gen Verarbeitungszwecke erfüllt. Da dies in sorgfältig erstellten
IT-Betriebsvereinbarungen auch bereits vor der Anwendbarkeit
der DSGVO enthalten war, dürfte auch in dieser Hinsicht kaum
Anpassungsbedarf bestehen.
Wie daneben die Informations- und Transparenzpflichten
nach Art. 13, 14 DSGVO gegenüber den Beschäftigten erfüllt
werden, bleibt dem Arbeitgeber überlassen. Dies kann in einer
Rahmenbetriebsvereinbarung geschehen, muss es aber nicht.
Dagegen spricht, dass die zur Verfügung zu stellenden Informa-
tionen laufend Veränderungen ausgesetzt sind, sodass die Rah-
menbetriebsvereinbarung bei jeder Änderung der Informationen
mit dem Betriebsrat neu verhandelt werden müsste.
Zudem würde durch die Aufnahme umfangreicher daten-
schutzrechtlicher Regelungen in Betriebsvereinbarungen dem
Betriebsrat in diesen Angelegenheiten ein umfassendes Mitbe-
stimmungsrecht eingeräumt, was weder nach alter noch nach
neuer Rechtslage dem Willen des Gesetzgebers entspricht. Die
Mitbestimmung nach Art. 87 Abs. 1 Nr. 6 BetrVG betrifft lediglich
die Leistungs- und Verhaltenskontrolle. Eine Verflechtung wird
sich nicht in allen Fällen vermeiden lassen, allerdings ist der
Kern des Datenschutzrechts nach wie vor mitbestimmungsfrei
(dazu sogleich). Das ist indes vielen Betriebsräten und auch
Arbeitgebern nicht hinreichend bewusst.
Der wichtige Unterschied zwischen
Datenschutz und Mitbestimmung
Der Hauptanwendungsfall für ein Mitbestimmungsrecht des
Betriebsrats im datenschutzrechtlichen Kontext ist in § 87 Abs. 1
Nr. 6 BetrVG zu finden. Demnach besteht ein Mitbestimmungs-
recht bei der „Einführung und Anwendung von technischen
Einrichtungen, die dazu bestimmt sind, das Verhalten oder die
Leistung der Arbeitnehmer zu überwachen“.
Wie beschrieben ist jedoch zu unterscheiden: In den Fällen des
§ 87 Abs. 1 Nr. 6 BetrVG geht es nicht um rein datenschutzrecht-
liche Regelungen. Vielmehr soll der Betriebsrat dahingehend
mitwirken, dass die Arbeitnehmer vor möglichen negativen
Konsequenzen einer – datenschutzrechtlich zulässigen – tech-
nischen Überwachung ihrer Leistung und ihres Verhaltens ge-
schützt werden. Es ist an keiner Stelle in der DSGVO und ihren
Erwägungsgründen erkennbar, dass der Gesetzgeber an dem
Nichtbestehen eines Mitbestimmungsrechts im Kernbereich
des Datenschutzes etwas ändern wollte. Gleiches gilt für das
neue BDSG.
Praxistipps für die Verhandlungen
mit dem Betriebsrat
Ergibt die Überprüfung einer Betriebsvereinbarung, dass eine
bestehende Betriebsvereinbarung der Anpassung an die Regeln
der DSGVO und des BDSG bedarf, oder soll eine neue mitbestim-
mungspflichtige Verarbeitung eingeführt werden, sind Verhand-
lungen mit dem Betriebsrat erforderlich. Dabei muss in größeren
Unternehmen zunächst einmal der richtige Verhandlungspartner
gefunden werden. Bestehen sowohl Betriebsrat als auch Gesamt-
und Konzernbetriebsrat, ist zu ermitteln, welches Gremium
zuständig ist. Grundsätzlich ist dies der lokale Betriebsrat, eine
Zuständigkeit von Gesamt- und Konzernbetriebsrat kommt nur
unter den Voraussetzungen von § 50 BetrVG beziehungsweise
§ 58 BetrVG in Betracht. Es handelt sich hierbei um eine Frage
des jeweiligen Einzelfalls. Erstreckt sich eine Datenverarbeitung
beispielsweise über mehrere Betriebe eines Unternehmens (etwa
bei einem einheitlichen Personalverwaltungssystem), so wird
hier regelmäßig eine Zuständigkeit des Gesamtbetriebsrats an-
zunehmen sein.
Aus den genannten Gründen ist unbedingt darauf zu ver-
zichten, inhaltliche Regelungen zum Datenschutz in eine Be-
triebsvereinbarung aufzunehmen. Sollte der Betriebsrat darauf
bestehen, ist viel Überzeugungsarbeit zu leisten. Dies kann unter
Umständen leichter gelingen, wenn dem Betriebsrat ein alter-
natives Angebot gemacht wird. In bestimmten Konstellationen
kann es beispielsweise sinnvoll sein, Regelungen zum Verfahren
bei datenschutzrechtlichen Prüfungen von IT-Systemen in die
entsprechende (Rahmen-)Betriebsvereinbarung aufzunehmen.
So könnte etwa geregelt werden, nach welchem Verfahren ein
neues oder abzuänderndes IT-System einer datenschutzrechtli-
chen Überprüfung unterzogen wird und ob, wann und wie der
Betriebsrat hierüber informiert werden soll. Diese Regelungen
sind nicht erzwingbar und könnten als freiwilliges Angebot des
Arbeitgebers bewirken, dass der Betriebsrat von überbordenden
Forderungen nach inhaltlichen datenschutzrechtlichen Rege-
lungen Abstand nimmt. Dieses Vorgehen hat sich in der Praxis
sehr bewährt.
Bei Betriebsvereinbarungen ist tatsächlicher
Anpassungsbedarf oft geringer als befürchtet
Abschließend lässt sich daher sagen: Die weitverbreitete Be-
sorgnis, Betriebsvereinbarungen notwendigerweise anzupas-
sen, ist meist nicht begründet. Es bedarf vielmehr „lediglich“
einer Überprüfung der Betriebsvereinbarungen nach den vor-
genannten Kriterien, um den Anpassungsbedarf zu ermitteln.
Erfahrungsgemäß dürfte dieser jedoch bei der Mehrzahl der
Betriebsvereinbarungen im Unternehmen nicht bestehen.
Weniger als dieses Vorgehen dürfte indes aber auch nicht
ausreichen. Insbesondere der Ansatz, mittels einer Catch-All-Rah-
menbetriebsvereinbarung alle Betriebsvereinbarungen in die
DSGVO-Welt zu überführen, funktioniert rechtlich nicht und ist
aufgrund der dargestellten Erwägungen auch nicht zu empfeh-
len.
JAN PETER SCHILLER ist Rechtsanwalt,
Counsel und Fachanwalt für Arbeitsrecht
bei CMS Hasche Sigle in Köln.
MAXIMILIAN PLOTE ist wissenschaft
licher Mitarbeiter bei CMS Hasche Sigle
in Köln.
89
DSGVO
