IT-Mitbestimmung – nicht mehr ohne!

Die Betriebsratswahlen 2018 sind abgeschlossen. Die neuen Gremien haben sich konstituiert und – nicht nur – für die »Rookies« unter den Interessenvertretern ist nun Wissenserwerb angesagt. Ganz weit vorne steht mittlerweile die Mitbestimmung bei betrieblichen IT-Systemen.

In einem Beitrag für die Ausgabe 7/8 2018 der Fachzeitschrift „Computer und Arbeit“ (CuA) erläutere ich die rechtlichen Rahmenbedingungen der Mitbestimmung bei betrieblichen IKT-Sachverhalten – auch vor dem Hintergrund der mit dem Wirksamwerden der DSGVO eingetretenen Veränderungen der Rechtslage:

CuA 7/8 2018 - Strunk

Darum geht es:

  • Die Interessenvertretung hat bei technischen Einrichtungen, mit denen die Belegschaft überwacht werden kann, mitzubestimmen.
  • Die Beschäftigten sind vor unzulässigen Eingriffen des Arbeitgebers in ihren Persönlichkeitsbereich zu schützen.
  • Das neue Datenschutzrecht hat auch erhebliche Auswirkungen auf die IT-Mitbestimmung.

Wesentlicher Bestandteil des erforderlichen Betriebsratswissens ist unter anderem die Kenntnis der Mitbestimmungsrechte in sozialen Angelegenheiten, die der Interessenvertretung gemäß § 87 BetrVG zustehen.

Neben den dort geregelten »klassischen« Sachverhalten haben die Durchdringung des alltäglichen Arbeitslebens mit der Nutzung von Informations- und Kommunikationstechnologien, aber auch seine zunehmend stärkere faktische Beeinflussung durch außerbetriebliche Kommunikationsmittel wie insbesondere soziale Medien dafür gesorgt, dass in der betrieblichen Praxis auch der Mitbestimmung gemäß § 87 Abs. 1 Nr. 6 BetrVG zunehmend größere Bedeutung zukommt. Unter diese Norm fällt mehr, als man ihr auf den ersten Blick ansieht, angesichts der spröden Formulierung »Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen«.

Und auch die nunmehr seit dem 25. Mai 2018 unmittelbar geltende EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) erfordern mit Blick auf den Beschäftigtenschutz auch im Bereich der Mitbestimmung die Aufmerksamkeit der Belegschaftsvertretung. Dazu später mehr. Zunächst jedoch zum Kernthema.

Mitarbeiterüberwachung

Das Potenzial zur Überwachung der Belegschaft ist mittlerweile groß. Und es erweitert sich ständig: Zu betrieblichen Zwecken eingesetzte Software wie etwa im Personalwesen genutzte SAP-Module oder auch für Kassensysteme verwendete Data Loss Prevention-Funktionen bietet eine ungeheure Fülle an Auswertungsmöglichkeiten und möglichen Verhaltens-Rückbezügen auf einzelne Arbeitnehmer. Programme, die es bereits in der Grundeinstellung erlauben, das gesamte Verhalten der Arbeitnehmer einschließlich sämtlicher Tastatureingaben am PC heimlich aufzuzeichnen.1

Telefonanlagen, die nicht mehr das Festnetz sondern das Datennetz nutzen (»Voice over IP«) und damit nicht nur die äußeren Kommunikationsdaten, sondern auch die Kommunikationsinhalte jederzeit reproduzierbar machen. Ebenfalls zum betrieblichen Alltag vieler Branchen gehören inzwischen GPS-oder auch RFID-Systeme, mit denen Informationen über den Aufenthalt, das Bewegungsverhalten sowie sonstiges Mitarbeiterverhalten gewonnen und gespeichert werden können. Auch das Thema Videoüberwachung spielt (wieder) eine zunehmend größere Rolle.

Häufig geht es aber gar nicht mehr so sehr um klassische Überwachungsszenarien: Im Zeitalter von Big Data werden Daten – insbesondere im Konzernumfeld – zunehmend auch dazu benötigt, um Erkenntnisse zum Beispiel hinsichtlich der tätigkeitsbezogenen Gehaltsentwicklung in bestimmten Bereichen und Regionen erlangen zu können. Hierfür werden unter anderem Gehaltsdaten für sogenannte Benchmarks benötigt und Dritten zur Verfügung gestellt.2

Durch die inzwischen starke Verbreitung von Informations- und Kommunikationsmitteln auch im Privatbereich sowie die hiermit verbundenen Veränderungen im »klassischen« Nutzerverhalten haben sich auch weitere für das Arbeitsverhältnis und die Persönlichkeitsrechte der Beschäftigten praktisch relevante Problemstellungen ergeben: Neben der Überwachung der Internet- und E-Mail-Nutzung als mittlerweile ständigem regelungsrelevantem Thema in der betrieblichen Praxis sind weitere hinzugekommen wie zum Beispiel die Nutzung privater Geräte zu dienstlichen Zwecken (»Bring Your Own Device«) und insbesondere auch die Verwendung von Social Media Tools wie zum Beispiel WhatsApp für dienstliche Aufgaben.

