Allgemeines zu Auskunftsansprüchen

Betriebsräte besitzen eine Fülle von Auskunftsansprüchen gegenüber dem Arbeitgeber. Diese Ansprüche knüpfen zum Teil an sehr speziellen Aspekten an (Personalplanung: § 92 BetrVG; Änderungen von Arbeitsplätzen und/oder Arbeitsabläufen: § 90 BetrVG; Betriebsänderungen: § 111 Satz 1 BetrVG etc.) oder beruhen auf der allgemeinen Vorschrift des § 80 Abs. S Satz 1 BetrVG.

Dabei gilt der Grundsatz: Wenn der Betriebsrat reklamieren kann, dass er für die Wahrnehmung einer im Betriebsverfassungsgesetz (BetrVG) genannten Aufgabe eine konkrete Information benötigt, dann muss der Arbeitgeber diese dem Betriebsrat auch erteilen. So kann der Betriebsrat verlangen, dass ihm erläutert wird, nach welchen Kriterien (übertarifliche) Zulagen und/oder Einmalzahlungen geleistet werden, ob und wann ein möglicher Gesellschafterwechsel stattfindet oder ob und wann ein Betriebsübergang nach § 613a BGB vollzogen wird. Auch müssen dem Betriebsrat die Stände von Arbeitszeit- bzw. Gleitzeitkonten mitgeteilt werden und – ausdrücklich im Gesetz genannt – es muss der Arbeitgeber auch umfassend über die Tätigkeit von Fremdfirmenbeschäftigten unterrichten (Beschäftigte von Dienstleistern, die auf Basis eines Werk- oder Dienstertrages tätig werden), die nicht in einem Arbeitsverhältnis zum Arbeitgeber stehen (vgl. § 80 Abs. 2 Satz 1 2. Halbsatz BetrVG).

Auch: Daten zu Erreichbarkeit der Beschäftigten?

Es kann auch erforderlich sein, dass der Arbeitgeber dem Betriebsrat die Informationen zu erteilen hat, die der Betriebsrat benötigt, um die Beschäftigten für die betriebliche Öffentlichkeitsarbeit zu erreichen. Wenn der Betriebsrat die konkreten Beschäftigten nicht im Betrieb persönlich ansprechen kann (Außendienst/Montage, Tätigkeit im entfernt liegenden Betriebsteil etc.), dann muss der Arbeitgeber die Mail-Adresse oder ggf. – wenn eine solche elektronische Erreichbarkeit nicht besteht – die postalische Anschrift mitteilen.

Besondere personenbezogene Daten („sensitive Daten“)

In den letzten Jahren häuften sich die Konstellationen dergestalt, dass Betriebsräte Informationen zum Status von Beschäftigten verlangen, um die Einhaltung bestimmter Schutzvorschriften nach § 80 Abs. 1 Nr. 1 BetrVG überprüfen zu können, und unter Hinweis auf den Schutz des Persönlichkeitsrechts der Betroffenen diese nicht erhalten. Betriebsräte verlangen zum Beispiel die Angabe, welche Beschäftigte wann für welche Zeitdauer arbeitsunfähig waren, um die Durchführung eines Verfahrens des betrieblichen Eingliederungsmanagements zu überwachen (§ 167 Abs. 2 SGB IX). Betriebsräte fragten nach einer bestehenden Schwangerschaft von Mitarbeiterinnen und welchem Stadium der Schwangerschaft sich diese befinden. Auch die Frage nach einer Schwerbehinderteneigenschaft wurde gestellt und abschlägig beschieden.

2019: Bundesarbeitsgericht verlangt Datenschutzkonzept

Im Jahr 2019 hat das Bundesarbeitsgericht sich mit der Frage nach den Namen und dem voraussichtlichen Entbindungstermin von und schwangeren Mitarbeiterinnen befasst (BAG vom 9. 4. 2019– 1 ABR 51/17). Das Gericht hat die Existenz des Informationsrechts bestätigt, seine Erfüllung jedoch davon abhängig gemacht, dass der Betriebsrat besondere Schutzmaßnahmen zum Schutz der besonders sensiblen (sog. „sensitive“) Daten trifft.

