MöhleDie datenschutzrechtliche Verantwortlichkeit des Betriebsrats
Duncker & Humblot Verlag, Berlin 2021, 310 Seiten, € 89,90
MöhleDie datenschutzrechtliche Verantwortlichkeit des Betriebsrats
Die Arbeit, die aus einer Dissertation hervorgegangen ist (und mit dem Dissertationspreis der Juristischen Gesellschaft Ostwestfalen-Lippe ausgezeichnet wurde), befasst sich mit der Stellung des BR in der datenschutzrechtlichen Verantwortlichkeitsarchitektur. Gem dem Tatbestand von Art 4 Nr 7 HS 1 DS-GVO identifiziert sie den BR (unionsrechtlich) als datenschutzrechtlich Verantwortlichen. Der deutsche Gesetzgeber hatte in der Vergangenheit nämlich keine (abweichende) Regelung im Rahmen der Öffnungsklausel des Art 4 Nr 7 HS 2 leg cit erlassen. Da die Arbeit vor Erlass von § 79a BetrVG entstanden ist, untersucht sie vor allem die unionsrechtlichen Rahmenbedingungen der Verantwortlichkeitsarchitektur.
Gem der Öffnungsklausel des Art 4 Z 7 HS 2 DS-GVO kann der „Verantwortliche“ unmittelbar bestimmt bzw können die bestimmten Kriterien seiner Benennung auch nach nationalem Recht vorgesehen werden, sofern dieses Zwecke und Mittel dieser Verarbeitung vorgibt. Von dieser Öffnungsklausel hat der deutsche Gesetzgeber mittlerweile bekanntlich mit seinem „Betriebsrätemodernisierungsgesetz“ (Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt, dBGBl 2021 Teil I Seite 1762, in Kraft getreten am 18. 6. 2021) Gebrauch gemacht: Gem § 79a Betriebsverfassungsgesetz (BetrVG) hat der BR bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Soweit der BR zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der AG der für die Verarbeitung Verantwortliche iSd datenschutzrechtlichen Vorschriften. AG und BR sollen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen.
In einem Annex skizziert Möhle deshalb die gesetzgeberischen Entwicklungen seit Februar 2021. Auch nach Erlass von § 79a BetrVG blieben viele Fragen (insb zur Haftung für Datenschutzverstöße des BR) umstritten und müssten konturiert werden, wofür die vorliegende Arbeit nach den Worten des Autors argumentative Ansatzpunkte liefern soll. Damit hat Möhle recht, unrecht hat er allerdings mit seinem Befund (S 279), es bedürfe 82einer Regelung im Rahmen von Art 4 Nr 7 HS 2 DS-GVO, wenn der BR als datenschutzrechtlich Verantwortlicher klassifiziert werden soll. Diese Rechtsfolge ergibt sich nämlich schon aus den tatsächlichen und rechtlichen Entscheidungsmöglichkeiten des BR in Bezug auf die Zwecke und Mittel seiner Datenverarbeitungen innerhalb des betriebsverfassungsrechtlichen Rahmens.
Als Fazit kann man festhalten, dass die Arbeit durchgängig stringent geschrieben, (auch für einen österreichischen Juristen) verständlich und nachvollziehbar und vor allem spannend ist (auch für den nur in Österreich mit betrieblichen Datenschutzfragen befassten Juristen), vor dem Hintergrund der aktuellen deutschen gesetzgeberischen Entwicklung aber viele Argumente der Arbeit neu zu denken sind, wenn man nicht die gesetzliche Neu-Regelung radikal als unionsrechtswidrig beurteilt, womit die unmittelbare Aktualität der vorliegenden Arbeit wiederhergestellt wäre (welchen Schritt der Autor allerdings explizit scheut).