Das Landesarbeitsgericht (LAG) Hessen hat in einer aktuellen Entscheidung klargestellt, dass ein Mitbestimmungsrecht des Betriebsrats bei Datenschutz nicht zwingend besteht, wenn es um datenschutzrechtliche Fragestellungen im Zusammenhang mit der Einführung technischer Systeme geht. Im Mittelpunkt stand die Einführung des IT-Systems „HCM (People Engine)“, das konzernweit zur Verwaltung von Beschäftigtendaten eingeführt werden sollte. Die Speicherung der Daten erfolgt dabei auf Servern einer US-amerikanischen Konzerngesellschaft.
Hintergrund: Einführung eines IT-Systems zur Stammdatenverwaltung
Die Arbeitgeberin – ein weltweit tätiges Logistikunternehmen – beabsichtigte, an zwei deutschen Standorten ein neues IT-System zur Verwaltung von Beschäftigtenstammdaten einzuführen. Die Systemlösung „HCM“ war für den konzernweiten Einsatz bestimmt. Der Betriebsrat wurde gemäß § 87 Abs. 1 Nr. 6 BetrVG einbezogen, da das System auch Protokolldaten (sog. Log-Daten) verarbeitete und somit grundsätzlich geeignet war, Verhalten oder Leistung der Arbeitnehmer zu überwachen.
Im Rahmen eines Einigungsstellenverfahrens wurde eine entsprechende Betriebsvereinbarung beschlossen, die u. a. folgende Inhalte regelte:
- den Geltungsbereich des Systems,
- den Nutzungsumfang und Zweck der Datenverarbeitung,
- die Verarbeitung und Nutzung von Protokolldaten,
- Regelungen zum Import und Export von Beschäftigtendaten,
- Voraussetzungen für eine Leistungs- und Verhaltenskontrolle anhand dieser Daten.
Betriebsrat erhebt Einwände: Datenschutzrechtliche Lücken, unvollständige Systembeschreibung
Der Betriebsrat kündigte die Betriebsvereinbarung kurz nach deren Beschlussfassung und beantragte die gerichtliche Überprüfung des Einigungsstellenspruchs. Er monierte insbesondere, dass das IT-System lediglich in Auszügen beschrieben und zahlreiche Funktionen unzureichend geregelt seien. Zudem bemängelte er, dass datenschutzrechtliche Aspekte nicht hinreichend berücksichtigt worden seien – insbesondere im Hinblick auf die Übermittlung personenbezogener Daten in die USA sowie die potenzielle Möglichkeit zur Leistungs- und Verhaltenskontrolle mittels sogenannter Protokolldaten. Er berief sich dabei auf sein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG, wonach der Betriebsrat bei technischen Einrichtungen, die der Leistungs- oder Verhaltenskontrolle dienen können, mitzubestimmen habe.
Der Fall zeigt exemplarisch, dass das Mitbestimmungsrecht des Betriebsrats bei Datenschutz rechtlich klar begrenzt ist.
Arbeitsgerichte sehen kein Mitbestimmungsrecht beim Datenschutz
Sowohl das Arbeitsgericht Fulda als auch das LAG Hessen wiesen die Anträge des Betriebsrats vollständig zurück.
Die Gerichte stellten klar, dass die Betriebsvereinbarung inhaltlich wirksam sei, da sie den geregelten Regelungsauftrag – nämlich die Einführung der ersten Systemfunktionen – nicht überschritten habe.
Wesentlicher Punkt der Entscheidung war jedoch die Abgrenzung zwischen Mitbestimmungsrecht und datenschutzrechtlicher Verantwortlichkeit. Beide Instanzen machten deutlich:
Der Betriebsrat trägt nicht die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften.
Grenzen des Mitbestimmungsrechts des Betriebsrats bei Datenschutz nach § 87 BetrVG
Diese obliege ausschließlich der Arbeitgeberin als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO. Regelungen zum Datenschutz seien nicht über § 87 Abs. 1 Nr. 6 BetrVG durchsetzbar, sondern könnten allenfalls im Rahmen freiwilliger Vereinbarungen getroffen werden.
Auch aus § 87 Abs. 1 Nr. 1 BetrVG könne kein eigenständiges, erzwingbares Mitbestimmungsrecht für Datenschutzfragen abgeleitet werden. Denn dieses beziehe sich allein auf das Ordnungsverhalten der Beschäftigten, nicht jedoch auf gesetzliche Pflichten des Arbeitgebers zur Datenverarbeitung.
Protokolldaten (Log-Daten) und Verhaltenskontrolle
Auch in Bezug auf die datenschutzrechtlich sensiblen Protokolldaten (Log-Daten) verneinte das LAG eine unzulässige Verhaltenskontrolle. Der Zugriff sei streng begrenzt – etwa auf technische Fehlerbehebung oder Straftatenverdacht – und unterliege zusätzlichen Informationspflichten gegenüber dem Betriebsrat. Eine systematische Überwachung der Beschäftigten sei ausgeschlossen.
Die Abwägung der Interessen – zwischen dem betrieblichen Bedarf an digitaler Stammdatenverwaltung und dem Schutz der Persönlichkeitsrechte – sei angemessen erfolgt. Eine Ermessensüberschreitung durch die Einigungsstelle liege nicht vor.
Einordnung: Sehr arbeitgeberfreundliche Entscheidung
Die Entscheidung des LAG Hessen dürfte in der Praxis weitreichende Bedeutung haben. Sie stärkt die Verantwortung der Arbeitgeber im Bereich Datenschutz, verweist den Betriebsrat jedoch auf eine eher passive Rolle – nämlich auf seine Überwachungs- und Unterrichtungsrechte nach § 80 BetrVG. Selbst wenn eine Betriebsvereinbarung datenschutzrechtliche Aspekte regeln soll, ist dies nur auf freiwilliger Basis möglich – nicht aber erzwingbar im Rahmen des Mitbestimmungsrechts.
Das Gericht verneinte auch die Möglichkeit, über Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG ein entsprechendes Mitbestimmungsrecht zu konstruieren. Diese Öffnungsklauseln berechtigen den Gesetzgeber, nicht jedoch die Betriebsparteien, verbindliche Regelungen zu treffen.
Damit bestätigt das LAG Hessen erneut, dass ein erzwingbares Mitbestimmungsrecht des Betriebsrats bei Datenschutz nicht besteht.
Fazit zum Mitbestimmungsrecht des Betreibsrats bei Datenschutzfragen
Das LAG Hessen hat mit dieser Entscheidung eine klare Linie gezogen: Datenschutz ist kein Feld betrieblicher Mitbestimmung, sondern alleinige Aufgabe des Arbeitgebers. Ein Mitbestimmungsrecht des Betriebsrats bei Datenschutz kann nur freiwillig vereinbart werden, ist aber nicht erzwingbar.
Fragen zum Mitbestimmungsrecht des Betriebsrats bei Datenschutz?
Sie sind unsicher, ob in Ihrem Unternehmen ein Mitbestimmungsrecht des Betriebsrats bei Datenschutz besteht oder ob der Betriebsrat datenschutzrechtliche Regelungen bei der Einführung eines IT-Systems erzwingen kann? Unsere erfahrenen Rechtsanwälte unterstützen Sie bei der rechtlichen Einordnung nach § 87 BetrVG, der Prüfung von Betriebsvereinbarungen und der Abgrenzung zur DSGVO-Verantwortung des Arbeitgebers. Vereinbaren Sie ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage – wir helfen Ihnen gerne!
❓ FAQ: Kein Mitbestimmungsrecht des Betriebsrats bei Datenschutzfragen
Worum ging es beim Mitbestimmungsrecht des Betriebsrats bei Datenschutz im Fall des LAG Hessen?
Im Fall vor dem LAG Hessen ging es um die Einführung eines konzernweiten IT-Systems zur Verwaltung von Beschäftigtendaten. Der Betriebsrat rügte datenschutzrechtliche Defizite, insbesondere wegen Serverstandorten in den USA. Das Gericht stellte klar, dass ein erzwingbares Mitbestimmungsrecht des Betriebsrats bei Datenschutz nicht besteht.
Warum wurde der Betriebsrat bei dem IT-System trotzdem beteiligt?
Der Betriebsrat war beteiligt, weil nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht besteht, wenn technische Einrichtungen zur Leistungs- oder Verhaltenskontrolle geeignet sind. Das IT-System erfasste Protokolldaten. Das Mitbestimmungsrecht des Betriebsrats bei Datenschutz umfasst jedoch nicht die Durchsetzung datenschutzrechtlicher Pflichten.
Wie entschied das LAG Hessen zum Mitbestimmungsrecht des Betriebsrats bei Datenschutz?
Das LAG Hessen entschied, dass Datenschutzregelungen nicht erzwingbarer Bestandteil des Mitbestimmungsrechts nach § 87 BetrVG sind. Die Verantwortung für die Einhaltung der DSGVO liegt allein beim Arbeitgeber. Ein Mitbestimmungsrecht des Betriebsrats bei Datenschutz besteht daher nur im Rahmen freiwilliger Vereinbarungen, nicht aber als erzwingbares Recht.
Was gilt für Protokolldaten und mögliche Überwachung?
Das Gericht stellte klar, dass Protokolldaten nur in engen Grenzen genutzt werden dürfen, etwa zur Fehleranalyse oder bei konkretem Straftatenverdacht. Eine systematische Überwachung sei ausgeschlossen. Auch hieraus folgt kein erweitertes Mitbestimmungsrecht des Betriebsrats bei Datenschutz, da Datenschutzpflichten gesetzlich vom Arbeitgeber einzuhalten sind.
Kann der Betriebsrat Datenschutzthemen dennoch mitgestalten?
Ja, aber nur freiwillig. Arbeitgeber und Betriebsrat können Datenschutzfragen in freiwilligen Betriebsvereinbarungen regeln. Ein erzwingbares Mitbestimmungsrecht des Betriebsrats bei Datenschutz besteht jedoch nicht. Der Betriebsrat hat vor allem Überwachungs- und Informationsrechte nach § 80 BetrVG.
Welche Bedeutung hat das Urteil für die Praxis?
Die Entscheidung stärkt Arbeitgeber, da Datenschutz nicht als erzwingbares Mitbestimmungsfeld gilt. Betriebsräte können Datenschutzregelungen nicht über die Einigungsstelle durchsetzen. Das Urteil schafft Klarheit: Ein Mitbestimmungsrecht des Betriebsrats bei Datenschutz ist rechtlich stark begrenzt und bleibt überwiegend auf freiwillige Lösungen beschränkt.
