Der Betriebsrat – und der Beschäftigtendatenschutz

Soweit § 26 Abs. 1 Satz 1 BDSG vorsieht, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten erforderlich ist, stellt die Norm eine Rechtsgrundlage iSv. Art. 6 Abs. 3 iVm. Abs. 1 Unterabs. 1 Buchst. c DSGVO dar. Der Umstand, dass § 26 Abs. 1 Satz 1 BDSG den Vorgaben der Öffnungsklausel in Art. 88 DSGVO nicht genügt, ist insoweit unerheblich.

Nach § 26 Abs. 3 Satz 1 BDSG ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses – abweichend von Art. 9 Abs. 1 DSGVO, zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Entsprechend § 22 Abs. 2 BDSG sind hierfür angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (§ 26 Abs. 3 Satz 3 BDSG).

Die Regelung des § 26 Abs. 3 BDSG begegnet keinen unionsrechtlichen Bedenken.

Mit ihr hat der Gesetzgeber in zulässiger Weise von der Öffnungsklausel in Art. 9 Abs. 2 Buchst. b DSGVO Gebrauch gemacht¹.

Der Ausnahmetatbestand des Art. 9 Abs. 2 Buchst. b DSGVO wurde in § 26 Abs. 3 Satz 1 BDSG inhaltsgleich übernommen². Das widerspricht nicht dem unionsrechtlichen Umsetzungs- oder Normwiederholungsverbot³. Entsprechend der Rechtsprechung des Gerichtshofs der Europäischen Union ist Art. 9 Abs. 2 Buchst. b DSGVO als Öffnungsklausel im Licht des Erwägungsgrundes 8 der DSGVO zu sehen⁴. Danach dürfen die Mitgliedstaaten, wenn in der DSGVO ua. Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile der Verordnung in ihr nationales Recht aufnehmen, soweit dies – wie hier – erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen⁵.

Zudem sieht das nationale Recht für die Verarbeitung besonderer Kategorien personenbezogener Daten auch geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vor.

Die Zulässigkeit der Verarbeitung derartiger Daten erfordert nach § 26 Abs. 3 Satz 1 BDSG ausdrücklich, dass kein Grund zu der Annahme besteht, das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiege. Die entsprechende Geltungsanordnung von § 22 Abs. 2 BDSG nach § 26 Abs. 3 Satz 3 BDSG stellt den Schutz der Grundrechte und die Wahrung der Interessen der Betroffenen sicher. Danach sind bei der Verarbeitung besonderer Kategorien personenbezogener Daten angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen⁶.

Der Einwand der Arbeitgeberin, die Umsetzung der unionsrechtlichen Vorgaben sei ungenügend, weil § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG nur die Wahrung der Interessen der betroffenen Person, nicht aber zusätzlich ihrer Grundrechte vorsehe, greift nicht durch. Nach der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union sind die Bestimmungen des nationalen Rechts – soweit möglich – unionsrechtskonform auszulegen⁷. Dementsprechend ist § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG dahin zu verstehen, dass im Rahmen der Prüfung, ob angemessene und spezifische Maßnahmen zugunsten der betroffenen Person getroffen worden sind, nicht nur deren Interessen, sondern auch deren Grundrechte in den Blick zu nehmen sind. Der weite Wortlaut der Norm lässt eine solche Interpretation ohne Weiteres zu. Sie entspricht auch der Intention des Gesetzgebers, der mit dem Verweis des § 26 Abs. 3 auf § 22 Abs. 2 BDSG ausdrücklich von der Öffnungsklausel des Art. 9 Abs. 2 Buchst. b DSGVO Gebrauch machen wollte⁸.

Die Umsetzung von Art. 9 Abs. 2 Buchst. b DSGVO durch § 26 Abs. 3 BDSG ist entgegen der Auffassung der Arbeitgeberin auch nicht deshalb unzureichend, weil der Gesetzgeber die erforderlichen angemessenen und spezifischen Maßnahmen nicht selbst abschließend festgelegt hat.

