Die deutschen Gerichte sind sich einig: Auch der Betriebsrat muss den Datenschutz erfüllen. Besonders weitreichend sind die Forderungen, dass der Betriebsrat ggf. seine IT-Sicherheitsmaßnahmen beweisen muss und seine Daten-Anforderung konkret belegen soll.
Auf welcher Rechtsgrundlage darf der Betriebsrat die Daten der Beschäftigten verarbeiten (oder die Schwerbehindertenvertretung, oder die Jugend- und Auszubildendenvertretung, …)?
Hier kommt der nicht unkomplizierte Schachtelsatz des § 26 Abs. 1 BDSG zum Tragen, der hier verkürzt zitiert wird:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies […] zur Ausübung oder Erfüllung der sich aus einem Gesetz [z.B. BetrVG] oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Das Urteil des BAG zum Auskunftsanspruch des Betriebsrats fordert insbesondere bei „sensiblen“ Daten eine objektiv begründete Erforderlichkeit (Az. 1 ABR 51/17 vom 09.04.2019, z.B. in RdNr. 13). So muss der Name einer schwangeren Mitarbeiterin nur dann gemeldet werden, wenn dies unabdingbar notwendig ist. Der allgemeine Hinweis auf ein Mutterschutzgesetz reicht nicht aus.
Im Verarbeitungsverzeichnis des Betriebsrats wird also in den allermeisten Fällen der § 26 Abs. 1 BDSG als Rechtsgrundlage zu nennen sein, weil die gesetzlichen Aufgaben des BetrVG erfüllt werden müssen. In Einzelfällen wären aber auch Einwilligungen der Beschäftigten denkbar (z.B. die Weitergabe von personenbezogenen Akten an einen externen Rechtsanwalt). Spannend ist die Frage, ob für den Betriebsrat auch ein „berechtigtes Interesse“ gemäß Artikel 6 (1f) als Rechtsgrundlage denkbar wäre; vielleicht allenfalls für die Gremien-interne Datenverarbeitung (wie z.B. ein BR-Telefonverzeichnis).
