Dr. Bergmann zur DSGVO als Haftungsrisko für den Betriebsrat …?
Paukenschlag: Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Mitte Dezember 2019 hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.
Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge “keine hinreichenden technisch-organisatorischen Maßnahmen” zum Schutz von Kundendaten ergriffen.
Hintergrund des Ganzen ist eine aus Sicht der Aufsichtsbehörde vorgehaltenen zu einfachen Authentifizierungsverfahrens. Die Geldbuße bewege sich am unteren Rand des möglichen.
So weit, so gut. Aber was hat das jetzt mit dem Betriebsrat zu tun?
Nun, hält man sich vor Augen, dass die Geldbuße gegen die 1&1 Telecom GmbH – abstrakt gesprochen und vereinfacht ausgedrückt – verhängt wurde, weil gegen die Vorschriften der DSGVO verstoßen wurde, gesellt sich schnell ein anderer Fall hinzu, der in dieselbe Kerbe schlägt: In einem weiteren Verfahren ging es um die unterbliebene Benennung des betrieblichen Datenschutzbeauftragten. Dabei handelt es sich um den Telekommunikationsanbieter Rapidata, dieser wurde mit einem Bußgeld in Höhe von 10.000 Euro belegt, da die Firma ihrer “gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist”. Bei der Höhe der Sanktion habe man berücksichtigt, dass es sich um ein “Kleinstunternehmen” handele.
Wir halten also fest: 1&1 wird wegen zu lascher Sicherheitsstandards zu knapp 10 Mio€ verdonnert, Rapidata zu 10.000 Euro, weil ein Datenschutzbeauftragter nicht bestellt wurde.
Das Problem: Es wird zur Zeit heftig diskutiert, ob der Betriebsrat als “eigener Verantwortlicher” im Sinne der DSGVO gilt. Die Formulierung in Art. 4 Nr. 7 DSGVO legt dies nahe, heißt es doch dort, dass “Verantwortlicher” im Sinne der Vorschrift ist,
“… die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.” (Hervorhebung diesseits)
Zu bedenken: Wäre der Betriebsrat zukünftig als eigener Verantwortlicher im Sinne der DSGVO bzw. des BDSG anzusehen, hätte dies für die Praxis weitreichende Folgen:
- Der Betriebsrat wäre Adressat zahlreicher datenschutzrechtlicher Verpflichtungen, müsste also beispielsweise selbst die Mitarbeiter über seine Datenverarbeitung informieren, ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen, an ihn gerichtete Auskunftsansprüche der Mitarbeiter beantworten und eigene Löschkonzepte umsetzen.
- Jedenfalls größere Betriebsräte mit 20 oder mehr Mitgliedern (Merke: Neuregelung 20 statt bislang 10 seit 11/2019, vgl. § 38 I S. 1 BDSG n.F.) müssten einen eigenen Datenschutzbeauftragten bestellen(!). Achtung: Dabei ist keineswegs Entwarnung für Gremien mit einer Größe unterhalb von 20 angesagt. Denn ein Datenschutzbeauftragter muss auch bei kleineren Größen (“schwellenwertunabhängig”) dann bestellt werden, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung unterliegen (Art. 35 DSGVO) und hierunter fallen z.B. auch Gesundheitsdaten (Art. 9 DSGVO). Und ebensolche Gesundheitsdaten werden nicht unerheblich im Rahmen des sogen. Betrieblichen Eingliederungsmanagements verarbeitet, auch BEM genannt. Oder im Rahmen der Arbeit der Schwerbehindertenvertretung.
- Der Betriebsrat wäre als datenschutzrechtlich Verantwortlicher insoweit auch als rechtsfähig einzustufen und könnte im Falle eines Datenschutzverstoßes Adressat eines entsprechenden Bußgeldbescheides sein. Zwar ist der Betriebsrat als Gremium grundsätzlich nicht vermögensfähig, die Haftung könnte allerdings zumindest bei grob fahrlässigen Datenschutzverstößen einzelne Betriebsratsmitglieder treffen.
Heißt dies nun, dass Betriebsräte demnächst einen Bußgeldbescheid befürchten müssen? Laut Dr. Bergmann ist dies nicht von vornherein ausgeschlossen. Aus der Netzwerkarbeit wisse man, dass im Prüfkatalog manch einer Aufsichtsbehörde auch eine Frage enthalten ist, ob es
(a) einen Betriebsrat gibt, der
(b) mehr als zehn Mitglieder habe bzw. die Verarbeitung von Gesundheitsdaten betreibe.
Solch eine Frage in einem Prüfkatalog der Aufsichtsbehörde kommt nicht von ungefähr. Natürlich ist klar, dass der Betriebsrat selbst nicht vermögensfähig ist. Aber seit der Entscheidung des Bundesgerichtshofs hinsichtlich der Haftung von Honoraren für Sachverständige des Betriebsrats ist klar, dass einzelne Betriebsratsmitglieder persönlich haften können(!). In diesen Fällen ist durchaus wichtig zu wissen, wer bei Abstimmungen bei welchen Fragen auch immer die Hand gehoben hat, aber auch, wer ggf. verpflichtet ist, bestimmte Fragen zur Abstimmung zu bringen.
“Betriebsräte sollten sich wappnen“, so Dr. Bergmann, jedenfalls diejenigen Gremien, die aktiv ein BEM-Verfahren betreiben (Hand aufs Herz: welches Gremium tut dies nicht?!), spätestens dann, wenn 20 und mehr Mitglieder im Gremium sind. “Nichts tun ist die schlechteste Variante”. “Die zweitschlechteste ist, darauf zu vertrauen, dass der Arbeitgeber auch für den Haftungsbescheid gem. § 40 BetrVG aufkommt.” Er rät, sich fachkundigen Rat einzuholen. “Wir haben kanzleiintern unter Federführung von Ulf Lappe einen eigenen Ansatz erarbeitet, der mögliche eigene Haftungsszenarien von Betriebsräten wegen der DSGVO handhabbar erscheinen lässt. Hierzu ist aber eine enge Abstimmung mit mehreren Institutionen im Haus vonnöten” zeigt sich Dr. Bergmann zuversichtlich.