9 Abs. 2 Buchst. b DSGVO lässt sich ein solches Erfordernis eindeutig nicht entnehmen. Anders als bei der – sprachlich anders gefassten – Öffnungsklausel des Art. 88 DSGVO müssen die nationalen Vorschriften nicht selbst „geeignete und besondere Maßnahmen“ festlegen, um den unionsrechtlichen Vorgaben zu genügen⁹. Das Recht der Mitgliedstaaten muss vielmehr lediglich „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ vorsehen. Solche geeigneten Garantien sieht § 26 Abs. 3 Satz 3 iVm. § 22 Abs. 2 BDSG unzweifelhaft vor. Für jede Datenverarbeitung, die auf der Grundlage dieser Norm erfolgt und damit eine besondere Kategorie personenbezogener Daten betrifft, sind angemessene und spezifische Maßnahmen vorzusehen, die entweder den dort genannten Regelbeispielen oder – bei wertender Betrachtung – den aufgelisteten Kriterien entsprechen.

Soweit die Arbeitgeberin aus den Vorgaben für die Verarbeitung personenbezogener Daten im Beschäftigungskontext in Art. 88 DSGVO im Weg eines „Erst-recht-Schlusses“ ableiten will, dass diese auch für die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 Buchst. b DSGVO gelten müssten, lässt sie außer Acht, dass die letztgenannte Norm eine eigenständige und – schon systematisch von den in Kapitel IX der DSGVO vorgesehenen „Vorschriften für besondere Verarbeitungssituationen“ – unabhängige Öffnungsklausel gerade für die dort genannten spezifischen Situationen im Bereich des Arbeitsrechts und des Rechts der sozialen Sicherheit sowie des Sozialschutzes enthält. Erwägungsgrund 51 der DSGVO sieht insoweit ausdrücklich vor, dass die Verarbeitung solcher Daten „in den in dieser Verordnung dargelegten besonderen Fällen“ und damit nach Maßgabe der in Art. 9 Abs. 2 DSGVO vorgesehenen Situationen „zulässig“ ist. Zudem führt der Umstand, dass eine nationale Bestimmung nicht den Vorgaben des Art. 88 Abs. 1 und 2 DSGVO genügt, nach der Rechtsprechung des Gerichtshofs der Europäischen Union lediglich dazu, dass sich die Zulässigkeit der Datenverarbeitung dann unmittelbar nach den Bestimmungen der Datenschutz-Grundverordnung richtet¹⁰. Ist die Verarbeitung daher zur Erfüllung des Arbeitsvertrags erforderlich, findet sie ihre rechtliche Grundlage in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO, ohne dass diese Bestimmung für die konkrete Datenverarbeitung angemessene und spezifische und damit über die Vorgaben des Art. 5 DSGVO hinausgehende Schutzmaßnahmen zugunsten der betroffenen Arbeitnehmer verlangen würde. Gleiches gilt, soweit die Datenverarbeitung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. In diesem Fall kann eine den Vorgaben des Art. 88 Abs. 1 und 2 DSGVO nicht entsprechende nationale Regelung nach der Rechtsprechung des Gerichtshofs gleichwohl nach Art. 6 Abs. 3 DSGVO eine zulässige rechtliche Grundlage für die maßgebliche Datenverarbeitung bilden¹¹. Damit geht der Gerichtshof – im Einklang mit dem eindeutigen Wortlaut von Art. 6 Abs. 3 Satz 3 DSGVO („kann“) und Erwägungsgrund 45 („Ferner könnten“) – davon aus, dass dies gerade nicht das Bestehen einer nationalen Vorschrift voraussetzt, die geeignete und besondere Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO vorsieht. Da sich die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b und c DSGVO aufgeführten Verarbeitungssituationen – soweit das Arbeitsrecht betroffen ist, zumindest größtenteils mit den Tatbeständen decken, die die speziell für personenbezogene Daten besonderer Kategorien vorgesehene Öffnungsklausel in Art. 9 Abs. 2 Buchst. b DSGVO nennt, verbietet sich der von der Arbeitgeberin gezogene „Erst-recht-Schluss“ auch aus diesem Grund.