Der Leitsatz lautete: „Umfasst ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG eine besondere Kategorie personenbezogener Daten (sensitive Daten im datenschutzrechtlichen Sinn), ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer/-innen angemessene und spezifische Schutzmaßnahmen trifft.“

Die Vorschrift des § 79a BetrVG stellt seit dem Jahr 2021 (Betriebsrätemodernisierungsgesetz) den althergebrachten Grundsatz ausdrücklich klar, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten und umzusetzen hat. Das Bundesarbeitsgericht legt die Konsequenzen dar, wenn ein solches Konzept nicht existiert oder nicht ausreichend ist: Der Arbeitgeber kann dann die Erfüllung des Informationsanspruchs verweigern. Die Begründung: Der Arbeitgeber kann dem Betriebsrat wegen dessen Unabhängigkeit nicht konkret vorschreiben, wie der Betriebsrat den Datenschutz umzusetzen hat. Zugleich ist der Arbeitgeber aber als datenschutzrechtlich Verantwortlicher nach den einschlägigen Regelungen der DSGVO verpflichtet, angemessene und spezifische Maßnahmen zum Schutz personenbezogener Daten sicherzustellen. Diese Pflicht gibt der Arbeitgeber gewissermaßen an den Betriebsrat weiter, indem die Erfüllung des Auskunftsanspruchs an die Existenz angemessener Datenschutzvorkehrungen geknüpft wird.

Dieser Gedankengang hat eine Logik. Aber: Das Problem bestand nun zunächst nach 2019 darin, dass die Betriebsräte und ihre Berater/-innen nicht wussten, wie genau diese Schutzmaßnahmen aussehen mussten. Naturgemäß wurde im „Arbeitgeberlager“ die Auffassung vertreten, dass die Standards gar nicht hoch genug anzusetzen seien.

2023: Bundesarbeitsgericht legt die ausreichenden Betriebsrats-Datenschutzstandards fest

Dieser Auffassung hat in einer für die Praxis sehr wichtigen Entscheidung im Mai 2023 das Bundesarbeitsgericht eine Absage erteilt (BAG vom 11. 5. 2023 – 1 ABR 14/22). Der Fall lag so, dass der Betriebsrat den Arbeitgeber erfolglos dazu aufforderte, ihm Auskunft über die Zahl und die konkreten Namen der im Betrieb beschäftigten schwerbehinderten und den Schwerbehinderten gleichgestellten Menschen zu erteilen. Das Auskunftsverlangen des Betriebsrats bezog sich also auch hier auf ein sogenanntes „sensitives“ Datum, zu denen auch die Schwerbehinderteneigenschaft gehört (Art. 9 DSGVO).

Exkurs: Warum wollte der Betriebsrat die Schwerbehinderteneigenschaft in Erfahrung bringen?

Der Betriebsrat wollte gem. § 176 Satz 2 SGB IX darauf achten, dass die in §§ 154, 155 und §§ 164 bis 167 SGB IX geregelten Pflichten vom Arbeitgeber erfüllt werden (Übersicht von Franz-Josef Düwell, Arbeitsrecht im Betrieb 3/2024, ab Seite 22):

