Laut Beschluss des Bundesarbeitsgerichts sind Betriebsräte zum Datenschutz verpflichtet
Der Arbeitgeber ist verpflichtet, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Die streitbefangene Einsichtnahme ist zwar auf eine Verarbeitung personenbezogener Daten gerichtet. Das ist aber zulässig. Das Gericht begründete seine Entscheidung wie folgt:
Zunächst definierte das Bundesarbeitsgericht (BAG) den Begriff Verarbeitung und griff dabei auf die gesetzliche Definition des Artikel 4 Absatz 2 DSGVO zurück. Man stellt fest, dass in der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss eine Verarbeitung dieser Daten liege.
Weiterhin führt das BAG an, dass die Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstelle, unabhängig davon ob dieser Dritter oder Empfänger im Sinne der DSGVO sei und stützt sich dabei auf die gesetzliche Definition des Artikel 4 Absatz 9 DSGVO.
„Der Begriff der Verarbeitung bezeichnet nach Artikel 4 Absatz 2 DSGVO u.a. jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“, also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Artikel 4 Absatz 9 DSGVO folgt – kein Dritter sein muss. Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter im Sinne von Artikel 4 Absatz 9 DSGVO ist.“
Es spiele in diesem Fall also keine Rolle, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichtigen Übermittlung personenbezogener Daten sei das egal.
In diesem Fall geht das BAG davon aus, das er Betriebsrat Empfänger ist und personenbezogene Daten offen gelegt werden. Ob Personen oder Stellen innerhalb eines Unternehmen ebenfalls als Empfänger angesehen werden ist noch umstritten, da der Betriebsrat mit gesetzlichen Sonderrechten und -pflichten ausgestattet ist.
Dabei hat die Einordnung des Betriebsrats als Empfänger Auswirkungen für Verantwortliche, etwa bei der Umsetzung der Betroffenenrechten (Artikel 13ff) und im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30).