Schließlich bewirkt die Vorschrift des § 79a Satz 2 BetrVG nicht, dass das durch Art. 9 Abs. 2 Buchst. b DSGVO verlangte Datenschutzniveau nicht mehr gewährleistet wäre. Dabei kann dahinstehen, ob die Norm, die die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat nun ausdrücklich dem Arbeitgeber zuweist¹², im Einklang mit Art. 4 Nr. 7 Halbs. 2 DSGVO steht¹³. Den Betriebsrat trifft die sich aus § 26 Abs. 3 Satz 3 iVm. § 22 Abs. 2 BDSG ergebende spezifische Schutzpflicht unabhängig davon, ob er Teil der verantwortlichen Stelle oder selbst Verantwortlicher ist¹⁴. Er hat bei jeder Datenverarbeitung – und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten – die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten¹⁵. § 79a Satz 2 BetrVG befreit den Betriebsrat daher nicht von seiner Pflicht, die Datensicherheit und -sparsamkeit eigenverantwortlich durch technische und organisatorische Maßnahmen – insbesondere solche nach § 22 Abs. 2 BDSG – innerhalb seines Zuständigkeitsbereichs sicherzustellen¹⁶. Dass es dem Arbeitgeber aufgrund der Unabhängigkeit des Betriebsrats als Strukturprinzip der Betriebsverfassung verwehrt ist, diesem hierauf bezogene Vorgaben zu machen, ist unschädlich. Selbst wenn der Arbeitgeber bei einer Verarbeitung personenbezogener Daten durch den Betriebsrat nach § 79a Satz 2 DSGVO Verantwortlicher im Sinn der Bestimmungen der Datenschutz-Grundverordnung sein sollte, wäre es ihm deshalb – anders als die Arbeitgeberin meint – weder rechtlich noch tatsächlich unmöglich, seine sich aus Art. 13 ff. DSGVO ergebenden Pflichten zu erfüllen. Die Arbeitgeberin übersieht, dass die Betriebsparteien in diesem Fall nach § 79a Satz 3 BetrVG verpflichtet sind, einander bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen¹². Dem Betriebsrat obläge es damit nicht nur, dem Arbeitgeber diejenigen Informationen zu übermitteln, die er für die Erfüllung der ihm als verantwortliche Stelle obliegenden Pflichten benötigt, sondern er hätte auch an der Erfüllung einer Pflicht zur Löschung von personenbezogenen Daten mitzuwirken¹⁷.

Die Voraussetzungen von § 26 Abs. 3 BDSG sind im hier entschiedenen Ausgangsfall gegeben.

Der Auskunftsanspruch des Betriebsrats betrifft eine besondere Kategorie personenbezogener Daten iSv. Art. 9 Abs. 1 iVm. Art. 4 Nr. 15 DSGVO, weil er die Namen von schwerbehinderten und ihnen gleichgestellten behinderten Menschen zum Gegenstand hat. Das Begehren ist auch auf eine Übermittlung dieser Daten an einen Empfänger und damit eine „Verarbeitung“ iSv. Art. 4 Nr. 2 DSGVO gerichtet. Aus Art. 4 Nr. 9 DSGVO folgt, dass der Empfänger kein Dritter sein muss¹⁸. Die Verarbeitung soll zudem für Zwecke des Beschäftigungsverhältnisses erfolgen¹⁹.

Da der Betriebsrat nach § 80 Abs. 2 Satz 1 BetrVG einen – gesetzlichen – Anspruch darauf hat, dass ihm die Arbeitgeberin die Namen der schwerbehinderten und ihnen gleichgestellten Arbeitnehmer mitteilt, ist die damit verbundene Datenverarbeitung iSv. § 26 Abs. 3 Satz 1 BDSG zur Erfüllung einer rechtlichen Pflicht aus dem Arbeitsrecht auch erforderlich.

