Ansätze für Regelungen über IT-Systeme

Man kann Regelungen über technische Einrichtungen, die gem. § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig sind, auf verschiedene Arten vornehmen.

  • Der Betriebsrat könnte die Anwendung stillschweigend dulden,
  • Arbeitgeber und Betriebsrat könnten eine Regelungsabrede abschließen oder
  • Arbeitgeber und Betriebsrat schließen eine Betriebsvereinbarung ab.

Den Sonderfall einer sog. „Rahmenbetriebsvereinbarung“ über IT-Systeme werden ich später gesondert behandeln.

Eine Betriebsvereinbarung ist die erste Wahl

In jedem Fall empfiehlt es sich, eine Betriebsvereinbarung abzuschließen. Das ist nicht nur im Interesse des Betriebsrats, sondern auch für den Arbeitgeber sinnvoll. Nur eine Betriebsvereinbarung gilt unmittelbar und zwingend, und nur eine Betriebsvereinbarung wirkt nach. Setzt ein Arbeitgeber bei der Nutzung einer technischen Eirichtung darauf, dass der Betriebsrat schon stillhalten wird, läuft er Gefahr, dass der Betriebsrat es sich irgendwann einmal anders überlegt. Der Betriebsrat kann in diesem Fall jederzeit verlangen, dass doch eine Betriebsvereinbarung abgeschlossen wird. Und ein Betriebsrat kann auch richtigen Ärger bereiten.

Wie in § 87 Abs. 1 Nr. 6 BetrVG steht, hat der Betriebsrat über die Anwendung einer solchen technischen Einrichtung mitzubestimmen. Wenn der Betriebsrat es darauf anlegt, könnte er verlangen, dass – bei Fehlen einer Betriebsvereinbarung – in jedem Fall der Anwendung seine Zustimmung beantragt wird, also z. B. bei jedem Telefonanruf, bei jeder Benutzung der Zeiterfassung und bei jeder Anmeldung und Verwendung von SAP. Damit könnte ein Betriebsrat den Betrieb massiv stören. Davon kann ein Arbeitgeber sich nur schützen, indem er eine Betriebsvereinbarung mit dem Betriebsrat abschließt, in der die Anwendung der jeweiligen Einrichtung abschließend geregelt wird. Natürlich kann er darauf hoffen, dass ein Betriebsrat schon nicht zu solch drastischen Mitteln greift, aber das ist eben nur eine Hoffnung.

Eine Betriebsvereinbarung schützt also nicht zuletzt die Investition in die IT, und es wäre unverantwortlich, auf diesen Schutz zu verzichten und das Risiko einzugehen, dass der Betriebsrat die Nutzung der Einrichtung stört. Der Betriebsrat hätte grundsätzlich sogar einen Anspruch darauf, dass der Arbeitgeber es unterlässt, die Einrichtung überhaupt weiter zu betreiben, solange er sein Mitbestimmungsrecht nicht ausüben konnte. Wenn ein Betriebsrat dem Arbeitgeber durch einen Beschluss des Arbeitsgerichts aufgeben wird, die Einrichtung bis zum Abschluss der Betriebsvereinbarung außer Betrieb zu setzen, wird der Arbeitgeber sie zwar in vielen Fällen weiter betreiben – einfach, weil er keine Wahl hat. Der Betriebsrat hätte dann aber die Möglichkeit, ein Ordnungsgeld verhängen zu lassen, so dass z. B. für jede Woche, die die Einrichtung weiter ungeregelt in Betrieb ist, bis zu 10.000 EUR fällig werden. Auch keine schöne Vorstellung für Arbeitgeber.

