SWP Fachanwälte für Arbeitsrecht

Telefon: 0211 – 617373-0 (Düsseldorf)

Kontakt

Standort Düsseldorf

SWP - Fachanwälte für Arbeitsrecht
Rather Straße 49 d
40476 Düsseldorf

Tel.: 0211 – 617373-0
Fax: 0211 – 617373-10
E-Mail: duesseldorf@swp-anwaelte.de

Standort Frankfurt

SWP - Fachanwälte für Arbeitsrecht
Lyoner Straße 14
60528 Frankfurt a. M.

Tel.: 069-66 55 44-10
Fax: 069-66 55 44-11
E-Mail: frankfurt@swp-anwaelte.de

Kontaktieren Sie uns







SWP Blog

SWP-Anwälte in Düsseldorf - Fachanwalt für Arbeitsrecht

Der Datenschutz im Arbeitsverhältnis

Arbeitnehmer

Terminator: „Deine Bedenken sind irrational. Sie ist ein gesundes Weibchen im gebährfähigen Alter!“

Connor: „Dazu gehört aber schon einiges Andere!“

Terminator: „Meine Datenbanken umfassen nicht die Dynamik menschlicher Paarbindungen!“

Aus: Terminator 3 – Rebellion der Maschinen

Durch klarere gesetzliche Regelungen soll die Rechtssicherheit für Arbeitgeber und Beschäftigte erhöht werden. So sollen einerseits die Beschäftigten vor der unrechtmäßigen Erhebung und Verwendung ihrer personenbezogenen Daten geschützt werden, andererseits soll das Informationsinteresse des Arbeitgebers beachtet werden.

Beides dient dazu, ein vertrauensvolles Arbeitsklima zwischen Arbeitgebern und Beschäftigten am Arbeitsplatz zu unterstützen. Zwar hat die Bundesregierung am 25.08.2010 einen Gesetzentwurf beschlossen und in den Bundestag eingebracht. Seitdem läuft jedoch – nach Kritik an dem Entwurf von den unterschiedlichsten Seiten – das Gesetzgebungsverfahren. Es ist derzeit nicht absehbar, wann es tatsächlich zu der geplanten einheitlichen Regelung des Beschäftigtendatenschutzes kommen wird.

Das BetrVG und der Datenschutz

Allgemeines

Der Datenschutz an sich ist nicht Gegenstand der Mitbestimmung.

Zum Einen wird der Begriff „Datenschutz“ im BetrVG und demnach  auch bei den Mitbestimmungstatbeständen nirgendwo ausdrücklich erwähnt. Zum Anderen greift die Mitbestimmungspflicht des Betriebsrats nach dem Wortlaut des § 87 Abs. 1 BetrVG nur, soweit eine gesetzliche Regelung nicht besteht. Solche gesetzliche Regelungen bestehen jedoch zum Datenschutz unter anderem im Bundesdatenschutzgesetz (BDSG).

Aus diesen Gründen hat der Betriebsrat grundsätzlich zunächst keine zwingende Mitbestimmungspflicht bei der Einhaltung des Datenschutzes.

Kontrolle

Rechte des Betriebsrats als Kontrollorgan nach § 80 BetrVG

Das BDSG ist ein Schutzgesetz im Sinne von § 80 Abs. 1 BetrVG. Deswegen hat der Betriebsrat seine Einhaltung zu überwachen und kann umfassende Informationsrechte im Bereich des Datenschutzes geltend machen.

So kann der Betriebsrat z. B. folgende Sachverhalte kontrollieren:

  • ordnungsgemäße Bestellung des betrieblichen Datenschutzbeauftragten
  • Existenz und Vollständigkeit des Verfahrensverzeichnisses nach § 4g Abs. 2 Satz 1 BDSG
  • Wahrung der Zweckbindung von Daten
  • Existenz von Berechtigungskonzepten für Software (Datensparsamkeit)
  • ordnungsgemäße Abwicklung der Datenverarbeitung im Auftrag
  • Einhaltung der notwendigen organisatorischen und technischen Maßnahmen zum Datenschutz (§ 9 BDSG & Anlage)
  • Einhaltung der Löschfristen

Zwar kann der Betriebsrat die Einhaltung von Datenschutzregelungen kontrollieren; er kann aber bei Verstößen nicht selbst aktiv werden. Er ist als Betriebsrat ja nicht in seinen Rechten eingeschränkt worden. Seine Möglichkeiten beschränken sich darauf, den Arbeitgeber anzusprechen und eine Verbesserung zu verlangen. Der Betriebsrat ist aber nicht berechtigt, die Einhaltung des BDSG über das Arbeitsgericht durchzusetzen.

