Die sensible Welt der Unternehmensdaten erfordert von allen Akteuren höchste Sorgfalt im Umgang mit personenbezogenen Informationen. Insbesondere dort, wo die Interessen von Arbeitnehmern durch ihre Vertretung, den Betriebsrat, wahrgenommen werden, kreuzen sich Datenschutz und Arbeitsrecht auf komplexe Weise. Wer darf welche Daten einsehen, speichern und verarbeiten? Welche Konsequenzen drohen bei Verstößen? Diese Fragen sind von entscheidender Bedeutung für das Vertrauensverhältnis im Betrieb und können weitreichende arbeitsrechtliche Folgen nach sich ziehen.
Arbeitgeberpflichten und die Rolle des Betriebsrats im Datenschutz
Der Arbeitgeber trägt die primäre Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften im Unternehmen. Dies schließt auch die Datenverarbeitung ein, die durch den Betriebsrat erfolgt. Gemäß § 79a Satz 2 BetrVG ist der Arbeitgeber der Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat Daten zur Erfüllung seiner Aufgaben verarbeitet. Das bedeutet, der Arbeitgeber haftet grundsätzlich für Datenschutzverstöße des Betriebsrats, es sei denn, es handelt sich um einen sogenannten „Mitarbeiterexzess“ oder „Kollektivexzess“ des Betriebsrats.
Um dieser Verantwortung gerecht zu werden, muss der Arbeitgeber den Betriebsrat umfassend zum Thema Datenschutz sensibilisieren und schulen. Er hat Sorge dafür zu tragen, dass der Betriebsrat alle Anforderungen kennt und datenschutzkonform handelt. Dies kann durch Leitlinien oder Betriebsvereinbarungen geschehen, die konkrete Verhaltensregeln im Umgang mit personenbezogenen Daten aufstellen.
Der Arbeitgeber ist zudem verpflichtet, den Betriebsrat rechtzeitig und umfassend über alle Formen der Erhebung und Verarbeitung personenbezogener Daten der Arbeitnehmer zu unterrichten (§ 80 Abs. 2 S. 1 BetrVG), damit dieser seine Überwachungsaufgaben nach § 80 Abs. 1 Nr. 1 BetrVG wahrnehmen kann. Dazu gehören auch die Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Der Betriebsrat hat dabei ein Auskunftsrecht, auch über sensible Daten, und kann die Herausgabe aller erforderlichen Unterlagen verlangen, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Sollte der Betriebsrat seine datenschutzrechtlichen Verpflichtungen nicht erfüllen, kann der Arbeitgeber im Einzelfall die Weitergabe von Daten verweigern.
Datenschutz als Kernaufgabe des Betriebsrats
Der Betriebsrat hat nicht nur das Recht, sondern auch die Pflicht, die Einhaltung der Datenschutzvorschriften durch den Arbeitgeber zugunsten der Arbeitnehmer zu überwachen (§ 80 Abs. 1 BetrVG). Neben dieser Kontrollfunktion muss der Betriebsrat auch selbst die datenschutzrechtlichen Vorgaben bei der Ausübung seiner Tätigkeiten beachten. Dies schließt die Einhaltung der DSGVO und des BDSG ein, insbesondere die Grundsätze der Datensparsamkeit und Zweckbindung. Die Verarbeitung personenbezogener Daten durch den Betriebsrat ist nur zulässig, wenn eine Rechtsgrundlage besteht und sie im Zusammenhang mit einer konkreten Aufgabe des Betriebsrats steht.
Herausforderung der Verantwortlichkeit
Obwohl § 79a BetrVG den Arbeitgeber als Verantwortlichen für die Datenverarbeitung des Betriebsrats festlegt, bleibt die tatsächliche Kontrolle eine Herausforderung. Der Betriebsrat agiert in seiner Amtsführung unabhängig und kann vom Arbeitgeber keine Weisungen erhalten. Dies führt zu einer Ambivalenz: Der Arbeitgeber haftet, hat aber nur begrenzte Einflussmöglichkeiten auf die konkrete Datenverarbeitung durch das Gremium. Einige Stimmen sehen in § 79a BetrVG sogar einen möglichen Verstoß gegen höherrangiges Europarecht, da dem Arbeitgeber nicht die nötigen Befugnisse zur Erfüllung seiner Verantwortung eingeräumt werden. Eine vertrauensvolle Zusammenarbeit und gemeinsame Leitlinien sind daher entscheidend.
Umgang mit Datenschutzverstößen: Folgen für den Betriebsrat
Ein Datenschutzverstoß durch ein Betriebsratsmitglied oder den gesamten Betriebsrat kann schwerwiegende Konsequenzen haben, die sowohl arbeitsrechtlicher als auch betriebsverfassungsrechtlicher Natur sind.
Arbeitsrechtliche Konsequenzen: Abmahnung und Kündigung
Verstößt ein Betriebsratsmitglied gegen Datenschutzpflichten, kann dies eine Abmahnung oder sogar eine außerordentliche, fristlose Kündigung rechtfertigen. Eine Kündigung ist insbesondere dann rechtmäßig, wenn die betriebsverfassungsrechtliche Amtspflichtverletzung zugleich eine schwere arbeitsvertragliche Pflichtverletzung darstellt. Beispiele hierfür sind die zweckwidrige Nutzung oder unbefugte Veröffentlichung von Daten aus der Betriebsratstätigkeit, wie etwa das Offenbaren von Prozessakten mit sensiblen Gesundheitsdaten anderer Beschäftigter oder das Weiterleiten sensibler Personaldaten (Namen, Gehälter) an eine private E‑Mail-Adresse. Solche Verstöße können das Vertrauen in eine ordnungsgemäße Amtsführung unwiederbringlich zerstören.
Wichtig ist zu beachten, dass eine Abmahnung eines Betriebsratsmitglieds grundsätzlich nur für Verhalten in dessen Eigenschaft als Arbeitnehmer zulässig ist, nicht aber für Handlungen, die im Kontext seiner Betriebsratstätigkeit erfolgten. Das Rechtsinstitut einer „betriebsverfassungsrechtlichen Abmahnung“ ist in der Regel nicht anerkannt, da § 23 BetrVG bereits den Ausschluss als Sanktion für grobe Pflichtverletzungen vorsieht und weniger gravierende Verstöße ohne Folgen bleiben sollen. Der Betriebsrat hat bei Abmahnungen von Mitarbeitern generell kein Mitbestimmungsrecht, kann aber beraten und unterstützen.
Betriebsverfassungsrechtliche Konsequenzen: Ausschluss und Auflösung
Für grobe Verletzungen gesetzlicher Pflichten sieht das Betriebsverfassungsgesetz in § 23 Abs. 1 BetrVG die Möglichkeit des Ausschlusses eines Mitglieds aus dem Betriebsrat oder sogar der Auflösung des gesamten Betriebsrats vor.
Ausschlussverfahren eines Betriebsratsmitglieds
Ein Ausschlussantrag kann beim Arbeitsgericht gestellt werden von:
- Mindestens einem Viertel der wahlberechtigten Arbeitnehmer.
- Dem Arbeitgeber.
- Einer im Betrieb vertretenen Gewerkschaft.
- Dem Betriebsrat selbst (mit einfacher Mehrheit).
Voraussetzung für einen erfolgreichen Ausschluss ist eine nachweislich grobe Pflichtverletzung. Eine einmalige grobe Pflichtverletzung kann hierfür ausreichen. Eine grobe Pflichtverletzung liegt vor, wenn diese objektiv erheblich und offensichtlich schwerwiegend ist, sodass das Vertrauen in eine künftige ordnungsgemäße Amtsführung zerstört oder schwer erschüttert ist. Datenschutzverstöße stellen anerkanntermaßen eine solche grobe Pflichtverletzung dar. Beispiele sind die unbefugte Weitergabe sensibler Daten, die systematische „doppelte Personalakte“ durch das Ausdrucken und Ablegen von Dienstplänen, Krankheitsmitteilungen und Urlaubsanträgen oder das Mitteilen von Gesundheitsdaten auf Betriebsversammlungen.
Wird ein Betriebsratsmitglied ausgeschlossen, verliert es mit Rechtskraft der Entscheidung seinen besonderen und nachwirkenden Kündigungsschutz sowie den Versetzungsschutz.