Insbesondere durch die stark verbreitete private Nutzung sozialer Medien entsteht eine zusätzliche Schwierigkeit mittlerweile auch dadurch, dass Kommunikationsinhalte mit Bezug zum Arbeitsplatz sowohl von Arbeitnehmern als auch über sie auf diesem Weg schnell der – zum Teil ungeahnt breiten – Öffentlichkeit zugänglich gemacht werden.

Auch hieraus erwachsen zunehmend nicht nur Sachverhalte, die für Bestandsstreitigkeiten sorgen, sondern auch Themen, die Gegenstand der betrieblichen Mitbestimmung sind. Das zeigt die erste Grundsatzentscheidung zur Mitbestimmung bei der Nutzung sozialer Medien, die das Bundesarbeitsgericht (BAG) Ende 2016 getroffen hat. 3

Anders als noch das Landesarbeitsgericht (LAG) Düsseldorf 4 zuvor, bejahte es ein Mitbestimmungsrecht des Betriebsrats an einer Unternehmens-Seite bei Facebook. Es entschied, dass eine vom Arbeitgeber betriebene Facebook-Seite, die es den Usern ermöglicht, über die Funktion »Besucher-Beiträge« Postings zum Verhalten und zur Leistung der beschäftigten Arbeitnehmer einzustellen, eine technische Einrichtung ist, die zur Überwachung der Mitarbeiter im Sinne des § 87 Abs. 1 Nr. 6 BetrVG bestimmt ist. Die Entscheidung des Arbeitgebers, Postings der Besucher unmittelbar zu veröffentlichen, unterliege daher der Mitbestimmung des Betriebsrats.

Die Interessenvertretung sollte daher in jedem Fall zu diesem mittlerweile recht praxisrelevanten Mitbestimmungstatbestand einige solide Grundkenntnisse besitzen, um ihren gesetzlichen Auftrag auch in dieser Hinsicht vernünftig erfüllen zu können.

Erzwingbare IT-Mitbestimmung

§ 87 Abs. 1 Nr. 6 BetrVG ist die praktisch bedeutsamste Norm des Betriebsverfassungsgesetzes zur erzwingbaren Mitbestimmung im Zusammenhang mit zu betrieblichen Zwecken genutzter IT.

Mit der Regelung wird dem Betriebsrat nach dem Gesetzeswortlaut ein Mitbestimmungsrecht eingeräumt bei der »Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen«.

Nun ist die entsprechende Kontrolle durch den Arbeitgeber als solche nicht unzulässig. Im Gegenteil: Die Kontrolle des Verhaltens und der Leistung der Arbeitnehmer im Betrieb ist das als Eigentum gemäß Art. 14 des Grundgesetzes (GG) geschützte Recht des Arbeitgebers als Gläubiger der geschuldeten Arbeitsleistung und als Inhaber der Sachherrschaft über seine Betriebsmittel. Andererseits resultiert aus einer dauerhaften Überwachungs- und Auswertungsmöglichkeit eine akute und konkrete Gefährdung für das grundgesetzlich geschützte Recht des einzelnen Arbeitnehmers auf freie Entfaltung seiner Persönlichkeit (vor allem in Form der »informationellen Selbstbestimmung« sowie des Grundrechts auf »digitale Intimsphäre«), das auch am Arbeitsplatz zu beachten und vor unzulässigen Beeinträchtigungen zu schützen ist.

Diese beiden gegenläufigen Interessen sind daher zu berücksichtigen, abzuwägen und in der Praxis mit Hilfe einer angemessenen Regelung in Ausgleich zu bringen. Und genau hierzu existiert § 87 Abs. 1 Nr. 6 BetrVG.

