Wenn Betriebsvereinbarungen zur Einführung von IT-Systemen verhandelt werden, kommt es häufig zu ausufernden Diskussionen mit dem Betriebsrat über die datenschutzrechtlichen Pflichten des Arbeitgebers und deren Aufnahme in die Betriebsvereinbarung. Die Betriebsparteien entfernen sich dabei meist weit von dem Thema, um das es bei der Einführung von IT-Systemen eigentlich geht, nämlich ob und inwiefern mit der Einführung des IT-Systems als technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG eine Leistungs- oder Verhaltenskontrolle der Beschäftigten verbunden ist. Das LAG Hessen hat sich mittlerweile zu dem Thema geäußert und ein Mitbestimmungsrecht des Betriebsrats bei Datenschutzfragen verneint (Beschluss vom 05.12.2024 – 5 TaBV 4/24).
Ausgangspunkt des Beschlusses war ein Rechtsstreit über die Frage, ob ein Einigungsstellenspruch betreffend die Einführung eines IT-Systems zur Stammdatenverwaltung wirksam war. Das in Rede stehende IT-System wurde spezifisch für alle Unternehmen der Unternehmensgruppe entwickelt und auf Servern eines dieser Unternehmen in den USA gehostet.
In der dritten Einigungsstellensitzung am 21. April 2023 überarbeiteten die Parteien die Betriebsvereinbarung, die durch den Einigungsstellvorsitzenden entworfen wurde. Dieser stellte sie sodann auf Antrag der Arbeitgeberin nach abschließender Beratung zur Abstimmung, bei der sie mehrheitlich angenommen wurde. Die Betriebsvereinbarung enthielt eine Beschreibung des Systems, des Nutzungsumfangs und der Zwecke der Datenverarbeitung sowie Regelungen zum Umgang mit sog. Protokolldaten (auch Log-Daten genannt), zum Import von Beschäftigtendaten aus einem anderen Personalverwaltungssystem und zum Datenexport in andere Systeme. Außerdem enthielt sie eine Regelung zur Leistungs- und Verhaltenskontrolle anhand der Protokolldaten. In einer Anlage zur Betriebsvereinbarung hielten die Parteien die vom System verarbeiteten Beschäftigtendaten abschließend fest.
Betriebsrat äußert Datenschutzbedenken gegen neues IT-System
Der Betriebsrat erklärte gegenüber der Arbeitgeberin bereits am 27. April 2023 die Kündigung dieser Betriebsvereinbarung. Er focht zudem den Spruch der Einigungsstelle vom 21. April 2023 mit seiner Anfang Mai 2023 beim ArbG Fulda eingereichten Antragsschrift an.
Der Betriebsrat äußerte insbesondere Bedenken dahingehend, dass das IT-System in der Betriebsvereinbarung nicht umfassend geregelt worden sei, sondern lediglich Ausschnitte und einzelne Funktionen des Systems. Die datenschutzrechtliche Tragweite des Mitbestimmungsrechts sei nach § 87 Abs. 1 Nr. 6 BetrVG verkannt worden. Die Verarbeitung in dem IT-System sei nicht rechtskonform, so würden z.B. technische Grundanforderungen nicht eingehalten und die Übermittlung personenbezogener Daten ins außereuropäische Ausland erfolge ohne ausreichende Rechtsgrundlage.
Sowohl der auf Feststellung der Unwirksamkeit des Einigungsstellenspruchs gerichtete Antrag vor dem ArbG Fulda als auch die darauffolgende Beschwerde vor dem LAG Hessen vom 5. Januar 2024 blieben erfolglos.
Kein erzwingbares Mitbestimmungsrecht bei datenschutzrechtlichen Fragen
Schon das ArbG Fulda führte zur Begründung aus, das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG (Einführung einer technischen Überwachungseinrichtung) beziehe sich nicht allgemein auf die Gewährleistung des Persönlichkeitsrechts der im Betrieb Beschäftigten und bezwecke daher auch nicht die umfassende Einhaltung aller gesetzlicher Bestimmungen zum Datenschutz. Die Verantwortung für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz liege allein beim Arbeitgeber als der nach Art. 4 Nr. 7 DS-GVO datenschutzrechtlich verantwortlichen Stelle.
Das LAG Hessen machte sich die zutreffende Begründung des ArbG Fulda ausdrücklich zu eigen und führte im Hinblick auf die Beschwerdebegründung des Betriebsrats ergänzend zur Mitbestimmung bei datenschutzrechtlichen Fragen aus, dass Regelungen zum Datenschutz nicht aus § 87 Abs. 1 Nr. 6 BetrVG erzwingbar seien. Das Mitbestimmungsrecht des Betriebsrates erstrecke sich aus den bereits vom ArbG dargelegten Gründen nicht auf datenschutzrechtliche Pflichten des Arbeitgebers. Regelungen, die der Erfüllung bzw. Ausgestaltung der datenschutzrechtlichen Pflichten dienen, seien daher auch einem Spruch der Einigungsstelle nicht zugänglich. Der Betriebsrat sei insoweit auf seine allgemeine Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG und auf sein Unterrichtungsrecht nach § 80 Abs. 2 BetrVG beschränkt.
Auch aus § 87 Abs. 1 Nr. 1 BetrVG, dem Mitbestimmungsrecht des Betriebsrats über Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb, lasse sich kein umfassendes Mitbestimmungsrecht zur Durchsetzung des gesetzlichen Datenschutzes ableiten, so das LAG. Die Bestimmung betreffe nur das Ordnungsverhalten der Beschäftigten, nicht aber die gesetzlichen Pflichten des Unternehmens zur Einhaltung der datenschutzrechtlichen Vorgaben.
Was der Gesetzgeber regelt, kann der Betriebsrat nicht mitbestimmen
Selbst wenn man jedoch ein Mitbestimmungsrecht des Betriebsrats zu datenschutzrechtlichen Themen herleiten wollte, stünde nach Ansicht des LAG einer Mitbestimmung bezüglich zwingender gesetzlicher datenschutzrechtlicher Vorschriften, die keinen Gestaltungsspielraum haben, jedenfalls auch der Gesetzesvorbehalt des Eingangshalbsatzes des § 87 Abs. 1 BetrVG entgegen. Dieser regelt, dass ein Mitbestimmungsrecht des Betriebsrats nur besteht, "soweit eine gesetzliche oder tarifliche Regelung nicht besteht".
Die Möglichkeit, auf Grundlage der Öffnungsklauseln in Art. 88 DS-GVO, § 26 Abs. 4 BDSG spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext auch in einer Betriebsvereinbarung vorsehen zu können, begründe im Übrigen kein erzwingbares Mitbestimmungsrecht des Betriebsrats. Eine solche Betriebsvereinbarung könne vielmehr nur als freiwillige Betriebsvereinbarung abgeschlossen werden.
Gute Verhandlungsgrundlage für Arbeitgeber
Die Entscheidung des LAG Hessen ist aus Arbeitgebersicht äußerst erfreulich und ihr ist uneingeschränkt zuzustimmen. Insbesondere der Gesetzesvorbehalt des Eingangshalbsatzes des § 87 Abs. 1 BetrVG ist hervorzuheben. Nach diesem bestehen die Mitbestimmungsrechte des Betriebsrats nur, soweit keine gesetzliche oder tarifliche Regelung besteht. Soweit eine gesetzliche Regelung besteht, sind die Interessen der Beschäftigten hinreichend durch das Gesetz geschützt und für einen weitergehenden Schutz durch Mitbestimmungsrechte besteht kein Bedarf.
Es bleibt abzuwarten, ob andere Landesarbeitsgerichte oder das BAG diese Rechtsprechung bestätigen oder weiterentwickeln werden. Die Entscheidung kann aber ggf. bereits jetzt im Rahmen von Verhandlungen mit Betriebsräten zur Einführung von IT-Systemen genutzt werden, um sachfremde Forderungen der Arbeitnehmervertretung abzulehnen und ein Ausufern der Verhandlungen zu unterbinden.
Vanessa Klesy und Björn Vollmuth sind am Frankfurter Standort von Mayer Brown LLP tätig. Sie beraten nationale und internationale Unternehmen in arbeitsrechtlichen und datenschutzrechtlichen Fragen.