Natürlich können einzelne Mitglieder des Betriebsrats als persönlich Betroffene aktiv werden. Sie können den Rechtsweg beschreiten oder sich an die Aufsichtsbehörde wenden. Letzteres kann auch der Betriebsrat als Gremium tun. Allerdings muss er im Rahmen der vertrauensvollen Zusammenarbeit den Arbeitgeber vorher warnen und nachdrücklich auf Abhilfe dringen.

 

Mitbestimmung

Zwingende Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG

Dennoch gibt es Fälle, wo eine Mitbestimmung des Betriebsrats im Zusammenhang mit dem Datenschutz in Frage kommt und unter Umständen sogar erzwungen werden kann.

In allen Fällen, in denen die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt sind (es sich also um eine technische Einrichtung zur Überwachung des Verhaltens oder der Leistung von Arbeitnehmern handelt) gilt die uneingeschränkte Mitbestimmungspflicht durch den Betriebsrat.

Bei den Daten, die durch solche technischen Einrichtungen entstehen, handelt es sich meistens, jedoch nicht immer um personenbezogene Daten i. S. d. § 3 Abs. 1 BDSG. Die Mitbestimmungspflicht durch den Betriebsrat besteht jedoch unabhängig davon, ob über den Umgang mit solchen Daten Vorschriften der Datenschutzgesetze bestehen.

Beispiele für solche technische Einrichtungen, die nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig sind und gleichzeitig personenbezogene Daten der Beschäftigten erfassen, speichern oder verarbeiten, sind

  • das E-Mail-System,
  • die Telefondatenerfassung in einer Telefonanlage,
  • die Telefondatenerfassung in einer Telefonanlage,
  • das Ereignisprotokoll von Windows,
  • das Transaktionsprotokoll von SAP,
  • die Bearbeitungsvermerke in verschiedenen Programmen (z. B. der Vermerk, wer der Auslöser einer Bestellung oder wer der Bearbeiter eines Verkaufs in einem Warenwirtschaftssystem ist) und
    das Proxyserver-Protokoll.

Ein erheblicher Teil der personenbezogenen Daten jedoch unterliegt dieser Mitbestimmung nicht, weil aus diesen Daten keine Rückschlüsse auf das Verhalten oder die Leistung von Arbeitnehmern getroffen werden (können).

Das gilt z. B. für die Stammdaten der Person in der Personalverwaltung, z. B. dem Modul HR von SAP. Hier muss man stets prüfen, ob aus dem jeweiligen Datum im Einzelfall nicht doch Rückschlüsse auf das Verhalten oder die Leistung möglich sind, z. B. wenn die Information mit anderen Angaben verknüpft wird.

Ebenso könnte es vorkommen, dass durch eine technische Einrichtung, die den Tatbestandsmerkmalen des § 87 Abs. 1 Nr. 6 BetrVG entspricht,  die also mitbestimmungspflichtig ist, Informationen entstehen, die keine personenbezogenen Daten i. S. d. § 3 Abs. 1 BDSG sind. Das ist aber aus Sicht des Betriebsrats kein Problem, weil er ja in jedem Fall ein Mitbestimmungsrecht hat. Z. B. könnte ein Nutzungsprotokoll vollständig anonymisiert werden, indem keine Informationen über die Benutzer festgehalten werden. Dann handelt es sich nicht um personenbezogene Daten i. S. d. § 3 Abs. 1 BDSG, weil jeder direkte oder indirekte Bezug zu den Mitarbeitern fehlt. Gleichwohl handelt es sich um Angaben über das Verhalten „der Arbeitnehmer“ i. S. d. § 87 Abs. 1 Nr. 6 BetrVG, weswegen dem Betriebsrat auch für diese Daten ein zwingendes Mitbestimmungsrecht zusteht.

