1. Gründe für eine IT-Rahmenbetriebsvereinbarung
Im Zuge der rasch fortschreitenden Entwicklung der Digitalisierung und Arbeitswelt 4.0 ist der private und berufliche Alltag längst bestimmt von der Einführung und Anwendung informationstechnischer Systeme (IT-Systeme). Der Begriff „IT“ umfasst die gesamte Informations- und Kommunikationstechnik. Betriebsräte haben es angesichts der nahezu unbegrenzten Datenflut, die mit der Datenverarbeitung verbunden ist, durchaus schwer, in Betriebsvereinbarungen gute Regelungen zu entwickeln.
Sie sollen einerseits die Arbeitnehmerinnen und Arbeitnehmer schützen, Mitbestimmungsrechte sichern, zugleich den Einzelnen nicht zu sehr einengen und Handlungsspielraum eröffnen. Datenschutzskandale, Entgrenzung von Arbeits- und Freizeitphasen und somit hohe Arbeitsbelastungen, die mit IT-Anwendungen in Verbindung stehen, sind weitere wichtige Ansatzpunkte für die Interessenvertretungen.
Der Abschluss von IT-Rahmenbetriebsvereinbarungen gewinnt daher zunehmend an Bedeutung. Gerade, wenn es um komplexe IT-Systeme geht, kommt es in der Praxis teilweise vor, dass die Verhandlungen zur Einführung des IT-Systems so lange andauern, dass die Systeme bereits veraltet sind, ehe eine Entscheidung getroffen wurde. Solche Sicherheitslücken können Schäden wie Datenverlust oder -diebstahl nach sich ziehen. Mittels einer IT-Rahmenbetriebsvereinbarung kann solchen Gefahren vorgebeugt werden.
Die Betriebspartner können hierdurch den Prozess der Mitbestimmung strukturieren und standardisieren. Dem Betriebsrat wird die Möglichkeit eröffnet, aktiv das Beteiligungsverfahren, seine Beteiligungsrechte sowie den Beschäftigtendatenschutz mitzugestalten und zu stärken. Damit es dem Betriebsrat gut gelingt, ein hinreichendes Schutzniveau für jegliche Datenverarbeitungen zu gewährleisten und die Belange und Rechte der strukturell unterlegenen Arbeitnehmer möglichst effizient durchzusetzen, sollte er gut darüber informiert sein, wie eine IT-Rahmenbetriebsvereinbarung inhaltlich ausgestaltet sein sollte und wie Regelungen aussehen können, die mit der rasanten technischen Entwicklung mithalten.
2. IT-Rahmenbetriebsvereinbarung als Regelungsinstrument
Die DSGVO enthält zahlreiche Öffnungen für nationale Regelungen, so auch für den Beschäftigtendatenschutz. Art. 88 Abs. 1 DSGVO sieht ausdrücklich vor, dass Betriebsvereinbarungen Regelungen zur Gewährleistung des Arbeitnehmerdatenschutzes vorsehen können, und hat die Funktion, Betriebsvereinbarungen als eigenständige Erlaubnisnormen für den Beschäftigtendatenschutz zu etablieren. Insbesondere legen die besonderen Anforderungen in Art. 88 Abs. 2 DSGVO an die „spezifischeren“ Regelungen nahe, dass es sich dabei um eigenständige Regelungen handelt, bei denen sichergestellt werden soll, dass bestimmte Mindeststandards eingehalten werden.
Zwar ist nicht unumstritten, ob die Arbeitnehmerdatenschutzregelungen einen Mindeststandard für den Inhalt von Betriebsvereinbarungen darstellen. Allerdings ist zu berücksichtigen, dass es sich bei diesem Meinungsstreit eher um eine theoretische Frage handeln dürfte. Eine Betriebsvereinbarung darf jedenfalls nicht gegen höherrangiges Recht verstoßen, insbesondere ist § 75 Abs. 2 BetrVG einzuhalten. In der Praxis sind kaum Fälle denkbar, die vom Mindeststandard der DSGVO und des BDSG abweichen. Ziel einer Betriebsvereinbarung ist nicht die Absenkung von Mindeststandards, sondern klare und praxisgerechte Regelungen, an denen sich die Betriebsangehörigen beim Datenschutz orientieren können.
Auch der deutsche Gesetzgeber hat Art. 88 DSGVO offenbar so verstanden, da er in § 26 Abs. 4 BDSG regelt, dass die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist. § 26 BDSG stellt eine spezifischere Norm i.S.v. Art. 88 Abs. 1 DSGVO dar. Die Mitgliedstaaten können danach zwar den Beschäftigtendatenschutz weitgehend autonom regeln. Im Rahmen des Arbeitnehmerdatenschutzes sind aber immer auch die Regelungen der DSGVO zu berücksichtigen.
Eine Betriebsvereinbarung ist bei der Einführung von IT-Systemen auch deshalb erforderlich, weil regelmäßig ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG vorliegen wird. Ein solches dürfte zwar nicht hinsichtlich der allgemeinen Reglungen der Rahmenbetriebsvereinbarung gegeben sein. Denn rechtlich betrachtet stellt die IT-Rahmenbetriebsvereinbarung eine freiwillige Betriebsvereinbarung zwischen dem Arbeitgeber und dem Betriebsrat gem. § 88 BetrVG dar. Ein Mitbestimmungsrecht ist aber zu bejahen, wenn einzelne IT-Systeme, für welche die Rahmenbetriebsvereinbarung allgemeine, einheitliche und grundsätzliche Vorgaben trifft, tatsächlich eingeführt werden.
