betriebsrats gegeben ist, und zum anderen, dass im Einzelfall die begehrte Information zur Wahrnehmung der Aufgabe erforderlich ist. Dies hat der Betriebsrat darzulegen.“
Seiner Darlegungspflicht kommt der Betriebsrat nicht bereits dann nach, wenn er allgemein auf seine Aufgabe zur Überwachung der zugunsten der Arbeitnehmer geltenden Gesetze gem. § 80 Abs. 1 Nr. 1 verweist. Vielmehr müsse er die die konkrete normative Arbeitsschutzvorgabe aufzeigen, deren Durchführung er zu überwachen hat und die sein Auskunftsverlangen tragen soll. Dies hatte der Betriebsrat nicht getan.
Darüber hinaus muss der Betriebsrat, gemäß § 26 Abs.3 Satz 3 BDSG i.V.m. § 22 Abs. 2 BDSG darlegen, dass er für einen ausreichenden Datenschutz in seinem Verantwortungsbereich sorgt. Datenschutzrechtliche Vorgaben des Arbeitgebers an die Adresse des Betriebsrats sind laut BAG aufgrund der Unabhängigkeit des Betriebsrats ausgeschlossen. Daher trifft den Betriebsrat eine eigenständige Schutzpflicht bezogen auf die von ihm verlangten sensitiven Arbeitnehmerdaten wie z.B. die eigene Schwangerschaft.
III. Welche Schutzmaßnahmen muss der Betriebsrat treffen?
In der Entscheidung des BAG heißt es:
„Umfasst ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG eine besondere Kategorie personenbezogener Daten (sensitive Daten im datenschutzrechtlichen Sinn), ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft.“
Zu den sensitiven Daten im datenschutzrechtlichen Sinne gehören die Schwanger-schaft, die rassische und ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung (Artikel 9 Abs. 1 DS-GVO, Artikel 4 Nr. 15 DS-GVO).
Ferner erklärt das BAG, dass die in § 22 Abs. 2 Nr. 1 bis Nr. 10 BDSG aufgeführten Schutzmaßnahmen eine beispielhafte Aufzählung darstellen, die keineswegs abschließend sind. Deshalb muss es sich bei den vom Betriebsrat zu treffenden und bei einem auf sensitive Daten gerichteten Auskunftsverlangen darzulegenden Schutzvorkehrungen nicht um die ausdrücklich in § 22 Abs. 2 Nr. 1 bis Nr. 10 genannten Maßnahmen handeln. Bei der Verarbeitung sensitiver Daten im datenschutzrechtlichen Sinne, hat der Betriebsrat aber Schutzmaßnahmen zu ergreifen, die bei wertender Betrachtung, den in § 22 Abs. 2 BDSG aufgelisteten Kriterien entsprechen.
Zu solchen Schutzmaßnahmen gehören laut BAG:
– das zuverlässige Sicherstellen des Verschlusses der Daten
– die Gewähr begrenzter Zugriffsmöglichkeiten
– die Beschränkung des Zugriffes auf einzelne Betriebsratsmitglieder
– die Datenlöschung nach Beendigung der Überwachungsaufgabe
Weitere, in Anlehnung an § 22 Abs. 2 Nr. 10 BDSG denkbare Schutzmaßnahmen wären:
– die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten Betriebsräte
– die Pseudoanonymisierung personenbezogener Daten.