Behörde: Bundesverwaltungsgericht
Datum: 31.03.2025
GZ: W287 2246105-1/54E
Rechtssatz:
Betriebsrat, Wahlvorstand und Betriebsratsfonds sind jeweils eigenständige
Verantwortliche iSd Art. 4 Z 7 DSGVO.
Die datenschutzrechtliche Verantwortlichkeit bestimmt sich nach dem funktionalen Kontext der Verarbeitung der entsprechenden
personenbezogenen Daten je nach Zuständigkeitsbereich.
Sachverhalt
Eine ehemalige stellvertretende Vorsitzende eines Angestelltenbetriebsrates brachte Beschwerde wegen einer angeblichen Verletzung ihres Rechts auf
Geheimhaltung ein. Anlass war die Übermittlung personenbezogener Unterlagen an die Geschäftsleitung ihres Arbeitgebers, die im Zuge arbeitsgerichtlicher Verfahren verwendet wurden. Die Beschwerde
richtete sich gegen die Vorsitzende des Angestelltenbetriebsrates. Die Datenschutzbehörde wies die Beschwerde ab, woraufhin die Beschwerdeführerin das Bundesverwaltungsgericht anrief.
Im Verfahren wurde umfangreich ermittelt, welche Unterlagen wann, von wem und in wessen Funktion an den Arbeitgeber weitergegeben worden
waren.
Rechtliche Begründung
Zentraler Punkt der Entscheidung war die datenschutzrechtliche Einordnung der Rolle des Betriebsrates, des Betriebsratsfonds sowie des
Wahlvorstandes:
1. Verantwortliche iSd DSGVO
Das BVwG stellte klar:
-
Der Betriebsrat ist ein eigenständiger Verantwortlicher nach Art. 4 Z 7 DSGVO. Seine Datenverarbeitung geschieht in einem eigenständigen, vom Arbeitgeber abgegrenzten Zuständigkeitsbereich (Stichwort: Weisungsfreiheit nach § 115 Abs. 2 ArbVG).
-
Gleiches gilt für den Wahlvorstand, der als Kollegialorgan der Arbeitnehmerschaft mit eigenständiger Entscheidungsbefugnis agiert.
-
Auch der Betriebsratsfonds ist eine eigene datenschutzrechtliche Einheit, vertreten durch den Vorsitzenden des Betriebsrates, mit Rechtspersönlichkeit und Vermögensfähigkeit (§ 74 ArbVG).
2. Zurechnung der Datenweitergabe
Im Verfahren konnte nicht festgestellt werden, dass die mitbeteiligte Partei (die Vorsitzende des Angestelltenbetriebsrates) in ihrer Funktion als
solche personenbezogene Daten eigenmächtig übermittelt hätte.
Ein Teil der Dokumente stammte:
-
vom Betriebsratsfonds (z. B. Bewirtungskosten, Abrechnungen),
-
vom Wahlvorstand (z. B. Wahldokumente),
-
andere wurden direkt von der Geschäftsleitung beschafft,
-
bei einigen war die Quelle nicht mehr eindeutig feststellbar.
Damit fehlte es an der Passivlegitimation der beschuldigten mitbeteiligten Partei.
3. Rechtmäßigkeit der Datenverarbeitung
Selbst wenn die Dokumente vom Angestelltenbetriebsrat übermittelt worden wären, hätte ein überwiegendes berechtigtes Interesse des Arbeitgebers vorgelegen (Art. 6 Abs. 1 lit. f DSGVO, § 1 Abs. 2 DSG).
Ziel war die interne Aufklärung eines möglichen Missbrauchs von Skonti aus Apothekenbestellungen.
Fazit und Empfehlung für Verantwortliche
Das BVwG bestätigt erneut, dass unterschiedliche arbeitsrechtliche Gremien jeweils eigenständige datenschutzrechtliche Verantwortliche darstellen. Organisationen sollten deshalb sorgfältig prüfen, wer in welcher Rolle über personenbezogene Daten verfügt oder diese verarbeitet.
Für Verantwortliche bedeutet das:
-
Klare Abgrenzung von Zuständigkeiten zwischen Betriebsrat, Wahlvorstand und Betriebsratsfonds,
-
Separate Verzeichnisse von Verarbeitungstätigkeiten je Verantwortlichem,
-
Dokumentation von Datenweitergaben mit konkreter Rollen- und Zweckzuweisung,
-
Sensibilisierung aller Beteiligten hinsichtlich datenschutzkonformer Handhabung sensibler Daten.
Relevante Normen
Kommentar schreiben