Menu Expand

Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats

Möhle, Jan-Peter

Schriften zum Öffentlichen Recht, Vol. 1459

(2021)

Additional Information

Book Details

Pricing

About The Author

Studium der Soziologie (2010-2013, B.A.) und der Rechtswissenschaft (2013-2019) an den Universitäten Bielefeld und Neuchâtel/Schweiz. Seit 2014 Mitarbeiter am Lehrstuhl für Öffentliches Recht, Staatslehre und Verfassungsgeschichte (Prof. Dr. Christoph Gusy) an der Universität Bielefeld. Mitarbeit an Gutachten im Datenschutz-, Polizei- und Sicherheitsrecht. Dozent an der Hochschule für Polizei und Verwaltung NRW. Vorübergehend Akademischer Mitarbeiter am Karlsruher Institut für Technologie. Promotion (Dr. jur.) 2021. Seit 2021 Rechtsreferendar am OLG Hamm. Forschungsschwerpunkte im Bereich des Datenschutz- (inkl. arbeitsrechtlicher Bezüge) und Informationsrechts. Studied sociology (B.A.). Attending law school (2013-2019) at Bielefeld University and University of Neuchâtel/Switzerland. Since 2014, research associate at the chair of Professor Dr. Christoph Gusy at Bielefeld University. Collaboration on expert opinions in data protection-, police- and security law. Lecturer at the University of Applied Sciences for Police and Public Administration in North Rhine-Westphalia. Academic assistant at the Karlsruhe Institute of Technology. Dr. jur. 2021. Since 2021 legal trainee at the Higher Regional Court of Hamm. Research focus on data protection law (with labor law aspects) and privacy law.

Abstract

Die Arbeit befasst sich mit der Stellung des Betriebsrats in der datenschutzrechtlichen Verantwortlichkeitsarchitektur. Im Tatbestand von Art. 4 Nr. 7 1. Hs. DSGVO identifiziert sie den Betriebsrat (europarechtlich) als datenschutzrechtlich Verantwortlichen. Der (mitgliedstaatliche) deutsche Gesetzgeber hatte in der Vergangenheit keine (abweichende) Regelung im Rahmen einer Öffnungsklausel erlassen. Da die Arbeit vor Erlass von § 79a BetrVG entstanden ist, untersucht sie vor allem die europarechtlichen Rahmenbedingungen der Verantwortlichkeitsarchitektur. Auch nach Erlass von § 79a BetrVG bleibt die Frage umstritten und muss konturiert werden. Die Arbeit entwickelt Lösungsansätze für den Umgang mit den Rechtsfolgen der datenschutzrechtlichen Stellung des Betriebsrats. Sie befasst sich vor allem mit Fragen zur allgemeinen Kostentragungspflicht, zum Datenschutzbeauftragten und zum Schadensersatzregime sowie Geldbußenregime. Ihre Lösungsansätze bleiben auch mit § 79a BetrVG aktuell.

Ausgezeichnet mit dem Dissertationspreis der Juristischen Gesellschaft Ostwestfalen-Lippe.
»The Responsibility of the Works Council under Data Protection Law«: This work examines the position of the works council in data protection law. In a European interpretation of Art. 4 No. 7 GDPR, it identifies the works council as controller. Member state legislatures could deviate of this under certain conditions. The work is dedicated to the handling of the legal consequences of this control: it examines questions of costs, the designation of data protection officers as well as claims for damages and the imposition of fines.