Durch das Kriterium der Erforderlichkeit der Datenverarbeitung nach § 26 Abs. 3 Satz 1 BDSG ist sichergestellt, dass ein an sich legitimes Ziel nicht zum Anlass genommen wird, überschießend personenbezogene Daten iSv. Art. 9 Abs. 1 DSGVO zu verarbeiten. Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers bedingt dies entsprechend der Bekundung des Gesetzgebers – der hierbei an die bis zum 24.05.2018 geltenden datenschutzrechtlichen Bestimmungen und die hierzu ergangene höchstrichterliche Rechtsprechung anknüpft²⁰ – eine Abwägung widerstreitender Grundrechtspositionen im Weg praktischer Konkordanz und eine Verhältnismäßigkeitsprüfung. Diesen Anforderungen ist genügt, wenn die Verarbeitung personenbezogener Daten zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten – und damit einer „aus dem Arbeitsrecht“ iSv. § 26 Abs. 3 Satz 1 BDSG resultierenden Pflicht des Arbeitgebers – erforderlich ist. Das hat der Gesetzgeber durch den entsprechenden Erlaubnistatbestand in § 26 Abs. 1 Satz 1 BDSG klargestellt²¹.

Der Umstand, dass § 26 Abs. 1 Satz 1 BDSG den Vorgaben der Öffnungsklausel in Art. 88 DSGVO nicht genügt, ändert hieran nichts. Soweit es um den im nationalen Recht vorgesehenen Tatbestand der Verarbeitung personenbezogener Daten von Beschäftigten geht, die nach § 26 Abs. 1 Satz 1 BDSG zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten erforderlich ist, stellt die Norm weiterhin eine – nach Art. 6 Abs. 3 iVm. Abs. 1 Unterabs. 1 Buchst. c DSGVO zulässige – Rechtsgrundlage für eine solche Datenverarbeitung dar.

Nach der Rechtsprechung des Gerichtshofs sind spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet. Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen²².

Diese – vom nationalen Gericht zu prüfenden²³ – Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt. Soweit das Bundesarbeitsgericht angenommen hat, § 26 Abs. 1 Satz 1 BDSG werde den Anforderungen des Art. 88 Abs. 2 DSGVO gerecht²⁴, hält er daran nicht fest.

Dennoch bildet die Norm eine rechtliche Grundlage für diese Datenverarbeitung, soweit sie die Verarbeitung personenbezogener Daten von Beschäftigten regelt, die erforderlich ist, um ein sich aus dem Gesetz ergebendes Recht der Arbeitnehmervertretungen zu erfüllen. Sie entspricht den Vorgaben des Art. 6 Abs. 3 DSGVO. Auch dies hat das nationale Gericht selbst zu prüfen²⁵.

Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die rechtliche Grundlage für eine solche Verarbeitung kann sich aus dem Recht der Mitgliedstaaten ergeben (Art. 6 Abs. 3 Satz 1 DSGVO). Dies setzt voraus, dass der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt ist (Art. 6 Abs. 3 Satz 2 DSGVO), die rechtlichen Regelungen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 Satz 4 DSGVO). Nach Erwägungsgrund 45 verlangt die DSGVO nicht für jede einzelne Verarbeitung ein spezifisches Gesetz. So kann ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt. Darüber hinaus können in der Rechtsgrundlage weitergehende spezifische Bestimmungen iSv. Art. 6 Abs. 3 Satz 3 iVm. Erwägungsgrund 45 der DSGVO enthalten sein.

