Eine aktuelle Entscheidung des BAG (Beschluss vom 9. Mai 2023 – 1 ABR 14/22) verbindet gleich zwei besonders praxisrelevante Themen miteinander: Das BAG entschied zum einen über das Informationsrecht des Betriebsrats über die Schwerbehinderung von Arbeitnehmern sowie leitenden Angestellten. Zum anderen befand es über den praktischen Umgang mit personenbezogenen Daten im Verhältnis der Betriebsparteien zueinander und reagierte damit zugleich auf den EuGH (Urteil vom 30. März 2023 – C-34/21).
Sachverhalt
Die Beteiligten stritten über einen Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 S. 1 Hs. 1 BetrVG in Bezug auf die Übermittlung eines Verzeichnisses aller im Betrieb und Unternehmen beschäftigten schwerbehinderten und diesen gleichgestellten Menschen. Die Arbeitgeberin teilte auf die Anfrage des Betriebsrats lediglich mit, dass der Schwellenwert für die Wahl einer Schwerbehindertenvertretung im Betrieb erreicht sei. Der Betriebsrat meinte, die Arbeitgeberin sei verpflichtet, ihm Auskunft über Anzahl und Namen der im Betrieb beschäftigten schwerbehinderten und ihnen gleichgestellten behinderten Menschen zu erteilen. Er müsse überwachen können, ob die Arbeitgeberin ihre Pflichten gegenüber diesen Menschen erfülle. Zudem müsse der Betriebsrat darauf hinwirken können, eine Schwerbehindertenvertretung zu wählen. Dies sei nur möglich, wenn ihm bekannt sei, welche Arbeitnehmer schwerbehindert oder einem schwerbehinderten Menschen gleichgestellt seien. Die Arbeitgeberin vertrat die Auffassung, ein solcher Auskunftsanspruch bestehe nicht. Jedenfalls stünde der Datenschutz einem solchen Auskunftsanspruch entgegen. Insbesondere sei das Datenschutzkonzept des Betriebsrats unzureichend. Der Betriebsrat beantragte u.a. die Arbeitgeberin zur Auskunft zu verpflichten. Das Arbeitsgericht gab den Anträgen statt, das Landesarbeitsgericht wies die Beschwerde der Arbeitgeberin zurück.
Entscheidung
Das BAG schloss sich der Rechtsauffassung des LAG an. Hiernach hat der Betriebsrat nach § 80 Abs. 2 S. 1 Hs. 1 BetrVG einen Anspruch auf Auskunft über die Namen der schwerbehinderten und ihnen gleichgestellten Arbeitnehmer als Teil seiner Überwachungsaufgabe:
- Der Betriebsrat muss seine Überwachungsaufgabe (Förderung der Eingliederung schwerbehinderter Menschen, Achtung der Beschäftigungspflicht, behindertengerechte Gestaltung des Arbeitsplatzes etc.) erfüllen können, wozu er die personenbezogenen Daten benötigt. Der Aufgabenbezug ergibt sich aus § 80 Abs. 1 Nr. 4 BetrVG iVm. § 176 S. 1 und S. 2 Hs. 1, § 164 Abs. 4 S. 1 Nr. 1, 4, 5 sowie Abs. 5 S. 3 SGB IX.
- Die Aufgabe in § 80 Abs. 1 Nr. 4 BetrVG erstreckt sich auch auf leitende Angestellte i.S.v. § 5 Abs. 3 BetrVG.
- Der Auskunftsanspruch ist nicht davon abhängig, dass die betroffenen Arbeitnehmer ihr Einverständnis in die Weitergabe erklärt haben.
Das Datenschutzrecht steht dem Auskunftsanspruch des Betriebsrats nicht entgegen:
- Die Weitergabe der Daten an den Betriebsrat ist zulässig. Rechtsgrundlage für die Erfüllung von Rechten des Betriebsrats ist § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG sowie § 26 Abs. 1 S. 1 BDSG. Die Vorschriften sind insoweit nach Auffassung des BAG mit Unionsrecht vereinbar. Zwar wahrt § 26 Abs. 1 S. 1 BDSG die Vorgaben von Art. 88 Abs. 2 DSGVO nicht (in diese Richtung bereits EuGH, Urteil vom 30. März 2023 – C-34/21), weil die nationale Regelung keine Schutzmaßnahmen vorsieht. Geht es aber – wie hier – darum, dass der Arbeitgeber gegenüber dem Betriebsrat gesetzliche Pflichten erfüllen muss, erfüllt die Rechtsgrundlage die Voraussetzungen anderer Vorschriften der DSGVO (Art. 9 Abs. 2 Buchst. b DSGVO bzw. Art. 6 Abs. 1 Buchst. c, Abs. 3 DSGVO).
