IT-Mitbestimmung: Datenschutz nicht mitbestimmt!

Endlich gibt es Klarheit durch die Rechtsprechung. Datenschutz unterliegt nicht der erzwingbaren Mitbestimmung.

Seit Jahren bemühen sich Arbeitgeber*, das Thema „IT-Mitbestimmung“ in den Griff zu bekommen. In einigen Unternehmen ist sie eine echte Digitalisierungsbremse. Die Gründe hierfür sind vielfältig, sollen aber nicht Gegenstand dieses Beitrags sein. Eine neue Dimension erhält die IT-Mitbestimmung seit kurzem durch die Einführung von Künstlicher Intelligenz Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten. .

Vorgaben des BetrVG zur IT-Mitbestimmung

Ausgangspunkt ist das Mitbestimmungsrecht des Betriebsrats aus § 87 I Nr. 6 BetrVG Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten. . Dieses wird regelmäßig eröffnet sein, wenn ein IT-System eingeführt wird, das personenbezogene Mitarbeiterdaten verarbeitet. Allerdings bedarf es auch dann einer sorgfältigen Prüfung der Mitbestimmungspflicht. Wenn nämlich keine Logdaten von Mitarbeitenden gespeichert werden und auch sonst keine Aussagen über Leistung und Verhalten von Mitarbeitenden möglich sind, entfällt das Mitbestimmungsrecht des Betriebsrats (vgl. BAG, Urteil v. 19. Dezember 2017 – 1 ABR 32/16 Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten. ).

Streitpunkt Datenschutzrecht

In der betrieblichen Praxis herrscht häufig Streit über die Frage, inwieweit das Datenschutzrecht vom (erzwingbaren) Mitbestimmungsrecht des Betriebsrats umfasst ist und inwieweit datenschutzrechtliche Regelungen Eingang in eine Betriebsvereinbarung zu § 87 I Nr. 6 BetrVG Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  finden müssen. Umstritten ist beispielsweise, inwieweit die Betriebsvereinbarung Regelungen zu Löschfristen oder zum Speicherort personenbezogener Mitarbeiterdaten enthalten muss. Gleichermaßen stellt sich die Frage, inwieweit es überhaupt erforderlich ist, die verarbeiteten personenbezogenen Mitarbeiterdaten im Einzelnen aufzulisten. Ebenso ist häufig Gegenstand von Diskussionen, ob die Verarbeitung personenbezogener Mitarbeiterdaten durch Dritte auf Grundlage einer Auftragsdatenverarbeitungsvereinbarung datenschutzrechtlich zulässig ist.

Diese Fragestellungen sind häufig Schwerpunkt der Diskussionen mit dem Betriebsrat und nicht die Frage, ob und welche Leistungs- und Verhaltenskontrollen die Arbeitgeberin durchführen will, obgleich dies die Kernfrage ist, um die es im Rahmen von § 87 I Nr. 6 BetrVG Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  geht.

Endlich Klarheit durch Rechtsprechung: Regelungen zum Datenschutz sind nicht erzwingbar

Im Rahmen eines Einigungsstellenspruchanfechtungsverfahrens hat sich jetzt erfreulicherweise das Hessische Landesarbeitsgericht (v. 5. Dezember 2024 – 5 TaBV 4/24 Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten. ) deutlich positioniert. Danach gilt Folgendes:

• Regelungen, die der Erfüllung bzw. Ausgestaltung der datenschutzrechtlichen Pflichten dienen, sind einem Spruch der Einigungsstelle nicht zugänglich.
• Regelungen zum Datenschutz sind nach § 87 I Nr.1 und Nr. 6 BetrVG Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  nicht erzwingbar.
• Bezüglich zwingender gesetzlicher datenschutzrechtlicher Vorschriften, die keinen Gestaltungsspielraum eröffnen, greift der Gesetzesvorbehalt des § 87 I Eingangshalbs. BetrVG.
• Aus Art. 88 DSGVO Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  folgt kein erzwingbares Mitbestimmungsrecht des Betriebsrats.

Diesen Feststellungen des LAG ist uneingeschränkt zuzustimmen. Die Entscheidung kann nunmehr im Zuge der Verhandlungen mit dem Betriebsrat bzw. in einer Einigungsstelle nutzbar gemacht werden, um ausufernden (datenschutzrechtlichen) Forderungen des Betriebsrats entgegenzuwirken.

To do‘s im Rahmen der Verhandlungsvorbereitung

Das LAG hat richtigerweise auch festgestellt, dass der Betriebsrat mit Blick auf die datenschutzrechtlichen Pflichten des Arbeitgebers auf seine allgemeine Überwachungsaufgabe nach § 80 I Nr. 1 BetrVG Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  und auf sein Unterrichtungsrecht nach § 80 II BetrVG Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  beschränkt ist. Um gut auf die Verhandlungen vorbereitet zu sein, ist es wichtig, dass Arbeitgeber ein IT-System, das sie gerne einführen möchten, datenschutzrechtlich prüfen und idealerweise eine schriftliche Stellungnahme zur datenschutzrechtlichen Zulässigkeit der geplanten Einführung des IT-Systems vorlegen können. Sofern mit der Einführung des IT-Systems eine Auftragsdatenverarbeitung einhergeht, sollte ein entsprechender Auftragsverarbeitungsvertrag (im Entwurf) vorgelegt werden können. So lassen sich etwaige Bedenken des Betriebsrats und/oder eines Einigungsstellenvorsitzenden ausräumen.

Berücksichtigung von Sachverstand des Betriebsrats

Häufig zieht der Betriebsrat in den Verhandlungen einen datenschutzrechtlichen Sachverständigen hinzu. Dieser ist mit Blick auf die datenschutzrechtliche Bewertung der Zulässigkeit der Datenverarbeitung zuweilen anderer rechtlicher Auffassung als die Arbeitgeberin. Dies ist für die Verhandlungen und insbesondere einen etwaigen Spruch der Einigungsstelle unerheblich, wie das Hessische Landesarbeitsgericht zu Recht festgestellt hat. Denn rechtliche Bewertungen durch Sachverständige binden die Einigungsstelle nicht, wie das LAG klarstellt.

Fazit: IT-Mitbestimmung umfasst nicht das Datenschutzrecht

Nach alledem umfasst die IT-Mitbestimmung nicht das Datenschutzrecht. Im Zuge der Einführung eines IT-Systems sollte die Arbeitgeberin darlegen können, wieso die Verarbeitung personenbezogener Mitarbeiterdaten datenschutzrechtlich gerechtfertigt ist. Nicht erforderlich ist allerdings, sich in datenschutzrechtlichen Details, wie z.B. Löschkonzepten zu verlieren. Die Einbindung von Regelungen zum Datenschutz in eine Betriebsvereinbarung kann allenfalls freiwillig erfolgen. Sie wäre nicht erzwingbar. Insofern herrscht für die betriebliche Praxis endlich Klarheit.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Dieser Beitrag wurde zuerst auf dem CMS-Blog Bitte beachten Sie, dass Sie über diesen Link eine externe Webseite besuchen, für die möglicherweise nicht dieselben Datenschutz-, Sicherheits- oder Zugangsrichtlinien gelten.  veröffentlicht.