Diesen Vorgaben genügt § 26 Abs. 1 Satz 1 BDSG, soweit er eine Verarbeitung personenbezogener Daten von Beschäftigten zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten regelt. In solchen Fällen ist die Verarbeitung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO erforderlich, damit eine rechtliche Verpflichtung erfüllt wird. Der Zweck der Verarbeitung ist an das Beschäftigungsverhältnis geknüpft und durch deren Bindung an die Erfüllung eines im Gesetz vorgesehenen Rechts einer Arbeitnehmervertretung festgelegt. Jedenfalls insoweit dient die Regelung einem im öffentlichen Interesse liegenden Ziel, weil sie sicherstellt, dass die Vertretungen der Beschäftigten den ihnen im sozialpolitischen Interesse übertragenen Aufgaben zum Schutz der Beschäftigten nachkommen können. Zudem ist die Weitergabe solcher personenbezogener Daten angemessen, die unerlässlich sind, damit die Interessenvertretungen diese Aufgaben wahrnehmen können. Ferner enthält § 26 Abs. 1 Satz 1 BDSG spezifische Bestimmungen iSv. Art. 6 Abs. 3 Satz 3 iVm. Erwägungsgrund 45 der DSGVO. Die Vorschrift regelt, welche Personen („Beschäftigte“) betroffen sind, gegenüber welchen Einrichtungen („Interessenvertretung der Beschäftigten“) und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen. Da die Weitergabe von im Zusammenhang mit dem Arbeitsverhältnis erhobenen Daten an die Interessenvertretungen weiterhin „für Zwecke des Beschäftigungsverhältnisses“ erfolgt und ihnen damit die Wahrnehmung gesetzlicher – dem Schutz der Arbeitnehmer dienender – Aufgaben ermöglicht wird, liegt überdies keine Zweckänderung iSv. Art. 6 Abs. 4 DSGVO vor.

Ob auch die übrigen Tatbestände des § 26 Abs. 1 Satz 1 BDSG den Anforderungen von Art. 6 Abs. 3 DSGVO genügen, bedarf keiner Entscheidung. Selbst wenn dies nicht der Fall und die Norm daher insoweit nicht anwendbar sein sollte²⁶, wäre dies unerheblich, weil die Vorschrift teilbar ist.

Hier besteht zudem kein Grund zu der Annahme, dass schutzwürdige Interessen der betroffenen Arbeitnehmer an dem Ausschluss der Verarbeitung bestehen. Der Betriebsrat hat hinreichende Schutzvorkehrungen nach § 26 Abs. 3 Satz 3 iVm. § 22 Abs. 2 BDSG getroffen.

Bei der Geltendmachung eines auf personenbezogene Daten besonderer Kategorie gerichteten Auskunftsbegehrens hat der Betriebsrat darzulegen, dass er Maßnahmen vorhält oder getroffen hat, die die berechtigten Interessen der betroffenen Arbeitnehmer wahren. Fehlen solche Schutzmaßnahmen oder sind sie unzulänglich, schließt dies den Informationsanspruch aus²⁷.

Entgegen der Auffassung der Arbeitgeberin ist § 22 Abs. 2 BDSG nicht deshalb unanwendbar, weil sich die Regelung auf die bloße Wiedergabe von Verpflichtungen beschränkte, die nach der Datenschutz-Grundverordnung ohnehin gelten. Die in § 22 Abs. 2 Satz 2 BDSG beispielhaft angegebenen Maßnahmen gehen über die allgemeinen in Art. 5 DSGVO verankerten Grundsätze für die Verarbeitung personenbezogener Daten hinaus.

Bei dem Begriff der angemessenen und spezifischen Maßnahmen handelt es sich um einen unbestimmten Rechtsbegriff. Ob die im Einzelfall getroffenen Maßnahmen datenschutzrechtlich ausreichend sind, unterliegt deshalb der – rechtsbeschwerderechtlich nur eingeschränkt überprüfbaren – Würdigung der Tatsachengerichte²⁷. Sie ist in der Rechtsbeschwerdeinstanz nur darauf überprüfbar, ob der jeweilige Rechtsbegriff selbst verkannt, gegen Denkgesetze, anerkannte Auslegungsgrundsätze oder allgemeine Erfahrungssätze verstoßen wurde oder wesentliche Umstände außer Acht gelassen wurden.

