Das Thema
Die Entscheidung (Beschl. v. 05. 12.2024 – 5 TaBV 4/24) bestätigt, dass die Rolle des Betriebsrats im betrieblichen Datenschutz auf seine Überwachungs- und Informationsrechte nach § 80 BetrVG begrenzt bleibt und er nicht zum „Datenschutz-Super-BR“ avanciert. Diese strikte Abgrenzung ist von enormer praktischer Bedeutung für die Verhandlung von IT-Betriebsvereinbarungen in global agierenden Unternehmen.
Der Sachverhalt: Streit um ein globales IT-System und Datentransfer
Der Beschluss erging im Rahmen eines Verfahrens, in dem die Wirksamkeit eines Spruchs der Einigungsstelle zur Einführung, Anwendung und Änderung des globalen IT-Systems „HCM“ (Human Capital Management) zur Debatte stand. Dieses System diente der zentralen Verwaltung von Stammdaten der Beschäftigten eines weltweit tätigen Logistikkonzerns. Insbesondere sollte das System Daten der Beschäftigten zentral erfassen und verarbeiten, wobei die Server in den USA gehostet werden sollten – ein Umstand, der den Betriebsrat aufgrund der US-Datenzugriffsrechte zusätzlich alarmierte.
Nachdem Verhandlungen zwischen den Betriebsparteien über eine umfassende Betriebsvereinbarung scheiterten, wurde die Einigungsstelle angerufen. Diese erließ einen Spruch, der die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG (technische Überwachung) regelte. Der Spruch enthielt Regelungen zur Systembeschreibung, zum Nutzungsumfang und zur Konkretisierung der Leistungs- und Verhaltenskontrolle mittels Protokolldaten. Weitergehende Nutzungen des Systems wurden von der Zustimmung des Betriebsrats abhängig gemacht.
Dieser focht den Spruch daraufhin an. Seine zentrale Begründung: Der Spruch sei unwirksam, weil die Einigungsstelle ihre Regelungskompetenz überschritten oder zumindest fehlerhaft ausgeübt habe, indem sie die gesetzlich gebotenen Regelungen zur Einhaltung der datenschutzrechtlichen Pflichten des Arbeitgebers und zur Gewährleistung der Zulässigkeit des Datentransfers in das nichteuropäische Ausland nicht oder nur unzureichend getroffen habe. Der Betriebsrat forderte mithin eine umfassende Regelung der DSGVO-Konformität in der erzwingbaren Betriebsvereinbarung. Das ArbG Fulda hatte den Antrag bereits zurückgewiesen, was nun in der Beschwerde zum Hess. LAG mündete.
Die zentrale Rechtsfrage: Erzwingbare Mitbestimmung als Datenschutz-Gestaltungsrecht?
Die Kernfrage, die das LAG zu klären hatte, war die Reichweite des betriebsverfassungsrechtlichen Mitbestimmungsrechts im Kontext der DSGVO und des BDSG. Geht die erzwingbare Mitbestimmung des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG (Überwachung) oder § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs) so weit, dass sie dem Grtemium ein umfassendes Initiativ- und Gestaltungsrecht hinsichtlich aller gesetzlichen datenschutzrechtlichen Pflichten des Arbeitgebers verschafft?
Der Betriebsrat argumentierte im Grunde, dass die DSGVO-Konformität des Systems integraler Bestandteil der Mitbestimmung über die Einführung des Systems selbst sei und daher zwingend in einer Betriebsvereinbarung geregelt werden müsse. Ohne eine solche Regelung sei der Einigungsstellenspruch mangels umfassender Regelungstiefe unwirksam.
Die Entscheidung des Hess. LAG
Das Hess. LAG bestätigte die Entscheidung der Vorinstanz und wies die Beschwerde des Betriebsrats ab. Die hessischen Richter vollziehen eine strikte Trennung zwischen der Kompensation des Überwachungsdrucks (§ 87 Abs. 1 Nr. 6 BetrVG) und der Einhaltung der allgemeinen gesetzlichen Datenschutzpflichten des Arbeitgebers.
Die Begründung des Gerichts stützt sich auf mehrere tragende Säulen:
Der Gesetzesvorbehalt als Schranke der Mitbestimmung
Zentral ist der Gesetzesvorbehalt des § 87 Abs. 1 Hs. 1 BetrVG. Dieser besagt, dass ein Mitbestimmungsrecht nur dann besteht, soweit keine gesetzliche oder tarifliche Regelung besteht. Das Hess. LAG stellt fest, dass die datenschutzrechtlichen Pflichten des Arbeitgebers – etwa die Einhaltung der Grundsätze der Rechtmäßigkeit, der Datenminimierung, der Zweckbindung oder die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses – unmittelbar auf der DSGVO und dem BDSG beruhen. Diese Pflichten sind zwingendes Recht und lassen dem Unternehmen in ihrer Existenz keinen Gestaltungsspielraum.
Das bedeutet: Der Arbeitgeber ist bereits per Gesetz verpflichtet, diese Standards einzuhalten. Eine zusätzliche Regelung dieser Pflichten in einer Betriebsvereinbarung ist daher rechtlich entbehrlich und vor allem nicht erzwingbar. Die Mitbestimmung nach § 87 BetrVG setzt dagegen einen Regelungsspielraum voraus, der hier nicht gegeben ist.
Der Arbeitgeber bleibt Verantwortlicher nach Art. 4 Nr. 7 DSGVO
Die Verantwortlichkeit für die Einhaltung der DSGVO liegt nach Art. 4 Nr. 7 DSGVO explizit beim Arbeitgeber als „Verantwortlichem“. Diese rechtliche Rolle kann der Betriebsrat weder übernehmen noch über eine Betriebsvereinbarung erzwingend mitgestalten. Das Gremium ist demgegenüber nicht Verantwortlicher im Sinne des Datenschutzrechts.
Öffnungsklauseln begründen keine Erzwingbarkeit
Ein oft diskutiertes Argument des Betriebsrats ist die Existenz von Öffnungsklauseln im Datenschutzrecht (z.B. Art. 88 DSGVO oder § 26 Abs. 4 BDSG), die es den Betriebsparteien ermöglichen, spezifischere Vorschriften zur Gewährleistung des Datenschutzes durch Kollektivvereinbarungen (Betriebsvereinbarungen) vorzusehen.
Das Hess. LAG bestätigt zwar die Möglichkeit einer solchen Regelung, verneint jedoch entschieden, dass dies zu einem erzwingbaren Mitbestimmungsrecht führt. Die Öffnungsklausel erlaubt eine freiwillige Regelung, sie gebietet oder erzwingt sie aber nicht. Eine Betriebsvereinbarung, die auf dieser Grundlage zustande kommt, ist daher eine freiwillige Betriebsvereinbarung, die nicht mittels Einigungsstelle gegen den Willen des Arbeitgebers durchgesetzt werden kann.
Zulässigkeit der Leistungs- und Verhaltenskontrolle
Das Gericht befasste sich zudem mit den im Spruch geregelten Protokollierungs- und Log-Daten. Es bestätigte die Wirksamkeit dieser Regelungen. Die Kontrolle durch Log-Daten war im Spruch auf eng definierte, unbedenkliche Zwecke beschränkt (z.B. Fehlerbehebung, Systemsicherheit, Aufdeckung von Straftaten unter den strikten Voraussetzungen des § 26 Abs. 1 Satz 2 BDSG). Damit genügte die Einigungsstelle ihrer Aufgabe, die Kompensation des Überwachungsdrucks wirksam zu regeln.
Die Rolle des Betriebsrats im betrieblichen Datenschutz: Kontroll- statt Gestaltungsfunktion
Die Entscheidung des Hess. LAG bestätigt die bestehende Rechtsprechung und verortet den Betriebsrat klar in seiner Kontroll- und Überwachungsfunktion, nicht in einer Rolle als Gestalter datenschutzrechtlicher Pflichten.
Das Gesetz sieht im Wesentlichen ein Drei-Säulen-Modell für den betrieblichen Datenschutz vor:
- Arbeitgeber (Verantwortlicher): Trägt die volle Rechenschaftspflicht (Accountability) nach Art. 5 Abs. 2 DSGVO und die alleinige Verantwortung für die Rechtmäßigkeit der Verarbeitung.
- Datenschutzbeauftragter (DSB): Berät und überwacht die Einhaltung der DSGVO fachkundig.
- Betriebsrat: Übt seine allgemeine Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG aus. Er hat darüber zu wachen, dass die Gesetze – und dazu gehören DSGVO und BDSG – eingehalten werden. Um dies zu gewährleisten, steht ihm das Unterrichtungsrecht nach § 80 Abs. 2 BetrVG zur Seite.
Die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG ist demgegenüber eine lex specialis, die nur greift, wenn durch die technische Einrichtung eine Leistungs- oder Verhaltenskontrolle ermöglicht wird. Sie dient der Kompensation des Überwachungsdrucks, indem sie konkrete Regelungen über das Ob, Wie und Wann der Nutzung des Systems trifft, aber sie ersetzt oder dupliziert nicht die allgemeinen Gesetzespflichten.
Die Entscheidung ist daher eine klare Absage an die Vorstellung, der Betriebsrat könne über die Einigungsstelle die gesetzlichen Datenschutzpflichten des Arbeitgebers bis ins Detail erzwingen. Das Gremium muss sich darauf beschränken, wirksame Mechanismen zur Vermeidung oder Kompensation der durch das System entstehenden Überwachungswirkung zu verhandeln.
Fazit, praktische Konsequenzen und Ausblick
Für die Praxis ergeben sich aus dem Beschluss folgende wichtige Konsequenzen:
- Fokus auf § 87 Abs. 1 Nr. 6 BetrVG: Unternehmen und Betriebsräte müssen sich bei der Verhandlung von IT-Betriebsvereinbarungen auf die Kernmaterie der Mitbestimmung konzentrieren – die Ausgestaltung der Leistungs- und Verhaltenskontrolle. Reine datenschutzrechtliche Pflichten, wie die Sicherstellung eines angemessenen Datenschutzniveaus beim Transfer in Drittländer (Art. 44 ff. DSGVO), bleiben in der Verantwortung des Arbeitgebers.
- Verhandlungstaktik: Arbeitgeber können sich bei der Verweigerung von Regelungen zu reinen DSGVO-Pflichten auf den Gesetzesvorbehalt berufen. Dies bringt Tempo in die Verhandlungen und verhindert, dass die Einigungsstelle in Bereiche vordringt, die gesetzlich bereits abschließend geregelt sind.
- Stärkung der Freiwilligkeit: Sollen weitergehende, spezifische Datenschutz-Standards oder Compliance-Regeln in der Betriebsvereinbarung festgelegt werden, muss dies im Wege einer freiwilligen Betriebsvereinbarung erfolgen. Hier muss der Betriebsrat seine Ziele durch geschickte Verhandlung und den Einsatz anderer Druckmittel (z.B. Verweigerung der Zustimmung zur Implementierung der IT-Anwendung) erreichen.
- BR als Wächter: Die zentrale Aufgabe des Betriebsrats im Datenschutz bleibt die Überwachung nach § 80 Abs. 1 Nr. 1 BetrVG. Sollte der Arbeitgeber gegen DSGVO oder BDSG verstoßen, muss das Gremium seine Überwachungsrechte und ggf. Klagebefugnisse nutzen, um die Einhaltung des Gesetzes zu erzwingen – es kann diese Pflichten aber nicht präventiv in die Betriebsvereinbarung hineinregeln.
Die Entscheidung des Hess. LAG liefert somit eine klare Orientierung und eine wichtige Abgrenzung der Kompetenzen im spannungsreichen Feld von Betriebsverfassung und Datenschutz. Sie sorgt für eine dringend notwendige Rechtssicherheit, indem sie die Grenzen des erzwingbaren Mitbestimmungsrechts exakt festlegt.