Table of Contents

Section Title Page Action Price
Vorwort 7
Inhaltsverzeichnis 9
Abkürzungsverzeichnis 17
§ 1 Betriebsräte, Verantwortlichkeit und Datenschutz – Problemstellung und Gang der Untersuchung 23
§ 2 Betriebsräte und datenschutzrechtliche Verantwortlichkeit 26
A. Der Ursprung des Verantwortlichkeitskonzepts im Datenschutzrecht 27
B. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im BDSG 28
C. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats in der DSGVO 30
I. Uneinheitlichkeit in der Rechtsprechung 31
II. Uneinheitliche Meinungen in der Literatur – der Streitstand 32
III. Uneinheitliche Meinungen der Datenschutzaufsichtsbehörden 34
IV. Erste gesetzgeberische Unternehmungen zur Handhabung von Verantwortlichkeit und Betriebsrat 37
V. Die fehlende Abstraktion in der bisherigen Diskussion 39
D. Die dogmatische Herleitung der Einordnung des Betriebsrats in der DSGVO 39
I. Auslegungsmethoden des Europarechts 40
1. Der europäische Methodenkanon 45
a) Begrifflichkeiten in der EuGH-Rechtsprechung 45
b) Begriffliche Systematisierung der Literatur 47
c) Die begrifflich systematisierten Methoden 49
2. Konkretisierung des Methodeninhalts in Rechtsprechung und Literatur 49
a) Europäische Inhalte der Wortlautauslegung 50
b) Europäische Inhalte der systematischen Auslegung 51
c) Europäische Inhalte der historischen Auslegung 54
d) Europäische Inhalte der teleologischen Auslegung 55
e) Methodengewichtung durch den EuGH 56
3. Fazit: Der europäische Methodenkanon 57
II. Angewandte Auslegung: Ist der Betriebsrat gem. Art. 4 Nr. 7 DSGVO datenschutzrechtlich verantwortlich? 58
1. Entscheidet der Betriebsrat als andere Stelle über Zwecke und Mittel der Datenverarbeitung? 59
a) Die Wortlautauslegung 60
aa) Der Verantwortlichkeitsbegriff in der DSGVO 61
bb) Das personelle Element: Der Betriebsrat als „Stelle“ in der DSGVO 62
(1) Das Verhältnis der Begriffe Einrichtung und andere Stelle 62
(2) Der Begriff andere Stelle 66
(3) Der Betriebsrat als andere Stelle 68
cc) Das sachliche Element: Der Betriebsrat und die Entscheidung über Zwecke und Mittel der Datenverarbeitung 68
dd) Der Wortlaut von Art. 4 Nr. 7 1. Hs. DSGVO – Der Betriebsrat im datenschutzrechtlichen Verantwortlichkeitskonzept 71
b) Systematische Aspekte der Auslegung 71
aa) Die Systematik von Art. 4 Nr. 7 DSGVO und die datenschutzrechtliche Verantwortlichkeit des Betriebsrats 72
(1) Die Systematik von Art. 4 Nr. 7 DSGVO zwischen Hs. 1 und Hs. 2: Betriebsrätliche Entscheidung trotz gesetzlicher Vorgaben 73
(2) Der Betriebsrat im System von Art. 4 Nr. 7 1. Hs. DSGVO als andere Stelle 77
(3) Insbesondere: Datenschutzrechtliche Verantwortlichkeit ohne Rechtsfähigkeit des Betriebsrats? 78
(a) Elemente der Rechtsfähigkeit 78
(b) Betriebsrat, Rechtsfähigkeit und Vermögensfähigkeit 80
(c) Rechtsfähigkeit, Teilrechtsfähigkeit und datenschutzrechtliche Verantwortlichkeit 82
(d) Die datenschutzrechtliche Teilrechtsfähigkeit des Betriebsrats 83
bb) Aspekte der systematischen Stellung des Verantwortlichkeitskonzepts in der DSGVO für die Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats 84
cc) Art. 4 Nr. 7 DSGVO, europäisches Primärrecht und datenschutzrechtliche Verantwortlichkeit des Betriebsrats 87
(1) Regelungsübergriffe aus dem Datenschutzrecht in das Betriebsverfassungsrecht 89
(2) Auslegungsimplikationen europäischer Grundrechte, insbesondere Art. 8 GRCh-EU 89
(3) Primärrechtskonforme Auslegung von Art. 4 Nr. 7 DSGVO und die datenschutzrechtliche Stellung des Betriebsrats 91
dd) Völkerrecht und datenschutzrechtliche Verantwortlichkeit des Betriebsrats 91
ee) Der Betriebsrat und die datenschutzrechtliche Verantwortlichkeit in den EU-Mitgliedstaaten 92
(1) Das Prinzip mitgliedstaatsfreundlicher Auslegung (Art. 4 Abs. 3 Satz 1 EUV) 93
(2) Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats zwischen Grundverordnung und mitgliedstaatlichen Regelungen 96
(3) Ausfüllung des europarechtlichen Rahmens: Mitgliedstaatliche Regelungen im Rahmen von Öffnungsklauseln 99
(a) Art. 88 DSGVO als potenzielle Öffnungsklausel? 100
(b) Art. 4 Nr. 7 2. Hs. DSGVO als potenzielle Öffnungsklausel 102
(c) Anforderungen an eine vom deutschen Gesetzgeber erlassene Verantwortlichkeitsregelung im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO 107
(d) Mitgliedstaatliche Regelungsmöglichkeiten im Rahmen der Öffnungsklausel des Art. 4 Nr. 7 2. Hs. DSGVO 110
(4) Mitgliedstaatliche Regelungsmöglichkeiten 111
ff) Ergebnisse der systematischen Auslegung 111
c) Die historische Auslegung 113
aa) Die Entstehungsgeschichte des Verantwortlichkeitskonzepts in der DSGVO 113
(1) Der Gesetzgebungsprozess von Art. 4 Nr. 7 DSGVO 114
(2) Die Erwägungsgründe 117
bb) Die Vorgeschichte des Verantwortlichkeitskonzepts 119
(1) Gesetzliche Begriffsentwicklung in Zeiten vor der DSGVO 120
(a) Der Ursprung des Verantwortlichkeitskonzepts in der DSK 108 des Europarats (1981) 120
(b) Der Hintergrund eines Fehlverständnisses: Die europarechtswidrige Dichotomie der Verantwortlichkeitskonzepte in Bundesdatenschutz­gesetz (1977) und Datenschutzrichtlinie (1995) 123
(aa) Die Gesetzgebungsgeschichte der Datenschutzrichtlinie 123
(bb) Die Auslegung des Art. 2 lit. d DSRL 126
(cc) Das Verantwortlichkeitskonzept im BDSG 126
(c) Folgen des Missverständnisses des europäischen Verantwortlichkeitskonzepts durch den deutschen BDSG-Gesetzgeber 131
(d) Aspekte der Vorgeschichte bei der Frage nach der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats 133
(2) Die EuGH-Rechtsprechung vor der DSGVO 133
cc) Aspekte der historischen Auslegung des Verantwortlichkeitskonzepts in der DSGVO 134
d) Das Telos als Auslegungskriterium 135
aa) Regelungseffektivität: Qualitative und quantitative Aspekte der Verantwortlichkeitsarchitektur 136
bb) Effektiver Datenschutz durch weisungsgeleitete Verantwortlichkeitsarchitektur 137
(1) Weisungen vom Arbeitgeber an das Betriebsratsmitglied? 138
(2) Weisungsarchitektur von Betriebsrat und Betriebsratsmitglied? 138
(3) Weisungsähnliche Vorgaben des Organs Betriebsrat gegenüber seinen Betriebsratsmitgliedern 139
cc) Insbesondere: Die datenschutzrechtliche Unabhängigkeit des Betriebsrats vom Arbeitgeber 139
dd) Teleologische Erwägungen zu Art. 4 Nr. 7 DSGVO 141
e) Der Betriebsrat als andere Stelle und dessen Entscheidung über Zwecke und Mittel der Datenverarbeitung 142
2. Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats im Sinne von Art. 4 Nr. 7 1. Hs. DSGVO 143
III. Dogmatik und Verantwortlichkeit des Betriebsrats nach Art. 4 Nr. 7 1. Hs. DSGVO 143
E. Die DSGVO als Einschnitt im überkommenen Verantwortlichkeitskonzept 144
§ 3 Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats 146
A. Die einzelnen Pflichten des Verantwortlichen 146
B. Übernahme erforderlicher Kosten durch den Arbeitgeber von administrativen Kosten der Betriebsratsarbeit 147
C. Benennung eines Datenschutzbeauftragten 149
I. Kostentragung bei pflichtiger und freiwilliger Benennung 149
II. Doppelnutzung der Infrastruktur durch Betriebsrat und Arbeitgeber zur Kosteneinsparung 155
D. Das Haftungsregime in der DSGVO 159
I. Die fehlende Rechtsfähigkeit als dogmatischer Problem-Ausgangspunkt 160
II. Das Schadensersatzregime der DSGVO (Art. 82 DSGVO) 161
1. Der rechtswissenschaftliche Meinungsstand 162
2. Lösungen zur Kostentragung des Betriebsrats im Schadensersatzregime der DSGVO 164
a) Betriebsrat, Arbeitgeber oder Betriebsratsmitglieder als Ausgleichspflichtige? 165
b) Das allgemeine betriebsverfassungsrechtliche Kostenregime als Lösungsansatz? 167
c) Haftungsverteilungen zwischen Arbeitgeber und Betriebsratsmitgliedern anhand des innerbetrieblichen Schadensausgleichs 168
d) Quotale Haftung nach Verschuldensgraden 172
3. Leitsätze aus dem Recht des innerbetrieblichen Schadensausgleichs zur Regelung der Haftung bei Schadensersatzansprüchen wegen betriebsrätlicher Datenschutzverstöße 173
III. Das Geldbußenregime in der DSGVO 174
1. Der rechtswissenschaftliche Meinungsstand 174
2. Geldbußen gegen den Betriebsrat nach alter datenschutzrechtlicher Rechtslage 175
3. Das neue Geldbußenregime der DSGVO 177
a) Die Praxis der Geldbußenverhängung durch die Datenschutzaufsichtsbehörden 178
b) Kompetenzielle Einwände gegen europarechtlich normierte Geldbußen 179
aa) Strafrechtliche Regelungskompetenzen der Europäischen Union 180
bb) Geldbußen als strafrechtliche Regelung? 180
(1) Geldbußen und europarechtlicher Strafrechtsbegriff 181
(2) Geldbußen und der Strafrechtsbegriff des BVerfG 183
c) Die Verweisungstechnik der DSGVO zur Verhängung von Geldbußen 186
d) Die Lückenhaftigkeit des implementierten Geldbußenregimes in der DSGVO 187
aa) Das „Ob“ der Geldbußenverhängung: Europarechtskonformität von Verschuldensprinzip und Opportunitätsprinzip des OWiG im Datenschutzrecht 189
(1) Europarechtskonformität des Schuldprinzips (§ 10 OWiG) 190
(a) Der Verschuldensmaßstab in der DSGVO 191
(b) Das sog. verfassungsrechtlich integrationsfeste Schuldprinzip des BVerfG 192
(c) Die Unanwendbarkeit von § 10 OWiG bei der datenschutzrechtlichen Geldbußenverhängung 195
(2) Europarechtskonformität des Opportunitätsprinzips (§ 47 OWiG) 197
(a) Der rechtswissenschaftliche Streitstand 197
(b) Das in Art. 83 Abs. 1 DSGVO angelegte Regel-Ausnahme-Verhältnis 199
(3) Die Europarechtswidrigkeit von § 10 OWiG und § 47 OWiG 200
bb) Das „Wie“ der Geldbußenverhängung: Regelungsstruktur und Europarechtskonformität der Verweislösung auf das Ordnungswidrigkeitsrecht 201
(1) § 130 Abs. 1 Satz 1 OWiG als normativer Anknüpfungspunkt 202
(a) Tatbestand des § 130 Abs. 1 Satz 1 OWiG 202
(aa) Betriebsrat, Betrieb und Betriebsinhaber? 202
(bb) Datenschutzverstoß und Aufsichtspflichtverstoß 203
(cc) Der Betriebsrat und der doppelte Pflichtenverstoß des § 130 OWiG 204
(dd) Der Betriebsrat als Sonderfall in § 130 OWiG 205
(b) Anwendbarkeit und Anwendung von § 130 OWiG im Datenschutzrecht? 206
(aa) § 130 OWiG im Geldbußenregime der DSGVO 207
(bb) Ansichten zur Anwendbarkeit von § 130 OWiG: Die vergessenen DSGVO-Öffnungsklauseln 208
(cc) Art. 84 Abs. 1 Satz 1 DSGVO als Öffnungsklausel für § 130 OWiG 209
(dd) Art. 83 Abs. 8 DSGVO als Öffnungsklausel für § 130 OWiG 211
(ee) § 130 OWiG im BDSG-Gesetzgebungsprozess 215
(ff) Die Praxis der Geldbußenverhängung auf Basis von § 130 OWiG 216
(gg) § 130 OWiG als ungeschriebene Bereichsausnahme in § 41 Abs. 1 BDSG (europarechtskonforme Auslegung) 218
(c) § 130 OWiG als Lösung der Geldbußenverhängung? 219
(2) § 30 OWiG als normativer Anknüpfungspunkt 220
(a) Der Tatbestand von § 30 OWiG 220
(aa) Der Betriebsrat als vertretungsberechtigtes Organ (§ 30 Abs. 1 Nr. 1 OWiG)? 220
(bb) Der Betriebsrat als nicht-rechtsfähiger Verein (§ 30 Abs. 1 Nr. 2 OWiG)? 221
(cc) Der Betriebsrat als rechtsfähige Personengesellschaft (§ 30 Abs. 1 Nr. 3 OWiG)? 223
(dd) Der Betriebsrat und das Unternehmen als rechtsfähige Personengesellschaft (§ 30 Abs. 1 Nr. 3 OWiG) 226
(ee) Der Betriebsrat im Rahmen von § 30 Abs. 1 Nr. 4 und 5 OWiG 226
(ff) Die tatbestandliche Untauglichkeit des § 30 OWiG 227