Aus diesen Gründen wäre es im Ergebnis falsch, wenn sich die Regelungen einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG nur auf die Daten beziehen würden, die unter den Geltungsbereich des BDSG fallen. Vielmehr sollte sich eine solche Betriebsvereinbarung auf sämtliche Daten beziehen, die eine Kontrolle der Belegschaft –ob anonym oder personenbezogen- ermöglicht.

 

Betriebsvereinbarung

Freiwillige Betriebsvereinbarung, als Rechtsgrundlage für eine Nutzung personenbezogener Daten im Sinne von § 4 Abs. 2 Nr. 1 BDSG?

Nach § 4 BDSG ist es grundsätzlich verboten, mit personenbezogenen Daten umzugehen. Dieses grundsätzliche Verbot  wird nach dieser Vorschrift nur aufgehoben, wenn

  • der Betroffene zugestimmt hat,
  • das Bundesdatenschutzgesetz es (z. B. in § 28 BDSG) erlaubt oder
  • eine andere Rechtsvorschrift es erlaubt oder anordnet.

Da im Betrieb an den verschiedensten Stellen und zu den unterschiedlichsten Zwecken personenbezogene Daten der Arbeitnehmer erfasst, ge- speichert, verarbeitet und genutzt werden, wird es dem Arbeitgeber kaum gelingen, für alle diese Fälle die Zustimmung aller Betroffenen einzuholen, denn die muss dokumentierbar und immer auf den jeweiligen Zweck bezogen sein.

Der Arbeitgeber wird sich also in den meisten Fällen, in denen er mit personenbezogenen Daten der Arbeitnehmer umgeht, auf den § 28 Abs. 1 Nr. 1 oder Nr. 2 BDSG berufen, die das Speichern etc. dann erlauben, wenn es entweder dem Zweck eines Vertragsverhältnisses dient (Nr. 1), oder wenn der Arbeitgeber damit ein berechtigtes Interesse verfolgt (Nr. 2).

Es ist aber nicht sicher, ob der Arbeitgeber damit immer Recht hat. Das „berechtigte Interesse“ muss nämlich gut begründet sein und ggf. einer objektiven und kritischen Prüfung standhalten. Pure Neugier, die bloße Möglichkeit, dass eine Information irgendwann einmal interessant oder nützlich werden könnte oder der Wunsch, die Beschäftigten auch in ihren schlechten Eigenschaften genauestens zu kennen, sind z. B. keine hinreichenden Voraussetzungen, die es nach § 28 Abs. 1 Nr. 2 BDSG erlauben, personenbezogene Daten zu erfassen, zu speichern, zu verarbeiten oder zu nutzen. Darüber hinaus muss das berechtigte Interesse des Arbeitgebers jeweils gegen die schutz- würdigen Interessen der Beschäftigten abgewogen werden.

Der Arbeitgeber bewegt sich also auf relativ dünnem Eis, wenn er mit Daten umgeht, und dies mit § 28 Abs. 1 Nr. 2 BDSG begründet – ob die Zulässigkeit der Nutzung der Daten in jedem einzelnen Fall einer kritischen Überprüfung durch eine unabhängige Partei standhält, ist durchaus fraglich.

Sollte sich jedoch herausstellen, dass der Arbeitgeber personenbezogene Daten gespeichert oder genutzt hat, ohne dies zu dürfen, so hat er eine Ordnungswidrigkeit begangen.

Hier kann der Arbeitgeber auf die Idee kommen, mit dem Betriebsrat eine freiwillige Betriebsvereinbarung über die Nutzung der personenbezogenen Daten abzuschließen. Eine Betriebsvereinbarung ist nämlich auch eine Rechtsvorschrift im Sinne des § 4 BDSG, die es dem Arbeitgeber erlaubt, personenbezogene Daten zu speichern und damit zu arbeiten.

