open search
close
  • Suche
    • Autoren Über uns Kliemt.de Podcast Home
    Arbeitsrecht 4.0 Betriebsrat Compliance Datenschutz

    Neue Spielregeln für IT-Betriebsvereinbarungen

    Print Friendly, PDF & Email
    IT BV

    Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen sind häufig mühsam. Die Datenverarbeitungsprozesse müssen erkannt, verstanden und beschrieben werden. Daneben kämpft der Arbeitgeber nicht selten gegen diffuse Sorgen des Betriebsrates, der die zweckwidrige Verwendung personenbezogenen Daten in dem IT-System befürchtet. Dies geschieht zudem regelmäßig unter zeitlichem Druck, da eine zeitnahe Einführung des IT-Systems gewünscht oder gar notwendig ist. Nicht selten lautet der Kompromiss daher in der Praxis: „Eine Verhaltens- und Leistungskontrolle ist unzulässig.“ Diese Lösung widerspricht indes europäischen Datenschutzrecht – aktuell und auch nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO).

    Das Dilemma bei der IT-Betriebsvereinbarung

    Der Datenschutz nimmt auch im Arbeitsverhältnis einen immer größeren Stellenwert ein. Die fortschreitende Digitalisierung, die wachsende Anzahl von IT-Systemen und nicht zuletzt die Diskussionen um die DSGVO haben Belegschaften und Betriebsräte sensibilisiert. Vor diesem Hintergrund stehen Betriebsräte der Einführung neuer IT-Systeme tendenziell besorgt, mitunter auch kritisch gegenüber. Der Arbeitgeber hingegen ist nicht selten auf eine zügige und reibungslose Einführung eines neuen IT-Systems angewiesen. Aufgrund der zwingenden Mitbestimmung des Betriebsrates lassen sich viele IT-Systeme ohne vorherigen Abschluss einer Betriebsvereinbarung aber nicht realisieren. Das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG ist dabei sogar durch einen Unterlassungsanspruch seitens des Betriebsrates abgesichert. Angesichts dessen ist der Arbeitgeber – insbesondere bei zeitkritischen Projekten – in der Praxis nicht selten zu einem Kompromiss bereit, der eine Verhaltens- und Leistungskontrolle in der Betriebsvereinbarung gänzlich ausschließt. Lassen sich im Nachhinein durch das IT-System dann Pflichtverstöße einzelner Arbeitnehmer feststellen, ist es dem Arbeitgeber verwehrt, diese Erkenntnisse zu nutzen oder gar für eine Abmahnung oder ggf. Kündigung heranzuziehen.

    Pauschalausschluss unzulässig?

    Diese Praxis wird sich spätestens seit der Entscheidung des BAG vom 29. Juni 2017 (2 AZR 597/16) ändern müssen (wir berichteten: vgl. den Blog-Beitrag von Dr. Oliver Vollstädt vom 12. September 2017). Nach Ansicht des BAG dürfen die Mitgliedstaaten in ihren Gesetzen keine strengeren Vorgaben für die Zulässigkeit einer Datenverarbeitung bestimmen als dies in der Datenschutzrichtlinie (RL 95/46/EG) vorgesehen ist. Andernfalls wäre dies europarechtswidrig. Zwar erlaube die Datenschutzrichtlinie den Mitgliedsstaaten, die Rechtmäßigkeitsvoraussetzungen einer Datenverarbeitung näher zu bestimmen. Gleichwohl können die Mitgliedsstaaten von ihrem insoweit eingeräumten Ermessen nur im Einklang mit dem von der Richtlinie verfolgten Ziel der Wahrung eines Gleichgewichts zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre Gebrauch machen. Eine Abwägung dieser beiden Interessen ist also stets erforderlich, die bei einem Pauschalausschluss der Datennutzung fast notwendigerweise ausscheidet. Dabei sei zu berücksichtigen, dass die Datenschutzrichtlinie nicht bloß Mindeststandards vorgebe, sondern eine umfassende Harmonisierung des europäischen Datenschutzrechts verfolge. Mit dieser Argumentation folgt das BAG der ständigen Rechtsprechung des EuGH (vgl. nur EuGH vom 19. Oktober 2016 – C-582/14).

    Diese europarechtlichen Vorgaben gelten unzweifelhaft für die Mitgliedstaaten und ihre staatliche Rechtssetzung. Die Vorgaben dürften indes gleichermaßen für die Betriebsparteien gelten, denn auch die Betriebsparteien schaffen mit der Betriebsvereinbarung Rechtsnormen für die Zulässigkeit einer Datenverarbeitung. Demnach dürfen auch Betriebsvereinbarungen keinen strengeren Vorgaben für die Nutzung und Verfügbarkeit von rechtmäßig erhobenen Daten aufstellen als die Datenschutzrichtlinie zulässt. Die Interessenabwägung zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre ist auch von Seiten der Betriebsparteien notwendig. Vor diesem Hintergrund dürfte der pauschale Ausschluss einer Verhaltens- und Leistungskontrolle in einer Betriebsvereinbarung gegen europäisches Datenschutzrecht verstoßen. Denn letztlich lässt sich keineswegs ausschließen, dass eine Verhaltens- und Leistungskontrolle im Einzelfall zur Verwirklichung berechtigter Interessen des Arbeitgebers erforderlich sein kann, um etwa erhebliche Pflichtverletzungen oder Straftaten einzelner Arbeitnehmer festzustellen.