1. § 154 Abs. 1 SGB IX: Auf wenigstens 5 % der Arbeitsplätze müssen schwerbehinderte und gleichgestellte Menschen beschäftigt werden und dazu ist nach § 164 Abs. 3 SGB IX durch geeignete Maßnahmen sicherzustellen, dass für diese vorgeschriebene Pflichtplatzzahl eine möglichst dauerhafte behinderungsgerechte Beschäftigung im Sinne von § 164 Abs. 4 und 5 SGB IX stattfinden kann.
2. § 155 Abs. 1 SGB IX: Im Rahmen der Beschäftigungspflicht in angemessenem Umfang sind auch schwerbehinderte Menschen zu beschäftigen, die das 50. Lebensjahr vollendet haben oder nach Art und Schwere der Behinderung besonders betroffen sind, wie z. B. Menschen, die einer besonderen Hilfskraft (Assistenz) bedürfen oder keine abgeschlossene Berufsbildung haben.
3. § 155 Abs. 2 Satz 1 SGB IX: Ein angemessener Anteil der Stellen zur beruflichen Bildung, insbesondere Stellen für Auszubildende nach § 10 Berufsbildungsgesetz (BBiG) ist mit schwerbehinderten oder gleichgestellten Menschen zu besetzen. Dazu gehören auch Stellen für Praktikanten, die nach § 26 BBiG eingestellt werden, um berufliche Fertigkeiten, Kenntnisse, Fähigkeiten oder berufliche Erfahrungen zu erwerben (BAG 23. 11. 2023 – 8 AZR 212/22).
4. § 155 Abs. 2 Satz 2 SGB IX: Der Arbeitgeber hat mit dem Betriebsrat als zuständige Interessenvertretung im Sinne des § 176 SGB IX jährlich zu beraten, was der angemessene Anteil der Ausbildungsplätze ist, der zur beruflichen Bildung schwerbehinderten und gleichgestellten Menschen zur Verfügung zu stellen ist.
5. § 164 Abs. 1 SGB IX: Der Arbeitgeber hat zu prüfen, ob freie Arbeitsplätze mit schwerbehinderten oder gleichgestellten Menschen, insbesondere mit bei der Agentur für Arbeit arbeitslos oder arbeitsuchend gemeldeten, besetzt werden können.
6. § 164 Abs. 4 Satz 1 Nr. 1 SGB IX: Der Arbeitgeber hat schwerbehinderte und gleichgestellte Menschen so zu beschäftigen, dass sie ihre Fähigkeiten und Kenntnisse möglichst voll verwerten und weiterentwickeln können.
7. § 164 Abs. 4 Satz 1 Nr. 2 und 3 SGB IX: Der Arbeitgeber hat schwerbehinderte und gleichgestellte Menschen bei innerbetrieblichen Maßnahmen der beruflichen Bildung bevorzugt zu berücksichtigen und die Teilnahme an außerbetrieblichen Maßnahmen zu erleichtern.
8. § 164 Abs. 4 Satz 1 Nr. 3 und 4 SGB IX: Der Arbeitgeber hat für die schwerbehinderten und gleichgestellten Beschäftigten die Arbeitsstätten einschließlich der Betriebsanlagen, Maschinen und Geräte behinderungsgerecht einzurichten sowie deren Arbeitsplätze, das Arbeitsumfeld, die Arbeitsorganisation und die Arbeitszeit behinderungsgerecht zu gestalten und deren Arbeitsplätze mit den erforderlichen technischen Arbeitshilfen auszustatten.
9. § 164 Abs. 5 SGB IX: Der Arbeitgeber hat für die schwerbehinderten und gleichgestellten Beschäftigten Teilzeitbeschäftigung zu ermöglichen, wenn die kürzere Arbeitszeit wegen Art oder Schwere der Behinderung notwendig ist, weil ein ursächlicher Zusammenhang zwischen der Behinderung und der vom Betroffenen verlangten Arbeitszeitverkürzung besteht (BAG 14. 10. 2003 – 9 AZR 100/03).
10. § 167 Abs. 1 SGB IX: Der Arbeitgeber hat bei Eintreten von personen-, verhaltens- oder betriebsbedingten Schwierigkeiten im Arbeitsverhältnis von schwerbehinderten und gleichgestellten Beschäftigten möglichst frühzeitig den Betriebsrat einzuschalten, um die Schwierigkeiten im Interesse einer Fortführung des Arbeitsverhältnisses beseitigen zu können.

Das Bundesarbeitsgericht bejahte die Existenz des auf die Benennung der geforderten Daten bezogenen Informationsanspruch des Betriebsrats und prüfte das vom Betriebsrat im Verfahren erläuterte von ihm selbst praktizierte Datenschutzkonzept. Der Betriebsrat hatte nämlich mit Blick auf die „Schwangeren-Entscheidung“ aus dem Jahr 2019 ein Datenschutzkonzept beschlossen.

Das Bundesarbeitsgericht hat das im Fall vom Betriebsrat praktizierte Konzept als ausreichend angesehen. Welche Schutzmaßnahmen der Betriebsrat aus dem Katalog des § 22 Abs. 2 Bundesdatenschutzgesetz seinem Konzept zugrunde legt, stünde in seinem Ermessen. Er müsse nicht alle dort aufgeführten Maßnahmen umsetzen und er sei auch nicht auf diese beschränkt. Wichtig sei allerdings, dass die getroffenen Maßnahmen mit Blick auf das Vertraulichkeitsinteresse der Beschäftigten angemessen seien, tatsächlich auch umgesetzt werden würden und im Ergebnis den in § 22 Abs. 2 BDSG aufgeführten Kriterien entsprechen würden. Ein gewisser Bewertungsspielraum steht dem Betriebsrat in diesem Zusammenhang zu.  

Datenschutzkonzept des Betriebsrats - vom Bundesarbeitsgericht gebilligt

Der Betriebsrat hatte folgende für ausreichend erachtete Schutzmaßnahmen getroffen und auch praktiziert:

• Bei der Übergabe von physischen Ausdrucken werden diese durch den Betriebsratsvorsitzenden oder – im Verhinderungsfall – durch den Stellvertreter entgegengenommen und in das Betriebsratsbüro verbracht.
• Das Betriebsratsbüro ist ein abschließbarer Raum; nur Betriebsratsmitglieder haben mittels eines Schlüssels Zutritt zum Betriebsratsbüro.
• Unterlagen mit besonders sensiblen Daten werden nur im Rahmen von Betriebsratssitzungen offengelegt.
• Solche Unterlagen werden außerhalb von Betriebsratssitzungen in einem verschließbaren Schrank aufbewahrt. Den Schlüssel hierzu hat ausschließlich der Betriebsratsvorsitzende bzw. dessen Stellvertreter.
• Bei einer Übermittlung von Daten per E-Mail erfolgt der Zugriff über eine E-Mail-Adresse des Betriebsrats.
• Der Abruf von E-Mails geschieht durch einen stationären Desktop-PC im Betriebsratsbüro.
• Der Zugang zu diesem Desktop-PC ist durch ein Passwort gesichert, das nur den Betriebsratsmitgliedern bekannt ist.
• Die Speicherung von Daten erfolgt stets zweckgebunden.
• Die Übertragung von Daten auf mobile Datenträger ist nur mit Zustimmung des Betriebsratsvorsitzenden bzw. dessen Stellvertreters möglich. Solche Datenträger sind durch ein Passwort zu sichern und nach Zweckerreichung zu formatieren.
• Wenn Daten nicht mehr benötigt werden, müssen sie gelöscht werden. Halbjährlich erfolgt eine Prüfung, ob gespeicherte Daten noch benötigt werden. Ist das nicht der Fall, werden sie gelöscht. Dies kann auch früher passieren, wenn es erforderlich ist.
• Betriebsratsmitglieder werden in regelmäßigen Abständen für den Umgang mit personenbezogenen Daten sensibilisiert.
• Im Bereich der sensitiven Daten erfolgt eine besondere Sensibilisierung durch den Betriebsratsvorsitzenden.

Was muss das Konzept nicht umfassen?

Der Arbeitgeber hatte in dem Verfahren den Einwand erhoben, dass dieses Konzept nicht ausreichen würde. Das Bundesarbeitsgericht betonte, dass dieser Einwand angesichts der Tatsache, dass der Grad und der Grund der Gleichstellung bzw. Schwerbehinderung nicht abgefordert worden sei, nicht gerechtfertigt sei. So sei der Betriebsrat nicht gehalten, ein absolutes Verbot der Speicherung personenbezogener Daten auf mobile Datenträger vorzusehen. Den im Datenschutzkonzept enthaltenen Zustimmungsvorbehalt in Beug auf den Betriebsratsvorsitzenden in Verbindung mit einer Passwortsicherung und der Formatierung nach Aufgabenerledigung erachtete das Bundesarbeitsgericht für ausreichend. Auch die Regelungen zu Löschungen waren nach Meinung des Bundesarbeitsgerichts ausreichend, da der Betriebsrat für sämtliche Verarbeitungszwecke bestimmte Speicherbegrenzungen festlegt hatte. Wichtig ist auch, dass der Betriebsrat nicht verpflichtet sei, ein Datenverarbeitungsverzeichnis nach Art. 30 DSGVO zu erstellen oder eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen. Dies seien keine notwendigen spezifischen Schutzmaßnahmen.

Was bedeutet das für die Praxis?

Der Betriebsrat sollte im Rahmen einer Bestandsaufnahme feststellen, welche personenbezogene Daten – bzw. sogar „sensitiven“ Daten gem. Art. 9 DSGVO – in die Einflusssphäre des Betriebsrats gelangen, wie und zu welchem Zweck sie von wem wann verarbeitet und wo sie gespeichert werden.

Wichtig ist sodann, dass der Betriebsrat ein konkretes Datenschutzkonzept entwickelt und beschließt und die tatsächliche Umsetzung durchführt und überwacht und hierfür auch konkrete Zuständigkeiten festlegt.

Raphael Lugowski weist zurecht in „Computer und Arbeit“, Heft 2/2024, Seite 15 ff. auf Folgendes hin: „Im Standard-Datenschutzmodell der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder sind ausgehend von einzelnen, aus der DSGVO abgeleiteten Gewährleistungszielen technische und organisatorische Maßnahmen zur Umsetzung beschrieben. Auch wenn der Betriebsrat keine verantwortliche Stelle ist, bietet das Modell eine gute Grundlage für die Ausarbeitung eines individualisierten angemessenen Datenschutzkonzepts für die Betriebsratsarbeit. Das Standard-Datenschutzmodell findet sich hier: https://datenschutzkonferenz-online.de/anwendungshinweise.html. Die fortschreitende Digitalisierung kann zusätzliche Schutzmaßnahmen erforderlich machen, beispielsweise, wenn personenbezogene Daten cloudbasiert verarbeitet und gespeichert werden sollen. Der Verschlüsselung von Daten (Transportverschlüsselung, serverseitige Verschlüsselung, Festplattenverschlüsselung etc.) kommt dann besondere Bedeutung zu. Immer im Blick zu behalten sind dabei die Datenschutzgrundsätze nach Art. 5 DSGVO, auf die sich das BAG in der vorliegenden Entscheidung mehrfach bezieht.“

Fazit

Das Bundesarbeitsgericht hat mit dieser Entscheidung aus dem Jahr 2023 „dir Kirche im Dorf gelassen“ und verlangt von den Betriebsräten nichts Unmögliches oder gar nur Übermäßiges. Ein hinreichendes, aber auch machbares Datenschutzkonzept muss her. Betriebsräte können sich hierzu beraten lassen und nutzen ihre guten Kontakte zu den Gewerkschaftssekretären/-innen der IG-Metall-Geschäftsstelle.

Zur Abrundung ein paar Lesetipps:

• „BAG zum Datenschutzkonzept des Betriebsrats“, Raphael Lugowski - Computer und Arbeit 2/2024, 15 ff.;
• „Betriebsrat muss bei bestimmten Auskunftsverlangen Datenschutz darlegen“, Bachner in CuA 12/2019, 38 ff.;
• „Datenschutz als Kontrollinstrument“, Steiner in CuA 12/2019, 16 ff.;
• „Datenschutz im Betriebsratsbüro muss sein!“, Wedde in CuA 12/2019, 8 ff.;
• „Datenverarbeitung im Gremium“, Wedde/Steiner in CuA 12/2019, 13 ff.;
• „Datenschutz im Betriebs- und Personalratsbüro“, Ruchhöft in CuA 2/2023, 28 ff.;
• „Datenpanne im Gremium – was tun?“, Haverkamp in CuA 4/2022, 34 ff.;
• „Datenschutzbeauftragter´ für den Betriebsrat?“, Wedde in CuA 11/2022, 12 ff..

Häufiges Praxisproblem: Weitergabe von Daten an Dritte?

Abschließend soll noch zu einer in der Praxis sehr häufig gestellten Frage etwas gesagt werden. Betriebsräte möchten nach Erhalt bestimmter Informationen vom Arbeitgeber nicht selten personenbezogene (sehr selten: auch die „sensitiven“ Daten) an Dritte (andere Beschäftigte, Vorträge auf Betriebsversammlungen, Beantwortung von Anfragen von Rechtsanwälten, Informationsbitte einer Gewerkschaft etc.) weitergeben. Hierzu muss deutlich gesagt werden:

Ohne eine einzelfallbezogene Zustimmung (Einwilligung) der Betroffenen ist diese Weitergabe von personenbezogenen Informationen datenschutzrechtlich nicht zulässig. Eine Zuwiderhandlung kann auch strafrechtliche und schadensersatzrechtliche Folgen haben.

In der Literatur ist lediglich mit Blick auf die verfassungsrechtlich in Art 9 Abs. 3 GG verankerte Sonderstellung der Gewerkschaften Folgendes weitgehend anerkannt (vgl. Wolfgang Däubler, Interessenvertretung durch Betriebsrat und Gewerkschaften im digitalen Betrieb, HSI-Schriftenreiche Band 41, 2022, S. 65 bis 68): Um Beschäftigte werbend und informierend anzuschreiben, dürfen Betriebsräte an Gewerkschaften ihnen bekannte und legal erlangte Mail-Adressen (und wohl auch Post-Anschriften) von Nicht-Mitgliedern weitergeben, damit die Gewerkschaften – soweit nicht die Betroffenen ausdrücklich der Übersendung von Informationen widersprochen haben (Rechtsgedanke: Art. 21 Abs. 2 DSGVO) – diesen sodann Material zuzusenden. Für Mitglieder gibt es ohnehin kein Problem, weil diese mit ihrer Organisationsmitgliedschaft eingewilligt haben). Diese Einschätzung beruht auf einer grundrechtsfreundlichen Auslegung des Art. 6 Abs. 1 Buchstabe f) DSGVO. Eine höchstrichterliche und somit belastbare Entscheidung des Bundesarbeitsgerichts hierzu liegt allerdings noch nicht vor. Diese Aspekte abwägend sollte ein Betriebsrat genau prüfen, welche Daten er an wen weitergibt. Er sollte aber auch nicht übervorsichtig agieren, um gewerkschaftliche Spielräume nicht unnötig einzuschränken.