Das Argument, dass ein Betriebsrat doch den Betrieb nicht in solch einer rabiaten Weise stören oder gar behindern dürfe, ist nicht überzeugend: Es obliegt ja dem Arbeitgeber, dafür zu sorgen, dass der Betriebsrat mitbestimmen kann. Dafür zu sorgen, ist seine Sache, wenn er eine technische Einrichtung einführt. Er hat ja den Betriebsrat schon in der Phase der Planung einzubeziehen (§ 90 Abs. 1 BetrVG) und mit dem Betriebsrat zu klären, ob es Probleme gibt und wie man zu einer gemeinsamen Lösung kommt (§ 90 Abs. 2 BetrVG), vor allem hat er dafür zu sorgen, dass der Betriebsrat mitbestimmt (§ 87 Abs 1 BetrVG). Das nicht zu tun, sondern darauf zu hoffen, dass der Betriebsrat sich schon kooperativ verhalten werde, wenn es drauf ankommt, ist nicht nur leichtsinnig, es zwingt den Betriebsrat in eine Rolle, die er nicht hat und auch nicht haben soll: Die des Erfüllungsgehilfen statt eines Korrektivs. Auch ein Arbeitgeber kann ja initiativ werden und vorschlagen, eine Betriebsvereinbarung abzuschließen, in der alle relevanten Fragen abschließend (das heißt übrigens meistens nicht „schlank“) geregelt werden.

Am Ende ist es für alle Beteiligten vorteilhaft, in einer Betriebsvereinbarung klar und transparent zu regeln, wie mit den Möglichkeiten einer technischen Einrichtung umgegangen wird:

  • Für den Arbeitgeber, der die Einrichtung sicher nutzen will,
  • für die Benutzer, weil sie wissen, was geht und was nicht, und mit welchen Formen der Überwachung sie ggf. rechnen müssen,
  • für die IT, weil sie weiß, nach welchen Regeln sie die Einrichtung zu betreiben haben und
  • natürlich auch für den Betriebsrat, weil er sich darauf verlassen, kann, dass die Einrichtung nach den von ihm mitgestalteten Regeln genutzt wird.

Technische und normative Regelungen

Für Betriebsvereinbarungen kann man grob zwei Ansätze unterscheiden:

  • Technische Regelungen oder
  • normative Regelungen.

Den Satz „Verhaltens- oder Leistungskontrollen erfolgen nicht“ habe ich hier schon erwähnt – er ist meistens falsch, weil technische Einrichtungen in vielen Fällen Daten über das Verhalten erzeugen, die sich auch nicht „wegkonfigurieren“ lassen. Damit erfolgt eine Verhaltenskontrolle, und es ist die Aufgabe der Betriebsvereinbarung, zu bestimmen, wie damit umgegangen wird. Gemeint ist mit diesem Satz aber in der Regel auch etwas anderes, nämlich: „Daten, die für eine Verhaltens- oder Leistungskontrolle geeignet sind, werden nicht dafür genutzt, das Verhalten oder die Leistung von Arbeitnehmern zu beobachten, zu beurteilen, zu messen, zu vergleichen oder auf andere Weise zu kontrollieren.“ Wenn das gemeint ist, sollte man es so auch in eine Betriebsvereinbarung schreiben.

Technische Regelungen

Technische Regelungen versuchen, Anweisungen darüber zu treffen, wie die technische Einrichtung zu konfigurieren ist, um dafür zu sorgen, dass nur die jeweiligen Zwecke verwirklicht werden. Das ist dann möglich, wenn

  • die Zwecke eng begrenzt und klar definiert sind,
  • der Umfang der verarbeiteten Daten relativ gering ist und
  • die Einrichtung sich auch in dieser Weise konfigurieren lässt.

Bei einem Schließsystem z. B. gibt es grundsätzlich keinen Grund, zu protokollieren, wer wann welche Tür geöffnet hat. Ein gutes System wird sich so konfigurieren lassen, dass auf das Protokoll der Türöffnungen verzichtet wird. Sollte es dennoch besonders schützenswerte Bereiche geben (z. B. die Tür zum Raum mit dem Drogenschrank in einer Krankenhausstation), müsste man für diese Schließzylinder eine Protokollierung einzeln aktivieren.

Unser Internet-Router lässt sich so konfigurieren, dass nur die externen Adressen protokolliert werden, aber im Protokoll nicht auftaucht, von welchen internen Adressen aus diese externen Adressen aufgerufen wurden. Ich brauche diese Information auch nicht – davon abgesehen, dass ich meinen KollegInnen vertraue, kann ich Web-Adressen, die ich für unerwünscht halte, ja auch in die Blacklist aufnehmen.

