Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen sind häufig mühsam. Die Datenverarbeitungsprozesse müssen erkannt, verstanden und beschrieben werden. Daneben kämpft der Arbeitgeber nicht selten gegen diffuse Sorgen des Betriebsrates, der die zweckwidrige Verwendung personenbezogenen Daten in dem IT-System befürchtet. Dies geschieht zudem regelmäßig unter zeitlichem Druck, da eine zeitnahe Einführung des IT-Systems gewünscht oder gar notwendig ist. Nicht selten lautet der Kompromiss daher in der Praxis: „Eine Verhaltens- und Leistungskontrolle ist unzulässig.“ Diese Lösung widerspricht indes europäischen Datenschutzrecht – aktuell und auch nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO).
Das Dilemma bei der IT-Betriebsvereinbarung
Der Datenschutz nimmt auch im Arbeitsverhältnis einen immer größeren Stellenwert ein. Die fortschreitende Digitalisierung, die wachsende Anzahl von IT-Systemen und nicht zuletzt die Diskussionen um die DSGVO haben Belegschaften und Betriebsräte sensibilisiert. Vor diesem Hintergrund stehen Betriebsräte der Einführung neuer IT-Systeme tendenziell besorgt, mitunter auch kritisch gegenüber. Der Arbeitgeber hingegen ist nicht selten auf eine zügige und reibungslose Einführung eines neuen IT-Systems angewiesen. Aufgrund der zwingenden Mitbestimmung des Betriebsrates lassen sich viele IT-Systeme ohne vorherigen Abschluss einer Betriebsvereinbarung aber nicht realisieren. Das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG ist dabei sogar durch einen Unterlassungsanspruch seitens des Betriebsrates abgesichert. Angesichts dessen ist der Arbeitgeber – insbesondere bei zeitkritischen Projekten – in der Praxis nicht selten zu einem Kompromiss bereit, der eine Verhaltens- und Leistungskontrolle in der Betriebsvereinbarung gänzlich ausschließt. Lassen sich im Nachhinein durch das IT-System dann Pflichtverstöße einzelner Arbeitnehmer feststellen, ist es dem Arbeitgeber verwehrt, diese Erkenntnisse zu nutzen oder gar für eine Abmahnung oder ggf. Kündigung heranzuziehen.
Pauschalausschluss unzulässig?
Diese Praxis wird sich spätestens seit der Entscheidung des BAG vom 29. Juni 2017 (2 AZR 597/16) ändern müssen (wir berichteten: vgl. den Blog-Beitrag von Dr. Oliver Vollstädt vom 12. September 2017). Nach Ansicht des BAG dürfen die Mitgliedstaaten in ihren Gesetzen keine strengeren Vorgaben für die Zulässigkeit einer Datenverarbeitung bestimmen als dies in der Datenschutzrichtlinie (RL 95/46/EG) vorgesehen ist. Andernfalls wäre dies europarechtswidrig. Zwar erlaube die Datenschutzrichtlinie den Mitgliedsstaaten, die Rechtmäßigkeitsvoraussetzungen einer Datenverarbeitung näher zu bestimmen. Gleichwohl können die Mitgliedsstaaten von ihrem insoweit eingeräumten Ermessen nur im Einklang mit dem von der Richtlinie verfolgten Ziel der Wahrung eines Gleichgewichts zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre Gebrauch machen. Eine Abwägung dieser beiden Interessen ist also stets erforderlich, die bei einem Pauschalausschluss der Datennutzung fast notwendigerweise ausscheidet. Dabei sei zu berücksichtigen, dass die Datenschutzrichtlinie nicht bloß Mindeststandards vorgebe, sondern eine umfassende Harmonisierung des europäischen Datenschutzrechts verfolge. Mit dieser Argumentation folgt das BAG der ständigen Rechtsprechung des EuGH (vgl. nur EuGH vom 19. Oktober 2016 – C-582/14).
Diese europarechtlichen Vorgaben gelten unzweifelhaft für die Mitgliedstaaten und ihre staatliche Rechtssetzung. Die Vorgaben dürften indes gleichermaßen für die Betriebsparteien gelten, denn auch die Betriebsparteien schaffen mit der Betriebsvereinbarung Rechtsnormen für die Zulässigkeit einer Datenverarbeitung. Demnach dürfen auch Betriebsvereinbarungen keinen strengeren Vorgaben für die Nutzung und Verfügbarkeit von rechtmäßig erhobenen Daten aufstellen als die Datenschutzrichtlinie zulässt. Die Interessenabwägung zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre ist auch von Seiten der Betriebsparteien notwendig. Vor diesem Hintergrund dürfte der pauschale Ausschluss einer Verhaltens- und Leistungskontrolle in einer Betriebsvereinbarung gegen europäisches Datenschutzrecht verstoßen. Denn letztlich lässt sich keineswegs ausschließen, dass eine Verhaltens- und Leistungskontrolle im Einzelfall zur Verwirklichung berechtigter Interessen des Arbeitgebers erforderlich sein kann, um etwa erhebliche Pflichtverletzungen oder Straftaten einzelner Arbeitnehmer festzustellen.
Die Datenschutzgrundverordnung – alles neu macht der Mai?
Diese Rechtslage wird sich durch das Inkrafttreten der DSGVO nicht ändern. Im Gegenteil: Die DSGVO bezweckt – wie bereits die Datenschutzrichtlinie nach der Rechtsprechung des EuGH und BAG – eine echte Vollharmonisierung des europäischen Datenschutzrechts. Der europäische Gesetzgeber hat aus diesem Grunde bewusst das Instrument der Rechtsverordnung gewählt. Die dargestellten Maßstäbe werden daher unter der DSGVO weiterhin gelten – auch für Betriebsvereinbarungen. Denn zum einen benennt die DSGVO die Kollektivvereinbarung ausdrücklich als mögliche Rechtsgrundlage für eine Datenverarbeitung. Zum anderen gelten nach DSGVO dieselben Grundsätze der Datenverarbeitung, wie sie bereits in der Datenschutzrichtlinie niedergelegt sind. Die entsprechenden Regelungen sind fast inhaltgleich. Es ist daher anzunehmen, dass strengere Vorgaben für die Zulässigkeit einer Datenverarbeitung als nach der DSGVO vorgesehen – insbesondere pauschale Verarbeitungsverbote – gegen europäisches Recht verstoßen.
Ausblick
Die Mitbestimmung bei der Einführung und Anwendung von IT-Systemen wird zukünftig ein beherrschendes Thema auf betrieblicher Ebene werden. Die Zahl der verwendeten IT-Systeme wächst stetig, das BAG baut die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG zudem kontinuierlich aus (vgl. den Blog-Beitrag zur „Facebook“-Entscheidung des BAG von Dr. Oliver Vollstädt vom 21. September 2017) und die Sensibilität für datenschutzrechtliche Fragestellungen ist durch die Neugestaltung des europäischen Datenschutzrechts durch die DSGVO hoch. Umso wichtiger ist ein differenzierter Umgang mit den unterschiedlichen IT-Systemen und personenbezogenen Daten, den EuGH und BAG zu Recht einfordern. Dieser Forderung müssen sich auch die Betriebsparteien stellen und die Abwägungsprozesse gemeinsam vornehmen. Die Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen bleiben damit mühsam; die Ergebnisse werden aber besser!