- Das Datenschutzniveau ist nicht durch die Weitergabe der Daten an den Betriebsrat gefährdet. § 79a S. 2 BetrVG weist die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat dem Arbeitgeber zu. Der Betriebsrat ist unabhängig davon verpflichtet, den Datenschutz einzuhalten und eigenverantwortlich technische und organisatorische Maßnahmen in seinem Zuständigkeitsbereich umzusetzen. Die gegenseitige Unterstützungspflicht der Betriebsparteien (§ 79a S. 3 DSGVO) ermöglicht es nach Auffassung des BAG dem Arbeitgeber, trotz der prinzipiellen Unabhängigkeit des Betriebsrats, seine Pflichten aus der DSGVO zu erfüllen. Der Betriebsrat ist verpflichtet, an der Erfüllung der datenschutzrechtlichen Pflichten des Arbeitgebers mitzuwirken.
- Die Verarbeitung personenbezogener Daten setzt die Erforderlichkeit der Datenverarbeitung voraus, sodass die widerstreitenden Grundrechtspositionen im Wege praktischer Konkordanz sowie über eine Verhältnismäßigkeitsprüfung zu berücksichtigen sind. Diese Anforderungen erfüllt eine Datenverarbeitung, wenn sie zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten und damit einer „aus dem Arbeitsrecht“ (§ 26 Abs. 3 S. 1 BDSG) resultierenden Pflicht des Arbeitgebers – hier: die Pflicht zur Auskunft nach § 80 Abs. 2 S. 1 BetrVG – erforderlich ist.
- Im konkreten Fall traf der Betriebsrat nach dem BAG hinreichende Schutzvorkehrungen (§ 26 Abs. 3 S. 3 iVm. § 22 Abs. 2 BDSG) und legte sein Datenschutzkonzept hinreichend dar. Der Betriebsrat ist weder auf die im Gesetz genannten Schutzmaßnahmen beschränkt, noch muss er sämtliche dort genannten Maßnahmen ergreifen. Welche Maßnahmen erforderlich sind, ist vom Einzelfall und den Kategorien betroffener Daten abhängig. Maßgeblich ist lediglich, dass sich die Maßnahmen an den Kriterien in § 22 Abs. 2 BDSG orientieren und das Vertraulichkeitsinteresse der Betroffenen achten. Da es im konkreten Fall (nur) um die Namen der im Betrieb beschäftigten schwerbehinderten und ihnen gleichgestellten Arbeitnehmer ging, genügte das Konzept des Betriebsrats insgesamt diesen Anforderungen.
Fazit und Praxishinweis
Die beiden Kernthemen der Entscheidung sind sowohl für Personalverantwortliche im täglichen Umgang mit dem Betriebsrat, als auch für Datenschutzrechtler von großer Bedeutung. Arbeitgeber und beratende Praxis sollten die Entscheidung daher unbedingt kennen.
Die Reichweite des Auskunftsanspruchs des Betriebsrats zur Erfüllung seiner Überwachungsaufgabe wirft in der betrieblichen Praxis täglich Fragen auf. Der Auskunftsanspruch gehört zum klassischen Beratungsfeld. Das BAG folgt hier zunächst den üblichen Grundsätzen. Die Ausführungen sind an zwei Stellen kritisch zu sehen: Zum einen ist nicht nachvollziehbar, warum der Betriebsrat, in Anlehnung an die BAG-Rechtsprechung zu Namen schwangerer Mitarbeiterinnen (BAG, Beschluss vom 9. April 2019 – 1 ABR 51/17), die konkrete Aufgabe und die Erforderlichkeit der Klarnamensnennung nicht noch genauer darlegen musste. Zum anderen ist bemerkenswert, dass der Auskunftsanspruch auch die Namen von leitenden Angestellten i.S.v. § 5 Abs. 3 BetrVG umfassen soll. Leitende Angestellte nehmen unternehmerische Aufgaben wahr und sollen deshalb der Einwirkung des Betriebsrats entzogen sein. Die Vorschriften des BetrVG gelten für sie deshalb nur, soweit dies ausdrücklich bestimmt ist (§ 5 Abs. 3 S. 1 BetrVG), wie z. B. in § 105 BetrVG bei der Einstellung eines leitenden Angestellten, über die der Betriebsrat zu informieren ist. Leitende Angestellte werden im Übrigen durch ein eigenes Organ – den Sprecherausschuss – repräsentiert. Kritisch zu bewerten ist die Entscheidung insbesondere deshalb, weil sie nun – bezogen auf die leitenden Angestellten – zu der ungünstigen Situation führt, dass das eigentliche Mitbestimmungsziel und die vom Betriebsrat gehaltenen Informationen noch weiter auseinanderfallen.
Aus praktischer Perspektive müssen Personalverantwortliche/Arbeitgeber künftig möglicherweise ihre Datenschutzinformationen anpassen, jedenfalls soweit sie z.B. die Datenverarbeitung für Zwecke der Begründung oder der Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG) betreffen. Es war zu erwarten, dass das BAG nach der o.g. EuGH-Entscheidung von seiner bisherigen Linie (siehe BAG, Beschluss vom 7. Mai 2019 – 1 ABR 53/17) abrücken würde. Praxisrelevant ist jedoch vor allem die Erkenntnis, dass die Verarbeitung personenbezogener Daten von Beschäftigten durch Arbeitgeber weiterhin zulässig ist. Die Grenzen der Datenverarbeitung verschieben sich durch die Entscheidung nicht. Maßgebliches Recht ist aber die DSGVO. Die Verarbeitung personenbezogener Daten von Beschäftigten durch Arbeitgeber ist unter ihren Voraussetzungen, etwa nach Art. 6 Abs. 1 Buchst. b, c oder f, Abs. 3 DSGVO, zulässig. Soweit das BAG § 26 Abs. 1 S. 1, Abs. 3 BDSG über die genannten DSGVO-Vorschriften als taugliche Rechtsgrundlage für die Übermittlung der Daten an den Betriebsrat (Zwecke der Erfüllung des Rechts der Interessenvertretung) erklärt, sind die Vorgaben des Unionsrechts im Blick zu behalten.
In Bezug auf die Datenverarbeitung im Betriebsratsbüro gilt: Arbeitgeber müssen nicht nur ihre eigene Datenschutz-Compliance verfolgen. Sie müssen sich auch damit auseinandersetzen, ob der Betriebsrat seinen Datenschutzverpflichtungen gerecht wird. Denn Verstöße gegen die DSGVO können empfindliche Schadensersatz- und Bußgeldforderungen nach sich ziehen. Der Betriebsrat ist selbst an die Datenschutzvorschriften gebunden. Die Deutlichkeit der Entscheidung des BAG an diesem Punkt ist zu begrüßen. Der Betriebsrat ist deshalb verpflichtet, technische und organisatorische Maßnahmen zur Datensicherheit in Eigenverantwortung zu organisieren und diese gegenüber dem Arbeitgeber darzulegen. Für Arbeitgeber ist es daher ratsam, auf die hinreichende Darlegung des Datenschutzkonzepts durch den Betriebsrat zu bestehen. Die Entscheidung bietet jedenfalls eine erste Orientierung für die Betriebsparteien, wie ein ausreichendes Datenschutzkonzept des Betriebsrats und angemessene und spezifische Maßnahmen i.S.v. §§ 26 Abs. 3 S. 1, 22 Abs. 2 BDSG aussehen können. Entscheidend ist – wie so oft – der Einzelfall. Im Zweifel muss der Arbeitgeber bei unzureichenden oder fehlenden Maßnahmen die Auskunft verweigern. Dieses Recht hilft in der Praxis leider nicht immer. Ist der Arbeitgeber beispielsweise bei Betriebsänderungen nach § 111 BetrVG auf die Mitwirkung des Betriebsrats angewiesen, steht die (dann datenschutzrechtlich notwendige) Verweigerung von Informationen oder Auskünften gegenüber dem Betriebsrat der Umsetzung dieser Maßnahmen entgegen. Leider verhält sich das BAG nicht zu der praxisrelevanten Thematik, wie der Arbeitgeber die Datenschutzverpflichtung sowie notwendige Unterstützungshandlungen gegenüber dem Betriebsrat im Zweifel auch gerichtlich durchsetzen kann. Das kann z.B. bei Auskunfts- oder Löschverlangen betroffener Arbeitnehmer relevant sein. Es wäre wünschenswert gewesen, wenn das BAG hierzu klare Aussagen getroffen hätte. Gleiches gilt für Sanktionen des Arbeitgebers gegenüber dem Betriebsrat und dessen Mitgliedern, wenn sie gegen die DSGVO verstoßen. Ansätze liefert das BetrVG bei Verletzungen von Amtspflichten. Bei Vorliegen der gesetzlichen Voraussetzungen können Arbeitgeber beantragen, den Betriebsrat aufzulösen oder einzelne Mitglieder aus dem Gremium auszuschließen (§ 23 Abs. 1, Abs. 2 BetrVG). Abhängig vom konkreten Verstoß kann auch die außerordentliche Kündigung einzelner Betriebsratsmitglieder ein gangbarer Weg sein.