Betriebsrat, Datenschutz und Auskunft zu schwerbehinderten/gleichgestellten Menschen – Sofern es sich bei den erhaltenen Informationen um personenbezogene Daten handelt, die unter den Schutzbereich des Art.9 DSGVO fallen, muss der Betriebsrat gegenüber dem Arbeitgeber darlegen, welches Schutzkonzept für den Schutz dieser Daten aus Seiten des Betriebsrates besteht. So entschieden durch das LArbG Baden-Württemberg in einem Beschluss vom 20. Mai 2022 (Az.: 12 TaBV 4/21). Der Arbeitgeber hatte vor dem Verfahren unter anderem außergerichtlich auf das Auskunftsbegehren des Betriebsrates keine personenbezogenen Daten an den Betriebsrat übermittelt.
Betriebsrat, Datenschutz und Auskunft zu schwerbehinderten/gleichgestellten Menschen – Ansicht des Gerichts
Das Gericht sah § 80 II 1 BetrVG als Anspruchsgrundlage zu Gunsten des Betriebsrates als gegeben an und nimmt sich dann den Vorgaben des Datenschutzrechts an. Dazu führt das Gericht in den Entscheidungsgründen unter anderem aus:
„…Zielt der Auskunftsanspruch des Betriebsrates auf die Übermittlung sog. sensitiver Daten (vgl. hierzu Art. 9 Abs. 1 DSGVO, Art. 4 Nr. 15 DSGVO) im datenschutzrechtlichen Sinne ab, ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft (vgl. nur BAG vom 09. April 2019 Rn. 40 a.a.O.). Mit der Regelung des § 26 Abs. 3 BDSG hat der Gesetzgeber dabei in zulässiger Weise von der Öffnungsklausel in Art. 9 Abs. 2 Buchst. b DSGVO, der gemäß Art. 288 AEUV in allen ihren Teilen verbindlichen und unmittelbar in jedem Mitgliedstaat geltenden DSGVO Gebrauch gemacht (vgl. ausführlich BAG vom 09. April 2019 Rn 26 ff. a.a.O.). Bei der Weitergabe sensitiver Daten an den Betriebsrat hat der Arbeitgeber die Beachtung des in § 26 Abs. 3 Satz 3 i.V.m. § 22 Abs. 2 BDSG geregelten Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand. Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt. Daher hat der Betriebsrat bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwerbehinderung mitteilenden Arbeitnehmer – wahren. Dabei ist zu berücksichtigen, dass § 22 Abs. 2 BDSG die möglichen Maßnahmen nur beispielhaft („insbesondere“) aufzählt. Deshalb muss es sich bei den vom Betriebsrat zu treffenden und bei einem auf sensitive Daten gerichteten Auskunftsverlangen darzulegenden Schutzvorkehrungen nicht um die ausdrücklich in § 22 Abs. 2 Satz 2 Nr. 1 bis Nr. 10 BDSG genannten Maßnahmen handeln, zumal bei einzelnen dieser Maßnahmen zweifelhaft ist, ob sie der Betriebsrat überhaupt ergreifen könnte. Es ist aber zu gewährleisten, dass er bei einer Verarbeitung sensitiver Daten – hier: des Namens schwerbehinderter Menschen – das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 Satz 2 BDSG aufgelisteten Kriterien entsprechen. Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören. Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit – was der Würdigung des Tatsachengerichts unterliegt – schließt den streitbefangenen Anspruch aus (vgl. ausführlich BAG vom 07. April 2019 a.a.O. Rn 46 ff. m.w.N.; zur Reichweite der erforderlichen Gewährleistung der Datensicherheit etwa auch Fuhlrott, ArbR 2019, S. 408 ff.; vgl. auch Roetteken, juris PR-ArbR 37/2019 Anm. 7, wonach insbesondere sich der Rechtsprechung des Bundesarbeitsgerichts nicht entnehmen lasse, dass der Abschluss einer Betriebsvereinbarung mit dem Arbeitgeber hierzu erforderlich sei). Als mögliche Umsetzungsmaßnahmen zur Gewährleistung der Datensicherheit bietet es sich z.B. an, freiwillig einen Datenschutz-Sonderbeauftragten für das Gremium zu benennen, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen und vor allem ein Löschkonzept vorzuhalten (so auch Kienle, juris PR-ArbR 26/2020 Anm. 1)….“