(b) Anwendbarkeit und Anwendung von § 30 OWiG im Datenschutzrecht? 227
(c) Tatbestandliche Grenzen und Unanwendbarkeit von § 30 OWiG zur Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO 229
(3) § 14 OWiG als normativer Anknüpfungspunkt 229
(a) Tatbestand von § 14 OWiG 229
(aa) Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats als besonderes persönliches Merkmal (§ 14 Abs. 1 Satz 2 OWiG) 229
(bb) Datenschutzrechtlich Verantwortlicher als Tatbeteiligter (§ 14 Abs. 1 Satz 1 OWiG)? 230
(cc) Die tatbestandliche Untauglichkeit des § 14 Abs. 1 OWiG 232
(b) Anwendbarkeit und Anwendung von § 14 OWiG im Datenschutzrecht 232
(c) Tatbestandliche Grenzen und Unanwendbarkeit von § 14 OWiG zur Geldbußenverhängung wegen betriebsrätlicher Datenschutzverstöße in der DSGVO 234
(4) § 9 OWiG als normativer Anknüpfungspunkt 234
(a) Tatbestand von § 9 OWiG 234
(aa) Der Betriebsrat als vertretenes Organ im Sinne von § 9 Abs. 1 OWiG? 235
(bb) Die gesetzliche Vertretungsmacht des Betriebsratsvorsitzenden (§ 9 Abs. 1 Nr. 3 OWiG)? 235
(cc) Der Betriebsratsbeschluss als Indikator gesetzlicher Vertretung? 237
(dd) Ergänzende teleologische Erwägungen: Das Ehrenamt „Betriebsratsmitglied“ 237
(ee) Die tatbestandliche Untauglichkeit von § 9 Abs. 1 OWiG 238
(b) Anwendbarkeit und Anwendung von § 9 OWiG im Datenschutzrecht 238
(c) Die tatbestandliche Untauglichkeit und Unanwendbarkeit von § 9 OWiG 239
(5) Lückenhafte Regelungen zum „Wie“ der Geldbußenverhängung 239
cc) Die Lückenhaftigkeit des derzeit normierten datenschutzrechtlichen Geldbußenregimes 240
e) Lösungsvorschläge: Geldbußen und der Betriebsrat im Geldbußenregime der DSGVO 241
aa) Die analoge Anwendung der OWiG-Vorschriften zur Ausfüllung der Regelungslücke? 243
bb) Europarechtlich zwingende Vermögensfähigkeit des Betriebsrats durch Anwendung von Art. 83 DSGVO? 244
cc) Leerlaufen der gegen den Betriebsrat verhängten Geldbußen? 248
dd) Staatshaftungsrecht zur Füllung der Regelungslücke? 249
(1) Lassen sich staatshaftungsrechtliche Richtlinienvorgaben auf die DSGVO übertragen? 250
(2) Effektuierung der Geldbußenverhängung durch Sanktionen gegen den deutschen Gesetzgeber? 251
(3) Die Akteurskonstellation und die Ungeeignetheit staatshaftungsrechtlicher Sanktionen 251
(4) Die Anwendung von Art. 83 Abs. 1–6 DSGVO ohne staatshaftungsrechtliche Sanktionen 252
ee) § 40 Abs. 1 BetrVG im Geldbußenrecht der DSGVO 252
ff) Geldbußen gegen die Betriebsratsmitglieder wegen eigenen Verschuldens – der Exzess-Gedanke als Aufrechterhaltung des Betriebsverfassungsrechts? 254
(1) Weisungsstruktur (Art. 29 DSGVO) und Geldbußen gegen den Betriebsrat 255
(2) Weisungsrecht und Exzess der Betriebsratsmitglieder 256
(3) Die Haftung der Betriebsratsmitglieder wegen Exzesses zwischen Schutzbedürfnis und Verschuldensgrad 257
(4) Besondere Problemkonstellationen beim Exzess der Betriebsratsmitglieder 258
(5) Der Exzess-Gedanke als Lösungsmöglichkeit für Geldbußen gegen den Betriebsrat 260
gg) Vielfältige Lösungsmöglichkeiten für Geldbußen wegen betriebsrätlicher Datenschutzverstöße 260
f) Geldbußen in der DSGVO gegen den datenschutzrechtlich verantwortlichen Betriebsrat 262
4. Das Geldbußenregime im Wandel der Rechtsnormen 262
IV. Der Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats 263
E. Der betriebsverfassungsrechtliche Umgang mit den Rechtsfolgen der datenschutzrechtlichen Verantwortlichkeit 264
§ 4 Resümee: Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats zwischen europäischen Vorgaben und nationalen Regelungsmöglichkeiten 267
§ 5 Annex: Gesetzgeberische Entwicklungen seit Februar 2021 275
Literaturverzeichnis 281
Sachwortverzeichnis 306