Mitbestimmungsrecht beim Datenschutz: LAG Hessen entscheidet

Das Landesarbeitsgericht Hessen hat in einer aktuellen Entscheidung verdeutlicht, dass Betriebsräte kein erzwingbares Mitbestimmungsrecht bei datenschutzrechtlichen Fragestellungen haben – jedenfalls nicht im Zusammenhang mit der Einführung technischer Systeme. Im Kern geht es also um das Mitbestimmungsrecht beim Datenschutz bei der Einführung technischer Systeme. Gegenstand des Verfahrens war die konzernweite Einführung des IT-Systems „HCM (People Engine)“, das zur Verwaltung von Beschäftigtendaten dienen sollte. Bemerkenswert: Die Datenverarbeitung erfolgt über Server in den USA – betrieben durch eine dort ansässige Konzerngesellschaft.

Sachverhalt: Einführung von HCM People Engine und US-Server

Die Arbeitgeberin, ein international tätiges Unternehmen im Logistiksektor, plante an zwei deutschen Standorten die Einführung eines neuen IT-Systems zur Verwaltung von Personalstammdaten. Das System sollte konzernübergreifend implementiert werden. Da es unter anderem auch sogenannte Protokolldaten (Log-Daten) erfasste – also Informationen, die zur Überwachung von Verhalten oder Leistung geeignet sein können – sah § 87 Abs. 1 Nr. 6 BetrVG eine Beteiligung des Betriebsrats vor.

Im Zuge eines Einigungsstellenverfahrens wurde eine Betriebsvereinbarung abgeschlossen. Sie umfasste unter anderem:

• den sachlichen Geltungsbereich der Softwarelösung,
• den Umfang und Zweck der Datenverarbeitung,
• die Nutzung und Auswertung von Protokolldaten,
• Vorgaben für den Import und Export von Beschäftigtendaten,
• sowie Bedingungen für die Durchführung von Leistungs- und Verhaltenskontrollen.

Streitpunkt: Datenschutzdefizite und Rolle des Betriebsrats

Kurz nach Inkrafttreten der Betriebsvereinbarung erklärte der Betriebsrat deren Kündigung und beantragte die gerichtliche Überprüfung des Einigungsstellenspruchs. Er rügte, dass die Darstellung des Systems lediglich fragmentarisch sei und wesentliche Funktionen unbehandelt blieben. Zudem seien datenschutzrechtliche Vorgaben nicht hinreichend berücksichtigt worden – insbesondere in Bezug auf die Übermittlung personenbezogener Daten an außereuropäische Standorte sowie die potenzielle Auswertung der Log-Daten. In diesem Zusammenhang stützte sich der Betriebsrat auf sein Mitbestimmungsrecht gemäß § 87 Abs. 1 Nr. 6 BetrVG.

Rechtslage: Mitbestimmungsrecht beim Datenschutz nach § 87 BetrVG

Warum DSGVO-Verantwortung beim Arbeitgeber liegt (Art. 4 Nr. 7 DSGVO)

Sowohl das Arbeitsgericht Fulda als auch das LAG Hessen wiesen die Anträge des Betriebsrats vollumfänglich zurück.

Die Gerichte erkannten die Betriebsvereinbarung als formell und materiell rechtmäßig an. Maßgeblich sei, dass sich die Regelungen auf die im Verfahren festgelegten Systemfunktionen beschränkten und somit der konkrete Regelungsauftrag nicht überschritten wurde.

Abgrenzung zu § 87 Abs. 1 Nr. 6 BetrVG (Überwachung vs. Datenschutz)

Im Mittelpunkt der Entscheidung stand die Abgrenzung zwischen datenschutzrechtlicher Verantwortung und betrieblicher Mitbestimmung. Beide Instanzen betonten:

• Für die Einhaltung der DSGVO ist allein die Arbeitgeberin als „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO zuständig.
• Ein Mitbestimmungsrecht über datenschutzrechtliche Inhalte lasse sich nicht aus § 87 Abs. 1 Nr. 6 BetrVG ableiten.
• Auch § 87 Abs. 1 Nr. 1 BetrVG, der die Ordnung des Betriebs und das Verhalten der Arbeitnehmer betrifft, begründet kein erzwingbares Mitspracherecht in Datenschutzfragen

Protokolldaten: Zugriff, Zweckbindung und § 26 BDSG

Bezüglich der Protokolldaten (Log-Daten) stellte das Gericht fest, dass deren Nutzung klar begrenzt sei. Ein Zugriff sei lediglich erlaubt bei:

• technischer Fehleranalyse,
• Systemoptimierung oder
• einem begründeten Verdacht auf eine Straftat – und auch nur unter den Voraussetzungen des § 26 Abs. 1 Satz 2 BDSG.

Außerdem sei der Arbeitgeber verpflichtet, den Betriebsrat über entsprechende Zugriffe umfassend zu informieren. Eine systematische Überwachung der Beschäftigten sei durch die getroffenen Regelungen ausgeschlossen. Das LAG sah demnach keine Überschreitung des Ermessens durch die Einigungsstelle.

Praxisfolgen für Arbeitgeber und Betriebsräte

Diese Entscheidung hat Auswirkungen auf die betriebliche Praxis. Schließlich verlagert sie die Verantwortung für Datenschutzfragen vollständig auf die Arbeitgeberseite und beschränkt den Einfluss des Betriebsrats auf Überwachungs- und Unterrichtungsrechte nach § 80 BetrVG. Datenschutzbezogene Themen können daher nur Bestandteil freiwilliger Betriebsvereinbarungen werden – ein erzwingbares Mitbestimmungsrecht besteht nicht.

Fazit zum Mitbestimmungsrecht beim Datenschutz

Das LAG Hessen hat mit seiner Entscheidung einen klaren rechtlichen Rahmen gezogen: Ein erzwingbares Mitbestimmungsrecht beim Datenschutz lässt sich aus § 87 BetrVG nach der Entscheidung des LAG Hessen nicht ableiten. Ein Mitbestimmungsrecht hat der Betriebsrat nur, wenn keine gesetzlichen oder tariflichen Regelungen vorhanden sind. Die alleinige Verantwortung für datenschutzkonformes Handeln liegt bei der Arbeitgeberin. Betriebsräte sollten sich darauf einstellen, dass sie bei entsprechenden Betriebsvereinbarungen keinen rechtlichen Anspruch auf Mitbestimmung. Rechtsstreitigkeiten über datenschutzrechtliche Inhalte sind daher nicht über die Einigungsstelle durchsetzbar.

Fragen zum Mitbestimmungsrecht beim Betriebsrat?

Unsere spezialisierten Rechtsanwälte für Arbeitsrecht und Datenschutzrecht unterstützen Sie dabei, Betriebsvereinbarungen und IT-Systemeinführungen rechtssicher zu gestalten – im Einklang mit DSGVO und BetrVG. Jetzt Beratung anfordern oder unverbindlich Kontakt mit uns aufnehmen!