Liegen die Voraussetzungen eines Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG vor, ist die Beteiligung des Betriebsrats zwingend. Während also die Einführung und Anwendung einer konkreten technischen Einrichtung gem. § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig ist, kann eine IT-Rahmenbetriebsvereinbarung nicht erzwungen werden, da sie abstrakte und generelle Regelungen für eine Vielzahl von technischen Einrichtungen enthält. Ihre Regelungen schaffen einen Rahmen für sämtliche im Unternehmen existierende IT, der durch Einzelbetriebsvereinbarungen für konkrete IT-Systeme ergänzt wird.
Ziel einer IT-Rahmenbetriebsvereinbarung ist es, das Mitbestimmungsverfahren nach § 87 Abs. 1 Nr. 6 BetrVG zu vereinfachen. Zu bedenken ist, dass IT-Systeme Gegenstand der Mitbestimmung sind, wenn ein solches System Leistungs- und Verhaltensdaten, demnach Informationen, die einen Rückschluss auf ein bestimmtes Verhalten oder die Leistung der Beschäftigten zulassen, verarbeitet. Ausreichend dabei ist die Möglichkeit einer technischen Überwachung. Unerheblich ist, ob der Arbeitgeber beabsichtigt, die Daten tatsächlich zum Zweck einer Kontrolle auszuwerten.
Die IT-Rahmenbetriebsvereinbarung dient also dazu, der voranschreitenden Digitalisierung im Unternehmen Rechnung zu tragen und trotz der Komplexität und der Vielzahl an IT-Systemen im Unternehmen sicherzustellen, dass der Abschluss der Einzelbetriebsvereinbarungen über die Einführung und Anwendung von IT-Systemen vereinfacht und beschleunigt werden kann. Die Regelungen der IT-Rahmenbetriebsvereinbarung, wie z.B. die Implementierung eines Mitwirkungs- und Mitbestimmungsprozesses, gelten dann als allgemeine Regelungen für alle im Unternehmen bestehenden IT-Systeme, die durch die jeweiligen Einzelbetriebsvereinbarungen ergänzt werden.
Hinweis: Betriebsräte sollten darauf achten, dass auch bei Bestehen einer IT-Rahmenbetriebsvereinbarung die Pflicht zum Abschluss einer Einzelbetriebsvereinbarung bestehen bleibt. Denn nur so kann sichergestellt werden, dass Besonderheiten einzelner IT-Systeme berücksichtigt und detaillierte Vorgaben und Schutzvorschriften getroffen werden. Außerdem darf sich der Abschluss einer IT-Rahmenbetriebsvereinbarung nicht nachteilig auswirken, indem der Betriebsrat dadurch sein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 6 BetrVG vernachlässigt oder gar aufgibt. Die IT-Rahmenbetriebsvereinbarung soll den Abschluss von Einzelbetriebsvereinbarungen also nicht entbehrlich machen, auch wenn einzelne Arbeitgeber mit diesem Wunsch in die Verhandlungen eintreten.
3. Zuständigkeit des Betriebsrats
Bei der Frage, welches Gremium für die Verhandlungen mit dem Betriebsrat zuständig ist, gilt im Rahmen von erzwingbaren Einzelbetriebsvereinbarungen die gesetzliche Zuständigkeitsverteilung des BetrVG, wonach entweder der Betriebsrat, der Gesamtbetriebsrat oder der Konzernbetriebsrat ausschließlich zuständig ist.1 Im Unterschied zu anderen Mitbestimmungstatbeständen ist die Zuständigkeit des Konzernbetriebsrats nach § 50 Abs. 1 Satz 1 BetrVG bzw. des Konzernbetriebsrats nach § 58 Abs. 1 Satz 1 BetrVG bei technischen Einrichtungen die Regel und nicht die Ausnahme, da jedenfalls bei Nutzung von einheitlichen Servern das vom BAG geforderte „zwingende Erfordernis“ einer unternehmenseinheitlichen oder betriebsübergreifenden Regelung besteht.2
Ein zwingendes Erfordernis kann sich aus technischen oder rechtlichen Gründen ergeben. Eine produktionstechnische Notwendigkeit liegt insbesondere dann vor, wenn ohne einheitliche Regelung eine technisch untragbare Störung eintreten würde.3 So ist eine einheitliche Regelung zwingend erforderlich, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben und verarbeitet werden, die auch zur Weiterwendung in anderen Betrieben bestimmt sind. Daher kann es in einem solchen Fall aus arbeitstechnischen Gründen geboten sein, in den Betrieben auf den dortigen Rechnern dieselbe Software zu implementieren. Die Verwendung derselben Programme und Formate sorgt in solchen Fällen dafür, dass die in den Betrieben erhobenen und verarbeiteten Daten auch in anderen Betrieben ohne zusätzlichen technischen Aufwand genutzt werden können.
Dagegen begründet die bloße Zweckmäßigkeit einer unternehmenseinheitlichen oder betriebsübergreifenden Regelung die Zuständigkeit des Gesamtbetriebsrats allein ebenso wenig wie ein Kosteninteresse des Arbeitgebers.4 Auch ein Koordinierungsinteresse des Arbeitgebers oder sein Wunsch nach einer unternehmenseinheitlichen Regelung genügen allein nicht.5
Die Zuständigkeitsregelungen, die für die konkreten IT-Systeme gem. § 87 Abs. 1 Nr. 6 BetrVG gelten, können jedoch nicht auf den Abschluss einer IT-Rahmenbetriebsvereinbarung übertragen werden, da es sich dabei um eine freiwillige Betriebsvereinbarung nach § 88 BetrVG handelt. Nach der Rechtsprechung des BAG zur Einführung von freiwilligen Leistungen, über die der Arbeitgeber mitbestimmungsfrei entscheidet, kann der Arbeitgeber die Leistung von einer überbetrieblichen Regelung abhängig machen und so die Zuständigkeit des Gesamtbetriebsrats für den Abschluss einer entsprechenden Betriebsvereinbarung herbeiführen.6
Dies gilt nicht nur bei der Gewährung freiwilliger Zulagen, sondern auch bei anderen Gegenständen, die nicht der erzwingbaren Mitbestimmung unterliegen, insbesondere bei Maßnahmen nach § 88 BetrVG.7 Dies bedeutet, dass der Arbeitgeber das zuständige Betriebsratsgremium bestimmen kann. Ist das vom Arbeitgeber festgelegte Gremium allerdings nicht bereit, in Verhandlungen über eine IT-Rahmenbetriebsvereinbarung zu treten, kommt die Vereinbarung nicht zustande. Den Gremien verbleiben dann aber weiterhin ihre Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG für die konkreten IT-Systeme.
Diese Situation führt dazu, dass sich die Betriebsparteien in der Praxis häufig vorab darauf einigen, mit welchem Gremium beide Seiten bereit wären, in die Verhandlungen über eine freiwillige IT-Rahmenbetriebsvereinbarung einzutreten. Dem Betriebsrat ist zu empfehlen, einen sogenannten IT-Ausschuss zu bilden, der aufgrund seiner Erfahrung im Hinblick auf IT-Systeme federführend für eine effektive Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG sorgen kann.
4. Die zehn wichtigsten inhaltlichen Regelungen
Betriebsräte sollten bei Verhandlungen mit dem Arbeitgeber die folgenden, nicht abschließenden Punkte einer IT-Rahmenbetriebsvereinbarung beachten und dabei die Besonderheiten des Betriebs berücksichtigen.
4.1 Geltungsbereich
Es sind der persönliche, räumliche und sachliche Geltungsbereich der IT-Rahmenbetriebsvereinbarung festzulegen:
- Der räumliche Geltungsbereich wird im Wesentlichen davon abhängen, auf welcher organisatorischen bzw. Unternehmensebene die Betriebsvereinbarung abgeschlossen wird. Angesichts der zunehmenden Vermischung der betrieblichen und organisatorischen Strukturen, die sich insbesondere bei weltweit agierenden Unternehmen vorfinden, wird eine konkrete Bestimmung immer herausfordernder.
- Besondere Aufmerksamkeit ist auf den sachlichen Geltungsbereich zu richten. Aufgrund der Komplexität der IT ist es schwierig, diesen umfassend zu beschreiben. Eine pauschale Formulierung dahin gehend, dass die IT-Rahmenbetriebsvereinbarung sachlich für die Einführung, Anwendung und Weiterentwicklung aller bereits eingesetzten und einzusetzenden IT-Systeme gelten soll, ist nicht zu empfehlen.
Ziel sollte sein, den sachlichen Geltungsbereich so konkret wie möglich zu beschreiben. Dabei besteht z.B. die Möglichkeit, die in den Geltungsbereich fallenden IT-Systeme aufzulisten und als Anlage der IT-Rahmenbetriebsvereinbarung beizufügen. Eine solche Anlage erfordert aber eine aufwendige Dokumentenpflege, da diese laufend aktualisiert und auf entsprechenden Handlungsbedarf überprüft werden muss.
Da der Arbeitgeber die datenschutzrechtliche Dokumentation über die im Unternehmen angewendeten IT-Systeme führt, besteht eine praxisgerechtere Lösung darin, dass der Betriebsrat, im Einvernehmen mit dem Arbeitgeber, auf die Datenbank des Unternehmens zugreift. So kann im beidseitigen Einvernehmen der Betriebspartner notiert werden, welche IT-Systeme – sofern nicht ohnehin alle IT-Systeme aus der Datenbank im Geltungsbereich sind – unter den Geltungsbereich der IT-Rahmenbetriebsvereinbarung fallen.
Sollte festgestellt werden, dass zu einem IT-System, das unter den Geltungsbereich fällt, noch keine Einzelbetriebsvereinbarung besteht oder vorhandene Betriebsvereinbarungen den Regelungen der IT-Rahmenbetriebsvereinbarung entgegenstehen, muss festgelegt werden, dass Verhandlungen unverzüglich dazu aufgenommen werden.
4.2 Begriffsbestimmungen
Da in der Praxis oft unterschiedliche Auffassungen der Betriebspartner zu einzelnen Begriffen wie z.B. „Update“, „IT“ oder „Weiterentwicklung bzw. Änderung eines IT-Systems“ bestehen, sollten diese Begriffe aus Gründen der Rechtssicherheit und zum Zweck der Auslegung konkret definiert werden.
4.3 Datenschutzregeln
In der IT-Rahmenbetriebsvereinbarung sind insbesondere die Regelungen zum Datenschutz zu formulieren. Die Zulässigkeit der Regelungsgegenstände für Betriebsvereinbarungen ist an der Generalklausel des Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG zu messen, wonach die Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses erforderlich sein muss. Danach können Betriebsvereinbarungen einen gesetzlichen Erlaubnistatbestand darstellen.
Folglich ist in der IT-Rahmenbetriebsvereinbarung festzuhalten, inwieweit die Vereinbarung einen Erlaubnistatbestand darstellen soll. Da die IT-Rahmenbetriebsvereinbarung aber nur allgemeine Regelungen enthält, sollte die IT-Rahmenbetriebsvereinbarung allenfalls i.V.m. der entsprechenden Einzelbetriebsvereinbarung als datenschutzrechtlicher Erlaubnistatbestand qualifiziert werden.
Hinweis: Dringend zu empfehlen ist aber, den datenschutzrechtlichen Erlaubnistatbestand vorab zum Verhandlungsgegenstand zu machen, denn er legitimiert die Datenverarbeitung im Beschäftigungskontext.
Die Verarbeitung personenbezogener Daten darf gemäß der Zweckbindung gem. Art. 5 Nr. 1 Buchst. b) DSGVO ausschließlich im Rahmen konkreter Zweckbestimmungen stattfinden. Folglich sollte in der IT-Rahmenbetriebsvereinbarung festgelegt werden, dass die Verarbeitung personenbezogener Daten durch IT-Systeme ausschließlich zu konkreten und legitimen Zwecken erlaubt ist. Hierbei sollte ein klarstellender Hinweis erfolgen, dass die Zweckbestimmung für die konkrete Verarbeitung von Beschäftigtendaten abschließend in den jeweiligen Einzelbetriebsvereinbarungen zu finden ist und eine hierüber hinaus gehende Verarbeitung für unzulässig erklärt wird.
Darüber hinaus sollten die Betriebspartner die datenschutzrechtlichen Verarbeitungsgrundsätze des Art. 5 DSGVO sowie die Beschäftigtenrechte nach der DSGVO mit aufnehmen. Diese enthalten die Informationspflichten des Arbeitgebers, insbesondere bei einer beabsichtigten Zweckänderung gem. Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO, die umfassenden Auskunftsrechte gem. Art. 15 DSGVO sowie die Widerspruchsansprüche (Art. 21 f. DSGVO).
Wesentlicher Grundsatz ist, dass die Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache unterrichtet werden. In der Praxis übermitteln Arbeitgeber diese Informationen mittels standardisierter Formulare. Bei der Standardisierung solcher Informationsschreiben kann der Betriebsrat gestützt auf § 87 Abs. 1 Nr. 1 BetrVG mitbestimmen.
Hinweis: So ist es ratsam, solche Standardinformationsschreiben als Muster-Anlage zur IT-Rahmenbetriebsvereinbarung aufzunehmen.
Gemäß Art. 17 DSGVO besteht eine Löschungspflicht, wenn die Datenspeicherung nicht mehr rechtmäßig ist. Dies ist insbesondere der Fall, wenn die Daten für die Erreichung des Speicherungszwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Beschäftigten einer weiteren Speicherung entgegenstehen. Die sich aus der Verpflichtung zur Löschung ergebenden Löschfristen sind vom Unternehmen zu dokumentieren.
Hinweis: Deshalb empfiehlt sich eine Regelung in der IT-Rahmenbetriebsvereinbarung, wonach Einzelbetriebsvereinbarungen stets Regelungen zu der Löschung personenbezogener Daten enthalten müssen. Ab einem gewissen Komplexitätsgrad sollte auch die Verpflichtung des Arbeitgebers zur Erstellung eines detaillierten Löschkonzepts aufgenommen werden.
4.4 Datensicherheit
Ein wirkungsvoller Datenschutz muss durch technische und organisatorische Maßnahmen flankiert werden. Dies erfordert, dass Hard- und Software so gestaltet werden, dass bestimmte Verarbeitungsformen entweder gar nicht erst bereitgestellt oder eingeschränkt werden. Diesen Gedanken greift Art. 25 DSGVO über Datenschutz durch Technikgestaltung („privacy by design“) und datenschutzfreundliche Voreinstellungen („privacy by default“) auf.
Ersterer Grundsatz bedeutet, dass der Datenschutz schon bei der Entwicklung der Technik beachtet werden soll. Nach Letzterem sollen alle IT-Systeme bereits so voreingestellt sein, dass sie nur Daten verarbeiten, die für den konkreten Zweck erforderlich sind.
In der IT-Rahmenbetriebsvereinbarung sollte festgelegt werden, dass der Betriebsrat sich einen Auszug über die Voreinstellungen einer Anwendung zum Abgleich mit den in den jeweiligen Einzelvereinbarungen zu regelnden abschließenden Zwecken geben lässt. Darüber hinaus sollte er eine Abänderung der Voreinstellungen verlangen können, wenn diese Anlass zur Sorge geben, dass eine zwecküberschießende Datenverarbeitung stattfindet.
Die Möglichkeiten für technischen Datenschutz sind vielfältig: Sie reichen neben Anonymisierung und Pseudonymisierung, automatischen Verfallsterminen für gespeicherte Daten über Verschlüsselung bis hin zu restriktiven Zugriffsmechanismen. Um wirksame Standards für technische Voreinstellungen für die Verarbeitung von Beschäftigtendaten zu definieren, müssen die teilweise hochkomplexen Verarbeitungsvorgänge von den Betriebsratsgremien verstanden werden.
Damit dieser geeignete technische Voreinstellungen wählen kann, bedarf es hier ausreichender IT-Beratung durch externen Sachverstand, der dem Arbeitgeber gegenüber fortlaufend – nicht nur einmalig – geltend gemacht werden sollte, da auch der Datenschutz durch Technik ständig an die IT-Entwicklung angepasst werden muss.
4.5 Ausschluss von Verhaltens- und Leistungskontrollen
In der IT-Rahmenbetriebsvereinbarung sollte unbedingt klargestellt werden, dass Verhaltens- oder Leistungskontrollen einzelner Arbeitnehmer oder Arbeitnehmergruppen unter Verarbeitung von personenbezogenen Daten unzulässig sind, soweit eine gesetzliche oder tarifliche Regelung nicht besteht oder der Betriebsrat ihr nicht ausdrücklich zustimmt.
Lediglich in eng umgrenzten Fällen, wenn der begründete Verdacht besteht, dass ein Beschäftigter eine Straftat im Zusammenhang mit dem Beschäftigungsverhältnis begangen hat und sich dieser Verdacht auf personenbezogene Daten, die aus einer IT-Anwendung stammen, gründet, kann eine Leistungs- und Verhaltenskontrolle ausnahmsweise unter den Voraussetzungen des § 26 BDSG erlaubt sein.
Gemäß § 26 Abs. 1 Satz 2 BDSG dürfen zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Hinweis: In diesem Zusammenhang ist es für die Betriebsratsgremien möglich und sinnvoll, auch eine Regelung darüber zu treffen, wie konkret der Betriebsrat zu beteiligen ist, wenn der Arbeitgeber einen Straftatverdacht vorträgt. Ein solches Verfahren sollten idealerweise nicht nur eine Unterrichtungspflicht, sondern eine Zustimmungspflicht zur Datenauswertung seitens des Betriebsrats enthalten.
Eine Leistungs- und Verhaltenskontrolle kann auch dann zugelassen werden, wenn ein anerkennenswertes betriebliches Interesse besteht, etwa wenn die Kontrolle der Ermittlung betriebswirtschaftlicher Kennzahlen dienen soll.
Hinweis: In diesem Fall sollte der Betriebsrat aber durchsetzen, dass Auswertungen anonymisiert erfolgen und keine einzelnen Arbeitnehmerinnen und Arbeitnehmer oder kleine Gruppen von Beschäftigten bestimmbar sind.
Im Zusammenhang mit der Leistungs- und Verhaltenskontrolle der Beschäftigten durch IT-Systeme werden häufig Regelungen in der IT-Rahmenbetriebsvereinbarung aufgenommen, dass Informationen und Beweise, die der Arbeitgeber unter Verstoß gegen die Bestimmungen der IT-Rahmenbetriebsvereinbarung oder Einzelbetriebsvereinbarung erlangt, einem Beweisverwertungs- und Sachvortragsverbot unterliegen.
Grundsätzlich ist anerkannt, dass die Verletzung von Beteiligungsrechten des Betriebsrats oder der Verstoß gegen betriebsverfassungsrechtliche Normen allein grundsätzlich der prozessualen Verwertbarkeit nicht entgegensteht.8
Ungeklärt ist aber die Frage, ob dies auch dann gilt, wenn sich die Betriebsparteien zuvor in einer Betriebsvereinbarung darüber verständigt und ausdrücklich formuliert haben, dass bei Verstößen hiergegen eine prozessuale Verwertbarkeit erfolgen soll. Auslegungsbedürftig ist die ältere Rechtsprechung insoweit, als die Richter betonen, ein Verwertungsverbot sei zulässig, wenn es auf einer „ausdrücklichen gesetzlichen Grundlage“ beruhe.9
Ob mit dieser Formulierung auch eine Betriebsvereinbarung als „Gesetz des Betriebs“ gemeint sein könnte, ließen die Richter offen. Aufgrund der unmittelbaren und zwingenden Wirkung einer Betriebsvereinbarung gem. § 77 Abs. 4 Satz 1 BetrVG ist von einer normativen, gesetzesgleichen Wirkung auf die Arbeitsverhältnisse auszugehen. Dies zeigt sich auch daran, dass wie bereits erläutert im Datenschutzrecht eine Betriebsvereinbarung als ausreichende Eingriffsnorm und Rechtsvorschrift angesehen wird. Vor diesem Hintergrund ist es durchaus vertretbar, von einem Beweisverwertungsverbot bei Verstoß gegen eine ausdrückliche Regelung in einer Betriebsvereinbarung auszugehen.
Das LAG Sachsen entschied dagegen mit Urteil vom 21.03.2022, dass die Berufung auf ein Verwertungsverbot, das aus einem Verstoß gegen eine Betriebsvereinbarung folgt, nicht zulässig sei.10 Zur Begründung erläuterte das Gericht, dass das deutsche Zivilprozessrecht ein Verwertungsverbot der Verwendung im Sachvortrag nicht kenne.
Den Ausführungen des LAG Sachsen steht aber entgegen, dass sich ein Beweisverwertungsverbot unmittelbar aus einem Verstoß gegen das Persönlichkeitsrecht oder aufgrund einer gesetzlichen Norm ergeben kann.
Es obliegt auch gerade den Betriebsparteien gem. § 75 Abs. 4 Satz 1 BetrVG, das allgemeine Persönlichkeitsrecht der Beschäftigten bei der Einführung und Anwendung von IT-Systemen zu schützen. Die Gerichte haben insoweit den niedergeschriebenen Willen der Betriebspartner in Betriebsvereinbarungen zu berücksichtigen und können sich im Rahmen ihrer freien Beweiswürdigung nicht darüber hinwegsetzen.
Zu diskutieren ist auch die Umdeutung einer Betriebsvereinbarung in einen Prozessvertrag. Prozessverträge werden als Ausfluss der im Bereich des Zivilprozesses grundsätzlich vorherrschenden Parteidisposition für zulässig angesehen.11 Der Abschluss von Prozessverträgen vor Beginn eines Prozesses ist ebenfalls zulässig.12
Überdies sind andere Prozessverträge wie z.B. die Prorogation anerkannt, bei der sich zwei Parteien für eine künftige Geschäftsbeziehung für sämtliche etwaigen späteren und ebenfalls im Zeitpunkt des Abschlusses der Vereinbarung noch völlig unbekannten Streitigkeiten einem bestimmten Gerichtsstand unterwerfen. Derartige Vereinbarungen sind noch ausreichend bestimmt, selbst wenn sich die Prorogation auf einen Rahmenvertrag zwischen den Parteien und jedenfalls auf ein Rechtsverhältnis bezieht.13
In der Entscheidung des LAG Sachsen14 ging es um das konkrete schuldrechtliche Arbeitsverhältnis zwischen Arbeitnehmer und Arbeitgeber gem. § 611a Abs. 1 BGB. In anderen Fällen werden überdies Prozessverträge über die Verwertbarkeit von Beweismitteln als zulässig angesehen: So soll die in Mediationsverfahren zwischen den Medianten vereinbarte Vertraulichkeit einen dahin gehenden Prozessvertrag darstellen, wonach in einem späteren Verfahren Erkenntnisse und Beweismittel aus dem Mediationsverfahren unbeachtlich bleiben.15
Hinweis: Vor diesem Hintergrund empfiehlt es sich daher – bis eine Rechtsprechung des BAG in diesem Kontext ergeht –, Regelungen zu Beweisverwertungsverboten in IT-Rahmenbetriebsvereinbarungen aufzunehmen.
4.6 Auftragsverarbeitung/Datenübermittlung an Dritte
Regelungen sollten auch bezüglich Auftragsverarbeitungen getroffen werden. So sollte festgelegt werden, dass der Betriebsrat vor jeder beabsichtigten Auftragsverarbeitung zu unterrichten ist und Aufträge an Dritte, die eine Verarbeitung von personenbezogenen Daten der Beschäftigten zum Gegenstand haben, der IT-Rahmenbetriebsvereinbarung nicht widersprechen dürfen. Auch der Auftragsverarbeiter muss Gewähr dafür bieten, dass er datenschutzkonform arbeitet.
So besteht z.B. die Pflicht, technische und organisatorische Maßnahmen zu treffen, um die Datensicherheit zu gewährleisten. Da aber für den Betriebsrat erster Ansprechpartner der Arbeitgeber selbst bleibt, sollten Formulierungen getroffen werden, die dem Betriebsrat das Recht einräumen, direkt beim Auftragsverarbeiter die Einhaltung der datenschutzrechtlichen Bestimmungen kontrollieren zu dürfen. Dies könnte etwa die Einsichtnahme in das vom Auftragsverarbeiter zu führende Verzeichnis über die Verarbeitungstätigkeiten nach § 30 Abs. 2 DSGVO sein.
Im Übrigen sollte eine Datenübermittlung an Dritte, sofern keine gesetzliche Verpflichtung besteht, in der IT-Rahmenbetriebsvereinbarung ausgeschlossen werden. Denn gem. § 6 Abs. 1 DSGVO bedarf es für die Zulässigkeit der Übermittlung personenbezogener Daten an Dritte eines berechtigten Interesses oder einer rechtlichen Verpflichtung des Arbeitgebers als Verantwortlichem, dem keine überwiegenden schutzwürdigen Interessen der Grundrechte des Arbeitnehmers entgegenstehen. Soweit ein berechtigtes Interesse besteht, personenbezogene (Beschäftigten-)Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln, sieht die DSGVO Erleichterungen vor, ohne allerdings ein Konzernprivileg zu schaffen.
Da Abweichungen vom Standard der DSGVO nach unten unzulässig sind, könnte ein generelles Konzernprivileg durch nationales Recht und daher auch durch Betriebsvereinbarungen nicht eingeführt werden. Allerdings zeigt Erwägungsgrund 48, dass auch ein generelles Verbot einer Übermittlung von Beschäftigtendaten grundsätzlich nicht wirksam sein wird. Jedenfalls muss die im Erwägungsgrund 48 vorgesehene Interessenabwägung stattfinden.
Hinweis: Entsprechend sollte in der IT-Rahmenbetriebsvereinbarung die Formulierung gewählt werden, dass eine konzerninterne Datenübermittlung zulässig ist, die dem notwendigen Informationsaustausch im Konzern dient und vom Betriebsrat in einer Anlage der IT-Rahmenbetriebsvereinbarung als zulässig angesehen wird.
4.7 Schulungen
Bei der Einführung oder Änderung mitbestimmungspflichtiger IT-Systeme sind Regelungen zur Qualifizierung der Arbeitnehmer unerlässlich. Dabei sollten Regelungen formuliert werden, die für die Beschäftigten allgemein erforderliche oder konkrete Qualifizierungsmaßnahmen vorsehen. Im Hinblick auf die Komplexität der Systeme sollten Regelungen zu weiteren Nach- und Vertiefungsschulungen aufgenommen werden.
4.8 Arbeitsplatzsicherung
Aus Sorge vor Arbeitsplatzverlusten durch Einführung neuer IT-Systeme finden sich in vielen IT-Rahmenbetriebsvereinbarungen Regelungen, die aus Anlass der Einführung und Anwendung von IT-Systemen oder damit zusammenhängenden organisatorischen Maßnahmen betriebs-bedingte Kündigungen ausschließen. Derartige Regelungen sind vor allem in Bereichen, in denen die IT-Systeme vorrangig als Rationalisierungsinstrumente eingeführt werden, wie z.B. bei automatischen Kassensystemen im Einzelhandel oder RFID-Systemen in der Logistik, berechtigt.
Hinweis: In diesem Zusammenhang kann der Arbeitgeber vom Betriebsrat auch zu vorausschauender Personalplanung aufgefordert werden, indem in der IT-Rahmenbetriebsvereinbarung konkret festgelegt wird, welche Schritte bei der Personalplanung zu befolgen sind.
4.9 Rechte des Betriebsrats
Einen weiteren wichtigen Bestandteil stellen die Vorschriften über die Beteiligungs-, Mitwirkungs- und Mitbestimmungsrechte des Betriebsrats dar.
Nach § 80 Abs. 1 BetrVG hat der Betriebsrat allgemein ein Informationsrecht, um die Einhaltung von Rechtsnormen im Betrieb zu überwachen und auch prüfen zu können, ob ein Mitbestimmungsrecht in Betracht kommt. Dabei ist es auch generell unerheblich, ob die personaldatenverarbeitenden Maßnahmen des Arbeitgebers für sich genommen mitbestimmungspflichtig sind.
Der Betriebsrat muss generell in die Lage versetzt werden, selbst überprüfen zu können, ob sich für ihn Aufgaben ergeben und er zu deren Wahrnehmung tätig werden soll.16 Dementsprechend ist nicht nur eine umfassende Information entscheidend, sondern auch die Rechtzeitigkeit der Information des Betriebsrats über die Einrichtung eines IT-Systems im Unternehmen, und zwar bereits mit Beginn der Planungsphase. Der Betriebsrat muss noch die Möglichkeit haben, Einfluss auf die Entscheidungen des Arbeitsgebers zu nehmen. Beide Aspekte sollten in der in der IT-Rahmenbetriebsvereinbarung deutlich zum Ausdruck kommen.
Dabei ist der Betriebsrat insbesondere über die Art und den Gegenstand der verarbeiteten Daten, den Verarbeitungszweck sowie über zugriffsberechtigte Personen und Sicherheitsvorkehrungen zu informieren. Dem Betriebsrat sollte in der IT-Rahmenbetriebsvereinbarung eingeräumt werden, dass er hierfür jederzeit alle für ihn relevanten Unterlagen zur Verfügung gestellt bekommt.
Hinweis: Aus Gründen der Rechtsklarheit empfiehlt es sich, einzelne Dokumente, die regelmäßig für eine ordnungsgemäße Unterrichtung des Betriebsrats erforderlich sind, zu benennen. Zur Verwirklichung dieser Anforderungen sollten die Betriebsparteien einen verbindlichen Prozess vereinbaren, wie sie zukünftig IT-Systeme einführen und bereits eingeführte IT-Systeme ändern und in welchem Umfang sie konkrete IT-Systeme nach dem vorab festgelegten Prozess mitbestimmen.
Etwaige Regelungen bezüglich eines vereinfachten Mitbestimmungsverfahrens bei der Einführung von IT-Systemen, die zwar dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, zu diesem Zweck aber nicht genutzt werden sollen, sind kritisch zu betrachten. Eine derartige Vorgehensweise kann nur möglich sein, wenn der Betriebsrat über das Vorhaben des Arbeitgebers entsprechend vorgegebener Kriterien (z.B. durch ein vorgefertigtes Formular) informiert wird und nicht innerhalb einer angemessenen Frist Widerspruch einlegt.
Darüber hinaus sollten dem Betriebsrat in der IT-Rahmenbetriebsvereinbarung Zugriffsrechte auf mitbestimmungspflichtige IT-Systeme eingeräumt werden. Dazu sollte zumindest ein von den Betriebsparteien benanntes Mitglied des Gremiums – mit entsprechenden Administrationsrechten ausgestattet – Einsicht in die eingesetzten IT-Systeme einschließlich etwaiger Ausdrucke von Datensätzen nehmen können. Zumindest sollten stichprobenartige Kontrollen (Audits) möglich sein.
