Erschienen am 21. Februar 2024
Im Zuge der Ausübung ihrer Befugnisse haben Betriebsräte eine Vielzahl personenbezogener (Arbeitnehmer:innen-)Daten zu verarbeiten. Sie agieren daher auch als Datenverarbeiter. Der Betriebsrat als Kollegialorgan ist jedoch weder rechts- noch vermögensfähig. Daher war bisher strittig, ob der Betriebsrat dennoch Verantwortlicher iSd DSGVO sein kann, ob eine Haftung des Betriebsrats bestehen kann, ob er Adressat der Sanktionen nach der DSGVO sein kann und ob daher gegen ihn Geldbußen verhängt werden können.
Basierend auf dem funktionalen Begriff des Verantwortlichen iSd DSGVO1, sprechen die überwiegenden Argumente schon bisher dafür, dass Betriebsräte Verantwortliche iSd DSGVO sind.
Der EuGH hat dies in einer aktuellen Entscheidung C 231/22 bestätigt. Die sich aus dem nationalen Recht ergebende Rechtspersönlichkeit eines Akteurs ist für die Qualifikation als Verantwortlicher im Sinne des Art 4 Z 7 DSGVO nicht maßgeblich. Eine Einrichtung oder Stelle kann daher trotz fehlender Rechtspersönlichkeit als Verantwortlicher für die Verarbeitung personenbezogener Daten qualifiziert werden.
Damit sind die letzten Zweifel ausgeräumt: Der Betriebsrat ist nach dem funktionalen Begriff Verantwortlicher iSd DSGVO. Auch einzelne Mitglieder oder Gruppen von Betriebsratsmitgliedern, z.B. Fraktionen, können Verantwortliche sein. Maßgeblich ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Betriebsrat ist daher in seinem Zuständigkeitsbereich auch für die Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit verantwortlich. Betriebsinhaber und Belegschaft sind nicht für eine vom Betriebsrat oder einzelnen Mitgliedern vorgenommene Datenverarbeitung verantwortlich. Auch wenn Betriebsrat und Betriebsinhaber in der Regel zwei eigenständige und unabhängige Datenakteure sind, können sie im Einzelfall gemeinsam Verantwortliche sein und solidarisch für datenschutzrechtliche Verstöße haften.
Betriebsräte und Arbeitgeber:innen sollten im Hinblick auf die Rechtsfolgen der DSGVO gleichermaßen daran interessiert sein, den Austausch personenbezogener Daten rechtskonform zu gestalten. Neben technischen und organisatorischen Maßnahmen kann hierfür die Betriebsvereinbarung als Gestaltungsinstrument genutzt werden. Gerne beraten wir Sie bei der praktischen Umsetzung und bringen dabei unsere langjährige Erfahrung auf diesem Gebiet ein.
CMS NewsMonitor § Arbeitsrecht
Der CMS NewsMonitor informiert Sie zeitnah und kompakt über die neuesten Entwicklungen im Arbeitsrecht. Sie erfahren alles, was Sie wissen müssen – klar, verständlich und praxisnah.
