Betriebsrat

Nicht nur große, international tätige Konzerne führen neue IT-Systeme ein, um den steigenden Sicherheitserwartungen gerecht zu werden, ihre Arbeit effizienter zu gestalten oder um einfach mit der schnellen Entwicklung auf dem Markt der Mobilgeräte Schritt zu halten. Den Funktionalitäten dieser Systeme sind fast keine Grenzen gesetzt, in der Vergangenheit besonders häufig begleiten und beobachten konnten wir die Einführung von Proofpoint, DLP, MobileIron, Office365 …

Auch, wenn das Aushandeln eine Betriebsvereinbarung vor der Implementierung eines solchen Systems oft als zusätzliche, zeitraubende Hürde aufgefasst wird, sind ihre beiden Kernfunktionen unerlässlich für den Mitarbeiterdatenschutz:
Betriebsvereinbarungen sind einerseits das Regelungsinstrument, mit dem der Betriebsrat (je nach Struktur des Unternehmens bzw. der Unternehmensgruppe auch als Gesamt- oder Konzernbetriebsrat, dann mittels Gesamtbetriebsvereinbarung oder Konzernbetriebsvereinbarung) seine Mitbestimmungsrechte geltend machen kann. Sie sind darüber hinaus aber auch ein sehr wichtiges gestalterisches Mittel, um datenschutzrechtliche Interessenskonflikte auszugleichen, denn Betriebsvereinbarungen gelten als belastbare Grundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Arbeitnehmern.
In dieser „Doppelfunktion“ sind bei dem Entwurf von Betriebsvereinbarungen sowohl mitbestimmungsrechtliche als auch datenschutzrechtliche Regelungen zu beachten, so dass eine enge Zusammenarbeit zwischen betrieblichem Datenschutzbeauftragten und Betriebsrat gefordert ist.

IT-Rahmen-Betriebsvereinbarungen

Besonders häufig werden in einem ersten Schritt gewisse Grundregeln für den Umgang mit IT-Systemen in sog. IT-Rahmen-Betriebsvereinbarungen festgelegt. Dies hat sich unserer Erfahrung nach im Sinne eines pragmatischen, zeitgemäßen Umgangs mit neuen Entwicklungen sehr bewährt. Bei Einsatz eines neuen Systems kann so bezüglich allgemeiner Regelungen an eine vorhandene Umgebung angeknüpft werden.

Zu einem Interessenskonflikt von Arbeitnehmer- und Arbeitgeberinteressen kommt es vor allem dann, wenn die Mitarbeiter befürchten, dass eine Überwachung am Arbeitsplatz stattfindet. In diesem Zusammenhang ist vor allem das zwingende Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG zu beachten. Danach besteht das Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“
Nach der Rechtsprechung der Arbeitsgerichte reicht zu der „Bestimmtheit zur Überwachung“ bereits eine objektive Eignung der einzuführenden technischen Einrichtung zu diesem Zweck aus, ob eine Intention des Arbeitgebers besteht, seine Mitarbeiter zu überwachen oder nicht, ist dabei also unerheblich.

Sobald es also die technische Einrichtung auch nur theoretische möglich ist, dass Mitarbeiterdaten derart aufgezeichnet, protokolliert oder sonst wie verarbeitet werden, muss vor Einführung dieser Einrichtung eine Vereinbarung mit dem zuständigen Betriebsrat getroffen werden. Beispielhaft seien hier Zeiterfassungssysteme, E-Mail-Verschlüsselungssysteme oder IT-Sicherheitssysteme genannt, bei deren Einführungsprozess auf die Einbindung des Betriebsrates geachtet werden muss.

Vor dem Entwurf einer Betriebsvereinbarung gilt es, vor allem die nachstehenden Fragen zu klären:

  • Welche technischen Funktionalitäten bietet die geplante Technologie?
  • Welche Funktion wird zu welchem Zweck benötigt und verwendet?
  • Wer hat Zugriff auf diese Daten?
  • Welche Daten werden durch die Funktionalität direkt betroffen?
  • Werden weitere Daten indirekt, z. B. durch Protokollierungen (sog. Loggings), betroffen?
  • Sollen Berichterstattungen / Reportings von protokollierten Daten innerhalb der Unternehmensgruppe stattfinden?
  • Gibt es grenzüberschreitenden Datenfluss?
  • Wie lang sind die Aufbewahrungsfristen und besteht ein automatischer Löschungsprozess nach Ablauf derselben?
  • Können die nach DSGVO erforderlichen Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit auch für die neuen Systeme sichergestellt werden?
  • Werden die Mitarbeiter in den Betriebsvereinbarungen in ausreichendem Maße über die ihre personenbezogenen Daten betreffenden Umstände informiert?

Schließlich sollte der Umgang mit Beschäftigtendaten stets transparent und offen kommuniziert werden. Eine Information an die Mitarbeiter über die Einführung der neuen Technik sollte eine Betriebsvereinbarung in der Regel begleiten. Unsere Erfahrungen erstrecken sich sowohl auf die vorbereitenden Beratungen zu einer Betriebsvereinbarung als auch auf die Verhandlungen selbst. Wir stehen Ihnen bis zum Inkrafttreten der Vereinbarung gerne zur Seite. Sei es als Unterstützung des Arbeitgebers oder des Betriebsrats, oder sei es als neutrale Person mit datenschutzrechtlicher Expertise für die sachgerechte Einigung beider Parteien. Wir setzen uns dabei für eine pragmatische Lösung des angesprochenen Interessenskonflikts ein, indem wir versuchen, die Vorteile eines Systems begreifbar zu machen und gleichzeitig die rechtlich notwendigen Grenzen zu setzen, ohne uns zu sehr der Diskussion einzelner Begrifflichkeiten hinzugeben.

Auch für den Fall, dass Sie keine neuen Systeme einführen wollen, ist eine Überprüfung Ihrer bisherigen Betriebsvereinbarungen anzuraten. Mit Inkrafttreten der DSGVO haben sich neue Rechtsgrundlagen und Pflichten für den Mitarbeiterdatenschutz ergeben. Insbesondere müssen Sie sicherstellen, dass die Informationspflichten gemäß Art. 13, 14 DSGVO eingehalten werden. Um nicht erneute Verhandlungen über die bereits bestehenden Betriebsvereinbarungen auszulösen, die auch zu einer nachteiligen neuen Regelung führen könnte und um eine schnelle Umsetzung der Datenschutzvorschriften zu gewährleisten, raten wir zu dem Abschluss einer Rahmenbetriebsvereinbarung zum Thema Datenschutz, die die Regelungen für alle bestehenden Betriebsvereinbarungen ergänzt oder ersetzt.