Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 08.07.2019

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Aktuelle Kurz-Information 23: Der Personalrat - Verantwortlicher im Sinne des Datenschutzrechts?

Stichwörter: Auskunftsrecht - Datenschutzbeauftragter, behördlicher - Informationspflichten - Personalrat - Verarbeitungsverzeichnis - Verantwortlicher

Der nach Art. 12 Abs. 1 Bayerisches Personalvertretungsgesetz (BayPVG) zu bildende Personalrat verarbeitet im Rahmen seiner Aufgabenerfüllung Beschäftigtendaten. Schon unter Geltung des "alten" Datenschutzrechts ist die Frage diskutiert worden, ob hinsichtlich dieser Verarbeitungen der Personalrat selbst oder aber die öffentliche Stelle, bei der er gebildet ist, als verantwortlich im datenschutzrechtlichen Sinne anzusehen ist. Ich habe mich in diesem Zusammenhang für eine einheitliche Verantwortlichkeit der öffentlichen Stelle ausgesprochen, aber darauf hingewiesen, dass der besonderen Stellung des Personalrats Rechnung zu tragen ist (so etwa im Hinblick auf die Kontrollmöglichkeiten des behördlichen Datenschutzbeauftragten). Diese Auffassung stand im Einklang mit der bisherigen Rechtsprechung des Bundesarbeitsgerichts, welches den Betriebsrat auch datenschutzrechtlich als Teil des jeweiligen Unternehmens und somit als Teil dieser "speichernden Stelle" angesehen hatte (vgl. Bundesarbeitsgericht, Beschluss vom 11. November 1997, Az. 1 ABR 21/97).

Mit Geltungsbeginn der Datenschutz-Grundverordnung (DSGVO) ist die Diskussion um die datenschutzrechtliche Verantwortlichkeit des Personalrats wieder aufgelebt. Meine Position fasse ich nachstehend zusammen.

1. Die Rolle des "Verantwortlichen"

Die Verpflichtungen nach der Datenschutz-Grundverordnung treffen in erster Linie den Verantwortlichen. Verantwortlicher ist dabei nach Art. 4 Nr. 7 DSGVO grundsätzlich

"die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden".

Die Datenschutz-Grundverordnung eröffnet dem mitgliedstaatlichen Gesetzgeber an dieser Stelle somit einen gewissen Gestaltungsspielraum: Unter den Voraussetzungen des Art. 4 Nr. 7 Halbsatz 2 DSGVO kann der mitgliedstaatliche Gesetzgeber den Verantwortlichen somit selbst gesetzlich bestimmen. Hierauf wird zurückzukommen sein.

2. Der Personalrat als "Verantwortlicher"?

Teilweise wird die Auffassung vertreten, dass der Personalrat nun selbst Verantwortlicher im Sinne der Datenschutz-Grundverordnung sei, da er alleine über die Zwecke und die Mittel der von ihm durchgeführten Verarbeitungen personenbezogener Daten entscheide (so etwa für die Parallelproblematik bezüglich des Betriebsrats: Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Tätigkeitsbericht Datenschutz 2018, S. 37 f.). Diese Auffassung hätte für Personalräte weitreichende datenschutzrechtliche Konsequenzen. So wären sie als Verantwortliche etwa verpflichtet, einen eigenen Datenschutzbeauftragten zu benennen; ihre Mitglieder wären zudem einem nicht unerheblichen Haftungsrisiko ausgesetzt.

