Keine datenschutzrechtlichen Bedenken hinsichtlich der im Betrieb beschäftigten schwerbehinderten und gleichgestellten A

Datenschutzrecht und Arbeitsrecht können sich an überraschenden Stellen begegnen: Der Betriebsrat benötigt zur Wahrnehmung seiner Aufgaben aus § 80 Abs. 1 Nr. 4 BetrVG i.V.m. § 176 Satz 1 und Satz 2 Halbs. 1, § 164 Abs. 4 Satz 1 Nr. 1, 4 und 5 sowie Abs. 5 Satz 3 SGB IX die Namen aller der Arbeitgeberin bekannten im Betrieb beschäftigten schwerbehinderten und ihnen gleichgestellten Arbeitnehmer. Nur so kann er prüfen,

ob diese Arbeitnehmer ihre Fähigkeiten und Kenntnisse bei ihrer Arbeit voll verwerten und weiterentwickeln können (§ 164 Abs. 4 Satz 1 Nr. 1 SGB IX),
ob ihre Arbeitsplätze mit den erforderlichen Hilfsmitteln ausgestattet sind (§ 164 Abs. 4 Satz 1 Nr. 5 SGB IX) und
ob wegen Art oder Schwere der Behinderung eine kürzere Arbeitszeit erforderlich ist (§ 164 Abs. 5 Satz 3 SGB IX).

Der Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 i. V. m. Abs. 1 Nr. 4 BetrVG, § 176 Satz 2 Halbs. 1, § 164 SGB IX besteht unabhängig davon, ob die betroffenen Arbeitnehmerinnen und Arbeitnehmer zugestimmt haben.

Das Bundesarbeitsgericht (1 ABR 14/22) hatte nun zu prüfen, ob dem Auskunftsanspruch nicht datenschutzrechtliche Gründe entgegenstehen.

Probleme am Arbeitsplatz? Unsere Experten für (IT-)Arbeitsrecht und Kündigungsschutz helfen Ihnen weiter!

In unserer renommierten Kanzlei bieten wir umfassende Beratung im Arbeitsrecht mit besonderem Fokus auf IT-Arbeitsrecht für Unternehmen sowie Kündigungsschutz für Verbraucher. Unser erfahrenes Team von Rechtsanwälten steht Ihnen zur Seite, um Ihre arbeitsrechtlichen Probleme zu lösen. Mit unserer spezialisierten Expertise im IT-Arbeitsrecht sind wir in der Lage, komplexe rechtliche Herausforderungen im Zusammenhang mit Technologie und Arbeitsverhältnissen zu bewältigen.

Wir im Arbeitsrecht

Dabei kam das Bundesarbeitsgericht zu dem Ergebnis, dass die Übermittlung der begehrten Daten an den Betriebsrat nach § 26 Abs. 3 i.V.m. § 22 Abs. 2 BDSG zulässig ist. Dabei betonte das BAG:

