In jedem Betrieb findet sich eine Fülle von technischen Einrichtungen, die die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllen, die also der Mitbestimmung durch den Betriebsrat bedürfen. Das gilt für Systeme für das Büro, die Kommunikation oder der Personalwirtschaft ebenso wie für die Produktion, die Logistik, die Haustechnik oder die allgemeine Steuerung im Betrieb. Einige Beispiele:

Büro und Kommunikation

Das ist sicher die Domäne der technischen Einrichtungen, die unter § 87 Abs. 1 Nr. 6 BetrVG fallen, denn hier finden sich die meisten (aber bei Weitem nicht alle) Einrichtungen.

Nur eine Auswahl und Übersicht dessen, was in fast allen Betrieben in der Verwaltung zu finden ist:

  • Betriebssysteme der PCs (Windows® 7, 8 oder 10, Linux® oder Apple® MacOS®)
  • Betriebssysteme der Server (Windows®, Linux® oder andere)
  • Spezielle Dienste auf Servern wie Exchange®, SharePoint®, SMB auf Windows®-Servern oder Samba®, Squid etc. auf Linux®-Servern
  • Anwendungssoftware auf den PCs (Word®, Excel®, PowerPoint® etc.)
  • Cloud-Dienste wie Office 365® mit SharePoint®, OneDrive®, Exchange® etc., Google® Drive®, Google G Suite® etc.
  • Alles, was mit Kommunikation zu tun hat, also die Telefonanlage, Cloud-Telefonie, ACD-Systeme (das sind spezielle Systeme, die vor allem in Call-Centern zum Einsatz kommen), aber natürlich auch Mobilfunk und selbstverständlich E-Mails
  • Ticketsysteme wie Now® (früher ServiceNow®), Jira® ServiceDesk®, Remedy® etc.
  • UCC-Systeme (Unified Communication and Collaboration) verschiedenster Art, z. B. Teams® von Microsoft®
  • SAP® und andere ERP-Systeme (ERP steht für „Enterprise Ressource Planning“, also eine Software, mit der die Ressourcen des Unternehmens wie Finanzen, Maschinen, Personal, Material etc. organisiert werden) wie Oracle®, MS Dynamics®, Infor LN® etc.
  • Drucker-/Kopiersysteme, die Druckaufträge puffern bzw. die Kosten auf Kostenstellen verteilen können

Aber auch einzelne Dateien, die z. B. mit Excel® gepflegt werden und z. B. Daten über erledigte Aufgaben, Termine etc. enthalten, fallen unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG – der Mitbestimmungstatbestand nennt ja bewusst „Einrichtungen“ als Gegenstand, nicht „Programme“ oder „Geräte“, und das können eben auch einzelne Dateien sein. Das BAG 2018 entschieden (1 ABN 36/18), dass es keine „Geringfügigkeitsschwelle“ bei der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG gibt.

IT-Sicherheit und IT-Administration

Die Sicherheit und Stabilität von IT-Systemen sind natürlich wichtig, und da lässt es sich kaum vermeiden, auch ein gewisses Maß an „Monitoring“ zu betreiben. Deshalb werden in der IT-Sicherheit verschiedene Systeme eingesetzt, die Aktivitäten, die die Integrität und Vertraulichkeit der eigenen Systeme bedrohen, bemerken und ggf. Alarm auslösen sollen:

  • SIEM (Security Information and Event Management) führt Daten aus verschiedenen Systemen für die Protokollierung für die IT-Sicherheit und für Ereignisse, die Maßnahmen erfordern, zusammen
  • Firewalls sind ein Instrument, mit dem Angriffe vor allem von außen abgewandt werden sollen
  • Logfiles verschiedener Einrichtungen dienen dazu, Auffälligkeiten zu bemerken und ihnen begegnen zu können
  • Data Loss Prevention („DLP“) analysiert den Datenverkehr und löst bei unerlaubter Übermittlung oder Verarbeitung von Daten Alarm aus, sperrt die Daten und/oder stellt bestimmte Informationen in Quarantäne

In diesem Zusammenhang sei auch Office 365® erwähnt. Mit den Werkzeugen aus „Security and Compliance“ wird eine Fülle von Möglichkeiten der Überwachung angeboten, z. B. für DLP, die automatische Archivierung von E-Mails oder Dateien – und nicht zuletzt werden sämtliche Aktivitäten aller Benutzer protokolliert, und die Protokolldaten bleiben 90 Tage lang verfügbar.