Vorzugswürdig erscheint es, den Personalrat - wie bislang - als Teil der jeweiligen öffentlichen Stelle anzusehen. Diese ist somit auch für Datenverarbeitungen des Personalrats Verantwortlicher im Sinn der Datenschutz-Grundverordnung. Im Anwendungsbereich des Bayerischen Datenschutzgesetzes (BayDSG) ergibt sich dies insbesondere aus Art. 3 Abs. 2 BayDSG. Mit dieser Regelung hat der bayerische Gesetzgeber von der Ermächtigung des Art. 4 Nr. 7 Halbsatz 2 DSGVO Gebrauch gemacht. Verantwortlicher für die Verarbeitung personenbezogener Daten ist demnach grundsätzlich die für die Verarbeitung zuständige öffentliche Stelle. Der Begriff der "öffentlichen Stelle" wird insbesondere in Art. 1 Abs. 1, 2 und 4 BayDSG bestimmt - der Personalrat fällt gerade nicht darunter. Es wird somit grundsätzlich die Behörde oder sonstige öffentliche Stelle einheitlich als Verantwortlicher betrachtet, ohne dass eine weitergehende Untergliederung (etwa in einzelne Ämter oder Abteilungen) erfolgt.

Doch auch wenn man allein Art. 4 Nr. 7 Halbsatz 1 DSGVO in den Blick nimmt, ist der Personalrat nicht als Verantwortlicher anzusehen. Zwar ist der Begriff des Verantwortlichen grundsätzlich weit zu verstehen und mit dem Zusatz "oder andere Stelle" in Art. 4 Nr. 7 Halbsatz 1 DSGVO auch bewusst offen gehalten. Allerdings steht die "andere Stelle" in einer alternativen Aufzählung unter anderem mit einer juristischen Person, einer Behörde oder einer Einrichtung. Dies spricht dafür, dass auch der europäische Gesetzgeber die genannten Organisationsformen grundsätzlich einheitlich als Verantwortliche auffasst. Da der Personalrat aber keine eigene, nach außen hin verselbstständigte Stelle ist, sondern unselbstständiger Teil der jeweiligen Behörde oder sonstigen öffentlichen Stelle, ist er - jedenfalls soweit er seine gesetzlichen Aufgaben wahrnimmt - datenschutzrechtlich auch nicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

Für diese Auffassung spricht ferner, dass die Datenschutz-Grundverordnung die Begriffe "Behörde" und "öffentliche Stelle" zwar wiederholt gebraucht, aber selbst nicht definiert. Damit erkennt sie die Organisationshoheit des einzelnen Mitgliedstaates hinsichtlich Aufbau und Struktur seiner Verwaltung an. Würde man dies anders sehen, drohte im Ergebnis eine "Zersplitterung" der datenschutzrechtlichen Verantwortlichkeit im Bereich der öffentlichen Verwaltung: Neben dem Personalrat kämen nämlich auch weitere Stellen einer Behörde als eigenständige Verantwortliche in Betracht, sofern diese Stellen besonderen internen Verschwiegenheitspflichten unterliegen und hinsichtlich der Verarbeitung personenbezogener Daten eine gewisse Unabhängigkeit aufweisen. Dies beträfe etwa die Schwerbehindertenvertretung und nicht zuletzt auch den behördlichen Datenschutzbeauftragten selbst, der im Rahmen seiner Tätigkeit ebenfalls weisungsfrei (vgl. Art. 38 Abs. 3 Satz 1 DSGVO) personenbezogene Daten verarbeitet.

Aufgaben, Rechte und Pflichten der Personalräte bayerischer öffentlicher Stellen sind im Bayerischen Personalvertretungsgesetz geregelt. Es wäre dem bayerischen Gesetzgeber unbenommen geblieben, den Personalrat auf Grundlage von Art. 4 Nr. 7 Halbsatz 2 DSGVO in diesem Zusammenhang als datenschutzrechtlich Verantwortlichen zu bestimmen, wie dies andere Landespersonalvertretungsgesetze vereinzelt vorsehen. Eine solche Regelung hat der bayerische Gesetzgeber jedoch nicht getroffen.

Es bleibt daher bei dem Grundsatz, dass eine bayerische Behörde oder sonstige öffentliche Stelle einheitlich als Verantwortlicher anzusehen ist - auch für die Verarbeitungen personenbezogener Daten durch ihren Personalrat.

