Betriebsrat bestimmt bei Compliance mit
Legt der Arbeitgeber eines Call-Centers in einer Arbeitsanweisung fest, wie seine Beschäftigten mit IT-Pannen umzugehen und welches Melde-Verfahren sie dann einzuhalten haben, handelt es sich um eine Angelegenheit der betrieblichen Ordnung. Dem Betriebsrat steht deshalb ein Mitbestimmungsrecht zu. Zuständig ist der lokale Betriebsrat.
Es geht letztlich um die für die Praxis enorm wichtige Frage, ob Regelungen im Rahmen von Compliance-Systemen zur Vermeidung von Datenschutzpannen, mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 1 BetrVG sind.
Das war der Fall
In einem Call-Center arbeiten ca. 500 Beschäftigte, die für verschiedene Auftraggeber Kommunikationsdienste (Telefon, Mail, Chat) übernehmen. Dabei werden in großem Umfang personenbezogene Daten ausgetauscht. Der Arbeitgeber erteilt eine Arbeitsanweisung, wie im Falle möglicher IT-Datenpannen zu verfahren sei. Die Arbeitnehmer sollen eine bestimmte, standardisierte E-Mail mit einem vorgefertigten Text an eine Mail-Adresse schicken. Das Verfahren ist strikt einzuhalten, andere Formen, die Datenpannen zu melden soll es nicht geben.
Der Betriebsrat fordert seine Mitbestimmungsrechte ein. Es handele sich bei der Anweisung um eine strikt einzuhaltende Verhaltensregel, die das Ordnungsverhalten betreffe. Ohne Betriebsrat ginge es nicht.
Der Arbeitgeber hält die Anweisung für eine Compliance-Maßnahme, die sich zwingend aus seinen Verpflichtungen der Datenschutzgrundverordnung (Art. 33 DSGVO) ergebe. Er müsse Datenschutzverletzungen möglichst schnell aufdecken und entsprechend reagieren können. Die Meldung per E-Mail sei die derzeit sicherste und schnellste Art für den Mitarbeiter, einen möglichen Datenverstoß an den Arbeitgeber zu melden. Eine Mitbestimmungspflicht sieht er nicht.
Das sagt das Gericht
Das Gericht gibt dem Betriebsrat Recht. Die Anweisung enthält standardisierte Verhaltensregeln zum Umgang mit IT-Pannen, die keinesfalls zwingend aus der DSGVO hervorgingen. Derlei Anweisungen gehen auch deutlich über reine Konkretisierungen der Arbeitspflicht hinaus. Sie sind mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 1 BetrVG.
Das Gericht klärt zunächst, dass es sich bei einer solchen Verhaltensregel nicht um eine bloße Konkretisierung des »Arbeitsverhaltens« handelt, die der Arbeitgeber kraft seines Direktionsrechts ohne Betriebsrat vornehmen kann. Indem vielmehr der Arbeitgeber die Arbeitnehmer anweist, im Fall einer Datenpanne eine bestimmte Mail mit standardisiertem Inhalt an eine bestimmte E-Mail-Adresse zu senden, hat der Arbeitgeber eine betriebliche Verhaltensregel geschaffen.
Diese Vorgehensweise kann durchaus im Rahmen der Compliance-Verpflichtungen (Art. 33 DSGVO) zweckmäßig sein, sie ergibt sich aber keineswegs zwingend aus den gesetzlichen Anforderungen der DSGVO. Der Arbeitgeber will vor allem, dass alle Arbeitnehmer den gleichen Mitteilungsweg wählen.
Zudem enthält die Anweisung Regelungen im Falle von Abwesenheiten der Arbeitnehmer. Der Arbeitgeber will kurzfristige Erreichbarkeit gewährleisten. All dies ist mitbestimmungspflichtig.
Das Gericht hält zudem den örtlichen Betriebsrat für zuständig. Eine unternehmensübergreifende oder konzerneinheitliche Regelung war weder aus objektiven Gründen zwingend erforderlich noch nach der Theorie der subjektiven Unmöglichkeit geboten.
Das muss der Betriebsrat beachten
Mit Compliance-Regeln soll das regelkonforme Verhalten im Betrieb abgesichert werden. Das ist im Sinne der Belegschaft sinnvoll. Dennoch müssen auch hier immer die Rechte der Arbeitnehmer berücksichtigt werden. Und das geschieht über die Mitbestimmung – konkret über § 87 Abs. 1 Nr. 1 BetrVG. Arbeitgeber berufen sich häufig darauf, sie seien zu bestimmten Compliance- oder Überwachungsmaßnahmen gesetzlich (z.B. aufgrund der DSGVO) gezwungen. Das ist aber nur in seltenen Fällen richtig.
Häufig müssen die Arbeitgeber aufgrund gesetzlicher Bestimmungen zwar Überwachungssysteme einrichten, das »Wie« der Umsetzung bleibt aber ihnen überlassen. Und genau da muss der Betriebsrat im Sinne der Belegschaft mitwirken. So auch hier bei der Ausgestaltung des E-Mail-Meldesystems.
Quelle: www.bund-verlag.de