In der Praxis stellt sich immer wieder die Frage, wer im Unternehmen beim Thema Datenschutz das letzte Wort hat – der Arbeitgeber oder vielleicht doch der Betriebsrat? Gerade bei der Einführung neuer Softwareprodukte ist diese Frage von essenzieller Bedeutung, da es nicht selten zu umfangreichen, teils sogar ausufernden Debatten zwischen den beiden Parteien kommt.
Das Landesarbeitsgericht (LAG) Hessen hat sich am 5. Dezember 2024 (Az. 5 TaBV 4/24) genau mit dieser Frage befasst.
Ansicht des Betriebsrats
Im vorliegenden Fall informierte der Arbeitgeber den Betriebsrat über die geplante Einführung eines neuen IT-Systems zur Verwaltung der Beschäftigtenstammdaten. Das System wird auf Servern in den USA gehostet, wobei diese einer Gesellschaft derselben Unternehmensgruppe gehören.
Der Betriebsrat sah jedoch insbesondere in der Übermittlung der personenbezogenen Daten in die USA datenschutzrechtliche Bedenken. Nach seiner Auffassung würde der Datentransfer nicht den technischen Grundanforderungen entsprechen, es gäbe keine wirksame Trennung der Berechtigungen und es läge keine ausreichende Rechtsgrundlage vor, weshalb der Transfer sowie die damit einhegende Verarbeitung datenschutzrechtlich unzulässig wären.
Vor diesem Hintergrund berief sich der Betriebsrat auf sein Mitbestimmungsrecht gemäß § 87 Abs. 1 Nr. 6 BetrVG, das nach seiner Ansicht auch datenschutzrechtlichen Regelungsgehalt umfasst. Daneben verwies er auch auf das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG, der ebenfalls eine eigenständige datenschutzrechtliche Bedeutung habe. Aus Sicht des Betriebsrates sei es zudem nicht akzeptabel, wenn sämtliche datenschutzrelevanten Themen im Rahmen der Mitbestimmungsrechte außen vor bleiben und ausschließlich dem Arbeitgeber überlassen werden würden.
Das Gericht entschied jedoch, dass dieses Verständnis zu weit geht.
Begründung des Gerichts
Das Betriebsverfassungsgesetz räumt dem Betriebsrat gem. § 87 Abs. 1 Nr. 6 BetrVG das Recht ein, bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen, soweit eine gesetzliche oder tarifliche Regelung nicht besteht.
Demnach bezieht sich das Mitbestimmungsrecht nach Ansicht des Gerichts nicht allgemein auf die Gewährleistung des Persönlichkeitsrechts der im Betrieb beschäftigten Arbeitnehmer und bezweckt daher auch nicht die umfassende Einhaltung aller gesetzlicher Bestimmungen zum Datenschutz. Die Verantwortung hierfür liegt allein bei dem Arbeitgeber als datenschutzrechtlich verantwortliche Stelle (gem. Art. 4 Nr. 7 DSGVO).
Aus diesem Grund sieht das Gericht darin keine Regelung zum Datenschutz und stellte klar, dass sich das Mitbestimmungsrecht des Betriebsrats in diesem Zusammenhang auf seine allgemeine Überwachungsaufgabe (§ 80 Abs. 2 BetrVG) und sein Unterrichtungsrecht (§ 80 Abs. 2 BetrVG) beschränkt. Das heißt, der Betriebsrat darf zwar kontrollieren und Informationen einfordern, er kann aber keine verbindlichen Regelungen zum Datenschutz erzwingen. Denn für zwingende gesetzliche Regelungen, wie sie etwa die DSGVO vorsieht, gibt es schlicht keinen Spielraum zur Mitbestimmung – hier greift der sog. Gesetzesvorbehalt des § 87 Abs. 1 BetrVG. Das bedeutet, das Mitbestimmungsrecht besteht nur, soweit eine gesetzliche oder tarifliche Regelung nicht besteht.
Zwar erlaubt Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG, dass der Arbeitgeber und der Betriebsrat in einer Betriebsvereinbarung spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vereinbaren können. Das bedeutet jedoch nicht, dass der Betriebsrat eine solche Regelung erzwingen kann. Vielmehr kann eine solche Vereinbarung nur auf freiwilliger Basis gemeinschaftlich geschlossen werden.
Darüber hinaus ergibt sich ebenfalls aus Art. 87 Abs. 1 Nr. 1 BetrVG kein umfassendes Mitbestimmungsrecht des Betriebsrates zur Durchsetzung des Datenschutzes, da die Norm lediglich das Ordnungsverhalten der Arbeitnehmer betrifft und nicht die Pflicht des Arbeitgebers zur Einhaltung datenschutzrechtlicher Vorgaben.
Fazit
Das LAG Hessen hat mit seinem Beschluss klargestellt, dass aus dem Mitbestimmungsrecht gem. § 87 Abs. 1 BetrVG kein erzwingbares Recht bei Datenschutzfragen abgeleitet werden kann. Dies besteht nur, soweit keine zwingenden gesetzlichen Regelungen vorliegen. Mit der DSGVO liegt jedoch bereits ein umfassender gesetzlicher Regelungsrahmen vor, der den Arbeitgeber als verantwortliche Stelle ausdrücklich zur Einhaltung der Vorgaben (z.B. Informationspflicht nach Art. 13 DSGVO) verpflichtet.
Gleichwohl bleibt es dem Arbeitgeber und dem Betriebsrat frei, freiwillige Betriebsvereinbarungen zum Datenschutz abzuschließen. Diese können Transparenz schaffen, für Klarheit im Unternehmen sorgen und das Verhältnis zwischen Arbeitgeber und Betriebsrat stärken.
Insgesamt betont die Entscheidung jedoch die alleinige Verantwortung des Arbeitgebers und stärkt seine Position gegenüber dem Betriebsrat.