3. Datenschutz innerhalb des Personalrats

Die jeweilige öffentliche Stelle muss als Verantwortlicher somit grundsätzlich sicherstellen, dass auch ihr Personalrat die einschlägigen datenschutzrechtlichen Vorgaben einhält. Hierbei ist allerdings der besonderen Stellung des Personalrats Rechnung zu tragen, insbesondere im Hinblick auf die Schweigepflicht seiner Mitglieder nach Art. 10 BayPVG. Insoweit hat die Dienststellenleitung gegenüber dem Personalrat nur begrenzte Einflussmöglichkeiten.

In der praktischen Umsetzung folgt für bayerische öffentliche Stellen hieraus insbesondere:

a) Der Personalrat und der behördliche Datenschutzbeauftragte

Dem behördlichen Datenschutzbeauftragten obliegen unter anderem Beratungs- und Überwachungsaufgaben gegenüber dem Verantwortlichen sowie dessen Beschäftigten, die Datenverarbeitungen durchführen (vgl. Art. 39 Abs. 1 Buchst. a und b DSGVO). Diese Aufgaben bestehen somit auch gegenüber dem Personalrat als Teil des Verantwortlichen. Die noch zur alten Rechtslage ergangene Rechtsprechung des Bundesarbeitsgerichts, wonach im Bereich des Betriebsverfassungsgesetzes ein Kontrollrecht des betrieblichen Datenschutzbeauftragten gegenüber dem Betriebsrat nicht besteht (vgl. Bundesarbeitsgericht, Beschluss vom 11. November 1997, Az. 1 ABR 21/97), dürfte unter Zugrundelegung der neuen Rechtslage nicht mehr aufrechtzuerhalten sein. Dabei ist auch zu berücksichtigen, dass der behördliche Datenschutzbeauftragte gegenüber dem Verantwortlichen weisungsfrei handelt (Art. 38 Abs. 3 Satz 1 DSGVO).

Angesichts der Schweigepflicht des Personalrats sollten sowohl dieser als auch der behördliche Datenschutzbeauftragte allerdings darauf achten, dass letzterer seiner Überwachungs- und Beratungsaufgabe möglichst ohne die Nutzung personenbezogener Beschäftigtendaten nachkommt, etwa indem der Personalrat Fragestellungen in abstrakter Form - also ohne konkreten Einzelfallbezug - an den behördlichen Datenschutzbeauftragten richtet. Umgekehrt sollte der behördliche Datenschutzbeauftragte die Einhaltung technischer und organisatorischer Datenschutzanforderungen durch den Personalrat nach Möglichkeit ohne Kenntnisnahme personenbezogener Beschäftigtendaten überprüfen. Soweit der behördliche Datenschutzbeauftrage Kenntnis erlangt von Umständen, die der Schweigepflicht nach Art. 10 BayPVG unterliegen, hat er gegenüber der Dienststelle ebenfalls Stillschweigen zu bewahren (vgl. Art. 38 Abs. 5 DSGVO in Verbindung mit Art. 12 Abs. 2 BayDSG).

b) Technische und organisatorische Maßnahmen

Der Personalrat hat innerhalb seines Zuständigkeitsbereiches eigenverantwortlich geeignete technische und organisatorische Maßnahmen im Sinn der Art. 24 und 32 DSGVO umzusetzen. Soweit erforderlich, sollte er diesbezüglich die Beratung durch den behördlichen Datenschutzbeauftragten in Anspruch nehmen. Die Dienststelle hat den Personalrat insoweit mit den erforderlichen Sachmitteln auszustatten (Art. 44 BayPVG).