Weiter sind Regelungen notwendig, die den Betriebsrat zur Kontrolle der Einhaltung der IT-Rahmenbetriebsvereinbarung und der Einzelbetriebsvereinbarungen befähigen unter Hinzuziehung eines Sachverständigen gem. § 80 Abs. 3 BetrVG.
Hinweis: Unabhängig von der Sachverständigenhinzuziehung ist es ratsam, darüber hinaus ein jährliches Budget des Betriebsrats festzulegen. Dadurch erspart sich der Betriebsrat die Darlegung der Erforderlichkeit der Hinzuziehung eines Sachverständigen im Einzelnen.
Im Gegensatz zur Befragung eines betrieblichen Datenschutzbeauftragten kann hierdurch auch eine größere Akzeptanz auf Seiten der Beschäftigten erreicht werden, da der betriebliche Datenschutzbeauftragte grundsätzlich dem Lager des Arbeitgebers „zugerechnet“ wird.
4.10 Einsatz einer Einigungsstelle/Meinungsverschiedenheiten/Konfliktlösung
Zwingend erforderlich ist auch ein Passus „Meinungsverschiedenheiten/Konfliktlösung“, der regelt, dass die Betriebsparteien zu einer Besprechung zusammentreten, um über strittige Fragen mit dem ernsten Willen zur Einigung zu verhandeln und Vorschläge für die Beilegung von Meinungsverschiedenheiten machen sollen. Sollte dies nicht zum Erfolg führen, soll darauf hingewiesen werden, dass sie die nach § 76 Abs. 1 Satz 2 BetrVG errichtete Einigungsstelle anrufen können. Nähere Ausführungen zu der Einigungsstelle sollten aufgenommen werden.
Möglich ist es auch, der Einigungsstelle die Bildung einer paritätisch besetzten innerbetrieblichen Kommission voranzustellen, bestehend aus Vertretern des Betriebsrats und des Arbeitgebers. Dies kann auch eine ständige Kommission sein, die in regelmäßigen Abständen (z.B. zweimal jährlich) sowie auf Antrag zusammentritt. Diese tauscht sich über die laufende IT-Strategie aus und berät über die langfristige IT-Planung. Hierzu kann ein entsprechender Passus in die Rahmenbetriebsvereinbarung aufgenommen werden.
5. Resümee
Die Betriebspartner haben sich auf die zunehmende Digitalisierung einzustellen und durch betriebliche Regelungen den Persönlichkeits- und Rechtsschutz der Arbeitnehmerinnen und Arbeitnehmer zu gewährleisten. Dies gelingt, wenn sich die Betriebsparteien auf eine entsprechend ausgestaltete IT-Rahmenbetriebsvereinbarung verständigen, die sie bei der jeweiligen Einführung und Anwendung von IT-Systemen als Basisvereinbarung zugrunde legen. Die Betriebspartner sind gehalten, die geltenden Regelungen mit der Aufnahme regelmäßiger Evaluierungsdaten stetig auf den Prüfstand zu stellen und an gesetzliche und betriebliche Gegebenheiten anzupassen.
Wichtig ist jedoch, dass für die einzelnen IT-Systeme ergänzende Einzelbetriebsvereinbarungen abgeschlossen werden, die die allgemeinen Grundsätze der IT-Rahmenbetriebsvereinbarung gewährleisten und mit weiteren spezifischen Regelungen zu den einzelnen IT-Systemen den Beschäftigtendatenschutz der Arbeitnehmer Rechnung tragen. Nur in diesem Gesamtkontext kann die IT-Rahmenbetriebsvereinbarung zu einer effektiven und gewinnbringenden Betriebsratsarbeit führen.
1 BAG, Beschl. v. 14.11.2006 – 1 ABR 4/06, NZA 2007, 399.
2 BAG, Beschl. v. 11.11.1998 – 7 ABR 47/97, NZA 1999, 947.
3 BAG, Beschl. v. 23.09.1975 – 1 ABR 122/73, DB 1976, 56.
4 BAG, Beschl. v. 15.01.2002 – 1 ABR 10/01, NZA 2002, 988.
5 BAG, Beschl. v. 11.11.1998 – 7 ABR 47/97, NZA 1999, 947.
6 BAG, Beschl. v. 09.12.2003 – 1 ABR 49/02, NZA 2005, 234.
7 BAG, Beschl. v. 21.01.2003 – 3 ABR 26/02, DB 2003, 2131.
8 BAG, Urt. v. 27.03.2003 – 2 AZR 51/02, NZA 2003, 1193.
9 BAG, Urt. v. 13.12.2007 – 2 AZR 537/06, DB 2008, 1633.
10 LAG Sachsen, Urt. v. 21.03.2022 – 1 Sa 374/20, DRsp Nr. 2022/10666.
11 Musielak, in: Musielak/Voit, ZPO, 19. Aufl. 2022, Einl., § 286 Rdnr. 67.
12 Musielak, in: Musielak/Voit, ZPO, 19. Aufl. 2022, Einl., § 286 Rdnr. 66.
13 Berndtsen, in: Saenger, ZPO, 9. Aufl. 2021, § 38 Rdnr. 3 m.w.N.
14 LAG Sachsen, Urt. v. 21.03.2022 – 1 Sa 374/20.
15 Weigel, NJOZ 2015, 41, 43.
16 Vgl. BAG, Beschl. v. 28.01.1992 – 1 ABR 41/91, NZA 1992, 707.