In der digitalisierten Arbeitswelt kommen an allen Ecken und Enden IT-Systeme zum Einsatz, die Mitarbeiterdaten verarbeiten. Hierzu werden häufig Betriebsvereinbarungen abgeschlossen. Nun entwickeln sich IT-Systeme kontinuierlich weiter – Upgrades mit neuen Funktionen werden eingeführt. Dann stellt sich die Frage: Müssen bestehende Betriebsvereinbarungen wegen des Upgrades nach- oder gar neu verhandelt werden?
Upgrade kann mitbestimmungs- und datenschutzrechtliche Aspekte tangieren
Werden IT-Systeme – wie aktuell in vielen Unternehmen Office 365 oder moderne Personalmanagementsysteme – eingeführt, ist der Abschluss einer Betriebsvereinbarung üblicherweise aus zwei Gründen erforderlich:
- Erstens, um das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz („Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“) zu wahren.
- Zweitens, um einen datenschutzrechtlichen Erlaubnistatbestand darzustellen. Nach Artikel 88 Abs. 1 der EU-Datenschutz-Grundverordnung in Verbindung mit Erwägungsgrund 155 können Datenverarbeitungen nämlich nach wie vor auf Betriebsvereinbarungen gestützt werden, so dass etwa individuelle Einwilligungen entbehrlich sind.
Upgrades können sowohl die mitbestimmungs- als auch die datenschutzrechtlichen Aspekte einer Betriebsvereinbarung berühren:
Unter einem Upgrade versteht man die Einführung einer erweiterten, verbesserten Version des IT-Systems. Hierbei werden nicht selten komplett neue Funktionen bzw. Module eingeführt, die im Sinne des § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz zur Überwachung des Mitarbeiterverhaltens bestimmt sein können. Die datenschutzrechtlichen Aspekte der Betriebsvereinbarung sind tangiert, weil mit den neuen Funktionen bzw. Modulen üblicherweise auch bestimmte (neue) Zwecke verfolgt werden, die bislang noch nicht oder anders in der Betriebsvereinbarung abgebildet waren.
Nervige Nach- und Neuverhandlungen vermeiden
Sowohl aus mitbestimmungs- als auch aus datenschutzrechtlicher Sicht können Upgrades daher Nachverhandlungen bestehender Betriebsvereinbarungen notwendig machen. Das kann für die Betriebsparteien umso nerviger sein, wenn man berücksichtigt, dass Upgrades bei modernen, cloud-basierten IT-Systemen immer häufiger vorkommen.
Vor diesem Hintergrund sollten die Betriebsparteien den „Upgrade-Fall“ schon bei der Erstverhandlung einer Betriebsvereinbarung zu einem IT-System „auf dem Schirm haben“. Sie sollten einen Mechanismus für den Umgang mit Upgrades vereinbaren. So könnten sie sich darauf verständigen, dass der Arbeitgeber dem Betriebsrat oder einem IT-Ausschuss des Betriebsrats im Falle eines Upgrades eine „Checkliste“ mit wesentlichen Informationen zur Verfügung stellt. Auf dieser Basis soll der Betriebsrat innerhalb einer bestimmten Frist mitteilen, ob er dem Upgrade zustimmt oder inwieweit er weitere Informationen bzw. Verhandlungen für erforderlich hält. Bestenfalls erfolgt eine fixe Zustimmung, die insoweit abgesegnete „Checkliste“ wird Bestandteil der Betriebsvereinbarung, und damit sind die etwaigen mitbestimmungs- und datenschutzrechtlichen Vorgaben erfüllt.
Was genau fragt die „Checkliste“ ab?
Dabei sollte gut durchdacht und sinnvoll verhandelt sein, welche Informationen durch die „Checkliste“ abgefragt und dem Betriebsrat zur Verfügung gestellt werden. Die „Checkliste“ sollte aus Sicht des Arbeitgebers nicht zu umfangreiche Informationen abfragen, um nicht unnötig viel Aufwand zu verursachen. Andererseits muss sie die Informationen abfragen, die benötigt werden, um insbesondere die datenschutzrechtlichen Vorgaben zu erfüllen. Vor allem das Transparenzgebot der EU-Datenschutz-Grundverordnung ist dabei zu berücksichtigen. Insoweit sollten u. a. Informationen zu folgenden Aspekten in der „Checkliste“ auftauchen:
- Beschreibung des Upgrades
- Zwecksetzung
- Betroffene Gesellschaften/Abteilungen/Standorte
- Datenschutz-Folgenabschätzung
- Zugriffsberechtigungen
- Schnittstellen zu anderen IT-Systemen
- Datenübermittlung an Dritte
Fazit
Upgrades von bestehenden IT-Systemen können sowohl aus mitbestimmungs- als auch aus datenschutzrechtlicher Sicht Nachverhandlungen der bestehenden Betriebsvereinbarung zum IT-System erforderlich machen. Die Verständigung auf einen Mechanismus in Form einer „Checkliste“ kann ein nerviges Nachverhandeln vermeiden. Ein solcher Mechanismus könnte übrigens auch in einer Rahmen-Betriebsvereinbarung abstrakt für sämtliche IT-Systeme vereinbart werden. Das bringt noch mehr Erleichterung, weil der Mechanismus nicht mehr bei jedem IT-System in der entsprechenden Einzel-Betriebsvereinbarung vereinbart werden muss.