Hiervon ausgehend ist die Annahme des Landesarbeitsgerichts Baden-Württemberg²⁸, die im Datenschutzkonzept des Betriebsrats vorgesehenen Sicherungsmaßnahmen seien ausreichend, rechtsbeschwerderechtlich nicht zu beanstanden. Das Landesarbeitsgericht hat die vom Betriebsrat auf der Grundlage seines Datenschutzkonzepts getroffenen Maßnahmen gewürdigt und sie ohne Rechtsfehler für ausreichend gehalten. Zu Recht hat es berücksichtigt, dass der Betriebsrat durch die verschlossene Aufbewahrung der Unterlagen und die Passwortsicherung von elektronisch gespeicherten Daten den Zugang zu den personenbezogenen Daten iSv. § 22 Abs. 2 Satz 2 Nr. 5 BDSG beschränkt und – verbunden mit der Kontrolle von Weitergabe und Verfügbarkeit der Daten – dem Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung (Art. 5 Abs. 1 Buchst. f DSGVO) Rechnung getragen hat. Auch hat es zutreffend angenommen, die speziellen Regelungen zu der regelmäßigen Überprüfung der Speicherdauer und ggf. einer anschließenden Verpflichtung zur Datenlöschung genügten dem unionsrechtlichen Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO). Schließlich hat es – gerade in Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten – berücksichtigt, dass das Datenschutzkonzept eine regelmäßig erfolgende Sensibilisierung der Betriebsratsmitglieder vorsieht (vgl. dazu § 22 Abs. 2 Satz 2 Nr. 3 BDSG).

Die hiergegen geltend gemachten Einwände greifen nicht durch.

Der Betriebsrat war bei der Festlegung von Maßnahmen weder auf die in § 22 Abs. 2 Satz 2 BDSG vorgesehenen beschränkt noch musste er sämtliche der dort aufgezählten Maßnahmen ergreifen. § 22 Abs. 2 Satz 2 BDSG benennt die möglichen Maßnahmen nur beispielhaft. Deshalb muss es sich bei den vom Betriebsrat zu treffenden Schutzvorkehrungen nicht um die ausdrücklich in § 22 Abs. 2 Satz 2 Nr. 1 bis 10 BDSG genannten Maßnahmen handeln²⁷. Soweit er anderweitige Vorkehrungen trifft, müssen sie – was hier der Fall ist – das Vertraulichkeitsinteresse der Betroffenen strikt achten und bei wertender Betrachtung den in § 22 Abs. 2 BDSG aufgelisteten Kriterien entsprechen.

Der Betriebsrat war auch nicht gehalten, spezifischere Regelungen in sein Datenschutzkonzept aufzunehmen. Nach § 22 Abs. 2 Satz 2 BDSG sind bei der Beurteilung, welche Maßnahmen angemessen und spezifisch sind, ua. Art und Umfang sowie die Zwecke der Verarbeitung und die Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der betroffenen (natürlichen) Person zu berücksichtigen. Mit Blick darauf genügen die vom Betriebsrat getroffenen Vorgaben den gesetzlichen Anforderungen. Der Betriebsrat verlangt von der Arbeitgeberin lediglich Auskunft über die Namen der im Betrieb beschäftigten schwerbehinderten und ihnen gleichgestellten Arbeitnehmer. Weitergehende Informationen – insbesondere über die Art und den Grad der Behinderung oder den Grund für die Gleichstellung – sind nicht Gegenstand des Auskunftsbegehrens. Bei diesen Daten handelt es sich zudem um Angaben, die der Arbeitgeberin bereits von den betroffenen Arbeitnehmern mitgeteilt wurden. Die genannten Gesundheitsdaten werden sowohl durch die Auskunftserteilung als auch im Rahmen der gesetzlichen Aufgabenerfüllung des Betriebsrats nur in eingeschränktem Umfang (weiter-)verarbeitet. Dabei dient die Verarbeitung ausschließlich der Wahrnehmung der in § 80 Abs. 1 Nr. 4 iVm. § 176 SGB IX vorgesehenen Förderaufgaben, die im Interesse und zum Schutz der schwerbehinderten und ihnen gleichgestellten Arbeitnehmer erfolgt. Angesichts dieser Umstände begegnen die vom Betriebsrat vorgehaltenen Maßnahmen keinen datenschutzrechtlichen Bedenken.

Das Datenschutzkonzept des Betriebsrats musste auch kein absolutes Verbot der Speicherung personenbezogener Daten auf mobile Datenträger vorsehen. Das Konzept erlaubt eine solche Speicherung nur, wenn der Vorsitzende des Betriebsrats – oder im Fall seiner Verhinderung die Stellvertretung – dem ausdrücklich zustimmt. Dabei darf die Zustimmung zudem nur dann erteilt werden, wenn gerade die Übertragung der Daten auf den mobilen Datenträger erforderlich ist, damit die Betriebsratsaufgabe wahrgenommen werden kann. Der Datenträger ist ferner durch ein Passwort zu sichern. Nach Erledigung der Aufgabe ist der Datenträger so zu formatieren, dass alle darauf befindlichen personenbezogenen Daten endgültig gelöscht sind und nicht wiederhergestellt werden können. Mit diesen Maßnahmen trägt der Betriebsrat den Grundsätzen der Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) konkret bezogen auf diese Form der Speicherung Rechnung und wahrt die Interessen der betroffenen Personen (§ 22 Abs. 2 BDSG).

Das Datenschutzkonzept enthält auch keine unzulänglichen Löschungsvorgaben. Die Arbeitgeberin übersieht, dass Nr. 4.5 dieses Konzepts eine für sämtliche Verarbeitungszwecke geltende Speicherbegrenzung festlegt. Diese entspricht der Vorgabe in Art. 5 Abs. 1 Buchst. e Halbs. 1 DSGVO. Da die Aufgaben des Betriebsrats verschiedener Natur sind, kann nur im Einzelfall beurteilt werden, ob ein personenbezogenes Datum gelöscht werden muss. Eine dies in den Blick nehmende Vorgabe begegnet keinen rechtlichen Bedenken.

Schließlich steht dem Auskunftsanspruch nicht entgegen, dass der Betriebsrat weder dargelegt hat, dass er ein Datenverarbeitungsverzeichnis iSv. Art. 30 DSGVO führt, noch dass er eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorgenommen hat. Es ist klar ersichtlich, dass es sich bei der Erfüllung von sich aus diesen Vorschriften ergebenden Verpflichtungen nicht um geeignete Garantien zur Wahrung der Grundrechte und Interessen der betroffenen Personen iSv. Art. 9 Abs. 2 Buchst. b DSGVO und – angesichts der in § 22 Abs. 2 BDSG ohnehin nicht abschließend geregelten Vorgaben – jedenfalls nicht um „spezifische Maßnahmen“ handelt. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union enthalten lediglich die Kapitel II und III der DSGVO die Grundsätze für die Verarbeitung personenbezogener Daten und die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen²⁹. Aus Erwägungsgrund 51 der DSGVO ergibt sich, dass diese Grundsätze und Bedingungen auch bei der Verarbeitung solcher personenbezogener Daten gelten sollen, die ihrem Wesen nach besonders sensibel sind. Die in Kapitel IV der DSGVO ausdrücklich geregelten Pflichten treffen den Verantwortlichen und den Auftragsverarbeiter damit allenfalls zusätzlich, sofern die in den Normen genannten Voraussetzungen gegeben sind.

Ein Vorabentscheidungsersuchen nach Art. 267 Abs. 3 AEUV war hier nach Ansicht des Bundesarbeitsgerichts nicht veranlasst. Das Verfahren wirft mit Blick auf das Datenschutzrecht keine entscheidungserhebliche unionsrechtliche Frage auf, die entweder nicht bereits hinreichend geklärt wäre oder bei der die richtige Anwendung des Unionsrechts wegen des eindeutigen Wortlauts der jeweiligen Normen der Datenschutz-Grundverordnung nicht so offenkundig wäre, dass für vernünftige Zweifel Raum bliebe. Ob das nationale Recht die Voraussetzungen der Öffnungsklausel des Art. 9 Abs. 2 Buchst. b DSGVO erfüllt, haben nach Maßgabe der zu Art. 88 DSGVO ergangenen Rechtsprechung des Gerichtshofs die nationalen Gerichte zu prüfen³⁰. Gleiches gilt für die Frage, ob eine Bestimmung eine Rechtsgrundlage iSv. Art. 6 Abs. 3 DSGVO darstellt³¹.

