Status im Schwebestand: Die Mitarbeitervertretung
Nach Inkrafttreten der DS-GVO steht die Frage im Raum, ob Betriebs- und Personalräte „datenschutzrechtlich“ weiterhin Teil der „verantwortlichen Stelle“, also Teil ihres Unternehmens oder ihrer Behörde sind. Dies war bis dato weitgehend einhellige Meinung von Rechtsprechung (anders bereits das LAG Sachsen-Anhalt, Beschl. v. 10.12.2018 – 4 ToB 19 17 Rn. 51) und Literatur. Gleichwohl hatte jedoch das BAG (Beschl. v. 11.11.1997 – ABR 217/97; und v. 12.08.2009 – ABR 15/08) den Betriebsrat auf Grund seiner betriebsverfassungsrechtlichen Eigenständigkeit vom Kontrollrecht des „als Organ des Arbeitgebers“ eingestuften betrieblichen Datenschutzbeauftragten ausgenommen. Eindeutig ist zunächst, dass diese Auffassung nicht mehr haltbar ist. Art. 38 Abs. 2 DS-GVO weist dem DSB ein uneingeschränktes Kontrollrecht zu, das durch nationale Gesetzgebung oder Rechtsprechung nicht eingeschränkt werden kann (z.B. Kort, ZD 2017, 3 (6)).
Gleichwohl bleibt die Frage, ob für die Ausübung des Kontrollrechts der betriebliche/behördliche DSB oder ein von der Mitarbeitervertretung zu bestellender eigener Beauftragter zuständig ist. Ausgangspunkt der Überlegung ist, dass die DS-GVO in Art. 4 Nr. 7 neben natürlichen oder juristischen Personen, Personenvereinigungen des privaten Rechts oder Gesellschaften auch „andere Stellen“ als Verantwortliche kennt. Voraussetzung ist, dass diese über die Verarbeitung personenbezogener Daten und darüber entscheiden, welche Zwecke und Mittel der Verarbeitung eingesetzt werden. Während einige Aufsichtsbehörden diese Kriterien bei der Mitarbeitervertretung bejahen (LfDI Baden-Württemberg, 34. TB (2018), Abschnitt 1.6.1 Nr. 3; ThürLfDI, 1. TB (2018), Abschnitt 5.12; i.E. wohl ablehnend Kranig, ZD 2019, 1) halten die Kommentarmeinungen und durchweg die Literatur (Baumgartner/Hansch, ZD 2019, 256; Stück, ZD 2019, 143 (146); Brahms/Möhrle, ZD 2018, 570; Lücke, NZA 2019, 658) an der Rolle des Betriebsrats als Teil der verantwortlichen Stelle fest. (Brunk/Joos NZA 2019, 1395)
In Thüringen hat der Gesetzgeber für den öffentlichen Bereich insoweit entsprechend der Auffassung des ThürLfDI eine andere, klare Rechtslage in § 80 Abs. 1 ThürPersVG geschaffen. Hiernach hat die Personalvertretung einen eigenen Datenschutzbeauftragten zu bestellen, wobei der Gesetzgeber der Personalvertretung und der Dienststelle quasi empfiehlt, im Einvernehmen einen gemeinsamen Datenschutzbeauftragten zu bestellen. Nicht erkennbar ist, ob neben Thüringen und Bayern (vgl. BayLFD, Aktuelle Kurzinformation Nr. 23, 8.9.2019) auch andere Gesetzgeber eine diesbezügliche Gesetzgebung im Blick haben. Zu erwarten ist auch, dass Aufsichtsbehörden wegen der Unterschiedlichkeit ihrer Meinungen diese zunächst nicht mit Bußgeldandrohungen durchsetzen werden, wobei fraglich ist, ob ein Betriebsrat mangels Benennung eines DSB mit einem Bußgeld belegt werden kann.
Somit besteht für Unternehmen und Behörden sowie deren Mitarbeitervertretungen noch kein unmittelbarer Handlungsbedarf. Gleichwohl können Unternehmen versuchen, durch freiwillige Vereinbarungen mit der Mitarbeitervertretung vorbeugend tätig zu werden.