Betriebsrat: Mitbestimmungsrecht & Arbeitnehmerdatenschutz

Darf der Arbeitgeber eigentlich meinen Standort während der Arbeitszeit tracken? Welche IT-Systeme erfassen möglicherweise mein Verhalten? Solche Fragen betreffen nicht nur den Datenschutz, sondern auch die Mitbestimmungsrechte des Betriebsrats. Der Betriebsrat spielt eine zentrale Rolle, wenn es darum geht, die Verarbeitung personenbezogener Daten im Arbeitsverhältnis zu kontrollieren und unzulässige Überwachungsmaßnahmen zu verhindern. Eine entscheidende gesetzliche Grundlage ist dabei § 87 Abs. 1 Nr. 6 BetrVG, der dem Betriebsrat Mitbestimmungsrechte bei der Einführung von IT-Systemen einräumt.

Die Mitbestimmung des Betriebsrats beim Datenschutz

Heutzutage werden personenbezogene Daten haufenweise erzeugt und verarbeitet. Das sind nicht nur solche Daten, die der Arbeitgeber bewusst speichert, beispielsweise in Software zur Mitarbeiterbeurteilung, oder solche, die für den Arbeitnehmer offensichtlich sind. Viele IT-Systeme erzeugen dazu im Hintergrund Daten (z. B. Zeitstempel, Anmeldezeiten, Standorte von Geräten oder die Häufigkeit der Nutzung bestimmter Programme), die grundsätzlich dazu genutzt werden könnten, das Verhalten des Beschäftigten zu überwachen. Das Mitbestimmungsrecht des Betriebsrats soll die Gefahren für den einzelnen Arbeitnehmer auf das unbedingt notwendige Maß beschränken.

Schützt der Betriebsrat vor jeglicher Überwachung?

Der Betriebsrat kann nicht jede Form der Verarbeitung von personenbezogenen Daten und der Überwachung von Arbeitnehmern verhindern. Solange die Verarbeitung der Daten rechtmäßig ist und für das Arbeitsverhältnis erforderlich bleibt (§ 26 BDSG), darf der Arbeitgeber personenbezogene Daten grundsätzlich erheben und nutzen.
Das Mitbestimmungsrecht des Betriebsrats soll dabei lediglich vor rechtlich unzulässigen Eingriffen schützen. Der Betriebsrat spielt allerdings bis zu einem gewissen Grad bei der Beurteilung der Rechtmäßigkeit eine Rolle und kann mithilfe von Betriebsvereinbarungen den Rahmen für rechtlich zulässige Eingriffe mitgestalten. Dabei kann sich auch die Frage stellen, inwieweit der Betriebsrat selbst als Verantwortlicher im Sinne der DSGVO einzustufen ist.

Mitbestimmung bei Leistungs- und Verhaltenskontrolle

Ein Mitbestimmungsrecht besteht, wenn technische Einrichtungen eingeführt oder verändert werden, die objektiv geeignet sind, Verhalten oder Leistung der Beschäftigten zu überwachen. Entscheidend ist nicht, ob der Arbeitgeber tatsächlich überwachen möchte, sondern allein die theoretische Möglichkeit dazu. Beispiele hierfür sind Systeme zur Zeiterfassung, Telefonanlagen oder Software zur Kommunikation, bei denen potenziell personenbezogene Daten ausgewertet werden können.

Meist speichern Systeme beispielsweise jeden angelegten und bearbeiteten Datensatz. Oftmals ist eine Protokollierung von Nutzerdaten auch aus Gründen der IT-Sicherheit erforderlich. Sobald diese Informationen theoretisch einem (eingeloggten bzw. angemeldeten) Nutzer zugeordnet werden können, eignet sich das System bereits zur Leistungs- und Verhaltenskontrolle. Auf eine bestehende Absicht des Arbeitgebers kommt es nicht an. Daten, die sich für eine Verhaltens- und Leistungskontrolle nutzen lassen, werden somit in nahezu allen Softwaresystemen verarbeitet, sodass bei beinahe allen Einführungen und Anwendungen von Softwaresystemen eine Einbeziehung des Betriebsrates erforderlich ist.

Praxisbeispiel für Mitbestimmung: Digitales Zeiterfassungssystem

Ein Unternehmen will ein digitales Zeiterfassungssystem einführen, das automatisch An- und Abmeldezeiten erfasst. Das System speichert auch Standortdaten und ermöglicht so eine indirekte Überwachung der Beschäftigten.

Der Betriebsrat macht sein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG geltend. In einer Betriebsvereinbarung wird festgelegt, dass Standortdaten nicht erfasst werden dürfen und grundsätzlich nur aggregierte Arbeitszeitauswertungen möglich sind.

Wann ist der Betriebsrat einzubeziehen?

Gemäß § 90 BetrVG ist der Betriebsrat bereits in der Planungsphase einzubeziehen. Der Arbeitgeber muss dem Betriebsrat hierfür beispielsweise eine Systembeschreibung inkl. Auflistung aller verarbeiteten Datenarten vorlegen. Der Betriebsrat muss außerdem über den verfolgten Zweck Bescheid wissen und auch Punkte wie Datenflüsse, Zugriffsberechtigungen usw. können für seine Beurteilung relevant sein. Der Unterrichtungsanspruch des Betriebsrates ist umfassend. Grundsätzlich muss nach der Bereitstellung der Informationen ausreichend Zeit für eine interne Meinungsbildung bleiben, sodass eine Berücksichtigung der Vorschläge des Betriebsrates noch möglich ist. Die Grenzen der Unterrichtung und Einsichtnahme durch den Betriebsrat beziehen sich insbesondere auf die Rechte der Arbeitnehmer auf den Schutz personenbezogener Daten.

Was prüft der Betriebsrat?

Wie bereits erläutert, dürfen personenbezogene Daten von Mitarbeitern regelmäßig verarbeitet werden, wenn diese für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind. Der Betriebsrat prüft also die Erforderlichkeit bzw. die Verhältnismäßigkeit der Verarbeitung. Bei der Prüfung wird in drei Schritten vorgegangen:

1. Ist die Maßnahme überhaupt geeignet, ihren Zweck zu erfüllen?
2. Existiert ein milderes Mittel, um denselben Zweck zu erreichen?
3. Steht das Interesse des Arbeitgebers im Verhältnis zum Eingriff in die Persönlichkeitsrechte der Beschäftigten?

Der dritte Prüfungsschritt erfordert eine umfassende Abwägung der Arbeitgeberinteressen mit den Arbeitnehmerinteressen. Der für den Arbeitgeber angestrebte Erfolg muss mit dem Nachteil für die Beschäftigten in einem vernünftigen Verhältnis zueinanderstehen.

Externe Sachverständige hinzuziehen

Der Betriebsrat darf gemäß § 80 Abs. 3 BetrVG bei Bedarf externe Sachverständige einbinden, um komplexe Sachverhalte, z. B. im Datenschutz, besser beurteilen zu können, soweit dies erforderlich ist. Insbesondere bei der Beurteilung von Systemen, die Künstliche Intelligenz (KI) einsetzen, ist die Hinzuziehung eines Sachverständigen gem. § 80 Abs. 3 S. 2 BetrVG als erforderlich anzusehen.

Rahmenvereinbarungen zum Arbeitnehmerdatenschutz

Um Konflikte zu vermeiden, sollten Betriebsrat und Arbeitgeber eine IT-Rahmenvereinbarung abschließen. Diese sollte unter anderem Folgendes regeln:

• Verfahren bei der Einführung oder Änderung von IT-Systemen
• Festlegung unter welchen Bedingungen und in welchem Umfang IT-Systeme zur Überwachung genutzt werden dürfen
• Regelungen zu Einsichtnahme und Verarbeitung personenbezogener Daten
• Regelung der Kontrollrechte des Betriebsrats
• ggf. Schulungen und Einweisungen bzgl. der neuen IT-Systeme

Handlungsempfehlungen für Betriebsräte

• Frühzeitig nachhaken: Falls neue IT-Systeme im Unternehmen eingeführt werden, sollte der Betriebsrat aktiv nachfragen und sich frühzeitig beteiligen lassen.
• Unterlagen gezielt anfordern: Der Betriebsrat sollte auf vollständige Systembeschreibungen bestehen und dabei gezielt nach Funktionen fragen, die eine Überwachung ermöglichen könnten.
• Betriebsvereinbarungen als Schutzinstrument nutzen: Bei jeder neuen Technologie sollte der Betriebsrat prüfen, ob eine Betriebsvereinbarung notwendig ist, um den Datenschutz der Beschäftigten zu sichern.
• Datenschutzexperten hinzuziehen: Falls die Beurteilung eines Systems zu komplex ist, kann der Betriebsrat gemäß § 80 Abs. 3 BetrVG externe Sachverständige einbinden. Dies gilt insbesondere für KI-Systeme.

Der Betriebsrat hat eine entscheidende Rolle beim Schutz von Beschäftigtendaten. Durch aktive Mitbestimmung und klare Regelungen in Betriebsvereinbarungen trägt er wesentlich zu einer datenschutzkonformen und transparenten Praxis im Unternehmen bei.