Verantwortliche im Sinne der Datenschutz-Grundverordnung („DSGVO“) sind diejenigen, die die Handlungspflichten der DSGVO treffen. Sie müssen Maßnahmen ergreifen, um die Einhaltung der DSGVO zu gewährleisten. Ferner treffen sie Haftungsrisken und etwaige Bußgelder. Mit dem „Betriebsrätemodernisierungsgesetz“ und der Einführung von § 79a BetrVG hat der deutsche Gesetzgeber den Arbeitgebenden die Verantwortlichkeit für die Datenverarbeitung zugewiesen.
Nach § 79a S. 2 BetrVG sind Arbeitgebende Verantwortliche, sofern der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Das bedeutet auch, dass Arbeitgebende für Verstöße des Betriebsrats gegen datenschutzrechtliche Vorschriften möglicherweise haften.
Da Arbeitgebende aber quasi keinerlei Kontrollmöglichkeiten über die Ordnungsgemäßheit der Datenverarbeitung des Betriebsrats haben, haften die Arbeitgebende, ohne eine effektive Einwirkungsmöglichkeit zur datenschutzkonformen Datenverarbeitung zu haben. Betriebsräte haben Arbeitgebenden lediglich bei der Einhaltung der datenschutzrechtlichen Vorschriften „zu unterstützen“.
Zwar gibt es Stimmen, die § 79a S. 2 BetrVG für unvereinbar mit der DSGVO und damit rechtswidrig halten. Arbeitgebende sind jedoch gut beraten, nicht darauf zu vertrauen, sondern den Betriebsrat auf die Einhaltung der datenschutzrelevanten Vorschriften hinzuweisen und die Unterstützung des Betriebsrats einzufordern. In jedem Falle sollte dies auch dokumentiert werden, um Bußgeldern und Schadensersatzansprüchen aktiv entgegenzuwirken.
Die Datenschutzbeauftragten sind ihrerseits allerdings gegenüber den Arbeitgebenden zur Verschwiegenheit bezüglich von Informationen verpflichtet, die Rückschlüsse auf die Meinungsbildung der Betriebsräte zulassen. Dementsprechend stehen Arbeitgebende vor dem Dilemma, einerseits „Verantwortliche“ zu sein, andererseits aber die Einhaltung von Datenschutzbestimmungen nicht sachgerecht kontrollieren zu können.
Auch wenn der Betriebsrat nicht direkt für Verstöße gegen Datenschutzbestimmungen haftet, sind natürlich auch dessen Mitglieder von Gesetzes wegen angehalten, auf die Einhaltung der datenschutzrechtlichen Vorschriften zu achten. So können etwa grobe Pflichtverstöße des Betriebsrats zur gerichtlichen Auflösung des Betriebsrats führen.
Arbeitgebende müssen mit ihrer „neuen“ Verantwortlichkeit für die Datenverarbeitung durch den Betriebsrat umgehen und sollten diese Rolle dringend aktiv annehmen. Auch wenn die Kontroll- und Einwirkungsmöglichkeiten auf den Betriebsrat gering sind, so sollte die „gegenseitige Unterstützung“ eingefordert und beweissicher dokumentiert werden, um etwaige Bußgelder oder Schadensersatzansprüche auszuschließen oder jedenfalls zu reduzieren.