Auflösung des Betriebsrats
Auch die Auflösung des gesamten Betriebsrats ist bei groben Verletzungen seiner gesetzlichen Pflichten nach § 23 Abs. 1 BetrVG möglich. Dies kann beispielsweise geschehen, wenn der Betriebsrat wiederholt Betriebsversammlungen nicht durchführt oder zu einem „wilden Streik“ aufruft. Das Arbeitsgericht Elmshorn hat entschieden, dass die Verletzung von Datenschutzverpflichtungen durch den Betriebsrat eine grobe Pflichtverletzung darstellen kann, die einen Grund für die Auflösung des Betriebsrats bilden kann. Insbesondere eine systematische Sammlung großer Datenmengen ohne rechtliche Grundlage kann das Vertrauensverhältnis zwischen Betriebsrat und Arbeitgeber so nachhaltig stören, dass eine Auflösung gerechtfertigt ist. Wird der Betriebsrat aufgelöst, setzt das Arbeitsgericht unverzüglich einen Wahlvorstand für die Neuwahl ein.
Arbeitgeberrechte bei Pflichtverletzungen des Betriebsrats (§ 23 Abs. 3 BetrVG)
Nicht nur der Arbeitgeber kann bei Verstößen des Betriebsrats gerichtliche Schritte einleiten; auch der Betriebsrat hat Möglichkeiten, grobe Pflichtverletzungen des Arbeitgebers gerichtlich zu ahnden. Gemäß § 23 Abs. 3 BetrVG können der Betriebsrat oder eine im Betrieb vertretene Gewerkschaft beim Arbeitsgericht beantragen, dem Arbeitgeber aufzugeben, eine Handlung zu unterlassen, die Vornahme einer Handlung zu dulden oder eine Handlung vorzunehmen, wenn dieser grob gegen seine Verpflichtungen aus dem Betriebsverfassungsgesetz verstößt.
Beispiele für grobe Pflichtverletzungen des Arbeitgebers:
- Missachtung von Mitbestimmungsrechten.
- Vorenthalten oder Verweigern von Informationen an den Betriebsrat oder Wirtschaftsausschuss.
- Behinderung der Betriebsratsarbeit.
Wenn der Arbeitgeber einer rechtskräftigen gerichtlichen Entscheidung zuwiderhandelt, kann er auf Antrag des Betriebsrats oder der Gewerkschaft zu einem Ordnungsgeld oder Zwangsgeld von bis zu 10.000 Euro verurteilt werden.
Compliance und Datenschutz: Gemeinsame Verantwortung
Compliance-Systeme sollen das regelkonforme Verhalten der Mitarbeiter absichern und Fehlverhalten vorbeugen. Der Betriebsrat spielt hierbei eine wichtige Rolle, da er nach dem Betriebsverfassungsgesetz die Einhaltung von Gesetzen und Verordnungen zugunsten der Arbeitnehmenden überwachen soll. Dazu gehören auch das Hinweisgeberschutzgesetz und die Datenschutzvorschriften.
Bei der Einführung von Compliance-Richtlinien und insbesondere von IT-Systemen, die das Verhalten oder die Leistung von Mitarbeitern erfassen können (z.B. Zeiterfassungssysteme, Standort-Tracking), hat der Betriebsrat Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG. Eine frühe und vertrauensvolle Zusammenarbeit mit dem Betriebsrat kann die Akzeptanz solcher Systeme in der Belegschaft erhöhen und rechtliche Auseinandersetzungen vermeiden, die zu erheblichen Imageschäden führen können.
Fazit
Der Datenschutz ist ein fundamentaler Aspekt der modernen Arbeitswelt, der sowohl Arbeitgeber als auch Betriebsräte in die Pflicht nimmt. Während der Arbeitgeber die datenschutzrechtliche Gesamtverantwortung für die Verarbeitung personenbezogener Daten im Unternehmen trägt, muss der Betriebsrat die Gesetze selbst einhalten und seine Mitglieder können bei groben Pflichtverletzungen, insbesondere im Umgang mit sensiblen Daten, mit schwerwiegenden arbeitsrechtlichen Konsequenzen bis hin zur fristlosen Kündigung belegt werden. Gleichzeitig bietet § 23 BetrVG dem Arbeitgeber und den Arbeitnehmervertretern Werkzeuge an, um grobe Pflichtverletzungen der jeweils anderen Seite rechtlich zu sanktionieren – bis hin zum Ausschluss einzelner Betriebsratsmitglieder oder der Auflösung des gesamten Gremiums. Eine offene Kommunikation, regelmäßige Schulungen und eine vertrauensvolle Zusammenarbeit sind unerlässlich, um Datenschutzrisiken zu minimieren und ein reibungsloses Miteinander im Betrieb zu gewährleisten.