Allerdings hilft dem Arbeitgeber der Abschluss einer solchen Betriebsvereinbarung kaum weiter. Zwar kann eine Betriebsvereinbarung eine „andere Rechtsvorschrift“ im Sinne von § 4 Abs. 2 Nr. 1 BDSG darstellen; allerdings dürfte es nach einer aktuellen Entscheidung des Landesarbeitsgericht Köln vom 28.06.2011 wohl der herrschenden Meinung entsprechen, dass Betriebsvereinbarungen den Datenschutz gegenüber dem BDSG nicht einschränken können. Damit sind sämtliche Regelungen in einer Betriebsvereinbarung, die den Datenschutz von Arbeitnehmern verschlechtern, unwirksam, wenn der Arbeitnehmer den Regelungen nicht selbst zugestimmt hat oder sich ein Recht zur Nutzung aus § 28 Abs. 1 Nr. 2 BDSG ergibt.

 

Pflichten

Pflichten des Betriebsrates als Datenverarbeiter

Als erstes ist hier das Datengeheimnis gemäß § 79 BetrVG zu nennen. Der Betriebsrat unterliegt diesem speziellen Datengeheimnis für alle Daten, die er in der Ausübung  seines Amtes über die Beschäftigten erfährt.

Aber auch das BDSG gilt für den Betriebsrat. Die Daten sind im Betriebsrat genauso zu schützen wie im Rest des Betriebs. Allerdings rechtfertigt der Datenschutz auch keine Geheimniskrämerei im Gremium. Anspruch auf Information hat fast immer der gesamte Betriebsrat und nicht ein einzelnes Mitglied. Der Betriebsrat ist Teil der verantwortlichen Stelle, also des Unternehmens. Eine Weitergabe von Daten an den Betriebsrat ist keine Übermittlung an Dritte, sondern so zu behandeln wie die Weitergabe von Daten zwischen einzelnen Abteilungen. Auch hier ist zu prüfen, ob die Weitergabe der Daten notwendig ist. Den Anspruch, Daten zu erheben, kann der Betriebsrat mit seinen Aufgaben aus dem BetrVG begründen. Zusammen mit § 32 BDSG ergibt sich so immer dann eine Berechtigung, Daten zu erheben und zu verarbeiten, wenn der Betriebsrat diese Daten für seine Arbeit benötigt. Nicht mehr benötigte Daten sind zu löschen, sofern ihre Aufbewahrung beim Betriebsrat nicht gesetzlich vorgeschrieben ist.

Der Betriebsrat darf keine Einsicht in Personalakten nehmen, er darf lediglich den ausreichenden organisatorischen und technischen Schutz der Akten überprüfen. Ausnahmen bestehen nur, wenn ein Beschäftigter den Betriebsrat damit beauftragt, in die Akte Einsicht zu nehmen (§ 83 Abs. 1 BetrVG). Dann hat der einzelne Betriebsrat Stillschweigen über den Inhalt zu wahren. Dies gilt ausnahmsweise auch gegenüber anderen Mitgliedern des Betriebsrats.

Der Betriebsrat darf Einsicht in die Bruttolohnlisten nehmen, wie sich aus § 80 Abs. 2 BetrVG ergibt. Der Verweis auf den Personalausschuss in dieser Vorschrift bedeutet nicht, dass dieses Recht nur in großen Betrieben besteht. In kleineren Betrieben können durch Beschluss des Betriebsrats einzelne Mitglieder (z.B. der Vorsitzende) mit der Einsichtnahme beauftragt werden. Das Einsichtsrecht gilt natürlich nur für Listen der Beschäftigten, die der Betriebsrat auch vertritt. Leitende Angestellte sind also ausgenommen.

Der Betriebsrat sollte sich bei seiner Datenverarbeitung im Sinne des Datenschutzes möglichst vorbildlich verhalten. Ansonsten kommt er in Argumentationsnöte, falls er den Arbeitgeber in diesen Fragen angreift.

Joachim Piezynski

Joachim Piezynski

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schwerbehinderte im Arbeitsleben I
Mobbing – Still ertragen oder sich wehren?