Gegenstand und Zweck des Mitbestimmungsverfahrens ist vor diesem Hintergrund nicht der generelle Schutz der Beschäftigten vor einer arbeitgeberseitigen Überwachung ihres Verhaltens und ihrer Leistung durch technische Einrichtungen. Das Mitbestimmungsrecht soll vielmehr präventiv alle unzulässigen arbeitgeberseitigen Eingriffe in den Persönlichkeitsbereich der Beschäftigten verhindern, die bei der Verwendung anonymer technischer Kontrolleinrichtungen und sonstige Formen technischer Datenerhebung und -verarbeitung typischerweise zu befürchten sind. Das Mitbestimmungsrecht soll die Arbeitnehmer also nur vor den besonderen Gefahren solcher Überwachungsmethoden für ihr Persönlichkeitsrecht schützen.5

Die typischen Gefahren ergeben sich dabei nicht nur aus der anonymen, nicht erkennbaren und damit auch nicht abwendbaren automatischen Erhebung, Verknüpfung und Verwertung von Daten durch eine »Maschine«: Eine wesentliche zusätzliche Belastung besteht auch darin, dass die mit der Aufzeichnung gewonnenen Informationen stets verfüg- und reproduzierbar bleiben und daher nicht so »flüchtig« sind, wie die aufgezeichnete Handlung des Mitarbeiters selbst.

Relevante Beschäftigtendaten

Den durch das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG geschützten Bereich erstreckt das BAG herkömmlich auf zwei Konstellationen:

  • technische Einrichtungen, durch die leistungs- oder verhaltensbezogene Daten erhoben werden, auch wenn deren Auswertung nicht beabsichtigt ist.6
  • manuell erhobene Daten, wenn sie in dem System eingegeben und dadurch zu Aussagen über Verhalten und Leistung der Arbeitnehmer verarbeitet werden.7

Für das Eingreifen des Mitbestimmungstatbestands kommt es grundsätzlich nicht darauf an, ob die mit der technischen Einrichtung gewonnenen Daten allein oder erst in Verbindung mit anderen Daten eine Beurteilung von Verhalten oder Leistung ermöglichen. Ausreichend ist, dass diese Daten für eine persönliche Beurteilung des Arbeitnehmers in irgendeiner Weise relevant werden können.

Dementsprechend besteht regelmäßig auch dort ein Mitbestimmungsrecht, wo für sich betrachtet »neutrale« technische Daten wie beispielsweise Telefon-, Internetverbindungsdaten oder Server-Logdateien konkrete Rückschlüsse auf ein individuelles Arbeitnehmerverhalten ermöglichen.8

Schwerpunkt und Aufgabe der Mitbestimmung sind in der konkreten Ausgestaltung des jeweiligen IT-Systems zu sehen: Bei der beabsichtigten Einführung einer unternehmensweit einzusetzenden Software beispielsweise besteht die wesentliche Aufgabe der betrieblichen Interessenvertretung darin, durch geeignete Regelungen in einer Betriebsvereinbarung die systemimmanente spezifische Überwachung auf das unumgängliche Maß zu reduzieren, etwa durch Vereinbarungen zur Löschung, Sperrung oder Anonymisierung der Arbeitnehmerdaten, zur Aufbewahrungsdauer, zur Festlegung zulässiger Verwendungszwecke, zur Beschränkung des Kreises der Zugriffsberechtigten oder etwa zur Bekanntgabe der Überwachungsdaten an die Betroffenen.

Reichweite der IT-Mitbestimmung

Das Mitbestimmungsrecht besteht bei der Einführung und Anwendung der technischen Einrichtung. Nach herrschender Ansicht umfasst das Mitbestimmungsrecht bei der Einführung einer technischen Einrichtung neben den mit ihr notwendigerweise verbundenen weiteren Details des »Wie« – etwa die Zweckbestimmung, die Auswahl des Anbieters und des Produkts, die Art und Anzahl einzelner Komponenten, den Zeitpunkt der Einführung, den Ort der Verwendung, die Art der Installation, gegebenenfalls den Zeitraum oder die Wirkungsweise ihrer Verwendung – sowie die unmittelbar auf die Einführung bezogene Vorbereitungsmaßnahmen auch bereits das »Ob« der Einführung einer bestimmten Einrichtung.9

Mit »Anwendung« ist die allgemeine Handhabung der technischen Einrichtung gemeint, also die Art und Weise, in der sie konkret eingesetzt werden soll. Auch die Veränderung der Einrichtung – wenn beispielsweise der Kreis der betroffenen Arbeitnehmer oder die Zahl der erfassten Daten vergrößert wird – fällt unter das Tatbestandsmerkmal »Anwendung«.

Ein Mitbestimmungsrecht bezüglich der Veränderung einer technischen Einrichtung setzt allerdings voraus, dass zumindest objektiv die Möglichkeit besteht, dass durch die beabsichtigte Veränderung eine Intensivierung der Überwachung stattfindet oder diese eine neue Qualität bekommt.

Ob die Belegschaftsvertretung auch ein Initiativrecht hinsichtlich der Einführung technischer Einrichtungen hat, wird nicht einheitlich beantwortet: Nach zutreffender Ansicht kann sie unter Berufung auf § 87 Abs. 1 Nr. 6 BetrVG grundsätzlich nicht die Einführung einer bestimmten technischen Einrichtung verlangen.10 Denn dies würde dem Normzweck des Mitbestimmungstatbestands inhaltlich zuwiderlaufen.

Uneinheitlich beurteilt wird auch der Fall, dass der Arbeitgeber eine technische Einrichtung in seinem Betrieb wieder abschaffen will: Während das BAG dies in einer früheren Entscheidung verneint hat, wird in der Literatur vertreten, dass der Betriebsrat auch bei der durch den Arbeitgeber beabsichtigten Abschaffung einer technischen Einrichtung zu beteiligen ist. 11

Er ist allerdings nach allgemeiner Ansicht nicht daran gehindert, die Abschaffung seinerseits zum Gegenstand eines von ihm selbst initiierten Mitbestimmungsverfahrens zu machen.12

Das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG greift dann nicht ein, wenn eine Datenerhebung oder -verarbeitung nur rein manuell durch den Mitarbeiter oder einen Vorgesetzten erfolgt und sich hierauf beschränkt – also insbesondere keine weitere Eingabe der manuellen Aufzeichnungen in ein Verarbeitungssystem erfolgt.13 Beispiele hierfür aus der Rechtsprechung sind etwa Arbeitszeit- und Tätigkeitsberichte der Arbeitnehmer zum Nachweis geleisteter Mehrarbeit14, das Abfassen von Tätigkeitsberichten beziehungsweise die Führung von Arbeitsbüchern zum Nachweis der Arbeitsleistung15, die Kontrolle der Einhaltung der Arbeitszeit durch Zeitkarten oder auch die Arbeitszeitmessung durch manuelle Betätigung einer Stoppuhr16.

Die Auswertung der Ergebnisse einer zunächst manuell durchgeführten Kontrolle mit Hilfe einer technischen Einrichtung ist allerdings als mitbestimmungspflichtige Überwachung anzusehen.

Das höchste deutsche Arbeitsgericht hat hierin bereits früh einen Teil des Überwachungsvorgangs gesehen, der nach § 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmung unterliegt, weil den vielfältigen Gefahren für das Persönlichkeitsrecht des Betroffenen durch die automatisierte Datenverarbeitung nur dann ausreichend durch das Mitbestimmungsrecht begegnet werden kann, wenn auch die technischen Auswertungen manuell erzeugter Daten grundsätzlich dem Schutzbereich unterfallen.17

Nicht von ungefähr regelt auch das BDSG-neu in § 26 – weiterhin – dass zu den schützenswerten Daten im Kontext des Arbeitsverhältnisses auch solche gehören, die nicht automatisiert erhoben wurden.

Eine Überwachung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG und damit eine Mitbestimmungspflicht ist daher auch dann gegeben, wenn zunächst manuell erfasste relevante Daten zum Beispiel in ein computergestütztes Personalinformationssystem eingegeben und dadurch jederzeit ausgewertet werden können. Denn das Bedrohungspotenzial für die informationelle Selbstbestimmung ist in dieser Situation qualitativ nicht geringer. Eine Auswertung liegt nach der Rechtsprechung immer dann vor, wenn verhaltensbezogene Daten mit anderen Daten programmgemäß zusammengestellt oder miteinander in Beziehung gesetzt und damit zu Aussagen über Verhalten oder Leistung von Arbeitnehmern verarbeitet werden können. Diese Voraussetzungen sind zweifellos auch dann gegeben, wenn zwar die erste Erfassung noch manuell, das weitere Auswerten und Speichern jedoch automatisiert erfolgt.

Ebenso mitbestimmungspflichtig sind alle Formen der Benutzer- und Zugangskontrolle, sofern mit ihnen Rückschlüsse auf Leistung oder Verhalten der jeweiligen Mitarbeiter gezogen werden können.

Technische Einrichtungen

Vom Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG werden sämtliche technischen Einrichtungen erfasst, die einer Überwachung dienen können.18

Nach ständiger BAG-Rechtsprechung und herrschender Auffassung in der arbeitsrechtlichen Literatur ist es trotz des Wortlauts der Bestimmung (»bestimmt«) ausreichend, wenn die Einrichtung zur Überwachung der Arbeitnehmer objektiv geeignet ist.19

Ob eine Bestimmung zur Überwachung vorliegt, entscheidet sich daher primär nicht nach der subjektiven Einschätzung des Arbeitgebers, sondern nur nach der jeweiligen Funktionalität der technischen Einrichtung. Bloße Kamera-Attrappen fallen damit nicht unter den Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG, da sie objektiv zur Überwachung ungeeignet sind.20

Für das Eingreifen des Mitbestimmungstatbestands ist es unerheblich, ob eine mit entsprechender Funktionalität ausgestattete technische Einrichtung tatsächlich zur Überwachung eingesetzt wird21 oder ob überhaupt eine entsprechende konkrete Absicht des Arbeitgebers besteht.22

Überwachung muss auch nicht der einzige oder hauptsächliche Zweck des fraglichen Betriebsmittels sein. Dementsprechend fällt beispielsweise jede Software unter den Begriff der technischen Einrichtung, die – unter Umständen bereits um überhaupt bestimmungsgemäß funktionieren zu können – zumindest auch die Überwachung der Beschäftigten ermöglicht.23 Beispiele für die »Sekundärüberwachung« sind etwa Internet-Browser, die bereits in der Grundeinstellung automatisch das Surfverhalten der Nutzer protokollieren oder auch bereits der Internetzugang als solcher!

Kontrolle von Verhalten und Leistung

Nicht alle technischen Datenerhebungen und -verarbeitungen, die innerhalb eines Arbeitsverhältnisses im Hinblick auf die Person oder die Tätigkeit des Mitarbeiters erfolgen, unterliegen der Mitbestimmung: So ist etwa das Verarbeiten sogenannter Betriebsdaten, also Daten, die Auskunft über die Produktion, Maschinennutzung oder Lagerhaltung geben, grundsätzlich mitbestimmungsfrei.24

Auch kann der Arbeitgeber bereits aufgrund seines Direktionsrechts vom einzelnen Mitarbeiter personenbezogene Angaben wie beispielsweise Stamm- oder Statusdaten verlangen, deren anschließende Speicherung er grundsätzlich ohne Beteiligung des Betriebsrats vornehmen darf.25 Der Schutz der Beschäftigten über das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG reicht nur soweit, wie eine Überwachung einen unmittelbaren Bezug zu ihrer arbeitsvertraglich veranlassten Tätigkeit im Betrieb zum Gegenstand hat: Gesetzlich geschützt sind ausschließlich Daten über »das Verhalten oder die Leistung« des einzelnen Arbeitnehmers, wobei eine Abgrenzung der beiden Merkmale überflüssig ist, da »Verhalten« nach dem Verständnis des BAG jede Handlung im betrieblichen – aber auch im außerbetrieblichen – Bereich ist, die für die Beurteilung des Arbeitnehmers relevant ist und somit als Oberbegriff auch seine »Leistung« (Erfüllung seiner Arbeitspflicht) umfasst.26

Entscheidend für die Beurteilung des Schutzbedürfnisses ist nicht die Art der verarbeiteten Daten, sondern die objektive Feststellung, dass die durch die technische Einrichtung mit ihnen erzeugten Aussagen solche über das Verhalten von einzelnen Arbeitnehmern sind: Solange die erhobenen Verhaltens- und Leistungsdaten nichts über einen einzelnen Mitarbeiter persönlich aussagen, kann eine Gefahr für sein Persönlichkeitsrecht nicht entstehen.

Das Mitbestimmungsrecht greift dann ein, wenn die durch die technische Einrichtung erhobenen Verhaltens- und Leistungsdaten oder die von ihr erzeugten Aussagen über Verhalten und Leistung sich direkt auf bestimmte (Name, Personalnummer) oder ohne wesentlichen Aufwand bestimmbare (zum Beispiel Dienst-/Schichtplan, Anwesenheitslisten) Mitarbeiter beziehen.

Die Erhebung oder Verarbeitung anonymisierter Daten unterliegt dagegen nach allgemeiner Ansicht nicht der Mitbestimmung des § 87 Abs. 1 Nr. 6 BetrVG. Voraussetzung ist jedoch, dass die Anonymisierung der Daten nachträglich nicht wieder ohne wesentlichen Aufwand aufgehoben werden kann.

Schließlich: Der Arbeitgeber kann seiner Beteiligungspflicht nicht einfach dadurch entgehen, dass er die Überwachungsfunktion freiwillig aus der Hand gibt, also etwa zu einem anderen Betrieb des Unternehmens oder einem externen Dritten verlagert. Er muss grundsätzlich auch hier – etwa beim Outsourcing von Kontrollaufgaben – durch entsprechende Vertragsgestaltung sicherstellen, dass die betriebliche Interessenvertretung ihr gesetzliches Mitbestimmungsrecht ordnungsgemäß ausüben kann.

Vorrang gesetzlicher und tariflicher Regelungen

Mitbestimmungsrechte sind immer dort ausgeschlossen, wenn – aber auch nur soweit! – für den fraglichen Sachverhalt eine gesetzliche oder tarifvertragliche Regelung besteht.

Sofern bestimmte technische Einrichtungen also bereits gesetzlich vorgeschrieben sind, wie zum Beispiel Fahrtenschreiber (durch § 57 a StVZO), besteht schon nach allgemeinen betriebsverfassungsrechtlichen Grundsätzen kein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG.

Die Mitbestimmungspflicht wird folgerichtig ebenfalls zu verneinen sein, wenn der Arbeitgeber mit Hilfe der technischen Einrichtung lediglich normative Verpflichtungen erfüllt (beispielsweise Meldungen an Finanzämter, Arbeitsagentur, Gewerbeaufsicht), bei deren Befolgung ihm hinsichtlich der konkreten Maßnahmen kein Ausgestaltungsspielraum eingeräumt ist.

Der seit dem 25. Mai 2018 geltende § 26 Abs. 6 BDSG-neu stellt jedoch weiterhin klar, dass die Beteiligungsrechte der Belegschaftsvertretung durch das Datenschutzrecht grundsätzlich nicht eingeschränkt werden.

Ebenso gilt allerdings: Soweit Datenverarbeitungssysteme Gegenstand des Mitbestimmungstatbestands sind, ist das Verarbeiten personenbezogener Daten und deren Nutzung im Arbeitsverhältnis bei Vorliegen der gesetzlichen Voraussetzungen der DSGVO sowie insbesondere des § 26 BDSG-neu generell zulässig. Die Mitbestimmung rechtfertigt per se keine weitere inhaltliche Limitierung der Datenverarbeitung, sondern gibt dem Betriebsrat lediglich in diesem Rahmen ein Recht zur Beurteilung.27 Dementsprechend kann im Mitbestimmungsverfahren auch nicht etwas als unzulässig beanstandet werden, was datenschutzrechtlich zulässig ist.28

Ausüben des Mitbestimmungsrechts

Für die Wahrung der Mitbestimmung bedarf die Absprache zwischen den Betriebsparteien über die Nutzung einer technischen Einrichtung grundsätzlich keiner bestimmten Form. Allerdings empfiehlt sich schon deshalb der Abschluss einer Betriebsvereinbarung, weil sonst die Verbindlichkeit beziehungsweise Durchsetzbarkeit einzelner Regeln zwangsläufig von der individuellen Ausgestaltung des Direktionsrechts abhängig ist. Auch wegen der notwendigerweise großen Komplexität eignet sich in der Regel nur eine schriftliche Vereinbarung. Entsprechend hält es denn auch die Praxis – sofern denn überhaupt eine Regelung vereinbart wurde.

Zuständig für die Mitbestimmungsausübung ist grundsätzlich der örtliche Betriebsrat. Demgegenüber ist eine originäre Zuständigkeit des Gesamtbetriebsrats gemäß § 50 Abs.1 BetrVG immer dann anzunehmen, wenn das Datenverarbeitungssystem Ziele verfolgt, die auf der gesamten Unternehmensebene einheitlich realisiert werden sollen.29 Auch in den Fällen, in denen er selbst zuständig ist, kann der Betriebsrat aber gemäß § 50 Abs. 2 BetrVG den Gesamtbetriebsrat beauftragen, die Mitbestimmung des § 87 Abs. 1 Nr. 6 BetrVG für ihn auszuüben.30

Für die Regelungen in der Betriebsvereinbarung gilt, dass durch die Einführung und Anwendung der technischen Einrichtung das Persönlichkeitsrecht des einzelnen Arbeitnehmers nicht verletzt werden darf.31 Die Mitbestimmung kann keinen unzulässigen Eingriff in den Persönlichkeitsbereich eines Arbeitnehmers legitimieren.

Die Verletzung des Persönlichkeitsrechts ist jedoch nur ein denkbarer Verstoß. Generell gilt wie stets, dass die Regelungen in der Betriebsvereinbarung mit höherrangigem Recht – also insbesondere auch mit einfachen Gesetzen und Tarifverträgen – vereinbar sein müssen. Unmittelbare Gesetzeskraft hat insbesondere auch seit dem 25. Mai 2018 die europäische DSGVO.

Fehlt es daran, sind Maßnahmen des Arbeitgebers, die auf dieser Grundlage beruhen, dem Mitarbeiter gegenüber unwirksam.32 Auch insoweit gilt also, dass selbst die ordnungsgemäße Beteiligung des Betriebsrats eine entsprechende Rechtsverletzung nicht rechtfertigen kann.

Unterbleibt die Beteiligung der Arbeitnehmervertretung oder wird sie fehlerhaft vorgenommen, stellt die Einführung und Anwendung der technischen Einrichtung eine mitbestimmungswidrige Maßnahme dar, die deren Rechte verletzt. Sie kann die Beseitigung dieser Beeinträchtigung verlangen.

Der entsprechende Beseitigungsanspruch kann nach überwiegender Ansicht durch das Gremium im Wege einer einstweiligen Verfügung des Arbeitsgerichts im Beschlussverfahren durchgesetzt werden, ist aber wohl darauf beschränkt, dem Arbeitgeber die Überwachung vor Abschluss des Mitbestimmungsverfahrens untersagen zu lassen und kann sich daher nicht darauf richten, das IT-System als solches nicht zu nutzen.33

Da im Bereich der erzwingbaren Mitbestimmung die Wirksamkeit einer Maßnahme des Arbeitgebers von der vorherigen Zustimmung des Betriebsrats abhängt, hat der Arbeitnehmer im Falle fehlerhafter oder unterbliebener Beteiligung seiner Interessenvertretung durch den Arbeitgeber oder bei fehlender Zustimmung jedenfalls dann ein Leistungsverweigerungsrecht nach § 273 des Bürgerlichen Gesetzbuchs (BGB), wenn sich die technische Einrichtung ausschließlich auf eine Kontrolle von Verhalten oder Leistung der Arbeitnehmer bezieht.34

Höhere Anforderungen durch neuen Datenschutz

Das Verarbeiten von Arbeitnehmerdaten muss sich im Rahmen der datenschutzrechtlichen Vorschriften bewegen. Sie ist nur zulässig, wenn eine der gesetzlichen Voraussetzungen vorliegt, die für Unternehmen bislang durch das alte Bundesdatenschutzgesetz definiert wurden, seit dem 25. Mai 2018 jedoch abschließend durch eine unionsweit geltende europäische Regelung – nämlich die DSGVO – vorgegeben werden.35

Dies bringt im Hinblick auf kollektivrechtliche Regelungen zwei wesentliche Veränderungen mit sich: Zum einen stellen die Regelungen in Art. 88 Abs. 1 DSGVO und § 26 Abs. 1 BDSG-neu erstmals ausdrücklich klar, dass auch die Erfüllung von Rechten und Pflichten aus Kollektivvereinbarungen einen legitimen Zweck zur Verarbeitung von Beschäftigtendaten darstellen kann. Zwar hat auch schon nach »alter« Rechtslage das BAG etwa in einer Betriebsvereinbarung eine Rechtsvorschrift gesehen, auf die sich eine Datenverarbeitung stützen ließ.36 Eine explizite gesetzliche Regelung fehlte jedoch bislang.

Zum anderen hat sich seit dem Inkrafttreten der DSGVO die Antwort auf die bislang streitige Frage geändert, ob eine betriebliche Vereinbarung Regelungen enthalten darf, die den Datenschutz der Arbeitnehmer abweichend von den Vorschriften des Datenschutzrechts – und somit auch zu ihren Ungunsten regeln. Das höchste deutsche Arbeitsgericht hat dies bislang grundsätzlich für zulässig angesehen. Entsprechendes galt danach wegen § 77 Abs. 2, 2. Halbsatz BetrVG auch für den Spruch einer Einigungsstelle.

Nunmehr gilt, dass ein Absenken des Datenschutzniveaus der DSGVO wegen ihres Vorrangs nicht zur Disposition des nationalen Gesetzgebers – und damit erst recht nicht zu derjenigen der Parteien von Kollektivvereinbarungen steht.

Die Verhandlungspartner von Betriebsvereinbarungen haben vielmehr gemäß § 26 Abs. 4 Satz 2 BDSG-neu die Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten. Nur sofern die dort normierten Anforderungen erfüllt sind, liegt eine wirksame eigenständige Rechtsgrundlage für eine zulässige Datenverarbeitung vor.37

Für die Praxis der betrieblichen Interessenvertretung ergibt sich daraus auch, dass nicht nur neu abzuschließende Vereinbarungen an den Vorgaben der DSGVO zu messen sind, sondern auch alle »alten« Betriebsvereinbarungen daraufhin überprüft werden müssen, ob sie den Anforderungen der DSGVO inhaltlich genügen, damit sie als wirksame Rechtsgrundlage für die Datenverarbeitung im Beschäftigtenverhältnis dienen können.

Fußnoten:

[1] Zur Unzulässigkeit solcher »Keylogger« siehe BAG 27.7.2017 – 2 AZR 681/16; Frowein, Mitarbeiterkontrolle per Keylogger, in: CuA 12/2017, 16 ff. und Kommentar Däubler (18).
[2] Siehe Lepperhoff, Gehaltsdaten für Benchmarks, in: CuA 4/2018, 29 ff.
[3] BAG 13.12.2016 – 1 ABR 7/15; siehe dazu Wurzberger, Mitbestimmung bei Facebook-Auftritt, in: CuA 1/2017, 17 und Feichtmeier, Facebook nur mit Betriebsrat, in: CuA 12/2017, 24 ff.
[4] LAG Düsseldorf, 12.1.2015 – 9 TaBV 51/14.
[5] Vgl. ErfK/Kania, 18. Auflage 2018, BetrVG § 87 Rn. 48.
[6] BAG 6.12.1983 [Bildschirmarbeitsplatz] – AP Nr. 7 zu § 87 BetrVG 1972 Überwachung.
[7] BAG 14.9.1984 [Technikerbericht] – AP Nr. 9 zu § 87 BetrVG 1972 Überwachung.
[8] Klebe in: Däubler/Kittner/Klebe/Wedde, BetrVG, 16. Auflage 2018,
[9] Richardi, BetrVG, 16. Auflage 2018, § 87 Rn. 525 mit weiteren Nachweisen.
[10] BAG 28.11.1989 – AP BetrVG 1972 § 87 Initiativrecht Nr. 4; Richardi.
[11] Vgl. Klebe, aaO., § 87 Rn. 166.
[12] Richardi, aaO., § 87 Rn. 531 zur Rechtsprechung.
[13] BAG, 18.11.1999, in: NZA 2000, 418; ein Mitbestimmungsrecht bei der nichttechnischen Erhebung ergibt sich nur aus § 94 BetrVG.
[14] BAG 9.12.1980 – AP Nr. 2 zu § 87 BetrVG 1972 Ordnung des Betriebs.
[15] BAG 24.11.1981 – AP Nr. 3 zu § 87 BetrVG 1972 Ordnung des Betriebs.
[16] BAG 8.11.1994 – AP Nr. 27 zu § 87 BetrVG 1972 Überwachung.
[17] BAG 14.9.1984 – AP Nr. 9 zu § 87 BetrVG 1972 Überwachung, in: NZA 1985, 18.
[18] Einen umfassenden Überblick über zahlreiche Einzelfälle, in denen von einer Mitbestimmungspflicht auszugehen ist, gibt Klebe, aaO., § 87 Rn. 198 ff.
[19] Richardi, aaO., § 87 Rn. 513.
[20] LAG Mecklenburg-Vorpommern 12.11.2014 – 3 TaBV 5/14.
[21] BAG 10.7.1979 – AP Nr. 4 zu § 87 BetrVG Überwachung, in: NJW 1980, 359.
[22] Vgl. Richardi, aaO., § 87 Rn. 526.
[23] Ständige Rechtsprechung des BAG, so bereits: BAG 23.4.1985 [TÜV-Prüfbericht] – AP Nr. 12 zu § 87 BetrVG 1972 Überwachung.
[24] Klebe aaO., § 87 Rn. 178 mit weiteren Nachweisen.
[25] Ein Mitbestimmungsrecht bei der nichttechnischen Erhebung von Arbeitnehmerdaten kann sich aber aus § 94 BetrVG ergeben.
[26] So bereits: BAG 18.2.1986 [Kienzle-Schreiber] – AP Nr. 13 zu § 87 BetrVG Überwachung.
[27] Vgl. Richardi, aaO., § 87 Rn. 533 mit weiteren Nachweisen.
[28] Ehmann, Datenschutz und Mitbestimmungsrechte bei der Arbeitnehmer-Datenverarbeitung, in: NZA 1993, 241 ff.
[29] So vom BAG zum Beispiel entschieden für die Nutzung einer Telefonanlage (BAG, 30.8.1995 – AP Nr. 29 zu § 87 BetrVG 1972 Überwachung).
[30] Vgl. BAG 11.3.1986 – AP Nr. 14 zu § 87 BetrVG 1972 Überwachung.
[31] Vgl. BAG 4.12.2004 – AP Nr. 41 zu § 87 BetrVG 1972 Überwachung.
[32] Klebe, aaO., § 87 Rn. 195.
[33] Richardi, aaO., § 87 Rn. 544 f.
[34] Richardi, aaO., § 87 Rn. 545.
[35] Siehe dazu den Beitrag von Brandt, Datenschutz – muss das sein?
[36] BAG 27.5.1986 – AP Nr. 15 zu § 87 BetrVG 1972 Überwachung.
[37] Paal/Pauly (Hrsg.), DSGVO, 2. Auflage 2018, § 26 Rn. 20.

:::