Auch eine Aussetzung des Beschlussverfahrens mit Blick auf das Vorabaentscheidungsersuchen des Bundesarbeitsgerichts vom 26.08.2021³² ist nicht geboten. Soweit der Achte Bundesarbeitsgericht wissen möchte, ob die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zusätzlich zu den Voraussetzungen von Art. 9 Abs. 2 Buchst. h DSGVO davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Anforderungen erfüllt ist, ist dies hier nicht entscheidungserheblich. Die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c iVm. Abs. 3 DSGVO sind – wie ausgeführt – erfüllt.

Bundesarbeitsgericht, Beschluss vom 9. Mai 2023 – 1 ABR 14/22

1. vgl. bereits BAG 9.04.2019 – 1 ABR 51/17, Rn. 26 ff., BAGE 166, 269[↩]
2. Seifert in Simitis/Hornung/Spiecker Datenschutzrecht Art. 88 DSGVO Rn. 221[↩]
3. vgl. dazu zB Selmayr/Ehmann in Ehmann/Selmayr DSGVO 2. Aufl. Einführung Rn. 80 ff.[↩]
4. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 67 zur Öffnungsklausel des Art. 88 DSGVO[↩]
5. vgl. schon BAG 1.06.2022 – 5 AZR 28/22, Rn. 58; 9.04.2019 – 1 ABR 51/17, Rn. 28, BAGE 166, 269[↩]
6. BAG 9.04.2019 – 1 ABR 51/17, Rn. 28, BAGE 166, 269; vgl. auch BAG 1.06.2022 – 5 AZR 28/22, Rn. 56[↩]
7. sh. zB EuGH 11.09.2018 – C-68/17 – [IR] Rn. 63 ff.; 17.04.2018 – C-414/16 – [Egenberger] Rn. 71 ff.[↩]
8. vgl. BT-Drs. 18/11325 S. 94 f.[↩]
9. vgl. dazu EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 65, 74[↩]
10. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 84[↩]
11. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 85 ff.[↩]
12. vgl. BT-Drs.19/28899 S. 22[↩][↩]
13. dies verneinend etwa Maschmann NZA 2021, 834, 836 f.; kritisch auch Keitel/Busch BB 2021, 564, 567[↩]
14. vgl. bereits BAG 9.04.2019 – 1 ABR 51/17, Rn. 28, 47, BAGE 166, 269[↩]
15. sh. schon BAG 7.05.2019 – 1 ABR 53/17, Rn. 45, BAGE 166, 309; nun ausdrücklich in § 79a Satz 1 BetrVG vorgesehen[↩]
16. vgl. Richardi/Thüsing BetrVG 17. Aufl. § 79a Rn. 4 ff.[↩]
17. vgl. auch Fitting 31. Aufl. § 79a Rn. 41[↩]
18. BAG 9.04.2019 – 1 ABR 51/17, Rn. 32, BAGE 166, 269[↩]
19. vgl. dazu bereits BAG 9.04.2019 – 1 ABR 51/17, Rn. 34, aaO[↩]
20. vgl. BT-Drs. 18/11325 S. 97[↩]
21. BAG 9.04.2019 – 1 ABR 51/17, Rn. 39 mwN, BAGE 166, 269[↩]
22. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 65, 71, 74[↩]
23. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 80[↩]
24. BAG 7.05.2019 – 1 ABR 53/17, Rn. 47 f., BAGE 166, 309[↩]
25. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 88; 2.03.2023 – C-268/21 – [Norra Stockholm Bygg] Rn. 39[↩]
26. vgl. dazu EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 82 f.[↩]
27. vgl. BAG 9.04.2019 – 1 ABR 51/17, Rn. 48, BAGE 166, 269[↩][↩][↩]
28. LAG Baden-Württemberg 20.05.2022 – 12 TaBV 4/21[↩]
29. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 68; 24.02.2022 – C-175/20 – [Valsts ie??mumu dienests] Rn. 50; vgl. auch EuGH 2.03.2023 – C-268/21 – [Norra Stockholm Bygg] Rn. 43 mwN[↩]
30. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 74, 80[↩]
31. vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 88[↩]
32. BAG 26.08.2021 – 8 AZR 253/20 (A), Rn. 28 ff., BAGE 175, 319[↩]