Die Regelung des § 26 Abs. 3 BDSG begegnet keinen unionsrechtlichen Bedenken. Mit ihr hat der Gesetzgeber in zulässiger Weise von der Öffnungsklausel des Art. 9 Abs. 2 lit. b DSGVO Gebrauch gemacht. Insbesondere ist die Umsetzung des Art. 9 Abs. 2 lit. b DSGVO durch § 26 Abs. 3 BDSG auch nicht deshalb unzureichend, weil der Gesetzgeber die erforderlichen angemessenen und spezifischen Maßnahmen nicht selbst abschließend bestimmt hat.
Der Auskunftsanspruch des Betriebsrats betrifft in diesen Fällen eine besondere Kategorie personenbezogener Daten gem. Art. 9 Abs. 1 i.V.m. Art. 4 Nr. 15 DSGVO, da er die Namen der schwerbehinderten und ihnen gleichgestellten behinderten Menschen zum Gegenstand hat. Der Antrag ist auch auf eine Übermittlung dieser Daten an einen Empfänger und damit auf eine „Verarbeitung“ iSv. Art. 4 Nr. 2 DSGVO gerichtet. Aus Art. 4 Nr. 9 DSGVO ergibt sich, dass der Empfänger kein Dritter sein muss. Zudem muss die Verarbeitung für Zwecke des Beschäftigungsverhältnisses erfolgen.
Da der Betriebsrat nach § 80 Abs. 2 Satz 1 BetrVG einen – gesetzlichen – Anspruch darauf hat, dass der Arbeitgeber ihm die Namen der schwerbehinderten und gleichgestellten Beschäftigten mitteilt, ist die damit verbundene Datenverarbeitung gem. § 26 Abs. 3 Satz 1 BDSG auch zur Erfüllung einer rechtlichen Verpflichtung aus dem Arbeitsrecht erforderlich.
Bei der Geltendmachung eines Auskunftsanspruchs, der sich auf personenbezogene Daten besonderer Kategorien bezieht, hat der Betriebsrat darzulegen, dass er Maßnahmen zur Wahrung der schutzwürdigen Interessen der betroffenen Arbeitnehmer trifft oder getroffen hat. Fehlen solche Schutzmaßnahmen oder sind sie unzureichend, schließt dies den Auskunftsanspruch aus. Der Begriff der angemessenen und konkreten Maßnahmen ist ein unbestimmter Rechtsbegriff. Insofern wird es ausreichen, wenn der Betriebsrat durch die verschlossene Aufbewahrung von Unterlagen und die Passwortsicherung elektronisch gespeicherter Daten den Zugriff auf personenbezogene Daten i.S.d.. § 22 Abs. 2 Satz 2 Nr. 5 BDSG beschränkt und – verbunden mit der Kontrolle der Weitergabe und Verfügbarkeit der Daten – dem Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. f DSGVO) Rechnung getragen hat.
Zudem ist der Betriebsrat bei der Festlegung von Maßnahmen weder auf die in § 22 Abs. 2 Satz 2 BDSG genannten beschränkt, noch muss er alle dort aufgeführten Maßnahmen ergreifen. § 22 Abs. 2 Satz 2 BDSG zählt die möglichen Maßnahmen nur beispielhaft auf. Bei den vom Betriebsrat zu treffenden Schutzvorkehrungen muss es sich also nicht um die in § 22 Abs. 2 Satz 2 Nr. 1 bis 10 BDSG ausdrücklich genannten Maßnahmen handeln. Soweit er andere Vorkehrungen trifft, müssen diese das Geheimhaltungsinteresse der Betroffenen strikt beachten und bei wertender Betrachtung den in § 22 Abs. 2 BDSG aufgeführten Kriterien entsprechen.
Der Betriebsrat ist auch nicht verpflichtet, weitergehende Regelungen in sein Datenschutzkonzept aufzunehmen. Nach § 22 Abs. 2 Satz 2 BDSG sind bei der Beurteilung, welche Maßnahmen angemessen und erheblich sind, u. a. die Art, der Umfang und die Zwecke der Verarbeitung sowie die Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der betroffenen (natürlichen) Person zu berücksichtigen. Das Datenschutzkonzept des Betriebsrats musste auch kein absolutes Verbot der Speicherung personenbezogener Daten auf mobilen Datenträgern vorsehen.
Schließlich steht einem Auskunftsanspruch auch nicht entgegen, dass der Betriebsrat weder dargelegt hat, dass er ein Verzeichnis der Verarbeitungen gem. Art. 30 DSGVO noch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt hat. Es liegt auf der Hand, dass die Erfüllung der sich aus diesen Vorschriften ergebenden Pflichten keine geeigneten Garantien für die Wahrung der Grundrechte und Interessen der betroffenen Personen iSv. Art. 9 Abs. 2 lit. b DSGVO und – angesichts der ohnehin nicht abschließend geregelten Vorgaben in § 22 Abs. 2 BDSG – jedenfalls nicht um „besondere Maßnahmen“ handelt.