Zahlreiche Betriebsvereinbarungen enthalten Regelungen zum Datenschutz. Dies betrifft insbesondere Betriebsvereinbarung zur Einführung und Anwendung von IT-Systemen und sonstiger technischer Einrichtungen. Aber sind diese Regelungen – ggf. in einer Einigungsstelle – durch den Betriebsrat erzwingbar? Das Hessische Landesarbeitsgericht hat hier klar Stellung bezogen (Urteil vom 05.12.2024, Az. 5 TaBV 4/24).

Der Sachverhalt

In dem Verfahren 5 TaBV 4/2024 hatte das Hessische Landesarbeitsgericht über die Wirksamkeit des Spruchs einer Einigungsstelle zu entscheiden. Gegenstand des Einigungsstellenverfahrens war eine Betriebsvereinbarung über die Einführung eines IT-Systems zum „Human Capital Management“, mit dem Beschäftigtendaten verarbeitet werden sollten. Verarbeitet werden sollten im Wesentlichen Stammdaten und Protokolldaten. Die Einigungsstelle war u.a. wegen unterschiedlichen Auffassungen über datenschutzrechtliche Zulässigkeit der Datenverarbeitungen notwendig geworden. Der Betriebsrat kritisierte u.a., dass Beschäftigtendaten auf Servern eines Konzernunternehmens in den USA gehostet werden sollten.

Die Einigungsstelle endete mit einer Abstimmung über eine Betriebsvereinbarung, die auf einem Entwurf des Einigungsstellenvorsitzenden beruhte. Diese Betriebsvereinbarung wurde von der Einigungsstelle mehrheitlich (vermutlich gegen die Stimmen der vom Betriebsrat bestellten Beisitzer) angenommen. Dieser Spruch der Einigungsstelle wurde von dem Betriebsrat angefochten, weil die Betriebsvereinbarung seines Erachtens eine rechtswidrige Datenverarbeitung und damit eine rechtswidrigen Verhaltenskontrolle ermögliche.

Die Entscheidung

Das Landesarbeitsgericht bestätigte die Einschätzung der ersten Instanz und kam zu dem Ergebnis, dass die Betriebsvereinbarung weder rechtswidrig noch ermessensfehlerhaft war. Die Verantwortung für die Einhaltung des Datenschutzes liege allein bei der Arbeitgeberin als der nach Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) verantwortlichen Stelle.

Es habe in der Betriebsvereinbarung ausgereicht, dass sich der vereinbarte Nutzungsumfang auf datenschutzrechtlich unbedenkliche Zwecke beschränke. Regelungen zum Datenschutz seien – so das Hessische Landesarbeitsgericht – nicht erzwingbar, weil sie nicht auf einem Mitbestimmungsrecht beruhen. Ein Mitbestimmungsrecht ergebe sich weder aus dem Recht zu Mitbestimmung bei der Einführung und Anwendung technischer Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG) noch aus dem Recht zur Mitbestimmung bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer (§ 87 Abs. 1 Nr. 1 BetrVG).

In Bezug auf Datenschutz sei der Betriebsrat auf seine allgemeine Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG und sein Unterrichtungsrecht aus § 80 Abs. 2 BetrVG beschränkt. Regelungen, die der Erfüllung und Ausgestaltung der datenschutzrechtlichen Pflichten dienen, seien einem Spruch der Einigungsstelle daher nicht zugänglich. Bzgl. zwingender gesetzlicher Datenschutzvorschriften, die keine Gestaltungsspielraum eröffnen, folge dies – selbst dann, wenn man ein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1, 6 BetrVG annehme – aus dem Gesetzesvorbehalt des § 87 Abs. 1 Eingangshalbsatz BetrVG. 

Auch wenn die Öffnungsklauseln des Art. 88 DS-GVO in Verbindung mit § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) speziellere Vorschriften zur Gewährleistung des Datenschutzrechts im Beschäftigtenkontext in einer Betriebsvereinbarung ermöglichen, folge daraus kein erzwingbares Mitbestimmungsrecht des Betriebsrats. Datenschutzthemen könnten insofern nur in einer freiwilligen Betriebsvereinbarung geregelt werden.

Bedeutung für die Praxis

Jede technische Einrichtung, die zu einer Überwachung von Verhalten von Arbeitnehmern geeignet ist, kann nur mit Zustimmung des Betriebsrats (oder gegebenenfalls des zuständigen Gesamt- oder Konzernbetriebsrats) eingeführt werden.

Zwar sind Verhaltens- und Leistungsüberwachungen stets mit der Verarbeitung von Beschäftigtendaten verbunden, das Landesarbeitsgericht Hessen hat aber zu Recht erkannt, dass daraus kein Mitbestimmungsrecht in Bezug auf jegliche Aspekte des Datenschutzes folgt. 

Das heißt nicht, dass es gar keine erzwingbaren Regelungen zur Verarbeitung von Beschäftigtendaten durch technische Einrichtungen gibt, denn dort wo die Verhaltensüberwachung unmittelbar in einer Datenerhebung und -verarbeitung besteht, werden Regelungen zum Umfang der Verhaltensdatenverarbeitung und zu den Zwecken der Datenverarbeitung auch mitbestimmungspflichtig und dann in Einigungsstellen erzwingbar sein.

Bei der Diskussion um die Abgrenzung dieser Regelungskreise haben Arbeitgeber jedenfalls durch die Entscheidung des Hessischen Landesarbeitsgerichts Rückenwind und wesentliche Argumentationshilfen erhalten.

Jedenfalls nicht unmittelbar mit der Verhaltensüberwachung verbundene Verarbeitungsmodalitäten – wie z. B. das Vorliegen geeigneter Rechtsgrundlagen, die technischen und organisatorischen Maßnahmen zur Datensicherheit, Regelungen zur Auftragsverarbeitung, Zugriffsrechte, spätere Datenlöschungen, Datenübermittlungen in Drittländer sowie alle sich später anschließenden Datenverarbeitungen für personelle Maßnahmen – können mit guten Argumenten von dem Mitbestimmungsrecht des Betriebsrats (oder ggf. des Gesamt- oder Konzernbetriebsrats) ausgenommen werden.

Praxistipp

Arbeitgeber können vor diesem Hintergrund selbstbewusster in Verhandlungen über Betriebsvereinbarungen Regelungen zum Datenschutz ablehnen, wenn Sie bereit sind, eine Lösung in der Einigungsstelle zu suchen. Nützlich könnte es auch sein, bestehende Betriebsvereinbarungen insoweit zu prüfen und zu erwägen – ggf. nach einer Kündigung – diese neu zu verhandeln, um Datenschutzregelungen, die sich nicht schon aus dem gesetzlichen Datenschutzrecht ergeben, zu beseitigen.

Weiterführende Links 
Blog-Beitrag: Neue „Hausaufgaben“ für den EuGH: Beweisverwertungsverbote, deutsches Prozessrecht und die DS-GVO   

Blog-Beitrag: Datenschutz ist kein Täterschutz - jedenfalls nicht immer