Die Bindung der Betriebsparteien an das Datenschutzrecht bei der Einführung von Software
Die Mitbestimmung bei der Einführung von Softwareprogrammen rückt immer stärken in den Fokus von Betriebsräten. Doch welche Spielregeln haben die Betriebsparteien bei der Gestaltung von entsprechenden Betriebsvereinbarungen zu beachten? Insbesondere: In welchem Umfang sind sie an die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung gebunden? Eine aktuelle Entscheidung des LAG München trägt hier zu neuen Erkenntnissen bei.
Ausgangspunkt der Überlegungen – Das Mitbestimmungsrecht in § 87 Abs. 1 Nr. 6 BetrVG
Fest steht zunächst, dass die Einführung nahezu sämtlicher Softwaresysteme nach § 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmung des Betriebsrats unterliegt. Der dort verwendete Begriff der „technischen Einrichtung“ erfasst alle Geräte, die eine Datenverarbeitung ermöglichen. Das gilt auch dann, wenn die mithilfe der technischen Einrichtung (weiter-)verarbeiteten Daten im Vorfeld auf nichttechnischem Wege gewonnen und erst im Anschluss in die Datenverarbeitungsanlage eingespeist werden. Entscheidend für den weiten Anwendungsbereich des Mitbestimmungsrecht ist aber, dass es entgegen dem insoweit missverständlichen Wortlaut der Vorschrift nicht darauf ankommt, ob die technische Einrichtung zur Leistungs- und Verhaltenskontrolle bestimmt ist, sondern die bloße technische Möglichkeit, d.h. die Geeignetheit zur Kontrolle genügt. Deshalb unterliegt auch die Einführung von „alltäglicher Standardsoftware“ wie etwa Microsoft Excel regelmäßig der Mitbestimmung.
Dieser Umstand dürfte zwischenzeitlich allseits bekannt sein. Unklarheiten bestehen allerdingsweiterhin bei der Frage, welchen Regelungsspielraum die Betriebsparteien bei der Gestaltung von Betriebsvereinbarungen über die Einführung von Softwareprogrammen besitzen, insbesondere soweit auch datenschutzrechtliche Fragen betroffen sind.
Schon vor dem Inkrafttreten der DSGVO war es anerkannt, dass Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung von personenbezogenen Beschäftigtendaten darstellen können. Daran hat sich auch nach dem 25. Mai 2018 nichts geändert. Der Art. 88 Abs. 1 DSGVO stellt klar, dass in sog. Kollektivvereinbarungen „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorgesehen werden können. Kollektivvereinbarungen in diesem Sinne sind nach allgemeiner Ansicht alle Vereinbarungen zwischen Arbeitgeber und Arbeitnehmervertretern mit unmittelbarer und zwingender Geltung für die Beschäftigten, insbesondere also Betriebsvereinbarungen, aber auch der Spruch der Einigungsstelle.
Welche Regelungsspielräume haben die Betriebsparteien?
Nicht abschließend geklärt ist allerdings, was unter „spezifischeren Vorschriften“ zu verstehen ist. An diesem Begriffspaar entzündet sich eine kontrovers geführte Diskussion, ob Arbeitgeber und Betriebsrat Regelungen gestalten können, die 1) den Mindeststandard der DSGVO absenken und/oder 2) das Datenschutzniveau im Vergleich zur DSGVO verschärfen.
Eine Absenkund des Mindeststandards der DSGVO würde bedeuten, dass eine Betriebsvereinbarung die Verarbeitung von personenbezogenen Beschäftigtendaten zulässt, obwohl dieselbe Verarbeitung nach der DSGVO unzulässig wäre. Mitte der 1980er Jahren hat das BAG dies unter den damaligen datenschutzrechtlichen Rahmenbedingungen noch für zulässig gehalten (BAG Beschluss vom 27. Mai 1986 – 1 ABR 48/84). Allerdings gilt diese Entscheidung seit dem Inkrafttreten der Datenschutzrichtlinie 95/46/EG als überholt. Es entspricht allgemeiner Auffassung, dass seither und auch unter der Geltung der DSGVO ein verbindlicher Mindeststandard gewährleistet werden soll, der nicht durch eine Betriebsvereinbarung abgesenkt werden kann. Dafür spricht heute insbesondere der sog. Anwendungsvorrang der DSGVO.
Weniger eindeutig zu beantworten ist demgegenüber, ob eine Betriebsvereinbarung erhöhte Anforderungen an die Verarbeitung von personenbezogenen Beschäftigtendaten stellen kann, als dies bei einer Anwendung der allgemeinem Vorschriften der DSGVO der Fall wäre. Dies wird in der Fachliteratur teilweise mit dem Argument bejaht, dass die DSGVO nur einen Mindest- aber gerade keinen Höchststandard garantieren wolle. Diese Auffassung überzeugt aber nicht. Der europäische Gesetzgeber hat mit der DSGVO eine Vollharmonisierung des Datenschutzrechts in der Union bezweckt, die neben dem Datenschutz auch den freien Datenverkehr im Binnenmarkt gewährleisten soll (vgl. Art. 1 Abs. 1 DSGVO). Mit anderen Worten soll durch einen einheitlichen Datenschutzstandard der Datenfluss innerhalb der Union nicht verhindert, sondern gefördert werden. Eine Verschärfung des Datenschutzstandards in den Wirtschaftsunternehmen der Union durch individuelle betriebliche Regelungen (oder gar durch nationale Gesetze) wäre damit nicht vereinbar. Zudem hat der EuGH schon im Zusammenhang mit der Datenschutzrichtlinie 95/46/EG klargestellt, dass die Mitgliedsstaaten keine neuen Grundsätze oder zusätzliche Bedingungen für die Zulässigkeit der Datenverarbeitung schaffen dürfen (EuGH 24. November 2011 – C-468/10).
Das LAG München zur Einführung eines IT-Sicherheitssystems
Der Beschluss des LAG München vom 23. Juli 2020 (2 TatBV 126/19) betrachtet die Frage nach dem Regelungsspielraum der Betriebsparteien hingegen unter einem anderen Aspekt.
In dem zugrundeliegenden Fall stritten die Parteien über die Wirksamkeit eines Einigungsstellenspruchs. Der Arbeitgeber – Teil einer größeren Unternehmensgruppe – wollte im Rahmen ihrer IT-Sicherheitssysteme, die Schutz vor unberechtigten Manipulationen bieten sollen, in einer Zweigniederlassung in Deutschland sowie in der gesamten Gruppe ein neues IT-Sicherheitssystem namens Securionix einführen. Die Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG stand außer Streit. Nachdem eine Einigung mit dem Gesamtbetriebsrat nicht zustande gekommen war, rief der Arbeitgeber die Einigungsstelle an. Im Einigungsstellenverfahren legte der Arbeitgeber eine 73-seitige Dokumentation mit Screenshots vor, die Auskunft über die konkreten Inhalte der im System enthaltenen „Policies“ gab. Dabei handelt es sich um Kriterien, die bestimmte Aktivitäten als auffällig definieren, weil sie Anhaltspunkte für eine Bedrohung der Informationssicherheit sein können. Der Einigungsstellenspruch erging sodann, ohne dass der Gesamtbetriebsrat zu der vom Arbeitgeber vorgelegten Dokumentation Stellung beziehn konnte.
In dem Beschlussverfahren vor dem LAG München trug die Arbeitnehmerseite vor, dass die in dem Einigungsstellenspruch getroffenen Regelungen über die Überwachung des Arbeitnehmerverhaltens durch das System Securonix die den nach § 75 Abs. 2 Satz 1 BetrVG obliegende Pflicht verletze, dem Allgemeinen Persönlichkeitsrecht der Arbeitnehmer in angemessenem Umfang Rechnung zu tragen. Die Regelungen über die Verarbeitung von Daten anhand von Policies sowie stattfindende Auswertungen zum Zwecke der Überwachung seien nicht angemessen, d.h. verhältnismäßig im engeren Sinne. In der Sache wäre eine „dauerhafte sowie automatisierte Überwachung des IT-Verhaltens“ geregelt.
Das LAG München hat sich dieser Auffassung nicht angeschlossen. Von allgemeinem Interesse sind dabei weniger die spezifischen Argumente, die das System Securonix betreffen, sondern vielmehr das Vorgehen des LAG München bei der Prüfung. Das Gericht hat den durch Art. 88 DSGVO vorgegebenen Regelungsspielraum der Betriebsparteien außen vor gelassen und sich ausschließlich der betriebsverfassungsrechtlichen Norm des § 75 Abs. 2 Satz 1 BetrVG zugewandt. Daran anknüpfend hat das LAG München geprüft, ob die mithilfe des Securonix vorgenommene Datenverarbeitung von einem datenschutzrechtlichen Erlaubnistatbestand gedeckt ist. Dabei kam es zu dem Ergebnis, dass die Datenverarbeitung nach Art. 6 Abs. 1 Buchst. c DSGVO zum einen zulässig sei, weil der Arbeitgeber – was hier zutraf und dargelegt wurde – in mehrfacher Hinsicht gesetzlich verpflichtet war, unbefugte Einwirkungen auf infromationstechnische Systeme zu verhindern. Zum anderen überwiege das berechtigte Interesse des Arbeitgebers an der mithilfe des Systems vorgenommenen Datenverarbeitung gegenüber dem Interesse der betroffenen Arbeitnehmer an deren Unterbleiben.
Fazit
Die Entscheidung des LAG München ist deshalb von großer Praxisrelevanz, weil sie im Ergebnis klarstellt, dass eine Betriebsvereinbarung zur Einführung von Softwaresystemen nur dann Wirksamkeit entfaltet, wenn die durch die Vereinbarung legitimierten Datenverarbeitungsprozesse auf eine datenschutzrechtliche Erlaubnisnorm gestützt werden kann. Der Rechtmäßigkeit der Datenverarbeitung gewinnt damit auch im mitbestimmungsrechtlichen Bereich noch einmal zusätzlich an Bedeutung.