c) Verzeichnis der Verarbeitungstätigkeiten

Da der Personalrat selbst nicht Verantwortlicher ist, besteht für ihn keine Pflicht, ein eigenes Verzeichnis der Verarbeitungstätigkeiten (im Folgenden: Verarbeitungsverzeichnis) gemäß Art. 30 DSGVO zu führen. Allerdings muss das Verarbeitungsverzeichnis der jeweiligen öffentlichen Stelle auch die Verarbeitungstätigkeiten des Personalrats enthalten. Vor dem Hintergrund der Schweigepflicht nach Art. 10 BayPVG ist hierbei in besonderem Maße auf eine hinreichend abstrakte Beschreibung der jeweiligen Verarbeitungstätigkeit zu achten. So könnte der Zweck der Verarbeitung personenbezogener Daten durch den Personalrat etwa mit "Wahrnehmung der gesetzlich vorgesehenen Aufgaben der Personalvertretung" umschrieben werden.

d) Informationspflichten und Auskunftsrecht

Informationspflichten des Personalrats nach Art. 13, 14 DSGVO bestehen nur, soweit noch keine entsprechende Information der Beschäftigten durch die Dienststelle erfolgt ist. In diesem Zusammenhang bietet es sich insbesondere an, dass die Dienststelle bei Neueinstellungen im Rahmen ihrer Informationspflicht nach Art. 13 DSGVO auch darüber informiert, in welchem Umfang die erhobenen Daten durch den Personalrat verarbeitet werden. Eine gesonderte Information des Beschäftigten unmittelbar durch den Personalrat selbst wird dann nur noch im Einzelfall erforderlich sein.

Verlangen Beschäftigte Auskunft nach Art. 15 DSGVO, ist angesichts der Schweigepflicht des Personalrats nach Art. 10 BayPVG zu unterscheiden:

  • Beschränkt sich das Auskunftsersuchen auf Datenverarbeitungen durch den Personalrat, kann dieser selbstständig das entsprechende Ersuchen bearbeiten.
  • Beschäftigte können ihr Auskunftsersuchen aber auch auf sämtliche Daten beziehen, welche die Dienststelle von ihnen verarbeitet. Hier sollte die Dienststelle zunächst im Wege eines konstruktiven Dialogs mit den jeweiligen Beschäftigten ermitteln, ob das Auskunftsersuchen tatsächlich auch Datenverarbeitungen durch den Personalrat umfasst. Ist dies der Fall, sollte die Dienststelle die jeweiligen Beschäftigten (nur) insoweit unmittelbar an den Personalrat verweisen. Dieser kommt dem Ersuchen dann selbstständig nach.

e) Regelungen zum Datenschutz im Zusammenhang mit der Personalratsarbeit

Es ist dringend zu empfehlen, dass sich Personalrat und Dienststellenleitung hinsichtlich des Vorgehens bezüglich dieser und weiterer Themen (etwa bezüglich einer Datenschutzverletzung im Bereich des Personalrats) im Wege der vertrauensvollen Zusammenarbeit (Art. 2 Abs. 1 BayPVG) gemeinsam verständigen. Entsprechende Regelungen sollten getroffen und schriftlich fixiert werden. Unabhängig hiervon sollte der Personalrat natürlich auch interne Regelungen zum Datenschutz treffen, etwa eine Aussonderungsroutine festlegen.

4. Fazit

Die besseren Argumente sprechen dafür, den Personalrat einer bayerischen öffentlichen Stelle nicht als eigenständigen Verantwortlichen im Sinn von Art. 4 Nr. 7 DSGVO anzusehen. Vielmehr bleibt - wie bislang - die jeweilige bayerische öffentliche Stelle auch für die Verarbeitung personenbezogener Daten durch den Personalrat verantwortlich. Bei der Umsetzung der datenschutzrechtlichen Pflichten des Verantwortlichen ist allerdings der besonderen Stellung des Personalrats hinreichend Rechnung zu tragen.

Die Diskussion zu dieser Thematik ist noch im Fluss. Es ist zu erwarten, dass zu gegebener Zeit auch Rechtsprechung hierzu ergehen wird. Bayerischen öffentlichen Stellen und ihren Personalräten empfehle ich daher, die weitere Entwicklung aufmerksam zu verfolgen.