Bei einer Zeiterfassung kann man ebenfalls sehr genau bestimmen, welche „Zeitereignisse“ in welcher Weise erfasst und wie verarbeitet werden. Ebenso kann man die zulässigen Reports konfigurieren und regeln, wer in welcher Weise und für welche Zwecke auf welche Daten zugreifen kann.

Technische Regelungen umfassen also – ausgehend von der Bestimmung der Zwecke – folgendes:

  • eine abschließende Auflistung der Daten, mit denen das Tun von Arbeitnehmern verarbeitet wird,
  • Bestimmungen über die Zugriffsberechtigungen für diese Daten,
  • Bestimmungen darüber, ob und in welcher Weise (welche Dashboards, Reports, Listen etc.) mit diesen Daten erzeugt werden können sowie
  • Regelungen darüber, wann die Daten zu löschen oder zu anonymisieren sind.

Das Problem ist aber bei vielen IT-Systemen und anderen technischen Einrichtungen, dass solche eine detaillierte Konfiguration nicht möglich ist. Außerdem wird in vielen Fällen der Umfang der Daten über das Verhalten oder die Leistung so groß sein, dass es schwierig wird, den genauen Umfang zweckgebunden zu bestimmen und im System zu definieren. Deshalb wird man in den meisten Fällen zumindest ergänzend sog. „normative“ Regelungen finden müssen.

Normative Regelungen

Dort, wo eine technische Regelung nicht gelingt, jedenfalls aber nicht alle Fragen abschließend klären kann, wird man Normen aufstellen müssen, nach denen bei der Verwendung der technischen Einrichtung zu verfahren ist.

Office 365 ist ein Beispiel dafür: Bei Office 365 ist es schlicht nicht möglich, bestimmte Instrumente, die zur Verhaltenskontrolle geeignet sind, durch Konfigurationseinstellungen zu verhindern – die Technik gibt das nicht her. Außerdem umfasst das Produkt so viele Funktionen und wird überdies mit hohem Tempo stetig weiterentwickelt, dass man sich damit schwertun wird, sämtliche Einstellungen, die verhindern sollen, dass eine Möglichkeit der Verhaltenskontrolle entsteht, in einer Betriebsvereinbarung abschließend zu regeln. Über Office 365 habe ich hier ausführlich einiges geschrieben.

Andere Fälle, bei denen man nicht anders als „normativ“ regeln kann, sind:

  • Die Einrichtung wird von jemand anderem betrieben, auf den der Arbeitgeber nicht den nötigen Einfluss hat. Beispiel: Der Arbeitgeber ist Mieter eines Gebäudes, dessen Betreiber im Eingangsbereich und Treppenhaus eine Videoüberwachung installiert hat. Der Arbeitgeber wird den Vermieter möglicherweise nur schlecht zwingen können, die Videoanlage zu deinstallieren oder anders zu konfigurieren, besonders, wenn es noch andere Mieter gibt.
  • Eine technische Einrichtung kann nicht so konfiguriert werden, wie das nötig wäre. Das ist zwar alles andere als optimal, aber wenn das System ansonsten gut ist, ist eine „normative“ Regelung immer noch die zweitbeste Variante.
  • Die technische Einrichtung wird gemeinsam mit anderen Betrieben genutzt, die bestimmte Funktionen benötigen, und die deshalb nicht „wegkonfiguriert“ werden können. Hier ist ggf. zu klären, ob der Gesamtbetriebsrat oder Konzernbetriebsrat zuständig ist, aber für den einzelnen Betrieb können ja ggf. auch vom Gesamt- oder Konzernbetriebsrat „normative“ Regelungen aufgestellt werden.
  • Die technische Einrichtung ist so komplex, dass genaue Konfigurationsanweisungen Seiten füllen würden. In dem Fall besteht die Gefahr, dass man etwas übersieht, oder dass sich am Ende niemand die Mühe macht, das auch umzusetzen oder auch an geänderte technische Parameter anzupassen. Dann ist eine „normative“ Regelung einfacher.

Noch ein Hinweis zu „es ist technisch nicht möglich, die Einrichtung so zu konfigurieren, wie das nötig wäre“: Ich empfinde es immer als ärgerlich, wenn ein Arbeitgeber zuerst eine Software oder eine andere technische Einrichtung beschafft, um dann zum Betriebsrat zu gehen und mit ihm Regelungen zu verhandeln, in der Verhandlung aber darlegt, dass es leider nicht möglich sei, die Einrichtung so zu betreiben, wie das nötig wäre. Im Datenschutz gilt der Grundsatz „die Technik folgt dem Recht“, und auf der Einhaltung dieses Grundsatzes sollte man auch bei der Mitbestimmung bestehen. Das BVerfG hat in einer kurzen Entscheidung (1 BvR 99/11 vom 13.06.2015) einmal festgestellt:

Die Anforderungen an die technische Datenverarbeitung haben insoweit den Anforderungen des Grundrechts auf informationelle Selbstbestimmung zu genügen und nicht umgekehrt.

BVerfG 1 BvR 99/11

Nicht zuletzt gibt es deshalb ja den § 90 BetrVG: Schon bei der Planung, also vor dem Kauf einer technischen Anlage (wie z. B. einer Software) und der Bestimmung von Arbeitsverfahren oder Arbeitsabläufen (wie z. B. Prozessen, die mit der Software gesteuert und abgebildet werden sollen) ist der Betriebsrat zu informieren und die geplante Maßnahme vor allem so rechtzeitig mit ihn zu beraten, dass Vorschläge und Bedenken des Betriebsrats schon bei der Planung berücksichtigt werden können.

Zuerst eine Software zu kaufen, erst danach den Betriebsrat zu informieren und dann zu sagen „das können wir mit der Software leider nicht machen“ ist genau das, was der Gesetzgeber mit § 90 BetrVG verhindern wollte. Deshalb sollte man als Betriebsrat in solchen Fällen nicht allzu gnädig mit dem Arbeitgeber sein.

Im Falle einer „normativen“ Regelung sollten die Normen darin bestehen, dass man zwar nicht regelt, wie eine Einrichtung konfiguriert und betrieben wird, aber bestimmt, wie sie verwendet werden darf. Es muss also bestimmt werden:

  • Welche Zwecke ausschließlich zulässig sind – und diese Zwecke müssen sehr konkret definiert werden.
  • Wie diese Zwecke verwirklicht werden (z. B. durch welche Benutzer).
  • Nach welchen Regeln Daten ausgewertet werden dürfen (auch wenn es nicht möglich ist, die genaue Definition zulässiger Auswertungen zu regeln, kann zumindest bestimmt werden, wie sichergestellt wird, dass Auswertungen nur gemäß der Zweckbestimmungen erfolgen).
  • Welche Konsequenzen aus der Nutzung der Verhaltens- und Leistungskontrolle entstehen dürfen (und demnach keine anderen).

Bei normativen Regelungen ist besonders wichtig, klarzustellen, dass die Nutzung der Möglichkeiten der Verhaltens- oder Leistungskontrolle, die gegen die Normen der Betriebsvereinbarung verstößt, unzulässig ist und Maßnahmen, die daraus resultieren, unwirksam sind. Wenn die Daten über das Verhalten vorhanden sind, wird sich immer auch jemand finden, der sie sich anschaut – auch, wenn das „eigentlich“ gar nicht erlaubt ist. Und wenn er meint, etwas gefunden zu haben, was auf „schlechte Leistung“ oder einen anderen Mangel hinweist, wird er auch versuchen, daraus Maßnahmen abzuleiten.

Also gehören in einer Betriebsvereinbarung, die die Anwendung technischer Einrichtungen nicht technisch, sondern normativ regelt, in jedem Fall die folgenden Absätze:

Verhaltens- oder Leistungskontrollen mit den hier mitbestimmten technischen Einrichtungen, die nicht auf der Grundlage dieser Betriebsvereinbarung zugelassen sind, sind unzulässig und dürfen nicht erfolgen.

Maßnahmen, die auf unzulässig durchgeführten Verhaltens- oder Leistungskontrollen beruhen oder aus ihnen resultieren, sind unwirksam und müssen zurückgenommen werden.

Der Nachweis der Rechtmäßigkeit der Datenverarbeitung mit den hier mitbestimmten technischen Einrichtungen ist vom Arbeitgeber zu erbringen.

Technische und normative Regelungen

In der Praxis wird man beide Ansätze miteinander vermischen: Dort, wo es geht und sinnvoll ist, wird man technische Regelungen treffen (z. B. hinsichtlich der Benutzerrollen oder der Schnittstellen, über die Daten mit anderen Systemen ausgetauscht werden), wo man etwas nicht abschließend technisch regeln kann oder will (z. B. hinsichtlich des Umfangs der Verarbeitung von Daten über das Verhalten oder die Leistung oder bei der Bestimmung der Auswertungen) wird man Normen setzen.

Wichtig ist, dass man sich nicht allzu leichtfertig ausschließlich auf nur normative Regelungen einlässt, wenn technische Regelungen auch möglich wären. Genau zu definieren, was mit dem jeweiligen System gemacht werden kann, ist allemal besser, als zu definieren, was gemacht werden darf (aber dabei zuzulassen, dass mehr gemacht werden kann) und darauf zu hoffen, dass sich auch jeder daran hält.

Durchsetzung technischer Regelungen

Technische Regelungen sind meistens schwerer durchzusetzen. Es ist natürlich für Arbeitgeber ein größerer Aufwand, ein IT-System so zu konfigurieren – womöglich auch weitere Änderungen am System vornehmen zu müssen –, um es wie in der Betriebsvereinbarung geregelt betreiben zu können, als das System so zu lassen, wie es ist, und sich nur auf mehr oder minder streng formulierte Regeln einzulassen, dass man mit den vorhandenen Daten aber nur bestimmte Dinge tun darf. Deshalb ist bei technischen Regelungen mit größerem Widerstand seitens des Arbeitgebers zu rechnen.

Hier helfen die datenschutzrechtlichen Grundsätze „Privacy by Design“ und „Die Technik folgt dem Recht“. „Privacy by Design“ bedeutet, dass das Design eines datenverarbeitenden Systems, also seine Programmierung und Konfiguration, schon selbst den Datenschutz gewährleisten muss und dieses Maß nicht erst durch nachträglich hinzugefügte Regeln über seine Benutzung entstehen darf. Und „Die Technik folgt dem Recht“ (s. oben auch die Entscheidung des BVerfG 1 BvR 99/11) bedeutet, dass die Technik so eingerichtet und betrieben werden muss, dass sie den Anforderungen des Datenschutzes genügt.

Man kann sich deshalb bei solchen Diskussionen auch an die jeweils zuständige Aufsichtsbehörde für den Datenschutz wenden und sie um eine Einschätzung bitten. Derzeit sind die Aufsichtsbehörden zwar nicht besonders reaktionsschnell, aber wenn sie (manchmal nach Monaten) antworten, wird man in der Regel eine Bestätigung dieser Forderungen erhalten.

Normative Regelungen akzeptieren meistens die „normative Kraft des Faktischen“. Mitbestimmung bedeutet aber nicht, die technischen Rahmenbedingungen, die von außen diktiert und nicht durch Gesetze legitimiert sind, einfach hinzunehmen und sich auf Regelungen innerhalb dieses Rahmens zu beschränken. Mitbestimmung bedeutet, selbst die Bedingungen und Regeln zu gestalten.

Ich ertappe mich gelegentlich selbst dabei, bei Diskussionen mit Arbeitgebern in Richtung „dann regeln wir es eben normativ“ kippen zu wollen. Das ist der Weg des geringeren Widerstands, und deshalb fällt es leichter, solche Regeln zu vereinbaren. Man sollte sich (und den Arbeitgebern) das aber nicht zu leicht machen. Wenn es möglich ist, eine Regelung „technisch“ vorzunehmen, dann sollte man auch auf technischen Regelungen bestehen und nötigenfalls den Weg in die Einigungsstelle gehen.

Die Gegenstände der Mitbestimmung

In einer Betriebsvereinbarung über eine technische Einrichtung gem. § 87 Abs. 1 Nr. 6 BetrVG sollte in jedem Fall genau bestimmt werden, um welche Einrichtung es sich handelt, und es sollte zumindest grob beschrieben werden, welche Funktionen sie umfasst.

Während die DSGVO „technikneutral“ ist, also den Verarbeitungsvorgang als solchen betrachtet und offen lässt, welches technische Mittel dafür verwendet wird (es muss nur sichergestellt sein, dass geeignete technische und organisatorische Maßnahmen für die Sicherstellung des Datenschutzes durchgeführt werden), setzt § 87 Abs. 1 Nr. 6 BetrVG bei der technischen Einrichtung, also einem (oder mehreren) konkreten Gegenständen an. Sie müssen nicht „stofflich“ sein – auch Software kann eine technische Einrichtung sein – aber eine „Sache“. Dafür ist es allerdings auch erforderlich, dass das oder die Objekte in der Betriebsvereinbarung benannt werden. Sonst wird künftig immer wieder Streit darüber entstehen, ob eine bestimmte Sache (z. B. „Crystal Reports“ als Reporting-Werkzeug für eine ganz andere Software, die SQL-Datenbank, auf die eine Software zugreift etc.) denn nun unter die Betriebsvereinbarung fällt und „mitgeregelt“ ist oder eine eigenständige Einrichtung ist, für die ggf. eine separate Regelung getroffen werden muss.

Aus Sicht des Datenschutzes ist diese Frage egal, aber aus Sicht der Mitbestimmung muss man bestimmen, welche Einrichtungen Gegenstand der Betriebsvereinbarung sind. Man regelt ja auch andere Geltungsbereiche – z. B. den persönlichen und den örtlichen –, dann sollte es außer Frage stehen, dass erst recht der sachliche Geltungsbereich sauber bestimmt werden muss.

Um ein Beispiel zu nennen: Man erstellt mit Excel eine Datei über Anwesenheitszeiten und speichert sie auf einem SharePoint-Server. Was ist jetzt Gegenstand der Mitbestimmung und wird in einer Betriebsvereinbarung geregelt? Excel, weil das Programm „Metadaten“ über die Benutzung erstellt? Die einzelne Datei, weil in ihr Daten über das Verhalten verarbeitet werden? Oder SharePoint, weil damit unterschiedliche Versionen dieser Daten bereitgestellt und die Zugriffe verwaltet und ggf. auch protokolliert werden? Oder alles drei? Bestimmt man nicht, was unter die Betriebsvereinbarung fällt, besteht für den Arbeitgeber immer das Risiko, dass der Betriebsrat feststellt, dass eine bestimmte Einrichtung ja mit der Betriebsvereinbarung gar nicht geregelt ist, und dann kann er hinsichtlich dieser Einrichtung einen Unterlassungsanspruch geltend machen – damit wäre aber im Grunde niemandem gedient (außer dem Betriebsrat, wenn er es darauf anlegt, Krawall zu machen).

In vielen Betriebsvereinbarungen über IT-Systeme steht irgendwo sinngemäß, dass der Betriebsrat über Änderungen, Erweiterungen etc. an einem IT-System informiert werden muss. In dem Zusammenhang wird dann meistens auch bestimmt, dass Funktionserweiterungen erst dann umgesetzt werden dürfen, wenn dies mit dem Betriebsrat vereinbart wurde. Die Fragen, die sich aus solch einer Regelung aber ergeben, sind:

  • über Änderungen, Erweiterungen etc. welches IT-Systems muss denn der Betriebsrat aufgrund der Betriebsvereinbarung informiert werden – die von Excel, von SharePoint oder der Excel-Tabelle? Oder die aller drei IT-Systeme?
  • Welche Funktionen leistet das das IT-System bisher, so dass man Erweiterungen des Funktionsumfangs überhaupt identifizieren kann?

Im Grunde ist hier der datenschutzrechtliche Ansatz moderner und klüger: Es ist egal, welches Tool verwendet wird, entscheidend ist der Verarbeitungsvorgang, der bestimmte Zwecke verwirklichen soll. Weil aber das BetrVG nicht ganz so modern ist und der hier diskutierte Mitbestimmungstatbestand aus dem Jahr 1972 stammt, muss man sich halt die Mühe machen, die Gegenstände jeweils genau zu bestimmen.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Der wirkungsvolle EDV-Ausschuss – Teil I: Gläserne Arbeitnehmer

Der wirkungsvolle EDV-Ausschuss – Teil II: Umsetzung der Mitbestimmungsrechte

 

Vorheriges Thema Nächstes Thema