open search
close
Arbeitsrecht 4.0 Betriebsrat Compliance Datenschutz

Neue Spielregeln für IT-Betriebsvereinbarungen

Print Friendly, PDF & Email
IT BV

Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen sind häufig mühsam. Die Datenverarbeitungsprozesse müssen erkannt, verstanden und beschrieben werden. Daneben kämpft der Arbeitgeber nicht selten gegen diffuse Sorgen des Betriebsrates, der die zweckwidrige Verwendung personenbezogenen Daten in dem IT-System befürchtet. Dies geschieht zudem regelmäßig unter zeitlichem Druck, da eine zeitnahe Einführung des IT-Systems gewünscht oder gar notwendig ist. Nicht selten lautet der Kompromiss daher in der Praxis: „Eine Verhaltens- und Leistungskontrolle ist unzulässig.“ Diese Lösung widerspricht indes europäischen Datenschutzrecht – aktuell und auch nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO).

Das Dilemma bei der IT-Betriebsvereinbarung

Der Datenschutz nimmt auch im Arbeitsverhältnis einen immer größeren Stellenwert ein. Die fortschreitende Digitalisierung, die wachsende Anzahl von IT-Systemen und nicht zuletzt die Diskussionen um die DSGVO haben Belegschaften und Betriebsräte sensibilisiert. Vor diesem Hintergrund stehen Betriebsräte der Einführung neuer IT-Systeme tendenziell besorgt, mitunter auch kritisch gegenüber. Der Arbeitgeber hingegen ist nicht selten auf eine zügige und reibungslose Einführung eines neuen IT-Systems angewiesen. Aufgrund der zwingenden Mitbestimmung des Betriebsrates lassen sich viele IT-Systeme ohne vorherigen Abschluss einer Betriebsvereinbarung aber nicht realisieren. Das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG ist dabei sogar durch einen Unterlassungsanspruch seitens des Betriebsrates abgesichert. Angesichts dessen ist der Arbeitgeber – insbesondere bei zeitkritischen Projekten – in der Praxis nicht selten zu einem Kompromiss bereit, der eine Verhaltens- und Leistungskontrolle in der Betriebsvereinbarung gänzlich ausschließt. Lassen sich im Nachhinein durch das IT-System dann Pflichtverstöße einzelner Arbeitnehmer feststellen, ist es dem Arbeitgeber verwehrt, diese Erkenntnisse zu nutzen oder gar für eine Abmahnung oder ggf. Kündigung heranzuziehen.

Pauschalausschluss unzulässig?

Diese Praxis wird sich spätestens seit der Entscheidung des BAG vom 29. Juni 2017 (2 AZR 597/16) ändern müssen (wir berichteten: vgl. den Blog-Beitrag von Dr. Oliver Vollstädt vom 12. September 2017). Nach Ansicht des BAG dürfen die Mitgliedstaaten in ihren Gesetzen keine strengeren Vorgaben für die Zulässigkeit einer Datenverarbeitung bestimmen als dies in der Datenschutzrichtlinie (RL 95/46/EG) vorgesehen ist. Andernfalls wäre dies europarechtswidrig. Zwar erlaube die Datenschutzrichtlinie den Mitgliedsstaaten, die Rechtmäßigkeitsvoraussetzungen einer Datenverarbeitung näher zu bestimmen. Gleichwohl können die Mitgliedsstaaten von ihrem insoweit eingeräumten Ermessen nur im Einklang mit dem von der Richtlinie verfolgten Ziel der Wahrung eines Gleichgewichts zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre Gebrauch machen. Eine Abwägung dieser beiden Interessen ist also stets erforderlich, die bei einem Pauschalausschluss der Datennutzung fast notwendigerweise ausscheidet. Dabei sei zu berücksichtigen, dass die Datenschutzrichtlinie nicht bloß Mindeststandards vorgebe, sondern eine umfassende Harmonisierung des europäischen Datenschutzrechts verfolge. Mit dieser Argumentation folgt das BAG der ständigen Rechtsprechung des EuGH (vgl. nur EuGH vom 19. Oktober 2016 – C-582/14).