Es gibt inzwischen hoch entwickelte Systeme, die Verfahren der Künstlichen Intelligenz nutzen, um ungewöhnliches Verhalten von Geräten und Benutzern erkennen und daraus Erkenntnisse über mögliche Bedrohungen ableiten. Diese Systeme (z. B. Darktrace®) arbeiten hocheffizient und finden treffsicher auch sollte Bedrohungen, die herkömmlichen SIEM-Systemen oder Virenscannern verborgen bleiben. Aber dafür müssen Sie eben auch Verhalten beobachten, also kontrollieren. Dass diese Kontrolle maschinell erfolgt und nicht in Form der Beobachtung durch Menschen, macht aus rechtlicher Sicht keinen Unterschied.

Personalwirtschaft

Systeme der Personalwirtschaft müssen dokumentieren, welche personenbezogenen Daten eingegeben, verändert oder gelöscht wurden. Auch eine Protokollierung, die nachvollziehbar macht, wer diese Änderungen vorgenommen hat, kann zu den notwendigen technische Maßnahmen zum Schutz der Integrität und Vertraulichkeit der Daten gehören. Daher sind Systeme wie

  • SAP® HCM®,
  • SAP SuccessFactors®,
  • Oracle® Fusion HR®,
  • Workday®,
  • die Personalwirtschaft der DATEV®,
  • P&I Loga®,
  • Paisy® etc.

technische Einrichtungen, die den Zweck erfüllen, das Verhalten oder die Leistung von Arbeitnehmern überwachen zu können und daher unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG fallen.

Wie bereits erläutert: Überwachung muss nicht immer „böse“ sein, und manchmal dient sie auch einem guten Zweck, wie z. B. der Sicherstellung des Datenschutzes. Das ändert aber nichts daran, dass der Betriebsrat darüber mitzubestimmen hat, wie dies gehandhabt wird.

Die Daten selbst, die in Personalwirtschaftssystemen verarbeitet werden, unterliegen aber nicht unbedingt der Mitbestimmung. Die Steuerklasse, die kirchensteuerrelevante Religionszugehörigkeit oder andere Daten, die für die korrekte Entgeltabrechnung benötigt werden, sagen ja nichts über das Verhalten von Arbeitnehmern aus und fallen daher nicht unter die Mitbestimmung Nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt genauso für Angaben über die Qualifikation oder Tätigkeit – z. B. Fremdsprachenkenntnisse, vorhandene Qualifikationen und Zertifikate oder dergleichen. In diesem Zusammenhang mögen andere Mitbestimmungstatbestände relevant sein (in Frage kommt z. B. § 94 BetrVG), aber um eine Verhaltenskontrolle handelt es sich jedenfalls nicht.

Bemerkenswert ist in diesem Zusammenhang eine Entscheidung des BAG (1 ABR 32/16 vom 19.12.2017). Es hat (heftig diskutiert, aber dogmatisch ganz richtig) festgestellt, dass der Umstand, dass ein Arbeitnehmer auf einer sog. „Anti-Terror-Liste“ der EU steht (richtiger: „Sanktionsliste“), keinen Bezug zu seinem Verhalten, jedenfalls nicht seinem Verhalten bei der Arbeit hat. Daher ist ein Abgleich des Arbeitgebers von Daten seiner Arbeitnehmer mit diesen Listen auch keine Anwendung einer technischen Einrichtung, die der Kontrolle des Verhaltens dient, und deshalb fällt dieser Vorgang nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Dass dieser Abgleich datenschutzrechtlich zumindest fragwürdig ist, weil es kaum eine Grundlage für die Rechtmäßigkeit geben dürfte, ist eine andere Frage. Die wird aber nicht im Rahmen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG geklärt.

Auch die Daten, die in einer digitalen Personalakte verarbeitet werden, unterliegen nicht unbedingt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das System als solches wird vermutlich Daten über die Benutzung protokollieren und daher Gegenstand der Mitbestimmung sein. Die Dokumente, die im System verarbeitet werden, sind aber normalerweise keine Instrumente der Verhaltenskontrolle. Selbst wenn ein Arbeitnehmer wegen eines Fehlverhaltens abgemahnt und die Abmahnung als PDF-Dokument digital abgelegt wird, ist das PDF-Dokument selbst nicht Instrument der Verhaltenskontrolle. Das Verhalten wurde ja auf andere Art festgestellt, und die Abmahnung ist nur die Reaktion des Arbeitgebers auf dieses anderweitig überwachte Verhalten, die Dokumentation dieser Reaktion in einem elektronischen System mithin keine technische Einrichtung zur Kontrolle des Verhaltens.

Der Betriebsrat sollte sich also sehr genau überlegen, ob er bei jedem System „mit einem Stecker dran“ Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG für sich reklamieren kann. Manche technischen Systeme fallen dann doch nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.

Dass es auch aus Sicht des Arbeitgebers ratsam sein mag, eine Betriebsvereinbarung auch über solche Systeme abzuschließen, hat seinen Grund vor allem darin, dass er damit für sich eine solide Rechtsgrundlage im Sinne des § 26 Abs. 4 BDSG schafft und damit weniger Probleme mit der Datenschutzaufsicht riskiert. Ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG besteht aber nicht unbedingt bei jeder technischen Einrichtung und über jeden Aspekt der Verarbeitung personenbezogener Daten der Arbeitnehmer.

Produktion und Materialwirtschaft

Nicht nur die Aspekte „Personalwirtschaft“ in ERP-Systemen, sondern sämtliche Bestandteile von ERP-Systemen enthalten Funktionen, mit denen das Verhalten von Anwendern oder anderen protokolliert wird. Üblicherweise werden z. B. alle Vorgänge, Prozessschritte bzw. Transaktionen, die der Anwender mit der Software vornimmt, protokolliert. Dies kann verschiedenen Zwecken dienen und durchaus sinnvoll sein, ist aber natürlich auch die Anwendung einer technischen Einrichtung, die geeignet ist, das Verhalten der Benutzer, also der Arbeitnehmer zu überwachen.

Daneben werden solche Systeme auch genutzt, um die Produktivität des Betriebs zu ermitteln. Daher werden meistens Daten über Maschinenlaufzeiten, die Dauer bestimmter Verarbeitungsvorgänge etc. in solchen Systemen verarbeitet. Die Erfassung von Arbeitsstunden und deren Buchung auf bestimmte Projekte, Kostenstellen oder Aufträge z. B. fällt in diese Kategorie der Verarbeitung personenbezogener Daten, mit denen eine Überwachung des Verhaltens oder der Leistung der Arbeitnehmer möglich ist, und die demnach mitbestimmungspflichtig gem. § 87 Abs. 1 Nr. 6 BetrVG ist.

Einige Beispiele für solche Arten technischer Einrichtungen sind:

  • Produktionsplanungs- und ‑steuerungssysteme innerhalb von ERP-Software wie SAP®
  • Software für die Steuerung von Maschinen

Maschinen für die Produktion, Verpackung etc. sind natürlich auch vernetzt und in die IT-Landschaft integriert. Sie erzeugen in aller Regel auch Daten über ihren Betrieb, etwas Laufzeiten, den Ausstoß von Produkten etc., die in den meisten Fällen den Arbeitnehmern, die sie jeweils bedient haben, zugeordnet werden können. Daher handelt es sich auch bei solchen technischen Anlagen um Einrichtungen i. S. d. § 87 Abs. 1 Nr. 6 BetrVG.

Logistik

Warenwirtschaftssysteme verarbeiten Daten über Materialien und Produkte, aber dabei auch Daten darüber, wer sie in welcher Weise bestellt, eingelagert, entnommen oder verbraucht oder Retouren verarbeitet hat.

Lagerwirtschaftssysteme verarbeiten Daten über die Handhabung eingelagerter Produkte und sind eng mit dem jeweils verwendeten Warenwirtschaftssystem vernetzt. Auch hier entstehen Daten über die Einlagerung, Entnahme etc.

Versandsysteme erzeugen Daten über die Versandvorbereitung und den Versand von Produkten – in der Regel wieder ergänzt um Informationen über die Arbeitnehmer, die bestimmte Arbeiten verrichtet und Aufträge abgearbeitet haben.

Tracking-Systeme, mit denen einzelne Vorgänge, z. B. einzelne Kommissionen bzw. Lieferungen verfolgt werden können, verarbeiten natürlich ebenso Daten über das Tun der Arbeitnehmer, z. B. die Verpackung, den Versand, den Transport, die Auslieferung etc.

Fahrtenschreiber, richtiger: „Tachographen“, sind für bestimmte Fahrzeuge gesetzlich vorgeschrieben, und sofern ihre Nutzung ausschließlich gem. der gesetzlichen Bestimmungen erfolgt, greift der Eingangssatz des § 87 Abs. 1 BetrVG, der besagt, dass der Betriebsrat nicht mitzubestimmen hat, wenn es bereits eine gesetzliche Regelung gibt.

Wenn die Daten über das Fahrverhalten z. B. eines LKW-Fahrers aber erst mal vorliegen, entstehen natürlich neue Begehrlichkeiten – es wäre ja durchaus nützlich, z. B. solche Fahrer zu identifizieren, die besonders schonend und sparsam fahren und sie von solchen zu unterscheiden, die einen eher „sportlichen“ Fahrstil an den Tag legen. Das ist aber nicht mehr von den gesetzlichen Bestimmungen zu Tachographen abgedeckt und löst das Mitbestimmungsrecht des Betriebsrats aus. Darüber hinaus sind in einem modernen LKW Hunderte weitere Sensoren verbaut, die sehr weitgehende Kontrollmöglichkeiten über den Fahrer und sein Tun eröffnen – hier gibt es viel mitzubestimmen.

Sicherheit und Facility Management

Natürlich sind technische Einrichtungen, die die Sicherheit auf dem Betriebsgelände sicherstellen sollen, kaum ohne Überwachung zu betreiben – sie dienen ja in der Regel genau diesem Zweck.

Videoüberwachung und andere Maßnahmen für diesen Zweck müssen sich aber stets am Maßstab der Verhältnismäßigkeit messen lassen. Wenn es möglich ist, Sicherheit zu gewährleisten, ohne in Persönlichkeitsrechte der Arbeitnehmer einzugreifen, ist die jeweilige Maßnahme unverhältnismäßig. Ob es z. B. erforderlich ist, die vom Arbeitgeber gewünschte Vielzahl von Kameras zu verwenden, ob es notwendig ist, die Kameras rund um die Uhr zu betreiben, Aufzeichnungen zu erstellen und lange zu speichern und einem weiten Kreis von Personen den Zugriff auf die Aufzeichnungen zu ermöglichen, sollte der Betriebsrat im Wege der Mitbestimmung sehr kritisch hinterfragen und eng regulieren.

Oft ist es möglich, auf eine Videoüberwachung ganz zu verzichten oder sie doch so erheblich einzuschränken, dass sie auf ein für die Arbeitnehmer noch zumutbares Mindestmaß reduziert wird.

Neben der Videoüberwachung werden aber auch andere Instrumente eingesetzt, die geeignet sind, das Verhalten von Arbeitnehmern zu überwachen. Elektronische Schließsysteme z. B. sind an sich nützlich – ob sie aber auch protokollieren müssen, wer wann welche Tür geöffnet hat, ist zumindest fraglich. Biometrische Zugangskontrollen können Zutritts- bzw. Schließsysteme ersetzen. Die Identifikation mit Fingerabdrücken (im der DSGVO wird das als „Daktyloskopie“ genannt) oder Irisscan, Gesichtserkennung oder der Erkennung des Musters von Blutgefäßen etc. ist oft sicherer als Kennwörter, Pins oder Tokens, weil sie nicht weitergegeben werden können – vorausgesetzt, sie sind gut und sauber programmiert und können nicht einfach ausgetrickst werden. Aber auch sie sind natürlich technische Einrichtungen im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Außerdem stellt die DSGVO in Art. 9 besondere Anforderungen an die Nutzung dieser Instrumente.

Moderne Gebäude sind mit einer Fülle haustechnischer Einrichtungen ausgestattet, die sowohl der Sicherheit als auch der Energieeffizienz dienen. Bewegungsmelder, die Fahrstuhlsteuerung, Infrarotsensoren zur Ermittlung von Wärmequellen, um die Heizungs- und Klimatechnik zu steuern etc. fallen darunter.

Auch hier hat der Betriebsrat gem. § 87 Abs. 1 Nr. 6 BetrVG mitzubestimmen.

Softwareentwicklung und Projektmanagement

Zur Unterstützung der Planung und Durchführung von Projekten aller Art gibt es verschiedene Werkzeuge, z. B. MS Project®, SAP® PS®, Jira®, Asana® und andere, die ganz verschiedene Ansätze verfolgen und auf unterschiedlichen Technologien basieren – teils cloudbasiert, teils on premises, teils als installierbare Apps, teils als Web-Anwendungen.

Allen ist aber gemein, dass mit ihnen Teilprojekte, Arbeitspakte und/oder Aufgaben definiert und Personen zur Erledigung zugewiesen werden. Die Erledigung wird auf verschiedene Weise verfolgt, teilweise mit weiteren Informationen wir z. B. der Erfassung von Tätigkeitszeiten und anderen Kosten angereichert und damit der Projektfortschritt aktualisiert. All dies ist aber auch nichts anderes als Verhaltens- bzw. Leistungskontrolle und fällt unter § 87 Abs. 1 Nr. 6 BetrVG.

Was fällt nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG?

Natürlich gibt es auch technische Einrichtungen, also Hard- oder Software, die nicht Gegenstand der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Danach muss man allerdings suchen. Nicht mitbestimmungspflichtig ist eine Einrichtung dann, wenn sie keinerlei Informationen über das Tun, also das Verhalten von Arbeitnehmern verarbeitet und dies auch gar nicht vorgesehen, z. B. technisch nicht möglich ist.

Ist es zwar möglich, Verhalten von Arbeitnehmern wahrnehmbar zu machen, will der Arbeitgeber aber auf diese Möglichkeit verzichten, fällt die Einrichtung dennoch unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Nur, wenn die Einrichtung die Möglichkeit der Wahrnehmung des Tuns von Arbeitnehmern auf technischem Wege ausschließt, fällt sie nicht unter § 87 Abs. 1 Nr. 6 BetrVG. Der Autor hat z. B. einmal eine elektronische Türschließanlage begutachtet, bei der zwar grundsätzlich auch ein Modul „Protokollierung der Türöffnungen“ verfügbar ist, dieses Modul aber nicht beschafft und demnach auch nicht installiert war. In diesem Fall konnte man guten Gewissens davon ausgehen, dass eine Möglichkeit der Verhaltens- oder Leistungskontrolle nicht bestand und es daher auch keinen Anlass gab, mitzubestimmen.

Wenn lediglich personenbezogene Daten verarbeitet werden, die aber keine Aussagen über ein Tun von Arbeitnehmern ermöglichen, handelt es sich ebenfalls nicht um die Anwendung einer technischen Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Das ist z. B. beim bereits weiter oben beschriebenen Abgleich von Arbeitnehmerdaten mit den Sanktionslisten der EU auf der Grundlage der EU-Verordnungen 2580/2001, 881/2002 und 753/2011 („Anti-Terror-Verordnungen“) der Fall.

Fazit

In jedem Betrieb gibt es eine überwältigende Vielzahl von technischen Einrichtungen, die der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegen. Das beginnt mit einzelnen Excel-Tabellen, mit denen Anwesenheiten oder Tätigkeiten dokumentiert werden, erstreckt sich über gängige Systeme wie Office 365, SAP, die Zeiterfassung, die Telefonie und andere Kommunikationssysteme bis zur Videoüberwachung, Haustechnik und Betriebstechnik.

In unserem relativ kleinen Betrieb z. B. haben wir auf Anhieb ca. 70 verschiedene mitbestimmungspflichtige technische Einrichtungen identifiziert, und ich bin als Geschäftsführer nicht besonders kontrollwütig. Wir benutzen einfach nur das, was eben so üblich ist, also Windows®, Office®, Linux®– und Windows®-Server, SQL-Datenbanken, Internet-Zugänge, Internet-Server, eine Telefonanlage etc.

In der Praxis wird es nicht gelingen, über jede einzelne Einrichtung umfassende Regelungen in Form von Betriebsvereinbarungen zu treffen. Das scheitert nicht nur an der schieren Menge, sondern wird auch dadurch erschwert, dass die unterschiedlichen Einrichtungen miteinander vernetzt sind und untereinander kommunizieren, so dass man oft noch nicht einmal den genauen Gegenstand der Mitbestimmung eindeutig identifizieren und benennen kann. Bei einem Kunden – einem großen Softwarekonzern – hat der Betriebsrat, nachdem wir dort eine Inhouse-Schulung zu diesem Thema durchgeführt haben, mehrere Zehntausend unterschiedliche technische Einrichtungen identifiziert, die sämtlich die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt haben. Wie will man aber 10.000 und mehr Betriebsvereinbarungen abschließen, um die jeweilige technische Einrichtung mitzubestimmen und umfassend zu regeln? Das wird nicht gelingen, denn dafür reichen ja auch mehrere Amtszeiten nicht aus.

Deshalb wird man nicht umhinkönnen,

  • Prioritäten zu setzen, um diejenigen Einrichtungen zu identifizieren, die besonders dringend einer Regelung bedürfen und
  • sich Gedanken darüber zu machen, allgemeingültige Regelungen über den Umgang mit technischen Einrichtungen schlechthin – also eine sog. Rahmenbetriebsvereinbarung – zu vereinbaren.

Die Fragen, welche Regelungen wie sinnvoll sind und ob und wie man mit einer Rahmenbetriebsvereinbarung umgehen kann, werden in separaten Artikeln behandelt.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Der wirkungsvolle EDV-Ausschuss – Teil I: Gläserne Arbeitnehmer