Klärung zur Stellung als Verantwortlicher: Eigenständige Verantwortlichkeit von Betriebsrat, Wahlvorstand und Betriebsratsfonds nach der DSGVO

Behörde: Bundesverwaltungsgericht Datum: 31.03.2025 GZ: W287 2246105-1/54E Rechtssatz: Betriebsrat, Wahlvorstand und Betriebsratsfonds sind jeweils eigenständige Verantwortliche iSd Art. 4 Z 7 DSGVO. Die datenschutzrechtliche Verantwortlichkeit bestimmt sich nach dem funktionalen Kontext der Verarbeitung der entsprechenden personenbezogenen Daten je nach Zuständigkeitsbereich. Sachverhalt Eine ehemalige stellvertretende Vorsitzende eines Angestelltenbetriebsrates brachte Beschwerde wegen einer angeblichen Verletzung ihres Rechts auf Geheimhaltung ein. Anlass war die Übermittlung personenbezogener Unterlagen an die Geschäftsleitung ihres Arbeitgebers, die im Zuge arbeitsgerichtlicher Verfahren verwendet wurden. Die Beschwerde richtete sich gegen die Vorsitzende des Angestelltenbetriebsrates. Die Datenschutzbehörde wies die Beschwerde ab, woraufhin die Beschwerdeführerin das Bundesverwaltungsgericht anrief. Im Verfahren wurde umfangreich ermittelt, welche Unterlagen wann, von wem und in wessen Funktion an den Arbeitgeber weitergegeben worden waren. Rechtliche Begründung Zentraler Punkt der Entscheidung war die datenschutzrechtliche Einordnung der Rolle des Betriebsrates, des Betriebsratsfonds sowie des Wahlvorstandes: 1. Verantwortliche iSd DSGVO Das BVwG stellte klar: Der Betriebsrat ist ein eigenständiger Verantwortlicher nach Art. 4 Z 7 DSGVO. Seine Datenverarbeitung geschieht in einem eigenständigen, vom Arbeitgeber abgegrenzten Zuständigkeitsbereich (Stichwort: Weisungsfreiheit nach § 115 Abs. 2 ArbVG). Gleiches gilt für den Wahlvorstand, der als Kollegialorgan der Arbeitnehmerschaft mit eigenständiger Entscheidungsbefugnis agiert. Auch der Betriebsratsfonds ist eine eigene datenschutzrechtliche Einheit, vertreten durch den Vorsitzenden des Betriebsrates, mit Rechtspersönlichkeit und Vermögensfähigkeit (§ 74 ArbVG). 2. Zurechnung der Datenweitergabe Im Verfahren konnte nicht festgestellt werden, dass die mitbeteiligte Partei (die Vorsitzende des Angestelltenbetriebsrates) in ihrer Funktion als solche personenbezogene Daten eigenmächtig übermittelt hätte. Ein Teil der Dokumente stammte: vom Betriebsratsfonds (z. B. Bewirtungskosten, Abrechnungen), vom Wahlvorstand (z. B. Wahldokumente), andere wurden direkt von der Geschäftsleitung beschafft, bei einigen war die Quelle nicht mehr eindeutig feststellbar. Damit fehlte es an der Passivlegitimation der beschuldigten mitbeteiligten Partei. 3. Rechtmäßigkeit der Datenverarbeitung Selbst wenn die Dokumente vom Angestelltenbetriebsrat übermittelt worden wären, hätte ein überwiegendes berechtigtes Interesse des Arbeitgebers vorgelegen (Art. 6 Abs. 1 lit. f DSGVO, § 1 Abs. 2 DSG). Ziel war die interne Aufklärung eines möglichen Missbrauchs von Skonti aus Apothekenbestellungen. Fazit und Empfehlung für Verantwortliche Das BVwG bestätigt erneut, dass unterschiedliche arbeitsrechtliche Gremien jeweils eigenständige datenschutzrechtliche Verantwortliche darstellen. Organisationen sollten deshalb sorgfältig prüfen, wer in welcher Rolle über personenbezogene Daten verfügt oder diese verarbeitet. Für Verantwortliche bedeutet das: Klare Abgrenzung von Zuständigkeiten zwischen Betriebsrat, Wahlvorstand und Betriebsratsfonds, Separate Verzeichnisse von Verarbeitungstätigkeiten je Verantwortlichem, Dokumentation von Datenweitergaben mit konkreter Rollen- und Zweckzuweisung, Sensibilisierung aller Beteiligten hinsichtlich datenschutzkonformer Handhabung sensibler Daten. Relevante Normen Art. 4 Z 7 DSGVO Art. 6 Abs. 1 lit. f DSGVO Art. 9 Abs. 2 lit. f DSGVO § 1 Abs. 2 DSG § 115 ArbVG § 74 ArbVG (Verwaltung des Betriebsratsfonds)