Diese europarechtlichen Vorgaben gelten unzweifelhaft für die Mitgliedstaaten und ihre staatliche Rechtssetzung. Die Vorgaben dürften indes gleichermaßen für die Betriebsparteien gelten, denn auch die Betriebsparteien schaffen mit der Betriebsvereinbarung Rechtsnormen für die Zulässigkeit einer Datenverarbeitung. Demnach dürfen auch Betriebsvereinbarungen keinen strengeren Vorgaben für die Nutzung und Verfügbarkeit von rechtmäßig erhobenen Daten aufstellen als die Datenschutzrichtlinie zulässt. Die Interessenabwägung zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre ist auch von Seiten der Betriebsparteien notwendig. Vor diesem Hintergrund dürfte der pauschale Ausschluss einer Verhaltens- und Leistungskontrolle in einer Betriebsvereinbarung gegen europäisches Datenschutzrecht verstoßen. Denn letztlich lässt sich keineswegs ausschließen, dass eine Verhaltens- und Leistungskontrolle im Einzelfall zur Verwirklichung berechtigter Interessen des Arbeitgebers erforderlich sein kann, um etwa erhebliche Pflichtverletzungen oder Straftaten einzelner Arbeitnehmer festzustellen.

Die Datenschutzgrundverordnung – alles neu macht der Mai?

Diese Rechtslage wird sich durch das Inkrafttreten der DSGVO nicht ändern. Im Gegenteil:  Die DSGVO bezweckt – wie bereits die Datenschutzrichtlinie nach der Rechtsprechung des EuGH und BAG – eine echte Vollharmonisierung des europäischen Datenschutzrechts. Der europäische Gesetzgeber hat aus diesem Grunde bewusst das Instrument der Rechtsverordnung gewählt. Die dargestellten Maßstäbe werden daher unter der DSGVO weiterhin gelten – auch für Betriebsvereinbarungen. Denn zum einen benennt die DSGVO die Kollektivvereinbarung ausdrücklich als mögliche Rechtsgrundlage für eine Datenverarbeitung. Zum anderen gelten nach DSGVO dieselben Grundsätze der Datenverarbeitung, wie sie bereits in der Datenschutzrichtlinie niedergelegt sind. Die entsprechenden Regelungen sind fast inhaltgleich. Es ist daher anzunehmen, dass strengere Vorgaben für die Zulässigkeit einer Datenverarbeitung als nach der DSGVO vorgesehen – insbesondere pauschale Verarbeitungsverbote – gegen europäisches Recht verstoßen.

Ausblick

Die Mitbestimmung bei der Einführung und Anwendung von IT-Systemen wird zukünftig ein beherrschendes Thema auf betrieblicher Ebene werden. Die Zahl der verwendeten IT-Systeme wächst stetig, das BAG baut die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG zudem kontinuierlich aus (vgl. den Blog-Beitrag zur „Facebook“-Entscheidung des BAG von Dr. Oliver Vollstädt vom 21. September 2017) und die Sensibilität für datenschutzrechtliche Fragestellungen ist durch die Neugestaltung des europäischen Datenschutzrechts durch die DSGVO hoch. Umso wichtiger ist ein differenzierter Umgang mit den unterschiedlichen IT-Systemen und personenbezogenen Daten, den EuGH und BAG zu Recht einfordern. Dieser Forderung müssen sich auch die Betriebsparteien stellen und die Abwägungsprozesse gemeinsam vornehmen. Die Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen bleiben damit mühsam; die Ergebnisse werden aber besser!

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Datenschutz Neueste Beiträge

Schadensersatz nach der DSGVO – wer beweist was?

Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers sind ein beliebtes Instrument, um im Arbeitsgerichtsprozess Druck auf den Arbeitgeber auszuüben. Häufig wird jedoch übersehen, dass der Arbeitnehmer nicht nur den Datenschutzverstoß darlegen, sondern auch beweisen muss, hierdurch einen konkreten Schaden erlitten zu haben. Demgegenüber muss der Arbeitgeber beweisen, dass ihn kein Verschulden trifft, um der Schadensersatzforderung entgegenzutreten. Nach allgemeinen prozessualen Grundsätzen obliegt es demjenigen,…
Compliance Neueste Beiträge Whistleblowing Whistleblowing & Investigations

Datenschutz vs. Hinweisgeberschutz: Wo endet der Identitätsschutz?

Das Hinweisgeberschutzgesetz („HinSchG“) hat in vielen Unternehmen ein stärkeres Bewusstsein für interne Meldesysteme und den Schutz von Hinweisgebern geschaffen. Während die Einführung von Hinweisgebersystemen zur Aufdeckung von Missständen und zur Förderung einer transparenten Unternehmenskultur beiträgt, bringt sie auch komplexe datenschutzrechtliche Herausforderungen mit sich. Wir zeigen, was es zu beachten gilt. Personen, die mit der Bearbeitung von eingehenden Meldungen beauftragt sind, sog. Meldestellenbeauftragte, müssen sicherstellen, dass…
Datenschutz Individualarbeitsrecht Neueste Beiträge

„Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert