open search
close
Arbeitsrecht 4.0 Compliance Datenschutz

Neue Spielregeln für IT-Betriebsvereinbarungen

Print Friendly, PDF & Email
IT BV

Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen sind häufig mühsam. Die Datenverarbeitungsprozesse müssen erkannt, verstanden und beschrieben werden. Daneben kämpft der Arbeitgeber nicht selten gegen diffuse Sorgen des Betriebsrates, der die zweckwidrige Verwendung personenbezogenen Daten in dem IT-System befürchtet. Dies geschieht zudem regelmäßig unter zeitlichem Druck, da eine zeitnahe Einführung des IT-Systems gewünscht oder gar notwendig ist. Nicht selten lautet der Kompromiss daher in der Praxis: „Eine Verhaltens- und Leistungskontrolle ist unzulässig.“ Diese Lösung widerspricht indes europäischen Datenschutzrecht – aktuell und auch nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO).

Das Dilemma bei der IT-Betriebsvereinbarung

Der Datenschutz nimmt auch im Arbeitsverhältnis einen immer größeren Stellenwert ein. Die fortschreitende Digitalisierung, die wachsende Anzahl von IT-Systemen und nicht zuletzt die Diskussionen um die DSGVO haben Belegschaften und Betriebsräte sensibilisiert. Vor diesem Hintergrund stehen Betriebsräte der Einführung neuer IT-Systeme tendenziell besorgt, mitunter auch kritisch gegenüber. Der Arbeitgeber hingegen ist nicht selten auf eine zügige und reibungslose Einführung eines neuen IT-Systems angewiesen. Aufgrund der zwingenden Mitbestimmung des Betriebsrates lassen sich viele IT-Systeme ohne vorherigen Abschluss einer Betriebsvereinbarung aber nicht realisieren. Das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG ist dabei sogar durch einen Unterlassungsanspruch seitens des Betriebsrates abgesichert. Angesichts dessen ist der Arbeitgeber – insbesondere bei zeitkritischen Projekten – in der Praxis nicht selten zu einem Kompromiss bereit, der eine Verhaltens- und Leistungskontrolle in der Betriebsvereinbarung gänzlich ausschließt. Lassen sich im Nachhinein durch das IT-System dann Pflichtverstöße einzelner Arbeitnehmer feststellen, ist es dem Arbeitgeber verwehrt, diese Erkenntnisse zu nutzen oder gar für eine Abmahnung oder ggf. Kündigung heranzuziehen.

Pauschalausschluss unzulässig?

Diese Praxis wird sich spätestens seit der Entscheidung des BAG vom 29. Juni 2017 (2 AZR 597/16) ändern müssen (wir berichteten: vgl. den Blog-Beitrag von Dr. Oliver Vollstädt vom 12. September 2017). Nach Ansicht des BAG dürfen die Mitgliedstaaten in ihren Gesetzen keine strengeren Vorgaben für die Zulässigkeit einer Datenverarbeitung bestimmen als dies in der Datenschutzrichtlinie (RL 95/46/EG) vorgesehen ist. Andernfalls wäre dies europarechtswidrig. Zwar erlaube die Datenschutzrichtlinie den Mitgliedsstaaten, die Rechtmäßigkeitsvoraussetzungen einer Datenverarbeitung näher zu bestimmen. Gleichwohl können die Mitgliedsstaaten von ihrem insoweit eingeräumten Ermessen nur im Einklang mit dem von der Richtlinie verfolgten Ziel der Wahrung eines Gleichgewichts zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre Gebrauch machen. Eine Abwägung dieser beiden Interessen ist also stets erforderlich, die bei einem Pauschalausschluss der Datennutzung fast notwendigerweise ausscheidet. Dabei sei zu berücksichtigen, dass die Datenschutzrichtlinie nicht bloß Mindeststandards vorgebe, sondern eine umfassende Harmonisierung des europäischen Datenschutzrechts verfolge. Mit dieser Argumentation folgt das BAG der ständigen Rechtsprechung des EuGH (vgl. nur EuGH vom 19. Oktober 2016 – C-582/14).

Diese europarechtlichen Vorgaben gelten unzweifelhaft für die Mitgliedstaaten und ihre staatliche Rechtssetzung. Die Vorgaben dürften indes gleichermaßen für die Betriebsparteien gelten, denn auch die Betriebsparteien schaffen mit der Betriebsvereinbarung Rechtsnormen für die Zulässigkeit einer Datenverarbeitung. Demnach dürfen auch Betriebsvereinbarungen keinen strengeren Vorgaben für die Nutzung und Verfügbarkeit von rechtmäßig erhobenen Daten aufstellen als die Datenschutzrichtlinie zulässt. Die Interessenabwägung zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre ist auch von Seiten der Betriebsparteien notwendig. Vor diesem Hintergrund dürfte der pauschale Ausschluss einer Verhaltens- und Leistungskontrolle in einer Betriebsvereinbarung gegen europäisches Datenschutzrecht verstoßen. Denn letztlich lässt sich keineswegs ausschließen, dass eine Verhaltens- und Leistungskontrolle im Einzelfall zur Verwirklichung berechtigter Interessen des Arbeitgebers erforderlich sein kann, um etwa erhebliche Pflichtverletzungen oder Straftaten einzelner Arbeitnehmer festzustellen.

Die Datenschutzgrundverordnung – alles neu macht der Mai?

Diese Rechtslage wird sich durch das Inkrafttreten der DSGVO nicht ändern. Im Gegenteil:  Die DSGVO bezweckt – wie bereits die Datenschutzrichtlinie nach der Rechtsprechung des EuGH und BAG – eine echte Vollharmonisierung des europäischen Datenschutzrechts. Der europäische Gesetzgeber hat aus diesem Grunde bewusst das Instrument der Rechtsverordnung gewählt. Die dargestellten Maßstäbe werden daher unter der DSGVO weiterhin gelten – auch für Betriebsvereinbarungen. Denn zum einen benennt die DSGVO die Kollektivvereinbarung ausdrücklich als mögliche Rechtsgrundlage für eine Datenverarbeitung. Zum anderen gelten nach DSGVO dieselben Grundsätze der Datenverarbeitung, wie sie bereits in der Datenschutzrichtlinie niedergelegt sind. Die entsprechenden Regelungen sind fast inhaltgleich. Es ist daher anzunehmen, dass strengere Vorgaben für die Zulässigkeit einer Datenverarbeitung als nach der DSGVO vorgesehen – insbesondere pauschale Verarbeitungsverbote – gegen europäisches Recht verstoßen.

Ausblick

Die Mitbestimmung bei der Einführung und Anwendung von IT-Systemen wird zukünftig ein beherrschendes Thema auf betrieblicher Ebene werden. Die Zahl der verwendeten IT-Systeme wächst stetig, das BAG baut die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG zudem kontinuierlich aus (vgl. den Blog-Beitrag zur „Facebook“-Entscheidung des BAG von Dr. Oliver Vollstädt vom 21. September 2017) und die Sensibilität für datenschutzrechtliche Fragestellungen ist durch die Neugestaltung des europäischen Datenschutzrechts durch die DSGVO hoch. Umso wichtiger ist ein differenzierter Umgang mit den unterschiedlichen IT-Systemen und personenbezogenen Daten, den EuGH und BAG zu Recht einfordern. Dieser Forderung müssen sich auch die Betriebsparteien stellen und die Abwägungsprozesse gemeinsam vornehmen. Die Verhandlungen über Betriebsvereinbarungen zur Einführung von neuen IT-Systemen bleiben damit mühsam; die Ergebnisse werden aber besser!

22 beiträge

Dr. Oliver Vollstädt 




Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten. Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.