Verschärfung des datenschutzrechtlichen Mindeststandards durch Betriebsvereinbarung?

Das Mitbestimmungsrecht von Betriebsräten nach § 87 Abs. 1 Nr. 6 BetrVG hat aufgrund der zunehmenden Digitalisierung der Arbeitswelt erheblich an Bedeutung gewonnen. Das Mitbestimmungsrecht besteht faktisch bei der Einführung und Anwendung aller Softwaresysteme oder sonstiger IT, die (auch) personenbezogene Daten von Beschäftigten verarbeiten. In der betrieblichen Praxis stehen Arbeitgeber und Betriebsräte vor der Herausforderung, das berechtigte Interesse des Arbeitgebers an der Informations-/Datenverarbeitung mit dem Schutz des verfassungsrechtlich verankerten Arbeitnehmerpersönlichkeitsrecht in Einklag zu bringen. Dies führt vor allem aufseiten der Arbeitnehmervertreter häufig zu der Forderung, im Rahmen einer Betriebsvereinbarung die Datenverarbeitung für bestimmte Zwecke, insbesondere zum Zwecke einer „Leistungs- und Verhaltenskontrolle“ pauschal zu verbieten. Die Frage ist nur: Ist das zulässig?

Welchen Inhalt hat das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG?

Der § 87 Abs. 1 Nr. 6 BetrVG macht den Beschäftigtendatenschutz zum Gegenstand der betrieblichen Mitbestimmung. Die Vorschrift hat folgenden Wortlaut:

Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen

Auszug aus § 87 Abs. 1 BetrVG

Konkreter Zweck des Mitbestimmungsrechts ist es, die Beschäftigten vor unverhältnismäßigen und nicht durch schützenswerte Belange des Arbeitgebers zu rechtfertigende Beeinträchtigungen des Persönlichkeitsrechts zu schützen, die mit dem Einsatz technischer Überwachungseinrichtungen im Zusammenhang mit der Erbringung der Arbeitsleistung verbunden sein können. Der Betriebsrat soll an der Ausgestaltung rechtlich zulässiger Eingriffe in das Arbeitnehmerpersönlichkeitsrecht beteiligt werden, um diese auf das durch die betrieblichen Notwendigkeiten unabdingbare Maß zu beschränken. Dazu gehört es auch, dass der Betriebsrat bei der Festlegung des Verwendungszwecks gespeicherter Leistungs- oder Verhaltensdaten mitbestimmt.

Die unionsrechtliche Öffnungsklausel in Art. 88 DSGVO

Obwohl Betriebsvereinbarungen zu Softwaresystemen oder sonstiger IT vornehmlich dazu dienen, dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG Rechnung zu tragen, besitzen sie aufgrund Art. 88 Datenschutz-Grundverordnung (DSGVO) auch eine datenschutzrechtliche Relevanz. In Absatz 1 der Vorschrift heißt es:

Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.

Art. 88 Absatz 1 DSGVO

In der Sache regelt die Vorschrift damit eine Ausnahme von dem sogenannten Anwendungsvorrang der DSGVO. Dieser besagt, dass die DSGVO die Zulässigkeit der Datenverarbeitung abschließend regelt und nationales Recht daneben keine Anwendung findet. Nach Art. 88 Absatz 1 DSGVO sollen davon abweichend aber „spezifischere Vorschriften“ (eng.: „more specific rules“) für die Verarbeitung von personenbezogenen Beschäftigtendaten in nationalen Rechtsvorschriften und Kollektivvereinbarungen geschaffen werden können. Als Kollektivvereinbarungen in diesem Sinne gelten dabei insbesondere Betriebsvereinbarungen nach § 77 BetrVG. Der Art. 88 Absatz 1 DSGVO ermöglicht es den Betriebsparteien also, betriebsspezifische Regelungen zum Beschäftigtendatenschutz zu treffen.

Gewährleistung eines datenschutzrechtlichen Mindesstandards

Das ist allerdings nichts Neues. Schon in der Zeit vor dem Inkrafttreten der DSGVO war dieses Recht anerkannt – und wurde extensiv ausgelegt. So hat das BAG in seinem Beschluss vom 27. Mai 1986 (Az. 1 ABR 48/84) noch die Auffassung vertreten, dass die Regelungen einer Betriebsvereinbarung oder eines Einigungsstellenspruchs auch zulasten der Beschäftigten vom (damaligen) Mindeststandard des Bundesdatenschutzgesetzes abweichen dürfen. Mit anderen Worten: Die Betriebsparteien waren nach dieser Rechtsprechung imstande, die Verarbeitung von personenbezogenen Beschäftigtendaten zu bestimmten Zwecken durch Betriebsvereinbarung zuzulassen, auch wenn diese nach Maßgabe des gesetzlichen Datenschutzrechts unzulässig war.

Diese Rechtsprechung galt allerdings schon seit Inkrafttreten der europäischen Datenschutzrichtlinie 95/46/EG als überholt. Es entspricht nunmehr allgemeiner Auffassung, dass der Mindeststandard der Datenschutzrichtlinie weder durch nationale Rechtsvorschriften noch durch Betriebsvereinbarung unterschritten werden darf. Abweichungen zulasten von Beschäftigten sind also unzulässig. Das gilt heute auch und erst recht für den durch die DSGVO gewährten Mindeststandard.

Sind auch Verschärfungen des Mindeststandards zugunsten von Beschäftigten zulässig?

Nicht abschließend geklärt ist allerdings die Frage, ob nach heutiger Rechtslage auch eine Verschärfung der DSGVO zugunsten von Beschäftigten zulässig ist. Können es also die Betriebsparteien dem Arbeitgeber durch Betriebsvereinbarung untersagen, bestimmte Beschäftigtendaten überhaupt nicht oder nur zu bestimmten Zwecken zu verarbeiten, obwohl die Datenverarbeitung von Gesetzes wegen, d.h. nach Maßgabe der DSGVO nicht per se ausgeschlossen ist?

Als gesichert kann gelten, dass die Betriebsparteien jedenfalls nicht regeln können, welche personenbezogenen Daten der Arbeitgeber in einem Gerichtsprozess z.B. als Beweismittel „gegen“ den Arbeitnehmer verwerten darf. So hat das BAG mit Urteil vom 13. Dezember 2007 (Az. 2 AZR 537) grundlegend klargestellt, dass ein Verstoß gegen ein Mitbestimmungsrecht des Betriebsrats oder gegen eine Betriebsvereinbarung kein sog. prozessuales Beweisverwertungsverbot begründet. Das LAG Baden-Württemberg geht noch weiter und formuliert in seinem Urteil vom 06. Juni 2018 (Az. 21 Sa 48/17) ausdrücklich:

Eventuelle in den Betriebsvereinbarungen zum Ausdruck kommende eigenständige Verwertungsverbote bei Verstößen gegen die in den Betriebsvereinbarungen zur Auswertung und Erhebung von Daten befindlichen Regelungen, begründen kein gerichtliches Verwertungsverbot oder eine Einschränkung des Grundsatzes der freien Beweiswürdigung (§ 286 ZPO) durch das Gericht. Die Betriebsparteien können gegenüber der Rechtspflege, zu denen u.a. die Gerichte berufen sind, mangels Regelungskompetenz keine über die Gesetze hinausgehenden Verwertungsverbote schaffen.

LAG Baden-Württemberg, Urt. v. 06. Juni 2018, Az. 21 Sa 48/17, Rn. 148.

Ein Verbot zur „Verschärfung“ des datenschutzrechtlichen Mindeststandards der DSGVO könnte sich allerdings daraus ergeben, dass Art. 88 Absatz 1 DSGVO nach seinem Wortlaut explizit nur eine „Spezifizierung“, das heißt eine Konkretisierung der unionsrechtlichen Vorschriften zulässt. Eine Verschärfung ist aber gerade keine Spezifizierung in diesem Sinne, weil sie über die Konkretisierung hinaus zusätzliche Bedingungen an die Datenverarbeitung formuliert. Der EuGH hatte schon für die Datenschutzrichtlinie 95/46/EG klargestellt, dass es den Mitgliedsstaaten untersagt ist, neue Grundsätze oder zusätzliche Bedigungen für die Datenverarbeitung zu schaffen (EuGH Urt. v. 24. November 2011 – C 468/10). Schließlich ließe sich argumentieren, dass die DSGVO mehr noch als die Datenschutzrichtlinie 95/46/EG auf eine Vollharmonisierung des Datenschutzrechts in der Union abzielt, die gerade nicht erreicht würde, wenn man Verschärfungen durch nationale Rechtsvorschriften oder Kollektivvereinbarungen zuließe.

Aussagen des EuGH im Urteil vom 22. Juni 2022

Eine belastbare Rechtsprechung des EuGH oder des BAG liegt zu der Frage bisher nicht vor. Möglicherweise können aber aktuelle Überlegungen des EuGH zumindest sinngemäß herangezogen werden, die dieser in anderem Kontext angestellt hat. In seinem Urteil vom 22. Juni 2022 (Az. C-534/20) hat sich der EuGH nach entsprechender Vorlage des BAG in seinem Beschluss vom 30. Juni 2020 (Az. 2 AZR 225/20) mit der Frage auseinandergesetzt, ob der nach deutschem Recht vorgesehene Sonderkündigungsschutz für Datenschutzbeauftragte mit dem Unionsrecht vereinbar ist. Der EuGH hat dies nunmehr bejaht und seine Auffassung unter anderem wie folgt begründet:

[…] Insbesondere darf, wie der Generalanwalt in den Nrn. 50 und 51 seiner Schlussanträge ausgeführt hat, ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

EuGH Urt. v. 22. Juni 2022, Az. C-534/20, Rn. 35, 36

Nimmt den EuGH beim Wort und überträgt man diese Überlegungen auf die vorliegende Fragestellung, so käme es auch bei der Gestaltung von Betriebsvereinbarungen darauf an, ob diese „die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt“. Eine Verschärfung des datenschutzrechtlichen Mindeststandards der DSGVO durch Betriebsvereinbarung wäre also nicht per se unzulässig, sie müsste nur im Einklang mit den Zielen der DSGVO stehen. Dazu passt es, dass der Erwägungsgrund 10 DSGVO nur von einem „gleichmäßigen und hohen Datenschutzniveau“ bzw. von einem „gleichwertigen Schutzniveau“ spricht.

In der Gesamtschau sprechen also gute Gründe dafür, dass es bei der Gestaltung von Betriebsvereinbarungen – wie so oft im Datenschutzrecht – im Einzelfall abzuwägen gilt. Es ist dürfte unzulässig sein, die Datenverarbeitung durch den Arbeitgeber zu bestimmten Zwecken ganz zu untersagen, wenn nach der DSGVO kein strenges Verarbeitungsverbot besteht. Umgekehrt können die Betriebsparteien aber gemeinsam in einer Betriebsvereinbarung festhalten, welche Datenverarbeitungsvorgänge sie nach der DSGVO für unzulässig halten und dies in einer Betriebsvereinbarung bekräftigen und für den jeweilige Betrieb konkretisieren. Schließlich dürften auch maßvolle Verschärfungen des Mindesstandards der DSGVO zulässig sein, soweit diese im Hinblick auf den Schutz des Arbeitnehmerpersönlichkeitsrechts verhältnismäßig erscheinen und nicht in diametralem Gegensatz zu den Zulässigkeitstatbeständen in Art. 6 DSGVO und Art. 9 DSGVO stehen.

Fazit

Betriebsvereinbarungen zur Einführung und Anwendung von HR-Software müssen mit Augenmaß gestaltet werden. Die Klarstellung in einer Betriebsvereinbarung, dass bestimmte Datenverarbeitungsvorgänge dem Arbeitgeber untersagt sind, mag helfen, solange sich beide Betriebsparteien tatsächlich daran gebunden fühlen – Rechtssicherheit und einen wirklichen Schutz für das Arbeitnehmerpersönlichkeitsrecht bietet sie nicht. Hierfür bedarf es differenzierender Vereinbarungen, die auf dem Erforderlichkeits- bzw. dem Verhältnismäßigkeitsgrundsatz basieren.

Standard