    Die Datenschutzgrundverordnung – alles neu macht der Mai?

    Diese Rechtslage wird sich durch das Inkrafttreten der DSGVO nicht ändern. Im Gegenteil:  Die DSGVO bezweckt – wie bereits die Datenschutzrichtlinie nach der Rechtsprechung des EuGH und BAG – eine echte Vollharmonisierung des europäischen Datenschutzrechts. Der europäische Gesetzgeber hat aus diesem Grunde bewusst das Instrument der Rechtsverordnung gewählt. Die dargestellten Maßstäbe werden daher unter der DSGVO weiterhin gelten – auch für Betriebsvereinbarungen. Denn zum einen benennt die DSGVO die Kollektivvereinbarung ausdrücklich als mögliche Rechtsgrundlage für eine Datenverarbeitung. Zum anderen gelten nach DSGVO dieselben Grundsätze der Datenverarbeitung, wie sie bereits in der Datenschutzrichtlinie niedergelegt sind. Die entsprechenden Regelungen sind fast inhaltgleich. Es ist daher anzunehmen, dass strengere Vorgaben für die Zulässigkeit einer Datenverarbeitung als nach der DSGVO vorgesehen – insbesondere pauschale Verarbeitungsverbote – gegen europäisches Recht verstoßen.

    Ausblick

    Die Mitbestimmung bei der Einführung und Anwendung von IT-Systemen wird zukünftig ein beherrschendes Thema auf betrieblicher Ebene werden. Die Zahl der verwendeten IT-Systeme wächst stetig, das BAG baut die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG zudem kontinuierlich aus (vgl. den Blog-Beitrag zur „Facebook“-Entscheidung des BAG von Dr. Oliver Vollstädt vom 21. September 2017) und die Sensibilität für datenschutzrechtliche Fragestellungen ist durch die Neugestaltung des europäischen Datenschutzrechts durch die DSGVO hoch. Umso wichtiger ist ein differenzierter Umgang mit den unterschiedlichen IT-Systemen und personenbezogenen Daten, den EuGH und BAG zu Recht einfordern. Dieser Forderung müssen sich auch die Betriebsparteien stellen und die Abwägungsprozesse gemeinsam vornehmen. Die Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen bleiben damit mühsam; die Ergebnisse werden aber besser!

    Dr. Oliver Vollstädt 
    Rechtsanwalt
    Fachanwalt für Arbeitsrecht
    Partner
    Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
    vCard downloaden Dr. Oliver Vollstädt  auf LinkedIn
    Verwandte Beiträge
    Compliance Datenschutz Digitalisierung Neueste Beiträge

    Compliance und Datenschutz – der datenschutzrechtliche Löschungsanspruch in der betrieblichen Praxis

    Datenschutzrechtliche Fragen zum sogenannten „Recht auf Vergessenwerden“ gewinnen auch für die betriebliche Praxis zunehmend an Bedeutung. So werden vom Bewerbungsprozess bis hin zum Ausscheiden aus dem Arbeitsverhältnis notwendigerweise eine Vielzahl an personenbezogenen Daten gesammelt. Wie mit dieser Datensammlung umgegangen werden muss und welche Risiken es aus der Sicht von Arbeitgebern zu beachten gilt, soll der nachfolgende Beitrag aufzeigen. 1. Der Auskunftsanspruch nach Art. 15 DS-GVO…
    Datenschutz Individualarbeitsrecht Neueste Beiträge Prozessrecht

    Detektiveinsatz bei zweifelhafter AU: Was müssen Arbeitgeber beachten?

    Der Krankenstand in Deutschland erreicht laut Medienberichten immer neue Höchststände. Die Entgeltfortzahlung im Krankheitsfall stellt für viele Arbeitgeber daher einen ernst zu nehmenden Kostenfaktor dar. Im Falle von verdächtigen Arbeitsunfähigkeitsbescheinigungen stellen sich Arbeitgeber die Frage, ob es Reaktionsmöglichkeiten gibt oder ihnen vor allem der Datenschutz einen Strich durch die Rechnung macht. Auch der Einsatz von Privatdetektiven wird in diesem Zusammenhang in Erwägung gezogen, wobei die…
    Datenschutz Digitalisierung in Unternehmen Neueste Beiträge United Kingdom

    Data, Privacy & Cyber: 10 top trends for 2025

    In the fast-paced, ever-changing world of data, privacy, cyber, and AI, staying ahead of the curve is crucial. Following Data Protection Day 2025 last month, we’ve identified ten key themes that might significantly impact employers in the coming year. Here’s a summary of the most recent developments and what professionals in these fields should look out for in 2025. 1. Artificial Intelligence (AI) AI continues…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert