Datenschutz Verstehen – Beteiligung des Betriebsrates bei Änderungen und Einführungen von IT-Systemen
Kurze Einleitung:
Die Beteiligung des Betriebsrates in Bezug auf die Änderung und Einführung von IT-Systemen umfasst sowohl allgemeine Informationsrechte nach § 80 BetrVG als auch weitere Beteiligungsrechte nach bspw. §§ 90 und 91 BetrVG. Es muss somit frühzeitig geklärt werden, ob ein mitwirkungs- oder mitbestimmungspflichtiger Tatbestand vorliegt, das heißt, inwiefern der Betriebsrat über die Entscheidung der Änderung und Einführung von IT-Systemen einbezogen werden muss.
Zur Klarheit über einzelne Punkte kann es daher geboten sein, in einer IT-Rahmenbetriebsvereinbarung zu regeln, in welchem Umfang und zu welchem Zeitpunkt der Betriebsrat über die (geplante) Änderung bzw. Einführung von IT-Systemen informiert werden muss. Zudem sollte auch der Datenschutzbeauftragte, welcher weisungsfrei den Tatbestand bewertet, informiert werden. In diesem Beitrag skizzieren wir kurz die rechtlichen Grundlagen.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Wann hat der Betriebsrat Mitbestimmungsrechte?
Bezüglich der Mitbestimmungsrechte gilt gem. § 87 Abs. 1 Nr. 6 BetrVG, dass der Betriebsrat hinsichtlich “technischer Kontrolleinrichtungen” Mitbestimmungsrechte hat. Die Verpflichtung von Arbeitgeber und Betriebsrat aus § 75 Abs. 2 S. 1 BetrVG, die freie Entfaltung der Persönlichkeit der Arbeitnehmer zu schützen und zu fördern, wird durch § 87 Abs. 1 Nr. 6 BetrVG ergänzt. Es soll verhindert werden, dass der Arbeitnehmer zum Objekt einer Überwachungstechnik gemacht wird (BAG, BeckRS 9998, 150012).
Technische Kontrolleinrichtungen werden definiert als technische Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Überwachung bezeichnet hierbei die Vorgehensweise, durch die Informationen über Verhalten oder Leistung eines Arbeitnehmers erhoben und aufgezeichnet werden, sodass sie der späteren Wahrnehmung zugänglich werden. Hierbei müssen die Informationen technisch ermittelt und dokumentiert werden, damit sie theoretisch für eine gewisse Dauer zur Verfügung stehen und vom Arbeitgeber verwendet werden können. Es sind nur diejenigen Überwachungsmaßnahmen erfasst, die durch technische Einrichtungen durchgeführt werden. Technische Einrichtungen sind dabei allerlei optisches, mechanisches, akustisches oder elektronisches Gerät. Nach der BAG Rechtsprechung soll es hierbei ausreichen, dass die technische Einrichtung zur Leistungs- und Verhaltenskontrolle objektiv geeignet ist. Es ist keine Absicht des Arbeitgebers erforderlich, die erhobenen Daten tatsächlich zu verwenden (BAG, ArbRAktuell 2013, 107 m. Anm. Chwalisz).
Sofern IT-Systeme also technische Kontrolleinrichtungen darstellen (was regelmäßig der Fall sein dürfte), hat der Betriebsrat hinsichtlich der Änderung bzw. Einführung demnach ein Mitbestimmungsrecht. Das Mitbestimmungsrecht entfällt jedoch, sofern die Datenverarbeitung den einzelnen Arbeitnehmern nicht individualisiert zugeordnet werden kann (vgl. BAG, ArbRAktuell 2017, 254).
Mitbestimmung bei technischen Kontrolleinrichtungen
Das Mitbestimmungsrecht des Betriebsrates hinsichtlich der Verarbeitung von Beschäftigtendaten mittels technischer Kontrolleinrichtungen ergibt sich also bereits aus § 87 Abs. 1 Nr. 6 BetrVG. Die Ausübung des Mitbestimmungsrechts geschieht meistens anhand des Abschlusses von Betriebsvereinbarungen, da diese normative Wirkung entfalten (§ 77 Abs. 4 BetrVG) und nach der alten Rechtslage (§ 4 Abs. 1 BDSG a.F.) somit auch als Rechtsgrundlage zur Verarbeitung dienen konnten. Datenschutzrechtliche Rechtsgrundlagen in Betriebsvereinbarungen sind jedoch gem. § 26 Abs. 4 S. 2 BDSG-neu an Art. 88 Abs. 2 DSGVO zu messen und müssen außerdem einer Verhältnismäßigkeitskontrolle nach § 75 Abs. 2 BetrVG standhalten. Hierbei sind die Freiheitsrechte, das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG und eine Güterabwägung zwischen Persönlichkeitsrechten des Arbeitnehmers und schutzwürdigen Interessen des Arbeitgebers nach einer Einzelfallentscheidung zu berücksichtigen.
Datenschutz bei Betriebsvereinbarungen
Es müssen außerdem für Kollektivvereinbarungen die Grundsätze aus Art. 5 DSGVO eingehalten werden, das heißt, die Zwecke der Verarbeitung müssen detailliert beschrieben werden. Aus dem Transparenzgebot aus Art. 88 Abs. 2 DSGVO folgt, dass für Beschäftigte klar erkennbar sein muss, ob, von wem und zu welchem Zweck die Verarbeitung stattfindet. Verarbeitungen, die heimlich stattfinden, sind dementsprechend auch nach Kollektivvertrag abgeschlossen, wenn hierfür keine besondere gesetzliche Ermächtigung nach den Vorgaben des Art. 23 DSGVO besteht. Dies gilt auch für die Mitbestimmungsrechte aus z.B. § 87 Abs. 1 Nr. 1 und 6. Die Betriebsparteien müssen dementsprechend die Grundsätze aus Art. 88 Abs. 2 DSGVO, besonders im Bereich der Überwachung von Mitarbeitern, zwingend einhalten. Soll die Betriebsvereinbarung einen datenschutzrechtlichen Erlaubnistatbestand im Sinne von § 26 Abs. 4 BDSG, Art. 88 Abs. 2 DSGVO darstellen, ist das Transparenzgebot demnach ausreichend einzuhalten. Es kann sich an den Vorgaben im Rahmen der Auftragsverarbeitung aus Art. 28 Abs. 3 DSGVO orientiert werden. Selbstverständlich gelten für den Betriebsrat selbst auch einige datenschutzrechtliche Anforderungen, welche wir hier darstellen.
Sina Wosnig ist bei der Keyed GmbH als Datenschutz Consultant tätig und unterstützt unsere Kunden im Aufbau von einem Datenschutz-Management-System. Durch die Klärungen zahlreicher datenschutzrechtlicher Fragestellungen und dem Jurastudium an der WWU in Münster, bringt Frau Sina Wosnig die nötige Sachkenntnis mit.
