Endlich gibt es Klarheit durch die Rechtsprechung. Datenschutz unterliegt nicht der erzwingbaren Mitbestimmung.
Seit Jahren bemühen sich Arbeitgeber*, das Thema „IT-Mitbestimmung“ in den Griff zu bekommen. In einigen Unternehmen ist sie eine echte Digitalisierungsbremse. Die Gründe hierfür sind vielfältig, sollen aber nicht Gegenstand dieses Beitrags sein. Eine neue Dimension erhält die IT-Mitbestimmung seit kurzem durch die Einführung von Künstlicher Intelligenz.
Vorgaben des BetrVG zur IT-Mitbestimmung
Ausgangspunkt ist das Mitbestimmungsrecht des Betriebsrats aus § 87 I Nr. 6 BetrVG. Dieses wird regelmäßig eröffnet sein, wenn ein IT-System eingeführt wird, das personenbezogene Mitarbeiterdaten verarbeitet. Allerdings bedarf es auch dann einer sorgfältigen Prüfung der Mitbestimmungspflicht. Wenn nämlich keine Logdaten von Mitarbeitenden gespeichert werden und auch sonst keine Aussagen über Leistung und Verhalten von Mitarbeitenden möglich sind, entfällt das Mitbestimmungsrecht des Betriebsrats (vgl. BAG, Urteil v. 19. Dezember 2017 – 1 ABR 32/16).
Streitpunkt Datenschutzrecht
In der betrieblichen Praxis herrscht häufig Streit über die Frage, inwieweit das Datenschutzrecht vom (erzwingbaren) Mitbestimmungsrecht des Betriebsrats umfasst ist und inwieweit datenschutzrechtliche Regelungen Eingang in eine Betriebsvereinbarung zu § 87 I Nr. 6 BetrVG finden müssen. Umstritten ist beispielsweise, inwieweit die Betriebsvereinbarung Regelungen zu Löschfristen oder zum Speicherort personenbezogener Mitarbeiterdaten enthalten muss. Gleichermaßen stellt sich die Frage, inwieweit es überhaupt erforderlich ist, die verarbeiteten personenbezogenen Mitarbeiterdaten im Einzelnen aufzulisten. Ebenso ist häufig Gegenstand von Diskussionen, ob die Verarbeitung personenbezogener Mitarbeiterdaten durch Dritte auf Grundlage einer Auftragsdatenverarbeitungsvereinbarung datenschutzrechtlich zulässig ist.
Diese Fragestellungen sind häufig Schwerpunkt der Diskussionen mit dem Betriebsrat und nicht die Frage, ob und welche Leistungs- und Verhaltenskontrollen die Arbeitgeberin durchführen will, obgleich dies die Kernfrage ist, um die es im Rahmen von § 87 I Nr. 6 BetrVG geht.
Endlich Klarheit durch Rechtsprechung: Regelungen zum Datenschutz sind nicht erzwingbar
Im Rahmen eines Einigungsstellenspruchanfechtungsverfahrens hat sich jetzt erfreulicherweise das Hessische Landesarbeitsgericht (v. 5. Dezember 2024 – 5 TaBV 4/24) deutlich positioniert. Danach gilt Folgendes:
- Regelungen, die der Erfüllung bzw. Ausgestaltung der datenschutzrechtlichen Pflichten dienen, sind einem Spruch der Einigungsstelle nicht zugänglich.
- Regelungen zum Datenschutz sind nach § 87 I Nr.1 und Nr. 6 BetrVG nicht erzwingbar.
- Bezüglich zwingender gesetzlicher datenschutzrechtlicher Vorschriften, die keinen Gestaltungsspielraum eröffnen, greift der Gesetzesvorbehalt des § 87 I Eingangshalbs. BetrVG.
- Aus Art. 88 DSGVO folgt kein erzwingbares Mitbestimmungsrecht des Betriebsrats.
Diesen Feststellungen des LAG ist uneingeschränkt zuzustimmen. Die Entscheidung kann nunmehr im Zuge der Verhandlungen mit dem Betriebsrat bzw. in einer Einigungsstelle nutzbar gemacht werden, um ausufernden (datenschutzrechtlichen) Forderungen des Betriebsrats entgegenzuwirken.
To do‘s im Rahmen der Verhandlungsvorbereitung
Das LAG hat richtigerweise auch festgestellt, dass der Betriebsrat mit Blick auf die datenschutzrechtlichen Pflichten des Arbeitgebers auf seine allgemeine Überwachungsaufgabe nach § 80 I Nr. 1 BetrVG und auf sein Unterrichtungsrecht nach § 80 II BetrVG beschränkt ist. Um gut auf die Verhandlungen vorbereitet zu sein, ist es wichtig, dass Arbeitgeber ein IT-System, das sie gerne einführen möchten, datenschutzrechtlich prüfen und idealerweise eine schriftliche Stellungnahme zur datenschutzrechtlichen Zulässigkeit der geplanten Einführung des IT-Systems vorlegen können. Sofern mit der Einführung des IT-Systems eine Auftragsdatenverarbeitung einhergeht, sollte ein entsprechender Auftragsverarbeitungsvertrag (im Entwurf) vorgelegt werden können. So lassen sich etwaige Bedenken des Betriebsrats und/oder eines Einigungsstellenvorsitzenden ausräumen.
Berücksichtigung von Sachverstand des Betriebsrats
Häufig zieht der Betriebsrat in den Verhandlungen einen datenschutzrechtlichen Sachverständigen hinzu. Dieser ist mit Blick auf die datenschutzrechtliche Bewertung der Zulässigkeit der Datenverarbeitung zuweilen anderer rechtlicher Auffassung als die Arbeitgeberin. Dies ist für die Verhandlungen und insbesondere einen etwaigen Spruch der Einigungsstelle unerheblich, wie das Hessische Landesarbeitsgericht zu Recht festgestellt hat. Denn rechtliche Bewertungen durch Sachverständige binden die Einigungsstelle nicht, wie das LAG klarstellt.
Fazit: IT-Mitbestimmung umfasst nicht das Datenschutzrecht
Nach alledem umfasst die IT-Mitbestimmung nicht das Datenschutzrecht. Im Zuge der Einführung eines IT-Systems sollte die Arbeitgeberin darlegen können, wieso die Verarbeitung personenbezogener Mitarbeiterdaten datenschutzrechtlich gerechtfertigt ist. Nicht erforderlich ist allerdings, sich in datenschutzrechtlichen Details, wie z.B. Löschkonzepten zu verlieren. Die Einbindung von Regelungen zum Datenschutz in eine Betriebsvereinbarung kann allenfalls freiwillig erfolgen. Sie wäre nicht erzwingbar. Insofern herrscht für die betriebliche Praxis endlich Klarheit.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
